Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS pendekatan kriptografi
Algoritma kriptografi adalah konstruksi matematika yang dirancang untuk menyediakan layanan keamanan seperti kerahasiaan (enkripsi), keaslian (kode otentikasi pesan dan tanda tangan digital) dan non-penolakan (tanda tangan digital). Jika Anda baru mengenal kriptografi, enkripsi, dan terminologi terkait, kami sarankan Anda membaca Tentang enkripsi data sebelum melanjutkan dengan panduan ini.
AWS yayasan kriptografi
Kriptografi adalah bagian penting dari keamanan untuk AWS. Layanan AWS mendukung enkripsi untuk data dalam perjalanan, saat istirahat, atau dalam memori. Anda dapat mempelajari lebih lanjut tentang AWS komitmen terhadap inovasi dan berinvestasi dalam kontrol tambahan untuk fitur kedaulatan dan enkripsi di posting blog kami yang mengumumkan janji kedaulatan digital.AWS
AWS mengikuti model tanggung jawab bersama
AWS default untuk implementasi kriptografi jaminan tinggi dan lebih memilih solusi yang dioptimalkan perangkat keras yang efisien. Perpustakaan inti kriptografi kami, AWS-LC
Algoritma kriptografi
Kami mendefinisikan tiga jenis algoritma kriptografi:
-
Kriptografi asimetris menggunakan sepasang kunci: kunci publik untuk enkripsi (atau verifikasi) dan kunci pribadi untuk dekripsi (atau penandatanganan). Anda dapat berbagi kunci publik karena tidak digunakan untuk dekripsi, tetapi akses ke kunci pribadi harus sangat dibatasi. Layanan AWS mendukung atau berencana untuk mendukung algoritma pasca-kuantum, seperti ML-KEM dan ML-DSA. Layanan AWS juga mendukung algoritma kriptografi tradisional, seperti RSA dan kriptografi kurva elips (ECC).
-
Kriptografi simetris menggunakan kunci yang sama untuk mengenkripsi dan mendekripsi, atau mengotentikasi dan memverifikasi data. Layanan AWS umumnya terintegrasi dengan AWS Key Management Service (AWS KMS) untuk enkripsi data saat istirahat, yang menggunakan mode AES-256.
-
Fungsi kriptografi lainnya digunakan bersama dengan kriptografi asimetris dan simetris untuk membangun protokol praktis yang aman untuk kerahasiaan, integritas, otentikasi, dan aplikasi non-penolakan. Contohnya termasuk fungsi hash dan fungsi derivasi kunci.
Algoritma kriptografi yang direkomendasikan di AWS
Tabel berikut merangkum algoritma kriptografi, mode, dan ukuran kunci yang AWS dianggap cocok untuk penyebaran di seluruh layanannya untuk melindungi data Anda. Panduan ini akan berkembang seiring waktu seiring berkembangnya standar kriptografi.
Algoritma yang tersedia dalam layanan dapat bervariasi dan dijelaskan dalam dokumentasi untuk setiap layanan. Jika Anda memerlukan implementasi pustaka perangkat lunak untuk algoritme yang disetujui, periksa untuk melihat apakah itu termasuk dalam versi terbaru pustaka AWS-LC
Algoritma disetujui untuk digunakan di AWS bawah salah satu dari dua kategori:
-
Algoritma pilihan memenuhi standar AWS keamanan dan kinerja.
-
Algoritma yang dapat diterima dapat digunakan untuk kompatibilitas dalam beberapa aplikasi tetapi tidak disukai.
Kriptografi asimetris
Tabel berikut mencantumkan algoritma asimetris yang dianggap cocok untuk digunakan dalam AWS enkripsi, perjanjian kunci, dan tanda tangan digital.
Jenis |
Algoritma |
Status |
|---|---|---|
Enkripsi |
RSA-OAEP (modulus ≥2048-bit) |
Dapat diterima |
Enkripsi |
HPKE (P-256 atau P-384, HKDF dan AES-GCM) |
Dapat diterima |
Kesepakatan utama |
ML-KEM-768 atau ML-KEM-1024 |
Lebih disukai (tahan kuantum) |
Kesepakatan utama |
ECDSA dengan P-256, P-384, P-521, atau Ed25519 |
Dapat diterima |
Kesepakatan utama |
ECDH (E) dengan BrainPoolp256R1, BrainPoolp384R1, atau BrainPoolP512R1 |
Dapat diterima |
Tanda tangan |
ML-DSA-65 atau ML-DSA-87 |
Lebih disukai (tahan kuantum) |
Tanda tangan |
SLH-DSA |
Dapat diterima (tahan kuantum) |
Tanda tangan |
ECDSA dengan P-384 |
Dapat diterima |
Tanda tangan |
ECDSA dengan P-256, P-521, atau Ed25519 |
Dapat diterima |
Tanda tangan |
RSA (modulus ≥2048-bit) |
Dapat diterima |
Kriptografi simetris
Tabel berikut mencantumkan algoritma simetris yang dianggap cocok untuk digunakan dalam AWS enkripsi, enkripsi yang diautentikasi, dan pembungkus kunci.
Jenis |
Algoritma |
Status |
|---|---|---|
Enkripsi yang diautentikasi |
AES-GCM-256 |
Diutamakan |
Enkripsi yang diautentikasi |
AES-GCM-128 |
Dapat diterima |
Enkripsi yang diautentikasi |
ChaCha20/Poli1305 |
Dapat diterima |
Mode enkripsi |
AES-XTS-256 (untuk penyimpanan blok) |
Diutamakan |
Mode enkripsi |
AES-CBC/CTR (mode tidak diautentikasi) |
Dapat diterima |
Pembungkus kunci |
AES-GCM-256 |
Diutamakan |
Pembungkus kunci |
AES-KW atau AES-KWP dengan tombol 256-bit |
Dapat diterima |
Fungsi kriptografi lainnya
Tabel berikut mencantumkan algoritme yang dianggap cocok untuk digunakan dalam AWS hashing, derivasi kunci, dan otentikasi pesan.
Jenis |
Algoritma |
Status |
|---|---|---|
Hashing |
SHA-384 |
Diutamakan |
Hashing |
SHA-256 |
Dapat diterima |
Hashing |
SHA3 |
Dapat diterima |
Derivasi kunci |
HKDF_Expand atau HKDF dengan SHA-256 |
Diutamakan |
Derivasi kunci |
Mode Penghitung KDF dengan HMAC-SHA-256 |
Dapat diterima |
Kode otentikasi pesan |
HMAC-SHA-384 |
Diutamakan |
Kode otentikasi pesan |
HMAC-SHA-256 |
Dapat diterima |
Kode otentikasi pesan |
KMAC |
Dapat diterima |
Hashing kata sandi |
scrypt dengan SHA384 |
Diutamakan |
Hashing kata sandi |
PBKDF2 |
Dapat diterima |
Kriptografi digunakan di Layanan AWS
Layanan AWS mengandalkan implementasi open-source yang aman dari algoritme yang diperiksa untuk melindungi data Anda. Pilihan spesifik dan konfigurasi algoritma akan bervariasi menurut layanan. Beberapa AWS alat dan layanan menggunakan algoritma tertentu. Di tempat lain, Anda dapat memilih antara algoritme yang didukung dan panjang kunci, atau Anda dapat menggunakan default yang disarankan.
AWS Layanan kriptografi mematuhi berbagai standar keamanan kriptografi, sehingga Anda dapat mematuhi peraturan pemerintah atau industri. Untuk daftar lengkap standar keamanan data yang Layanan AWS sesuai, lihat program AWS kepatuhan
