As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Algoritmos criptográficos com suporte
Algoritmos criptográficos
As tabelas a seguir resumem os algoritmos criptográficos, as cifras, os modos e os tamanhos de chave que o AWS emprega em seus serviços para proteger seus dados. Eles não devem ser considerados uma lista exaustiva de todas as opções de criptografia disponíveis na AWS. Os algoritmos se encaixam em duas categorias:
-
Os algoritmos preferenciais atendem aos padrões de segurança e performance da AWS.
-
Os algoritmos aceitáveis podem ser usados por compatibilidade em algumas aplicações, mas não são os preferenciais.
Criptografia assimétrica
A tabela a seguir lista os algoritmos assimétricos compatíveis para criptografia, acordo de chaves e assinaturas digitais.
| Tipo | Algoritmo | Status |
|---|---|---|
| Criptografia | RSA-OAEP (módulos de 2048 ou 3072 bits) | Aceitável |
| Criptografia | HPKE (P-256 ou P-384, HKDF e AES-GCM) | Aceitável |
| Acordo de chave | ML-KEM-768 ou ML-KEM-1024 | Preferencial (resistente a quântico) |
| Acordo de chave | ECDH(E) com P-384 | Aceitável |
| Acordo de chave | ECDH(E) com P-256, P-521 ou X25519 | Aceitável |
| Acordo de chave | ECDH(E) com brainpoolP256r1, brainpoolP384r1 ou brainpoolP512r1 | Aceitável |
| Assinaturas | ML-DSA-65 ou ML-DSA-87 | Preferencial (resistente a quântico) |
| Assinaturas | SLH-DSA | Preferencial (assinatura de software/firmware resistente a quântico) |
| Assinaturas | ECDSA com P-384 | Aceitável |
| Assinaturas | ECDSA com P-256, P-521 ou Ed25519 | Aceitável |
| Assinaturas | RSA-2048 ou RSA-3072 | Aceitável |
Criptografia simétrica
A tabela a seguir lista algoritmos simétricos compatíveis para criptografia, criptografia autenticada e empacotamento de chaves.
| Tipo | Algoritmo | Status |
|---|---|---|
| Criptografia autenticada | AES-GCM-256 | Preferencial |
| Criptografia autenticada | AES-GCM-128 | Aceitável |
| Criptografia autenticada | ChaCha20/Poly1305 | Aceitável |
| Modos de criptografia | AES-XTS-256 (para armazenamento em bloco) | Preferencial |
| Modos de criptografia | AES-CBC/CTR (modos não autenticados) | Aceitável |
| Chave de encapsulamento | AES-GCM-256 | Preferencial |
| Chave de encapsulamento | AES-KW ou AES-KWP com chaves de 256 bits | Aceitável |
Funções criptográficas
A tabela a seguir lista os algoritmos compatíveis para hash, derivação de chaves, autenticação de mensagens e hash de senhas.
| Tipo | Algoritmo | Status |
|---|---|---|
| Hashing | SHA2-384 | Preferencial |
| Hashing | SHA2-256 | Aceitável |
| Hashing | SHA3 | Aceitável |
| Derivação de chaves | HKDF_Expand ou HKDF com SHA2-256 | Preferencial |
| Derivação de chaves | KDF no modo Counter com HMAC-SHA2-256 | Aceitável |
| Código de autenticação de mensagem | HMAC-SHA2-384 | Preferencial |
| Código de autenticação de mensagem | HMAC-SHA2-256 | Aceitável |
| Código de autenticação de mensagem | KMAC | Aceitável |
| Hash de senha | scrypt com SHA384 | Preferencial |
| Hash de senha | PBKDF2 | Aceitável |
Para obter mais detalhes sobre algoritmos criptográficos empregados na AWS, consulte Cryptography algorithms and Serviços da AWS.
