Chaves assimétricas no AWS KMS

O AWS KMS é compatível com chaves do KMS assimétricas que representam um par de chaves pública e privada RSA ou de curva elíptica (ECC) matematicamente relacionadas. Esses pares de chaves são gerados em módulos de segurança de hardware do AWS KMS certificados sob o Programa de validação de módulos criptográficos FIPS 140-2, exceto nas regiões China (Pequim) e China (Ningxia). A chave privada nunca deixa os HSMs descriptografadas. Você pode baixa a chave pública para distribuição e usá-la fora do AWS. É possível usar chaves do KMS assimétricas para criptografia e descriptografia ou para assinatura e verificação, mas não para ambos.

É possível criar e gerenciar as chaves do KMS assimétricas na sua Conta da AWS, incluindo configurar políticas de chaves, políticas do IAM e concessões que controlam o acesso às chaves do KMS, além de habilitar e desabilitar as chaves do KMS, criar tags e aliases e excluir chaves do KMS. E você pode auditar todas as operações que usam ou gerenciam chaves do KMS na AWS em logs do AWS CloudTrail.

O AWS KMS também fornece pares de chaves de dados assimétricas que foram desenvolvidos para serem usados para criptografia no lado do cliente fora do AWS KMS. A chave de dados simétrica e a chave privada em um par de chaves de dados assimétricas são protegidas por uma chave do KMS de criptografia simétrica no AWS KMS.

Este tópico explica como as chaves do KMS assimétricas funcionam, suas diferenças em relação a outras chaves do KMS e como decidir o tipo de chave do KMS de que você precisa para proteger seus dados. Ele também explica como pares de chaves de dados assimétricas funcionam e como usá-los fora do AWS KMS.

Regiões

Chaves do KMS assimétricas e pares de chaves de dados assimétricos têm suporte em todas as Regiões da AWS para as quais o AWS KMS oferece suporte.

Saiba mais

• Para criar chaves do KMS assimétricas, consulte Criar chaves do KMS assimétricas. Para criar chaves do KMS de criptografia simétrica, consulte Criar chaves.

• Para criar chaves do KMS assimétricas de várias regiões, consulte Criar chaves de várias regiões.

• Para descobrir se uma chave do KMS é simétrica ou assimétrica, consulte Identificar chaves do KMS assimétricas.

• Para acessar uma tabela que compara as operações de API do AWS KMS que se aplicam a cada tipo de chave do KMS, consulte Referência de tipos de chaves.

• Para controlar o acesso às especificações da chave, o uso da chave, os algoritmos de criptografia e os algoritmos de assinatura que as entidades principais na sua conta podem usar para chaves do KMS, consulte Chaves de condição do AWS KMS.

• Para saber mais sobre as cotas de solicitação que se aplicam aos diferentes tipos de chaves do KMS, consulte Cotas de solicitações.

• Para saber como assinar mensagens e verificar assinaturas com chaves do KMS assimétricas, consulte Assinatura digital com o novo recurso de chaves assimétricas do AWS KMS no Blog de segurança da AWS.

Tópicos

• Chaves do KMS assimétricas
• Criar chaves do KMS assimétricas
• Fazer download de chaves públicas
• Identificar chaves do KMS assimétricas
• Especificações de chave assimétrica

Chaves do KMS assimétricas

É possível criar uma chave do KMS assimétrica no AWS KMS. Uma chave do KMS assimétrica representa um par de chave pública e chave privada matematicamente relacionadas. É possível dar a chave privada para qualquer pessoa, mesmo se ela não for confiável, mas a chave privada deve ser mantida em segredo.

Em uma chave do KMS assimétrica, a chave privada é criada no AWS KMS e nunca deixa o AWS KMS descriptografada. Para usar a chave privada, é necessário chamar o AWS KMS. É possível usar a chave pública no AWS KMS chamando as operações de API do AWS KMS. Ou é possível fazer download da chave pública e usá-la fora do AWS KMS.

Se o seu caso de uso exige criptografia fora do AWS por usuários que não podem chamar o AWS KMS, as chaves do KMS assimétricas são uma boa escolha. No entanto, se estiver criando uma chave do KMS para criptografar os dados armazenados ou gerenciados em um serviço da AWS, use uma chave do KMS de criptografia simétrica. Os serviços da AWS que são integrados ao AWS KMS usam chaves do KMS de criptografia simétrica para criptografar seus dados. Esses serviços não fornecem suporte para criptografia com chaves do KMS assimétricas.

O AWS KMS é compatível com dois tipos de chaves do KMS assimétricas.

• Chaves do KMS RSA: uma chave do KMS com um par de chaves RSA para criptografia de descriptografia ou assinatura e verificação (mas não ambos). O AWS KMS oferece suporte a vários comprimentos de chave para requisitos de segurança diversificados.

• Chaves do KMS de curva elíptica (ECC): uma chave do KMS com um par de chaves de curva elíptica para assinatura e verificação. O AWS KMS oferece suporte a várias curvas comumente utilizadas.

Para obter ajuda na escolha da sua configuração de chave assimétrica, consulte Escolha de um tipo de chave do KMS. Para obter detalhes técnicos sobre algoritmos de criptografia e de assinatura compatíveis com o AWS KMS para chaves do KMS RSA, consulte Especificações de chaves RSA. Para obter detalhes técnicos sobre os algoritmos de assinatura compatíveis com o AWS KMS para chaves do KMS de ECC, consulte Especificações de chaves de curva elíptica.

Para acessar uma tabela comparando as operações que podem ser executadas em chaves do KMS simétricas e assimétricas, consulte Comparar chaves do KMS simétricas e assimétricas. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte Identificar chaves do KMS assimétricas.

Regiões

Chaves do KMS assimétricas e pares de chaves de dados assimétricos têm suporte em todas as Regiões da AWS para as quais o AWS KMS oferece suporte.