Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsrichtlinien für AWS Transfer Family Server
AWS Transfer Family Mithilfe der Serversicherheitsrichtlinien können Sie die Anzahl der mit Ihrem Server verknüpften kryptografischen Algorithmen (Message Authentication Codes (MACs), Key Exchanges (KEXs) und Cipher Suites) einschränken. Eine Liste der unterstützten kryptografischen Algorithmen finden Sie unter. Kryptografische Algorithmen Eine Liste der unterstützten Schlüsselalgorithmen für die Verwendung mit Serverhostschlüsseln und vom Dienst verwalteten Benutzerschlüsseln finden Sie unter. Unterstützte Algorithmen für Benutzer- und Serverschlüssel
Anmerkung
Wir empfehlen dringend, Ihre Server auf unsere neuesten Sicherheitsrichtlinien zu aktualisieren. Unsere neueste Sicherheitsrichtlinie ist die Standardeinstellung. Jedem Kunden, der einen Transfer Family Family-Server unter Verwendung der Standard-Sicherheitsrichtlinie erstellt CloudFormation und diese akzeptiert, wird automatisch die neueste Richtlinie zugewiesen. Wenn Sie Bedenken hinsichtlich der Client-Kompatibilität haben, geben Sie bitte ausdrücklich an, welche Sicherheitsrichtlinie Sie bei der Erstellung oder Aktualisierung eines Servers verwenden möchten, anstatt die Standardrichtlinie zu verwenden, die sich ändern kann.
Informationen zum Ändern der Sicherheitsrichtlinie für einen Server finden Sie unter. Bearbeiten Sie die Sicherheitsrichtlinie
Weitere Informationen zur Sicherheit in Transfer Family finden Sie im Blogbeitrag Wie Transfer Family Ihnen helfen kann, eine sichere, konforme verwaltete Dateiübertragungslösung zu entwickeln
Themen
- Kryptografische Algorithmen
- TransferSecurityPolicy-2024-01
- TransferSecurityPolicy-2023-05
- TransferSecurityPolicy-2022—03
- TransferSecurityPolicy-2020-06 und -Eingeschränkt-2020-06 TransferSecurityPolicy
- TransferSecurityPolicy-2018-11 TransferSecurityPolicy und -Restricted-2018-11
- TransferSecurityPolicyTransferSecurityPolicy-FIPS-2024-01/ -FIPS-2024-05
- TransferSecurityPolicy-FIPS-2023-05
- TransferSecurityPolicy-FIPS-2020-06
- Sicherheitsrichtlinien nach Quantum
Anmerkung
TransferSecurityPolicy-2024-01ist die Standard-Sicherheitsrichtlinie, die Ihrem Server zugewiesen wird, wenn Sie einen Server mithilfe der Konsole, API oder CLI erstellen.
Kryptografische Algorithmen
Für Hostschlüssel unterstützen wir die folgenden Algorithmen:
-
rsa-sha2-256 -
rsa-sha2-512 -
ecdsa-sha2-nistp256 -
ecdsa-sha2-nistp384 -
ecdsa-sha2-nistp521 -
ssh-ed25519
Darüber hinaus ermöglichen die folgenden Sicherheitsrichtlinienssh-rsa:
-
TransferSecurityPolicy-2018-11
-
TransferSecurityPolicy-2020-06
-
TransferSecurityPolicy-FIPS-2020-06
-
TransferSecurityPolicy-FIPS-2023-05
-
TransferSecurityPolicy-FIPS-2024-01
-
TransferSecurityPolicy-PQ-SSH-FIPS-Experimentell-2023-04
Anmerkung
Es ist wichtig, den Unterschied zwischen dem RSA-Schlüsseltyp — der immer gilt — und dem RSA-Host-Schlüsselalgorithmus zu verstehen, bei dem es sich um einen der unterstützten Algorithmen handeln kann. ssh-rsa
Im Folgenden finden Sie eine Liste der unterstützten kryptografischen Algorithmen für jede Sicherheitsrichtlinie.
Anmerkung
Beachten Sie in der folgenden Tabelle und den Richtlinien die folgende Verwendung von Algorithmustypen.
