Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan TLS pasca-kuantum hibrida dengan AWS KMS
AWS Key Management Service (AWS KMS) mendukung pertukaran kunci pasca-kuantum hibrida untuk protokol enkripsi jaringan Keamanan Lapisan Pengangkutan (TLS). Anda dapat menggunakan opsi TLS ini ketika Anda terhubung ke titik akhir API AWS KMS. Kami menawarkan fitur ini sebelum algoritme pasca-kuantum distandardisasi, sehingga Anda dapat mulai menguji efek protokol pertukaran kunci ini pada panggilan AWS KMS. Fitur pertukaran kunci pasca-kuantum hibrida opsional ini setidaknya seaman enkripsi TLS yang kami gunakan saat ini dan cenderung memberikan manfaat keamanan jangka panjang tambahan. Namun, fitur-fitur tersebut memengaruhi latensi dan throughput dibandingkan dengan protokol pertukaran kunci klasik yang digunakan saat ini.
Data yang Anda kirimkan ke AWS Key Management Service (AWS KMS) dilindungi dalam transit oleh enkripsi yang disediakan oleh koneksi Keamanan Lapisan Pengangkutan (TLS). Cipher suite klasik yang didukung AWS KMS untuk sesi TLS membuat serangan brute force pada mekanisme pertukaran kunci yang tidak layak dengan teknologi saat ini. Namun, jika komputasi kuantum skala besar menjadi praktis di masa depan, cipher suite klasik yang digunakan dalam mekanisme pertukaran kunci TLS akan rentan terhadap serangan ini. Jika Anda terngah mengembangkan aplikasi yang mengandalkan kerahasiaan data jangka panjang melalui sambungan TLS, Anda harus mempertimbangkan rencana untuk bermigrasi ke kriptografi pasca-kuantum sebelum komputer kuantum skala besar tersedia untuk digunakan. AWS berupaya mempersiapkan masa depan ini, dan kami juga ingin agar Anda mempersiapkannya dengan matang.
Guna melindungi data yang dienkripsi saat ini terhadap potensi serangan masa depan, AWS berpartisipasi dengan komunitas kriptografi dalam pengembangan algoritme tahan-kuantum atau pasca-kuantum. Kami telah menerapkan suite cipher pertukaran kunci pasca-kuantum hibrida AWS KMS yang menggabungkan elemen klasik dan pasca-kuantum untuk memastikan bahwa koneksi TLS Anda setidaknya sekuat dengan suite cipher klasik.
Cipher suite hibrida ini tersedia untuk digunakan pada beban kerja produksi Anda di sebagian besar Wilayah AWS. Namun, karena karakteristik performa dan persyaratan bandwidth cipher suite hibrida berbeda dari mekanisme pertukaran kunci klasik, kami menyarankan Anda mengujinya di panggilan AWS KMS API dalam kondisi yang berbeda.
Umpan Balik
Seperti biasa, kami menyambut baik umpan balik dan partisipasi Anda dalam repositori sumber terbuka kami. Kami terutama ingin mendengar bagaimana infrastruktur Anda berinteraksi dengan varian lalu lintas TLS yang baru ini.
-
Untuk memberikan umpan balik tentang topik ini, gunakan tautan Umpan Balik di sudut kanan atas halaman ini.
-
Kami sedang mengembangkan suite cipher hybrid ini di open source di s2n-tls
repositori di. GitHub Untuk memberikan umpan balik tentang kegunaan rangkaian sandi, atau berbagi kondisi atau hasil pengujian baru, buat masalah di repositori . s2n-tls -
Kami sedang menulis contoh kode untuk menggunakan TLS pasca-kuantum hibrida dengan AWS KMS di repositori. aws-kms-pq-tls-example
GitHub Untuk mengajukan pertanyaan atau berbagi ide tentang mengonfigurasi klien HTTP Anda atau klien AWS KMS untuk menggunakan cipher suite hibrida, buat masalah di repositori aws-kms-pq-tls-example.
Mendukung Wilayah AWS
TLS pasca-kuantum untuk AWS KMS tersedia di semua Wilayah AWS yang AWS KMS mendukung kecuali untuk China (Beijing) dan China (Ningxia).
catatan
AWS KMStidak mendukung TLS pasca-kuantum hibrida untuk titik akhir FIPS di. AWS GovCloud (US)
Untuk daftar AWS KMS titik akhir untuk masing-masingWilayah AWS, lihat AWS Key Management Servicetitik akhir dan kuota di. Referensi Umum Amazon Web Services Untuk informasi tentang titik akhir FIPS, lihat titik akhir FIPS di. Referensi Umum Amazon Web Services
Tentang pertukaran kunci pasca-kuantum hibrida di TLS
AWS KMS mendukung cipher suite pertukaran kunci pasca-kuantum hibrida. Anda dapat menggunakan AWS SDK for Java 2.x dan AWS Common Runtime pada sistem Linux untuk mengkonfigurasi klien HTTP yang menggunakan cipher suite ini. Kemudian, setiap kali Anda terhubung ke AWS KMS titik akhir dengan klien HTTP Anda, suite cipher hybrid digunakan.
