Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Algoritmos de criptografía y Servicios de AWS
Un algoritmo de cifrado es una fórmula o procedimiento que convierte un mensaje de texto sin formato en texto cifrado. Si no conoce el cifrado o su terminología, le recomendamos que lea Acerca del cifrado de datos antes de continuar con esta guía.
AWS servicios de criptografía
AWS los servicios de criptografía se basan en algoritmos de cifrado seguros y de código abierto. Organismos públicos de normalización e investigaciones académicas examinan estos algoritmos. Algunas herramientas y servicios de AWS imponen el uso de un algoritmo específico. En otros servicios, puede elegir entre varios algoritmos y longitudes de clave disponibles, o puede utilizar los valores predeterminados recomendados.
En esta sección se describen algunos de los algoritmos compatibles con AWS las herramientas y los servicios. Se dividen en dos categorías, simétricos y asimétricos, según el funcionamiento de sus claves:
-
El cifrado simétrico utiliza la misma clave para cifrar y descifrar los datos. Servicios de AWS admiten el estándar de cifrado avanzado (AES) y el estándar de cifrado de datos triple (3DES o TDES), que son dos algoritmos simétricos muy utilizados.
-
El cifrado asimétrico utiliza un par de claves, una clave pública para el cifrado y una clave privada para el descifrado. Puede compartir la clave pública porque no se utiliza para el descifrado, pero el acceso a la clave privada debe estar muy restringido. Servicios de AWS suelen admitir algoritmos asimétricos RSA y de criptografía de curva elíptica (ECC).
AWS los servicios criptográficos cumplen con una amplia gama de estándares de seguridad criptográfica, por lo que puede cumplir con las normativas gubernamentales o profesionales. Para obtener una lista completa de los estándares de seguridad de datos que Servicios de AWS cumplen, consulte los programas de AWS cumplimiento
Acerca de los algoritmos criptográficos
La criptografía es una parte esencial de la seguridad para. AWS Servicios de AWS admiten el cifrado de datos en tránsito, en reposo o en memoria. Muchos también admiten el cifrado con claves administradas por el cliente a las que no se puede acceder AWS. Puede obtener más información sobre el AWS
compromiso con la innovación y la inversión en controles adicionales para la soberanía y las funciones de cifrado en el compromiso de soberanía AWS digital
AWS se compromete a utilizar los algoritmos criptográficos más seguros disponibles para cumplir con sus requisitos de seguridad y rendimiento. AWS utiliza de forma predeterminada algoritmos e implementaciones de alta seguridad y prefiere soluciones optimizadas para el hardware que son más rápidas, mejoran la seguridad y ahorran más energía. Consulte la biblioteca AWS criptográfica para ver algoritmos criptográficos
Servicios de AWS utilice algoritmos criptográficos confiables que cumplan con los estándares de la industria y fomenten la interoperabilidad. Estos estándares son ampliamente aceptados por los gobiernos, la industria y el mundo académico. Se necesita un análisis considerable por parte de la comunidad global para que un algoritmo sea ampliamente aceptado. También se necesita tiempo para que esté ampliamente disponible en la industria. La falta de análisis y disponibilidad plantea desafíos en materia de interoperabilidad, complejidad y riesgos para las implementaciones. AWS sigue desplegando nuevas opciones criptográficas para cumplir con los altos estándares de seguridad y rendimiento.
AWS sigue de cerca los avances criptográficos, los problemas de seguridad y los resultados de la investigación. A medida que se descubren algoritmos obsoletos y problemas de seguridad, se solucionan. Para obtener más información, consulte el blog AWS de seguridad
Algoritmos criptográficos
En las tablas siguientes se enumeran los algoritmos criptográficos recomendados y su estado.
Criptografía asimétrica
En la siguiente tabla se enumeran los algoritmos asimétricos compatibles para el cifrado, la concordancia de claves y las firmas digitales.
Tipo | Algoritmo | Estado |
---|---|---|
Cifrado | RSA-OAEP (módulo de 2048 o 3072 bits) | Aceptable |
Cifrado | HPKE (P-256 o P-384, HKDF y AES-GCM) | Aceptable |
Acuerdo clave | ML-KEM-768 o ML-KEM-1024 | Preferido (resistente a la cuántica) |
Acuerdo clave | ECDH (E) con P-384 | Aceptable |
Acuerdo clave | ECDH (E) con P-256, P-521 o X25519 | Aceptable |
Acuerdo clave | ECDH (E) con Brainpool P256R1, Brainpool P384R1 o Brainpool P512R1 | Aceptable |
Firmas | ML-DSA-65 o ML-DSA-87 | Preferido (resistente a la cuántica) |
Firmas | SLH-DSA | Preferido (firma con resistencia cuántica) software/firmware |
Firmas | ECDSA con P-384 | Aceptable |
Firmas | ECDSA con P-256, P-521 o Ed25519 | Aceptable |
Firmas | RSA-2048 o RSA-3072 | Aceptable |
Criptografía simétrica
En la siguiente tabla se enumeran los algoritmos simétricos compatibles para el cifrado, el cifrado autenticado y el empaquetado de claves.
Tipo | Algoritmo | Estado |
---|---|---|
Cifrado autenticado | AES-GCM-256 | Preferido |
Cifrado autenticado | AES-GCM-128 | Aceptable |
Cifrado autenticado | ChaCha20/Poly1305 | Aceptable |
Modos de cifrado | AES-XTS-256 (para almacenamiento en bloques) | Preferido |
Modos de cifrado | AES-CBC/ CTR (modos no autenticados) | Aceptable |
Envoltorio de claves | AES-GCM-256 | Preferido |
Envoltorio de claves | AES-KW o AES-KWP con claves de 256 bits | Aceptable |
Funciones criptográficas
En la siguiente tabla se enumeran los algoritmos compatibles para el cifrado, la derivación de claves, la autenticación de mensajes y el cifrado de contraseñas.
Tipo | Algoritmo | Estado |
---|---|---|
Hashing | SHA2-384 | Preferido |
Hashing | SHA2-256 | Aceptable |
Hashing | SHA3 | Aceptable |
Derivación de claves | HKDF_Expand o HKDF con -256 SHA2 | Preferido |
Derivación de claves | Modo contador KDF con HMAC- -256 SHA2 | Aceptable |
Código de autenticación de mensajes | HMAC- -384 SHA2 | Preferido |
Código de autenticación de mensajes | HMAC- -256 SHA2 | Aceptable |
Código de autenticación de mensajes | KMAC | Aceptable |
Procesamiento de contraseñas | Cifrar con SHA384 | Preferido |
Hashing de contraseñas | PBKDF2 | Aceptable |