Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Fügen Sie in diesem Verfahren eine Maven-Abhängigkeit für den AWS Common Runtime HTTP Client hinzu. Anschließend konfigurieren Sie einen HTTP-Client, der Post-Quantum-TLS bevorzugt. Erstellen Sie dann einen AWS KMS Client, der den HTTP-Client verwendet.
Vollständige, funktionierende Beispiele für die Konfiguration und Verwendung von hybridem Post-Quantum-TLS mit AWS KMS finden Sie im aws-kms-pq-tls-example
Anmerkung
Der AWS Common Runtime HTTP Client, der als Vorversion verfügbar war, wurde im Februar 2023 allgemein verfügbar. In dieser Version werden die tlsCipherPreference-Klasse und der tlsCipherPreference()-Methodenparameter durch den postQuantumTlsEnabled()-Methodenparameter ersetzt. Wenn Sie dieses Beispiel in der Vorversion verwendet haben, müssen Sie Ihren Code aktualisieren.
-
Fügen Sie den AWS Common Runtime-Client zu Ihren Maven-Abhängigkeiten hinzu. Wir empfehlen, die neueste verfügbare Version zu verwenden.
Diese Anweisung fügt beispielsweise eine Version
2.30.22des AWS Common Runtime-Clients zu Ihren Maven-Abhängigkeiten hinzu.<dependency> <groupId>software.amazon.awssdk</groupId> <artifactId>aws-crt-client</artifactId> <version>2.30.22</version> </dependency> -
Um die hybriden Post-Quantum-Cipher-Suites zu aktivieren, fügen Sie sie AWS SDK for Java 2.x zu Ihrem Projekt hinzu und initialisieren Sie sie. Aktivieren Sie dann die hybriden Post-Quantum-Cipher-Suites auf Ihrem HTTP-Client, wie im folgenden Beispiel gezeigt.
Dieser Code verwendet den
postQuantumTlsEnabled()Methodenparameter, um einen AWS gemeinsamen Runtime-HTTP-Client zu konfigurieren, der die empfohlene hybride Post-Quantum-Verschlüsselungssuite ECDH mit bevorzugt ML-KEM. Dann verwendet es den konfigurierten HTTP-Client, um eine Instanz des AWS KMS asynchronen Clients zu erstellen,KmsAsyncClient. Nachdem dieser Code abgeschlossen ist, verwenden alle AWS KMS -API-Anfragen auf der KmsAsyncClient-Instance hybrides Post-Quantum-TLS.// Configure HTTP client SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder() .postQuantumTlsEnabled(true) .build(); // Create the AWS KMS async client KmsAsyncClient kmsAsync = KmsAsyncClient.builder() .httpClient(awsCrtHttpClient) .build(); -
Testen Sie Ihre AWS KMS Anrufe mit hybridem Post-Quantum-TLS.
Wenn Sie AWS KMS API-Operationen auf dem konfigurierten AWS KMS Client aufrufen, werden Ihre Aufrufe mithilfe von Hybrid-Post-Quantum-TLS an den AWS KMS Endpunkt übertragen. Um Ihre Konfiguration zu testen, rufen Sie eine AWS KMS API auf, z. B.
ListKeysListKeysReponse keys = kmsAsync.listKeys().get();
Testen Sie Ihre hybride Post-Quantum-TLS-Konfiguration
Erwägen Sie, die folgenden Tests mit Hybrid-Verschlüsselungssammlungen für Ihre aufrufenden Anwendungen durchzuführen. AWS KMS
-
Führen Sie Belastungstests und Benchmarks aus. Die Hybrid-Cipher-Suites funktionieren anders als herkömmliche Schlüsselaustauschalgorithmen. Möglicherweise müssen Sie Ihre Verbindungszeitüberschreitungen anpassen, um längere Handshake-Zeiten zu ermöglichen. Wenn Sie innerhalb einer AWS Lambda Funktion arbeiten, verlängern Sie die Einstellung für das Ausführungstimeout.
-
Versuchen Sie, eine Verbindung von verschiedenen Standorten herzustellen. Abhängig vom Netzwerkpfad Ihrer Anforderung können Sie feststellen, dass Zwischenhosts, Proxys oder Firewalls mit Deep Packet Inspection (DPI) die Anforderung blockieren. Dies kann auf die Verwendung der neuen Cipher Suites im ClientHello
Teil des TLS-Handshakes oder auf die größeren Schlüsselaustauschnachrichten zurückzuführen sein. Wenn Sie Probleme bei der Behebung dieser Probleme haben, arbeiten Sie mit Ihrem Sicherheitsteam oder IT-Administratoren zusammen, um die entsprechende Konfiguration zu aktualisieren und die Blockierung der neuen TLS-Cipher-Suites aufzuheben.
