AWS 암호화에 대한 접근 방식 - AWS 권장 가이드
AWS 암호화 기반암호화 알고리즘의 권장 암호화 알고리즘 AWS에서 사용되는 암호화 AWS 서비스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 암호화에 대한 접근 방식

암호화 알고리즘은 기밀성(암호화), 신뢰성(메시지 인증 코드 및 디지털 서명), 비거부(디지털 서명)와 같은 보안 서비스를 제공하도록 설계된 수학적 구성입니다. 암호화, 암호화 및 관련 용어를 처음 사용하는 경우이 가이드를 진행하기 전에 데이터 암호화 정보를 읽는 것이 좋습니다.

AWS 암호화 기반

암호화는에 대한 보안의 필수적인 부분입니다 AWS.는 전송 중, 저장 중 또는 메모리에 있는 데이터에 대한 암호화를 AWS 서비스 지원합니다.   디지털 주권 서약을 발표하는 블로그 게시물에서 혁신에 대한 AWS 노력과 주권 및 암호화 기능에 대한 추가 제어에 대한 투자에 대해 자세히 알아볼 수 있습니다. AWS

AWS 는 공동 책임 모델을 따라 데이터를 보호합니다.는 업계 표준을 충족하고 상호 운용성을 촉진하는 신뢰할 수 있는 암호화 알고리즘을 AWS 서비스 사용합니다. 이러한 알고리즘은 공공 표준 기관 및 학술 연구를 통해 심사됩니다. 관련 표준은 정부, 산업 및 학계에서 널리 받아들여집니다.

AWS 는 기본적으로 높은 수준의 암호화 구현으로 설정되며 효율적인 하드웨어 최적화 솔루션을 선호합니다. 암호화 코어 라이브러리 AWS-LC는 투명성과 업계 전반의 재사용을 위한 오픈 소스로 사용할 수 있습니다. AWS LC 내 많은 암호화 알고리즘 구현은 여러 플랫폼에서 구현의 정확성과 보안을 보장하기 위해 공식적으로 검증됩니다. 라이브러리는 NIST의 FIPS-140 프로그램에서도 검증됩니다.

암호화 알고리즘

세 가지 유형의 암호화 알고리즘을 정의합니다.

  • 비대칭 암호화는 키 페어, 즉 암호화(또는 확인)를 위한 퍼블릭 키와 복호화(또는 서명)를 위한 프라이빗 키를 사용합니다. 퍼블릭 키는 복호화에 사용되지 않으므로 공유할 수 있지만 프라이빗 키에 대한 액세스는 매우 제한되어야 합니다. ML-KEM 및 ML-DSA와 같은 포스트 양자 알고리즘을 AWS 서비스 지원하거나 지원할 계획입니다. AWS 서비스 또한 RSA 및 타원 곡선 암호화(ECC)와 같은 기존 암호화 알고리즘도 지원합니다.

  • 대칭 암호화는 동일한 키를 사용하여 암호화 및 복호화하거나 데이터를 인증 및 확인합니다. AWS 서비스 일반적으로는 AES-256 모드를 사용하는 저장 데이터 암호화를 위해 AWS Key Management Service (AWS KMS)와 통합됩니다. 

  • 다른 암호화 함수는 비대칭 및 대칭 암호화와 함께 사용되어 기밀성, 무결성, 인증 및 비거부 애플리케이션을 위한 안전하고 실용적인 프로토콜을 구축합니다. 예를 들어 해시 함수와 키 파생 함수가 있습니다.

의 권장 암호화 알고리즘 AWS

다음 표에는 데이터를 보호하기 위해 서비스 전체에 배포하기에 적합한 AWS 것으로 간주되는 암호화 알고리즘, 모드 및 키 크기가 요약되어 있습니다. 이 지침은 암호화 표준이 발전함에 따라 시간이 지남에 따라 발전할 것입니다.

서비스 내에서 사용할 수 있는 알고리즘은 다를 수 있으며 각 서비스의 설명서에 설명되어 있습니다. 승인된 알고리즘에 대한 소프트웨어 라이브러리 구현이 필요한 경우 AWS-LC 라이브러리의 최신 버전에 포함되어 있는지 확인하세요.

