Post-Quantum-TLS

Secrets Manager unterstützt eine hybride Post-Quantum-Schlüsselaustauschoption für das Transport Layer Security (TLS) Netzwerkverschlüsselungsprotokoll. Sie können diese TLS-Option verwenden, wenn Sie eine Verbindung zu Secrets-Manager-API-Endpunkten herstellen. Wir bieten dieses Feature an, bevor Post-Quantum-Algorithmen standardisiert werden, damit Sie damit beginnen können, die Auswirkungen dieser Schlüsselaustauschprotokolle auf Secrets-Manager-Aufrufe zu testen. Diese optionalen Hybrid-Post-Quantum-Schlüsselaustauschfunktionen sind mindestens so sicher wie die heute verwendete TLS-Verschlüsselung und bieten wahrscheinlich zusätzliche Sicherheitsvorteile. Sie wirken sich jedoch auf Latenz und Durchsatz im Vergleich zu den klassischen Schlüsselaustauschprotokollen aus, die heute verwendet werden.

Um Daten zu schützen, die heute vor potenziellen zukünftigen Angriffen verschlüsselt werden, beteiligt AWS sich mit der kryptografischen Gemeinschaft an der Entwicklung von quantenresistenten oder Post-Quantum Algorithmen. Wir haben hybride Post-Quantum-Schlüsselaustausch-Cipher-Suites in Secrets-Manager-Endpunkten implementiert. Diese Hybrid-Cipher-Suites, die klassische und Post-Quantum-Elemente kombinieren, stellen sicher, dass Ihre TLS-Verbindung mindestens so stark ist wie bei klassischen Cipher-Suites. Da sich jedoch die Leistungseigenschaften und Bandbreitenanforderungen hybrider Cipher-Suites von denen klassischer Schlüsselaustauschmechanismen unterscheiden, empfehlen wir Ihnen, diese bei Ihren API-Aufrufen zu testen.

Secrets Manager unterstützt PQTLS in allen Regionen bis auf Regionen in China.

Konfigurieren von Hybrid-Post-Quantum-TLS

1. Fügen Sie den AWS-Common-Runtime-Client zu Ihren Maven-Abhängigkeiten hinzu. Wir empfehlen, die neueste verfügbare Version zu verwenden. Diese Anweisung fügt beispielsweise die Version 2.20.0 hinzu.

   <dependency>
     <groupId>software.amazon.awssdk</groupId>
     <artifactId>aws-crt-client</artifactId>
     <version>2.20.0</version>
   </dependency>

2. Fügen Sie das AWS-SDK für Java 2.x zu Ihrem Projekt hinzu und initialisieren Sie es. Aktivieren Sie die hybriden Post-Quantum-Cipher-Suites auf Ihrem HTTP-Client.

   SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
               .postQuantumTlsEnabled(true)
               .build();

3. Erstellen Sie den asynchronen Secrets-Manager-Client.

   SecretsManagerAsyncClient SecretsManagerAsync = SecretsManagerAsyncClient.builder()
               .httpClient(awsCrtHttpClient)
               .build();

   Wenn Sie jetzt Secrets-Manager-API-Vorgänge aufrufen, werden Ihre Aufrufe über hybrides Post-Quantum-TLS an den Secrets-Manager-Endpunkt übertragen.

Weitere Informationen zur Verwendung von hybridem Post-Quantum-TLS finden Sie unter:

• AWS SDK for Java 2.x-Entwicklerhandbuch und der AWS SDK for Java 2.x-veröffentlichte Blog-Beitrag.

• Einführung von s2n-tls, einer neuen Open-Source-TLS-Implementierung und Verwendung von s2n-tls.

• Post-Quantum Cryptography am National Institute for Standards and Technology (NIST).

• Hybride Post-Quantum Key Encapsulation Methods (PQ KEM) für Transport Layer Security 1.2 (TLS).

Post-Quantum-TLS für Secrets Manager ist in allen AWS-Regionen bis auf Regionen in China verfügbar.