As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Algoritmos de criptografia e Serviços da AWS
Um algoritmo de criptografia é uma fórmula ou procedimento que converte uma mensagem de texto simples em um texto cifrado criptografado. Se você não conhece a criptografia ou sua terminologia, recomendamos que leia Sobre a criptografia de dados antes de continuar com este guia.
AWS serviços de criptografia
AWS os serviços de criptografia dependem de algoritmos de criptografia seguros e de código aberto. Esses algoritmos são examinados por órgãos públicos de padrões e por pesquisas acadêmicas. Alguns serviços e ferramentas da AWS impõem o uso de um algoritmo específico. Em outros serviços, é possível escolher entre vários algoritmos e comprimentos de chave disponíveis ou usar os padrões recomendados.
Esta seção descreve alguns dos algoritmos que AWS as ferramentas e os serviços oferecem suporte. A criptografia pode ser dividida em duas categorias, simétrica e assimétrica, com base no funcionamento de suas chaves:
-
A criptografia simétrica usa a mesma chave para criptografar e descriptografar os dados. Serviços da AWS suportam o Advanced Encryption Standard (AES) e o Triple Data Encryption Standard (3DES ou TDES), que são dois algoritmos simétricos amplamente usados.
-
A criptografia simétrica usa um par de chaves: uma chave pública para criptografia e uma chave privada para descriptografia. Você pode compartilhar a chave pública porque ela não é usada para decodificação, mas o acesso à chave privada deve ser altamente restrito. Serviços da AWS normalmente suportam algoritmos assimétricos RSA e criptografia de curva elíptica (ECC).
AWS os serviços criptográficos estão em conformidade com uma ampla variedade de padrões de segurança criptográfica, para que você possa cumprir as regulamentações governamentais ou profissionais. Para obter uma lista completa dos padrões de segurança de dados que Serviços da AWS estão em conformidade, consulte os programas de AWS conformidade
Sobre algoritmos criptográficos
A criptografia é uma parte essencial da segurança para AWS. Serviços da AWS suporta criptografia para dados em trânsito, em repouso ou na memória. Muitos também oferecem suporte à criptografia com chaves gerenciadas pelo cliente que são inacessíveis a. AWS Você pode aprender mais sobre o AWS
compromisso com a inovação e o investimento em controles adicionais para recursos de soberania e criptografia no compromisso de soberania AWS digital
AWS está comprometida em usar os algoritmos criptográficos mais seguros disponíveis para atender aos seus requisitos de segurança e desempenho. AWS usa como padrão algoritmos e implementações de alta garantia e prefere soluções otimizadas para hardware que sejam mais rápidas, melhorem a segurança e sejam mais eficientes em termos de energia. Consulte a AWS Crypto Library
Serviços da AWS use algoritmos criptográficos confiáveis que atendam aos padrões do setor e promovam a interoperabilidade. Esses padrões são amplamente aceitos pelos governos, pela indústria e pela academia. É necessária uma análise considerável da comunidade global para que um algoritmo seja amplamente aceito. Também leva tempo para que se torne amplamente disponível no setor. A falta de análise e disponibilidade introduz desafios à interoperabilidade, à complexidade e aos riscos das implantações. AWS continua implantando novas opções criptográficas para atender a um alto nível de segurança e desempenho.
AWS acompanha de perto os desenvolvimentos criptográficos, os problemas de segurança e os resultados da pesquisa. À medida que algoritmos obsoletos e problemas de segurança são descobertos, eles são resolvidos. Para obter mais informações, consulte o Blog AWS de segurança
Algoritmos criptográficos
As tabelas a seguir listam os algoritmos criptográficos recomendados e seus status.
Criptografia assimétrica
A tabela a seguir lista os algoritmos assimétricos compatíveis para criptografia, acordo de chaves e assinaturas digitais.
Tipo | Algoritmo | Status |
---|---|---|
Criptografia | RSA-OAEP (módulo de 2048 ou 3072 bits) | Aceitável |
Criptografia | HPKE (P-256 ou P-384, HKDF e AES-GCM) | Aceitável |
Contrato chave | ML-KEM-768 ou ML-KEM-1024 | Preferencial (resistente a quânticos) |
Contrato chave | ECDH (E) com P-384 | Aceitável |
Contrato chave | ECDH (E) com P-256, P-521 ou X25519 | Aceitável |
Contrato chave | ECDH (E) com Brainpool P256R1, BrainPoolP384R1 ou BrainPool P512R1 | Aceitável |
Assinaturas | ML-DSA-65 ou ML-DSA-87 | Preferencial (resistente a quânticos) |
Assinaturas | SLH-DSA | Preferencial (assinatura com resistência quântica software/firmware ) |
Assinaturas | ECDSA com P-384 | Aceitável |
Assinaturas | ECDSA com P-256, P-521 ou Ed25519 | Aceitável |
Assinaturas | RSA-2048 ou RSA-3072 | Aceitável |
Criptografia simétrica
A tabela a seguir lista algoritmos simétricos compatíveis para criptografia, criptografia autenticada e empacotamento de chaves.
Tipo | Algoritmo | Status |
---|---|---|
Criptografia autenticada | AES-GCM-256 | Preferencial |
Criptografia autenticada | AES-GCM-128 | Aceitável |
Criptografia autenticada | ChaCha20/Poliéster 1305 | Aceitável |
Modos de criptografia | AES-XTS-256 (para armazenamento em bloco) | Preferencial |
Modos de criptografia | AES-CBC/CTR (modos não autenticados) | Aceitável |
Embalagem de chaves | AES-GCM-256 | Preferencial |
Embalagem de chaves | AES-KW ou AES-KWP com chaves de 256 bits | Aceitável |
Funções criptográficas
A tabela a seguir lista os algoritmos compatíveis para hashing, derivação de chaves, autenticação de mensagens e hashing de senhas.
Tipo | Algoritmo | Status |
---|---|---|
Hashing | SHA2-384 | Preferencial |
Hashing | SHA2-256 | Aceitável |
Hashing | SHA3 | Aceitável |
Derivação de chave | HKDF_Expand ou HKDF com -256 SHA2 | Preferencial |
Derivação de chave | Modo de contador KDF com HMAC- -256 SHA2 | Aceitável |
Código de autenticação de mensagens | HMAC-384 SHA2 | Preferencial |
Código de autenticação de mensagens | HMAC-256 SHA2 | Aceitável |
Código de autenticação de mensagens | KMAC | Aceitável |
Hash de senha | criptografar com SHA384 | Preferencial |
Hash de senha | PBKDF2 | Aceitável |