Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Ansatz zur Kryptografie
<a name="aws-cryptography-services"></a>

*Kryptografische Algorithmen* sind mathematische Konstruktionen, die darauf ausgelegt sind, Sicherheitsdienste wie Vertraulichkeit (Verschlüsselung), Authentizität (Nachrichtenauthentifizierungscodes und digitale Signaturen) und Nichtabstreitbarkeit (digitale Signaturen) bereitzustellen. Wenn Sie mit Kryptografie, Verschlüsselung und verwandter Terminologie noch nicht vertraut sind, empfehlen wir Ihnen, die Informationen zur [Datenverschlüsselung zu](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-data-at-rest-encryption/about-data-encryption.html) lesen, bevor Sie mit diesem Handbuch fortfahren.

## AWS kryptografische Grundlagen
<a name="foundations"></a>

Kryptografie ist ein wesentlicher Bestandteil der Sicherheit für. AWS AWS-Services unterstützt die Verschlüsselung von Daten während der Übertragung, im Ruhezustand oder im Speicher.  In unserem Blogbeitrag, in dem das AWS Versprechen zur [AWS digitalen Souveränität angekündigt wird, erfahren Sie mehr über das Engagement für Innovation und Investitionen in zusätzliche Kontrollen für Souveränität](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/) und Verschlüsselungsfunktionen.

AWS folgt dem [Modell der gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) zum Schutz Ihrer Daten. AWS-Services verwendet vertrauenswürdige kryptografische Algorithmen, die Industriestandards erfüllen und die Interoperabilität fördern. Diese Algorithmen werden von öffentlichen Normungsgremien und der akademischen Forschung überprüft. Die damit verbundenen Standards werden von Regierungen, Industrie und Wissenschaft weitgehend akzeptiert.

AWS verwendet standardmäßig kryptografische Implementierungen mit hoher Sicherheit und bevorzugt hardwareoptimierte Lösungen, die effizient sind. Unsere kryptografische Kernbibliothek [AWS-LC](https://github.com/aws/aws-lc) ist aus Gründen der Transparenz und branchenweiten Wiederverwendung als Open Source verfügbar. Viele Implementierungen kryptografischer Algorithmen in AWS-LC werden formal verifiziert, um die Richtigkeit und Sicherheit der Implementierung auf verschiedenen Plattformen zu gewährleisten. Die Bibliothek ist auch im Rahmen NIST's FIPS-1 des Programms 40 validiert.

## Kryptografische Algorithmen
<a name="about-algorithms"></a>

Wir definieren drei Arten von kryptografischen Algorithmen:
+ *Asymmetrische* *Kryptografie* verwendet ein Schlüsselpaar: einen öffentlichen Schlüssel für die Verschlüsselung (oder Überprüfung) und einen privaten Schlüssel für die Entschlüsselung (oder Signierung). Sie können den öffentlichen Schlüssel gemeinsam nutzen, da er nicht für die Entschlüsselung verwendet wird. Der Zugriff auf den privaten Schlüssel sollte jedoch stark eingeschränkt sein. AWS-Services Unterstützung oder Planung der Unterstützung von Post-Quantum-Algorithmen wie ML-KEM und ML-DSA. AWS-Services unterstützt auch traditionelle kryptografische Algorithmen wie RSA und Kryptografie mit elliptischen Kurven (ECC).
+ Die *symmetrische* *Kryptografie* verwendet denselben Schlüssel zum Verschlüsseln und Entschlüsseln oder Authentifizieren und Überprüfen der Daten. AWS-Services Für die Verschlüsselung von Daten im Ruhezustand wird in der Regel eine Integration mit AWS Key Management Service (AWS KMS) verwendet. Dabei wird der AES-256-Modus verwendet.  
+ *Andere kryptografische Funktionen* werden in Verbindung mit asymmetrischer und symmetrischer Kryptografie verwendet, um sichere, praktische Protokolle für Anwendungen in den Bereichen Vertraulichkeit, Integrität, Authentifizierung und Nichtabstreitbarkeit zu erstellen. Beispiele hierfür sind Hashfunktionen und Funktionen zur Schlüsselableitung.

## Empfohlene kryptografische Algorithmen in AWS
<a name="algorithms"></a>

In den folgenden Tabellen sind die kryptografischen Algorithmen, Modi und Schlüsselgrößen zusammengefasst, die für den Einsatz in allen Diensten zum Schutz Ihrer Daten AWS als geeignet erachtet werden. Diese Leitlinien werden sich im Laufe der Zeit mit der Weiterentwicklung der kryptografischen Standards weiterentwickeln.

Die in Diensten verfügbaren Algorithmen können variieren und werden in der Dokumentation für jeden Dienst erläutert. Wenn Sie eine Softwarebibliotheksimplementierung für einen zugelassenen Algorithmus benötigen, überprüfen Sie bitte, ob diese in der neuesten Version der [AWS-LC-Bibliothek](https://github.com/aws/aws-lc) enthalten ist.

Algorithmen sind für die Verwendung in einer AWS von zwei Kategorien zugelassen:
+ *Bevorzugte* Algorithmen erfüllen die AWS Sicherheits- und Leistungsstandards.
+ *Zulässige* Algorithmen können aus Kompatibilitätsgründen in einigen Anwendungen verwendet werden, werden aber nicht bevorzugt.

