翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Transfer Family での SSH キーと PGP キーの管理
<a name="key-management"></a>

このセクションでは、SSHキーの生成方法やローテーション方法など、SSHキーに関する情報を見ることができます。で Transfer Family を使用してキー AWS Lambda を管理する方法の詳細については、ブログ記事[「Enabling user self-service key management with AWS Transfer Family and AWS Lambda](https://aws.amazon.com/blogs/storage/enabling-user-self-service-key-management-with-aws-transfer-family-and-aws-lambda/)」を参照してください。複数の SSH キーを持つユーザーの自動デプロイと管理については、「」を参照してください[Transfer Family Terraform モジュール](terraform.md)。

**注記**  
AWS Transfer Family は、SSH 認証用に RSA、ECDSA、ED25519 キーを受け入れます。

このセクションでは、プリティ・グッド・プライバシー (PGP) キーを生成して管理する方法についても説明します。

さまざまなユースケースの推奨事項など、サポートされているすべての暗号化アルゴリズムとキーアルゴリズムの包括的な概要については、「」を参照してください[暗号化とキーアルゴリズムの概要](#encryption-algorithms-overview)。

## 暗号化とキーアルゴリズムの概要
<a name="encryption-algorithms-overview"></a>

AWS Transfer Family は、さまざまな目的でさまざまなタイプのアルゴリズムをサポートしています。特定のユースケースに使用するアルゴリズムを理解することで、安全で互換性のあるファイル転送を確保できます。


**アルゴリズムクイックリファレンス**  

| ユースケース | 推奨アルゴリズム | FIPS 準拠 | 注意事項 | 
| --- | --- | --- | --- | 
| SSH/SFTP 認証 | RSA (rsa-sha2-256/512)、ECDSA、または ED25519 | RSA: はい、ECDSA: はい、ED25519: いいえ | すべての SSH クライアントおよびサーバーと互換性があります | 
| PGP キーの生成 | RSA または ECC (NIST) | はい | ワークフロー復号の場合 | 
| PGP ファイルの暗号化 | AES-256 | はい | PGP ソフトウェアによって決定 | 

## SSH 認証アルゴリズム
<a name="ssh-authentication-algorithms"></a>

これらのアルゴリズムは、クライアントと AWS Transfer Family サーバー間の SSH/SFTP 認証に使用されます。ユーザー認証またはサーバーホストキーの SSH キーペアを生成するときは、次のいずれかを選択します。

RSA (推奨)  
**すべての SSH クライアントおよびサーバーと互換性があり、FIPS に準拠しています。**セキュリティを強化するために SHA-2 ハッシュで を使用します。  
+ `rsa-sha2-256` - ほとんどのユースケースに推奨
+ `rsa-sha2-512` - セキュリティオプションの強化

ED25519  
**モダンで効率的。**セキュリティが強化された小さなキーサイズ:  
+ `ssh-ed25519` - 高速で安全、ただし FIPS に準拠していない

ECDSA  
**楕円曲線オプション。**セキュリティとパフォーマンスの適切なバランス:  
+ `ecdsa-sha2-nistp256` - 標準曲線
+ `ecdsa-sha2-nistp384` - セキュリティ曲線の向上
+ `ecdsa-sha2-nistp521` - 最高のセキュリティ曲線

**注記**  
SHA1 `ssh-rsa`では、古いセキュリティポリシーがサポートされています。詳細については、「[暗号アルゴリズム](security-policies.md#cryptographic-algorithms)」を参照してください。

**適切な SSH アルゴリズムの選択**
+ **ほとんどのユーザーの場合:** `rsa-sha2-256`または で RSA を使用する `rsa-sha2-512`
+ **FIPS コンプライアンスの場合:** RSA または ECDSA アルゴリズムを使用する
+ **最新の環境の場合:** ED25519 は優れたセキュリティとパフォーマンスを提供します

## PGP 暗号化および復号アルゴリズム
<a name="pgp-encryption-algorithms"></a>

PGP (プリティグッドプライバシー) は、ワークフロー内のファイルを暗号化および復号化するために連携する 2 種類のアルゴリズムを使用します。

1. **キーペアアルゴリズム** - 暗号化とデジタル署名のパブリック/プライベートキーペアを生成するために使用されます

1. **対称アルゴリズム** - 実際のファイルデータを暗号化するために使用されます (キーペアアルゴリズムは対称キーを暗号化します)

### PGP キーペアアルゴリズム
<a name="pgp-key-algorithms"></a>

ワークフロー復号用の PGP キーペアを生成するときは、次のいずれかのアルゴリズムを選択します。

RSA (推奨)  
**ほとんどのユーザーに推奨されます。**幅広くサポートされ、十分に確立され、FIPS に準拠しています。セキュリティと互換性のバランスが取れています。

ECC (楕円曲線暗号化)  
強力なセキュリティを維持しながら、キーサイズが小さい **RSA よりも効率**的です。  
+ **NIST 曲線** - 標準曲線は広くサポートされ、FIPS に準拠しています。
+ **BrainPool 曲線** - 特定のコンプライアンス要件の代替曲線
+ **Curve25519** - 強力なセキュリティと効率的な計算を提供する最新の高性能曲線

ElGamal  
**レガシーアルゴリズム。**古いシステムとの互換性のためにサポートされています。新しい実装には RSA または ECC を使用します。

PGP キーを生成する詳細な手順については、「」を参照してください[PGP キーを生成する](generate-pgp-keys.md)。

### PGP 対称暗号化アルゴリズム
<a name="pgp-symmetric-algorithms"></a>

これらのアルゴリズムは、実際のファイルデータを暗号化します。使用されるアルゴリズムは、PGP ソフトウェアによって PGP ファイルがどのように作成されたかによって異なります。

**FIPS 準拠のアルゴリズム (規制対象環境に推奨)**
+ **AES-128, AES-192, AES-256** - 高度な暗号化標準 (推奨)
+ **3DES** - トリプルデータ暗号化標準 (レガシー、可能であれば AES を使用)

**サポートされているその他のアルゴリズム**
+ IDEA、CAST5、Blowfish、DES、 TwoFish、CAMELLIA-128, CAMELLIA-192, CAMELLIA-256

**注記**  
ワークフローを使用する AWS Transfer Family ときは、対称アルゴリズムを直接選択しません。これは、暗号化されたファイルの作成に使用される PGP ソフトウェアによって決まります。ただし、AES-256 などの FIPS 準拠のアルゴリズムを優先するように PGP ソフトウェアを設定できます。

サポートされている対称アルゴリズムの詳細については、「」を参照してください[サポートされている対称暗号化アルゴリズム](nominal-steps-workflow.md#symmetric-algorithms)。