Identificar chaves do KMS simétricas e assimétricas - AWS Key Management Service

Identificar chaves do KMS simétricas e assimétricas

Para determinar se uma chave do KMS específica é simétrica ou assimétrica, localize o tipo de chave ou a especificação da chave. É possível usar o console do AWS KMS ou a API do AWS KMS.

Alguns desses métodos também mostram outros aspectos da configuração criptográfica de uma chave do KMS, incluindo o uso da chave e os algoritmos de criptografia ou assinatura com suporte pela chave do KMS. Você pode visualizar a configuração criptográfica de uma chave do KMS existente, mas não pode alterá-la.

Para obter informações gerais sobre como visualizar chaves do KMS, incluindo classificar, filtrar e escolher colunas para a exibição no console, consulte Visualizar chaves do KMS no console.

Encontrar o tipo de chave na tabela de chaves do KMS

No console do AWS KMS, a coluna Key type (Tipo de chave) mostra se cada chave do KMS é simétrica ou assimétrica. É possível adicionar uma coluna Key type (Tipo de chave) à tabela de chaves do KMS nas páginas Customer managed keys (Chaves gerenciadas pelo cliente) ou Chaves gerenciadas pela AWS no console.

Para identificar chaves do KMS simétricas e assimétricas na tabela de chaves do KMS, use o procedimento a seguir.

  1. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). Para visualizar as chaves na sua conta que a AWS cria e gerencia para você, no painel de navegação, escolha AWS managed keys (Chaves gerenciadas pela AWS).

  4. A coluna Key type (Tipo de chave) mostra se cada chave do KMS é simétrica ou assimétrica. Também é possível classificar e filtrar pelo valor de Key type (Tipo de chave).

    Se a coluna Key type (Tipo de chave) não aparecer na tabela de chaves do KMS, selecione o ícone de engrenagem no canto superior direito da página, selecione Key type (Tipo de chave) e Confirm (Confirmar). Também é possível adicionar as colunas Key spec (Especificação da chave) e Key usage (Uso da chave).

    
                        A coluna Key type (Tipo de chave) em uma tabela de chaves do KMS

Encontrar o tipo de chave na página de detalhes

No console do AWS KMS, a página de detalhes de cada chave do KMS inclui uma seção Cryptographic Configuration (Configuração criptográfica) que exibe o tipo de chave (simétrica ou assimétrica) e outros detalhes criptográficos da chave do KMS.

Para identificar chaves do KMS simétricas e assimétricas na página de detalhes de uma chave do KMS, use o procedimento a seguir.

  1. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). Para visualizar as chaves na sua conta que a AWS cria e gerencia para você, no painel de navegação, escolha AWS managed keys (Chaves gerenciadas pela AWS).

  4. Escolha o alias ou ID de chave de uma chave do KMS.

  5. Selecione a guia Cryptographic configuration (Configuração criptográfica). As guias estão abaixo da seção General configuration (Configuração geral).

    A seção Cryptographic Configuration (Configuração criptográfica) inclui o Key Type (Tipo de chave), que indica se ela é simétrica ou assimétrica. Ela também exibe outros detalhes sobre a chave do KMS, incluindo o Key Usage (Uso da chave), que informa se uma chave do KMS pode ser usada para criptografia e descriptografia ou para assinatura e verificação. Para chaves do KMS assimétricas, ela exibe os algoritmos de criptografia ou os algoritmos de assinatura compatíveis com a chave do KMS.

    Por exemplo, veja a seguir um exemplo da guia Cryptographic Configuration (Configuração criptográfica) de uma chave do KMS simétrica.

    
                        A guia Cryptographic Configuration (Configuração criptográfica) de uma chave do KMS simétrica

    Veja a seguir um exemplo da guia Cryptographic Configuration (Configuração criptográfica) de uma chave do KMS RSA assimétrica que é usada para assinatura e verificação.

    
                        A guia Cryptographic Configuration (Configuração criptográfica) de uma chave do KMS assimétrica

Encontrar a especificação da chave usando a API do AWS KMS

Para determinar se uma chave do KMS é simétrica ou assimétrica, use a operação DescribeKey. O campo KeySpec na resposta contém a especificação da chave da chave do KMS. Para uma chave do KMS simétrica, o valor de KeySpec é SYMMETRIC_DEFAULT. Todos os outros valores indicam uma chave assimétrica.

nota

O membro CustomerMasterKeySpec é defasado. Em seu lugar, use a KeySpec. Para evitar alterações súbitas, a resposta DescribeKey inclui os membros KeySpec e CustomerMasterKeySpec com o mesmo valor.

Por exemplo, DescribeKey retorna a resposta a seguir para uma chave do KMS simétrica. O valor de KeySpec é SYMMETRIC_DEFAULT.

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1496966810.831, "Enabled": true, "Description": "", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "MultiRegion": false, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

A resposta DescribeKey para uma chave do KMS RSA assimétrica usada para assinatura e verificação é semelhante a este exemplo. O valor KeySpec éRSA_2048, e KeyUsage é SIGN_VERIFY. O elemento SigningAlgorithms lista os algoritmos de assinatura válidos para a chave do KMS.

{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1571767572.317, "CustomerMasterKeySpec": "RSA_2048", "Enabled": false, "Description": "", "KeyState": "Disabled", "Origin": "AWS_KMS", "MultiRegion": false, "KeyManager": "CUSTOMER", "KeySpec": "RSA_2048", "KeyUsage": "SIGN_VERIFY", "SigningAlgorithms": [ "RSASSA_PKCS1_V1_5_SHA_256", "RSASSA_PKCS1_V1_5_SHA_384", "RSASSA_PKCS1_V1_5_SHA_512", "RSASSA_PSS_SHA_256", "RSASSA_PSS_SHA_384", "RSASSA_PSS_SHA_512" ] } }