Administración de claves SSH y PGP en Transfer Family - AWS Transfer Family
Descripción general del algoritmoAutenticación SSHAlgoritmos PGP

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de claves SSH y PGP en Transfer Family

En esta sección, encontrará información sobre las claves SSH, inclusive cómo generarlas y cómo rotarlas. Para obtener más información sobre el uso de Transfer Family with AWS Lambda para administrar las claves, consulte la entrada del blog Habilitar la administración de claves de autoservicio del usuario con A AWS Transfer Family y AWS Lambda.

nota

AWS Transfer Family acepta RSA, ECDSA y ED25519 claves para la autenticación SSH.

En esta sección también se explica cómo generar y administrar las claves Pretty Good Privacy (PGP).

Para obtener una descripción general completa de todos los algoritmos de cifrado y clave compatibles, incluidas las recomendaciones para los distintos casos de uso, consulte. Descripción general de los algoritmos clave y de cifrado

Descripción general de los algoritmos clave y de cifrado

AWS Transfer Family admite diferentes tipos de algoritmos para diferentes propósitos. Saber qué algoritmos usar para su caso de uso específico ayuda a garantizar transferencias de archivos seguras y compatibles.

Referencia rápida de algoritmos
Caso de uso Algoritmo recomendado Cumple con FIPS Notas
Autenticación SSH/SFTP RSA (rsa-sha2-256/512), ECDSA o ED25519 RSA: Sí, ECDSA: Sí, No ED25519 Compatible con todos los clientes y servidores SSH
Generación de claves PGP RSA o ECC (NIST) Para el descifrado del flujo de trabajo
Cifrado de archivos PGP AES-256 Determinado por el software PGP

Algoritmos de autenticación SSH

Estos algoritmos se utilizan para la SSH/SFTP autenticación entre clientes y AWS Transfer Family servidores. Elija uno de estos al generar pares de claves SSH para la autenticación de usuarios o las claves de host del servidor.

RSA (recomendado)

Compatible con todos los clientes y servidores SSH y compatible con FIPS. Úselo con el hash SHA-2 para mejorar la seguridad:

  • rsa-sha2-256- Recomendado para la mayoría de los casos de uso

  • rsa-sha2-512- Opción de mayor seguridad

ED25519

Moderna y eficiente. Llaves de menor tamaño con una gran seguridad:

  • ssh-ed25519- Rápido y seguro, pero no cumple con las normas FIPS

ECDSA

Opción de curva elíptica. Buen equilibrio entre seguridad y rendimiento:

  • ecdsa-sha2-nistp256- Curva estándar

  • ecdsa-sha2-nistp384- Curva de seguridad más alta

  • ecdsa-sha2-nistp521- La curva de seguridad más alta

nota

ssh-rsaRespaldamos SHA1 las políticas de seguridad más antiguas. Para obtener más información, consulte Algoritmos criptográficos.

Elegir el algoritmo SSH correcto

  • Para la mayoría de los usuarios: utilice RSA con o rsa-sha2-256 rsa-sha2-512

  • Para cumplir con las normas FIPS: utilice los algoritmos RSA o ECDSA

  • Para entornos modernos: ED25519 ofrece una seguridad y un rendimiento excelentes

Algoritmos de cifrado y descifrado PGP

PGP (Pretty Good Privacy) utiliza dos tipos de algoritmos que funcionan juntos para cifrar y descifrar archivos en los flujos de trabajo:

  1. Algoritmos de pares de claves: se utilizan para generar los pares de public/private claves para el cifrado y las firmas digitales

  2. Algoritmos simétricos: se utilizan para cifrar los datos reales del archivo (los algoritmos de pares de claves cifran la clave simétrica)

Algoritmos de key pair PGP

Elija uno de estos algoritmos al generar pares de claves PGP para el descifrado del flujo de trabajo:

RSA (recomendado)

Recomendado para la mayoría de los usuarios. Ampliamente compatible, bien establecido y compatible con FIPS. Ofrece un buen equilibrio entre seguridad y compatibilidad.

ECC (criptografía de curva elíptica)

Más eficiente que RSA con tamaños de clave más pequeños y, al mismo tiempo, mantiene una seguridad sólida:

  • Curvas NIST: las curvas estándar son ampliamente compatibles y cumplen con el FIPS

  • BrainPool curvas: curvas alternativas para requisitos de conformidad específicos

ElGamal

Algoritmo heredado. Compatible con sistemas antiguos. Utilice RSA o ECC para las nuevas implementaciones.

importante

No se admiten claves Curve25519.

Para obtener instrucciones detalladas sobre cómo generar claves PGP, consulte. Generar claves PGP

Algoritmos de cifrado simétrico PGP

Estos algoritmos cifran los datos reales de sus archivos. El algoritmo utilizado depende de cómo el software PGP haya creado el archivo PGP:

Algoritmos compatibles con el FIPS (recomendados para entornos regulados)

  • AES-128, AES-192, AES-256: estándar de cifrado avanzado (recomendado)

  • 3DES: estándar de triple cifrado de datos (antiguo, utiliza AES siempre que sea posible)

Otros algoritmos compatibles

  • IDEA, Blowfish CAST5, DES, CAMELLIA-128, TwoFish CAMELLIA-192, CAMELLIA-256

nota

El algoritmo simétrico no se elige directamente cuando se utilizan los AWS Transfer Family flujos de trabajo, sino que lo determina el software PGP utilizado para crear el archivo cifrado. Sin embargo, puede configurar su software PGP para que prefiera algoritmos compatibles con FIPS, como el AES-256.

Para obtener más información sobre los algoritmos simétricos compatibles, consulte. Algoritmos de cifrado simétrico compatibles