As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciando chaves SSH e PGP no Transfer Family
Nesta seção, você encontrará informações sobre chaves SSH, incluindo como gerá-las e como rotacioná-las. Para obter detalhes sobre como usar o Transfer Family with AWS Lambda para gerenciar chaves, consulte a postagem do blog [Habilitando o gerenciamento de chaves por autoatendimento do usuário com AWS Transfer Family e. AWS Lambda](https://aws.amazon.com/blogs/storage/enabling-user-self-service-key-management-with-aws-transfer-family-and-aws-lambda/) Para implantação e gerenciamento automatizados de usuários com várias chaves SSH, consulte[Módulos Transfer Family Terraform](terraform.md).
**nota**
AWS Transfer Family aceita RSA, ECDSA e ED25519 chaves para autenticação SSH.
Esta seção também aborda como gerar e gerenciar chaves de Pretty Good Privacy (PGP).
Para obter uma visão geral abrangente de todos os algoritmos de criptografia e chave compatíveis, incluindo recomendações para diferentes casos de uso, consulte[Visão geral da criptografia e dos principais algoritmos](#encryption-algorithms-overview).
## Visão geral da criptografia e dos principais algoritmos
AWS Transfer Family suporta diferentes tipos de algoritmos para diferentes propósitos. Entender quais algoritmos usar para seu caso de uso específico ajuda a garantir transferências de arquivos seguras e compatíveis.
**Referência rápida do algoritmo**
| Caso de uso | Algoritmo recomendado | Compatível com FIPS | Observações |
| --- | --- | --- | --- |
| Autenticação SSH/SFTP | RSA (rsa-sha2-256/512), ECDSA ou ED25519 | RSA: Sim, EDSA: Sim, Não ED25519 | Compatível com todos os clientes e servidores SSH |
| Geração de chaves PGP | RSA ou ECC (NIST) | Sim | Para decodificação do fluxo de trabalho |
| Criptografia de arquivos PGP | AES-256 | Sim | Determinado pelo software PGP |
## Algoritmos de autenticação SSH
Esses algoritmos são usados para SSH/SFTP autenticação entre clientes e AWS Transfer Family servidores. Escolha uma delas ao gerar pares de chaves SSH para autenticação de usuário ou chaves de host do servidor.
RSA (recomendado)
**Compatível com todos os clientes e servidores SSH e compatível com FIPS.** Use com o hashing SHA-2 para aumentar a segurança:
+ `rsa-sha2-256`- Recomendado para a maioria dos casos de uso
+ `rsa-sha2-512`- Opção de maior segurança
ED25519
**Moderno e eficiente.** Tamanhos de chave menores com forte segurança:
+ `ssh-ed25519`- Rápido e seguro, mas não compatível com FIPS
ECDSA
**Opção de curva elíptica.** Bom equilíbrio entre segurança e desempenho:
+ `ecdsa-sha2-nistp256`- Curva padrão
+ `ecdsa-sha2-nistp384`- Maior curva de segurança
+ `ecdsa-sha2-nistp521`- Maior curva de segurança
**nota**
Oferecemos suporte `ssh-rsa` SHA1 para políticas de segurança mais antigas. Para obter detalhes, consulte [Algoritmos criptográficos](security-policies.md#cryptographic-algorithms).
**Escolhendo o algoritmo SSH certo**
+ **Para a maioria dos usuários:** use RSA com `rsa-sha2-256` ou `rsa-sha2-512`
+ **Para conformidade com FIPS: use algoritmos** RSA ou ECDSA
+ **Para ambientes modernos:** ED25519 oferece excelente segurança e desempenho
## Algoritmos de criptografia e decodificação PGP
O PGP (Pretty Good Privacy) usa dois tipos de algoritmos trabalhando juntos para criptografar e descriptografar arquivos em fluxos de trabalho:
1. **Algoritmos de pares de chaves** - usados para gerar os pares de public/private chaves para criptografia e assinaturas digitais
1. **Algoritmos simétricos** - usados para criptografar os dados reais do arquivo (os algoritmos de par de chaves criptografam a chave simétrica)
### Algoritmos de pares de chaves PGP
Escolha um desses algoritmos ao gerar pares de chaves PGP para decodificação do fluxo de trabalho:
RSA (recomendado)
**Recomendado para a maioria dos usuários.** Amplamente suportado, bem estabelecido e compatível com FIPS. Proporciona um bom equilíbrio entre segurança e compatibilidade.
ECC (criptografia de curva elíptica)
**Mais eficiente do que o RSA** com tamanhos de chave menores, mantendo uma segurança forte:
+ Curvas **NIST - Curvas** padrão amplamente suportadas e compatíveis com FIPS
+ **BrainPool curvas** - Curvas alternativas para requisitos específicos de conformidade
+ **Curve25519** - Curva moderna de alto desempenho que oferece forte segurança com computação eficiente
ElGamal
**Algoritmo legado.** Suportado para compatibilidade com sistemas mais antigos. Use RSA ou ECC para novas implementações.
Para obter instruções detalhadas sobre a geração de chaves PGP, consulte. [Gerar chaves PGP](generate-pgp-keys.md)
### Algoritmos de criptografia simétrica PGP
Esses algoritmos criptografam os dados reais do arquivo. O algoritmo usado depende de como o arquivo PGP foi criado pelo seu software PGP:
**Algoritmos compatíveis com FIPS (recomendados para ambientes regulamentados)**
+ **AES-128, AES-192, AES-256** - Padrão de criptografia avançado (recomendado)
+ **3DES** - Padrão de criptografia de dados tripla (antigo, use AES quando possível)
**Outros algoritmos suportados**
+ IDEA, Blowfish CAST5, DES, CAMÉLIA-128, TwoFish CAMÉLIA-192, CAMÉLIA-256
**nota**
Você não escolhe o algoritmo simétrico diretamente ao usar AWS Transfer Family fluxos de trabalho - ele é determinado pelo software PGP usado para criar o arquivo criptografado. No entanto, você pode configurar seu software PGP para preferir algoritmos compatíveis com FIPS, como o AES-256.
Para obter mais informações sobre algoritmos simétricos compatíveis, consulte[Algoritmos de criptografia simétrica compatíveis](nominal-steps-workflow.md#symmetric-algorithms).