Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Algoritma kriptografi dan Layanan AWS
Algoritma enkripsi adalah rumus atau prosedur yang mengubah pesan teks biasa menjadi ciphertext terenkripsi. Jika Anda baru mengenal enkripsi atau terminologinya, kami sarankan Anda membaca Tentang enkripsi data sebelum melanjutkan dengan panduan ini.
AWS layanan kriptografi
AWS Layanan kriptografi mengandalkan algoritma enkripsi open-source yang aman. Algoritma ini diperiksa oleh badan standar publik dan oleh penelitian akademis. Beberapa AWS alat dan layanan memberlakukan penggunaan algoritma tertentu. Di layanan lain, Anda dapat memilih antara beberapa algoritma yang tersedia dan panjang kunci, atau Anda dapat menggunakan default yang disarankan.
Bagian ini menjelaskan beberapa algoritme yang didukung AWS alat dan layanan. Mereka terbagi dalam dua kategori, simetris dan asimetris, berdasarkan bagaimana fungsi tombol mereka:
-
Enkripsi simetris menggunakan kunci yang sama untuk mengenkripsi dan mendekripsi data. Layanan AWS mendukung Advanced Encryption Standard (AES) dan Triple Data Encryption Standard (3DES atau TDES), yang merupakan dua algoritma simetris yang banyak digunakan.
-
Enkripsi asimetris menggunakan sepasang kunci, kunci publik untuk enkripsi dan kunci pribadi untuk dekripsi. Anda dapat berbagi kunci publik karena tidak digunakan untuk dekripsi, tetapi akses ke kunci pribadi harus sangat dibatasi. Layanan AWS biasanya mendukung algoritma asimetris RSA dan eliptic-curve cryptography (ECC).
AWS Layanan kriptografi mematuhi berbagai standar keamanan kriptografi, sehingga Anda dapat mematuhi peraturan pemerintah atau profesional. Untuk daftar lengkap standar keamanan data yang Layanan AWS sesuai, lihat program AWS kepatuhan
Tentang algoritma kriptografi
Kriptografi adalah bagian penting dari keamanan untuk AWS. Layanan AWS mendukung enkripsi untuk data dalam perjalanan, saat istirahat, atau dalam memori. Banyak juga yang mendukung enkripsi dengan kunci yang dikelola pelanggan yang tidak dapat diakses AWS. Anda dapat mempelajari lebih lanjut tentang AWS
komitmen terhadap inovasi dan berinvestasi dalam kontrol tambahan untuk fitur kedaulatan dan enkripsi dalam janji kedaulatan AWS digital (posting
AWS berkomitmen untuk menggunakan algoritme kriptografi paling aman yang tersedia untuk memenuhi persyaratan keamanan dan kinerja Anda. AWS default ke algoritma dan implementasi jaminan tinggi dan lebih memilih solusi yang dioptimalkan perangkat keras yang lebih cepat, meningkatkan keamanan, dan lebih hemat energi. AWS mengikuti model tanggung jawab bersama
Layanan AWS menggunakan algoritma kriptografi tepercaya yang memenuhi standar industri dan mendorong interoperabilitas. Standar ini diterima secara luas oleh pemerintah, industri, dan akademisi. AWS terus menerapkan opsi kriptografi baru untuk memenuhi standar keamanan dan kinerja yang tinggi. Pustaka inti kriptografi kami, AWS-LC, divalidasi FIPS, diverifikasi secara formal, dan open source untuk transparansi dan penggunaan kembali di seluruh industri. Ketika industri berubah menjadi kriptografi kuantum yang aman, AWS para peneliti dan pengembang berkontribusi pada penelitian, standar yang dapat dioperasikan, dan komunitas open source.
