AWS Ansatz zur Kryptografie - AWS Präskriptive Leitlinien
AWS kryptografische GrundlagenKryptografische AlgorithmenEmpfohlene kryptografische Algorithmen in AWSKryptografie wird verwendet in AWS-Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Ansatz zur Kryptografie

Kryptografische Algorithmen sind mathematische Konstruktionen, die darauf ausgelegt sind, Sicherheitsdienste wie Vertraulichkeit (Verschlüsselung), Authentizität (Nachrichtenauthentifizierungscodes und digitale Signaturen) und Nichtabstreitbarkeit (digitale Signaturen) bereitzustellen. Wenn Sie mit Kryptografie, Verschlüsselung und verwandter Terminologie noch nicht vertraut sind, empfehlen wir Ihnen, die Informationen zur Datenverschlüsselung zu lesen, bevor Sie mit diesem Handbuch fortfahren.

AWS kryptografische Grundlagen

Kryptografie ist ein wesentlicher Bestandteil der Sicherheit für. AWS AWS-Services unterstützt die Verschlüsselung von Daten während der Übertragung, im Ruhezustand oder im Speicher.  In unserem Blogbeitrag, in dem das AWS Versprechen zur AWS digitalen Souveränität angekündigt wird, erfahren Sie mehr über das Engagement für Innovation und Investitionen in zusätzliche Kontrollen für Souveränität und Verschlüsselungsfunktionen.

AWS folgt dem Modell der gemeinsamen Verantwortung zum Schutz Ihrer Daten. AWS-Services verwendet vertrauenswürdige kryptografische Algorithmen, die Industriestandards erfüllen und die Interoperabilität fördern. Diese Algorithmen werden von öffentlichen Normungsgremien und der akademischen Forschung überprüft. Die damit verbundenen Standards werden von Regierungen, Industrie und Wissenschaft weitgehend akzeptiert.

AWS verwendet standardmäßig kryptografische Implementierungen mit hoher Sicherheit und bevorzugt hardwareoptimierte Lösungen, die effizient sind. Unsere kryptografische Kernbibliothek AWS-LC ist aus Gründen der Transparenz und branchenweiten Wiederverwendung als Open Source verfügbar. Die in AWS-LC empfohlenen kryptografischen Algorithmen wurden formal auf ihre Richtigkeit überprüft, und die Bibliothek wurde im Rahmen von 40 Programmen validiert. NIST's FIPS-1

Kryptografische Algorithmen

Wir definieren drei Arten von kryptografischen Algorithmen:

  • Asymmetrische Kryptografie verwendet ein Schlüsselpaar: einen öffentlichen Schlüssel für die Verschlüsselung (oder Überprüfung) und einen privaten Schlüssel für die Entschlüsselung (oder Signierung). Sie können den öffentlichen Schlüssel gemeinsam nutzen, da er nicht für die Entschlüsselung verwendet wird. Der Zugriff auf den privaten Schlüssel sollte jedoch stark eingeschränkt sein. AWS-Services Unterstützung oder Planung der Unterstützung von Post-Quantum-Algorithmen wie ML-KEM und ML-DSA. AWS-Services unterstützt auch traditionelle kryptografische Algorithmen wie RSA und Kryptografie mit elliptischen Kurven (ECC).

  • Die symmetrische Kryptografie verwendet denselben Schlüssel zum Verschlüsseln und Entschlüsseln oder Authentifizieren und Überprüfen der Daten. AWS-Services Für die Verschlüsselung von Daten im Ruhezustand wird in der Regel eine Integration mit AWS Key Management Service (AWS KMS) verwendet. Dabei wird der AES-256-Modus verwendet.  

  • Andere kryptografische Funktionen werden in Verbindung mit asymmetrischer und symmetrischer Kryptografie verwendet, um sichere, praktische Protokolle für Anwendungen in den Bereichen Vertraulichkeit, Integrität, Authentifizierung und Nichtabstreitbarkeit zu erstellen. Beispiele hierfür sind Hashfunktionen und Funktionen zur Schlüsselableitung.

Empfohlene kryptografische Algorithmen in AWS

In den folgenden Tabellen sind die kryptografischen Algorithmen, Modi und Schlüsselgrößen zusammengefasst, die für den Einsatz in allen Diensten zum Schutz Ihrer Daten AWS als geeignet erachtet werden. Diese Leitlinien werden sich im Laufe der Zeit mit der Weiterentwicklung der kryptografischen Standards weiterentwickeln.

Die in Diensten verfügbaren Algorithmen können variieren und werden in der Dokumentation für jeden Dienst erläutert. Wenn Sie eine Softwarebibliotheksimplementierung für einen zugelassenen Algorithmus benötigen, überprüfen Sie bitte, ob diese in der neuesten Version der AWS-LC-Bibliothek enthalten ist.

