AWS approche de la cryptographie - AWS Conseils prescriptifs
AWS fondements cryptographiquesAlgorithmes cryptographiquesAlgorithmes cryptographiques recommandés dans AWSCryptographie utilisée dans Services AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS approche de la cryptographie

Les algorithmes cryptographiques sont des constructions mathématiques conçues pour fournir des services de sécurité tels que la confidentialité (cryptage), l'authenticité (codes d'authentification des messages et signatures numériques) et la non-répudiation (signatures numériques). Si vous débutez dans le domaine de la cryptographie, du chiffrement et de la terminologie associée, nous vous recommandons de lire À propos du chiffrement des données avant de lire ce guide.

AWS fondements cryptographiques

La cryptographie est un élément essentiel de la sécurité pour AWS. Services AWS prend en charge le chiffrement des données en transit, au repos ou en mémoire.  Pour en savoir plus sur l' AWS engagement en faveur de l'innovation et de l'investissement dans des contrôles supplémentaires pour la souveraineté et les fonctionnalités de chiffrement, consultez notre billet de blog annonçant l'engagement en faveur de la souverainetéAWS numérique.

AWS suit le modèle de responsabilité partagée pour protéger vos données. Services AWS utilisez des algorithmes cryptographiques fiables qui répondent aux normes du secteur et favorisent l'interopérabilité. Ces algorithmes sont approuvés par des organismes de normalisation publics et des chercheurs universitaires. Les normes associées sont largement acceptées par les gouvernements, l'industrie et le monde universitaire.

AWS opte par défaut pour des implémentations cryptographiques à haute assurance et préfère les solutions optimisées pour le matériel qui sont efficaces. Notre bibliothèque de base cryptographique, AWS-LC, est disponible en open source pour la transparence et la réutilisation à l'échelle de l'industrie. De nombreuses implémentations d'algorithmes cryptographiques dans AWS-LC sont formellement vérifiées pour garantir l'exactitude et la sécurité de l'implémentation sur plusieurs plateformes différentes. La bibliothèque est également validée dans le cadre du programme NIST's FIPS-1 40.

Algorithmes cryptographiques

Nous définissons trois types d'algorithmes cryptographiques :

  • La cryptographie asymétrique utilise une paire de clés : une clé publique pour le chiffrement (ou la vérification) et une clé privée pour le déchiffrement (ou la signature). Vous pouvez partager la clé publique car elle n'est pas utilisée pour le déchiffrement, mais l'accès à la clé privée doit être très restreint. Services AWS soutenir ou prévoir de prendre en charge des algorithmes post-quantiques, tels que ML-KEM et ML-DSA. Services AWS prennent également en charge les algorithmes cryptographiques traditionnels, tels que le RSA et la cryptographie à courbe elliptique (ECC).

  • La cryptographie symétrique utilise la même clé pour chiffrer et déchiffrer, ou pour authentifier et vérifier les données. Services AWS s'intègre généralement à AWS Key Management Service (AWS KMS) pour le chiffrement des données au repos, qui utilise un mode AES-256.  

  • D'autres fonctions cryptographiques sont utilisées conjointement avec la cryptographie asymétrique et symétrique pour créer des protocoles sécurisés et pratiques pour les applications de confidentialité, d'intégrité, d'authentification et de non-répudiation. Les exemples incluent les fonctions de hachage et les fonctions de dérivation de clés.

Algorithmes cryptographiques recommandés dans AWS

Les tableaux suivants résument les algorithmes, les modes et les tailles de clés cryptographiques considérés AWS comme appropriés pour un déploiement sur l'ensemble de ses services afin de protéger vos données. Ces directives évolueront au fil du temps au fur et à mesure de l'évolution des normes cryptographiques.

Les algorithmes disponibles au sein des services peuvent varier et sont expliqués dans la documentation de chaque service. Si vous avez besoin d'une implémentation de bibliothèque logicielle pour un algorithme approuvé, vérifiez s'il est inclus dans la dernière version de la bibliothèque AWS-LC.

