Utilisation du protocole TLS post-quantique hybride avec Amazon S3

Amazon S3 prend en charge une option hybride d'échange de clés post-quantique pour le protocole de chiffrement réseau TLS. Vous pouvez utiliser cette option TLS lorsque vous envoyez des demandes aux points de terminaison Amazon S3 à l'aide du protocole TLS 1.3. Les suites de chiffrement classiques prises en charge par S3 pour les sessions TLS rendent les attaques par force brute contre les mécanismes d'échange de clés irréalisables avec la technologie actuelle. Cependant, si un ordinateur quantique pertinent sur le plan cryptographique devient pratique à l'avenir, les suites de chiffrement classiques utilisées dans les mécanismes d'échange de clés TLS seront vulnérables à ces attaques. À l'heure actuelle, le secteur privilégie l'échange de clés post-quantique hybride qui combine des éléments classiques et post-quantiques pour garantir que votre connexion TLS est au moins aussi solide qu'elle le serait avec les suites de chiffrement classiques. Amazon S3 prend aujourd'hui en charge le PQ-TLS hybride, conformément aux spécifications standard du secteur IANA

Si vous développez des applications qui reposent sur la confidentialité à long terme des données transmises via une connexion TLS, vous devriez envisager de passer à la cryptographie post-quantique avant que des ordinateurs quantiques à grande échelle ne soient disponibles. Dans le cadre du modèle de responsabilité partagée, S3 permet la cryptographie quantique sur nos points de terminaison de service. Comme les navigateurs et les applications activent le protocole PQ-TLS de leur côté, S3 choisira la configuration la plus robuste possible pour sécuriser les données en transit.

types de terminaux pris en charge et Régions AWS

Le protocole TLS post-quantique pour Amazon S3 est disponible dans tous les pays. Régions AWS Pour obtenir la liste des points de terminaison S3 correspondant à chacun Région AWS, consultez la section Points de terminaison et quotas Amazon Simple Storage Service dans le. Référence générale d'Amazon Web Services

Note

Le protocole TLS post-quantique hybride est pris en charge pour tous les points de terminaison S3, à l'exception d'Amazon AWS PrivateLink S3, des points d'accès multirégionaux et des vecteurs S3.

Utilisation du protocole TLS post-quantique hybride avec Amazon S3

Vous devez configurer le client qui envoie des demandes à Amazon S3 pour qu'il prenne en charge le protocole TLS post-quantique hybride. Lorsque vous configurez votre environnement de test client HTTP ou vos environnements de production, tenez compte des informations suivantes :

Chiffrement en transit

Le protocole TLS post-quantique hybride n'est utilisé que pour le chiffrement en transit. Cela protège vos données pendant leur transfert entre votre client et le point de terminaison S3. Ce nouveau support, combiné au chiffrement côté serveur par défaut d'Amazon S3 à l'aide d'AES-256algorithmes, offre aux clients un chiffrement résistant aux quanta, à la fois en transit et au repos. Pour plus d'informations sur le chiffrement côté serveur dans Amazon S3, consultez Protection des données avec le chiffrement côté serveur.

Clients pris en charge

L'utilisation du protocole TLS post-quantique hybride nécessite l'utilisation d'un client prenant en charge cette fonctionnalité. AWS SDKs et les outils ont des capacités et une configuration cryptographiques qui diffèrent selon les langages et les environnements d'exécution. Pour en savoir plus sur la cryptographie post-quantique pour des outils spécifiques, voir Activer le TLS post-quantique hybride.

Note

Les détails de l'échange de clés PQ-TLS pour les demandes adressées à Amazon S3 ne sont pas disponibles dans les AWS CloudTrail événements ni dans les journaux d'accès au serveur S3.

En savoir plus sur le TLS post-quantique

Pour plus d'informations sur l'utilisation du protocole TLS post-quantique hybride, consultez les ressources suivantes.

• Pour en savoir plus sur la cryptographie post-quantique sur AWS, y compris des liens vers des articles de blog et des articles de recherche, voir Post-Quantum Cryptography pour. AWS

• Pour de plus amples informations sur s2n-tls, veuillez consulter Introducing s2n-tls, a New Open Source TLS Implementation et Using s2n-tls.

• Pour plus d'informations sur le client HTTP AWS Common Runtime, consultez la section Configuration du client HTTP AWS CRT dans le guide du AWS SDK for Java 2.x développeur.

• Pour de plus amples informations sur le projet de chiffrement post-quantique du National Institute for Standards and Technology (NIST), veuillez consulter Chiffrement post-quantique.

• Pour plus d'informations sur la normalisation de la cryptographie post-quantique du NIST, consultez la section Standardisation de la cryptographie post-quantique du NIST.