-
SFTP-Server verwenden nur Algorithmen in den SshMacsAbschnitten SshCiphersSshKexs, und.
-
FTPS-Server verwenden in diesem Abschnitt nur Algorithmen. TlsCiphers
-
FTP-Server verwenden keinen dieser Algorithmen, da sie keine Verschlüsselung verwenden.
-
Die Sicherheitsrichtlinien FIPS-2024-05 und FIPS-2024-01 sind identisch, mit der Ausnahme, dass FIPS-2024-05 den Algorithmus nicht unterstützt.
ssh-rsa -
Transfer Family hat neue eingeschränkte Richtlinien eingeführt, die eng mit parallel bestehenden Richtlinien übereinstimmen:
-
Die Sicherheitsrichtlinien TransferSecurityPolicy -Restricted-2018-11 und TransferSecurityPolicy -2018-11 sind identisch, mit der Ausnahme, dass die eingeschränkte Richtlinie die Verschlüsselung nicht unterstützt.
chacha20-poly1305@openssh.com -
Die Sicherheitsrichtlinien TransferSecurityPolicy -Restricted-2020-06 und TransferSecurityPolicy -2020-06 sind identisch, mit der Ausnahme, dass die eingeschränkte Richtlinie die Verschlüsselung nicht unterstützt.
chacha20-poly1305@openssh.com
* In der folgenden Tabelle ist die Chiffre nur in der Richtlinie ohne Einschränkungen enthalten.
chacha20-poly1305@openssh.com -
| Sicherheitsrichtlinie | 2024-01 | 2023-05 | 2022 03 |
2020-06 2020-06 eingeschränkt |
FIPS-2024-05 FIPS-2024-01 |
FIPS-2023-05 | FIPS-2020-06 |
2018-11 2018-11 eingeschränkt |
|---|---|---|---|---|---|---|---|---|
|
SshCiphers |
||||||||
|
aes128-ctr |
♦ |
|
♦ |
♦ |
♦ |
♦ |
||
|
aes128-gcm@openssh.com |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
aes192-ctr |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
aes256-ctr |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
aes256-gcm@openssh.com |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
chacha20-poly1305@openssh.com |
|
♦* |
♦* |
|||||
|
SshKexs |
||||||||
|
Kurve 25519-sha256 |
♦ |
♦ |
♦ |
|
|
♦ |
||
|
curve25519-sha256@libssh.org |
♦ |
♦ |
♦ |
|
|
♦ |
||
|
diffie-hellman-group14-sha1 |
|
|
|
♦ |
||||
|
diffie-hellman-group14-sha256 |
|
♦ |
♦ |
♦ |
||||
|
diffie-hellman-group16-sha512 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
diffie-hellman-group18-sha512 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
diffie-hellman-group-exchange-Sha 256 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
| ecdh-nistp256-kyber-512r3-sha256-d00@openquantumsafe.org | ♦ | ♦ | ||||||
| ecdh-nistp384-kyber-768r3-sha384-d00@openquantumsafe.org | ♦ | ♦ | ||||||
| ecdh-nistp521-kyber-1024r3-sha512-d00@openquantumsafe.org | ♦ | ♦ | ||||||
|
ecdh-sha2-nistp256 |
♦ |
|
♦ |
♦ |
♦ |
♦ |
||
|
ecdh-sha2-nistp384 |
♦ |
|
♦ |
♦ |
♦ |
♦ |
||
|
ecdh-sha2-nistp521 |
♦ |
|
♦ |
♦ |
♦ |
♦ |
||
| x25519-kyber-512r3-sha256-d00@amazon.com | ♦ | |||||||
|
SshMacs |
||||||||
|
hmac-sha 1 |
|
|
|
♦ |
||||
|
hmac-sha1-etm@openssh.com |
|
|
|
♦ |
||||
|
hmac-sha2-256 |
♦ |
♦ |
♦ |
♦ |
||||
|
hmac-sha2-256-etm@openssh.com |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
hmac-sha2-512 |
♦ |
♦ |
♦ |
♦ |
||||
|
hmac-sha2-512-etm@openssh.com |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
umac-128-etm@openssh.com |
|
♦ |
|
♦ |
||||
|
umac-128@openssh.com |
|
♦ |
|
♦ |
||||
|
umac-64-etm@openssh.com |
|
|
|
♦ |
||||
|
umac-64@openssh.com |
|
|
|
♦ |
||||
|
TlsCiphers |
||||||||
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
|
|
|
|
♦ |
||
|
TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
|
|
|
|
♦ |
||
TransferSecurityPolicy-2024-01
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2024-01 dargestellt.
