Transfer Family에서 SSH 및 PGP 키 관리 - AWS Transfer Family
알고리즘 개요SSH 인증PGP 알고리즘

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Transfer Family에서 SSH 및 PGP 키 관리

이 섹션에서는 SSH 키를 생성하는 방법과 키를 회전하는 방법 등 SSH 키에 대한 정보를 확인할 수 있습니다. 에서 Transfer Family를 사용하여 키를 관리하는 AWS Lambda 방법에 대한 자세한 내용은 블로그 게시물 A AWS Transfer Family 및를 사용하여 사용자 셀프 서비스 키 관리 활성화 AWS Lambda를 참조하세요.

참고

AWS Transfer Family 는 SSH 인증을 위해 RSA, ECDSA 및 ED25519 키를 허용합니다.

이 섹션에서는 프리티 굿 프라이버시 (PGP) 키를 생성하고 관리하는 방법도 다룹니다.

다양한 사용 사례에 대한 권장 사항을 포함하여 지원되는 모든 암호화 및 키 알고리즘에 대한 포괄적인 개요는 섹션을 참조하세요암호화 및 키 알고리즘 개요.

암호화 및 키 알고리즘 개요

AWS Transfer Family 는 다양한 목적으로 다양한 유형의 알고리즘을 지원합니다. 특정 사용 사례에 사용할 알고리즘을 이해하면 안전하고 호환되는 파일 전송을 보장하는 데 도움이 됩니다.

알고리즘 빠른 참조
사용 사례 권장 알고리즘 FIPS 규정 준수 참고
SSH/SFTP 인증 RSA(rsa-sha2-256/512), ECDSA 또는 ED25519 RSA: 예, ECDSA: 예, ED25519: 아니요 모든 SSH 클라이언트 및 서버와 호환
PGP 키 생성 RSA 또는 ECC(NIST) 워크플로 복호화의 경우
PGP 파일 암호화 AES-256 PGP 소프트웨어에서 결정

SSH 인증 알고리즘

이러한 알고리즘은 클라이언트와 AWS Transfer Family 서버 간의 SSH/SFTP 인증에 사용됩니다. 사용자 인증 또는 서버 호스트 키를 위한 SSH 키 페어를 생성할 때 다음 중 하나를 선택합니다.

RSA(권장)

모든 SSH 클라이언트 및 서버와 호환되며 FIPS를 준수합니다. 보안 강화를 위해 SHA-2 해싱과 함께 사용:

  • rsa-sha2-256 - 대부분의 사용 사례에 권장

  • rsa-sha2-512 - 더 높은 보안 옵션

ED25519

현대적이고 효율적입니다. 강력한 보안을 갖춘 더 작은 키 크기:

  • ssh-ed25519 - 빠르고 안전하지만 FIPS를 준수하지 않음

ECDSA

타원 곡선 옵션. 보안과 성능의 균형:

  • ecdsa-sha2-nistp256 - 표준 곡선

  • ecdsa-sha2-nistp384 - 더 높은 보안 곡선

  • ecdsa-sha2-nistp521 - 가장 높은 보안 곡선

참고

이전 보안 정책에 대해 SHA1ssh-rsa을 지원합니다. 자세한 내용은 암호화 알고리즘을 참조하세요.

올바른 SSH 알고리즘 선택

  • 대부분의 사용자: rsa-sha2-256 또는와 함께 RSA 사용 rsa-sha2-512

  • FIPS 규정 준수의 경우: RSA 또는 ECDSA 알고리즘 사용

  • 최신 환경의 경우: ED25519는 뛰어난 보안 및 성능을 제공합니다.

PGP 암호화 및 복호화 알고리즘

PGP(Pretty Good Privacy)는 두 가지 유형의 알고리즘을 함께 사용하여 워크플로에서 파일을 암호화하고 해독합니다.

  1. 키 페어 알고리즘 - 암호화 및 디지털 서명을 위한 퍼블릭/프라이빗 키 페어를 생성하는 데 사용됩니다.

  2. 대칭 알고리즘 - 실제 파일 데이터를 암호화하는 데 사용됩니다(키 페어 알고리즘은 대칭 키를 암호화함).

PGP 키 페어 알고리즘

워크플로 복호화를 위해 PGP 키 페어를 생성할 때 다음 알고리즘 중 하나를 선택합니다.

RSA(권장)

대부분의 사용자에게 권장됩니다. 광범위하게 지원되고, 잘 확립되고, FIPS를 준수합니다. 보안과 호환성의 적절한 균형을 제공합니다.

ECC(Elliptic Curve Cryptography)

강력한 보안을 유지하면서 키 크기가 작은 RSA보다 더 효율적입니다.

  • NIST 곡선 - 널리 지원되는 표준 곡선 및 FIPS 준수

  • BrainPool 곡선 - 특정 규정 준수 요구 사항에 대한 대체 곡선

ElGamal

레거시 알고리즘. 이전 시스템과의 호환성을 지원합니다. 새 구현에는 RSA 또는 ECC를 사용합니다.

중요

Curve25519 키는 지원되지 않습니다.

PGP 키 생성에 대한 자세한 지침은 섹션을 참조하세요PGP 키 생성.

PGP 대칭 암호화 알고리즘

이러한 알고리즘은 실제 파일 데이터를 암호화합니다. 사용되는 알고리즘은 PGP 소프트웨어가 PGP 파일을 생성한 방식에 따라 달라집니다.

FIPS 준수 알고리즘(규정 환경에 권장)

  • AES-128, AES-192, AES-256 - 고급 암호화 표준(권장)

  • 3DES - 트리플 데이터 암호화 표준(레거시, 가능하면 AES 사용)

기타 지원되는 알고리즘

  • IDEA, CAST5, Blowfish, DES, TwoFish, CAMELLIA-128, CAMELLIA-192, CAMELLIA-256

참고

워크플로를 사용할 AWS Transfer Family 때 대칭 알고리즘을 직접 선택하지 않습니다. 이는 암호화된 파일을 생성하는 데 사용되는 PGP 소프트웨어에 의해 결정됩니다. 그러나 AES-256과 같은 FIPS 호환 알고리즘을 선호하도록 PGP 소프트웨어를 구성할 수 있습니다.

지원되는 대칭 알고리즘에 대한 자세한 내용은 섹션을 참조하세요지원되는 대칭 암호화 알고리즘.