Mengelola kunci SSH dan PGP di Transfer Family - AWS Transfer Family
Ikhtisar algoritmaOtentikasi SSHAlgoritma PGP

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola kunci SSH dan PGP di Transfer Family

Di bagian ini, Anda dapat menemukan informasi tentang kunci SSH, termasuk cara membuatnya dan cara memutarnya. Untuk detail tentang penggunaan Transfer Family with AWS Lambda to manage keys, lihat posting blog Mengaktifkan manajemen kunci layanan mandiri pengguna dengan A AWS Transfer Family dan. AWS Lambda

catatan

AWS Transfer Family menerima RSA, ECDSA, dan ED25519 kunci untuk otentikasi SSH.

Bagian ini juga mencakup cara membuat dan mengelola kunci Pretty Good Privacy (PGP).

Untuk gambaran menyeluruh tentang semua enkripsi dan algoritme kunci yang didukung, termasuk rekomendasi untuk kasus penggunaan yang berbeda, lihatIkhtisar enkripsi dan algoritma kunci.

Ikhtisar enkripsi dan algoritma kunci

AWS Transfer Family mendukung berbagai jenis algoritma untuk tujuan yang berbeda. Memahami algoritme mana yang akan digunakan untuk kasus penggunaan spesifik Anda membantu memastikan transfer file yang aman dan kompatibel.

Referensi Cepat Algoritma
Kasus Penggunaan Algoritma yang Direkomendasikan Sesuai FIPS Catatan
Otentikasi SSH/SFTP RSA (rsa-sha2-256/512), ECDSA, atau ED25519 RSA: Ya, ECDSA: Ya,: Tidak ED25519 Kompatibel dengan semua klien SSH dan server
Generasi Kunci PGP RSA atau ECC (NIST) Ya Untuk dekripsi alur kerja
Enkripsi File PGP AES-256 Ya Ditentukan oleh perangkat lunak PGP

Algoritma otentikasi SSH

Algoritma ini digunakan untuk SSH/SFTP otentikasi antara klien dan AWS Transfer Family server. Pilih salah satunya saat membuat pasangan kunci SSH untuk otentikasi pengguna atau kunci host server.

RSA (Direkomendasikan)

Kompatibel dengan semua klien dan server SSH, dan sesuai dengan FIPS. Gunakan dengan hashing SHA-2 untuk keamanan yang ditingkatkan:

  • rsa-sha2-256- Direkomendasikan untuk sebagian besar kasus penggunaan

  • rsa-sha2-512- Opsi keamanan yang lebih tinggi

ED25519

Modern dan efisien. Ukuran kunci yang lebih kecil dengan keamanan yang kuat:

  • ssh-ed25519- Cepat dan aman, tetapi tidak sesuai FIPS

ECDSA

Opsi kurva elips. Keseimbangan keamanan dan kinerja yang baik:

  • ecdsa-sha2-nistp256- Kurva standar

  • ecdsa-sha2-nistp384- Kurva keamanan yang lebih tinggi

  • ecdsa-sha2-nistp521- Kurva keamanan tertinggi

catatan

Kami mendukung ssh-rsa SHA1 untuk kebijakan keamanan yang lebih lama. Lihat perinciannya di Algoritma kriptografi.

Memilih algoritma SSH yang tepat

  • Untuk sebagian besar pengguna: Gunakan RSA dengan rsa-sha2-256 atau rsa-sha2-512

  • Untuk kepatuhan FIPS: Gunakan algoritma RSA atau ECDSA

  • Untuk lingkungan modern: ED25519 menawarkan keamanan dan kinerja yang sangat baik

Enkripsi PGP dan algoritma dekripsi

PGP (Pretty Good Privacy) menggunakan dua jenis algoritma yang bekerja sama untuk mengenkripsi dan mendekripsi file dalam alur kerja:

  1. Algoritma pasangan kunci - Digunakan untuk menghasilkan pasangan public/private kunci untuk enkripsi dan tanda tangan digital

  2. Algoritma simetris - Digunakan untuk mengenkripsi data file aktual (algoritma key pair mengenkripsi kunci simetris)

Algoritma key pair PGP

Pilih salah satu algoritme ini saat membuat pasangan kunci PGP untuk dekripsi alur kerja:

RSA (Direkomendasikan)

Direkomendasikan untuk sebagian besar pengguna. Didukung secara luas, mapan, dan sesuai FIPS. Memberikan keseimbangan keamanan dan kompatibilitas yang baik.

ECC (Kriptografi Kurva Elips)

Lebih efisien daripada RSA dengan ukuran kunci yang lebih kecil sambil mempertahankan keamanan yang kuat:

  • Kurva NIST - Kurva standar didukung secara luas dan sesuai dengan FIPS

  • BrainPool kurva - Kurva alternatif untuk persyaratan kepatuhan tertentu

ElGamal

Algoritma warisan. Didukung untuk kompatibilitas dengan sistem yang lebih lama. Gunakan RSA atau ECC untuk implementasi baru.

penting

Tombol Curve25519 tidak didukung.

Untuk petunjuk rinci tentang menghasilkan kunci PGP, lihat. Hasilkan kunci PGP

Algoritma enkripsi simetris PGP

Algoritma ini mengenkripsi data file Anda yang sebenarnya. Algoritma yang digunakan tergantung pada bagaimana file PGP dibuat oleh perangkat lunak PGP Anda:

Algoritme yang sesuai dengan FIPS (direkomendasikan untuk lingkungan yang diatur)

  • AES-128, AES-192, AES-256 - Standar Enkripsi Lanjutan (disarankan)

  • 3DES - Triple Data Encryption Standard (lama, gunakan AES bila memungkinkan)

Algoritma lain yang didukung

  • IDE,, Blowfish CAST5, DES,, CAMELLIA-128, CAMELLIA-192 TwoFish, CAMELLIA-256

catatan

Anda tidak memilih algoritma simetris secara langsung saat menggunakan AWS Transfer Family alur kerja - itu ditentukan oleh perangkat lunak PGP yang digunakan untuk membuat file terenkripsi. Namun, Anda dapat mengonfigurasi perangkat lunak PGP Anda untuk memilih algoritma yang sesuai dengan FIPS seperti AES-256.

Untuk informasi selengkapnya tentang algoritme simetris yang didukung, lihat. Algoritma enkripsi simetris yang didukung