### Asymmetrische Kryptografie
<a name="asymmetric-cryptography.b1543bff-16f1-5150-96d4-785120c14e05"></a>

In der folgenden Tabelle sind asymmetrische Algorithmen aufgeführt, die als geeignet für die Verwendung innerhalb von Algorithmen AWS für Verschlüsselung, Schlüsselvereinbarung und digitale Signaturen angesehen werden.


| 
| 
| **Typ** | **Algorithmus** | **Status** | 
| --- |--- |--- |
| Verschlüsselung | RSA-OAEP (≥2048-Bit-Modul) | Akzeptabel | 
| Verschlüsselung | HPKE (P-256 oder P-384, HKDF und AES-GCM) | Akzeptabel | 
| Wichtige Vereinbarung | ML-KEM-768 oder ML-KEM-1024 | Bevorzugt (quantenresistent) | 
| Wichtiges Abkommen | ECDH (E) mit P-256, P-384, P-521 oder X25519 | Akzeptabel | 
| Wichtige Vereinbarung | ECDH (E) mit Brainpool P256R1, Brainpool P384R1 oder Brainpool P512R1 | Akzeptabel | 
| Signatures (Signaturen) | ML-DSA-65 oder ML-DSA-87 | Bevorzugt (quantenresistent) | 
| Signatures (Signaturen) | SLH-DSA | Akzeptabel (quantenresistent) | 
| Signatures (Signaturen) | ECDSA mit P-256, P-384, P-521 oder Ed25519 | Akzeptabel | 
| Signatures (Signaturen) | RSA (≥2048-Bit-Modul) | Akzeptabel | 

### Symmetrische Kryptografie
<a name="symmetric-cryptography.7cb55a3e-eecb-5f61-82b7-4faa705ac662"></a>

In der folgenden Tabelle sind symmetrische Algorithmen aufgeführt, die als geeignet erachtet werden, sie AWS für Verschlüsselung, authentifizierte Verschlüsselung und Schlüsselumhüllung zu verwenden.


| 
| 
| **Typ** | **Algorithmus** | **Status** | 
| --- |--- |--- |
| Authentifizierte Verschlüsselung | AES-GCM-256 | Bevorzugt | 
| Authentifizierte Verschlüsselung | AES-GCM-128 | Akzeptabel | 
| Authentifizierte Verschlüsselung | ChaCha20/Poly1305 | Akzeptabel | 
| Verschlüsselungsmodi | AES-XTS-256 (für Blockspeicher) | Bevorzugt | 
| Verschlüsselungsmodi | AES-CBC/CTR (nicht authentifizierte Modi) | Akzeptabel | 
| Verpackung des Schlüssels | AES-GCM-256 | Bevorzugt | 
| Verpackung der Schlüssel | AES-KW oder AES-KWP mit 256-Bit-Schlüsseln | Akzeptabel | 

### Andere kryptografische Funktionen
<a name="other-cryptographic-functions.f1580287-815e-5157-9e15-9a2ca3d80bfa"></a>

In der folgenden Tabelle sind Algorithmen aufgeführt, die für die Verwendung innerhalb von AWS Hashing, Schlüsselableitung und Nachrichtenauthentifizierung als geeignet erachtet werden.


| 
| 
| **Typ** | **Algorithmus** | **Status** | 
| --- |--- |--- |
| Hashing | SHA-384 | Bevorzugt | 
| Hashing | SHA-1 | Akzeptabel | 
| Hashing | SHA3 | Akzeptabel | 
| Ableitung von Schlüsseln | HKDF\_Expand oder HKDF mit SHA-256 | Bevorzugt | 
| Ableitung von Schlüsseln | Zählermodus KDF mit HMAC-SHA-256 | Akzeptabel | 
| Authentifizierungscode für Nachrichten | HMAC-SHA-384 | Bevorzugt | 
| Authentifizierungscode für Nachrichten | HMAC-SHA-256 | Akzeptabel | 
| Authentifizierungscode für Nachrichten | KMAC | Akzeptabel | 
| Passwort-Hashing | verschlüsseln mit SHA384 | Bevorzugt | 
| Passwort-Hashing | PBKDF2 | Akzeptabel | 

## Kryptografie wird verwendet in AWS-Services
<a name="used-services"></a>

AWS-Services verlassen Sie sich zum Schutz Ihrer Daten auf sichere Open-Source-Implementierungen geprüfter Algorithmen. Die spezifischen Auswahlmöglichkeiten und Konfigurationen der Algorithmen variieren je nach Dienst. Einige AWS Tools und Dienste verwenden einen bestimmten Algorithmus. In anderen Fällen können Sie zwischen unterstützten Algorithmen und Schlüssellängen wählen oder die empfohlenen Standardwerte verwenden.

AWS Kryptografiedienste entsprechen einer Vielzahl von kryptografischen Sicherheitsstandards, sodass Sie behördliche oder branchenspezifische Vorschriften einhalten können. Eine vollständige Liste der Datensicherheitsstandards, die diesen Anforderungen AWS-Services entsprechen, finden Sie unter [AWS Compliance-Programme](https://aws.amazon.com/compliance/programs/).