Les algorithmes sont approuvés pour une utilisation dans AWS l'une des deux catégories suivantes :

  • Les algorithmes préférés répondent aux normes AWS de sécurité et de performance.

  • Des algorithmes acceptables peuvent être utilisés pour assurer la compatibilité dans certaines applications, mais ils ne sont pas préférés.

Cryptographie asymétrique

Le tableau suivant répertorie les algorithmes asymétriques considérés comme appropriés pour une utilisation dans le cadre AWS du chiffrement, de l'accord des clés et des signatures numériques.

Type

Algorithme

Statut

Chiffrement

RSA-OAEP (module ≥ 2048 bits)

Acceptable

Chiffrement

HPKE (P-256 ou P-384, HKDF et AES-GCM)

Acceptable

Accord-clé

ML-KEM-768 ou ML-KEM-1024

Préféré (résistant aux quanta)

Accord-clé

ECDH (E) avec P-256, P-384, P-521 ou X25519

Acceptable

Accord-clé

ECDH (E) avec Brainpool P256R1, Brainpool P384R1 ou Brainpool P512R1

Acceptable

Signatures

ML-DSA-65 ou ML-DSA-87

Préféré (résistant aux quanta)

Signatures

SLH-DSA

Acceptable (résistant aux quanta)

Signatures

ECDSA avec P-256, P-384, P-521 ou Ed25519

Acceptable

Signatures

RSA (module ≥ 2048 bits)

Acceptable

Cryptographie symétrique

Le tableau suivant répertorie les algorithmes symétriques considérés comme appropriés pour une utilisation dans le cadre AWS du chiffrement, du chiffrement authentifié et de l'encapsulation des clés.

Type

Algorithme

Statut

Chiffrement authentifié

AES-GCM-256

Préféré

Chiffrement authentifié

AES-GCM-128

Acceptable

Chiffrement authentifié

ChaCha20/Poly1305

Acceptable

Modes de chiffrement

AES-XTS-256 (pour le stockage par blocs)

Préféré

Modes de chiffrement

AES-CBC/CTR (modes non authentifiés)

Acceptable

Emballage des clés

AES-GCM-256

Préféré

Emballage des clés

AES-KW ou AES-KWP avec clés de 256 bits

Acceptable

Autres fonctions cryptographiques

Le tableau suivant répertorie les algorithmes considérés comme appropriés pour être utilisés dans le cadre AWS du hachage, de la dérivation de clés et de l'authentification des messages.

Type

Algorithme

Statut

Hachage

SHA-384

Préféré

Hachage

SHA-256

Acceptable

Hachage

SHA3

Acceptable

Dérivation clé

HKDF_Expand ou HKDF avec SHA-256

Préféré

Dérivation clé

Mode compteur KDF avec HMAC-SHA-256

Acceptable

Code d'authentification du message

HMAC-SHA-384

Préféré

Code d'authentification du message

HMAC-SHA-256

Acceptable

Code d'authentification du message

KMAC

Acceptable

Hachage du mot de passe

scrypt avec SHA384

Préféré

Hachage du mot de passe

PBKDF2

Acceptable

Cryptographie utilisée dans Services AWS

Services AWS misez sur des implémentations open source sécurisées d'algorithmes approuvés pour protéger vos données. Les choix et configurations spécifiques des algorithmes varient en fonction du service. Certains AWS outils et services utilisent un algorithme spécifique. Dans d'autres cas, vous pouvez choisir entre les algorithmes et les longueurs de clé pris en charge, ou vous pouvez utiliser les valeurs par défaut recommandées.

AWS les services cryptographiques sont conformes à un large éventail de normes de sécurité cryptographiques, ce qui vous permet de vous conformer aux réglementations gouvernementales ou industrielles. Pour une liste complète des normes de sécurité des données Services AWS conformes, consultez les programmes de AWS conformité.