AWS melacak perkembangan kriptografi, masalah keamanan, dan hasil penelitian. Ketika algoritme dan masalah keamanan yang tidak digunakan lagi ditemukan, algoritme tersebut ditangani. Untuk informasi selengkapnya, lihat Blog AWS Keamanan
Algoritma kriptografi
Tabel berikut merangkum algoritma kriptografi, sandi, mode, dan ukuran kunci yang AWS digunakan di seluruh layanannya untuk melindungi data Anda. Mereka tidak boleh dianggap sebagai daftar lengkap dari semua opsi kriptografi yang tersedia di. AWS Algoritma terbagi dalam dua kategori:
-
Algoritma pilihan memenuhi standar AWS keamanan dan kinerja.
-
Algoritma yang dapat diterima dapat digunakan untuk kompatibilitas dalam beberapa aplikasi tetapi tidak disukai.
Kriptografi asimetris
Tabel berikut mencantumkan algoritma asimetris yang didukung untuk enkripsi, perjanjian kunci, dan tanda tangan digital.
| Tipe | Algoritme | Status |
|---|---|---|
| Enkripsi | RSA-OAEP (modulus 2048 atau 3072-bit) | Dapat diterima |
| Enkripsi | HPKE (P-256 atau P-384, HKDF dan AES-GCM) | Dapat diterima |
| Perjanjian Utama | ML-KEM-768 atau ML-KEM-1024 | Lebih disukai (tahan kuantum) |
| Perjanjian Utama | ECDH (E) dengan P-384 | Dapat diterima |
| Perjanjian Utama | ECDH (E) dengan P-256, P-521, atau X25519 | Dapat diterima |
| Perjanjian Utama | ECDH (E) dengan BrainPoolp256R1, BrainPoolp384R1, atau BrainPoolP512R1 | Dapat diterima |
| Tanda tangan | ML-DSA-65 atau ML-DSA-87 | Lebih disukai (tahan kuantum) |
| Tanda tangan | SLH-DSA | Lebih disukai (penandatanganan tahan kuantum) software/firmware |
| Tanda tangan | ECDSA dengan P-384 | Dapat diterima |
| Tanda tangan | ECDSA dengan P-256, P-521, atau Ed25519 | Dapat diterima |
| Tanda tangan | RSA-2048 atau RSA-3072 | Dapat diterima |
Kriptografi simetris
Tabel berikut mencantumkan algoritma simetris yang didukung untuk enkripsi, enkripsi yang diautentikasi, dan pembungkus kunci.
| Tipe | Algoritme | Status |
|---|---|---|
| Enkripsi Terautentikasi | AES-GCM-256 | Diutamakan |
| Enkripsi Terautentikasi | AES-GCM-128 | Dapat diterima |
| Enkripsi Terautentikasi | ChaCha20/Poli1305 | Dapat diterima |
| Mode Enkripsi | AES-XTS-256 (untuk penyimpanan blok) | Diutamakan |
| Mode Enkripsi | AES-CBC/CTR (mode tidak diautentikasi) | Dapat diterima |
| Pembungkus Kunci | AES-GCM-256 | Diutamakan |
| Pembungkus Kunci | AES-KW atau AES-KWP dengan tombol 256-bit | Dapat diterima |
Fungsi kriptografi
Tabel berikut mencantumkan algoritme yang didukung untuk hashing, derivasi kunci, otentikasi pesan, dan hashing kata sandi.
| Tipe | Algoritme | Status |
|---|---|---|
| Hashing | SHA2-384 | Diutamakan |
| Hashing | SHA2-256 | Dapat diterima |
| Hashing | SHA3 | Dapat diterima |
| Derivasi Kunci | HKDF_Expand atau HKDF dengan -256 SHA2 | Diutamakan |
| Derivasi Kunci | Mode Penghitung KDF dengan HMAC- -256 SHA2 | Dapat diterima |
| Kode Otentikasi Pesan | HMAC- SHA2 -384 | Diutamakan |
| Kode Otentikasi Pesan | HMAC- -256 SHA2 | Dapat diterima |
| Kode Otentikasi Pesan | KMAC | Dapat diterima |
| Hashing Kata Sandi | scrypt dengan SHA384 | Diutamakan |
| Hashing Kata Sandi | PBKDF2 | Dapat diterima |