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-2024-01", "SshCiphers": [ "aes128-gcm@openssh.com", "aes256-gcm@openssh.com", "aes128-ctr", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "ecdh-nistp384-kyber-768r3-sha384-d00@openquantumsafe.org", "x25519-kyber-512r3-sha256-d00@amazon.com", "ecdh-nistp256-kyber-512r3-sha256-d00@openquantumsafe.org", "ecdh-nistp521-kyber-1024r3-sha512-d00@openquantumsafe.org", "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "curve25519-sha256", "curve25519-sha256@libssh.org", "diffie-hellman-group18-sha512", "diffie-hellman-group16-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicy-2023-05
Im Folgenden wird die Sicherheitsrichtlinie -2023-05 dargestellt. TransferSecurityPolicy
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-2023-05", "SshCiphers": [ "aes256-gcm@openssh.com", "aes128-gcm@openssh.com", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "curve25519-sha256", "curve25519-sha256@libssh.org", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-512-etm@openssh.com", "hmac-sha2-256-etm@openssh.com" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicy-2022—03
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2022-03 dargestellt.
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-2022-03", "SshCiphers": [ "aes256-gcm@openssh.com", "aes128-gcm@openssh.com", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "curve25519-sha256", "curve25519-sha256@libssh.org", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-512-etm@openssh.com", "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512", "hmac-sha2-256" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicy-2020-06 und -Eingeschränkt-2020-06 TransferSecurityPolicy
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2020-06 dargestellt.
Anmerkung
Die Sicherheitsrichtlinien TransferSecurityPolicy -Restricted-2020-06 und TransferSecurityPolicy -2020-06 sind identisch, mit der Ausnahme, dass die eingeschränkte Richtlinie die Verschlüsselung nicht unterstützt. chacha20-poly1305@openssh.com
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-2020-06", "SshCiphers": [ "chacha20-poly1305@openssh.com", //Not included in TransferSecurityPolicy-Restricted-2020-06 "aes128-ctr", "aes192-ctr", "aes256-ctr", "aes128-gcm@openssh.com", "aes256-gcm@openssh.com" ], "SshKexs": [ "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "diffie-hellman-group-exchange-sha256", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group14-sha256" ], "SshMacs": [ "umac-128-etm@openssh.com", "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com", "umac-128@openssh.com", "hmac-sha2-256", "hmac-sha2-512" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicy-2018-11 TransferSecurityPolicy und -Restricted-2018-11
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2018-11 dargestellt.
Anmerkung
Die Sicherheitsrichtlinien TransferSecurityPolicy -Restricted-2018-11 und TransferSecurityPolicy -2018-11 sind identisch, mit der Ausnahme, dass die eingeschränkte Richtlinie die Verschlüsselung nicht unterstützt. chacha20-poly1305@openssh.com
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-2018-11", "SshCiphers": [ "chacha20-poly1305@openssh.com", //Not included in TransferSecurityPolicy-Restricted-2018-11 "aes128-ctr", "aes192-ctr", "aes256-ctr", "aes128-gcm@openssh.com", "aes256-gcm@openssh.com" ], "SshKexs": [ "curve25519-sha256", "curve25519-sha256@libssh.org", "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "diffie-hellman-group-exchange-sha256", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group14-sha256", "diffie-hellman-group14-sha1" ], "SshMacs": [ "umac-64-etm@openssh.com", "umac-128-etm@openssh.com", "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com", "hmac-sha1-etm@openssh.com", "umac-64@openssh.com", "umac-128@openssh.com", "hmac-sha2-256", "hmac-sha2-512", "hmac-sha1" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384", "TLS_RSA_WITH_AES_128_CBC_SHA256", "TLS_RSA_WITH_AES_256_CBC_SHA256" ] } }
TransferSecurityPolicyTransferSecurityPolicy-FIPS-2024-01/ -FIPS-2024-05
Im Folgenden werden die Sicherheitsrichtlinien -FIPS-2024-01 und -FIPS-2024-05 aufgeführt TransferSecurityPolicy. TransferSecurityPolicy
Anmerkung
Der FIPS-Dienstendpunkt und die Sicherheitsrichtlinien -FIPS-2024-01 und -FIPS-2024-05 sind nur in einigen Regionen verfügbar. TransferSecurityPolicy TransferSecurityPolicy AWS Weitere Informationen finden Sie unter AWS Transfer Family -Endpunkte und -Kontingente in der Allgemeine AWS-Referenz.
