Gestione delle chiavi SSH e PGP in Transfer Family - AWS Transfer Family
Panoramica degli algoritmiautenticazione SSHAlgoritmi PGP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle chiavi SSH e PGP in Transfer Family

In questa sezione, puoi trovare informazioni sulle chiavi SSH, incluso come generarle e come ruotarle. Per i dettagli sull'utilizzo di Transfer Family with AWS Lambda per gestire le chiavi, consulta il post del blog Enabling user self-service key management with A AWS Transfer Family and AWS Lambda.

Nota

AWS Transfer Family accetta RSA, ECDSA e ED25519 chiavi per l'autenticazione SSH.

Questa sezione spiega anche come generare e gestire le chiavi Pretty Good Privacy (PGP).

Per una panoramica completa di tutti gli algoritmi di crittografia e chiave supportati, inclusi consigli per diversi casi d'uso, consulta. Panoramica sulla crittografia e sugli algoritmi chiave

Panoramica sulla crittografia e sugli algoritmi chiave

AWS Transfer Family supporta diversi tipi di algoritmi per scopi diversi. La comprensione degli algoritmi da utilizzare per il caso d'uso specifico aiuta a garantire trasferimenti di file sicuri e compatibili.

Riferimento rapido all'algoritmo
Caso d'uso Algoritmo consigliato Conforme a FIPS Note
Autenticazione SSH/SFTP RSA (rsa-sha2-256/512), ECDSA o ED25519 RSA: Sì, ECSA: Sì, no ED25519 Compatibile con tutti i client e server SSH
Generazione di chiavi PGP RSA o ECC (NIST) Per la decrittografia del flusso di lavoro
Crittografia dei file PGP AES-256 Determinato dal software PGP

Algoritmi di autenticazione SSH

Questi algoritmi vengono utilizzati per SSH/SFTP l'autenticazione tra client e AWS Transfer Family server. Scegli uno di questi quando generi coppie di chiavi SSH per l'autenticazione dell'utente o le chiavi dell'host del server.

RSA (consigliato)

Compatibile con tutti i client e server SSH e conforme a FIPS. Utilizzalo con l'hashing SHA-2 per una maggiore sicurezza:

  • rsa-sha2-256- Consigliato per la maggior parte dei casi d'uso

  • rsa-sha2-512- Opzione di sicurezza più elevata

ED25519

Moderno ed efficiente. Chiavi di dimensioni ridotte con elevata sicurezza:

  • ssh-ed25519- Veloce e sicuro, ma non conforme allo standard FIPS

ECDSA

Opzione curva ellittica. Buon equilibrio tra sicurezza e prestazioni:

  • ecdsa-sha2-nistp256- Curva standard

  • ecdsa-sha2-nistp384- Curva di sicurezza più elevata

  • ecdsa-sha2-nistp521- Curva di sicurezza più elevata

Nota

Supportiamo ssh-rsa SHA1 le politiche di sicurezza più vecchie. Per informazioni dettagliate, consultare Algoritmi crittografici.

Scegliere l'algoritmo SSH giusto

  • Per la maggior parte degli utenti: usa RSA con o rsa-sha2-256 rsa-sha2-512

  • Per la conformità FIPS: utilizza algoritmi RSA o ECDSA

  • Per ambienti moderni: ED25519 offre sicurezza e prestazioni eccellenti

Algoritmi di crittografia e decrittografia PGP

PGP (Pretty Good Privacy) utilizza due tipi di algoritmi che collaborano per crittografare e decrittografare i file nei flussi di lavoro:

  1. Algoritmi di coppie di chiavi: utilizzati per generare le coppie di chiavi per la crittografia e le firme digitali public/private

  2. Algoritmi simmetrici: utilizzati per crittografare i dati effettivi del file (gli algoritmi di key pair crittografano la chiave simmetrica)

Algoritmi di key pair PGP

Scegli uno di questi algoritmi quando generi coppie di chiavi PGP per la decrittografia del flusso di lavoro:

RSA (consigliato)

Consigliato per la maggior parte degli utenti. Ampiamente supportato, consolidato e conforme allo standard FIPS. Fornisce un buon equilibrio tra sicurezza e compatibilità.

ECC (crittografia a curva ellittica)

Più efficiente di RSA con chiavi di dimensioni ridotte pur mantenendo una sicurezza elevata:

  • Curve NIST: curve standard ampiamente supportate e conformi a FIPS

  • BrainPool curve - Curve alternative per requisiti di conformità specifici

ElGamal

Algoritmo legacy. Supportato per la compatibilità con i sistemi precedenti. Usa RSA o ECC per nuove implementazioni.

Importante

Le chiavi Curve25519 non sono supportate.

Per istruzioni dettagliate sulla generazione di chiavi PGP, vedere. Genera chiavi PGP

Algoritmi di crittografia simmetrica PGP

Questi algoritmi crittografano i dati effettivi dei file. L'algoritmo utilizzato dipende da come il file PGP è stato creato dal software PGP:

Algoritmi conformi a FIPS (consigliati per ambienti regolamentati)

  • AES-128, AES-192, AES-256 - Advanced Encryption Standard (consigliato)

  • 3DES - Triple Data Encryption Standard (legacy, usa AES quando possibile)

Altri algoritmi supportati

  • IDEA, Blowfish CAST5, DES, CAMELLIA-128, CAMELIA-192 TwoFish, CAMELIA-256

Nota

Non si sceglie direttamente l'algoritmo simmetrico quando si utilizzano AWS Transfer Family i flussi di lavoro: è determinato dal software PGP utilizzato per creare il file crittografato. Tuttavia, è possibile configurare il software PGP in modo da preferire algoritmi conformi a FIPS come AES-256.

Per ulteriori informazioni sugli algoritmi simmetrici supportati, vedere. Algoritmi di crittografia simmetrica supportati