Verwaltung von SSH- und PGP-Schlüsseln in Transfer Family - AWS Transfer Family
Überblick über den AlgorithmusSSH-AuthentifizierungPGP-Algorithmen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von SSH- und PGP-Schlüsseln in Transfer Family

In diesem Abschnitt finden Sie Informationen zu SSH-Schlüsseln, einschließlich deren Generierung und Rotation. Einzelheiten zur Verwendung von Transfer Family with AWS Lambda zur Schlüsselverwaltung finden Sie im Blogbeitrag Aktivieren der Self-Service-Schlüsselverwaltung für Benutzer mit A AWS Transfer Family und AWS Lambda.

Anmerkung

AWS Transfer Family akzeptiert RSA, ECDSA und ED25519 Schlüssel für die SSH-Authentifizierung.

In diesem Abschnitt wird auch beschrieben, wie Sie Pretty Good Privacy (PGP) -Schlüssel generieren und verwalten.

Einen umfassenden Überblick über alle unterstützten Verschlüsselungs- und Schlüsselalgorithmen, einschließlich Empfehlungen für verschiedene Anwendungsfälle, finden Sie unterÜberblick über Verschlüsselung und Schlüsselalgorithmen.

Überblick über Verschlüsselung und Schlüsselalgorithmen

AWS Transfer Family unterstützt verschiedene Arten von Algorithmen für unterschiedliche Zwecke. Wenn Sie wissen, welche Algorithmen für Ihren speziellen Anwendungsfall verwendet werden sollten, können Sie sichere und kompatible Dateiübertragungen gewährleisten.

Kurzreferenz zum Algorithmus
Anwendungsfall Empfohlener Algorithmus FIPS-konform Hinweise
SSH/SFTP-Authentifizierung RSA (rsa-sha2-256/512), ECDSA oder ED25519 RSA: Ja, ECSA: Ja,: Nein ED25519 Kompatibel mit allen SSH-Clients und -Servern
Generierung von PGP-Schlüsseln RSA oder ECC (NIST) Ja Für die Workflow-Entschlüsselung
PGP-Dateiverschlüsselung AES-256 Ja Ermittelt durch die PGP-Software

SSH-Authentifizierungsalgorithmen

Diese Algorithmen werden für die SSH/SFTP Authentifizierung zwischen Clients und AWS Transfer Family Servern verwendet. Wählen Sie eines davon aus, wenn Sie SSH-Schlüsselpaare für die Benutzerauthentifizierung oder Server-Hostschlüssel generieren.

RSA (empfohlen)

Kompatibel mit allen SSH-Clients und -Servern und FIPS-konform. Für mehr Sicherheit zusammen mit SHA-2-Hashing verwenden:

  • rsa-sha2-256- Für die meisten Anwendungsfälle empfohlen

  • rsa-sha2-512- Höhere Sicherheitsoption

ED25519

Modern und effizient. Kleinere Schlüsselgrößen mit hoher Sicherheit:

  • ssh-ed25519- Schnell und sicher, aber nicht FIPS-konform

ECDSA

Option mit elliptischer Kurve. Gute Balance zwischen Sicherheit und Leistung:

  • ecdsa-sha2-nistp256- Standardkurve

  • ecdsa-sha2-nistp384- Höhere Sicherheitskurve

  • ecdsa-sha2-nistp521- Höchste Sicherheitskurve

Anmerkung

Wir unterstützen ssh-rsa SHA1 für ältere Sicherheitsrichtlinien. Details hierzu finden Sie unter Kryptografische Algorithmen.

Den richtigen SSH-Algorithmus auswählen

  • Für die meisten Benutzer: Verwenden Sie RSA mit oder rsa-sha2-256 rsa-sha2-512

  • Für FIPS-Konformität: Verwenden Sie RSA- oder ECDSA-Algorithmen

  • Für moderne Umgebungen: ED25519 bietet hervorragende Sicherheit und Leistung

PGP-Verschlüsselungs- und Entschlüsselungsalgorithmen

PGP (Pretty Good Privacy) verwendet zwei Arten von Algorithmen, die zusammenarbeiten, um Dateien in Workflows zu verschlüsseln und zu entschlüsseln:

  1. Schlüsselpaar-Algorithmen — Werden verwendet, um die public/private Schlüsselpaare für Verschlüsselung und digitale Signaturen zu generieren

  2. Symmetrische Algorithmen — Wird verwendet, um die eigentlichen Dateidaten zu verschlüsseln (die Schlüsselpaar-Algorithmen verschlüsseln den symmetrischen Schlüssel)

PGP-Schlüsselpaar-Algorithmen

Wählen Sie einen der folgenden Algorithmen, wenn Sie PGP-Schlüsselpaare für die Workflow-Entschlüsselung generieren:

RSA (empfohlen)

Für die meisten Benutzer empfohlen. Weitgehend unterstützt, gut etabliert und FIPS-konform. Bietet ein ausgewogenes Verhältnis zwischen Sicherheit und Kompatibilität.

ECC (Elliptische Kurven-Kryptografie)

Effizienter als RSA mit kleineren Schlüsselgrößen bei gleichzeitig hoher Sicherheit:

  • NIST-Kurven — Standardkurven werden weithin unterstützt und sind FIPS-konform

  • BrainPool Kurven — Alternative Kurven für spezifische Konformitätsanforderungen

ElGamal

Legacy-Algorithmus. Wird aus Gründen der Kompatibilität mit älteren Systemen unterstützt. Verwenden Sie RSA oder ECC für neue Implementierungen.

Wichtig

Curve25519-Schlüssel werden nicht unterstützt.

Ausführliche Anweisungen zum Generieren von PGP-Schlüsseln finden Sie unter. Generieren Sie PGP-Schlüssel

Symmetrische PGP-Verschlüsselungsalgorithmen

Diese Algorithmen verschlüsseln Ihre eigentlichen Dateidaten. Der verwendete Algorithmus hängt davon ab, wie die PGP-Datei von Ihrer PGP-Software erstellt wurde:

FIPS-konforme Algorithmen (empfohlen für regulierte Umgebungen)

  • AES-128, AES-192, AES-256 — Erweiterter Verschlüsselungsstandard (empfohlen)

  • 3DES — Triple Data Encryption Standard (veraltet, verwenden Sie AES, wenn möglich)

Andere unterstützte Algorithmen

  • IDEA, Blowfish CAST5, DES, KAMELIE-128, TwoFish KAMELIE-192, KAMELIE-256

Anmerkung

Sie wählen den symmetrischen Algorithmus nicht direkt, wenn Sie AWS Transfer Family Workflows verwenden — er wird durch die PGP-Software bestimmt, die zur Erstellung der verschlüsselten Datei verwendet wird. Sie können Ihre PGP-Software jedoch so konfigurieren, dass sie FIPS-konforme Algorithmen wie AES-256 bevorzugt.

Weitere Informationen zu unterstützten symmetrischen Algorithmen finden Sie unter. Unterstützte symmetrische Verschlüsselungsalgorithmen