View a markdown version of this page

Gestione delle chiavi SSH e PGP in Transfer Family - AWS Transfer Family
Panoramica degli algoritmiautenticazione SSHAlgoritmi PGP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle chiavi SSH e PGP in Transfer Family

In questa sezione, puoi trovare informazioni sulle chiavi SSH, incluso come generarle e come ruotarle. Per i dettagli sull'utilizzo di Transfer Family with AWS Lambda per gestire le chiavi, consulta il post del blog Enabling user self-service key management with AWS Transfer Family and AWS Lambda. Per la distribuzione e la gestione automatizzate degli utenti con più chiavi SSH, consulta. Moduli Transfer Family Terraform

Nota

AWS Transfer Family accetta le chiavi RSA, ECDSA ed ED25519 per l'autenticazione SSH.

Questa sezione spiega anche come generare e gestire le chiavi Pretty Good Privacy (PGP).

Per una panoramica completa di tutti gli algoritmi di crittografia e chiave supportati, inclusi consigli per diversi casi d'uso, consulta. Panoramica sulla crittografia e sugli algoritmi chiave

Panoramica sulla crittografia e sugli algoritmi chiave

AWS Transfer Family supporta diversi tipi di algoritmi per scopi diversi. La comprensione degli algoritmi da utilizzare per il caso d'uso specifico aiuta a garantire trasferimenti di file sicuri e compatibili.

Riferimento rapido all'algoritmo
Caso d'uso Algoritmo consigliato Conforme a FIPS Note
SSH/SFTP Autenticazione RSA (rsa-sha2-256/512), ECDSA o ED25519 RSA: Sì, ECDSA: Sì, ED25519: no Compatibile con tutti i client e server SSH
Generazione di chiavi PGP RSA o ECC (NIST) Per la decrittografia del flusso di lavoro
Crittografia dei file PGP AES-256 Determinata dal software PGP

Algoritmi di autenticazione SSH

Questi algoritmi vengono utilizzati per SSH/SFTP l'autenticazione tra client e AWS Transfer Family server. Scegli uno di questi quando generi coppie di chiavi SSH per l'autenticazione dell'utente o le chiavi dell'host del server.

RSA (consigliato)

Compatibile con tutti i client e server SSH e. FIPS-compliant Utilizzalo con l' SHA-2 hashing per una maggiore sicurezza:

  • rsa-sha2-256- Consigliato per la maggior parte dei casi d'uso

  • rsa-sha2-512- Opzione di sicurezza più elevata

ED25519

Moderno ed efficiente. Chiavi di dimensioni ridotte con elevata sicurezza:

  • ssh-ed25519- Veloce e sicuro, ma non FIPS-compliant

ECDSA

Opzione curva ellittica. Buon equilibrio tra sicurezza e prestazioni:

  • ecdsa-sha2-nistp256- Curva standard

  • ecdsa-sha2-nistp384- Curva di sicurezza più elevata

  • ecdsa-sha2-nistp521- Curva di sicurezza più elevata

Nota

ssh-rsaSupportiamo SHA1 per le politiche di sicurezza precedenti. Per informazioni dettagliate, vedi Algoritmi crittografici.

Scegliere l'algoritmo SSH giusto

  • Per la maggior parte degli utenti: usa RSA con o rsa-sha2-256 rsa-sha2-512

  • Per la conformità FIPS: utilizza algoritmi RSA o ECDSA

  • Per ambienti moderni: ED25519 offre sicurezza e prestazioni eccellenti

Algoritmi di crittografia e decrittografia PGP

PGP (Pretty Good Privacy) utilizza due tipi di algoritmi che collaborano per crittografare e decrittografare i file nei flussi di lavoro:

  1. Algoritmi di coppie di chiavi: utilizzati per generare le coppie di chiavi per la crittografia e le firme digitali public/private

  2. Algoritmi simmetrici: utilizzati per crittografare i dati effettivi del file (gli algoritmi di key pair crittografano la chiave simmetrica)

Algoritmi di key pair PGP

Scegli uno di questi algoritmi quando generi coppie di chiavi PGP per la decrittografia del flusso di lavoro:

RSA (consigliato)

Consigliato per la maggior parte degli utenti. Ampiamente supportato, consolidato e FIPS-compliant. Fornisce un buon equilibrio tra sicurezza e compatibilità.

ECC (crittografia a curva ellittica)

Più efficiente di RSA con chiavi di dimensioni ridotte pur mantenendo una sicurezza elevata:

  • Curve NIST: curve standard ampiamente supportate e FIPS-compliant

  • BrainPool curve - Curve alternative per requisiti di conformità specifici

  • Curve25519 - Curva moderna ad alte prestazioni che offre una forte sicurezza con un calcolo efficiente

ElGamal

Algoritmo legacy. Supportato per la compatibilità con i sistemi precedenti. Usa RSA o ECC per nuove implementazioni.

Per istruzioni dettagliate sulla generazione di chiavi PGP, consulta. Genera chiavi PGP

Algoritmi di crittografia simmetrica PGP

Questi algoritmi crittografano i dati effettivi dei file. L'algoritmo utilizzato dipende da come il file PGP è stato creato dal software PGP:

FIPS-compliant algoritmi (consigliati per ambienti regolamentati)

  • AES-128, AES-192, AES-256 - Advanced Encryption Standard (consigliato)

  • 3DES - Triple Data Encryption Standard (versione precedente, usa AES quando possibile)

Altri algoritmi supportati

  • IDEA, CAST5, Blowfish, DES,,, TwoFish CAMELLIA-128 CAMELLIA-192 CAMELLIA-256

Nota

Non si sceglie direttamente l'algoritmo simmetrico quando si utilizzano i AWS Transfer Family flussi di lavoro: è determinato dal software PGP utilizzato per creare il file crittografato. Tuttavia, puoi configurare il tuo software PGP in modo da preferire algoritmi come. FIPS-compliant AES-256

Per ulteriori informazioni sugli algoritmi simmetrici supportati, consulta. Algoritmi di crittografia simmetrica supportati