Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS enfoque de la criptografía
*Los algoritmos criptográficos* son construcciones matemáticas diseñadas para proporcionar servicios de seguridad como la confidencialidad (cifrado), la autenticidad (códigos de autenticación de mensajes y firmas digitales) y el no repudio (firmas digitales). Si no conoce la criptografía, el cifrado y la terminología relacionada, le recomendamos que lea [Acerca del cifrado de datos](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-data-at-rest-encryption/about-data-encryption.html) antes de continuar con esta guía.
## AWS fundamentos criptográficos
La criptografía es una parte esencial de la seguridad para. AWS Servicios de AWS admiten el cifrado de datos en tránsito, en reposo o en memoria. Puede obtener más información sobre el AWS compromiso con la innovación y la inversión en controles adicionales para la soberanía y las funciones de cifrado en la entrada de nuestro blog en la que se anuncia el [compromiso con la soberanía AWS digital](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/).
AWS sigue el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) para proteger sus datos. Servicios de AWS utilice algoritmos criptográficos fiables que cumplan con los estándares del sector y fomenten la interoperabilidad. Estos algoritmos son examinados por organismos públicos de normalización y por investigaciones académicas. Los estándares asociados son ampliamente aceptados por los gobiernos, la industria y el mundo académico.
AWS utiliza de forma predeterminada implementaciones criptográficas de alta seguridad y prefiere soluciones optimizadas para hardware que sean eficientes. Nuestra biblioteca principal criptográfica, [AWS-LC](https://github.com/aws/aws-lc), está disponible como código abierto para garantizar la transparencia y la reutilización en todo el sector. Muchas implementaciones de algoritmos criptográficos en AWS-LC se verifican formalmente para garantizar la exactitud y la seguridad de la implementación en varias plataformas diferentes. La biblioteca también está validada en virtud de 40 programas. NIST's FIPS-1
## Algoritmos criptográficos
Definimos tres tipos de algoritmos criptográficos:
+ La *criptografía* *asimétrica* utiliza un par de claves: una clave pública para el cifrado (o verificación) y una clave privada para el descifrado (o firma). Puede compartir la clave pública porque no se utiliza para el descifrado, pero el acceso a la clave privada debe estar muy restringido. Servicios de AWS apoyan o planean soportar algoritmos poscuánticos, como ML-KEM y ML-DSA. Servicios de AWS también son compatibles con los algoritmos criptográficos tradicionales, como el RSA y la criptografía de curva elíptica (ECC).
+ La *criptografía* *simétrica* utiliza la misma clave para cifrar y descifrar, o para autenticar y verificar los datos. Servicios de AWS Por lo general, se integra con AWS Key Management Service (AWS KMS) para cifrar los datos en reposo, que utiliza un modo de AES-256.
+ *Otras funciones criptográficas* se utilizan junto con la criptografía asimétrica y simétrica para crear protocolos seguros y prácticos para aplicaciones de confidencialidad, integridad, autenticación y no repudio. Algunos ejemplos son las funciones hash y las funciones de derivación de claves.
## Algoritmos criptográficos recomendados en AWS
En las siguientes tablas se resumen los algoritmos criptográficos, los modos y los tamaños de clave que se AWS consideran adecuados para su implementación en todos sus servicios a fin de proteger sus datos. Esta guía evolucionará con el tiempo a medida que evolucionen los estándares criptográficos.
Los algoritmos disponibles en los servicios pueden variar y se explican en la documentación de cada servicio. Si necesita implementar una biblioteca de software para un algoritmo aprobado, compruebe si está incluido en la última versión de la [biblioteca AWS-LC](https://github.com/aws/aws-lc).
Los algoritmos están aprobados para su uso en AWS una de estas dos categorías:
+ Los algoritmos *preferidos* cumplen con los estándares AWS de seguridad y rendimiento.
+ Se pueden usar algoritmos *aceptables* para garantizar la compatibilidad en algunas aplicaciones, pero no se prefieren.
