Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltung von SSH- und PGP-Schlüsseln in Transfer Family
In diesem Abschnitt finden Sie Informationen zu SSH-Schlüsseln, einschließlich deren Generierung und Rotation. Einzelheiten zur Verwendung von Transfer Family with AWS Lambda zur Schlüsselverwaltung finden Sie im Blogbeitrag [Aktivieren der Self-Service-Schlüsselverwaltung für Benutzer mit AWS Transfer Family und AWS Lambda](https://aws.amazon.com/blogs/storage/enabling-user-self-service-key-management-with-aws-transfer-family-and-aws-lambda/). Informationen zur automatisierten Bereitstellung und Verwaltung von Benutzern mit mehreren SSH-Schlüsseln finden Sie unter. [Terraform-Module der Transfer Family](terraform.md)
**Anmerkung**
AWS Transfer Family akzeptiert RSA-, ECDSA- und ED25519-Schlüssel für die SSH-Authentifizierung.
In diesem Abschnitt wird auch beschrieben, wie Sie Pretty Good Privacy (PGP) -Schlüssel generieren und verwalten.
Einen umfassenden Überblick über alle unterstützten Verschlüsselungs- und Schlüsselalgorithmen, einschließlich Empfehlungen für verschiedene Anwendungsfälle, finden Sie unter[Überblick über Verschlüsselung und Schlüsselalgorithmen](#encryption-algorithms-overview).
## Überblick über Verschlüsselung und Schlüsselalgorithmen
AWS Transfer Family unterstützt verschiedene Arten von Algorithmen für unterschiedliche Zwecke. Wenn Sie wissen, welche Algorithmen für Ihren speziellen Anwendungsfall verwendet werden sollten, können Sie sichere und kompatible Dateiübertragungen gewährleisten.
**Kurzreferenz zum Algorithmus**
| Anwendungsfall | Empfohlener Algorithmus | FIPS-konform | Hinweise |
| --- | --- | --- | --- |
| SSH/SFTP Authentifizierung | RSA (rsa-sha2-256/512), ECDSA oder ED25519 | RSA: Ja, ECDSA: Ja, ED25519: Nein | Kompatibel mit allen SSH-Clients und -Servern |
| Generierung von PGP-Schlüsseln | RSA oder ECC (NIST) | Ja | Für die Workflow-Entschlüsselung |
| PGP-Dateiverschlüsselung | AES-256 | Ja | Ermittelt durch die PGP-Software |
## SSH-Authentifizierungsalgorithmen
Diese Algorithmen werden für die SSH/SFTP Authentifizierung zwischen Clients und AWS Transfer Family Servern verwendet. Wählen Sie eines davon aus, wenn Sie SSH-Schlüsselpaare für die Benutzerauthentifizierung oder Server-Hostschlüssel generieren.
RSA (empfohlen)
**Kompatibel mit allen SSH-Clients und -Servern und. FIPS-compliant** Zur Erhöhung der Sicherheit zusammen mit SHA-2 Hashing verwenden:
+ `rsa-sha2-256`- Für die meisten Anwendungsfälle empfohlen
+ `rsa-sha2-512`- Höhere Sicherheitsoption
ED25519
**Modern und effizient.** Kleinere Schlüsselgrößen mit hoher Sicherheit:
+ `ssh-ed25519`- Schnell und sicher, aber nicht FIPS-compliant
ECDSA
**Option mit elliptischer Kurve.** Gute Balance zwischen Sicherheit und Leistung:
+ `ecdsa-sha2-nistp256`- Standardkurve
+ `ecdsa-sha2-nistp384`- Höhere Sicherheitskurve
+ `ecdsa-sha2-nistp521`- Höchste Sicherheitskurve
**Anmerkung**
Wir unterstützen ältere Sicherheitsrichtlinien `ssh-rsa` mit SHA1. Details hierzu finden Sie unter [Kryptografische Algorithmen](security-policies.md#cryptographic-algorithms).
**Den richtigen SSH-Algorithmus auswählen**
+ **Für die meisten Benutzer:** Verwenden Sie RSA mit oder `rsa-sha2-256` `rsa-sha2-512`
+ **Für FIPS-Konformität:** Verwenden Sie RSA- oder ECDSA-Algorithmen
+ **Für moderne Umgebungen:** ED25519 bietet hervorragende Sicherheit und Leistung
## PGP-Verschlüsselungs- und Entschlüsselungsalgorithmen
PGP (Pretty Good Privacy) verwendet zwei Arten von Algorithmen, die zusammenarbeiten, um Dateien in Workflows zu verschlüsseln und zu entschlüsseln:
1. **Schlüsselpaar-Algorithmen — Werden** verwendet, um die public/private Schlüsselpaare für Verschlüsselung und digitale Signaturen zu generieren
1. **Symmetrische Algorithmen** — Wird verwendet, um die eigentlichen Dateidaten zu verschlüsseln (die Schlüsselpaar-Algorithmen verschlüsseln den symmetrischen Schlüssel)
### PGP-Schlüsselpaar-Algorithmen
Wählen Sie einen der folgenden Algorithmen, wenn Sie PGP-Schlüsselpaare für die Workflow-Entschlüsselung generieren:
RSA (empfohlen)
**Für die meisten Benutzer empfohlen.** Weit verbreitet, gut etabliert und FIPS-compliant. Bietet ein ausgewogenes Verhältnis zwischen Sicherheit und Kompatibilität.
ECC (Elliptische Kurven-Kryptografie)
**Effizienter als RSA** mit kleineren Schlüsselgrößen bei gleichzeitig hoher Sicherheit:
+ **NIST-Kurven** — Standardkurven werden weitgehend unterstützt und FIPS-compliant
+ **BrainPool Kurven** — Alternative Kurven für spezifische Konformitätsanforderungen
+ **Curve25519** — Moderne Hochleistungskurve mit hoher Sicherheit bei effizienter Berechnung
ElGamal
**Legacy-Algorithmus.** Wird aus Gründen der Kompatibilität mit älteren Systemen unterstützt. Verwenden Sie RSA oder ECC für neue Implementierungen.
Ausführliche Anweisungen zur Generierung von PGP-Schlüsseln finden Sie unter. [Generieren Sie PGP-Schlüssel](generate-pgp-keys.md)
### Symmetrische PGP-Verschlüsselungsalgorithmen
Diese Algorithmen verschlüsseln Ihre eigentlichen Dateidaten. Der verwendete Algorithmus hängt davon ab, wie die PGP-Datei von Ihrer PGP-Software erstellt wurde:
**FIPS-compliant Algorithmen (empfohlen für regulierte Umgebungen)**
+ **AES-128, AES-192, AES-256** - Erweiterter Verschlüsselungsstandard (empfohlen)
+ **3DES** — Triple Data Encryption Standard (veraltet, verwenden Sie nach Möglichkeit AES)
**Andere unterstützte Algorithmen**
+ IDEA, CAST5, Blowfish, DES,,, TwoFish CAMELLIA-128 CAMELLIA-192 CAMELLIA-256
**Anmerkung**
Sie wählen den symmetrischen Algorithmus nicht direkt, wenn Sie AWS Transfer Family Workflows verwenden — er wird durch die PGP-Software bestimmt, die zur Erstellung der verschlüsselten Datei verwendet wird. Sie können Ihre PGP-Software jedoch so konfigurieren, dass sie Algorithmen wie bevorzugt FIPS-compliant. AES-256
Weitere Hinweise zu unterstützten symmetrischen Algorithmen finden Sie unter. [Unterstützte symmetrische Verschlüsselungsalgorithmen](nominal-steps-workflow.md#symmetric-algorithms)