Configuración del cifrado TLS postcuántico híbrido - AWS Key Management Service
Cómo probarlo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del cifrado TLS postcuántico híbrido

En este procedimiento, agregue una dependencia de Maven para el cliente HTTP de Common Runtime. AWS A continuación, configure un cliente HTTP que prefiera el TLS postcuántico. A continuación, cree un AWS KMS cliente que utilice el cliente HTTP.

Para ver ejemplos completos y funcionales de cómo configurar y usar el cifrado TLS híbrido postcuántico con AWS KMS, consulte el repositorio aws-kms-pq-tls-example.

nota

El cliente HTTP AWS Common Runtime, que estaba disponible como versión preliminar, comenzó a estar disponible para el público en general en febrero de 2023. En esa versión, la clase tlsCipherPreference y el parámetro del método tlsCipherPreference() se sustituyen por el parámetro del método postQuantumTlsEnabled(). Si utilizó este ejemplo durante la vista previa, debe actualizar el código.

  1. Agregue el cliente AWS Common Runtime a sus dependencias de Maven. Le recomendamos que utilice la última versión disponible.

    Por ejemplo, esta instrucción agrega la versión 2.30.22 del cliente AWS Common Runtime a sus dependencias de Maven. 

    <dependency>
    <groupId>software.amazon.awssdk</groupId>
    <artifactId>aws-crt-client</artifactId>
    <version>2.30.22</version>
</dependency>

  2. Para habilitar las suites de cifrado poscuántico híbridas, agréguelas AWS SDK for Java 2.x a su proyecto e inicialícelas. Luego habilite los conjuntos de cifrado postcuántico híbrido en su cliente HTTP como se muestra en el siguiente ejemplo.

    Este código usa el parámetro del método postQuantumTlsEnabled() para configurar un cliente HTTP de AWS en tiempo de ejecución común que prefiera el conjunto de cifrado poscuántico híbrido recomendado, ECDH con ML-KEM. A continuación, utiliza el cliente HTTP configurado para crear una instancia del cliente AWS KMS asíncrono,. KmsAsyncClient Cuando se complete este código, todas las solicitudes de la API de AWS KMS de la instancia KmsAsyncClient utilizarán un TLS poscuántico híbrido.

    // Configure HTTP client
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
          .postQuantumTlsEnabled(true)
          .build();

// Create the AWS KMS async client
KmsAsyncClient kmsAsync = KmsAsyncClient.builder()
         .httpClient(awsCrtHttpClient)
         .build();

  3. Pon a prueba tus AWS KMS llamadas con un TLS poscuántico híbrido.

    Cuando llamas a las operaciones de la AWS KMS API en el AWS KMS cliente configurado, tus llamadas se transmiten al AWS KMS punto final mediante un TLS poscuántico híbrido. Para probar la configuración, llama a una AWS KMS API, como. ListKeys

    ListKeysReponse keys = kmsAsync.listKeys().get();

Prueba de su configuración de TLS postcuántico híbrido

Considere la posibilidad de ejecutar las siguientes pruebas con conjuntos de cifrado híbridos en las aplicaciones que AWS KMS llamen.

  • Consulta la tlsDetails sección de la entrada de CloudTrail registro para ver una llamada a la AWS KMS API realizada por tu aplicación. El keyExchange campo debe mencionar un algoritmo híbrido, comoX25519MLKEM768. Para ver un ejemplo, consulta Descifra con una clave de cifrado simétrica estándar a través de una conexión TLS poscuántica.

  • Realice pruebas comparativas utilizando un TLS poscuántico híbrido. El intercambio de claves híbridas aumenta el tamaño y el tiempo de procesamiento de algunos mensajes en el protocolo de enlace TLS, pero el impacto general en el rendimiento debería ser imperceptible en la mayoría de los casos.

  • Intente conectarse desde diferentes ubicaciones. Según la ruta de red que utilice su solicitud, es posible que descubra que los servidores intermedios, proxies o firewalls antiguos con inspección profunda de paquetes (DPI) bloquean la solicitud. Esto puede deberse al uso de los nuevos grupos de intercambio de claves como ClientHelloparte del protocolo de enlace TLS o a los mensajes de intercambio de claves más grandes. Si tiene problemas para resolver estos problemas, colabore con su equipo de seguridad o con los administradores de TI para actualizar la configuración correspondiente y desbloquear los nuevos grupos de intercambio de claves TLS.