Transfer Family での SSH キーと PGP キーの管理 - AWS Transfer Family
アルゴリズムの概要SSH 認証PGP アルゴリズム

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Transfer Family での SSH キーと PGP キーの管理

このセクションでは、SSHキーの生成方法やローテーション方法など、SSHキーに関する情報を見ることができます。で Transfer Family を使用してキー AWS Lambda を管理する方法の詳細については、ブログ記事「Enabling user self-service key management with AWS Transfer Family and AWS Lambda」を参照してください。複数の SSH キーを持つユーザーの自動デプロイと管理については、「」を参照してくださいTransfer Family Terraform モジュール

注記

AWS Transfer Family は、SSH 認証用の RSA、ECDSA、ED25519 キーを受け入れます。

このセクションでは、プリティ・グッド・プライバシー (PGP) キーを生成して管理する方法についても説明します。

さまざまなユースケースの推奨事項など、サポートされているすべての暗号化アルゴリズムとキーアルゴリズムの包括的な概要については、「」を参照してください暗号化とキーアルゴリズムの概要

暗号化とキーアルゴリズムの概要

AWS Transfer Family は、さまざまな目的でさまざまなタイプのアルゴリズムをサポートしています。特定のユースケースで使用するアルゴリズムを理解することで、安全で互換性のあるファイル転送を確保できます。

アルゴリズムクイックリファレンス
ユースケース 推奨アルゴリズム FIPS 準拠 メモ
SSH/SFTP 認証 RSA (rsa-sha2-256/512)、ECDSA、または ED25519 RSA: はい、ECDSA: はい、ED25519: いいえ すべての SSH クライアントおよびサーバーと互換性があります
PGP キーの生成 RSA または ECC (NIST) あり ワークフロー復号の場合
PGP ファイルの暗号化 AES-256 あり PGP ソフトウェアによって決定

SSH 認証アルゴリズム

これらのアルゴリズムは、クライアントと AWS Transfer Family サーバー間の SSH/SFTP 認証に使用されます。ユーザー認証またはサーバーホストキーの SSH キーペアを生成するときは、次のいずれかを選択します。

RSA (推奨)

すべての SSH クライアントおよびサーバーと互換性があり、FIPS に準拠しています。セキュリティを強化するために SHA-2 ハッシュで を使用します。

  • rsa-sha2-256 - ほとんどのユースケースに推奨

  • rsa-sha2-512 - セキュリティオプションの強化

ED25519

モダンで効率的。セキュリティが強化された小さなキーサイズ:

  • ssh-ed25519 - 高速で安全ですが、FIPS に準拠していません

ECDSA

楕円曲線オプション。セキュリティとパフォーマンスの適切なバランス:

  • ecdsa-sha2-nistp256 - 標準曲線

  • ecdsa-sha2-nistp384 - セキュリティ曲線の向上

  • ecdsa-sha2-nistp521 - 最高のセキュリティ曲線

注記

SHA1 ssh-rsaでは、古いセキュリティポリシーがサポートされています。詳細については、「暗号アルゴリズム」を参照してください。

適切な SSH アルゴリズムの選択

  • ほとんどのユーザーの場合: rsa-sha2-256または で RSA を使用する rsa-sha2-512

  • FIPS コンプライアンスの場合: RSA または ECDSA アルゴリズムを使用する

  • 最新の環境の場合: ED25519 は優れたセキュリティとパフォーマンスを提供します

PGP 暗号化および復号アルゴリズム

PGP (プリティグッドプライバシー) は、ワークフロー内のファイルを暗号化および復号化するために連携する 2 種類のアルゴリズムを使用します。

  1. キーペアアルゴリズム - 暗号化とデジタル署名のパブリック/プライベートキーペアを生成するために使用されます

  2. 対称アルゴリズム - 実際のファイルデータを暗号化するために使用されます (キーペアアルゴリズムは対称キーを暗号化します)

PGP キーペアアルゴリズム

ワークフロー復号用の PGP キーペアを生成するときは、次のいずれかのアルゴリズムを選択します。

RSA (推奨)

ほとんどのユーザーに推奨されます。幅広くサポートされ、十分に確立され、FIPS に準拠しています。セキュリティと互換性のバランスが取れています。

ECC (楕円曲線暗号化)

強力なセキュリティを維持しながら、キーサイズが小さい RSA よりも効率的です。

  • NIST 曲線 - 標準曲線は広くサポートされ、FIPS に準拠しています。

  • BrainPool 曲線 - 特定のコンプライアンス要件の代替曲線

ElGamal

レガシーアルゴリズム。古いシステムとの互換性のためにサポートされています。新しい実装には RSA または ECC を使用します。

重要

Curve25519 キーはサポートされていません。

PGP キーを生成する詳細な手順については、「」を参照してくださいPGP キーを生成する

PGP 対称暗号化アルゴリズム

これらのアルゴリズムは、実際のファイルデータを暗号化します。使用されるアルゴリズムは、PGP ソフトウェアによって PGP ファイルがどのように作成されたかによって異なります。

FIPS 準拠のアルゴリズム (規制対象環境に推奨)

  • AES-128, AES-192, AES-256 - 高度な暗号化標準 (推奨)

  • 3DES - トリプルデータ暗号化標準 (レガシー、可能であれば AES を使用)

サポートされているその他のアルゴリズム

  • IDEA、CAST5、Blowfish、DES、 TwoFish、CAMELLIA-128, CAMELLIA-192, CAMELLIA-256

注記

ワークフローを使用する AWS Transfer Family ときは、対称アルゴリズムを直接選択しません。これは、暗号化されたファイルの作成に使用される PGP ソフトウェアによって決まります。ただし、AES-256 などの FIPS 準拠のアルゴリズムを優先するように PGP ソフトウェアを設定できます。

サポートされている対称アルゴリズムの詳細については、「」を参照してくださいサポートされている対称暗号化アルゴリズム