Identificar chaves do KMS assimétricas - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Identificar chaves do KMS assimétricas

Para determinar se uma chave do KMS específica é uma chave do KMS assimétrica, localize o tipo de chave ou a especificação da chave. Você pode usar o AWS KMS console ou a AWS KMS API.

Alguns desses métodos também mostram outros aspectos da configuração criptográfica de uma chave do KMS, incluindo o uso da chave e os algoritmos de criptografia ou assinatura com suporte pela chave do KMS. Você pode visualizar a configuração criptográfica de uma chave do KMS existente, mas não pode alterá-la.

Para obter informações gerais sobre como visualizar chaves do KMS, incluindo classificar, filtrar e escolher colunas para a exibição no console, consulte Visualizando KMS teclas no console.

Encontrar o tipo de chave na tabela de chaves do KMS

No AWS KMS console, a coluna Tipo de chave mostra se cada chave KMS é simétrica ou assimétrica. É possível adicionar uma coluna Key type (Tipo de chave) à tabela de chaves do KMS nas páginas Customer managed keys (Chaves gerenciadas pelo cliente) ou Chaves gerenciadas pela AWS no console.

Para identificar chaves do KMS simétricas e assimétricas na tabela de chaves do KMS, use o procedimento a seguir.

  1. Abra o AWS KMS console em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). Para ver as chaves em sua conta que AWS cria e gerencia para você, no painel de navegação, escolha chaves AWS gerenciadas.

  4. A coluna Key type (Tipo de chave) mostra se cada chave do KMS é simétrica ou assimétrica. Também é possível classificar e filtrar pelo valor de Key type (Tipo de chave).

    Se a coluna Key type (Tipo de chave) não aparecer na tabela de chaves do KMS, selecione o ícone de engrenagem no canto superior direito da página, selecione Key type (Tipo de chave) e Confirm (Confirmar). Também é possível adicionar as colunas Key spec (Especificação da chave) e Key usage (Uso da chave).

    A coluna Key type (Tipo de chave) em uma tabela de chaves do KMS

Encontrar o tipo de chave na página de detalhes

No AWS KMS console, a página de detalhes de cada chave KMS inclui uma guia Configuração criptográfica que exibe o tipo de chave (simétrica ou assimétrica) e outros detalhes criptográficos sobre a chave KMS.

Para identificar chaves do KMS simétricas e assimétricas na página de detalhes de uma chave do KMS, use o procedimento a seguir.

  1. Abra o AWS KMS console em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). Para ver as chaves em sua conta que AWS cria e gerencia para você, no painel de navegação, escolha chaves AWS gerenciadas.

  4. Escolha o alias ou ID de chave de uma chave do KMS.

  5. Selecione a guia Cryptographic configuration (Configuração criptográfica). As guias estão abaixo da seção General configuration (Configuração geral).

    A seção Cryptographic Configuration (Configuração criptográfica) inclui o Key Type (Tipo de chave), que indica se ela é simétrica ou assimétrica. Ela também exibe outros detalhes sobre a chave do KMS, incluindo o Key Usage (Uso da chave), que informa se uma chave do KMS pode ser usada para criptografia e descriptografia ou para assinatura e verificação. Para chaves do KMS assimétricas, ela exibe os algoritmos de criptografia ou os algoritmos de assinatura compatíveis com a chave do KMS.

    Por exemplo, veja a seguir um exemplo da guia Cryptographic configuration (Configuração criptográfica) de uma chave do KMS de criptografia simétrica.

    A guia Cryptographic configuration (Configuração criptográfica) de uma chave do KMS de criptografia simétrica

    Veja a seguir um exemplo da guia Cryptographic Configuration (Configuração criptográfica) de uma chave do KMS RSA assimétrica que é usada para assinatura e verificação.

    A guia Cryptographic Configuration (Configuração criptográfica) de uma chave do KMS assimétrica

Encontrando a especificação chave usando a API AWS KMS

Para determinar se uma chave KMS é simétrica ou assimétrica, use a operação. DescribeKey O campo KeySpec na resposta contém a especificação da chave da chave do KMS. Para uma chave do KMS de criptografia simétrica, o valor de KeySpec é SYMMETRIC_DEFAULT. Outros valores indicam uma chave do KMS assimétrica ou uma chave do KMS de HMAC.

nota

O membro CustomerMasterKeySpec é defasado. Em seu lugar, use KeySpec. Para evitar alterações súbitas, a resposta DescribeKey inclui os membros KeySpec e CustomerMasterKeySpec com o mesmo valor.

Por exemplo, DescribeKey retorna a seguinte resposta para uma chave do KMS de criptografia simétrica. O valor de KeySpec é SYMMETRIC_DEFAULT.

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1496966810.831, "Enabled": true, "Description": "", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "MultiRegion": false, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

A resposta DescribeKey para uma chave do KMS RSA assimétrica usada para assinatura e verificação é semelhante a este exemplo. O valor KeySpec éRSA_2048, e KeyUsage é SIGN_VERIFY. O elemento SigningAlgorithms lista os algoritmos de assinatura válidos para a chave do KMS.

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1571767572.317, "CustomerMasterKeySpec": "RSA_2048", "Enabled": false, "Description": "", "KeyState": "Disabled", "Origin": "AWS_KMS", "MultiRegion": false, "KeyManager": "CUSTOMER", "KeySpec": "RSA_2048", "KeyUsage": "SIGN_VERIFY", "SigningAlgorithms": [ "RSASSA_PKCS1_V1_5_SHA_256", "RSASSA_PKCS1_V1_5_SHA_384", "RSASSA_PKCS1_V1_5_SHA_512", "RSASSA_PSS_SHA_256", "RSASSA_PSS_SHA_384", "RSASSA_PSS_SHA_512" ] } }

A DescribeKey resposta para uma chave KMS ECC assimétrica usada para derivar segredos compartilhados é semelhante a este exemplo. O KeySpec valor é ECC_NIST_P256 e é. KeyUsage SIGN_VERIFY O KeyAgreementAlgorithms elemento lista os algoritmos de concordância de chave válidos para a chave KMS.

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": "2023-12-27T19:10:15.063000+00:00", "Enabled": true, "Description": "", "KeyUsage": "KEY_AGREEMENT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "ECC_NIST_P256", "KeySpec": "ECC_NIST_P256", "KeyAgreementAlgorithms": [ "ECDH" ], "MultiRegion": false } }