기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
암호화 알고리즘 및 AWS 서비스
암호화 알고리즘은 일반 텍스트 메시지를 암호화된 사이퍼텍스트로 변환하는 공식 또는 프로시저입니다. 암호화 또는 해당 용어를 처음 사용하는 경우이 가이드를 진행하기 전에 데이터 암호화 정보를 읽는 것이 좋습니다.
AWS 암호화 서비스
AWS 암호화 서비스는 안전한 오픈 소스 암호화 알고리즘을 사용합니다. 이러한 알고리즘은 공공 표준 기관과 학술 연구의 심사를 거칩니다. 일부 AWS 도구와 서비스는 특정 알고리즘 사용을 강제합니다. 다른 서비스에서는 사용 가능한 여러 알고리즘과 키 길이 중에서 선택하거나 권장되는 기본값을 사용할 수 있습니다.
이 섹션에서는 AWS 도구 및 서비스가 지원하는 일부 알고리즘에 대해 설명합니다. 키의 작동 방식에 따라 대칭과 비대칭의 두 가지 범주로 나뉩니다.
-
대칭 암호화는 동일한 키를 사용하여 데이터를 암호화하고 해독합니다.는 널리 사용되는 두 가지 대칭 알고리즘인 고급 암호화 표준(AES) 및 트리플 데이터 암호화 표준(3DES 또는 TDES)을 AWS 서비스 지원합니다.
-
비대칭 암호화는 한 쌍의 키, 즉 암호화를 위한 퍼블릭 키와 복호화를 위한 프라이빗 키를 사용합니다. 퍼블릭 키는 복호화에 사용되지 않으므로 공유할 수 있지만 프라이빗 키에 대한 액세스는 매우 제한되어야 합니다. AWS 서비스 일반적으로 RSA 및 타원 곡선 암호화(ECC) 비대칭 알고리즘을 지원합니다.
AWS 암호화 서비스는 광범위한 암호화 보안 표준을 준수하므로 정부 또는 전문 규정을 준수할 수 있습니다. 가 AWS 서비스 준수하는 데이터 보안 표준의 전체 목록은 AWS 규정 준수 프로그램을
암호화 알고리즘 정보
암호화는에 대한 보안의 필수적인 부분입니다 AWS.는 전송 중, 저장 중 또는 메모리에 있는 데이터에 대한 암호화를 AWS 서비스 지원합니다. 또한 액세스할 수 없는 고객 관리형 키를 사용한 암호화도 지원합니다 AWS. 디지털 주권 AWS 서약
AWS 는 보안 및 성능 요구 사항을 충족하기 위해 사용 가능한 가장 안전한 암호화 알고리즘을 사용하기 위해 최선을 다하고 있습니다. AWS 기본값은 높은 보장 알고리즘 및 구현이며 더 빠르고, 보안을 개선하고, 에너지 효율적인 하드웨어 최적화 솔루션을 선호합니다.는 공동 책임 모델을
AWS 서비스 는 업계 표준을 충족하고 상호 운용성을 높이는 신뢰할 수 있는 암호화 알고리즘을 사용합니다. 이러한 표준은 정부, 산업 및 학계에서 널리 인정받고 있습니다. 보안 및 성능에 대한 높은 기준을 충족하기 위해 새로운 암호화 옵션을 AWS 계속 배포합니다. 암호화 코어 라이브러리인 AWS-LC는 투명성과 업계 전반의 재사용을 위해 FIPS 검증, 공식 검증 및 오픈 소스입니다. 업계에서 양자 안전 암호화로 전환함에 따라 AWS 연구자와 개발자는 연구, 상호 운용 가능한 표준 및 오픈 소스 커뮤니티에 기여하고 있습니다.
