AWS abordagem à criptografia - AWS Orientação prescritiva
AWS fundamentos criptográficosAlgoritmos criptográficosAlgoritmos criptográficos recomendados em AWSCriptografia usada em Serviços da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS abordagem à criptografia

Algoritmos criptográficos são construções matemáticas projetadas para fornecer serviços de segurança como confidencialidade (criptografia), autenticidade (códigos de autenticação de mensagens e assinaturas digitais) e não repúdio (assinaturas digitais). Se você é iniciante em criptografia, criptografia e terminologia relacionada, recomendamos que leia Sobre criptografia de dados antes de continuar com este guia.

AWS fundamentos criptográficos

A criptografia é uma parte essencial da segurança para AWS. Serviços da AWS suporta criptografia para dados em trânsito, em repouso ou na memória.  Você pode aprender mais sobre o AWS compromisso com a inovação e o investimento em controles adicionais para recursos de soberania e criptografia em nossa postagem no blog anunciando o compromisso de soberania AWS digital.

AWS segue o modelo de responsabilidade compartilhada para proteger seus dados. Serviços da AWS use algoritmos criptográficos confiáveis que atendam aos padrões do setor e promovam a interoperabilidade. Esses algoritmos são examinados por órgãos públicos de padrões e pesquisas acadêmicas. Os padrões associados são amplamente aceitos pelos governos, pela indústria e pela academia.

AWS usa como padrão implementações criptográficas de alta garantia e prefere soluções otimizadas para hardware que sejam eficientes. Nossa biblioteca principal criptográfica, AWS-LC, está disponível como código aberto para transparência e reutilização em todo o setor. Os algoritmos criptográficos recomendados em AWS-LC são formalmente verificados quanto à exatidão e a biblioteca é validada em 40 programas. NIST's FIPS-1

Algoritmos criptográficos

Definimos três tipos de algoritmos criptográficos:

  • A criptografia assimétrica usa um par de chaves: uma chave pública para criptografia (ou verificação) e uma chave privada para decodificação (ou assinatura). Você pode compartilhar a chave pública porque ela não é usada para decodificação, mas o acesso à chave privada deve ser altamente restrito. Serviços da AWS suporte ou planeje o suporte a algoritmos pós-quânticos, como ML-KEM e ML-DSA. Serviços da AWS também oferecem suporte a algoritmos criptográficos tradicionais, como RSA e criptografia de curva elíptica (ECC).

  • A criptografia simétrica usa a mesma chave para criptografar e descriptografar, ou autenticar e verificar os dados. Serviços da AWS geralmente se integra com AWS Key Management Service (AWS KMS) para criptografia de dados em repouso, que usa um modo de AES-256.  

  • Outras funções criptográficas são usadas em conjunto com a criptografia assimétrica e simétrica para criar protocolos seguros e práticos para aplicativos de confidencialidade, integridade, autenticação e não repúdio. Os exemplos incluem funções de hash e funções de derivação de chaves.

Algoritmos criptográficos recomendados em AWS

As tabelas a seguir resumem os algoritmos criptográficos, os modos e os tamanhos de chave AWS considerados adequados para implantação em seus serviços para proteger seus dados. Essa orientação evoluirá com o tempo à medida que os padrões criptográficos evoluírem.

Os algoritmos disponíveis nos serviços podem variar e são explicados na documentação de cada serviço. Se você precisar de uma implementação de biblioteca de software para um algoritmo aprovado, verifique se ele está incluído na versão mais recente da biblioteca AWS-LC.

Os algoritmos são aprovados para uso AWS em uma das duas categorias:

  • Os algoritmos preferidos atendem aos padrões de AWS segurança e desempenho.

  • Os algoritmos aceitáveis podem ser usados por compatibilidade em algumas aplicações, mas não são os preferenciais.

Criptografia assimétrica

A tabela a seguir lista algoritmos assimétricos considerados adequados para uso em AWS criptografia, acordo de chaves e assinaturas digitais.

Tipo

algoritmo

Status

Criptografia

RSA-OAEP (módulo ≥2048 bits)

Aceitável

Criptografia

HPKE (P-256 ou P-384, HKDF e AES-GCM)

Aceitável

Acordo chave

ML-KEM-768 ou ML-KEM-1024

Preferencial (resistente a quântico)

Acordo chave

ECDSA com P-256, P-384, P-521 ou Ed25519

Aceitável

Acordo chave

ECDH(E) com brainpoolP256r1, brainpoolP384r1 ou brainpoolP512r1

Aceitável

Assinaturas

ML-DSA-65 ou ML-DSA-87

Preferencial (resistente a quântico)

Assinaturas

SLH-DSA

Aceitável (resistente a quânticas)

Assinaturas

ECDSA com P-384

Aceitável

Assinaturas

ECDSA com P-256, P-521 ou Ed25519

Aceitável

Assinaturas

RSA (módulo ≥2048 bits)

Aceitável

Criptografia simétrica

A tabela a seguir lista algoritmos simétricos considerados adequados para uso em AWS criptografia, criptografia autenticada e empacotamento de chaves.

Tipo

algoritmo

Status

Criptografia autenticada

AES-GCM-256

Preferencial

Criptografia autenticada

AES-GCM-128

Aceitável

Criptografia autenticada

ChaCha20/Poliéster 1305

Aceitável

Modos de criptografia

AES-XTS-256 (para armazenamento em bloco)

Preferencial

Modos de criptografia

AES-CBC/CTR (modos não autenticados)

Aceitável

Embalagem de chaves

AES-GCM-256

Preferencial

Embalagem de chaves

AES-KW ou AES-KWP com chaves de 256 bits

Aceitável

Outras funções criptográficas

A tabela a seguir lista algoritmos considerados adequados para uso em AWS hash, derivação de chaves e autenticação de mensagens.

Tipo

algoritmo

Status

Hashing

SHA-384

Preferencial

Hashing

SHA-256

Aceitável

Hashing

SHA3

Aceitável

Derivação de chaves

HKDF_Expand ou HKDF com SHA-256

Preferencial

Derivação de chaves

Modo contador KDF com HMAC-SHA-256

Aceitável

Código de autenticação de mensagem

HMAC-SHA-384

Preferencial

Código de autenticação de mensagem

HMAC-SHA-256

Aceitável

Código de autenticação de mensagem

KMAC

Aceitável

Hash de senha

criptografar com SHA384

Preferencial

Hash de senha

PBKDF2

Aceitável

Criptografia usada em Serviços da AWS

Serviços da AWS confie em implementações seguras e de código aberto de algoritmos aprovados para proteger seus dados. As opções e configurações específicas dos algoritmos variam de acordo com o serviço. Algumas AWS ferramentas e serviços usam um algoritmo específico. Em outros, você pode escolher entre algoritmos compatíveis e comprimentos de chave, ou você pode usar os padrões recomendados.

AWS os serviços criptográficos estão em conformidade com uma ampla variedade de padrões de segurança criptográfica, para que você possa cumprir as regulamentações governamentais ou setoriais. Para obter uma lista completa dos padrões de segurança de dados que Serviços da AWS estão em conformidade, consulte os programas de AWS conformidade.