翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サポートされている暗号アルゴリズム
暗号アルゴリズム
データを保護するために AWS が複数のサービスにデプロイする暗号化アルゴリズム、暗号、モード、およびキーサイズを次の表にまとめます。この内容は、AWS で利用可能なすべての暗号化オプションの完全な要素を示すものではありません。アルゴリズムは 2 つのカテゴリに分類されます。
-
優先アルゴリズムは、AWS のセキュリティとパフォーマンスの基準を満たしています。
-
許容アルゴリズムは、一部のアプリケーションの互換性の目的で使用できますが、優先されません。
非対称暗号化
暗号化、キーアグリーメント、デジタル署名でサポートされている非対称アルゴリズムを次の表に示します。
| タイプ | アルゴリズム | ステータス |
|---|---|---|
| 暗号化 | RSA-OAEP (2048 または 3072 ビットモジュラス) | Acceptable |
| 暗号化 | HPKE (P-256 または P-384、HKDF、AES-GCM) | Acceptable |
| キーアグリーメント | ML-KEM-768 または ML-KEM-1024 | 優先 (量子耐性) |
| キーアグリーメント | P-384 を使用した ECDH(E) | Acceptable |
| キーアグリーメント | P-256、P-521、または X25519 を使用した ECDH(E) | Acceptable |
| キーアグリーメント | ECDH(E) と brainpoolP256r1、brainpoolP384r1、または brainpoolP512r1 | Acceptable |
| [署名] | ML-DSA-65 または ML-DSA-87 | 優先 (量子耐性) |
| [署名] | SLH-DSA | 優先 (量子耐性ソフトウェア/ファームウェア署名) |
| [署名] | P-384 を使用した ECDSA | Acceptable |
| [署名] | P-256、P-521、または Ed25519 を使用した ECDSA | Acceptable |
| [署名] | RSA-2048 または RSA-3072 | Acceptable |
対称暗号化
暗号化、認証済み暗号化、キーラップでサポートされている対称アルゴリズムを次の表に示します。
| タイプ | アルゴリズム | ステータス |
|---|---|---|
| 認証されている暗号化 | AES-GCM-256 | 推奨値 |
| 認証されている暗号化 | AES-GCM-128 | Acceptable |
| 認証されている暗号化 | ChaCha20/Poly1305 | Acceptable |
| 暗号化モード | AES-XTS-256 (ブロックストレージ用) | 推奨値 |
| 暗号化モード | AES-CBC/CTR (非認証モード) | Acceptable |
| キーラップ | AES-GCM-256 | 推奨値 |
| キーラップ | 256 ビットキーを含む AES-KW または AES-KWP | Acceptable |
暗号化関数
ハッシュ、キー取得、メッセージ認証、パスワードハッシュでサポートされているアルゴリズムを次の表に示します。
| タイプ | アルゴリズム | ステータス |
|---|---|---|
| ハッシュ | SHA2-384 | 推奨値 |
| ハッシュ | SHA2-256 | Acceptable |
| ハッシュ | SHA3 | Acceptable |
| キー取得 | SHA2-256 を含む HKDF_Expand または HKDF | 推奨値 |
| キー取得 | HMAC-SHA2-256 を含むカウンターモード KDF | Acceptable |
| メッセージ認証コード | HMAC-SHA2-384 | 推奨値 |
| メッセージ認証コード | HMAC-SHA2-256 | Acceptable |
| メッセージ認証コード | KMAC | Acceptable |
| パスワードハッシュ | SHA384 による暗号化 | 推奨値 |
| パスワードハッシュ | PBKDF2 | Acceptable |
AWS にデプロイされた暗号化アルゴリズムの詳細については、「Cryptography algorithms and AWS のサービス」を参照してください。
