포스트 양자 TLS

Secrets Manager는 전송 계층 보안(TLS) 네트워크 암호화 프로토콜에 대한 하이브리드 포스트 퀀텀 키 교환 옵션을 지원합니다. Secrets Manager API 엔드포인트에 연결할 때 이 TLS 옵션을 사용할 수 있습니다. 포스트 양자 알고리즘이 표준화되기 전에 이 기능을 제공하므로 이러한 키 교환 프로토콜이 Secrets Manager 호출에 미치는 영향을 테스트할 수 있습니다. 선택 사항인 이 하이브리드 포스트 양자 키 교환 기능은 적어도 우리가 현재 사용하는 TLS 암호화만큼 안전하며 보안 이점을 추가로 제공할 수도 있습니다. 그러나 현재 사용 중인 클래식 키 교환 프로토콜과 달리 지연 시간 및 처리량에 영향을 미칩니다.

미래에 있을 수 있는 공격으로부터 오늘날 암호화된 데이터를 보호하기 위해 AWS는 암호화 커뮤니티와 함께 양자 내성 또는 포스트 양자 알고리즘 개발에 참여하고 있습니다. Secrets Manager 엔드포인트에서 하이브리드 포스트 양자 키 교환 암호 제품군을 구현했습니다. 클래식 및 포스트 양자 요소를 결합한 이 하이브리드 암호 제품군을 통해 TLS 연결은 적어도 클래식 암호 제품군과 동등한 수준으로 강력해집니다. 그러나 하이브리드 암호 제품군의 성능 특성 및 대역폭 요구 사항은 클래식 키 교환 메커니즘의 해당 요구 사항과 다르기 때문에 API 호출에 대해 이 제품군을 테스트하는 것이 좋습니다.

Secrets Manager는 중국 리전을 제외한 모든 리전에서 PQTLS를 지원합니다.

하이브리드 포스트 양자 TLS 구성

1. Maven 종속성에 AWS 공통 런타임 클라이언트를 추가합니다. 사용 가능한 최신 버전을 사용하는 것이 좋습니다. 예를 들어 이 문은 2.20.0 버전을 추가합니다.

   <dependency>
     <groupId>software.amazon.awssdk</groupId>
     <artifactId>aws-crt-client</artifactId>
     <version>2.20.0</version>
   </dependency>

2. Java 2.x용 AWS SDK를 프로젝트에 추가하고 초기화합니다. HTTP 클라이언트에서 하이브리드 포스트 양자 암호 제품군을 활성화합니다.

   SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
               .postQuantumTlsEnabled(true)
               .build();

3. Secrets Manager 비동기 클라이언트를 생성합니다.

   SecretsManagerAsyncClient SecretsManagerAsync = SecretsManagerAsyncClient.builder()
               .httpClient(awsCrtHttpClient)
               .build();

   이제 Secrets Manager API 작업을 호출하면 호출은 하이브리드 포스트 양자 TLS를 사용하여 Secrets Manager 엔드포인트로 전송됩니다.

하이브리드 포스트 양자 TLS 사용하는 방법에 대한 자세한 내용은 다음을 참조하십시오.

• AWS SDK for Java 2.x 개발자 안내서 및 AWS SDK for Java 2.x 릴리스된 블로그 게시물.

• 새 오픈 소스 TLS 구현, 즉 s2n-tls 소개 및 s2n-tls 사용.

• 미국 국립 표준 기술 연구소 (NIST)에서의 포스트 양자 암호화.

• TLS(전송 계층 보안) 1.2에 대한 PQ KEM(하이브리드 포스트 양자 키 캡슐화 방법).

Secrets Manager용 포스트 양자 TLS는 중국을 제외한 모든 AWS 리전에서 사용할 수 있습니다.