암호화 알고리즘 및 AWS 서비스 - AWS 권장 가이드
AWS 암호화 서비스암호화 알고리즘

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

암호화 알고리즘 및 AWS 서비스

암호화 알고리즘은 일반 텍스트 메시지를 암호화된 사이퍼텍스트로 변환하는 공식 또는 프로시저입니다. 암호화 또는 해당 용어를 처음 사용하는 경우이 가이드를 진행하기 전에 데이터 암호화 정보를 읽는 것이 좋습니다.

AWS 암호화 서비스

AWS 암호화 서비스는 안전한 오픈 소스 암호화 알고리즘을 사용합니다. 이러한 알고리즘은 공공 표준 기관과 학술 연구의 심사를 거칩니다. 일부 AWS 도구와 서비스는 특정 알고리즘 사용을 강제합니다. 다른 서비스에서는 사용 가능한 여러 알고리즘과 키 길이 중에서 선택하거나 권장되는 기본값을 사용할 수 있습니다.

이 섹션에서는 AWS 도구 및 서비스가 지원하는 일부 알고리즘에 대해 설명합니다. 키의 작동 방식에 따라 대칭과 비대칭의 두 가지 범주로 나뉩니다.

  • 대칭 암호화는 동일한 키를 사용하여 데이터를 암호화하고 복호화합니다.는 널리 사용되는 두 가지 대칭 알고리즘인 고급 암호화 표준(AES) 및 트리플 데이터 암호화 표준(3DES 또는 TDES)을 AWS 서비스 지원합니다.

  • 비대칭 암호화는 한 쌍의 키, 즉 암호화를 위한 퍼블릭 키와 복호화를 위한 프라이빗 키를 사용합니다. 퍼블릭 키는 복호화에 사용되지 않으므로 공유할 수 있지만 프라이빗 키에 대한 액세스는 매우 제한되어야 합니다. AWS 서비스 일반적으로 RSA 및 타원 곡선 암호화(ECC) 비대칭 알고리즘을 지원합니다.

AWS 암호화 서비스는 광범위한 암호화 보안 표준을 준수하므로 정부 또는 전문 규정을 준수할 수 있습니다. 가 AWS 서비스 준수하는 데이터 보안 표준의 전체 목록은 AWS 규정 준수 프로그램을 참조하세요.

암호화 알고리즘

암호화는에 대한 보안의 필수적인 부분입니다 AWS.는 전송 중, 저장 중 또는 메모리에 있는 데이터에 대한 암호화를 AWS 서비스 지원합니다. 또한 액세스할 수 없는 고객 관리형 키를 사용한 암호화도 지원합니다 AWS. 디지털 주권 AWS 서약(AWS 블로그 게시물)에서 혁신에 대한 AWS 노력과 주권 및 암호화 기능에 대한 추가 제어에 대한 투자에 대해 자세히 알아볼 수 있습니다.

AWS 는 보안 및 성능 요구 사항을 충족하기 위해 사용 가능한 가장 안전한 암호화 알고리즘을 사용하기 위해 최선을 다하고 있습니다. AWS 기본값은 높은 보장 알고리즘 및 구현이며 더 빠르고 보안을 개선하며 에너지 효율적인 하드웨어 최적화 솔루션을 선호합니다. 최적화되고 보장력이 높으며 공식적으로 확인된 상수 시간 암호화 알고리즘은 AWS Crypto 라이브러리를 참조하세요. AWS 는 공동 책임 모델을 따르고 개별 보안, 규정 준수 및 성능 요구 사항을 충족하는 동시에 업계에서 허용되는 보안 수준을 충족하는 암호화 옵션을 제공합니다. 예를 들어 Elastic Load Balancing은 전송 계층 보안(TLS) 프로토콜에 대한 다양한 보안 정책을 제공하는 Application Load Balancer를 제공합니다.

