AWS approccio alla crittografia - AWS Guida prescrittiva
AWS fondamenti crittograficiAlgoritmi crittograficiAlgoritmi crittografici consigliati in AWSCrittografia utilizzata in Servizi AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS approccio alla crittografia

Gli algoritmi crittografici sono costruzioni matematiche progettate per fornire servizi di sicurezza come riservatezza (crittografia), autenticità (codici di autenticazione dei messaggi e firme digitali) e non ripudio (firme digitali). Se non conosci la crittografia, la crittografia e la terminologia correlata, ti consigliamo di leggere Informazioni sulla crittografia dei dati prima di procedere con questa guida.

AWS fondamenti crittografici

La crittografia è una parte essenziale della sicurezza per. AWS Servizi AWS supporta la crittografia dei dati in transito, a riposo o in memoria.  Per saperne di più sull' AWS impegno a favore dell'innovazione e sugli investimenti in controlli aggiuntivi per la sovranità e le funzionalità di crittografia, leggi il nostro post sul blog che annuncia l'impegno per la sovranità AWS digitale.

AWS segue il modello di responsabilità condivisa per proteggere i tuoi dati. Servizi AWS utilizza algoritmi crittografici affidabili che soddisfano gli standard di settore e promuovono l'interoperabilità. Questi algoritmi sono controllati da enti di standardizzazione pubblici e dalla ricerca accademica. Gli standard associati sono ampiamente accettati dai governi, dall'industria e dal mondo accademico.

AWS utilizza per impostazione predefinita implementazioni crittografiche ad alta garanzia e preferisce soluzioni ottimizzate per l'hardware che siano efficienti. La nostra libreria di base crittografica, AWS-LC, è disponibile come open source per la trasparenza e il riutilizzo a livello di settore. La correttezza degli algoritmi crittografici consigliati in AWS-LC viene formalmente verificata e la libreria è convalidata in base a 40 programmi. NIST's FIPS-1

Algoritmi crittografici

Definiamo tre tipi di algoritmi crittografici:

  • La crittografia asimmetrica utilizza una coppia di chiavi: una chiave pubblica per la crittografia (o la verifica) e una chiave privata per la decrittografia (o la firma). È possibile condividere la chiave pubblica perché non viene utilizzata per la decrittografia, ma l'accesso alla chiave privata deve essere fortemente limitato. Servizi AWS supporta o prevede di supportare algoritmi post-quantistici, come ML-KEM e ML-DSA. Servizi AWS supportano anche algoritmi crittografici tradizionali, come RSA e crittografia a curva ellittica (ECC).

  • La crittografia simmetrica utilizza la stessa chiave per crittografare e decrittografare o autenticare e verificare i dati. Servizi AWS generalmente si integra con AWS Key Management Service (AWS KMS) per la crittografia dei dati inattivi, che utilizza una modalità AES-256.  

  • Altre funzioni crittografiche vengono utilizzate insieme alla crittografia asimmetrica e simmetrica per creare protocolli sicuri e pratici per applicazioni di riservatezza, integrità, autenticazione e non ripudio. Gli esempi includono le funzioni hash e le funzioni di derivazione delle chiavi.

Algoritmi crittografici consigliati in AWS

Le tabelle seguenti riepilogano gli algoritmi crittografici, le modalità e le dimensioni delle chiavi AWS ritenuti idonei per l'implementazione tra i suoi servizi per proteggere i dati. Questa guida si evolverà nel tempo man mano che gli standard crittografici si evolveranno.

Gli algoritmi disponibili all'interno dei servizi possono variare e sono spiegati nella documentazione di ciascun servizio. Se hai bisogno di un'implementazione di una libreria software per un algoritmo approvato, controlla se è inclusa nell'ultima versione della libreria AWS-LC.

Gli algoritmi sono approvati per l'uso AWS in una delle due categorie seguenti:

  • Gli algoritmi preferiti soddisfano gli standard AWS di sicurezza e prestazioni.

  • Gli algoritmi accettabili possono essere utilizzati per motivi di compatibilità in alcune applicazioni, ma non sono preferiti.

Crittografia asimmetrica

La tabella seguente elenca gli algoritmi asimmetrici considerati idonei all'uso in ambito di crittografia, accordi di chiave e AWS firme digitali.

Tipo

Algoritmo

Stato

Encryption (Crittografia)

RSA-OAEP (modulo ≥2048 bit)

Accettabile

Encryption (Crittografia)

HPKE (P-256 o P-384, HKDF e AES-GCM)

Accettabile

Accordo chiave

ML-KEM-768 o ML-KEM-1024

Preferito (resistente quantisticamente)

Accordo chiave

ECDSA con P-256, P-384, P-521 o Ed25519

Accettabile

Accordo chiave

ECDH (E) con BrainPoolP256R1, BrainPoolP384R1 o BrainPoolP512R1

Accettabile

Signatures (Firme)

ML-DSA-65 o ML-DSA-87

Preferito (resistente quantisticamente)

Signatures (Firme)

SLH-DSA

Accettabile (resistente quantisticamente)

Signatures (Firme)

ECDSA con P-384

Accettabile

Signatures (Firme)

ECDSA con P-256, P-521 o Ed25519

Accettabile

Signatures (Firme)

RSA (modulo ≥2048 bit)

Accettabile

Crittografia simmetrica

La tabella seguente elenca gli algoritmi simmetrici considerati idonei all'uso in ambito AWS di crittografia, crittografia autenticata e codifica delle chiavi.

Tipo

Algoritmo

Stato

Crittografia autenticata

AES-GCM-256

Preferito

Crittografia autenticata

AES-GCM-128

Accettabile

Crittografia autenticata

ChaCha20/Poly1305

Accettabile

Modalità di crittografia

AES-XTS-256 (per archiviazione a blocchi)

Preferito

Modalità di crittografia

AES-CBC/CTR (modalità non autenticate)

Accettabile

Confezionamento delle chiavi

AES-GCM-256

Preferito

Confezione delle chiavi

AES-KW o AES-KWP con chiavi a 256 bit

Accettabile

Altre funzioni crittografiche

La tabella seguente elenca gli algoritmi considerati idonei all'uso in ambito AWS di hashing, derivazione di chiavi e autenticazione dei messaggi.

Tipo

Algoritmo

Stato

Hashing

SHA-384

Preferito

Hashing

SHA-256

Accettabile

Hashing

SHA3

Accettabile

Derivazione delle chiavi

HKDF_Expand o HKDF con SHA-256

Preferito

Derivazione chiave

KDF in modalità contatore con HMAC-SHA-256

Accettabile

Codice di autenticazione del messaggio

HMAC-SHA-384

Preferito

Codice di autenticazione del messaggio

HMAC-SHA-256

Accettabile

Codice di autenticazione del messaggio

KMAC

Accettabile

Hashing delle password

scrypt con SHA384

Preferito

Hashing delle password

PBKDF2

Accettabile

Crittografia utilizzata in Servizi AWS

Servizi AWS affidati a implementazioni sicure e open source di algoritmi controllati per proteggere i tuoi dati. Le scelte e le configurazioni specifiche degli algoritmi varieranno in base al servizio. Alcuni AWS strumenti e servizi utilizzano un algoritmo specifico. In altri, è possibile scegliere tra algoritmi e lunghezze di chiave supportati oppure utilizzare le impostazioni predefinite consigliate.

AWS i servizi crittografici sono conformi a un'ampia gamma di standard di sicurezza crittografica, quindi puoi rispettare le normative governative o di settore. Per un elenco completo degli standard di sicurezza dei dati Servizi AWS conformi, consulta AWS i programmi di conformità.