Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione delle chiavi SSH e PGP in Transfer Family
In questa sezione, puoi trovare informazioni sulle chiavi SSH, incluso come generarle e come ruotarle. Per i dettagli sull'utilizzo di Transfer Family with AWS Lambda per gestire le chiavi, consulta il post del blog Enabling user self-service key management with A AWS Transfer Family and AWS Lambda
Nota
AWS Transfer Family accetta RSA, ECDSA e ED25519 chiavi per l'autenticazione SSH.
Questa sezione spiega anche come generare e gestire le chiavi Pretty Good Privacy (PGP).
Per una panoramica completa di tutti gli algoritmi di crittografia e chiave supportati, inclusi consigli per diversi casi d'uso, consulta. Panoramica sulla crittografia e sugli algoritmi chiave
Panoramica sulla crittografia e sugli algoritmi chiave
AWS Transfer Family supporta diversi tipi di algoritmi per scopi diversi. La comprensione degli algoritmi da utilizzare per il caso d'uso specifico aiuta a garantire trasferimenti di file sicuri e compatibili.
Caso d'uso | Algoritmo consigliato | Conforme a FIPS | Note |
---|---|---|---|
Autenticazione SSH/SFTP | RSA (rsa-sha2-256/512), ECDSA o ED25519 | RSA: Sì, ECSA: Sì, no ED25519 | Compatibile con tutti i client e server SSH |
Generazione di chiavi PGP | RSA o ECC (NIST) | Sì | Per la decrittografia del flusso di lavoro |
Crittografia dei file PGP | AES-256 | Sì | Determinato dal software PGP |
Algoritmi di autenticazione SSH
Questi algoritmi vengono utilizzati per SSH/SFTP l'autenticazione tra client e AWS Transfer Family server. Scegli uno di questi quando generi coppie di chiavi SSH per l'autenticazione dell'utente o le chiavi dell'host del server.
- RSA (consigliato)
-
Compatibile con tutti i client e server SSH e conforme a FIPS. Utilizzalo con l'hashing SHA-2 per una maggiore sicurezza:
-
rsa-sha2-256
- Consigliato per la maggior parte dei casi d'uso -
rsa-sha2-512
- Opzione di sicurezza più elevata
-
- ED25519
-
Moderno ed efficiente. Chiavi di dimensioni ridotte con elevata sicurezza:
-
ssh-ed25519
- Veloce e sicuro, ma non conforme allo standard FIPS
-
- ECDSA
-
Opzione curva ellittica. Buon equilibrio tra sicurezza e prestazioni:
-
ecdsa-sha2-nistp256
- Curva standard -
ecdsa-sha2-nistp384
- Curva di sicurezza più elevata -
ecdsa-sha2-nistp521
- Curva di sicurezza più elevata
-
Nota
Supportiamo ssh-rsa
SHA1 le politiche di sicurezza più vecchie. Per informazioni dettagliate, consultare Algoritmi crittografici.
Scegliere l'algoritmo SSH giusto
-
Per la maggior parte degli utenti: usa RSA con o
rsa-sha2-256
rsa-sha2-512
-
Per la conformità FIPS: utilizza algoritmi RSA o ECDSA
-
Per ambienti moderni: ED25519 offre sicurezza e prestazioni eccellenti
Algoritmi di crittografia e decrittografia PGP
PGP (Pretty Good Privacy) utilizza due tipi di algoritmi che collaborano per crittografare e decrittografare i file nei flussi di lavoro:
-
Algoritmi di coppie di chiavi: utilizzati per generare le coppie di chiavi per la crittografia e le firme digitali public/private
-
Algoritmi simmetrici: utilizzati per crittografare i dati effettivi del file (gli algoritmi di key pair crittografano la chiave simmetrica)
Algoritmi di key pair PGP
Scegli uno di questi algoritmi quando generi coppie di chiavi PGP per la decrittografia del flusso di lavoro:
- RSA (consigliato)
-
Consigliato per la maggior parte degli utenti. Ampiamente supportato, consolidato e conforme allo standard FIPS. Fornisce un buon equilibrio tra sicurezza e compatibilità.
- ECC (crittografia a curva ellittica)
-
Più efficiente di RSA con chiavi di dimensioni ridotte pur mantenendo una sicurezza elevata:
-
Curve NIST: curve standard ampiamente supportate e conformi a FIPS
-
BrainPool curve - Curve alternative per requisiti di conformità specifici
-
- ElGamal
-
Algoritmo legacy. Supportato per la compatibilità con i sistemi precedenti. Usa RSA o ECC per nuove implementazioni.
Importante
Le chiavi Curve25519 non sono supportate.
Per istruzioni dettagliate sulla generazione di chiavi PGP, vedere. Genera chiavi PGP
Algoritmi di crittografia simmetrica PGP
Questi algoritmi crittografano i dati effettivi dei file. L'algoritmo utilizzato dipende da come il file PGP è stato creato dal software PGP:
Algoritmi conformi a FIPS (consigliati per ambienti regolamentati)
-
AES-128, AES-192, AES-256 - Advanced Encryption Standard (consigliato)
-
3DES - Triple Data Encryption Standard (legacy, usa AES quando possibile)
Altri algoritmi supportati
-
IDEA, Blowfish CAST5, DES, CAMELLIA-128, CAMELIA-192 TwoFish, CAMELIA-256
Nota
Non si sceglie direttamente l'algoritmo simmetrico quando si utilizzano AWS Transfer Family i flussi di lavoro: è determinato dal software PGP utilizzato per creare il file crittografato. Tuttavia, è possibile configurare il software PGP in modo da preferire algoritmi conformi a FIPS come AES-256.
Per ulteriori informazioni sugli algoritmi simmetrici supportati, vedere. Algoritmi di crittografia simmetrica supportati