管理 Transfer 系列中的 SSH 和 PGP 金鑰 - AWS Transfer Family
演算法概觀SSH 身分驗證PGP 演算法

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 Transfer 系列中的 SSH 和 PGP 金鑰

在本節中,您可以找到 SSH 金鑰的相關資訊,包括如何產生金鑰以及如何輪換金鑰。如需使用 Transfer Family AWS Lambda 搭配 來管理金鑰的詳細資訊,請參閱部落格文章使用 AWS Transfer Family 和 啟用使用者自助式金鑰管理 AWS Lambda。如需具有多個 SSH 金鑰之使用者的自動化部署和管理,請參閱 Transfer 系列 Terraform 模組

注意

AWS Transfer Family 接受 RSA、ECDSA 和 ED25519 金鑰進行 SSH 身分驗證。

本節也涵蓋如何產生和管理 Pretty Good Privacy (PGP) 金鑰。

如需所有支援加密和金鑰演算法的完整概觀,包括不同使用案例的建議,請參閱 加密和金鑰演算法概觀

加密和金鑰演算法概觀

AWS Transfer Family 支援不同類型的演算法用於不同的用途。了解要用於特定使用案例的演算法,有助於確保安全且相容的檔案傳輸。

演算法快速參考
使用案例 建議的演算法 FIPS 合規 備註
SSH/SFTP 身分驗證 RSA (rsa-sha2-256/512)、ECDSA 或 ED25519 RSA:是,ECDSA:是,ED25519:否 與所有 SSH 用戶端和伺服器相容
PGP 金鑰產生 RSA 或 ECC (NIST) 對於工作流程解密
PGP 檔案加密 AES-256 由 PGP 軟體決定

SSH 身分驗證演算法

這些演算法用於用戶端和 AWS Transfer Family 伺服器之間的 SSH/SFTP 身分驗證。為使用者身分驗證或伺服器主機金鑰產生 SSH 金鑰對時,請選擇其中一項。

RSA (建議)

與所有 SSH 用戶端和伺服器相容,且符合 FIPS 規範。搭配 SHA-2 雜湊使用 可增強安全性:

  • rsa-sha2-256 - 建議大多數使用案例使用

  • rsa-sha2-512 - 更高的安全選項

ED25519

現代化且高效率。具有強大安全性的較小金鑰大小:

  • ssh-ed25519 - 快速且安全,但不符合 FIPS

ECDSA

橢圓曲線選項。安全與效能的良好平衡:

  • ecdsa-sha2-nistp256 - 標準曲線

  • ecdsa-sha2-nistp384 - 更高的安全曲線

  • ecdsa-sha2-nistp521 - 最高安全性曲線

注意

我們支援ssh-rsa舊版安全政策的 SHA1。如需詳細資訊,請參閱密碼編譯演算法

選擇正確的 SSH 演算法

  • 對於大多數使用者:搭配 rsa-sha2-256或 使用 RSA rsa-sha2-512

  • 針對 FIPS 合規:使用 RSA 或 ECDSA 演算法

  • 對於現代環境:ED25519 提供卓越的安全性和效能

PGP 加密和解密演算法

PGP (Pretty Good Privacy) 使用兩種類型的演算法,共同加密和解密工作流程中的檔案:

  1. 金鑰對演算法 - 用來產生加密和數位簽章的公有/私有金鑰對

  2. 對稱演算法 - 用於加密實際檔案資料 (金鑰對演算法加密對稱金鑰)

PGP 金鑰對演算法

為工作流程解密產生 PGP 金鑰對時,請選擇下列其中一種演算法:

RSA (建議)

建議大多數使用者使用。廣泛支援、建立良好且符合 FIPS 規範。在安全性和相容性之間取得良好的平衡。

ECC (橢圓曲線密碼編譯)

比具有較小金鑰大小的 RSA 更有效率,同時保持強大的安全性:

  • NIST 曲線 - 廣泛支援且符合 FIPS 標準曲線

  • BrainPool 曲線 - 特定合規要求的替代曲線

ElGamal

舊版演算法。支援與舊版系統相容。使用 RSA 或 ECC 進行新實作。

重要

不支援 Curve25519 金鑰。

如需產生 PGP 金鑰的詳細說明,請參閱 產生 PGP 金鑰

PGP 對稱加密演算法

這些演算法會加密您的實際檔案資料。使用的演算法取決於 PGP 軟體如何建立 PGP 檔案:

FIPS 相容演算法 (建議用於受管制的環境)

  • AES-128, AES-192, AES-256 - 進階加密標準 (建議)

  • 3DES - 三重資料加密標準 (舊版,盡可能使用 AES)

其他支援的演算法

  • IDEA、CAST5、Blowfish、DES、TwoFish、CAMELLIA-128, CAMELLIA-192, CAMELLIA-256

注意

您不 AWS Transfer Family 在使用工作流程時直接選擇對稱演算法 - 由用來建立加密檔案的 PGP 軟體決定。不過,您可以將 PGP 軟體設定為偏好符合 FIPS 的演算法,例如 AES-256。

如需支援的對稱演算法的詳細資訊,請參閱 支援的對稱加密演算法