AWS 는 암호화 개발, 보안 문제 및 연구 결과를 면밀히 추적합니다. 더 이상 사용되지 않는 알고리즘과 보안 문제가 발견되면 해결됩니다. 자세한 내용은 Security AWS Blog
암호화 알고리즘
다음 표에는 데이터를 보호하기 위해가 서비스 전체에 AWS 배포하는 암호화 알고리즘, 암호, 모드 및 키 크기가 요약되어 있습니다. AWS에서 사용할 수 있는 모든 암호화 옵션의 완전한 목록으로 간주해서는 안 됩니다. 알고리즘은 다음 두 가지 범주로 구분됩니다.
-
기본 알고리즘은 AWS 보안 및 성능 표준을 충족합니다.
-
허용 가능한 알고리즘은 일부 애플리케이션에서 호환성을 위해 사용할 수 있지만 권장되지는 않습니다.
비대칭 암호화
다음 표는 암호화, 키 합의, 디지털 서명을 위한 지원되는 비대칭 알고리즘을 보여줍니다.
| 유형 | 알고리즘 | Status |
|---|---|---|
| 암호화(Encryption) | RSA-OAEP(2048 또는 3072비트 모듈러스) | 허용 가능 |
| 암호화(Encryption) | HPKE(P-256 또는 P-384, HKDF 및 AES-GCM) | 허용 가능 |
| 키 합의 | ML-KEM-768 또는 ML-KEM-1024 | 선호(양자 내성) |
| 키 합의 | P-384를 사용하는 ECDH(E) | 허용 가능 |
| 키 합의 | P-256, P-521 또는 X25519를 사용하는 ECDH(E) | 허용 가능 |
| 키 합의 | brainpoolP256r1, brainpoolP384r1 또는 brainpoolP512r1을 사용하는 ECDH(E) | 허용 가능 |
| 서명 | ML-DSA-65 또는 ML-DSA-87 | 선호(양자 내성) |
| 서명 | SLH-DSA | 선호(양자 내성 소프트웨어/펌웨어 서명) |
| 서명 | P-384를 사용하는 ECDSA | 허용 가능 |
| 서명 | P-256, P-521 또는 Ed25519를 사용하는 ECDSA | 허용 가능 |
| 서명 | RSA-2048 또는 RSA-3072 | 허용 가능 |
대칭 암호화
다음 표는 암호화, 인증된 암호화, 키 래핑에 지원되는 대칭 알고리즘을 보여줍니다.
| 유형 | 알고리즘 | Status |
|---|---|---|
| 인증된 암호화 | AES-GCM-256 | 기본 설정 |
| 인증된 암호화 | AES-GCM-128 | 허용 가능 |
| 인증된 암호화 | ChaCha20/Poly1305 | 허용 가능 |
| 암호화 모드 | AES-XTS-256(블록 스토리지용) | 기본 설정 |
| 암호화 모드 | AES-CBC/CTR(인증되지 않은 모드) | 허용 가능 |
| 키 래핑 | AES-GCM-256 | 기본 설정 |
| 키 래핑 | 256비트 키가 있는 AES-KW 또는 AES-KWP | 허용 가능 |
암호화 함수
다음 표에는 해싱, 키 파생, 메시지 인증, 암호 해싱에 사용할 수 있는 지원 알고리즘이 나열되어 있습니다.
| 유형 | 알고리즘 | Status |
|---|---|---|
| 해싱 | SHA2-384 | 기본 설정 |
| 해싱 | SHA2-256 | 허용 가능 |
| 해싱 | SHA3 | 허용 가능 |
| 키 파생 | SHA2-256을 사용하는 HKDF_Expand 또는 HKDF | 기본 설정 |
| 키 파생 | HMAC-SHA2-256을 사용하는 카운터 모드 KDF | 허용 가능 |
| 메시지 인증 코드 | HMAC-SHA2-384 | 기본 설정 |
| 메시지 인증 코드 | HMAC-SHA2-256 | 허용 가능 |
| 메시지 인증 코드 | KMAC | 허용 가능 |
| 암호 해싱 | SHA384를 사용하는 scrypt | 기본 설정 |
| 암호 해싱 | PBKDF2 | 허용 가능 |
