Sobre CMKs simétricas e assimétricas - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sobre CMKs simétricas e assimétricas

No AWS KMS, é possível criar CMKs simétricas e assimétricas.

chaves mestras do cliente simétricas

Quando uma Chave mestra do cliente (CMK) é criada no KMS, por padrão, é obtida uma CMK simétrica.

No AWS KMS, uma CMK simétrica representa uma chave de criptografia de 256 bits que nunca deixa o AWS KMS descriptografada. Como usar uma CMK simétrica, é necessário chamar o AWS KMS. As chaves simétricas são usadas na criptografia simétrica, em que a mesma chave é usada para criptografia e descriptografia.

A menos que a tarefa exija explicitamente criptografia assimétrica, as CMKs simétricas, que nunca deixam o AWS KMS descriptografadas, são uma boa escolha. Para obter informações sobre a configuração criptográfica ou a especificação da chave de CMKs simétricas, consulte Especificação da chave SYMMETRIC_DEFAULT. Para obter ajuda para criar uma CMK simétrica, consulte Criar CMKs simétricas.

Os serviços da AWS integrados ao AWS KMS usam CMKs simétricas para criptografar os dados. Esses serviços não oferecem suporte a CMKs assimétricas. Para obter ajuda para determinar se uma CMK é simétrica ou assimétrica, consulte Identificar simétricas e assimétricas CMKs.

É possível usar uma CMK simétrica no AWS KMS para criptografar, descriptografar e criptografar novamente dados, gerar chaves de dados e pares de chaves de dados, além de gerar strings de bytes aleatórios. É possível importar seu próprio material de chave em uma CMK simétrica e criar CMKs simétricas em armazenamentos de chaves personalizados. Para obter uma tabela comparando as operações que podem ser executadas em CMKs simétricas e assimétricas, consulte Comparar CMKs simétricas e assimétricas.

chaves mestras do cliente assimétricas

nota

CMKs assimétricas e pares de chaves de dados assimétricos têm suporte em todas as regiões da AWS em que há suporte ao AWS KMS, exceto China (Pequim) e China (Ningxia).

É possível criar uma CMK assimétrica no AWS KMS. Uma CMK assimétrica representa um par de chave pública e chave privada relacionadas matematicamente. É possível dar a chave privada para qualquer pessoa, mesmo se ela não for confiável, mas a chave privada deve ser mantida em segredo.

Em uma CMK assimétrica, a chave privada é criada no AWS KMS e nunca deixa o AWS KMS descriptografada. Para usar a chave privada, é necessário chamar o AWS KMS. É possível usar a chave pública no AWS KMS chamando as operações de API do AWS KMS. Ou é possível fazer download da chave pública e usá-la fora do AWS KMS.

Se o seu caso de uso exigir criptografia fora da AWS por usuários que não podem chamar o AWS KMS, as CMKs assimétricas são uma boa escolha. No entanto, se você estiver criando uma CMK para criptografar os dados armazenados ou gerenciados em um serviço da AWS, use uma CMK simétrica. Os serviços da AWS integrados ao AWS KMS usam CMKs simétricas para criptografar os dados. Esses serviços não oferecem suporte a CMKs assimétricas.

O AWS KMS é compatível com dois tipos de CMKs assimétricas.

  • RSA: CMKs: Um CMK com um par de chaves RSA para criptografia e descriptografia ou para assinatura e verificação (mas não ambos). O KMS oferece suporte a vários tamanhos de chave para diferentes requisitos de segurança.

  • curva elíptica (ECC) CMKs: Um CMK com um par de chaves de curva elíptica para assinatura e verificação. O KMS oferece suporte a várias curvas comumente usadas.

Para obter detalhes técnicos sobre os algoritmos de criptografia e de assinatura compatíveis com o AWS KMS para CMKs RSA, consulte Especificações de chave RSA. Para obter detalhes técnicos sobre os algoritmos de assinatura compatíveis com o AWS KMS para CMKs do ECC, consulte Especificações de chave de curva elíptica.

Para obter uma tabela comparando as operações que podem ser executadas em CMKs simétricas e assimétricas, consulte Comparar CMKs simétricas e assimétricas. Para obter ajuda para determinar se uma CMK é simétrica ou assimétrica, consulte Identificar simétricas e assimétricas CMKs.