Suites d'algorithmes prises en charge dans le kit Kit SDK de chiffrement AWS - Kit SDK de chiffrement AWS

Si nous fournissons une traduction de la version anglaise du guide, la version anglaise du guide aura préséance en cas de contradiction. La traduction sera une traduction automatique.

Suites d'algorithmes prises en charge dans le kit Kit SDK de chiffrement AWS

Une suite d'algorithmes est un ensemble d'algorithmes de chiffrement et de valeurs connexes. Les systèmes de chiffrement utilisent l'implémentation de l'algorithme pour générer le message du texte chiffré.

La suite d'algorithmes du kit Kit SDK de chiffrement AWS utilise l'algorithme AES (Advanced Encryption Standard) en mode GCM (Galois Counter Mode), connu sous le nom de AES-GCM, pour chiffrer les données brutes. Le kit SDK prend en charge uniquement les clés de chiffrement 256, 192 et 128 bits. La longueur du vecteur d'initialisation (IV) est toujours de 12 octets. La longueur de la balise d'authentification est toujours de 16 octets.

Le kit SDK prend en charge plusieurs implémentations d'AES GCM. Par défaut, le kit de développement logiciel utilise l'algorithme AES-GCM avec une fonction de dérivation des clés pour l'extraction et le développement basée sur HMAC (HKDF), la signature et une clé de chiffrement de 256 bits.

Dans la suite d'algorithmes recommandée, le kit SDK utilise la clé de chiffrement des données en tant qu'entrée de la fonction de dérivation de clés pour l'extraction et le développement basée sur HMAC (HKDF) afin de dériver la clé de chiffrement AES-GCM. Le kit SDK ajoute également une signature ECDSA (Elliptic Curve Digital Signature Algorithm). Par défaut, le kit SDK utilise cette suite d'algorithmes avec une clé de chiffrement de 256 bits.

Le HKDF vous permet d'éviter la réutilisation accidentelle d'une clé de chiffrement des données.

Cette suite d'algorithmes utilise ECDSA et un algorithme de signature de messages (SHA-384 ou SHA-256). L'algorithme ECDSA est utilisé par défaut, même lorsqu'il n'est pas spécifié par la stratégie pour la clé principale sous-jacente. La signature de messages vérifie l'identité de l'expéditeur du message et ajoute l'authenticité du message aux données avec chiffrement d'enveloppe. Cela s'avère particulièrement utile lorsque la stratégie d'autorisation pour une clé principale autorise un ensemble d'utilisateurs à chiffrer des données et un autre ensemble d'utilisateurs à déchiffrer des données.

Le tableau suivant répertorie les différences entre les suites d'algorithmes recommandées.

Suites d'algorithmes du kit Kit SDK de chiffrement AWS
Nom de l'algorithme Longueur de la clé de chiffrement des données (en bits) Mode de l'algorithme Algorithme de dérivation de clé Algorithme de signature
AES 256* GCM HKDF avec SHA-384 ECDSA avec P-384 et SHA-384
AES 192 GCM HKDF avec SHA-384 ECDSA avec P-384 et SHA-384
AES 128 GCM HKDF avec SHA-256 ECDSA avec P-256 et SHA-256

Autres suites d'algorithmes prises en charge

Le kit Kit SDK de chiffrement AWS prend en charge les suites d'algorithme alternatif suivantes pour assurer la compatibilité descendante. En général, nous vous déconseillons ces suites d'algorithme. Cependant, nous sommes conscients que l'utilisation d'une suite d'algorithme avec dérivation de clés, mais sans signature, est adaptée dans certains cas. Nous ne conseillons pas l'utilisation des suites d'algorithme qui ne comportent ni la dérivation de clés, ni la signature.

AES-GCM avec dérivation de clé uniquement

Cette suite d'algorithmes utilise une fonction de dérivation de clés, mais ne dispose pas de la signature ECDSA qui fournit l'authenticité et la non-répudiation. Utilisez cette suite lorsque les utilisateurs qui chiffrent les données et ceux qui les déchiffrent font l'objet d'une même approbation.

AES-GCM sans dérivation de clé ou signature

Cette suite d'algorithmes utilise la clé de chiffrement des données en tant que clé de chiffrement AES-GCM, au lieu d'utiliser une fonction de dérivation de clé pour dériver une clé unique. Nous déconseillons d'utiliser cette suite pour générer un texte chiffré, mais le kit SDK la prend en charge pour des raisons de compatibilité.

Pour plus d'informations sur la façon dont ces suites sont représentées et utilisées dans la bibliothèque, consultez Référence relative aux algorithmes du kit Kit SDK de chiffrement AWS.