Klien HTTP ini menggunakan s2n-tls
Algoritma yang s2n-tls digunakan adalah hibrida yang menggabungkan Elliptic Curve Diffie-Hellman
Jika penelitian yang sedang berlangsung mengungkapkan bahwa Kyber algoritme tidak memiliki kekuatan pasca-kuantum yang diantisipasi, kunci hibrida setidaknya masih sekuat kunci ECDH tunggal yang saat ini digunakan. Sampai penelitian tentang algoritma pasca-kuantum selesai, kami merekomendasikan menggunakan algoritma hibrida, daripada menggunakan algoritma pasca-kuantum saja.
Menggunakan TLS pasca-kuantum hibrida dengan AWS KMS
Anda dapat menggunakan TLS pasca-kuantum hibrida untuk panggilan Anda ke AWS KMS. Saat menyiapkan lingkungan pengujian klien HTTP Anda, perhatikan informasi berikut:
Enkripsi dalam Transit
Suite cipher hybrid di hanya s2n-tls digunakan untuk enkripsi dalam perjalanan. Mereka melindungi data Anda saat bepergian dari klien Anda ke AWS KMS titik akhir. AWS KMStidak menggunakan cipher suite ini untuk mengenkripsi data di bawah. AWS KMS keys
Sebaliknya, ketika AWS KMS mengenkripsi data Anda di bawah kunci KMS, ia menggunakan kriptografi simetris dengan kunci 256-bit dan Standar Enkripsi Lanjutan dalam algoritma Galois Counter Mode (AES-GCM), yang sudah tahan kuantum. Masa depan teoritis, serangan komputasi kuantum skala besar pada ciphertext yang dibuat di bawah kunci AES-GCM 256-bit mengurangi keamanan yang efektif dari kunci tersebut ke 128 bit
Sistem yang Didukung
Penggunaan suite cipher hybrid di saat s2n-tls ini hanya didukung pada sistem Linux. Selain itu, cipher suite ini didukung hanya dalam SDK yang mendukung Waktu Aktif Umum AWS, seperti AWS SDK for Java 2.x. Sebagai contoh, lihat Cara mengonfigurasi TLS pasca-kuantum hibrida.
AWS KMSTitik akhir
Saat menggunakan cipher suite hibrida, gunakan titik akhir AWS KMS standar. Suite sandi hibrida di tidak kompatibel dengan titik akhir s2n-tls yang divalidasi FIPS 140-2 untuk. AWS KMS
Saat Anda mengonfigurasi klien HTTP untuk memilih koneksi TLS pasca-kuantums2n-tls, sandi pasca-kuantum adalah yang pertama dalam daftar preferensi sandi. Namun, daftar preferensi ini mencakup cipher klasik dan non-hibrida yang lebih rendah dalam urutan preferensi untuk kompatibilitas. Saat Anda mengonfigurasi klien HTTP untuk memilih TLS pasca-kuantum dengan titik akhir yang divalidasi AWS KMS FIPS 140-2, s2n-tls menegosiasikan cipher pertukaran kunci non-hybrid klasik.
Untuk daftar AWS KMS titik akhir untuk masing-masingWilayah AWS, lihat AWS Key Management Servicetitik akhir dan kuota di. Referensi Umum Amazon Web Services Untuk informasi tentang titik akhir FIPS, lihat titik akhir FIPS di. Referensi Umum Amazon Web Services
Kinerja yang Diharapkan
Pengujian benchmark awal kami menunjukkan bahwa suite cipher hybrid lebih lambat daripada suite cipher TLS klasik. s2n-tls Efeknya bervariasi, tergantung profil jaringan, kecepatan CPU, jumlah core, dan tingkat panggilan Anda. Untuk hasil tes kinerja, lihat Cara menyetel TLS untuk kriptografi pasca-kuantum hibrida
Cara mengonfigurasi TLS pasca-kuantum hibrida
Dalam prosedur ini, tambahkan dependensi Maven untuk AWS Common Runtime HTTP Client. Selanjutnya, konfigurasikan klien HTTP yang lebih memilih TLS pasca-kuantum. Kemudian, buat klien AWS KMS yang menggunakan klien HTTP.
