Gerenciando chaves SSH e PGP no Transfer Family - AWS Transfer Family
Visão geral do algoritmoAutenticação SSHAlgoritmos PGP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando chaves SSH e PGP no Transfer Family

Nesta seção, você encontrará informações sobre chaves SSH, incluindo como gerá-las e como rotacioná-las. Para obter detalhes sobre como usar o Transfer Family with AWS Lambda para gerenciar chaves, consulte a postagem do blog Habilitando o gerenciamento de chaves por autoatendimento do usuário com AWS Transfer Family e. AWS Lambda Para implantação e gerenciamento automatizados de usuários com várias chaves SSH, consulteMódulos Transfer Family Terraform.

nota

AWS Transfer Family aceita RSA, ECDSA e ED25519 chaves para autenticação SSH.

Esta seção também aborda como gerar e gerenciar chaves de Pretty Good Privacy (PGP).

Para obter uma visão geral abrangente de todos os algoritmos de criptografia e chave compatíveis, incluindo recomendações para diferentes casos de uso, consulteVisão geral da criptografia e dos principais algoritmos.

Visão geral da criptografia e dos principais algoritmos

AWS Transfer Family suporta diferentes tipos de algoritmos para diferentes propósitos. Entender quais algoritmos usar para seu caso de uso específico ajuda a garantir transferências de arquivos seguras e compatíveis.

Referência rápida do algoritmo
Caso de uso Algoritmo recomendado Compatível com FIPS Observações
Autenticação SSH/SFTP RSA (rsa-sha2-256/512), ECDSA ou ED25519 RSA: Sim, EDSA: Sim, Não ED25519 Compatível com todos os clientes e servidores SSH
Geração de chaves PGP RSA ou ECC (NIST) Sim Para decodificação do fluxo de trabalho
Criptografia de arquivos PGP AES-256 Sim Determinado pelo software PGP

Algoritmos de autenticação SSH

Esses algoritmos são usados para SSH/SFTP autenticação entre clientes e AWS Transfer Family servidores. Escolha uma delas ao gerar pares de chaves SSH para autenticação de usuário ou chaves de host do servidor.

RSA (recomendado)

Compatível com todos os clientes e servidores SSH e compatível com FIPS. Use com o hashing SHA-2 para aumentar a segurança:

  • rsa-sha2-256- Recomendado para a maioria dos casos de uso

  • rsa-sha2-512- Opção de maior segurança

ED25519

Moderno e eficiente. Tamanhos de chave menores com forte segurança:

  • ssh-ed25519- Rápido e seguro, mas não compatível com FIPS

ECDSA

Opção de curva elíptica. Bom equilíbrio entre segurança e desempenho:

  • ecdsa-sha2-nistp256- Curva padrão

  • ecdsa-sha2-nistp384- Maior curva de segurança

  • ecdsa-sha2-nistp521- Maior curva de segurança

nota

Oferecemos suporte ssh-rsa SHA1 para políticas de segurança mais antigas. Para obter detalhes, consulte Algoritmos criptográficos.

Escolhendo o algoritmo SSH certo

  • Para a maioria dos usuários: use RSA com rsa-sha2-256 ou rsa-sha2-512

  • Para conformidade com FIPS: use algoritmos RSA ou ECDSA

  • Para ambientes modernos: ED25519 oferece excelente segurança e desempenho

Algoritmos de criptografia e decodificação PGP

O PGP (Pretty Good Privacy) usa dois tipos de algoritmos trabalhando juntos para criptografar e descriptografar arquivos em fluxos de trabalho:

  1. Algoritmos de pares de chaves - usados para gerar os pares de public/private chaves para criptografia e assinaturas digitais

  2. Algoritmos simétricos - usados para criptografar os dados reais do arquivo (os algoritmos de par de chaves criptografam a chave simétrica)

Algoritmos de pares de chaves PGP

Escolha um desses algoritmos ao gerar pares de chaves PGP para a decodificação do fluxo de trabalho:

RSA (recomendado)

Recomendado para a maioria dos usuários. Amplamente suportado, bem estabelecido e compatível com FIPS. Oferece um bom equilíbrio entre segurança e compatibilidade.

ECC (criptografia de curva elíptica)

Mais eficiente do que o RSA com tamanhos de chave menores, mantendo uma segurança forte:

  • Curvas NIST - Curvas padrão amplamente suportadas e compatíveis com FIPS

  • BrainPool curvas - Curvas alternativas para requisitos específicos de conformidade

ElGamal

Algoritmo legado. Suportado para compatibilidade com sistemas mais antigos. Use RSA ou ECC para novas implementações.

Importante

Alterar chaves Curve25519 não é compatível.

Para obter instruções detalhadas sobre a geração de chaves PGP, consulte. Gerar chaves PGP

Algoritmos de criptografia simétrica PGP

Esses algoritmos criptografam os dados reais do arquivo. O algoritmo usado depende de como o arquivo PGP foi criado pelo seu software PGP:

Algoritmos compatíveis com FIPS (recomendados para ambientes regulamentados)

  • AES-128, AES-192, AES-256 - Padrão de criptografia avançado (recomendado)

  • 3DES - Padrão de criptografia de dados tripla (antigo, use AES quando possível)

Outros algoritmos suportados

  • IDEA, Blowfish CAST5, DES, CAMÉLIA-128, TwoFish CAMÉLIA-192, CAMÉLIA-256

nota

Você não escolhe o algoritmo simétrico diretamente ao usar AWS Transfer Family fluxos de trabalho - ele é determinado pelo software PGP usado para criar o arquivo criptografado. No entanto, você pode configurar seu software PGP para preferir algoritmos compatíveis com FIPS, como o AES-256.

Para obter mais informações sobre algoritmos simétricos compatíveis, consulteAlgoritmos de criptografia simétrica compatíveis.