Algoritmos de criptografía y Servicios de AWS - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Algoritmos de criptografía y Servicios de AWS

Un algoritmo de cifrado es una fórmula o procedimiento que convierte un mensaje de texto sin formato en texto cifrado. Si no conoce el cifrado o su terminología, le recomendamos que lea Acerca del cifrado de datos antes de continuar con esta guía.

AWS servicios de criptografía

AWS los servicios de criptografía se basan en algoritmos de cifrado seguros y de código abierto. Organismos públicos de normalización e investigaciones académicas examinan estos algoritmos. Algunas herramientas y servicios de AWS imponen el uso de un algoritmo específico. En otros servicios, puede elegir entre varios algoritmos y longitudes de clave disponibles, o puede utilizar los valores predeterminados recomendados.

En esta sección se describen algunos de los algoritmos compatibles con AWS las herramientas y los servicios. Se dividen en dos categorías, simétricos y asimétricos, según el funcionamiento de sus claves:

  • El cifrado simétrico utiliza la misma clave para cifrar y descifrar los datos. Servicios de AWS admiten el estándar de cifrado avanzado (AES) y el estándar de cifrado de datos triple (3DES o TDES), que son dos algoritmos simétricos muy utilizados.

  • El cifrado asimétrico utiliza un par de claves, una clave pública para el cifrado y una clave privada para el descifrado. Puede compartir la clave pública porque no se utiliza para el descifrado, pero el acceso a la clave privada debe estar muy restringido. Servicios de AWS suelen admitir algoritmos asimétricos RSA y de criptografía de curva elíptica (ECC).

AWS los servicios criptográficos cumplen con una amplia gama de estándares de seguridad criptográfica, por lo que puede cumplir con las normativas gubernamentales o profesionales. Para obtener una lista completa de los estándares de seguridad de datos que Servicios de AWS cumplen, consulte los programas de AWS cumplimiento.

Acerca de los algoritmos criptográficos

La criptografía es una parte esencial de la seguridad para. AWS Servicios de AWS admiten el cifrado de datos en tránsito, en reposo o en memoria. Muchos también admiten el cifrado con claves administradas por el cliente a las que no se puede acceder AWS. Puede obtener más información sobre el AWS compromiso con la innovación y la inversión en controles adicionales para la soberanía y las funciones de cifrado en el compromiso de soberanía AWS digital (entrada del AWS blog).

AWS se compromete a utilizar los algoritmos criptográficos más seguros disponibles para cumplir con sus requisitos de seguridad y rendimiento. AWS utiliza de forma predeterminada algoritmos e implementaciones de alta seguridad y prefiere soluciones optimizadas para el hardware que son más rápidas, mejoran la seguridad y ahorran más energía. Consulte la biblioteca AWS criptográfica para ver algoritmos criptográficos optimizados, de alta seguridad y verificados formalmente y en tiempo constante. AWS sigue el modelo de responsabilidad compartida y ofrece opciones de criptografía para cumplir con sus requisitos individuales de seguridad, cumplimiento y rendimiento, sin dejar de cumplir con los niveles de seguridad aceptados por la industria. Por ejemplo, Elastic Load Balancing ofrece balanceadores de carga de aplicaciones que proporcionan diversas políticas de seguridad para el protocolo Transport Layer Security (TLS).

Servicios de AWS utilice algoritmos criptográficos confiables que cumplan con los estándares de la industria y fomenten la interoperabilidad. Estos estándares son ampliamente aceptados por los gobiernos, la industria y el mundo académico. Se necesita un análisis considerable por parte de la comunidad global para que un algoritmo sea ampliamente aceptado. También se necesita tiempo para que esté ampliamente disponible en la industria. La falta de análisis y disponibilidad plantea desafíos en materia de interoperabilidad, complejidad y riesgos para las implementaciones. AWS sigue desplegando nuevas opciones criptográficas para cumplir con los altos estándares de seguridad y rendimiento.

AWS sigue de cerca los avances criptográficos, los problemas de seguridad y los resultados de la investigación. A medida que se descubren algoritmos obsoletos y problemas de seguridad, se solucionan. Para obtener más información, consulte el blog AWS de seguridad. AWS mantiene su compromiso de identificar los problemas de compatibilidad con los clientes que utilizan algoritmos de seguridad antiguos y de ayudar a los clientes a migrar a opciones más seguras. AWS también sigue participando en nuevas áreas criptográficas, que incluyen la criptografía poscuántica y la computación criptográfica.

Algoritmos criptográficos

En las tablas siguientes se enumeran los algoritmos criptográficos recomendados y su estado.

Criptografía asimétrica

En la siguiente tabla se enumeran los algoritmos asimétricos compatibles para el cifrado, la concordancia de claves y las firmas digitales.

Tipo Algoritmo Estado
Cifrado RSA-OAEP (módulo de 2048 o 3072 bits) Aceptable
Cifrado HPKE (P-256 o P-384, HKDF y AES-GCM) Aceptable
Acuerdo clave ML-KEM-768 o ML-KEM-1024 Preferido (resistente a la cuántica)
Acuerdo clave ECDH (E) con P-384 Aceptable
Acuerdo clave ECDH (E) con P-256, P-521 o X25519 Aceptable
Acuerdo clave ECDH (E) con Brainpool P256R1, Brainpool P384R1 o Brainpool P512R1 Aceptable
Firmas ML-DSA-65 o ML-DSA-87 Preferido (resistente a la cuántica)
Firmas SLH-DSA Preferido (firma con resistencia cuántica) software/firmware
Firmas ECDSA con P-384 Aceptable
Firmas ECDSA con P-256, P-521 o Ed25519 Aceptable
Firmas RSA-2048 o RSA-3072 Aceptable

Criptografía simétrica

En la siguiente tabla se enumeran los algoritmos simétricos compatibles para el cifrado, el cifrado autenticado y el empaquetado de claves.

Tipo Algoritmo Estado
Cifrado autenticado AES-GCM-256 Preferido
Cifrado autenticado AES-GCM-128 Aceptable
Cifrado autenticado ChaCha20/Poly1305 Aceptable
Modos de cifrado AES-XTS-256 (para almacenamiento en bloques) Preferido
Modos de cifrado AES-CBC/ CTR (modos no autenticados) Aceptable
Envoltorio de claves AES-GCM-256 Preferido
Envoltorio de claves AES-KW o AES-KWP con claves de 256 bits Aceptable

Funciones criptográficas

En la siguiente tabla se enumeran los algoritmos compatibles para el cifrado, la derivación de claves, la autenticación de mensajes y el cifrado de contraseñas.

Tipo Algoritmo Estado
Hashing SHA2-384 Preferido
Hashing SHA2-256 Aceptable
Hashing SHA3 Aceptable
Derivación de claves HKDF_Expand o HKDF con -256 SHA2 Preferido
Derivación de claves Modo contador KDF con HMAC- -256 SHA2 Aceptable
Código de autenticación de mensajes HMAC- -384 SHA2 Preferido
Código de autenticación de mensajes HMAC- -256 SHA2 Aceptable
Código de autenticación de mensajes KMAC Aceptable
Procesamiento de contraseñas Cifrar con SHA384 Preferido
Hashing de contraseñas PBKDF2 Aceptable