Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kryptographiealgorithmen und AWS-Services
Ein Verschlüsselungsalgorithmus ist eine Formel oder ein Verfahren, das eine Klartext-Nachricht in einen verschlüsselten Geheimtext umwandelt. Wenn Sie mit Verschlüsselung oder ihrer Terminologie noch nicht vertraut sind, empfehlen wir Ihnen, den Artikel Über Datenverschlüsselung zu lesen, bevor Sie mit diesem Handbuch fortfahren.
AWS Kryptografiedienste
AWS Kryptografiedienste basieren auf sicheren Open-Source-Verschlüsselungsalgorithmen. Diese Algorithmen werden von öffentlichen Normungsgremien und von der akademischen Forschung überprüft. Einige AWS -Tools und -Services erzwingen die Verwendung eines bestimmten Algorithmus. Bei anderen Services können Sie zwischen mehreren verfügbaren Algorithmen und Schlüssellängen wählen oder die empfohlenen Standardwerte verwenden.
In diesem Abschnitt werden einige der Algorithmen beschrieben, die von AWS Tools und Diensten unterstützt werden. Sie lassen sich je nach der Funktionsweise ihrer Schlüssel in zwei Kategorien einteilen: symmetrisch und asymmetrisch:
-
Bei der symmetrischen Verschlüsselung werden die Daten mit demselben Schlüssel verschlüsselt und entschlüsselt. AWS-Services unterstützt Advanced Encryption Standard (AES) und Triple Data Encryption Standard (3DES oder TDES), zwei weit verbreitete symmetrische Algorithmen.
-
Asymmetrische Verschlüsselung verwendet ein Schlüsselpaar, einen öffentlichen Schlüssel zur Verschlüsselung und einen privaten Schlüssel zur Entschlüsselung. Sie können den öffentlichen Schlüssel teilen, da er nicht für die Entschlüsselung verwendet wird. Der Zugriff auf den privaten Schlüssel sollte jedoch stark eingeschränkt sein. AWS-Services unterstützt in der Regel RSA- und asymmetrische Algorithmen für Elliptic-Curve-Kryptografie (ECC).
AWS Kryptografiedienste entsprechen einer Vielzahl von kryptografischen Sicherheitsstandards, sodass Sie behördliche oder berufsrechtliche Vorschriften einhalten können. Eine vollständige Liste der Datensicherheitsstandards, die diesen Anforderungen AWS-Services entsprechen, finden Sie unter AWS Compliance-Programme
Über kryptografische Algorithmen
Kryptografie ist ein wesentlicher Bestandteil der Sicherheit für. AWS AWS-Services unterstützt die Verschlüsselung von Daten während der Übertragung, im Ruhezustand oder im Speicher. Viele unterstützen auch die Verschlüsselung mit vom Kunden verwalteten Schlüsseln, auf die kein Zugriff AWS möglich ist. Weitere Informationen zum AWS
Engagement für Innovation und Investitionen in zusätzliche Kontrollen für Souveränität und Verschlüsselungsfunktionen finden Sie im AWS Blogbeitrag zur AWS digitalen Souveränität
AWS ist bestrebt, die sichersten verfügbaren kryptografischen Algorithmen zu verwenden, um Ihre Sicherheits- und Leistungsanforderungen zu erfüllen. AWS verwendet standardmäßig Algorithmen und Implementierungen mit hoher Sicherheit und bevorzugt hardwareoptimierte Lösungen, die schneller sind, die Sicherheit verbessern und energieeffizienter sind. In der AWS Crypto Library
AWS-Services verwenden vertrauenswürdige kryptografische Algorithmen, die Industriestandards erfüllen und die Interoperabilität fördern. Diese Standards werden von Regierungen, Industrie und Wissenschaft weithin akzeptiert. Es bedarf umfangreicher Analysen durch die globale Gemeinschaft, bis ein Algorithmus allgemein akzeptiert wird. Es dauert auch einige Zeit, bis er in der Branche allgemein verfügbar ist. Mangelnde Analysen und Verfügbarkeit stellen die Interoperabilität und Komplexität vor Herausforderungen und führen zu Risiken für Implementierungen. AWS setzt weiterhin neue kryptografische Optionen ein, um die hohen Anforderungen an Sicherheit und Leistung zu erfüllen.
