本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
支持的加密算法
下表汇总了为保护您的数据而在其服务中部署的加密算法、密码、模式和密钥大小。 AWS 这不应被视为中使用的所有密码学的详尽清单。 AWS这些算法分为两类:“首选” 是符合行业标准并促进互操作性的算法,“可接受” 算法可用于某些应用程序的兼容性,但不是首选。在为加密用例做出加密选择时,应考虑以下信息。
有关中部署的加密算法的更多详细信息 AWS,请参阅密码算法和。 AWS 服务
非对称加密
| 算法 |
状态 |
| 模量为 2048 或 3072 位的 RSA-OAEP |
可接受 |
| HPKE 带有 P-256 或 P-384、HKDF 和 AES-GCM |
可接受 |
非对称密钥协议
| 算法 |
状态 |
| ML-KEM-768 或 ML-KEM-1024 |
首选(用于量子电阻) |
| 带有 P-384 的 ECDH (E) |
可接受 |
| 使用 P-256、P-521 或 X25519 的 ECDH (E) |
可接受 |
| 使用 Brainpoolp256r1、brainpoolp384r1 或 brainpoolp512r1 的 ECDH (E) |
可接受 |
Signatures
| 算法 |
状态 |
| ML-DSA-65 或 ML-DSA-87 |
首选(用于量子电阻) |
| SLH-DSA |
首选(用于抗量子签名) software/firmware |
| 带 P-384 的 ECDSA |
可接受 |
| 带有 P-256、P-521 或 Ed25519 的 ECDSA |
可接受 |
| RSA-2048 或 RSA-3072 |
可接受 |
经过身份验证的加密
| 算法 |
状态 |
| AES-GCM-256 |
首选 |
| AES-GCM-128 |
可接受 |
| ChaCha20/Poly1305 |
可接受 |
加密模式
| 算法 |
状态 |
| AES-XTS-256(用于块存储) |
首选 |
| AES-CBC/CTR(未经身份验证的模式) |
可接受 |
哈希
| 算法 |
状态 |
| SHA2-384 |
首选 |
| SHA2-256 |
可接受 |
| SHA3 |
可接受 |
密钥推导
| 算法 |
状态 |
| HKDF_expand 或者用 -256 的 HKDF SHA2 |
首选 |
| 带有 HMAC 的计数器模式 KDF--256 SHA2 |
可接受 |
钥匙包装
| 算法 |
状态 |
| AES-GCM-256 |
首选 |
| 带有 256 位密钥的 AES-KW 或 AES-KWP |
可接受 |
消息验证码 (MAC)
| 算法 |
状态 |
| HMAC--384 SHA2 |
首选 |
| HMAC--256 SHA2 |
可接受 |
| KMAC |
可接受 |
密码哈希
| 算法 |
状态 |
| 用 scrypt SHA384 |
首选 |
| PBKDF2 |
可接受 |
