암호화 알고리즘 및 AWS 서비스 - AWS 권장 가이드
AWS 암호화 서비스암호화 알고리즘 정보암호화 알고리즘

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

암호화 알고리즘 및 AWS 서비스

암호화 알고리즘은 일반 텍스트 메시지를 암호화된 사이퍼텍스트로 변환하는 공식 또는 프로시저입니다. 암호화 또는 해당 용어를 처음 사용하는 경우이 가이드를 진행하기 전에 데이터 암호화 정보를 읽는 것이 좋습니다.

AWS 암호화 서비스

AWS 암호화 서비스는 안전한 오픈 소스 암호화 알고리즘을 사용합니다. 이러한 알고리즘은 공공 표준 기관과 학술 연구의 심사를 거칩니다. 일부 AWS 도구와 서비스는 특정 알고리즘 사용을 강제합니다. 다른 서비스에서는 사용 가능한 여러 알고리즘과 키 길이 중에서 선택하거나 권장되는 기본값을 사용할 수 있습니다.

이 섹션에서는 AWS 도구 및 서비스가 지원하는 일부 알고리즘에 대해 설명합니다. 키의 작동 방식에 따라 대칭과 비대칭의 두 가지 범주로 나뉩니다.

  • 대칭 암호화는 동일한 키를 사용하여 데이터를 암호화하고 해독합니다.는 널리 사용되는 두 가지 대칭 알고리즘인 고급 암호화 표준(AES) 및 트리플 데이터 암호화 표준(3DES 또는 TDES)을 AWS 서비스 지원합니다.

  • 비대칭 암호화는 한 쌍의 키, 즉 암호화를 위한 퍼블릭 키와 복호화를 위한 프라이빗 키를 사용합니다. 퍼블릭 키는 복호화에 사용되지 않으므로 공유할 수 있지만 프라이빗 키에 대한 액세스는 매우 제한되어야 합니다. AWS 서비스 일반적으로 RSA 및 타원 곡선 암호화(ECC) 비대칭 알고리즘을 지원합니다.

AWS 암호화 서비스는 광범위한 암호화 보안 표준을 준수하므로 정부 또는 전문 규정을 준수할 수 있습니다. 가 AWS 서비스 준수하는 데이터 보안 표준의 전체 목록은 AWS 규정 준수 프로그램을 참조하세요.

암호화 알고리즘 정보

암호화는에 대한 보안의 필수적인 부분입니다 AWS.는 전송 중, 저장 중 또는 메모리에 있는 데이터에 대한 암호화를 AWS 서비스 지원합니다. 또한 액세스할 수 없는 고객 관리형 키를 사용한 암호화도 지원합니다 AWS. 디지털 주권 AWS 서약(AWS 블로그 게시물)에서 혁신에 대한 AWS 노력과 주권 및 암호화 기능에 대한 추가 제어에 대한 투자에 대해 자세히 알아볼 수 있습니다.

AWS 는 가장 안전한 암호화 알고리즘을 사용하여 보안 및 성능 요구 사항을 충족하기 위해 최선을 다하고 있습니다. AWS 기본값은 높은 보장 알고리즘 및 구현이며 더 빠르고 보안을 개선하며 에너지 효율적인 하드웨어 최적화 솔루션을 선호합니다. 최적화되고 보장력이 높으며 공식적으로 확인된 상수 시간 암호화 알고리즘은 AWS Crypto 라이브러리를 참조하세요. AWS 는 공동 책임 모델을 따르고 개별 보안, 규정 준수 및 성능 요구 사항을 충족하는 동시에 업계에서 허용되는 보안 수준을 충족하는 암호화 옵션을 제공합니다. 예를 들어 Elastic Load Balancing은 전송 계층 보안(TLS) 프로토콜에 대한 다양한 보안 정책을 제공하는 Application Load Balancer를 제공합니다.

