Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS approccio alla crittografia
*Gli algoritmi crittografici* sono costruzioni matematiche progettate per fornire servizi di sicurezza come riservatezza (crittografia), autenticità (codici di autenticazione dei messaggi e firme digitali) e non ripudio (firme digitali). [Se non conosci la crittografia, la crittografia e la terminologia correlata, ti consigliamo di leggere Informazioni sulla crittografia dei dati prima di procedere con questa guida.](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-data-at-rest-encryption/about-data-encryption.html)
## AWS fondamenti crittografici
La crittografia è una parte essenziale della sicurezza per. AWS Servizi AWS supporta la crittografia dei dati in transito, a riposo o in memoria. Per saperne di più sull' AWS impegno a favore dell'innovazione e sugli investimenti in controlli aggiuntivi per la sovranità e le funzionalità di crittografia, leggi il nostro post sul blog che annuncia l'impegno per la sovranità [AWS digitale](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/).
AWS segue il modello di [responsabilità condivisa per proteggere i tuoi dati](https://aws.amazon.com/compliance/shared-responsibility-model/). Servizi AWS utilizza algoritmi crittografici affidabili che soddisfano gli standard di settore e promuovono l'interoperabilità. Questi algoritmi sono controllati da enti di standardizzazione pubblici e dalla ricerca accademica. Gli standard associati sono ampiamente accettati dai governi, dall'industria e dal mondo accademico.
AWS utilizza per impostazione predefinita implementazioni crittografiche ad alta garanzia e preferisce soluzioni ottimizzate per l'hardware che siano efficienti. La nostra libreria di base crittografica, [AWS-LC](https://github.com/aws/aws-lc), è disponibile come open source per la trasparenza e il riutilizzo a livello di settore. Molte implementazioni di algoritmi crittografici in AWS-LC vengono verificate formalmente per aumentare la garanzia della correttezza e della sicurezza dell'implementazione in diverse piattaforme. La libreria è inoltre convalidata nell'ambito del programma 40. NIST's FIPS-1
## Algoritmi crittografici
Definiamo tre tipi di algoritmi crittografici:
+ *La crittografia* *asimmetrica* utilizza una coppia di chiavi: una chiave pubblica per la crittografia (o la verifica) e una chiave privata per la decrittografia (o la firma). È possibile condividere la chiave pubblica perché non viene utilizzata per la decrittografia, ma l'accesso alla chiave privata deve essere fortemente limitato. Servizi AWS supporta o prevede di supportare algoritmi post-quantistici, come ML-KEM e ML-DSA. Servizi AWS supportano anche algoritmi crittografici tradizionali, come RSA e crittografia a curva ellittica (ECC).
+ La *crittografia *simmetrica* utilizza la stessa chiave per crittografare* e decrittografare o autenticare e verificare i dati. Servizi AWS generalmente si integra con AWS Key Management Service (AWS KMS) per la crittografia dei dati inattivi, che utilizza una modalità AES-256.
+ *Altre funzioni crittografiche* vengono utilizzate insieme alla crittografia asimmetrica e simmetrica per creare protocolli sicuri e pratici per applicazioni di riservatezza, integrità, autenticazione e non ripudio. Gli esempi includono le funzioni hash e le funzioni di derivazione delle chiavi.
## Algoritmi crittografici consigliati in AWS
Le tabelle seguenti riepilogano gli algoritmi crittografici, le modalità e le dimensioni delle chiavi AWS ritenuti idonei per l'implementazione tra i suoi servizi per proteggere i dati. Questa guida si evolverà nel tempo con l'evolversi degli standard crittografici.
Gli algoritmi disponibili all'interno dei servizi possono variare e sono spiegati nella documentazione di ciascun servizio. Se hai bisogno di un'implementazione di una libreria software per un algoritmo approvato, controlla se è inclusa nell'ultima versione della libreria [AWS-LC](https://github.com/aws/aws-lc).
Gli algoritmi sono approvati per l'uso AWS in una delle due categorie seguenti:
+ Gli algoritmi *preferiti* soddisfano gli standard AWS di sicurezza e prestazioni.
