AWS services de cryptographie À propos des algorithmes cryptographiques Algorithmes cryptographiques

Algorithmes de cryptographie et Services AWS

Un algorithme de chiffrement est une formule ou une procédure qui convertit un message en texte brut en texte chiffré. Si le chiffrement ou sa terminologie ne vous sont pas familiers, nous vous recommandons de lire À propos du chiffrement des données avant de lire ce guide.

AWS services de cryptographie

AWS les services de cryptographie s'appuient sur des algorithmes de chiffrement sécurisés et open source. Ces algorithmes sont approuvés par des organismes publics de normalisation et par des chercheurs universitaires. Certains outils et services AWS imposent l'utilisation d'un algorithme spécifique. Dans d'autres services, vous pouvez choisir entre plusieurs algorithmes et longueurs de clé disponibles ou utiliser les valeurs par défaut recommandées.

Cette section décrit certains des algorithmes pris en charge par les AWS outils et les services. Ils se répartissent en deux catégories, symétriques et asymétriques, selon le fonctionnement de leurs clés :

Le chiffrement symétrique utilise la même clé pour chiffrer et déchiffrer les données. Services AWS supportent l'Advanced Encryption Standard (AES) et le Triple Data Encryption Standard (3DES ou TDES), qui sont deux algorithmes symétriques largement utilisés.
Le chiffrement asymétrique utilise une paire de clés, une clé publique pour le chiffrement et une clé privée pour le déchiffrement. Vous pouvez partager la clé publique car elle n'est pas utilisée pour le déchiffrement, mais l'accès à la clé privée doit être très restreint. Services AWS prennent généralement en charge le RSA et les algorithmes asymétriques de cryptographie à courbe elliptique (ECC).

AWS les services cryptographiques sont conformes à un large éventail de normes de sécurité cryptographique, ce qui vous permet de vous conformer aux réglementations gouvernementales ou professionnelles. Pour une liste complète des normes de sécurité des données Services AWS conformes, consultez les programmes de AWS conformité.

À propos des algorithmes cryptographiques

La cryptographie est un élément essentiel de la sécurité pour AWS. Services AWS prend en charge le chiffrement des données en transit, au repos ou en mémoire. Nombre d'entre eux prennent également en charge le chiffrement à l'aide de clés gérées par le client auxquelles le client n'a pas accès AWS. Pour en savoir plus sur l' AWS engagement en faveur de l'innovation et de l'investissement dans des contrôles supplémentaires pour la souveraineté et les fonctionnalités de chiffrement, consultez l'engagement en faveur de la souverainetéAWS numérique (billet de AWS blog).

AWS s'engage à utiliser les algorithmes cryptographiques les plus sécurisés disponibles pour répondre à vos exigences de sécurité et de performance. AWS utilise par défaut des algorithmes et des implémentations à haute assurance et préfère les solutions optimisées pour le matériel qui sont plus rapides, améliorent la sécurité et sont plus économes en énergie. Consultez la bibliothèque AWS cryptographique pour des algorithmes cryptographiques à temps constant optimisés, sécurisés et formellement vérifiés. AWS suit le modèle de responsabilité partagée et propose des options de cryptographie pour répondre à vos exigences individuelles en matière de sécurité, de conformité et de performance, tout en respectant les niveaux de sécurité reconnus par le secteur. Par exemple, Elastic Load Balancing propose des équilibreurs de charge d'application qui fournissent diverses politiques de sécurité pour le protocole TLS (Transport Layer Security).

Services AWS utilisez des algorithmes cryptographiques fiables qui répondent aux normes du secteur et favorisent l'interopérabilité. Ces normes sont largement acceptées par les gouvernements, l'industrie et le monde universitaire. Il faut une analyse approfondie de la part de la communauté mondiale pour qu'un algorithme soit largement accepté. Il faut également du temps pour qu'il soit largement disponible dans l'industrie. Le manque d'analyse et de disponibilité pose des défis en termes d'interopérabilité, de complexité et de risques pour les déploiements. AWS continue de déployer de nouvelles options cryptographiques pour répondre aux exigences élevées en matière de sécurité et de performances.

AWS suit de près les développements cryptographiques, les problèmes de sécurité et les résultats de recherche. Au fur et à mesure que des algorithmes obsolètes et des problèmes de sécurité sont découverts, ils sont résolus. Pour plus d'informations, consultez le blog sur la AWS sécurité. AWS reste déterminé à identifier les problèmes de compatibilité avec les clients qui utilisent des algorithmes de sécurité existants et à aider les clients à migrer vers des options plus sécurisées. AWS reste également impliqué dans de nouveaux domaines cryptographiques, notamment la cryptographie post-quantique et l'informatique cryptographique.

Algorithmes cryptographiques

Les tableaux suivants répertorient les algorithmes cryptographiques recommandés et leur état.

Cryptographie asymétrique

Le tableau suivant répertorie les algorithmes asymétriques pris en charge pour le chiffrement, l'accord des clés et les signatures numériques.

Type	Algorithm	Statut
Chiffrement	RSA-OAEP (module 2048 ou 3072 bits)	Acceptable
Chiffrement	HPKE (P-256 ou P-384, HKDF et AES-GCM)	Acceptable
Accord clé	ML-KEM-768 ou ML-KEM-1024	Préféré (résistant aux quanta)
Accord clé	ECDH (E) avec P-384	Acceptable
Accord clé	ECDH (E) avec P-256, P-521 ou X25519	Acceptable
Accord clé	ECDH (E) avec Brainpool P256R1, Brainpool P384R1 ou Brainpool P512R1	Acceptable
Signatures	ML-DSA-65 ou ML-DSA-87	Préféré (résistant aux quanta)
Signatures	SLH-DSA	Préféré (signature résistante aux quanta) software/firmware
Signatures	ECDSA avec P-384	Acceptable
Signatures	ECDSA avec P-256, P-521 ou Ed25519	Acceptable
Signatures	RSA-2048 ou RSA-3072	Acceptable

Cryptographie symétrique

Le tableau suivant répertorie les algorithmes symétriques pris en charge pour le chiffrement, le chiffrement authentifié et l'encapsulation des clés.

Type	Algorithm	Statut
Chiffrement authentifié	AES-GCM-256	Préféré
Chiffrement authentifié	AES-GCM-128	Acceptable
Chiffrement authentifié	ChaCha20/Poly1305	Acceptable
Modes de chiffrement	AES-XTS-256 (pour le stockage par blocs)	Préféré
Modes de chiffrement	AES-CBC/CTR (modes non authentifiés)	Acceptable
Emballage des clés	AES-GCM-256	Préféré
Emballage des clés	AES-KW ou AES-KWP avec clés de 256 bits	Acceptable

Fonctions cryptographiques

Le tableau suivant répertorie les algorithmes pris en charge pour le hachage, la dérivation de clés, l'authentification des messages et le hachage des mots de passe.

Type	Algorithm	Statut
Hachage	SHA2-384	Préféré
Hachage	SHA2-256	Acceptable
Hachage	SHA3	Acceptable
Dérivation clé	HKDF_Expand ou HKDF avec -256 SHA2	Préféré
Dérivation clé	Mode compteur KDF avec HMAC- -256 SHA2	Acceptable
Code d'authentification du message	HMAC- 384 SHA2	Préféré
Code d'authentification du message	HMAC- 256 SHA2	Acceptable
Code d'authentification du message	KMAC	Acceptable
Hachage du mot de passe	scrypt avec SHA384	Préféré
Hachage du mot de passe	PBKDF2	Acceptable

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Introduction

Bonnes pratiques générales de chiffrement