Identificar chaves do KMS simétricas e assimétricas - AWS Key Management Service

Identificar chaves do KMS simétricas e assimétricas

Para determinar se uma chave do KMS específica é simétrica ou assimétrica, localize o tipo de chave ou a especificação da chave. É possível usar o console do AWS KMS ou a API do AWS KMS.

Alguns desses métodos também mostram outros aspectos da configuração criptográfica de uma chave do KMS, incluindo o uso da chave e os algoritmos de criptografia ou assinatura com suporte pela chave do KMS. Você pode visualizar a configuração criptográfica de uma chave do KMS existente, mas não pode alterá-la.

Para obter informações gerais sobre como visualizar chaves do KMS, incluindo classificar, filtrar e escolher colunas para a exibição no console, consulte Visualizar chaves do KMS no console.

Encontrar o tipo de chave na tabela de chaves do KMS

No console do AWS KMS, a coluna Key type (Tipo de chave) mostra se cada chave do KMS é simétrica ou assimétrica. É possível adicionar uma coluna Key type (Tipo de chave) à tabela de chaves do KMS nas páginas Customer managed keys (Chaves gerenciadas pelo cliente) ou Chaves gerenciadas pela AWS (Chaves gerenciadas pela AWS) no console.

Para identificar chaves do KMS simétricas e assimétricas na tabela de chaves do KMS, use o procedimento a seguir.

  1. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  2. Para alterar a região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). Para exibir as chaves na sua conta que a AWS cria e gerencia para você, no painel de navegação, escolha AWS managed keys (Chaves gerenciadas pela AWS).

  4. A coluna Key type (Tipo de chave) mostra se cada chave do KMS é simétrica ou assimétrica. Também é possível classificar e filtrar pelo valor de Key type (Tipo de chave).

    Se a coluna Key type (Tipo de chave) não aparecer na tabela de chaves do KMS, selecione o ícone de engrenagem no canto superior direito da página, selecione Key type (Tipo de chave) e Confirm (Confirmar). Também é possível adicionar as colunas Key spec (Especificação da chave) e Key usage (Uso da chave).

    
                        A coluna Key type (Tipo de chave) em uma tabela de chaves do KMS

Encontrar o tipo de chave na página de detalhes

No console do AWS KMS, a página de detalhes de cada chave do KMS inclui uma seção Cryptographic Configuration (Configuração criptográfica) que exibe o tipo de chave (simétrica ou assimétrica) e outros detalhes criptográficos da chave do KMS.

Para identificar chaves do KMS simétricas e assimétricas na página de detalhes de uma chave do KMS, use o procedimento a seguir.

  1. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  2. Para alterar a região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). Para exibir as chaves na sua conta que a AWS cria e gerencia para você, no painel de navegação, escolha AWS managed keys (Chaves gerenciadas pela AWS).

  4. Escolha o alias ou ID de chave de uma chave do KMS.

  5. Selecione a guia Cryptographic configuration (Configuração criptográfica). As guias estão abaixo da seção General configuration (Configuração geral).

    A seção Cryptographic Configuration (Configuração criptográfica) inclui o Key Type (Tipo de chave), que indica se ela é simétrica ou assimétrica. Ela também exibe outros detalhes sobre a chave do KMS, incluindo o Key Usage (Uso da chave), que informa se uma chave do KMS pode ser usada para criptografia e descriptografia ou para assinatura e verificação. Para chaves do KMS assimétricas, ela exibe os algoritmos de criptografia ou os algoritmos de assinatura compatíveis com a chave do KMS.

    Por exemplo, veja a seguir um exemplo da guia Cryptographic Configuration (Configuração criptográfica) de uma chave do KMS simétrica.

    
                        A guia Cryptographic Configuration (Configuração criptográfica) de uma chave do KMS simétrica

    Veja a seguir um exemplo da guia Cryptographic Configuration (Configuração criptográfica) de uma chave do KMS RSA assimétrica que é usada para assinatura e verificação.

    
                        A guia Cryptographic Configuration (Configuração criptográfica) de uma chave do KMS assimétrica

Encontrar a especificação da chave usando a API do AWS KMS

Para determinar se uma chave do KMS é simétrica ou assimétrica, use a operação DescribeKey. O campo KeySpec na resposta contém a especificação da chave da chave do KMS. Para uma chave do KMS simétrica, o valor de KeySpec é SYMMETRIC_DEFAULT. Todos os outros valores indicam uma chave assimétrica.

nota

O membro CustomerMasterKeySpec é defasado. Em seu lugar, use a KeySpec. Para evitar alterações súbitas, a resposta DescribeKey inclui os membros KeySpec e CustomerMasterKeySpec com o mesmo valor.

Por exemplo, DescribeKey retorna a resposta a seguir para uma chave do KMS simétrica. O valor de KeySpec é SYMMETRIC_DEFAULT.

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1496966810.831, "Enabled": true, "Description": "", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "MultiRegion": false, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

A resposta DescribeKey para uma chave do KMS RSA assimétrica usada para assinatura e verificação é semelhante a este exemplo. O valor KeySpec éRSA_2048, e KeyUsage é SIGN_VERIFY. O elemento SigningAlgorithms lista os algoritmos de assinatura válidos para a chave do KMS.

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1571767572.317, "CustomerMasterKeySpec": "RSA_2048", "Enabled": false, "Description": "", "KeyState": "Disabled", "Origin": "AWS_KMS", "MultiRegion": false, "KeyManager": "CUSTOMER", "KeySpec": "RSA_2048", "KeyUsage": "SIGN_VERIFY", "SigningAlgorithms": [ "RSASSA_PKCS1_V1_5_SHA_256", "RSASSA_PKCS1_V1_5_SHA_384", "RSASSA_PKCS1_V1_5_SHA_512", "RSASSA_PSS_SHA_256", "RSASSA_PSS_SHA_384", "RSASSA_PSS_SHA_512" ] } }