Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Algoritmi di crittografia e Servizi AWS
Un algoritmo di crittografia è una formula o una procedura che converte un messaggio di testo normale in testo criptato. Se non conosci la crittografia o la relativa terminologia, ti consigliamo di leggere Informazioni sulla crittografia dei dati prima di procedere con questa guida.
AWS servizi di crittografia
AWS i servizi di crittografia si basano su algoritmi di crittografia sicuri e open source. Questi algoritmi sono controllati da enti di standardizzazione pubblici e dalla ricerca accademica. Alcuni strumenti e servizi AWS impongono l'uso di un algoritmo specifico. In altri servizi, è possibile scegliere tra più algoritmi e lunghezze di chiave disponibili oppure utilizzare le impostazioni predefinite consigliate.
Questa sezione descrive alcuni degli algoritmi supportati da AWS strumenti e servizi. Si dividono in due categorie, simmetrici e asimmetrici, in base al funzionamento delle chiavi:
-
La crittografia simmetrica utilizza la stessa chiave per crittografare e decrittografare i dati. Servizi AWS supportano Advanced Encryption Standard (AES) e Triple Data Encryption Standard (3DES o TDES), due algoritmi simmetrici ampiamente utilizzati.
-
La crittografia asimmetrica utilizza una coppia di chiavi, una chiave pubblica per la crittografia e una chiave privata per la decrittografia. È possibile condividere la chiave pubblica perché non viene utilizzata per la decrittografia, ma l'accesso alla chiave privata deve essere altamente limitato. Servizi AWS in genere supportano algoritmi asimmetrici RSA e di crittografia a curva ellittica (ECC).
AWS i servizi crittografici sono conformi a un'ampia gamma di standard di sicurezza crittografica, quindi puoi rispettare le normative governative o professionali. Per un elenco completo degli standard di sicurezza dei dati Servizi AWS conformi, consulta AWS i programmi di conformità.
Informazioni sugli algoritmi crittografici
La crittografia è una parte essenziale della sicurezza per. AWS Servizi AWS supporta la crittografia dei dati in transito, a riposo o in memoria. Molti supportano anche la crittografia con chiavi gestite dal cliente a cui non è possibile accedere AWS. Per saperne di più sull' AWS
impegno a favore dell'innovazione e sugli investimenti in controlli aggiuntivi per la sovranità e le funzionalità di crittografia, consulta il AWS Digital Sovereignty Pledge
AWS si impegna a utilizzare gli algoritmi crittografici più sicuri disponibili per soddisfare i requisiti di sicurezza e prestazioni. AWS utilizza per impostazione predefinita algoritmi e implementazioni ad alta garanzia e preferisce soluzioni ottimizzate per l'hardware che sono più veloci, migliorano la sicurezza e sono più efficienti dal punto di vista energetico. Consulta la AWS Crypto Library per algoritmi crittografici
Servizi AWS utilizza algoritmi crittografici affidabili che soddisfano gli standard di settore e promuovono l'interoperabilità. Questi standard sono ampiamente accettati dai governi, dall'industria e dal mondo accademico. È necessaria un'analisi approfondita da parte della comunità globale affinché un algoritmo venga ampiamente accettato. Inoltre, ci vuole tempo perché diventi ampiamente disponibile nel settore. La mancanza di analisi e disponibilità introduce sfide in termini di interoperabilità, complessità e rischi per le implementazioni. AWS continua a implementare nuove opzioni crittografiche per soddisfare standard elevati in termini di sicurezza e prestazioni.
AWS segue da vicino gli sviluppi crittografici, i problemi di sicurezza e i risultati della ricerca. Man mano che vengono scoperti algoritmi obsoleti e problemi di sicurezza, questi vengono risolti. Per ulteriori informazioni, consulta il Security Blog.AWS
Algoritmi crittografici
Nelle tabelle seguenti sono elencati gli algoritmi crittografici consigliati e il relativo stato.
Crittografia asimmetrica
La tabella seguente elenca gli algoritmi asimmetrici supportati per la crittografia, l'accordo di chiave e le firme digitali.
| Tipo | Algoritmo | Stato |
|---|---|---|
| Crittografia | RSA-OAEP (modulo a 2048 o 3072 bit) | Accettabile |
| Crittografia | HPKE (P-256 o P-384, HKDF e AES-GCM) | Accettabile |
| Accordo chiave | ML-KEM-768 o ML-KEM-1024 | Preferito (resistente quantisticamente) |
| Accordo chiave | ECDH (E) con P-384 | Accettabile |
| Accordo chiave | ECDH (E) con P-256, P-521 o X25519 | Accettabile |
| Accordo chiave | ECDH (E) con BrainPoolP256R1, BrainPoolP384R1 o BrainPoolP512R1 | Accettabile |
| Signatures (Firme) | ML-DSA-65 o ML-DSA-87 | Preferito (resistente quantisticamente) |
| Signatures (Firme) | SLH-DSA | Preferito (firma a resistenza quantistica) software/firmware |
| Signatures (Firme) | ECDSA con P-384 | Accettabile |
| Signatures (Firme) | ECDSA con P-256, P-521 o Ed25519 | Accettabile |
| Signatures (Firme) | RSA-2048 o RSA-3072 | Accettabile |
Crittografia simmetrica
La tabella seguente elenca gli algoritmi simmetrici supportati per la crittografia, la crittografia autenticata e il key wrapping.
| Tipo | Algoritmo | Stato |
|---|---|---|
| Crittografia autenticata | AES-GCM-256 | Preferito |
| Crittografia autenticata | AES-GCM-128 | Accettabile |
| Crittografia autenticata | ChaCha20/Poly1305 | Accettabile |
| Modalità di crittografia | AES-XTS-256 (per archiviazione a blocchi) | Preferito |
| Modalità di crittografia | AES-CBC/CTR (modalità non autenticate) | Accettabile |
| Confezionamento dei tasti | AES-GCM-256 | Preferito |
| Confezionamento delle chiavi | AES-KW o AES-KWP con chiavi a 256 bit | Accettabile |
Funzioni di crittografia
La tabella seguente elenca gli algoritmi supportati per l'hashing, la derivazione delle chiavi, l'autenticazione dei messaggi e l'hashing delle password.
| Tipo | Algoritmo | Stato |
|---|---|---|
| Hashing | SHA2-384 | Preferito |
| Hashing | SHA2-256 | Accettabile |
| Hashing | SHA3 | Accettabile |
| Derivazione delle chiavi | HKDF_Expand o HKDF con -256 SHA2 | Preferito |
| Derivazione chiave | KDF in modalità contatore con HMAC- -256 SHA2 | Accettabile |
| Codice di autenticazione dei messaggi | HMAC- -384 SHA2 | Preferito |
| Codice di autenticazione del messaggio | HMAC- -256 SHA2 | Accettabile |
| Codice di autenticazione del messaggio | KMAC | Accettabile |
| Hashing delle password | scrypt con SHA384 | Preferito |
| Hashing delle password | PBKDF2 | Accettabile |