Der einzige Unterschied zwischen diesen beiden Sicherheitsrichtlinien besteht darin, dass -FIPS-2024-01 den Algorithmus unterstützt und -FIPS-2024-05 nicht. TransferSecurityPolicy ssh-rsa TransferSecurityPolicy
{ "SecurityPolicy": { "Fips": true, "SecurityPolicyName": "TransferSecurityPolicy-FIPS-2024-01", "SshCiphers": [ "aes128-gcm@openssh.com", "aes256-gcm@openssh.com", "aes128-ctr", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "ecdh-nistp384-kyber-768r3-sha384-d00@openquantumsafe.org", "ecdh-nistp256-kyber-512r3-sha256-d00@openquantumsafe.org", "ecdh-nistp521-kyber-1024r3-sha512-d00@openquantumsafe.org", "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "diffie-hellman-group18-sha512", "diffie-hellman-group16-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicy-FIPS-2023-05
Die Einzelheiten zur FIPS-Zertifizierung für finden Sie unter AWS Transfer Family https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -FIPS-2023-05 beschrieben.
Anmerkung
Der FIPS-Dienstendpunkt und die Sicherheitsrichtlinie TransferSecurityPolicy -FIPS-2023-05 sind nur in einigen Regionen verfügbar. AWS Weitere Informationen finden Sie unter AWS Transfer Family -Endpunkte und -Kontingente in der Allgemeine AWS-Referenz.
{ "SecurityPolicy": { "Fips": true, "SecurityPolicyName": "TransferSecurityPolicy-FIPS-2023-05", "SshCiphers": [ "aes256-gcm@openssh.com", "aes128-gcm@openssh.com", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicy-FIPS-2020-06
Die Einzelheiten zur FIPS-Zertifizierung für finden Sie unter AWS Transfer Family https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -FIPS-2020-06 dargestellt.
Anmerkung
Der FIPS-Dienstendpunkt und die Sicherheitsrichtlinie TransferSecurityPolicy -FIPS-2020-06 sind nur in einigen Regionen verfügbar. AWS Weitere Informationen finden Sie unter AWS Transfer Family -Endpunkte und -Kontingente in der Allgemeine AWS-Referenz.
{ "SecurityPolicy": { "Fips": true, "SecurityPolicyName": "TransferSecurityPolicy-FIPS-2020-06", "SshCiphers": [ "aes128-ctr", "aes192-ctr", "aes256-ctr", "aes128-gcm@openssh.com", "aes256-gcm@openssh.com" ], "SshKexs": [ "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "diffie-hellman-group-exchange-sha256", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group14-sha256" ], "SshMacs": [ "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com", "hmac-sha2-256", "hmac-sha2-512" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
Sicherheitsrichtlinien nach Quantum
In dieser Tabelle sind die Algorithmen für die Post-Quantum-Sicherheitsrichtlinien der Transfer Family aufgeführt. Diese Richtlinien werden unter ausführlich Verwenden Sie den hybriden Schlüsselaustausch nach dem Quantum-Verfahren mit AWS Transfer Family beschrieben.
