Publicado: Apr 20, 2022
O AWS Key Management Service (AWS KMS) permite criar chaves KMS que podem ser utilizadas para gerar e verificar o código de autenticação de mensagem por hash (HMAC). Os HMACs são poderosos blocos de construção criptográfica que incorpora material de chave secreto dentro de uma função hash para criar um único código de autenticação de mensagem chaveada. As chaves HMAC KMS só podem ser geradas e utilizadas dentro dos limites de segurança FIPS 140-2 validados pelo HSM no AWS KMS. Essa arquitetura pode minimizar o risco de comprometer as chaves secretas, em contraste com o uso de chaves de texto plano HMAC no local do software de aplicação.
Os HMACs podem oferecer uma maneira rápida de incorporar token ou sinal aos dados como nas requisições Web API, em números de cartão de crédito, informações de roteamento bancário ou informações de identificação pessoal (PII). A partir do momento em que os HMACs utilizam criptografia simétrica, eles possuem uma performance tipicamente mais elevada em relação à sinalização de algoritmos utilizada em criptografia assimétrica, como RSA ou ECC. Os HMACs são comumente utilizados em diversos padrões e protocolos de comunicação de Internet como o JSON Web Tokens (JWT). As chaves KMS e os algoritmos HMAC no AWS KMS estão em conformidade com os padrões do setor, assim como define a RFC 2104. Assim como qualquer outro tipo de chave KMS, é possível controlar quem está autorizado a executar as funções HMAC e sob quais condições por meio da definição da chave KMS e/ou políticas do IAM.
As KMS HMAC APIs estão disponíveis atualmente nas regiões selecionadas. Consulte o guia do desenvolvedor do KMS para obter mais informações sobre o suporte na região e uma visão geral do novo recurso HMAC.
27 de abril de 2022: uma versão anterior desta publicação citava incorretamente o padrão “Java” Web Token. Corrigimos essa referência para o padrão JSON Web Token (JWT).