기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Transfer Family에서 SSH 및 PGP 키 관리
<a name="key-management"></a>

이 섹션에서는 SSH 키를 생성하는 방법과 키를 회전하는 방법 등 SSH 키에 대한 정보를 확인할 수 있습니다. 에서 Transfer Family를 사용하여 키를 관리하는 AWS Lambda 방법에 대한 자세한 내용은 블로그 게시물 [AWS Transfer Family 및를 사용하여 사용자 셀프 서비스 키 관리 활성화 AWS Lambda](https://aws.amazon.com/blogs/storage/enabling-user-self-service-key-management-with-aws-transfer-family-and-aws-lambda/)를 참조하세요. 여러 SSH 키가 있는 사용자의 자동 배포 및 관리는 섹션을 참조하세요[Transfer Family Terraform 모듈](terraform.md).

**참고**  
AWS Transfer Family 는 SSH 인증을 위해 RSA, ECDSA 및 ED25519 키를 허용합니다.

이 섹션에서는 프리티 굿 프라이버시 (PGP) 키를 생성하고 관리하는 방법도 다룹니다.

다양한 사용 사례에 대한 권장 사항을 포함하여 지원되는 모든 암호화 및 키 알고리즘에 대한 포괄적인 개요는 섹션을 참조하세요[암호화 및 키 알고리즘 개요](#encryption-algorithms-overview).

## 암호화 및 키 알고리즘 개요
<a name="encryption-algorithms-overview"></a>

AWS Transfer Family 는 다양한 목적으로 다양한 유형의 알고리즘을 지원합니다. 특정 사용 사례에 사용할 알고리즘을 이해하면 안전하고 호환되는 파일 전송을 보장하는 데 도움이 됩니다.


**알고리즘 빠른 참조**  

| 사용 사례 | 권장 알고리즘 | FIPS 규정 준수 | 참고 | 
| --- | --- | --- | --- | 
| SSH/SFTP 인증 | RSA(rsa-sha2-256/512), ECDSA 또는 ED25519 | RSA: 예, ECDSA: 예, ED25519: 아니요 | 모든 SSH 클라이언트 및 서버와 호환 | 
| PGP 키 생성 | RSA 또는 ECC(NIST) | 예 | 워크플로 복호화의 경우 | 
| PGP 파일 암호화 | AES-256 | 예 | PGP 소프트웨어에서 결정 | 

## SSH 인증 알고리즘
<a name="ssh-authentication-algorithms"></a>

이러한 알고리즘은 클라이언트와 AWS Transfer Family 서버 간의 SSH/SFTP 인증에 사용됩니다. 사용자 인증 또는 서버 호스트 키를 위한 SSH 키 페어를 생성할 때 다음 중 하나를 선택합니다.

RSA(권장)  
**모든 SSH 클라이언트 및 서버와 호환되며 FIPS를 준수합니다.** 보안 강화를 위해 SHA-2 해싱과 함께 사용:  
+ `rsa-sha2-256` - 대부분의 사용 사례에 권장
+ `rsa-sha2-512` - 더 높은 보안 옵션

ED25519  
**현대적이고 효율적입니다.** 강력한 보안 기능을 갖춘 더 작은 키 크기:  
+ `ssh-ed25519` - 빠르고 안전하지만 FIPS를 준수하지 않음

ECDSA  
**타원 곡선 옵션.** 보안과 성능의 균형:  
+ `ecdsa-sha2-nistp256` - 표준 곡선
+ `ecdsa-sha2-nistp384` - 보안 곡선 강화
+ `ecdsa-sha2-nistp521` - 가장 높은 보안 곡선

**참고**  
이전 보안 정책에 대해 SHA1`ssh-rsa`을 지원합니다. 자세한 내용은 [암호화 알고리즘](security-policies.md#cryptographic-algorithms)을 참조하세요.

**올바른 SSH 알고리즘 선택**
+ **대부분의 사용자:** `rsa-sha2-256` 또는와 함께 RSA 사용 `rsa-sha2-512`
+ **FIPS 규정 준수의 경우:** RSA 또는 ECDSA 알고리즘 사용
+ **최신 환경의 경우:** ED25519는 뛰어난 보안 및 성능을 제공합니다.

## PGP 암호화 및 복호화 알고리즘
<a name="pgp-encryption-algorithms"></a>

PGP(Pretty Good Privacy)는 두 가지 유형의 알고리즘을 함께 사용하여 워크플로에서 파일을 암호화하고 해독합니다.

1. **키 페어 알고리즘** - 암호화 및 디지털 서명을 위한 퍼블릭/프라이빗 키 페어를 생성하는 데 사용됩니다.

1. **대칭 알고리즘** - 실제 파일 데이터를 암호화하는 데 사용됩니다(키 페어 알고리즘은 대칭 키를 암호화함).

### PGP 키 페어 알고리즘
<a name="pgp-key-algorithms"></a>

워크플로 복호화를 위한 PGP 키 페어를 생성할 때 다음 알고리즘 중 하나를 선택합니다.

RSA(권장)  
**대부분의 사용자에게 권장됩니다.** 광범위하게 지원되고, 잘 확립되고, FIPS를 준수합니다. 보안과 호환성의 적절한 균형을 제공합니다.

ECC(Elliptic Curve Cryptography)  
강력한 보안을 유지하면서 키 크기가 작은 **RSA보다 더 효율적**입니다.  
+ **NIST 곡선** - 널리 지원되는 표준 곡선 및 FIPS 준수
+ **BrainPool 곡선** - 특정 규정 준수 요구 사항에 대한 대체 곡선
+ **Curve25519** - 효율적인 계산으로 강력한 보안을 제공하는 최신 고성능 곡선

ElGamal  
**레거시 알고리즘.** 이전 시스템과의 호환성을 지원합니다. 새 구현에는 RSA 또는 ECC를 사용합니다.

PGP 키 생성에 대한 자세한 지침은 섹션을 참조하세요[PGP 키 생성](generate-pgp-keys.md).

### PGP 대칭 암호화 알고리즘
<a name="pgp-symmetric-algorithms"></a>

이러한 알고리즘은 실제 파일 데이터를 암호화합니다. 사용되는 알고리즘은 PGP 소프트웨어가 PGP 파일을 생성한 방식에 따라 달라집니다.

**FIPS 준수 알고리즘(규정 환경에 권장)**
+ **AES-128, AES-192, AES-256** - 고급 암호화 표준(권장)
+ **3DES** - 트리플 데이터 암호화 표준(레거시, 가능하면 AES 사용)

**기타 지원되는 알고리즘**
+ IDEA, CAST5, Blowfish, DES, TwoFish, CAMELLIA-128, CAMELLIA-192, CAMELLIA-256

**참고**  
워크플로를 사용할 AWS Transfer Family 때 대칭 알고리즘을 직접 선택하지 않습니다. 이는 암호화된 파일을 생성하는 데 사용되는 PGP 소프트웨어에 의해 결정됩니다. 그러나 AES-256과 같은 FIPS 호환 알고리즘을 선호하도록 PGP 소프트웨어를 구성할 수 있습니다.

지원되는 대칭 알고리즘에 대한 자세한 내용은 섹션을 참조하세요[지원되는 대칭 암호화 알고리즘](nominal-steps-workflow.md#symmetric-algorithms).