後量子 TLS

Secrets Manager 支援適用於 Transport Layer Security (TLS) 網路加密通訊協定的混合式後量子金鑰交換選項。連線至 Secrets Manager API 端點時，您可使用此 TLS 選項。在後量子演算法標準化前，我們會提供此功能，以便您可以開始測試這些金鑰交換通訊協定對於 Secrets Manager 呼叫的影響。這些選用的混合式後量子金鑰交換功能至少與現今使用的 TLS 加密功能同樣安全，且還能提供其他安全優勢。不過，與現今使用的傳統金鑰交換通訊協定相較之下，這些功能會影響延遲和輸送量。

若要保護現今加密的資料防範潛在的未來攻擊，AWS 正在與密碼編譯社群攜手合作開發抵禦量子或後量子演算法。我們已在 Secrets Manager 端點中實作混合式後量子金鑰交換密碼套件。這些混合式密碼套件結合傳統與後量子元素，能夠確保您的 TLS 連線至少與使用傳統密碼套件一樣堅強。然而，由於混合式密碼套件的效能特性和頻寬要求不同於傳統金鑰交換機制，我們建議您對 API 呼叫測試這些套件。

Secrets Manager 支援所有區域中的 PQTLS，唯中國地區除外。

設定混合式後量子 TLS

1. 將 AWS 通用執行時間用戶端新增至 Maven 相依性。我們建議使用最新的可用版本。例如，此陳述式將新增 2.20.0 版。

   <dependency>
     <groupId>software.amazon.awssdk</groupId>
     <artifactId>aws-crt-client</artifactId>
     <version>2.20.0</version>
   </dependency>

2. 將 AWS SDK for Java 2.x 新增至專案並將其初始化。在 HTTP 用戶端上啟用混合式後量子密碼套件。

   SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
               .postQuantumTlsEnabled(true)
               .build();

3. 建立 Secrets Manager 非同步用戶端。

   SecretsManagerAsyncClient SecretsManagerAsync = SecretsManagerAsyncClient.builder()
               .httpClient(awsCrtHttpClient)
               .build();

   現在，當您呼叫 Secrets Manager API 操作時，系統會使用混合式後量子 TLS 將您的呼叫傳輸至 Secrets Manager 端點。

如需有關使用混合式後量子 TLS 的詳細資訊，請參閱：

• AWS SDK for Java 2.x 開發人員指南與 AWS SDK for Java 2.x 發布的部落格文章。

• s2n-tls 簡介 (全新開放原始碼 TLS 實作) 和使用 s2n-tls。

• 國家標準技術研究所 (NIST) 的後量子加密法。

• 用於 Transport Layer Security 1.2 (TLS) 的混合式後量子金鑰封裝法 (PQ KEM)。

Secrets Manager 的後量子 TLS 可在所有 AWS 區域 區域使用，中國除外。