Gerenciando chaves SSH e PGP no Transfer Family - AWS Transfer Family
Visão geral do algoritmoAutenticação SSHAlgoritmos PGP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando chaves SSH e PGP no Transfer Family

Nesta seção, você encontrará informações sobre chaves SSH, incluindo como gerá-las e como rotacioná-las. Para obter detalhes sobre como usar o Transfer Family with AWS Lambda para gerenciar chaves, consulte a postagem do blog Habilitando o gerenciamento de chaves por autoatendimento do usuário com AWS Transfer Family e. AWS Lambda Para implantação e gerenciamento automatizados de usuários com várias chaves SSH, consulteMódulos Transfer Family Terraform.

nota

AWS Transfer Family aceita RSA, ECDSA e ED25519 chaves para autenticação SSH.

Esta seção também aborda como gerar e gerenciar chaves de Pretty Good Privacy (PGP).

Para obter uma visão geral abrangente de todos os algoritmos de criptografia e chave compatíveis, incluindo recomendações para diferentes casos de uso, consulteVisão geral da criptografia e dos principais algoritmos.

Visão geral da criptografia e dos principais algoritmos

AWS Transfer Family suporta diferentes tipos de algoritmos para diferentes propósitos. Entender quais algoritmos usar para seu caso de uso específico ajuda a garantir transferências de arquivos seguras e compatíveis.

Referência rápida do algoritmo
Caso de uso Algoritmo recomendado Compatível com FIPS Observações
Autenticação SSH/SFTP RSA (rsa-sha2-256/512), ECDSA ou ED25519 RSA: Sim, EDSA: Sim, Não ED25519 Compatível com todos os clientes e servidores SSH
Geração de chaves PGP RSA ou ECC (NIST) Sim Para decodificação do fluxo de trabalho
Criptografia de arquivos PGP AES-256 Sim Determinado pelo software PGP

Algoritmos de autenticação SSH

Esses algoritmos são usados para SSH/SFTP autenticação entre clientes e AWS Transfer Family servidores. Escolha uma delas ao gerar pares de chaves SSH para autenticação de usuário ou chaves de host do servidor.

RSA (recomendado)

Compatível com todos os clientes e servidores SSH e compatível com FIPS. Use com o hashing SHA-2 para aumentar a segurança:

  • rsa-sha2-256- Recomendado para a maioria dos casos de uso

  • rsa-sha2-512- Opção de maior segurança

ED25519

Moderno e eficiente. Tamanhos de chave menores com forte segurança:

  • ssh-ed25519- Rápido e seguro, mas não compatível com FIPS

ECDSA

Opção de curva elíptica. Bom equilíbrio entre segurança e desempenho:

  • ecdsa-sha2-nistp256- Curva padrão

  • ecdsa-sha2-nistp384- Maior curva de segurança

  • ecdsa-sha2-nistp521- Maior curva de segurança

nota

Oferecemos suporte ssh-rsa SHA1 para políticas de segurança mais antigas. Para obter detalhes, consulte Algoritmos criptográficos.

Escolhendo o algoritmo SSH certo

  • Para a maioria dos usuários: use RSA com rsa-sha2-256 ou rsa-sha2-512

  • Para conformidade com FIPS: use algoritmos RSA ou ECDSA

  • Para ambientes modernos: ED25519 oferece excelente segurança e desempenho

Algoritmos de criptografia e decodificação PGP

O PGP (Pretty Good Privacy) usa dois tipos de algoritmos trabalhando juntos para criptografar e descriptografar arquivos em fluxos de trabalho:

  1. Algoritmos de pares de chaves - usados para gerar os pares de public/private chaves para criptografia e assinaturas digitais

  2. Algoritmos simétricos - usados para criptografar os dados reais do arquivo (os algoritmos de par de chaves criptografam a chave simétrica)

Algoritmos de pares de chaves PGP

Escolha um desses algoritmos ao gerar pares de chaves PGP para a decodificação do fluxo de trabalho:

RSA (recomendado)

Recomendado para a maioria dos usuários. Amplamente suportado, bem estabelecido e compatível com FIPS. Proporciona um bom equilíbrio entre segurança e compatibilidade.

ECC (criptografia de curva elíptica)

Mais eficiente do que o RSA com tamanhos de chave menores, mantendo uma segurança forte:

  • Curvas NIST - Curvas padrão amplamente suportadas e compatíveis com FIPS

  • BrainPool curvas - Curvas alternativas para requisitos específicos de conformidade

  • Curve25519 - Curva moderna de alto desempenho que oferece forte segurança com computação eficiente

ElGamal

Algoritmo legado. Suportado para compatibilidade com sistemas mais antigos. Use RSA ou ECC para novas implementações.

Para obter instruções detalhadas sobre a geração de chaves PGP, consulte. Gerar chaves PGP

Algoritmos de criptografia simétrica PGP

Esses algoritmos criptografam os dados reais do arquivo. O algoritmo usado depende de como o arquivo PGP foi criado pelo seu software PGP:

Algoritmos compatíveis com FIPS (recomendados para ambientes regulamentados)

  • AES-128, AES-192, AES-256 - Padrão de criptografia avançado (recomendado)

  • 3DES - Padrão de criptografia de dados tripla (antigo, use AES quando possível)

Outros algoritmos suportados

  • IDEA, Blowfish CAST5, DES, CAMÉLIA-128, TwoFish CAMÉLIA-192, CAMÉLIA-256

nota

Você não escolhe o algoritmo simétrico diretamente ao usar AWS Transfer Family fluxos de trabalho - ele é determinado pelo software PGP usado para criar o arquivo criptografado. No entanto, você pode configurar seu software PGP para preferir algoritmos compatíveis com FIPS, como o AES-256.

Para obter mais informações sobre algoritmos simétricos compatíveis, consulteAlgoritmos de criptografia simétrica compatíveis.