알고리즘은 다음 두 범주 중 하나 AWS 에서 사용이 승인되었습니다.

  • 기본 알고리즘은 AWS 보안 및 성능 표준을 충족합니다.

  • 허용 가능한 알고리즘은 일부 애플리케이션에서 호환성을 위해 사용할 수 있지만 권장되지는 않습니다.

비대칭 암호화

다음 표에는 암호화, 키 계약 및 디지털 서명 AWS 에 대해 내에서 사용하기에 적합한 것으로 간주되는 비대칭 알고리즘이 나열되어 있습니다.

유형

알고리즘

상태

암호화(Encryption)

RSA-OAEP (≥2048비트 모듈러스)

허용 가능

암호화(Encryption)

HPKE(P-256 또는 P-384, HKDF 및 AES-GCM)

허용 가능

키 계약

ML-KEM-768 또는 ML-KEM-1024

선호(양자 내성)

키 계약

P-256, P-384, P-521 또는 X25519를 사용하는 ECDH(E)

허용 가능

키 계약

brainpoolP256r1, brainpoolP384r1 또는 brainpoolP512r1을 사용하는 ECDH(E)

허용 가능

서명

ML-DSA-65 또는 ML-DSA-87

선호(양자 내성)

서명

SLH-DSA

허용 가능(양자 저항)

서명

P-256, P-384, P-521 또는 Ed25519를 사용하는 ECDSA

허용 가능

서명

RSA (≥2048비트 모듈러스)

허용 가능

대칭 암호화

다음 표에는 암호화, 인증된 암호화 및 키 래핑을 AWS 위해 내에서 사용하기에 적합한 것으로 간주되는 대칭 알고리즘이 나열되어 있습니다.

유형

알고리즘

상태

인증된 암호화

AES-GCM-256

기본 설정

인증된 암호화

AES-GCM-128

허용 가능

인증된 암호화

ChaCha20/Poly1305

허용 가능

암호화 모드

AES-XTS-256(블록 스토리지용)

기본 설정

암호화 모드

AES-CBC/CTR(인증되지 않은 모드)

허용 가능

키 래핑

AES-GCM-256

기본 설정

키 래핑

256비트 키가 있는 AES-KW 또는 AES-KWP

허용 가능

기타 암호화 함수

다음 표에는 해싱, 키 파생 및 메시지 인증을 AWS 위해 내에서 사용하기에 적합한 것으로 간주되는 알고리즘이 나열되어 있습니다.

유형

알고리즘

상태

해싱

SHA-384

기본 설정

해싱

SHA-256

허용 가능

해싱

SHA3

허용 가능

키 파생

SHA-256을 사용한 HKDF_Expand 또는 HKDF

기본 설정

키 파생

HMAC-SHA-256을 사용한 카운터 모드 KDF

허용 가능

메시지 인증 코드

HMAC-SHA-384

기본 설정

메시지 인증 코드

HMAC-SHA-256

허용 가능

메시지 인증 코드

KMAC

허용 가능

암호 해싱

SHA384를 사용하는 scrypt

기본 설정

암호 해싱

PBKDF2

허용 가능

에서 사용되는 암호화 AWS 서비스

AWS 서비스 는 검증된 알고리즘의 안전한 오픈 소스 구현에 의존하여 데이터를 보호합니다. 알고리즘의 특정 선택 및 구성은 서비스에 따라 다릅니다. 일부 AWS 도구 및 서비스는 특정 알고리즘을 사용합니다. 또는 지원되는 알고리즘과 키 길이 중에서 선택하거나 권장 기본값을 사용할 수 있습니다.

AWS 암호화 서비스는 광범위한 암호화 보안 표준을 준수하므로 정부 또는 업계 규정을 준수할 수 있습니다. 가 AWS 서비스 준수하는 데이터 보안 표준의 전체 목록은 AWS 규정 준수 프로그램을 참조하세요.