AWS 서비스 는 업계 표준을 충족하고 상호 운용성을 촉진하는 신뢰할 수 있는 암호화 알고리즘을 사용합니다. 이러한 표준은 정부, 산업 및 학계에서 널리 받아들여집니다. 알고리즘이 널리 받아들여지기 위해서는 글로벌 커뮤니티에서 상당한 분석이 필요합니다. 또한 업계 내에서 널리 사용할 수 있게 되려면 시간이 걸립니다. 분석 및 가용성이 부족하면 배포의 상호 운용성, 복잡성 및 위험에 문제가 발생합니다.는 보안 및 성능에 대한 높은 기준을 충족하기 위해 새로운 암호화 옵션을 AWS 계속 배포합니다.

AWS 는 암호화 개발, 보안 문제 및 연구 결과를 면밀히 추적합니다. 더 이상 사용되지 않는 알고리즘과 보안 문제가 발견되면 해결됩니다. 자세한 내용은 Security AWS Blog. AWS remains는 레거시 보안 알고리즘을 사용하는 클라이언트와의 호환성 문제를 식별하고 고객이 더 안전한 옵션으로 마이그레이션하도록 지원하는 데 최선을 다하고 있습니다. AWS 또한 포스트 퀀텀 암호화암호화 컴퓨팅을 포함하는 새로운 암호화 영역에도 계속 관여합니다.

암호화 알고리즘

다음 표에는 권장 암호화 알고리즘과 그 상태가 나와 있습니다.

비대칭 암호화

다음 표에는 암호화, 키 계약 및 디지털 서명에 대해 지원되는 비대칭 알고리즘이 나열되어 있습니다.

유형 알고리즘 상태 표시기
암호화 RSA-OAEP(2048 또는 3072비트 모듈러스) 허용 가능
암호화 HPKE(P-256 또는 P-384, HKDF 및 AES-GCM) 허용 가능
키 계약 ML-KEM-768 또는 ML-KEM-1024 선호(양자 저항)
키 계약 P-384를 사용하는 ECDH(E) 허용 가능
키 계약 P-256, P-521 또는 X25519를 사용하는 ECDH(E) 허용 가능
키 계약 brainpoolP256r1, brainpoolP384r1 또는 brainpoolP512r1을 사용하는 ECDH(E) 허용 가능
서명 ML-DSA-65 또는 ML-DSA-87 선호(양자 저항)
서명 SLH-DSA 선호(양자 방지 소프트웨어/펌웨어 서명)
서명 P-384를 사용하는 ECDSA 허용 가능
서명 P-256, P-521 또는 Ed25519를 사용하는 ECDSA 허용 가능
서명 RSA-2048 또는 RSA-3072 허용 가능

대칭 암호화

다음 표에는 암호화, 인증된 암호화 및 키 래핑에 지원되는 대칭 알고리즘이 나열되어 있습니다.

유형 알고리즘 상태 표시기
인증된 암호화 AES-GCM-256 선호
인증된 암호화 AES-GCM-128 허용 가능
인증된 암호화 ChaCha20/Poly1305 허용 가능
암호화 모드 AES-XTS-256(블록 스토리지용) 선호
암호화 모드 AES-CBC/CTR(인증되지 않은 모드) 허용 가능
키 래핑 AES-GCM-256 선호
키 래핑 256비트 키가 있는 AES-KW 또는 AES-KWP 허용 가능

암호화 함수

다음 표에는 해싱, 키 파생, 메시지 인증 및 암호 해싱에 지원되는 알고리즘이 나열되어 있습니다.

유형 알고리즘 상태 표시기
해싱 SHA2-384 선호
해싱 SHA2-256 허용 가능
해싱 SHA3 허용 가능
키 파생 SHA2-256을 사용한 HKDF_Expand 또는 HKDF 선호
키 파생 HMAC-SHA2-256을 사용한 카운터 모드 KDF 허용 가능
메시지 인증 코드 HMAC-SHA2-384 선호
메시지 인증 코드 HMAC-SHA2-256 허용 가능
메시지 인증 코드 KMAC 허용 가능
암호 해싱 SHA384를 사용한 암호화 선호
암호 해싱 PBKDF2 허용 가능