Algoritmi di crittografia e Servizi AWS - AWS Guida prescrittiva
AWS servizi di crittografiaInformazioni sugli algoritmi crittograficiAlgoritmi crittografici

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Algoritmi di crittografia e Servizi AWS

Un algoritmo di crittografia è una formula o una procedura che converte un messaggio di testo normale in testo criptato. Se non conosci la crittografia o la relativa terminologia, ti consigliamo di leggere Informazioni sulla crittografia dei dati prima di procedere con questa guida.

AWS servizi di crittografia

AWS i servizi di crittografia si basano su algoritmi di crittografia sicuri e open source. Questi algoritmi sono controllati da enti di standardizzazione pubblici e dalla ricerca accademica. Alcuni strumenti e servizi AWS impongono l'uso di un algoritmo specifico. In altri servizi, è possibile scegliere tra più algoritmi e lunghezze di chiave disponibili oppure utilizzare le impostazioni predefinite consigliate.

Questa sezione descrive alcuni degli algoritmi supportati da AWS strumenti e servizi. Si dividono in due categorie, simmetrici e asimmetrici, in base al funzionamento delle chiavi:

  • La crittografia simmetrica utilizza la stessa chiave per crittografare e decrittografare i dati. Servizi AWS supportano Advanced Encryption Standard (AES) e Triple Data Encryption Standard (3DES o TDES), due algoritmi simmetrici ampiamente utilizzati.

  • La crittografia asimmetrica utilizza una coppia di chiavi, una chiave pubblica per la crittografia e una chiave privata per la decrittografia. È possibile condividere la chiave pubblica perché non viene utilizzata per la decrittografia, ma l'accesso alla chiave privata deve essere altamente limitato. Servizi AWS in genere supportano algoritmi asimmetrici RSA e di crittografia a curva ellittica (ECC).

AWS i servizi crittografici sono conformi a un'ampia gamma di standard di sicurezza crittografica, quindi puoi rispettare le normative governative o professionali. Per un elenco completo degli standard di sicurezza dei dati Servizi AWS conformi, consulta AWS i programmi di conformità.

Informazioni sugli algoritmi crittografici

La crittografia è una parte essenziale della sicurezza per. AWS Servizi AWS supporta la crittografia dei dati in transito, a riposo o in memoria. Molti supportano anche la crittografia con chiavi gestite dal cliente a cui non è possibile accedere AWS. Per saperne di più sull' AWS impegno a favore dell'innovazione e sugli investimenti in controlli aggiuntivi per la sovranità e le funzionalità di crittografia, consulta il AWS Digital Sovereignty Pledge (post sul blog).AWS

AWS si impegna a utilizzare gli algoritmi crittografici più sicuri disponibili per soddisfare i requisiti di sicurezza e prestazioni. AWS utilizza per impostazione predefinita algoritmi e implementazioni ad alta garanzia e preferisce soluzioni ottimizzate per l'hardware che sono più veloci, migliorano la sicurezza e sono più efficienti dal punto di vista energetico. Consulta la AWS Crypto Library per algoritmi crittografici ottimizzati, ad alta garanzia e verificati formalmente e a tempo costante. AWS segue il modello di responsabilità condivisa e offre opzioni di crittografia per soddisfare i requisiti individuali di sicurezza, conformità e prestazioni, pur rispettando i livelli di sicurezza accettati dal settore. Ad esempio, Elastic Load Balancing offre Application Load Balancer che forniscono diverse politiche di sicurezza per il protocollo Transport Layer Security (TLS).

Servizi AWS utilizza algoritmi crittografici affidabili che soddisfano gli standard di settore e promuovono l'interoperabilità. Questi standard sono ampiamente accettati dai governi, dall'industria e dal mondo accademico. È necessaria un'analisi approfondita da parte della comunità globale affinché un algoritmo venga ampiamente accettato. Inoltre, ci vuole tempo perché diventi ampiamente disponibile nel settore. La mancanza di analisi e disponibilità introduce sfide in termini di interoperabilità, complessità e rischi per le implementazioni. AWS continua a implementare nuove opzioni crittografiche per soddisfare standard elevati in termini di sicurezza e prestazioni.

