搭配 Amazon S3 使用混合式後量子 TLS

Amazon S3 支援 TLS 網路加密通訊協定的混合式後量子金鑰交換選項。當您使用 TLS 1.3 向 Amazon S3 端點提出請求時，您可以使用此 TLS 選項。S3 針對 TLS 工作階段支援的傳統密碼套件，使得對金鑰交換機制的暴力破解攻擊與目前的技術不可行。不過，如果密碼編譯相關的量子電腦在未來變得實際，則 TLS 金鑰交換機制中使用的傳統密碼套件將容易受到這些攻擊的影響。目前，產業在混合式後量子金鑰交換上保持一致，它結合了傳統和後量子元素，以確保您的 TLS 連線至少與傳統密碼套件一樣強大。Amazon S3 目前支援混合 PQ-TLS，符合業界標準IANA規格

如果您開發的應用程式依賴於透過 TLS 連線傳遞的資料的長期機密性，您應該考慮在大規模量子電腦可供使用之前遷移到量子後密碼編譯的計劃。作為共同責任模型的一部分，S3 會在我們的服務端點上啟用量子安全密碼編譯。當瀏覽器和應用程式在其端啟用 PQ-TLS 時，S3 將選擇最強大的組態來保護傳輸中的資料。

支援的端點類型和 AWS 區域

Amazon S3 的後量子 TLS 適用於所有 AWS 區域。如需每個端點的 S3 端點清單 AWS 區域，請參閱《》中的 Amazon Simple Storage Service 端點和配額Amazon Web Services 一般參考。

注意

除了 Amazon S3 S3、多區域存取點和 S3 向量之外，所有 S3 AWS PrivateLink 端點都支援混合式後量子 TLS。

搭配 Amazon S3 使用混合式後量子 TLS

您必須設定向 Amazon S3 提出請求的用戶端，以支援混合式後量子 TLS。設定 HTTP 用戶端測試環境或生產環境時，請注意下列資訊：

傳輸中加密

混合後量子 TLS 僅用於傳輸中的加密。這可在資料從用戶端傳輸到 S3 端點時保護您的資料。根據預設，這項新支援結合 Amazon S3 的伺服器端加密，利用AES-256演算法為客戶提供傳輸中和靜態的抗量子加密。如需 Amazon S3 中伺服器端加密的詳細資訊，請參閱使用伺服器端加密保護資料。

支援的用戶端

使用混合式後量子 TLS 需要使用支援此功能的用戶端。 AWS SDKs和工具具有不同語言和執行時間的密碼編譯功能和組態。若要進一步了解特定工具的後量子密碼編譯，請參閱啟用混合後量子 TLS。

注意

對 Amazon S3 請求的 PQ-TLS 金鑰交換詳細資訊不適用於 AWS CloudTrail 事件或 S3 伺服器存取日誌。

進一步了解後量子 TLS

如需使用混合式後量子 TLS 的詳細資訊，請參閱下列資源。

• 若要了解 的後量子密碼編譯 AWS，包括部落格文章和研究論文的連結，請參閱 的後量子密碼編譯 AWS。

• 如需 s2n-tls 的資訊，請參閱 全新開放原始碼 TLS 實作 s2n-tls 簡介和使用 s2n-tls。

• 如需有關 AWS 通用執行期 HTTP 用戶端的資訊，請參閱《 AWS SDK for Java 2.x 開發人員指南》中的設定 AWS CRT 型 HTTP 用戶端。

• 如需國家標準技術研究 (NIST) 的後量子加密法專案的資訊，請參閱後量子加密法。

• 如需有關 NIST 後量子密碼編譯標準化的資訊，請參閱 NIST 的後量子密碼編譯標準化。