Die Richtlinienlisten folgen der Tabelle.
| Sicherheitsrichtlinie | TransferSecurityPolicy-PQ-SSH-Experimental-2023-04 | TransferSecurityPolicy-PQ-SSH-FIPS-Experimentell-2023-04 |
|---|---|---|
|
SSH ciphers |
||
|
aes128-ctr |
|
♦ |
|
aes128-gcm@openssh.com |
♦ |
♦ |
|
aes192-ctr |
♦ |
♦ |
|
aes256-ctr |
♦ |
♦ |
|
aes256-gcm@openssh.com |
♦ |
♦ |
|
KEXs |
||
| ecdh-nistp256-kyber-512r3-sha256-d00@openquantumsafe.org |
♦ |
♦ |
| ecdh-nistp384-kyber-768r3-sha384-d00@openquantumsafe.org |
♦ |
♦ |
| ecdh-nistp521-kyber-1024r3-sha512-d00@openquantumsafe.org |
♦ |
♦ |
| x25519-kyber-512r3-sha256-d00@amazon.com |
♦ |
|
|
diffie-hellman-group14-sha256 |
♦ | |
|
diffie-hellman-group16-sha512 |
♦ |
♦ |
|
diffie-hellman-group18-sha512 |
♦ |
♦ |
|
ecdh-Sha2-Nistp384 |
|
♦ |
|
ecdh-sha2-nistp521 |
|
♦ |
|
diffie-hellman-group-exchange-sha256 |
♦ |
♦ |
|
ecdh-sha2-nistp256 |
|
♦ |
|
curve25519-sha256@libssh.org |
♦ |
|
|
Kurve 25519-sha256 |
♦ |
|
|
MACs |
||
|
hmac-sha2-256-etm@openssh.com |
♦ |
♦ |
|
hmac-sha2-256 |
♦ |
♦ |
|
hmac-sha2-512-etm@openssh.com |
♦ |
♦ |
|
hmac-sha2-512 |
♦ |
♦ |
|
TLS ciphers |
||
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
♦ |
♦ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
♦ |
♦ |
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
♦ |
♦ |
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
♦ |
♦ |
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
♦ |
♦ |
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
♦ |
♦ |
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
♦ |
♦ |
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
♦ |
♦ |
TransferSecurityPolicy-PQ-SSH-Experimentell-2023-04
Im Folgenden wird die Sicherheitsrichtlinie -pq-SSH-Experimental-2023-04 dargestellt. TransferSecurityPolicy
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-PQ-SSH-Experimental-2023-04", "SshCiphers": [ "aes256-gcm@openssh.com", "aes128-gcm@openssh.com", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "ecdh-nistp384-kyber-768r3-sha384-d00@openquantumsafe.org", "x25519-kyber-512r3-sha256-d00@amazon.com", "ecdh-nistp256-kyber-512r3-sha256-d00@openquantumsafe.org", "ecdh-nistp521-kyber-1024r3-sha512-d00@openquantumsafe.org", "curve25519-sha256", "curve25519-sha256@libssh.org", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-512-etm@openssh.com", "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512", "hmac-sha2-256" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicy-PQ-SSH-FIPS-Experimental-2023-04
Im Folgenden wird die Sicherheitsrichtlinie -pq-SSH-FIPS-Experimental-2023-04 dargestellt. TransferSecurityPolicy
{ "SecurityPolicy": { "Fips": true, "SecurityPolicyName": "TransferSecurityPolicy-PQ-SSH-FIPS-Experimental-2023-04", "SshCiphers": [ "aes256-gcm@openssh.com", "aes128-gcm@openssh.com", "aes256-ctr", "aes192-ctr", "aes128-ctr" ], "SshKexs": [ "ecdh-nistp384-kyber-768r3-sha384-d00@openquantumsafe.org", "ecdh-nistp256-kyber-512r3-sha256-d00@openquantumsafe.org", "ecdh-nistp521-kyber-1024r3-sha512-d00@openquantumsafe.org", "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "diffie-hellman-group-exchange-sha256", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group14-sha256" ], "SshMacs": [ "hmac-sha2-512-etm@openssh.com", "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512", "hmac-sha2-256" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