Algorithmen sind für die Verwendung in einer AWS von zwei Kategorien zugelassen:

  • Bevorzugte Algorithmen erfüllen die AWS Sicherheits- und Leistungsstandards.

  • Zulässige Algorithmen können aus Kompatibilitätsgründen in einigen Anwendungen verwendet werden, werden aber nicht bevorzugt.

Asymmetrische Kryptografie

In der folgenden Tabelle sind asymmetrische Algorithmen aufgeführt, die als geeignet für die Verwendung innerhalb von Algorithmen AWS für Verschlüsselung, Schlüsselvereinbarung und digitale Signaturen angesehen werden.

Typ

Algorithmus

Status

Verschlüsselung

RSA-OAEP (≥2048-Bit-Modul)

Akzeptabel

Verschlüsselung

HPKE (P-256 oder P-384, HKDF und AES-GCM)

Akzeptabel

Wichtige Vereinbarung

ML-KEM-768 oder ML-KEM-1024

Bevorzugt (quantenresistent)

Wichtige Vereinbarung

ECDSA mit P-256, P-384, P-521 oder Ed25519

Akzeptabel

Wichtige Vereinbarung

ECDH (E) mit Brainpool P256R1, Brainpool P384R1 oder Brainpool P512R1

Akzeptabel

Signatures (Signaturen)

ML-DSA-65 oder ML-DSA-87

Bevorzugt (quantenresistent)

Signatures (Signaturen)

SLH-DSA

Akzeptabel (quantenresistent)

Signatures (Signaturen)

ECDSA mit P-384

Akzeptabel

Signatures (Signaturen)

ECDSA mit P-256, P-521 oder Ed25519

Akzeptabel

Signatures (Signaturen)

RSA (≥2048-Bit-Modul)

Akzeptabel

Symmetrische Kryptografie

In der folgenden Tabelle sind symmetrische Algorithmen aufgeführt, die als geeignet erachtet werden, sie AWS für Verschlüsselung, authentifizierte Verschlüsselung und Schlüsselumhüllung zu verwenden.

Typ

Algorithmus

Status

Authentifizierte Verschlüsselung

AES-GCM-256

Bevorzugt

Authentifizierte Verschlüsselung

AES-GCM-128

Akzeptabel

Authentifizierte Verschlüsselung

ChaCha20/Poly1305

Akzeptabel

Verschlüsselungsmodi

AES-XTS-256 (für Blockspeicher)

Bevorzugt

Verschlüsselungsmodi

AES-CBC/CTR (nicht authentifizierte Modi)

Akzeptabel

Verpackung der Schlüssel

AES-GCM-256

Bevorzugt

Schlüsselverpackung

AES-KW oder AES-KWP mit 256-Bit-Schlüsseln

Akzeptabel

Andere kryptografische Funktionen

In der folgenden Tabelle sind Algorithmen aufgeführt, die für die Verwendung innerhalb von AWS Hashing, Schlüsselableitung und Nachrichtenauthentifizierung als geeignet erachtet werden.

Typ

Algorithmus

Status

Hashing

SHA-384

Bevorzugt

Hashing

SHA-1

Akzeptabel

Hashing

SHA3

Akzeptabel

Ableitung von Schlüsseln

HKDF_Expand oder HKDF mit SHA-256

Bevorzugt

Ableitung von Schlüsseln

Zählermodus KDF mit HMAC-SHA-256

Akzeptabel

Authentifizierungscode für Nachrichten

HMAC-SHA-384

Bevorzugt

Authentifizierungscode für Nachrichten

HMAC-SHA-256

Akzeptabel

Authentifizierungscode für Nachrichten

KMAC

Akzeptabel

Passwort-Hashing

verschlüsseln mit SHA384

Bevorzugt

Passwort-Hashing

PBKDF2

Akzeptabel

Kryptografie wird verwendet in AWS-Services

AWS-Services verlassen Sie sich zum Schutz Ihrer Daten auf sichere Open-Source-Implementierungen geprüfter Algorithmen. Die spezifischen Auswahlmöglichkeiten und Konfigurationen der Algorithmen variieren je nach Dienst. Einige AWS Tools und Dienste verwenden einen bestimmten Algorithmus. In anderen Fällen können Sie zwischen unterstützten Algorithmen und Schlüssellängen wählen oder die empfohlenen Standardwerte verwenden.

AWS Kryptografiedienste entsprechen einer Vielzahl von kryptografischen Sicherheitsstandards, sodass Sie behördliche oder branchenspezifische Vorschriften einhalten können. Eine vollständige Liste der Datensicherheitsstandards, die diesen Anforderungen AWS-Services entsprechen, finden Sie unter AWS Compliance-Programme.