Algoritmos de criptografia e Serviços da AWS - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Algoritmos de criptografia e Serviços da AWS

Um algoritmo de criptografia é uma fórmula ou procedimento que converte uma mensagem de texto simples em um texto cifrado criptografado. Se você não conhece a criptografia ou sua terminologia, recomendamos que leia Sobre a criptografia de dados antes de continuar com este guia.

AWS serviços de criptografia

AWS os serviços de criptografia dependem de algoritmos de criptografia seguros e de código aberto. Esses algoritmos são examinados por órgãos públicos de padrões e por pesquisas acadêmicas. Alguns serviços e ferramentas da AWS impõem o uso de um algoritmo específico. Em outros serviços, é possível escolher entre vários algoritmos e comprimentos de chave disponíveis ou usar os padrões recomendados.

Esta seção descreve alguns dos algoritmos que AWS as ferramentas e os serviços oferecem suporte. A criptografia pode ser dividida em duas categorias, simétrica e assimétrica, com base no funcionamento de suas chaves:

  • A criptografia simétrica usa a mesma chave para criptografar e descriptografar os dados. Serviços da AWS suportam o Advanced Encryption Standard (AES) e o Triple Data Encryption Standard (3DES ou TDES), que são dois algoritmos simétricos amplamente usados.

  • A criptografia simétrica usa um par de chaves: uma chave pública para criptografia e uma chave privada para descriptografia. Você pode compartilhar a chave pública porque ela não é usada para decodificação, mas o acesso à chave privada deve ser altamente restrito. Serviços da AWS normalmente suportam algoritmos assimétricos RSA e criptografia de curva elíptica (ECC).

AWS os serviços criptográficos estão em conformidade com uma ampla variedade de padrões de segurança criptográfica, para que você possa cumprir as regulamentações governamentais ou profissionais. Para obter uma lista completa dos padrões de segurança de dados que Serviços da AWS estão em conformidade, consulte os programas de AWS conformidade.

Sobre algoritmos criptográficos

A criptografia é uma parte essencial da segurança para AWS. Serviços da AWS suporta criptografia para dados em trânsito, em repouso ou na memória. Muitos também oferecem suporte à criptografia com chaves gerenciadas pelo cliente que são inacessíveis a. AWS Você pode aprender mais sobre o AWS compromisso com a inovação e o investimento em controles adicionais para recursos de soberania e criptografia no compromisso de soberania AWS digital (postagem no blog).AWS

AWS está comprometida em usar os algoritmos criptográficos mais seguros disponíveis para atender aos seus requisitos de segurança e desempenho. AWS usa como padrão algoritmos e implementações de alta garantia e prefere soluções otimizadas para hardware que sejam mais rápidas, melhorem a segurança e sejam mais eficientes em termos de energia. Consulte a AWS Crypto Library para obter algoritmos criptográficos otimizados, de alta garantia e formalmente verificados, em tempo constante. AWS segue o modelo de responsabilidade compartilhada e oferece opções de criptografia para atender aos seus requisitos individuais de segurança, conformidade e desempenho, ao mesmo tempo em que atende aos níveis de segurança aceitos pelo setor. Por exemplo, o Elastic Load Balancing oferece balanceadores de carga de aplicativos que fornecem várias políticas de segurança para o protocolo Transport Layer Security (TLS).

Serviços da AWS use algoritmos criptográficos confiáveis que atendam aos padrões do setor e promovam a interoperabilidade. Esses padrões são amplamente aceitos pelos governos, pela indústria e pela academia. É necessária uma análise considerável da comunidade global para que um algoritmo seja amplamente aceito. Também leva tempo para que se torne amplamente disponível no setor. A falta de análise e disponibilidade introduz desafios à interoperabilidade, à complexidade e aos riscos das implantações. AWS continua implantando novas opções criptográficas para atender a um alto nível de segurança e desempenho.

AWS acompanha de perto os desenvolvimentos criptográficos, os problemas de segurança e os resultados da pesquisa. À medida que algoritmos obsoletos e problemas de segurança são descobertos, eles são resolvidos. Para obter mais informações, consulte o Blog AWS de segurança. AWS continua comprometida em identificar problemas de compatibilidade com clientes que usam algoritmos de segurança antigos e em ajudar os clientes a migrar para opções mais seguras. AWS também permanece envolvido em novas áreas criptográficas, que incluem criptografia pós-quântica e computação criptográfica.

Algoritmos criptográficos

As tabelas a seguir listam os algoritmos criptográficos recomendados e seus status.

Criptografia assimétrica

A tabela a seguir lista os algoritmos assimétricos compatíveis para criptografia, acordo de chaves e assinaturas digitais.

Tipo Algoritmo Status
Criptografia RSA-OAEP (módulo de 2048 ou 3072 bits) Aceitável
Criptografia HPKE (P-256 ou P-384, HKDF e AES-GCM) Aceitável
Contrato chave ML-KEM-768 ou ML-KEM-1024 Preferencial (resistente a quânticos)
Contrato chave ECDH (E) com P-384 Aceitável
Contrato chave ECDH (E) com P-256, P-521 ou X25519 Aceitável
Contrato chave ECDH (E) com Brainpool P256R1, BrainPoolP384R1 ou BrainPool P512R1 Aceitável
Assinaturas ML-DSA-65 ou ML-DSA-87 Preferencial (resistente a quânticos)
Assinaturas SLH-DSA Preferencial (assinatura com resistência quântica software/firmware )
Assinaturas ECDSA com P-384 Aceitável
Assinaturas ECDSA com P-256, P-521 ou Ed25519 Aceitável
Assinaturas RSA-2048 ou RSA-3072 Aceitável

Criptografia simétrica

A tabela a seguir lista algoritmos simétricos compatíveis para criptografia, criptografia autenticada e empacotamento de chaves.

Tipo Algoritmo Status
Criptografia autenticada AES-GCM-256 Preferencial
Criptografia autenticada AES-GCM-128 Aceitável
Criptografia autenticada ChaCha20/Poliéster 1305 Aceitável
Modos de criptografia AES-XTS-256 (para armazenamento em bloco) Preferencial
Modos de criptografia AES-CBC/CTR (modos não autenticados) Aceitável
Embalagem de chaves AES-GCM-256 Preferencial
Embalagem de chaves AES-KW ou AES-KWP com chaves de 256 bits Aceitável

Funções criptográficas

A tabela a seguir lista os algoritmos compatíveis para hashing, derivação de chaves, autenticação de mensagens e hashing de senhas.

Tipo Algoritmo Status
Hashing SHA2-384 Preferencial
Hashing SHA2-256 Aceitável
Hashing SHA3 Aceitável
Derivação de chave HKDF_Expand ou HKDF com -256 SHA2 Preferencial
Derivação de chave Modo de contador KDF com HMAC- -256 SHA2 Aceitável
Código de autenticação de mensagens HMAC-384 SHA2 Preferencial
Código de autenticação de mensagens HMAC-256 SHA2 Aceitável
Código de autenticação de mensagens KMAC Aceitável
Hash de senha criptografar com SHA384 Preferencial
Hash de senha PBKDF2 Aceitável