Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von hybridem Post-Quantum-TLS mit AWS KMS

AWS Key Management Service (AWS KMS) unterstützt eine hybride Option für den Schlüsselaustausch nach dem Quantenzugriff für das Netzwerkverschlüsselungsprotokoll Transport Layer Security (TLS). Sie können diese TLS-Option verwenden, wenn Sie eine Verbindung zu AWS KMS -API-Endpunkten herstellen. Diese optionalen Hybrid-Post-Quantum-Schlüsselaustauschfunktionen sind mindestens so sicher wie die heute verwendete TLS-Verschlüsselung und bieten wahrscheinlich zusätzliche langfristige Sicherheitsvorteile. Sie wirken sich jedoch auf Latenz und Durchsatz im Vergleich zu den klassischen Schlüsselaustauschprotokollen aus, die heute verwendet werden.

Die Daten, die Sie an AWS Key Management Service (AWS KMS) senden, sind bei der Übertragung durch die Verschlüsselung geschützt, die über eine Transport Layer Security (TLS) -Verbindung bereitgestellt wird. Die klassischen Cipher-Suites, die TLS-Sitzungen AWS KMS unterstützen, machen Brute-Force-Angriffe auf die Schlüsselaustauschmechanismen mit der aktuellen Technologie undurchführbar. Wenn jedoch in Zukunft das große Quantencomputing praktikabel wird, werden die klassischen Cipher-Suites, die in TLS-Schlüsselaustauschmechanismen verwendet werden, für diese Angriffe anfällig sein. Wenn Sie Anwendungen entwickeln, die auf der langfristigen Vertraulichkeit von Daten basieren, die über eine TLS-Verbindung übertragen werden, sollten Sie einen Plan zur Umstellung auf Post-Quanten-Kryptografie in Betracht ziehen, bevor große Quantencomputer für den Einsatz verfügbar sind. AWS arbeitet daran, sich auf diese future vorzubereiten, und wir möchten, dass auch Sie gut vorbereitet sind.

Um heute verschlüsselte Daten vor möglichen future Angriffen zu schützen, beteiligt AWS sich die Kryptografie-Community an der Entwicklung quantenresistenter oder Post-Quanten-Algorithmen. Wir haben hybride Chiffrier-Suites für den Postquanten-Schlüsselaustausch implementiert AWS KMS , die klassische und Post-Quantum-Elemente kombinieren, um sicherzustellen, dass Ihre TLS-Verbindung mindestens so stark ist wie bei klassischen Cipher Suites.

Diese hybriden Verschlüsselungssammlungen sind in den meisten Fällen für den Einsatz in Ihren Produktions-Workloads verfügbar. AWS-Regionen Da sich die Leistungsmerkmale und Bandbreitenanforderungen hybrider Verschlüsselungssammlungen jedoch von denen klassischer Schlüsselaustauschmechanismen unterscheiden, empfehlen wir, sie bei Ihren AWS KMS API-Aufrufen unter anderen Bedingungen zu testen.

Feedback

Wie immer freuen wir uns über Ihr Feedback und Ihre Teilnahme an unseren Open Source-Repositories. Wir möchten besonders erfahren, wie Ihre Infrastruktur mit dieser neuen Variante des TLS-Datenverkehrs interagiert.

Unterstützt AWS-Regionen

Post-Quantum-TLS für AWS KMS ist in allen AWS KMS unterstützten AWS-Regionen Versionen verfügbar.

Eine Liste der jeweiligen AWS KMS AWS-Region Endpunkte finden Sie unter AWS Key Management Service Endpunkte und Kontingente in der. Allgemeine Amazon Web Services-Referenz Weitere Informationen über FIPS-Endpunkte finden Sie unter FIPS-Endpunkte in der Allgemeine Amazon Web Services-Referenz.

Über den Hybrid-Post-Quantum-Schlüsselaustausch in TLS

AWS KMS unterstützt hybride Chiffrier-Suites nach dem Quantum-Schlüsselaustausch. Sie können Common Runtime AWS SDK for Java 2.x und AWS Common Runtime auf Linux-Systemen verwenden, um einen HTTP-Client zu konfigurieren, der diese Verschlüsselungssammlungen verwendet. Wenn Sie dann mit Ihrem HTTP-Client eine Verbindung zu einem AWS KMS Endpunkt herstellen, werden die Hybrid-Verschlüsselungssammlungen verwendet.