AWS 서비스 는 업계 표준을 충족하고 상호 운용성을 높이는 신뢰할 수 있는 암호화 알고리즘을 사용합니다. 이러한 표준은 정부, 산업 및 학계에서 널리 받아들여집니다. 알고리즘이 널리 받아들여지기 위해서는 글로벌 커뮤니티에서 상당한 분석이 필요합니다. 또한 업계 내에서 널리 사용할 수 있게 되려면 시간이 걸립니다. 분석 및 가용성이 부족하면 상호 운용성, 복잡성 및 배포 위험 문제가 발생합니다. 보안 및 성능에 대한 높은 기준을 충족하기 위해 새로운 암호화 옵션을 AWS 계속 배포합니다.

다음 표에는 데이터를 보호하기 위해가 서비스 전체에 AWS 배포하는 암호화 알고리즘, 암호, 모드 및 키 크기가 요약되어 있습니다. 에서 사용할 수 있는 모든 암호화 옵션의 전체 목록으로 간주해서는 안 됩니다 AWS. 알고리즘은 다음 두 가지 범주로 나뉩니다.

  • AWS 보안 및 성능 표준을 충족하는 알고리즘이 선호됩니다.

  • 허용 가능한 알고리즘은 일부 애플리케이션에서 호환성을 위해 사용할 수 있지만 선호되지는 않습니다.

비대칭 암호화 상태 표시기
2048 또는 3072비트 모듈러스가 있는 RSA-OAEP 허용 가능
P-256 또는 P-384, HKDF 및 AES-GCM을 사용하는 HPKE 허용 가능
비대칭 키 계약 상태 표시기
P-384를 사용하는 ECDH(E) 선호
P-256, P-521 또는 X25519를 사용하는 ECDH(E) 허용 가능
brainpoolP256r1, brainpoolP384r1 또는 brainpoolP512r1을 사용하는 ECDH(E) 허용 가능
ECDH(E)와 결합된 ML-KEM-768(PQ 하이브리드 키 교환) 선호(양자 저항의 경우)
블록 암호 및 모드 상태 표시기
AES-GCM-256 선호
AES-XTS-256 허용 가능
AES-GCM-128 허용 가능
ChaCha20/Poly1305 허용 가능
CBC/CTR/CCM 모드(AES-128 또는 AES-256 사용) 허용 가능
해싱 상태 표시기
SHA2-384 선호
SHA2-256 허용 가능
SHA3 허용 가능
키 파생 상태 표시기
SHA2-256을 사용한 HKDF_Expand 또는 HKDF 선호
HMAC-SHA2-256을 사용한 카운터 모드 KDF 허용 가능
키 래핑 상태 표시기
AES-GCM-256 선호
256비트 키가 있는 AES-KW 또는 AES-KWP 허용 가능
메시지 인증 코드(MAC) 상태 표시기
HMAC-SHA2-384 선호
HMAC-SHA2-256 허용 가능
KMAC 허용 가능
암호 해싱 상태 표시기
SHA384를 사용한 암호화 선호
PBKDF2 허용 가능
서명 상태 표시기
P-384를 사용하는 ECDSA 선호
P-256, P-521 또는 Ed25519를 사용하는 ECDSA 허용 가능
RSA-2048 또는 RSA-3072 허용 가능
SLH-DSA 선호(양자 방지 소프트웨어/펌웨어 서명용)

AWS 는 암호화 개발, 보안 문제 및 연구 결과를 면밀히 추적합니다. 더 이상 사용되지 않는 알고리즘과 보안 문제가 발견되면 해결됩니다. 자세한 내용은 Security AWS Blog. AWS remains는 레거시 보안 알고리즘을 사용하는 클라이언트와의 호환성 문제를 식별하고 고객이 더 안전한 옵션으로 마이그레이션하도록 지원하는 데 최선을 다하고 있습니다. AWS 또한 포스트 퀀텀 암호화암호화 컴퓨팅을 포함하는 새로운 암호화 영역에도 계속 관여합니다.