Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwaltung von SSH- und PGP-Schlüsseln in Transfer Family
In diesem Abschnitt finden Sie Informationen zu SSH-Schlüsseln, einschließlich deren Generierung und Rotation. Einzelheiten zur Verwendung von Transfer Family with AWS Lambda zur Schlüsselverwaltung finden Sie im Blogbeitrag Aktivieren der Self-Service-Schlüsselverwaltung für Benutzer mit A AWS Transfer Family und AWS Lambda
Anmerkung
AWS Transfer Family akzeptiert RSA, ECDSA und ED25519 Schlüssel für die SSH-Authentifizierung.
In diesem Abschnitt wird auch beschrieben, wie Sie Pretty Good Privacy (PGP) -Schlüssel generieren und verwalten.
Einen umfassenden Überblick über alle unterstützten Verschlüsselungs- und Schlüsselalgorithmen, einschließlich Empfehlungen für verschiedene Anwendungsfälle, finden Sie unterÜberblick über Verschlüsselung und Schlüsselalgorithmen.
Überblick über Verschlüsselung und Schlüsselalgorithmen
AWS Transfer Family unterstützt verschiedene Arten von Algorithmen für unterschiedliche Zwecke. Wenn Sie wissen, welche Algorithmen für Ihren speziellen Anwendungsfall verwendet werden sollten, können Sie sichere und kompatible Dateiübertragungen gewährleisten.
Anwendungsfall | Empfohlener Algorithmus | FIPS-konform | Hinweise |
---|---|---|---|
SSH/SFTP-Authentifizierung | RSA (rsa-sha2-256/512), ECDSA oder ED25519 | RSA: Ja, ECSA: Ja,: Nein ED25519 | Kompatibel mit allen SSH-Clients und -Servern |
Generierung von PGP-Schlüsseln | RSA oder ECC (NIST) | Ja | Für die Workflow-Entschlüsselung |
PGP-Dateiverschlüsselung | AES-256 | Ja | Ermittelt durch die PGP-Software |
SSH-Authentifizierungsalgorithmen
Diese Algorithmen werden für die SSH/SFTP Authentifizierung zwischen Clients und AWS Transfer Family Servern verwendet. Wählen Sie eines davon aus, wenn Sie SSH-Schlüsselpaare für die Benutzerauthentifizierung oder Server-Hostschlüssel generieren.
- RSA (empfohlen)
-
Kompatibel mit allen SSH-Clients und -Servern und FIPS-konform. Für mehr Sicherheit zusammen mit SHA-2-Hashing verwenden:
-
rsa-sha2-256
- Für die meisten Anwendungsfälle empfohlen -
rsa-sha2-512
- Höhere Sicherheitsoption
-
- ED25519
-
Modern und effizient. Kleinere Schlüsselgrößen mit hoher Sicherheit:
-
ssh-ed25519
- Schnell und sicher, aber nicht FIPS-konform
-
- ECDSA
-
Option mit elliptischer Kurve. Gute Balance zwischen Sicherheit und Leistung:
-
ecdsa-sha2-nistp256
- Standardkurve -
ecdsa-sha2-nistp384
- Höhere Sicherheitskurve -
ecdsa-sha2-nistp521
- Höchste Sicherheitskurve
-
Anmerkung
Wir unterstützen ssh-rsa
SHA1 für ältere Sicherheitsrichtlinien. Details hierzu finden Sie unter Kryptografische Algorithmen.
Den richtigen SSH-Algorithmus auswählen
-
Für die meisten Benutzer: Verwenden Sie RSA mit oder
rsa-sha2-256
rsa-sha2-512
-
Für FIPS-Konformität: Verwenden Sie RSA- oder ECDSA-Algorithmen
-
Für moderne Umgebungen: ED25519 bietet hervorragende Sicherheit und Leistung
PGP-Verschlüsselungs- und Entschlüsselungsalgorithmen
PGP (Pretty Good Privacy) verwendet zwei Arten von Algorithmen, die zusammenarbeiten, um Dateien in Workflows zu verschlüsseln und zu entschlüsseln:
-
Schlüsselpaar-Algorithmen — Werden verwendet, um die public/private Schlüsselpaare für Verschlüsselung und digitale Signaturen zu generieren
-
Symmetrische Algorithmen — Wird verwendet, um die eigentlichen Dateidaten zu verschlüsseln (die Schlüsselpaar-Algorithmen verschlüsseln den symmetrischen Schlüssel)
PGP-Schlüsselpaar-Algorithmen
Wählen Sie einen der folgenden Algorithmen, wenn Sie PGP-Schlüsselpaare für die Workflow-Entschlüsselung generieren:
- RSA (empfohlen)
-
Für die meisten Benutzer empfohlen. Weitgehend unterstützt, gut etabliert und FIPS-konform. Bietet ein ausgewogenes Verhältnis zwischen Sicherheit und Kompatibilität.
- ECC (Elliptische Kurven-Kryptografie)
-
Effizienter als RSA mit kleineren Schlüsselgrößen bei gleichzeitig hoher Sicherheit:
-
NIST-Kurven — Standardkurven werden weithin unterstützt und sind FIPS-konform
-
BrainPool Kurven — Alternative Kurven für spezifische Konformitätsanforderungen
-
- ElGamal
-
Legacy-Algorithmus. Wird aus Gründen der Kompatibilität mit älteren Systemen unterstützt. Verwenden Sie RSA oder ECC für neue Implementierungen.
Wichtig
Curve25519-Schlüssel werden nicht unterstützt.
Ausführliche Anweisungen zum Generieren von PGP-Schlüsseln finden Sie unter. Generieren Sie PGP-Schlüssel
Symmetrische PGP-Verschlüsselungsalgorithmen
Diese Algorithmen verschlüsseln Ihre eigentlichen Dateidaten. Der verwendete Algorithmus hängt davon ab, wie die PGP-Datei von Ihrer PGP-Software erstellt wurde:
FIPS-konforme Algorithmen (empfohlen für regulierte Umgebungen)
-
AES-128, AES-192, AES-256 — Erweiterter Verschlüsselungsstandard (empfohlen)
-
3DES — Triple Data Encryption Standard (veraltet, verwenden Sie AES, wenn möglich)
Andere unterstützte Algorithmen
-
IDEA, Blowfish CAST5, DES, KAMELIE-128, TwoFish KAMELIE-192, KAMELIE-256
Anmerkung
Sie wählen den symmetrischen Algorithmus nicht direkt, wenn Sie AWS Transfer Family Workflows verwenden — er wird durch die PGP-Software bestimmt, die zur Erstellung der verschlüsselten Datei verwendet wird. Sie können Ihre PGP-Software jedoch so konfigurieren, dass sie FIPS-konforme Algorithmen wie AES-256 bevorzugt.
Weitere Informationen zu unterstützten symmetrischen Algorithmen finden Sie unter. Unterstützte symmetrische Verschlüsselungsalgorithmen