AWS verfolgt kryptografische Entwicklungen, Sicherheitsprobleme und Forschungsergebnisse genau. Sobald veraltete Algorithmen und Sicherheitsprobleme entdeckt werden, werden sie behoben. Weitere Informationen finden Sie im AWS Sicherheitsblog
Kryptografische Algorithmen
In den folgenden Tabellen sind die kryptografischen Algorithmen, Chiffren, Modi und Schlüsselgrößen zusammengefasst, die in allen Diensten zum Schutz AWS Ihrer Daten eingesetzt werden. Sie sollten nicht als vollständige Liste aller verfügbaren Kryptografieoptionen in betrachtet werden. AWS Die Algorithmen lassen sich in zwei Kategorien einteilen:
-
Bevorzugte Algorithmen erfüllen die AWS Sicherheits- und Leistungsstandards.
-
Zulässige Algorithmen können aus Kompatibilitätsgründen in einigen Anwendungen verwendet werden, werden aber nicht bevorzugt.
Asymmetrische Kryptografie
In der folgenden Tabelle sind die unterstützten asymmetrischen Algorithmen für Verschlüsselung, Schlüsselvereinbarung und digitale Signaturen aufgeführt.
| Typ | Algorithmus | Status |
|---|---|---|
| Verschlüsselung | RSA-OAEP (2048- oder 3072-Bit-Modul) | Akzeptabel |
| Verschlüsselung | HPKE (P-256 oder P-384, HKDF und AES-GCM) | Akzeptabel |
| Wichtiges Abkommen | ML-KEM-768 oder ML-KEM-1024 | Bevorzugt (quantenresistent) |
| Wichtiges Abkommen | ECDH (E) mit P-384 | Akzeptabel |
| Wichtige Vereinbarung | ECDH (E) mit P-256, P-521 oder X25519 | Akzeptabel |
| Wichtiges Abkommen | ECDH (E) mit Brainpool P256R1, Brainpool P384R1 oder Brainpool P512R1 | Akzeptabel |
| Signatures (Signaturen) | ML-DSA-65 oder ML-DSA-87 | Bevorzugt (quantenresistent) |
| Signatures (Signaturen) | SLH-DSA | Bevorzugtes (quantenresistentes Signieren) software/firmware |
| Signatures (Signaturen) | ECDSA mit P-384 | Akzeptabel |
| Signatures (Signaturen) | ECDSA mit P-256, P-521 oder Ed25519 | Akzeptabel |
| Signatures (Signaturen) | RSA-2048 oder RSA-3072 | Akzeptabel |
Symmetrische Kryptografie
In der folgenden Tabelle sind die unterstützten symmetrischen Algorithmen für Verschlüsselung, authentifizierte Verschlüsselung und Schlüsselumhüllung aufgeführt.
| Typ | Algorithmus | Status |
|---|---|---|
| Authentifizierte Verschlüsselung | AES-GCM-256 | Bevorzugt |
| Authentifizierte Verschlüsselung | AES-GCM-128 | Akzeptabel |
| Authentifizierte Verschlüsselung | ChaCha20/Poly1305 | Akzeptabel |
| Verschlüsselungsmodi | AES-XTS-256 (für Blockspeicher) | Bevorzugt |
| Verschlüsselungsmodi | AES-CBC/CTR (nicht authentifizierte Modi) | Akzeptabel |
| Verpackung der Schlüssel | AES-GCM-256 | Bevorzugt |
| Verpackung der Schlüssel | AES-KW oder AES-KWP mit 256-Bit-Schlüsseln | Akzeptabel |
Kryptografische Funktionen
In der folgenden Tabelle sind die unterstützten Algorithmen für Hashing, Schlüsselableitung, Nachrichtenauthentifizierung und Passwort-Hashing aufgeführt.
| Typ | Algorithmus | Status |
|---|---|---|
| Hashing | SHA2-384 | Bevorzugt |
| Hashing | SHA2-256 | Akzeptabel |
| Hashing | SHA3 | Akzeptabel |
| Wichtige Ableitung | HKDF_Expand oder HKDF mit -256 SHA2 | Bevorzugt |
| Ableitung von Schlüsseln | Zählermodus KDF mit HMAC- -256 SHA2 | Akzeptabel |
| Authentifizierungscode für Nachrichten | HMAC- -384 SHA2 | Bevorzugt |
| Authentifizierungscode für Nachrichten | HMAC-256 SHA2 | Akzeptabel |
| Authentifizierungscode für Nachrichten | KMAC | Akzeptabel |
| Passwort-Hashing | verschlüsseln mit SHA384 | Bevorzugt |
| Passwort-Hashing | PBKDF2 | Akzeptabel |