Untuk melihat contoh kerja lengkap tentang mengonfigurasi dan menggunakan TLS pasca-kuantum hibrida denganAWS KMS, lihat repositori. aws-kms-pq-tls-example
catatan
Klien HTTP Runtime AWS Umum, yang telah tersedia sebagai pratinjau, tersedia secara umum pada Februari 2023. Dalam rilis itu, tlsCipherPreference
kelas dan parameter tlsCipherPreference()
metode digantikan oleh parameter postQuantumTlsEnabled()
metode. Jika Anda menggunakan contoh ini selama pratinjau, Anda perlu memperbarui kode Anda.
-
Tambahkan klien Common Runtime AWS untuk dependensi Maven Anda. Sebaiknya gunakan versi terbaru yang tersedia.
Misalnya, pernyataan ini menambahkan versi
2.20.0
klien AWS Common Runtime ke dependensi Maven Anda.<dependency> <groupId>software.amazon.awssdk</groupId> <artifactId>aws-crt-client</artifactId> <version>2.20.0</version> </dependency>
-
Untuk mengaktifkan suite cipher pasca-kuantum hibrida, tambahkan AWS SDK for Java 2.x untuk proyek Anda dan menginisialisasinya. Kemudian aktifkan suite sandi pasca-kuantum hibrida pada klien HTTP Anda seperti yang ditunjukkan pada contoh berikut.
Kode ini menggunakan parameter
postQuantumTlsEnabled()
metode untuk mengonfigurasi klien HTTP runtime AWS umum yang lebih menyukai rangkaian sandi pasca-kuantum hibrida yang direkomendasikan, ECDH dengan Kyber. Kemudian menggunakan klien HTTP yang dikonfigurasi untuk membangun instance klien AWS KMS asinkron,.KmsAsyncClient
Setelah kode ini selesai, semua permintaan AWS KMSAPI pada KmsAsyncClient
instance menggunakan TLS pasca-kuantum hibrida.// Configure HTTP client SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder() .postQuantumTlsEnabled(true) .build(); // Create the AWS KMS async client KmsAsyncClient kmsAsync = KmsAsyncClient.builder() .httpClient(awsCrtHttpClient) .build();
-
Uji AWS KMS panggilan Anda dengan TLS pasca-kuantum hibrida.
Ketika Anda memanggil operasi AWS KMS API pada klien AWS KMS yang telah dikonfigurasi, panggilan Anda ditransmisikan ke titik akhir AWS KMS menggunakan TLS pasca-kuantum hibrida. Untuk menguji konfigurasi Anda, panggil AWS KMS API, seperti
ListKeys
.ListKeysReponse keys = kmsAsync.listKeys().get();
Menguji TLS pasca-kuantum hibrida dengan AWS KMS
Pertimbangkan menjalankan uji berikut dengan cipher suite hibrida pada aplikasi Anda yang memanggil AWS KMS.
-
Jalankan uji beban dan tolok ukur. Cipher suite hibrida melakukan secara berbeda dari algoritme pertukaran kunci tradisional. Anda mungkin perlu menyesuaikan batas waktu koneksi untuk memungkinkan waktu handshake yang lebih lama. Jika Anda menjalankan di dalam sebuah fungsi AWS Lambda, perpanjang pengaturan waktu habis eksekusi.
-
Coba hubungkan dari lokasi yang berbeda. Tergantung jalur jaringan yang dibutuhkan permintaannya, Anda mungkin menemukan bahwa host perantara, proksi, atau firewall dengan deep packet inspection (DPI) memblokir permintaan. Ini mungkin hasil dari penggunaan cipher suite baru di ClientHello
bagian jabat tangan TLS, atau dari pesan pertukaran kunci yang lebih besar. Jika Anda terkendala saat menyelesaikan masalah ini, tanyakan kepada tim keamanan atau administrator IT Anda untuk memperbarui konfigurasi yang relevan dan membuka blokir rangkaian penyandian TLS baru.
Pelajari lebih lanjut tentang TLS pasca-kuantum di AWS KMS
Untuk informasi lebih lanjut tentang penggunaan TLS pasca-kuantum hibrida di AWS KMS, lihat sumber daya berikut.
-
Untuk mempelajari tentang kriptografi pasca-kuantum diAWS, termasuk tautan ke posting blog dan makalah penelitian, lihat Kriptografi Pasca-Kuantum
. -
Untuk selengkapnyas2n-tls, lihat Memperkenalkans2n-tls, Implementasi dan Penggunaan s2n-tls
TLS Open Source Baru . -
Untuk informasi tentang Klien HTTP Runtime AWS Umum, lihat Mengonfigurasi klien HTTP AWS berbasis CRT di Panduan Pengembang. AWS SDK for Java 2.x
-
Untuk informasi tentang proyek kriptografi pasca-kuantum di National Institute for Standards and Technology (NIST), lihat Kriptografi Pasca Kuantum
.