Algoritmos de criptografia e Serviços da AWS - AWS Orientação prescritiva
AWS serviços de criptografiaSobre algoritmos criptográficosAlgoritmos criptográficos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Algoritmos de criptografia e Serviços da AWS

Um algoritmo de criptografia é uma fórmula ou procedimento que converte uma mensagem de texto simples em um texto cifrado criptografado. Se você não conhece a criptografia ou sua terminologia, recomendamos que leia Sobre a criptografia de dados antes de continuar com este guia.

AWS serviços de criptografia

AWS os serviços de criptografia dependem de algoritmos de criptografia seguros e de código aberto. Esses algoritmos são examinados por órgãos públicos de padrões e por pesquisas acadêmicas. Alguns serviços e ferramentas da AWS impõem o uso de um algoritmo específico. Em outros serviços, é possível escolher entre vários algoritmos e comprimentos de chave disponíveis ou usar os padrões recomendados.

Esta seção descreve alguns dos algoritmos que AWS as ferramentas e os serviços oferecem suporte. A criptografia pode ser dividida em duas categorias, simétrica e assimétrica, com base no funcionamento de suas chaves:

  • A criptografia simétrica usa a mesma chave para criptografar e descriptografar os dados. Serviços da AWS suportam o Advanced Encryption Standard (AES) e o Triple Data Encryption Standard (3DES ou TDES), que são dois algoritmos simétricos amplamente usados.

  • A criptografia simétrica usa um par de chaves: uma chave pública para criptografia e uma chave privada para descriptografia. Você pode compartilhar a chave pública porque ela não é usada para decodificação, mas o acesso à chave privada deve ser altamente restrito. Serviços da AWS normalmente suportam algoritmos assimétricos RSA e criptografia de curva elíptica (ECC).

AWS os serviços criptográficos estão em conformidade com uma ampla variedade de padrões de segurança criptográfica, para que você possa cumprir as regulamentações governamentais ou profissionais. Para obter uma lista completa dos padrões de segurança de dados que Serviços da AWS estão em conformidade, consulte os programas de AWS conformidade.

Sobre algoritmos criptográficos

A criptografia é uma parte essencial da segurança para AWS. Serviços da AWS suporta criptografia para dados em trânsito, em repouso ou na memória. Muitos também oferecem suporte à criptografia com chaves gerenciadas pelo cliente que são inacessíveis a. AWS Você pode aprender mais sobre o AWS compromisso com a inovação e o investimento em controles adicionais para recursos de soberania e criptografia no compromisso de soberania AWS digital (postagem no blog).AWS

AWS está comprometida em usar os algoritmos criptográficos mais seguros disponíveis para atender aos seus requisitos de segurança e desempenho. AWS usa como padrão algoritmos e implementações de alta garantia e prefere soluções otimizadas para hardware que sejam mais rápidas, melhorem a segurança e sejam mais eficientes em termos de energia. AWS segue o modelo de responsabilidade compartilhada para obter a confidencialidade de seus dados em repouso e em trânsito.

Serviços da AWS use algoritmos criptográficos confiáveis que atendam aos padrões do setor e promovam a interoperabilidade. Esses padrões são amplamente aceitos pelos governos, pela indústria e pela academia. AWS continua implantando novas opções criptográficas para atender a um alto nível de segurança e desempenho. Nossa biblioteca principal criptográfica, AWS-LC, é validada pelo FIPS, verificada formalmente e de código aberto para transparência e reutilização em todo o setor. À medida que o setor se transforma em criptografia quântica segura, AWS pesquisadores e desenvolvedores estão contribuindo para a pesquisa, os padrões interoperáveis e a comunidade de código aberto.

AWS acompanha de perto os desenvolvimentos criptográficos, os problemas de segurança e os resultados da pesquisa. À medida que algoritmos obsoletos e problemas de segurança são descobertos, eles são resolvidos. Para obter mais informações, consulte o Blog AWS de segurança. AWS continua comprometida em identificar problemas de compatibilidade com clientes que usam algoritmos de segurança antigos e em ajudar os clientes a migrar para opções mais seguras. AWS também permanece envolvido em novas áreas criptográficas, que incluem criptografia pós-quântica e computação criptográfica.

Algoritmos criptográficos

As tabelas a seguir resumem os algoritmos criptográficos, as cifras, os modos e os tamanhos de chave AWS implantados em seus serviços para proteger seus dados. Eles não devem ser considerados uma lista exaustiva de todas as opções de criptografia disponíveis na AWS. Os algoritmos se encaixam em duas categorias:

  • Os algoritmos preferidos atendem aos padrões de AWS segurança e desempenho.

  • Os algoritmos aceitáveis podem ser usados por compatibilidade em algumas aplicações, mas não são os preferenciais.

Criptografia assimétrica

A tabela a seguir lista os algoritmos assimétricos compatíveis para criptografia, acordo de chaves e assinaturas digitais.

Tipo Algoritmo Status
Criptografia RSA-OAEP (módulos de 2048 ou 3072 bits) Aceitável
Criptografia HPKE (P-256 ou P-384, HKDF e AES-GCM) Aceitável
Acordo de chave ML-KEM-768 ou ML-KEM-1024 Preferencial (resistente a quântico)
Acordo de chave ECDH(E) com P-384 Aceitável
Acordo de chave ECDH(E) com P-256, P-521 ou X25519 Aceitável
Acordo de chave ECDH(E) com brainpoolP256r1, brainpoolP384r1 ou brainpoolP512r1 Aceitável
Assinaturas ML-DSA-65 ou ML-DSA-87 Preferencial (resistente a quântico)
Assinaturas SLH-DSA Preferencial (assinatura com resistência quântica software/firmware )
Assinaturas ECDSA com P-384 Aceitável
Assinaturas ECDSA com P-256, P-521 ou Ed25519 Aceitável
Assinaturas RSA-2048 ou RSA-3072 Aceitável

Criptografia simétrica

A tabela a seguir lista algoritmos simétricos compatíveis para criptografia, criptografia autenticada e empacotamento de chaves.

Tipo Algoritmo Status
Criptografia autenticada AES-GCM-256 Preferencial
Criptografia autenticada AES-GCM-128 Aceitável
Criptografia autenticada ChaCha20/Poliéster 1305 Aceitável
Modos de criptografia AES-XTS-256 (para armazenamento em bloco) Preferencial
Modos de criptografia AES-CBC/CTR (modos não autenticados) Aceitável
Chave de encapsulamento AES-GCM-256 Preferencial
Chave de encapsulamento AES-KW ou AES-KWP com chaves de 256 bits Aceitável

Funções criptográficas

A tabela a seguir lista os algoritmos compatíveis para hash, derivação de chaves, autenticação de mensagens e hash de senhas.

Tipo Algoritmo Status
Hashing SHA2-384 Preferencial
Hashing SHA2-256 Aceitável
Hashing SHA3 Aceitável
Derivação de chaves HKDF_Expand ou HKDF com -256 SHA2 Preferencial
Derivação de chaves Modo de contador KDF com HMAC- -256 SHA2 Aceitável
Código de autenticação de mensagem HMAC-384 SHA2 Preferencial
Código de autenticação de mensagem HMAC-256 SHA2 Aceitável
Código de autenticação de mensagem KMAC Aceitável
Hash de senha criptografar com SHA384 Preferencial
Hash de senha PBKDF2 Aceitável