Menggunakan TLS pasca-kuantum hibrida dengan Amazon S3

Amazon S3 mendukung opsi pertukaran kunci pasca-kuantum hibrida untuk protokol enkripsi jaringan TLS. Anda dapat menggunakan opsi TLS ini ketika Anda membuat permintaan ke titik akhir Amazon S3 menggunakan TLS 1.3. Suite cipher klasik yang didukung S3 untuk sesi TLS membuat serangan brute force pada mekanisme pertukaran kunci tidak layak dengan teknologi saat ini. Namun, jika komputer kuantum yang relevan secara kriptografi menjadi praktis di masa depan, rangkaian sandi klasik yang digunakan dalam mekanisme pertukaran kunci TLS akan rentan terhadap serangan ini. Saat ini, industri ini selaras dengan pertukaran kunci pasca-kuantum hibrida yang menggabungkan elemen klasik dan pasca-kuantum untuk memastikan bahwa koneksi TLS Anda setidaknya sekuat dengan suite sandi klasik. Amazon S3 mendukung hibrida PQ-TLS, sesuai dengan spesifikasi standar industri, hari ini IANA

Jika Anda mengembangkan aplikasi yang mengandalkan kerahasiaan jangka panjang data yang melewati koneksi TLS, Anda harus mempertimbangkan rencana untuk bermigrasi ke kriptografi pasca-kuantum sebelum komputer kuantum skala besar tersedia untuk digunakan. Sebagai bagian dari model tanggung jawab bersama, S3 memungkinkan kriptografi aman kuantum pada titik akhir layanan kami. Karena browser dan aplikasi mengaktifkan PQ-TLS di sisinya, S3 akan memilih konfigurasi sekuat mungkin untuk mengamankan data dalam perjalanan.

Jenis endpoint yang didukung dan Wilayah AWS

TLS pasca-kuantum untuk Amazon S3 tersedia di semua. Wilayah AWS Untuk daftar titik akhir S3 untuk masing-masing titik Wilayah AWS, lihat titik akhir Amazon Simple Storage Service dan kuota di. Referensi Umum Amazon Web Services

catatan

TLS pasca-kuantum hibrida didukung untuk semua titik akhir S3 kecuali untuk Amazon AWS PrivateLink S3, Titik Akses Multi-Wilayah, dan Vektor S3.

Menggunakan TLS pasca-kuantum hibrida dengan Amazon S3

Anda harus mengonfigurasi klien yang membuat permintaan ke Amazon S3 untuk mendukung TLS pasca-kuantum hibrida. Saat menyiapkan lingkungan pengujian klien HTTP atau lingkungan produksi Anda, perhatikan informasi berikut:

Enkripsi dalam Transit

Hybrid post-quantum TLS hanya digunakan untuk enkripsi saat transit. Ini melindungi data Anda saat bepergian dari klien Anda ke titik akhir S3. Dukungan baru ini dikombinasikan dengan enkripsi sisi server Amazon S3 secara default menggunakan AES-256 algoritme menawarkan enkripsi tahan kuantum kepada pelanggan baik dalam perjalanan maupun saat istirahat. Untuk informasi selengkapnya tentang enkripsi sisi server di Amazon S3, lihat Melindungi data dengan enkripsi sisi server.

Klien yang Didukung

Penggunaan TLS pasca-kuantum hibrida membutuhkan penggunaan klien yang mendukung fungsi ini. AWS SDKs dan alat memiliki kemampuan dan konfigurasi kriptografi yang berbeda antar bahasa dan runtime. Untuk mempelajari lebih lanjut tentang kriptografi pasca-kuantum untuk alat tertentu, lihat Mengaktifkan TLS pasca-kuantum hibrida.

catatan

Rincian pertukaran kunci PQ-TLS untuk permintaan ke Amazon S3 tidak tersedia dalam AWS CloudTrail peristiwa atau log akses server S3.

Pelajari lebih lanjut tentang TLS pasca-kuantum

Untuk informasi selengkapnya tentang penggunaan TLS pasca-kuantum hibrida, lihat sumber daya berikut.

• Untuk mempelajari tentang kriptografi pasca-kuantum di AWS, termasuk tautan ke posting blog dan makalah penelitian, lihat Kriptografi Pasca-Kuantum untuk. AWS

• Untuk selengkapnyas2n-tls, lihat Memperkenalkans2n-tls, Implementasi dan Penggunaan s2n-tls TLS Open Source Baru.

• Untuk informasi tentang Klien HTTP Runtime AWS Umum, lihat Mengonfigurasi klien HTTP AWS berbasis CRT di Panduan Pengembang.AWS SDK for Java 2.x

• Untuk informasi tentang proyek kriptografi pasca-kuantum di National Institute for Standards and Technology (NIST), lihat Kriptografi Pasca Kuantum.

• Untuk informasi tentang standardisasi kriptografi pasca-kuantum NIST, lihat Standardisasi Kriptografi Pasca-Kuantum NIST.