Konfigurieren Sie Hybrid-Post-Quantum TLS

Fügen Sie in diesem Verfahren eine Maven-Abhängigkeit für den AWS Common Runtime HTTP Client hinzu. Als Nächstes konfigurieren Sie einen HTTP Client, der TLS Post-Quantum bevorzugt. Erstellen Sie dann einen AWS KMS Client, der den HTTP Client verwendet.

Vollständige Arbeitsbeispiele für die Konfiguration und Verwendung von Hybrid Post-Quantum TLS mit AWS KMS finden Sie im aws-kms-pq-tls-exampleRepositorium.

Anmerkung

Der AWS Common Runtime HTTP Client, der als Vorversion verfügbar war, wurde im Februar 2023 allgemein verfügbar. In dieser Version werden die tlsCipherPreference-Klasse und der tlsCipherPreference()-Methodenparameter durch den postQuantumTlsEnabled()-Methodenparameter ersetzt. Wenn Sie dieses Beispiel in der Vorversion verwendet haben, müssen Sie Ihren Code aktualisieren.

1. Fügen Sie den AWS Common Runtime-Client zu Ihren Maven-Abhängigkeiten hinzu. Wir empfehlen, die neueste verfügbare Version zu verwenden.

   Diese Anweisung fügt beispielsweise eine Version 2.20.0 des AWS Common Runtime-Clients zu Ihren Maven-Abhängigkeiten hinzu.

   <dependency>
       <groupId>software.amazon.awssdk</groupId>
       <artifactId>aws-crt-client</artifactId>
       <version>2.20.0</version>
   </dependency>

2. Um die hybriden Post-Quantum-Cipher-Suites zu aktivieren, fügen Sie sie AWS SDK for Java 2.x zu Ihrem Projekt hinzu und initialisieren Sie sie. Aktivieren Sie dann die hybriden Post-Quantum-Cipher Suites auf Ihrem HTTP Client, wie im folgenden Beispiel gezeigt.

   Dieser Code verwendet den postQuantumTlsEnabled() Methodenparameter, um mit Kyber einen AWS gemeinsamen HTTP Runtime-Client zu konfigurieren, der die empfohlene hybride Post-Quantum-Verschlüsselungssuite bevorzugt. ECDH Dann verwendet er den konfigurierten HTTP Client, um eine Instanz des asynchronen Clients zu erstellen,. AWS KMS KmsAsyncClient Nachdem dieser Code abgeschlossen ist, verwenden alle AWS KMS APIAnfragen auf der KmsAsyncClient Instanz Hybrid TLS Post-Quantum.

   // Configure HTTP client
   SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
             .postQuantumTlsEnabled(true)
             .build();
   
   // Create the AWS KMS async client
   KmsAsyncClient kmsAsync = KmsAsyncClient.builder()
            .httpClient(awsCrtHttpClient)
            .build();

3. Testen Sie Ihre AWS KMS Anrufe mit Hybrid TLS Post-Quantum.

   Wenn Sie AWS KMS API Operationen auf dem konfigurierten AWS KMS Client aufrufen, werden Ihre Anrufe mithilfe von Hybrid TLS Post-Quantum an den AWS KMS Endpunkt übertragen. Um Ihre Konfiguration zu testen, rufen Sie einen auf AWS KMS API, z. B. ListKeys

   ListKeysReponse keys = kmsAsync.listKeys().get();

Testen Sie Ihre Hybrid-Post-Quantum-Konfiguration TLS

Erwägen Sie, die folgenden Tests mit Hybrid-Verschlüsselungssammlungen für Ihre aufrufenden Anwendungen durchzuführen. AWS KMS

• Führen Sie Belastungstests und Benchmarks aus. Die Hybrid-Cipher-Suites funktionieren anders als herkömmliche Schlüsselaustauschalgorithmen. Möglicherweise müssen Sie Ihre Verbindungszeitüberschreitungen anpassen, um längere Handshake-Zeiten zu ermöglichen. Wenn Sie innerhalb einer AWS Lambda Funktion arbeiten, verlängern Sie die Einstellung für das Ausführungstimeout.

• Versuchen Sie, eine Verbindung von verschiedenen Standorten herzustellen. Je nachdem, welchen Netzwerkpfad Ihre Anfrage verwendet, stellen Sie möglicherweise fest, dass zwischengeschaltete Hosts, Proxys oder Firewalls mit Deep Packet Inspection (DPI) die Anfrage blockieren. Dies kann auf die Verwendung der neuen Cipher Suites im ClientHelloTeil des TLS Handshakes oder auf die größeren Schlüsselaustauschnachrichten zurückzuführen sein. Wenn Sie Probleme bei der Lösung dieser Probleme haben, arbeiten Sie mit Ihrem Sicherheitsteam oder Ihren IT-Administratoren zusammen, um die entsprechende Konfiguration zu aktualisieren und die Entsperrung der neuen Cipher Suites zu entsperren. TLS