+ Gli algoritmi *accettabili* possono essere utilizzati per motivi di compatibilità in alcune applicazioni, ma non sono preferiti.
### Crittografia asimmetrica
La tabella seguente elenca gli algoritmi asimmetrici considerati idonei all'uso in ambito di crittografia, accordi di chiave e AWS firme digitali.
|
|
| **Tipo** | **Algoritmo** | **Stato** |
| --- |--- |--- |
| Encryption (Crittografia) | RSA-OAEP (modulo ≥2048 bit) | Accettabile |
| Encryption (Crittografia) | HPKE (P-256 o P-384, HKDF e AES-GCM) | Accettabile |
| Accordo chiave | ML-KEM-768 o ML-KEM-1024 | Preferito (resistente quantisticamente) |
| Accordo chiave | ECDH (E) con P-256, P-384, P-521 o X25519 | Accettabile |
| Accordo chiave | ECDH (E) con BrainPoolP256R1, BrainPoolP384R1 o BrainPoolP512R1 | Accettabile |
| Signatures (Firme) | ML-DSA-65 o ML-DSA-87 | Preferito (resistente quantisticamente) |
| Signatures (Firme) | SLH-DSA | Accettabile (resistente quantisticamente) |
| Signatures (Firme) | ECDSA con P-256, P-384, P-521 o Ed25519 | Accettabile |
| Signatures (Firme) | RSA (modulo ≥2048 bit) | Accettabile |
### Crittografia simmetrica
La tabella seguente elenca gli algoritmi simmetrici considerati idonei all'uso in ambito AWS di crittografia, crittografia autenticata e codifica delle chiavi.
|
|
| **Tipo** | **Algoritmo** | **Stato** |
| --- |--- |--- |
| Crittografia autenticata | AES-GCM-256 | Preferito |
| Crittografia autenticata | AES-GCM-128 | Accettabile |
| Crittografia autenticata | ChaCha20/Poly1305 | Accettabile |
| Modalità di crittografia | AES-XTS-256 (per archiviazione a blocchi) | Preferito |
| Modalità di crittografia | AES-CBC/CTR (modalità non autenticate) | Accettabile |
| Confezionamento delle chiavi | AES-GCM-256 | Preferito |
| Confezione delle chiavi | AES-KW o AES-KWP con chiavi a 256 bit | Accettabile |
### Altre funzioni crittografiche
La tabella seguente elenca gli algoritmi considerati idonei all'uso in ambito AWS di hashing, derivazione di chiavi e autenticazione dei messaggi.
|
|
| **Tipo** | **Algoritmo** | **Stato** |
| --- |--- |--- |
| Hashing | SHA-384 | Preferito |
| Hashing | SHA-256 | Accettabile |
| Hashing | SHA3 | Accettabile |
| Derivazione delle chiavi | HKDF\_Expand o HKDF con SHA-256 | Preferito |
| Derivazione chiave | KDF in modalità contatore con HMAC-SHA-256 | Accettabile |
| Codice di autenticazione del messaggio | HMAC-SHA-384 | Preferito |
| Codice di autenticazione del messaggio | HMAC-SHA-256 | Accettabile |
| Codice di autenticazione del messaggio | KMAC | Accettabile |
| Hashing delle password | scrypt con SHA384 | Preferito |
| Hashing delle password | PBKDF2 | Accettabile |
## Crittografia utilizzata in Servizi AWS
Servizi AWS affidati a implementazioni sicure e open source di algoritmi controllati per proteggere i tuoi dati. Le scelte e le configurazioni specifiche degli algoritmi varieranno in base al servizio. Alcuni AWS strumenti e servizi utilizzano un algoritmo specifico. In altri, è possibile scegliere tra algoritmi e lunghezze di chiave supportati oppure utilizzare le impostazioni predefinite consigliate.
AWS i servizi crittografici sono conformi a un'ampia gamma di standard di sicurezza crittografica, quindi puoi rispettare le normative governative o di settore. [Per un elenco completo degli standard di sicurezza dei dati Servizi AWS conformi, consulta AWS i programmi di conformità.](https://aws.amazon.com/compliance/programs/)