### Criptografía asimétrica
En la siguiente tabla se enumeran los algoritmos asimétricos que se consideran adecuados para su uso en AWS el cifrado, el acuerdo de claves y las firmas digitales.
|
|
| **Tipo** | **Algoritmo** | **Estado** |
| --- |--- |--- |
| Cifrado | RSA-OAEP (módulo ≥2048 bits) | Aceptable |
| Cifrado | HPKE (P-256 o P-384, HKDF y AES-GCM) | Aceptable |
| Acuerdo clave | ML-KEM-768 o ML-KEM-1024 | Preferido (resistente a la información cuántica) |
| Acuerdo clave | ECDH (E) con P-256, P-384, P-521 o X25519 | Aceptable |
| Acuerdo clave | ECDH(E) con Brainpool P256R1, Brainpool P384R1 o Brainpool P512R1 | Aceptable |
| Firmas | ML-DSA-65 o ML-DSA-87 | Preferido (resistente a la información cuántica) |
| Firmas | SLH-DSA | Aceptable (resistente a la cuántica) |
| Firmas | ECDSA con P-256, P-384, P-521 o Ed25519 | Aceptable |
| Firmas | RSA (módulo de ≥2048 bits) | Aceptable |
### Criptografía simétrica
En la siguiente tabla se enumeran los algoritmos simétricos que se consideran adecuados para su uso en el cifrado, el cifrado autenticado y AWS el empaquetado de claves.
|
|
| **Tipo** | **Algoritmo** | **Estado** |
| --- |--- |--- |
| Cifrado autenticado | AES-GCM-256 | Preferido |
| Cifrado autenticado | AES-GCM-128 | Aceptable |
| Cifrado autenticado | ChaCha20/Poly1305 | Aceptable |
| Modos de cifrado | AES-XTS-256 (para almacenamiento en bloques) | Preferido |
| Modos de cifrado | AES-CBC/ CTR (modos no autenticados) | Aceptable |
| Embalaje de claves | AES-GCM-256 | Preferido |
| Envoltorio de llaves | AES-KW o AES-KWP con claves de 256 bits | Aceptable |
### Otras funciones criptográficas
En la siguiente tabla se enumeran los algoritmos que se consideran adecuados para su uso en el AWS procesamiento mediante hash, la derivación de claves y la autenticación de mensajes.
|
|
| **Tipo** | **Algoritmo** | **Estado** |
| --- |--- |--- |
| Hashing | SHA-384 | Preferido |
| Hashing | SHA-256 | Aceptable |
| Hashing | SHA3 | Aceptable |
| Derivación de claves | HKDF\_Expand o HKDF con SHA-256 | Preferido |
| Derivación clave | Modo contador KDF con HMAC-SHA-256 | Aceptable |
| Código de autenticación de mensajes | HMAC-SHA-384 | Preferido |
| Código de autenticación de mensajes | HMAC-SHA-256 | Aceptable |
| Código de autenticación de mensajes | KMAC | Aceptable |
| Código hash de contraseñas | Cifrar con SHA384 | Preferido |
| Procesamiento de contraseñas | PBKDF2 | Aceptable |
## Criptografía utilizada en Servicios de AWS
Servicios de AWS confíe en implementaciones seguras y de código abierto de algoritmos verificados para proteger sus datos. Las opciones y configuraciones específicas de los algoritmos variarán según el servicio. Algunas AWS herramientas y servicios utilizan un algoritmo específico. En otros, puede elegir entre algoritmos y longitudes de clave compatibles, o puede utilizar los valores predeterminados recomendados.
AWS Los servicios criptográficos cumplen con una amplia gama de estándares de seguridad criptográfica, por lo que puede cumplir con las normativas gubernamentales o industriales. Para obtener una lista completa de los estándares de seguridad de datos que Servicios de AWS cumplen, consulte los programas de [AWS cumplimiento](https://aws.amazon.com/compliance/programs/).