Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Chiavi HMAC in AWS KMS
Le chiavi KMS con codice di autenticazione dei messaggi basato su hash (HMAC) sono chiavi simmetriche utilizzate per generare e verificare gli HMAC all'interno di AWS KMS. Il materiale della chiave univoco associato a ciascuna chiave KMS HMAC fornisce la chiave privata richiesta dagli algoritmi HMAC. È possibile utilizzare una chiave KMS HMAC con le operazioni GenerateMac e VerifyMac per verificare l'integrità e l'autenticità dei dati all'interno di AWS KMS.
Gli algoritmi HMAC combinano una funzione hash crittografica e una chiave segreta condivisa. Prendono un messaggio e una chiave segreta, come il materiale della chiave in una chiave KMS HMAC, e restituiscono un codice univoco di dimensioni fisse o tag. Se un solo carattere del messaggio cambia o se la chiave segreta non è identica, il tag risultante è completamente diverso. Richiedendo una chiave segreta, HMAC fornisce anche autenticità; è impossibile generare un tag HMAC identico senza la chiave segreta. Gli HMAC a volte vengono chiamati firme simmetriche, perché funzionano come firme digitali, ma utilizzano una sola chiave sia per la firma sia per la verifica.
Le chiavi KMS HMAC e gli algoritmi HMAC utilizzati da AWS KMS sono conformi agli standard di settore definiti in RFC 2104
Le chiavi KMS HMAC sono utilizzate per determinare l'autenticità di un messaggio, come un token Web JSON (JWT), le informazioni della carta di credito tokenizzate o una password inviata. Possono essere utilizzati anche come funzioni di derivazione chiave (KDF) sicure, specialmente nelle applicazioni che richiedono chiavi deterministiche.
Le chiavi KMS HMAC offrono un vantaggio rispetto agli HMAC del software applicativo perché il materiale della chiave viene generato e utilizzato interamente all'interno di AWS KMS, in base ai controlli dell'accesso impostati per la chiave.
Suggerimento
Le best practice consigliano di limitare la durata dell'efficacia di qualsiasi meccanismo di firma, incluso un HMAC. Ciò scoraggia un attacco in cui l'attore utilizza un messaggio firmato per stabilire la validità ripetutamente o molto tempo dopo la sostituzione del messaggio. I tag HMAC non includono un timestamp, ma puoi includere un timestamp nel token o nel messaggio per rilevare più facilmente quando è il momento di aggiornare l'HMAC.
Gli utenti autorizzati possono creare, gestire e utilizzare le chiavi KMS HMAC nel tuo account AWS. Ciò include le operazioni di abilitazione e disabilitazione delle chiavi, impostazione e modifica di alias e tag e pianificazione dell'eliminazione delle chiavi KMS HMAC. Inoltre, puoi controllare gli accessi alle chiavi KMS HMAC utilizzando le policy della chiave, le policy IAM e le concessioni. È possibile controllare tutte le operazioni che utilizzano o gestiscono le chiavi KMS HMAC all'interno di AWS nei registri AWS CloudTrail. Puoi creare chiavi KMS HMAC con materiale della chiave importato. Inoltre, puoi creare chiavi KMS HMAC multi-regione, che si comportano come copie della stessa chiave KMS HMAC in più Regioni AWS.
Le chiavi KMS HMAC supportano solo le operazioni crittografiche GenerateMac e VerifyMac. Non è possibile utilizzare le chiavi KMS HMAC per crittografare i dati o firmare messaggi o utilizzare qualsiasi altro tipo di chiave KMS nelle operazioni HMAC. Quando utilizzi l'operazione GenerateMac, fornisci un messaggio fino a 4.096 byte, una chiave KMS HMAC e l'algoritmo MAC compatibile con la specifica della chiave HMAC, e GenerateMac calcola il tag HMAC. Per verificare un tag HMAC, è necessario fornire il tag HMAC e lo stesso messaggio, la chiave KMS HMAC e l'algoritmo MAC utilizzato da GenerateMac per calcolare il tag HMAC originale. L'operazione VerifyMac calcola il tag HMAC e verifica che sia identico al tag HMAC fornito. Se il tag HMAC inserito non corrisponde a quello calcolato, la verifica non riesce.
Le chiavi KMS HMAC non supportano la rotazione automatica delle chiavi e non puoi creare una chiave KMS HMAC in un archivio di chiavi personalizzate.
Se crei una chiave KMS per crittografare i dati in un servizio AWS, utilizza una chiave crittografica simmetrica. Non puoi utilizzare una chiave KMS HMAC.
Regioni
Le chiavi KMS HMAC sono supportate in tutte le Regioni AWS supportate da AWS KMS.
Ulteriori informazioni
-
Per assistenza nella scelta di un tipo di chiave KMS, consulta la sezione Scelta di un tipo di chiave KMS.
-
Per una tabella di confronto delle operazioni dell'API AWS KMS supportate per ciascun tipo di chiave KMS, consulta la sezione Documentazione di riferimento dei tipi di chiave.
-
Per informazioni sulla creazione di chiavi KMS HMAC multi-regione, consulta la sezione Chiavi multiregionali in ingresso AWS KMS.
-
Per esaminare la differenza nella policy della chiave predefinita configurata dalla console AWS KMS per le chiavi KMS HMAC, consulta la sezione Consente agli utenti della chiave di utilizzare la chiave KMS con i servizi AWS.
-
Per informazioni sui prezzi delle chiavi KMS HMAC, consulta la pagina Prezzi di AWS Key Management Service
. -
Per informazioni sulle quote applicabili alle chiavi KMS HMAC, consulta le sezioni Quote delle risorse e Quote di richieste.
-
Per informazioni sull'eliminazione delle chiavi KMS HMAC, consulta la sezione Eliminazione di AWS KMS keys.
-
Per informazioni sull'utilizzo di HMAC per creare token Web JSON, consulta la sezione Come proteggere gli HMAC in AWS KMS
nel Blog sulla sicurezza di AWS. -
Ascolta il podcast: Introduzione a HMAC per AWS Key Management Service
sul Podcast ufficiale AWS.
Argomenti
Specifiche della chiave per le chiavi KMS HMAC
AWS KMS supporta chiavi HMAC simmetriche di lunghezze diverse. La scelta della specifica della chiave può dipendere da requisiti normativi, di sicurezza o aziendali. La lunghezza della chiave determina l'algoritmo MAC utilizzato nelle VerifyMacoperazioni GenerateMace nelle operazioni. In generale, le chiavi più lunghe sono più sicure. Usa la chiave più lunga funzionale per il tuo caso d'uso.
| Specifica della chiave HMAC | Algoritmo MAC |
|---|---|
| HMAC_224 | HMAC_SHA_224 |
| HMAC_256 | HMAC_SHA_256 |
| HMAC_384 | HMAC_SHA_384 |
| HMAC_512 | HMAC_SHA_512 |
