Sobre chaves do KMS simétricas e assimétricas - AWS Key Management Service

Sobre chaves do KMS simétricas e assimétricas

No AWS KMS, é possível criar chaves do KMS simétricas e assimétricas.

simétricas AWS KMS keys

Quando uma AWS KMS key é criada no KMS, por padrão, você recebe uma chave do KMS simétrica.

No AWS KMS, uma chave do KMS simétrica representa uma chave de criptografia de 256 bits que nunca deixa o AWS KMS descriptografada. Para usar uma chave do KMS simétrica, você deve chamar o AWS KMS. As chaves simétricas são usadas na criptografia simétrica, em que a mesma chave é usada para criptografia e descriptografia.

A menos que a tarefa exija explicitamente criptografia assimétrica, as chaves do KMS simétricas, que nunca deixam o AWS KMS descriptografadas, são uma boa escolha. Para obter informações sobre a configuração criptográfica ou a especificação da chave de chaves do KMS simétricas, consulte Especificação de chave SYMMETRIC_DEFAULT. Para obter ajuda para criar uma chave do KMS simétrica, consulte Criar uma chave do KMS simétrica.

Os serviços da AWS integrados ao AWS KMS usam chaves do KMS simétricas para criptografar seus dados. Esses serviços não fornecem suporte para criptografia com chaves do KMS assimétricas. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte Identificar chaves do KMS simétricas e assimétricas.

É possível usar uma chave do KMS simétrica no AWS KMS para criptografar, descriptografar e recriptografar dados, gerar chaves de dados e pares de chaves de dados, além de gerar strings de bytes aleatórios. Você pode importar seu próprio material de chave em uma chave do KMS simétrica e criar chaves do KMS simétricas em armazenamentos de chaves personalizados. Para acessar uma tabela comparando as operações que podem ser executadas em chaves do KMS simétricas e assimétricas, consulte Comparar chaves do KMS simétricas e assimétricas.

assimétricas AWS KMS keys

É possível criar uma chave do KMS assimétrica no AWS KMS. Uma chave do KMS assimétrica representa um par de chave pública e chave privada matematicamente relacionadas. É possível dar a chave privada para qualquer pessoa, mesmo se ela não for confiável, mas a chave privada deve ser mantida em segredo.

Em uma chave do KMS assimétrica, a chave privada é criada no AWS KMS e nunca deixa o AWS KMS descriptografada. Para usar a chave privada, é necessário chamar o AWS KMS. É possível usar a chave pública no AWS KMS chamando as operações de API do AWS KMS. Ou é possível fazer download da chave pública e usá-la fora do AWS KMS.

Se o seu caso de uso exige criptografia fora do AWS por usuários que não podem chamar o AWS KMS, as chaves do KMS assimétricas são uma boa escolha. Porém, se estiver criando uma chave do KMS para criptografar os dados armazenados ou gerenciados em um serviço da AWS, use uma chave do KMS simétrica. Os serviços da AWS integrados ao AWS KMS usam chaves do KMS simétricas para criptografar seus dados. Esses serviços não fornecem suporte para criptografia com chaves do KMS assimétricas.

O AWS KMS é compatível com dois tipos de chaves do KMS assimétricas.

  • Chaves do KMS RSA: uma chave do KMS com um par de chaves RSA para criptografia de descriptografia ou assinatura e verificação (mas não ambos). O AWS KMS oferece suporte a vários comprimentos de chave para requisitos de segurança diversificados.

  • Chaves do KMS de curva elíptica (ECC): uma chave do KMS com um par de chaves de curva elíptica para assinatura e verificação. O AWS KMS oferece suporte a várias curvas comumente utilizadas.

Para obter detalhes técnicos sobre algoritmos de criptografia e de assinatura compatíveis com o AWS KMS para chaves do KMS RSA, consulte Especificações de chaves RSA. Para obter detalhes técnicos sobre os algoritmos de assinatura compatíveis com o AWS KMS para chaves do KMS de ECC, consulte Especificações de chaves de curva elíptica.

Para acessar uma tabela comparando as operações que podem ser executadas em chaves do KMS simétricas e assimétricas, consulte Comparar chaves do KMS simétricas e assimétricas. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte Identificar chaves do KMS simétricas e assimétricas.

Regiões

Chaves do KMS assimétricas e pares de chaves de dados assimétricos têm suporte em todas as Regiões da AWS para as quais o AWS KMS oferece suporte.