Dieser HTTP-Client verwendet s2n-tls, eine Open-Source-Implementierung des TLS-Protokolls. Die Hybrid-Cipher-Suites , die s2n-tls verwendet, sind nur für den Schlüsselaustausch implementiert, nicht für die direkte Datenverschlüsselung. Während des Schlüsselaustauschs berechnen Client und Server den Schlüssel, den sie verwenden, um die Daten auf der Leitung zu verschlüsseln und zu entschlüsseln.

s2n-tlsBei den verwendeten Algorithmen handelt es sich um einen Hybrid, der Elliptic Curve Diffie-Hellman (ECDH), einen klassischen Schlüsselaustauschalgorithmus, der heute in TLS verwendet wird, mit Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM) kombiniert, einem Algorithmus zur Verschlüsselung und Schlüsselerstellung mit öffentlichen Schlüsseln, den das National Institute for Standards and Technology (NIST) als seinen ersten Standard-Post-Quantum-Schlüsselvereinbarungsalgorithmus bezeichnet hat. Dieser Hybrid verwendet jeden der Algorithmen unabhängig, um einen Schlüssel zu generieren. Dann kombiniert es die beiden Schlüssel kryptografisch. Mit s2n-tls können Sie einen HTTP-Client so konfigurieren, dass er Post-Quantum-TLS bevorzugt, wodurch ECDH mit ML-KEM an erster Stelle in der Präferenzliste steht. Klassische Schlüsselaustauschalgorithmen sind in der Einstellungsliste enthalten, um die Kompatibilität sicherzustellen, aber sie sind in der Präferenzreihenfolge niedriger.

Verwendung von hybridem Post-Quantum-TLS mit AWS KMS

Sie können hybrides Post-Quantum-TLS für Ihre Anrufe bei verwenden. AWS KMS Beachten Sie beim Einrichten der HTTP-Client-Testumgebung die folgenden Informationen:

Verschlüsselung während der Übertragung

Die Hybrid-Cipher-Suites in s2n-tls werden nur für die Verschlüsselung während der Übertragung verwendet. Sie schützen Ihre Daten auf dem Weg von Ihrem Client zum AWS KMS Endpunkt. AWS KMS verwendet diese Cipher Suites nicht zum Verschlüsseln von Daten unter. AWS KMS keys

Stattdessen verwendet es bei der AWS KMS Verschlüsselung Ihrer Daten unter KMS-Schlüsseln symmetrische Kryptografie mit 256-Bit-Schlüsseln und den AES-GCM-Algorithmus (Advanced Encryption Standard in Galois Counter Mode), der bereits quantenresistent ist. Theoretische zukünftige, groß angelegte Quantenrechnungsangriffe auf Verschlüsselungstexte, die unter 256-Bit-AES-GCM-Schlüsseln erstellt wurden, reduzieren die effektive Sicherheit des Schlüssels auf 128-Bits. Diese Sicherheitsstufe reicht aus, um Brute-Force-Angriffe auf Chiffretexte unmöglich zu machen. AWS KMS

Unterstützte Systeme

Die Verwendung der Hybrid-Cipher-Suites in s2n-tls wird derzeit nur auf Linux-Systemen unterstützt. Darüber hinaus werden diese Verschlüsselungssammlungen nur unterstützt, wenn sie die AWS Common Runtime unterstützen SDKs , wie z. B. die. AWS SDK for Java 2.x Ein Beispiel finden Sie unter Konfigurieren Sie hybrides Post-Quantum-TLS.

AWS KMS Endpunkte

Wenn Sie die hybriden Cipher Suites verwenden, verwenden Sie den Standardendpunkt. AWS KMS AWS KMS unterstützt kein hybrides Post-Quantum-TLS für FIPS 140-3-validierte Endpunkte.

Wenn Sie einen HTTP-Client so konfigurieren, dass er Post-Quantum-TLS-Verbindungen mit s2n-tls bevorzugt, stehen die Post-Quantum-Ciphers in der Liste der bevorzugten Ciphers an erster Stelle. Die Voreinstellungsliste enthält jedoch die klassischen, nicht-hybriden Verschlüsselungen, die in der Präferenzreihenfolge aus Gründen der Kompatibilität niedriger sind. Wenn Sie einen HTTP-Client so konfigurieren, dass er Post-Quantum-TLS mit einem AWS KMS FIPS 140-3-validierten Endpunkt bevorzugt, s2n-tls handelt es sich um eine klassische Chiffre für den Schlüsselaustausch ohne Hybrid.

Eine Liste der jeweiligen Endpunkte finden Sie unter AWS KMS Endpunkte und Kontingente in der. AWS-RegionAWS Key Management ServiceAllgemeine Amazon Web Services-Referenz Weitere Informationen über FIPS-Endpunkte finden Sie unter FIPS-Endpunkte in der Allgemeine Amazon Web Services-Referenz.

Weitere Informationen über Post-Quantum-TLS finden Sie unter AWS KMS

Weitere Informationen zur Verwendung von Hybrid-Post-Quantum-TLS finden Sie in AWS KMS den folgenden Ressourcen.