지원되는 암호화 알고리즘
암호화 알고리즘
다음 표에는 데이터 보호를 위해 AWS가 서비스 전반에서 배포하는 암호 알고리즘, 암호 방식, 모드, 키 크기가 요약되어 있습니다. AWS에서 사용할 수 있는 모든 암호화 옵션의 완전한 목록으로 간주해서는 안 됩니다. 알고리즘은 다음 두 가지 범주로 구분됩니다.
-
선호 알고리즘은 AWS 보안 및 성능 기준을 충족합니다.
-
허용 가능한 알고리즘은 일부 애플리케이션에서 호환성을 위해 사용할 수 있지만 권장되지는 않습니다.
비대칭 암호화
다음 표는 암호화, 키 합의, 디지털 서명을 위한 지원되는 비대칭 알고리즘을 보여줍니다.
| 유형 | 알고리즘 | 상태 표시기 |
|---|---|---|
| 암호화 | RSA-OAEP(2048 또는 3072비트 모듈러스) | 허용 가능 |
| 암호화 | HPKE(P-256 또는 P-384, HKDF 및 AES-GCM) | 허용 가능 |
| 키 합의 | ML-KEM-768 또는 ML-KEM-1024 | 선호(양자 내성) |
| 키 합의 | P-384를 사용하는 ECDH(E) | 허용 가능 |
| 키 합의 | P-256, P-521 또는 X25519를 사용하는 ECDH(E) | 허용 가능 |
| 키 합의 | brainpoolP256r1, brainpoolP384r1 또는 brainpoolP512r1을 사용하는 ECDH(E) | 허용 가능 |
| 서명 | ML-DSA-65 또는 ML-DSA-87 | 선호(양자 내성) |
| 서명 | SLH-DSA | 선호(양자 내성 소프트웨어/펌웨어 서명) |
| 서명 | P-384를 사용하는 ECDSA | 허용 가능 |
| 서명 | P-256, P-521 또는 Ed25519를 사용하는 ECDSA | 허용 가능 |
| 서명 | RSA-2048 또는 RSA-3072 | 허용 가능 |
대칭 암호화
다음 표는 암호화, 인증된 암호화, 키 래핑에 지원되는 대칭 알고리즘을 보여줍니다.
| 유형 | 알고리즘 | 상태 표시기 |
|---|---|---|
| 인증된 암호화 | AES-GCM-256 | 선호 |
| 인증된 암호화 | AES-GCM-128 | 허용 가능 |
| 인증된 암호화 | ChaCha20/Poly1305 | 허용 가능 |
| 암호화 모드 | AES-XTS-256(블록 스토리지용) | 선호 |
| 암호화 모드 | AES-CBC/CTR(인증되지 않은 모드) | 허용 가능 |
| 키 래핑 | AES-GCM-256 | 선호 |
| 키 래핑 | 256비트 키가 있는 AES-KW 또는 AES-KWP | 허용 가능 |
암호화 함수
다음 표에는 해싱, 키 파생, 메시지 인증, 암호 해싱에 사용할 수 있는 지원 알고리즘이 나열되어 있습니다.
| 유형 | 알고리즘 | 상태 표시기 |
|---|---|---|
| 해싱 | SHA2-384 | 선호 |
| 해싱 | SHA2-256 | 허용 가능 |
| 해싱 | SHA3 | 허용 가능 |
| 키 파생 | SHA2-256을 사용하는 HKDF_Expand 또는 HKDF | 선호 |
| 키 파생 | HMAC-SHA2-256을 사용하는 카운터 모드 KDF | 허용 가능 |
| 메시지 인증 코드 | HMAC-SHA2-384 | 선호 |
| 메시지 인증 코드 | HMAC-SHA2-256 | 허용 가능 |
| 메시지 인증 코드 | KMAC | 허용 가능 |
| 암호 해싱 | SHA384를 사용하는 scrypt | 선호 |
| 암호 해싱 | PBKDF2 | 허용 가능 |
AWS에 배포되는 암호 알고리즘에 대한 자세한 내용은 암호 알고리즘과 AWS 서비스를 참조하세요.