AWS segue da vicino gli sviluppi crittografici, i problemi di sicurezza e i risultati della ricerca. Quando vengono scoperti algoritmi obsoleti e problemi di sicurezza, questi vengono risolti. Per ulteriori informazioni, consulta il Security Blog.AWS AWS rimane impegnata a identificare i problemi di compatibilità con i clienti che utilizzano algoritmi di sicurezza legacy e ad aiutare i clienti a migrare verso opzioni più sicure. AWS rimane inoltre coinvolta in nuove aree crittografiche, che includono la crittografia post-quantistica e l'informatica crittografica.

Algoritmi crittografici

Le tabelle seguenti riassumono gli algoritmi crittografici, i codici, le modalità e le dimensioni delle chiavi utilizzati nei AWS suoi servizi per proteggere i dati. Non devono essere considerate un elenco esaustivo di tutte le opzioni di crittografia disponibili in. AWS Gli algoritmi si dividono in due categorie:

  • Gli algoritmi preferiti soddisfano gli standard AWS di sicurezza e prestazioni.

  • Gli algoritmi accettabili possono essere utilizzati per motivi di compatibilità in alcune applicazioni, ma non sono preferiti.

Crittografia asimmetrica

La tabella seguente elenca gli algoritmi asimmetrici supportati per la crittografia, l'accordo di chiave e le firme digitali.

Tipo Algoritmo Stato
Crittografia RSA-OAEP (modulo a 2048 o 3072 bit) Accettabile
Crittografia HPKE (P-256 o P-384, HKDF e AES-GCM) Accettabile
Accordo chiave ML-KEM-768 o ML-KEM-1024 Preferito (resistente quantisticamente)
Accordo chiave ECDH (E) con P-384 Accettabile
Accordo chiave ECDH (E) con P-256, P-521 o X25519 Accettabile
Accordo chiave ECDH (E) con BrainPoolP256R1, BrainPoolP384R1 o BrainPoolP512R1 Accettabile
Signatures (Firme) ML-DSA-65 o ML-DSA-87 Preferito (resistente quantisticamente)
Signatures (Firme) SLH-DSA Preferito (firma a resistenza quantistica) software/firmware
Signatures (Firme) ECDSA con P-384 Accettabile
Signatures (Firme) ECDSA con P-256, P-521 o Ed25519 Accettabile
Signatures (Firme) RSA-2048 o RSA-3072 Accettabile

Crittografia simmetrica

La tabella seguente elenca gli algoritmi simmetrici supportati per la crittografia, la crittografia autenticata e il key wrapping.

Tipo Algoritmo Stato
Crittografia autenticata AES-GCM-256 Preferito
Crittografia autenticata AES-GCM-128 Accettabile
Crittografia autenticata ChaCha20/Poly1305 Accettabile
Modalità di crittografia AES-XTS-256 (per archiviazione a blocchi) Preferito
Modalità di crittografia AES-CBC/CTR (modalità non autenticate) Accettabile
Confezionamento delle chiavi AES-GCM-256 Preferito
Confezionamento delle chiavi AES-KW o AES-KWP con chiavi a 256 bit Accettabile

Funzioni di crittografia

La tabella seguente elenca gli algoritmi supportati per l'hashing, la derivazione delle chiavi, l'autenticazione dei messaggi e l'hashing delle password.

Tipo Algoritmo Stato
Hashing SHA2-384 Preferito
Hashing SHA2-256 Accettabile
Hashing SHA3 Accettabile
Derivazione delle chiavi HKDF_Expand o HKDF con -256 SHA2 Preferito
Derivazione chiave KDF in modalità contatore con HMAC- -256 SHA2 Accettabile
Codice di autenticazione dei messaggi HMAC- -384 SHA2 Preferito
Codice di autenticazione del messaggio HMAC- -256 SHA2 Accettabile
Codice di autenticazione del messaggio KMAC Accettabile
Hashing delle password scrypt con SHA384 Preferito
Hashing delle password PBKDF2 Accettabile