Gestion des clés SSH et PGP dans Transfer Family - AWS Transfer Family
Présentation de l'algorithmeAuthentification SSHAlgorithmes PGP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des clés SSH et PGP dans Transfer Family

Dans cette section, vous trouverez des informations sur les clés SSH, notamment sur la façon de les générer et de les faire pivoter. Pour en savoir plus sur l'utilisation de Transfer Family with AWS Lambda pour gérer les clés, consultez le billet de blog Enabling user self-service key management with AWS Transfer Family and AWS Lambda. Pour le déploiement et la gestion automatisés des utilisateurs utilisant plusieurs clés SSH, consultezModules Transfer Family Terraform.

Note

AWS Transfer Family accepte le RSA, l'ECDSA et les ED25519 clés pour l'authentification SSH.

Cette section explique également comment générer et gérer les clés Pretty Good Privacy (PGP).

Pour un aperçu complet de tous les algorithmes de chiffrement et de clé pris en charge, y compris des recommandations pour différents cas d'utilisation, voirVue d'ensemble des algorithmes de chiffrement et de clé.

Vue d'ensemble des algorithmes de chiffrement et de clé

AWS Transfer Family prend en charge différents types d'algorithmes à des fins différentes. Comprendre les algorithmes à utiliser pour votre cas d'utilisation spécifique permet de garantir des transferts de fichiers sécurisés et compatibles.

Référence rapide de l'algorithme
Cas d’utilisation Algorithme recommandé Conforme à la norme FIPS Remarques
Authentification SSH/SFTP RSA (rsa-sha2-256/512), ECDSA ou ED25519 RSA : Oui, ECDSA : Oui, Non ED25519 Compatible avec tous les clients et serveurs SSH
Génération de clés PGP RSA ou ECC (NIST) Oui Pour le déchiffrement du flux de travail
Chiffrement de fichiers PGP AES-256 Oui Déterminé par le logiciel PGP

Algorithmes d'authentification SSH

Ces algorithmes sont utilisés pour SSH/SFTP l'authentification entre les clients et AWS Transfer Family les serveurs. Choisissez l'une de ces options lorsque vous générez des paires de clés SSH pour l'authentification des utilisateurs ou des clés d'hôte du serveur.

RSA (recommandé)

Compatible avec tous les clients et serveurs SSH, et conforme à la norme FIPS. À utiliser avec le hachage SHA-2 pour une sécurité renforcée :

  • rsa-sha2-256- Recommandé pour la plupart des cas d'utilisation

  • rsa-sha2-512- Option de sécurité accrue

ED25519

Moderne et efficace. Des clés de plus petite taille avec une sécurité renforcée :

  • ssh-ed25519- Rapide et sécurisé, mais non conforme à la norme FIPS

ECDSA

Option de courbe elliptique. Bon équilibre entre sécurité et performance :

  • ecdsa-sha2-nistp256- Courbe standard

  • ecdsa-sha2-nistp384- Courbe de sécurité plus élevée

  • ecdsa-sha2-nistp521- Courbe de sécurité la plus élevée

Note

Nous prenons ssh-rsa en charge SHA1 les anciennes politiques de sécurité. Pour en savoir plus, consultez Algorithmes cryptographiques.

Choisir le bon algorithme SSH

  • Pour la plupart des utilisateurs : utilisez RSA avec ou rsa-sha2-256 rsa-sha2-512

  • Pour la conformité à la norme FIPS : utilisez les algorithmes RSA ou ECDSA

  • Pour les environnements modernes : ED25519 offre une sécurité et des performances excellentes

Algorithmes de chiffrement et de déchiffrement PGP

PGP (Pretty Good Privacy) utilise deux types d'algorithmes qui fonctionnent ensemble pour chiffrer et déchiffrer les fichiers dans les flux de travail :

  1. Algorithmes de paires de clés : utilisés pour générer les paires de public/private clés pour le chiffrement et les signatures numériques

  2. Algorithmes symétriques : utilisés pour chiffrer les données réelles du fichier (les algorithmes de paires de clés chiffrent la clé symétrique)

Algorithmes de paires de clés PGP

Choisissez l'un des algorithmes suivants lorsque vous générez des paires de clés PGP pour le déchiffrement du flux de travail :

RSA (recommandé)

Recommandé pour la plupart des utilisateurs. Largement pris en charge, bien établi et conforme à la norme FIPS. Assure un bon équilibre entre sécurité et compatibilité.

ECC (cryptographie à courbe elliptique)

Plus efficace que RSA avec des clés de plus petite taille tout en garantissant une sécurité renforcée :

  • Courbes NIST - Courbes standard largement prises en charge et conformes à la norme FIPS

  • BrainPool courbes - Courbes alternatives pour des exigences de conformité spécifiques

ElGamal

Algorithme hérité. Pris en charge pour la compatibilité avec les anciens systèmes. Utilisez RSA ou ECC pour les nouvelles implémentations.

Important

Les touches Curve25519 ne sont pas prises en charge.

Pour obtenir des instructions détaillées sur la génération de clés PGP, consultezGénération de clés PGP.

Algorithmes de chiffrement symétrique PGP

Ces algorithmes chiffrent les données réelles de vos fichiers. L'algorithme utilisé dépend de la façon dont le fichier PGP a été créé par votre logiciel PGP :

Algorithmes conformes à la norme FIPS (recommandés pour les environnements réglementés)

  • AES-128, AES-192, AES-256 - Norme de chiffrement avancée (recommandée)

  • 3DES - Triple Data Encryption Standard (ancienne norme, utilisez AES dans la mesure du possible)

Autres algorithmes pris en charge

  • IDEA, Blowfish CAST5, DES, CAMÉLIA-128, TwoFish CAMÉLIA-192, CAMÉLIA-256

Note

Vous ne choisissez pas directement l'algorithme symétrique lorsque vous utilisez des AWS Transfer Family flux de travail. Il est déterminé par le logiciel PGP utilisé pour créer le fichier crypté. Cependant, vous pouvez configurer votre logiciel PGP pour qu'il préfère les algorithmes conformes à la norme FIPS tels que l'AES-256.

Pour plus d'informations sur les algorithmes symétriques pris en charge, consultezAlgorithmes de chiffrement symétriques pris en charge.