Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de TLS poscuántico híbrido con AWS KMS
AWS Key Management Service (AWS KMS) admite una opción híbrida de intercambio de claves poscuántico para el protocolo de cifrado de red Transport Layer Security (TLS). Puede utilizar esta opción de TLS cuando se conecte a los puntos de conexión de la API de AWS KMS . Estas características opcionales de intercambio híbrido postcuántico de claves son al menos tan seguras como el cifrado TLS que utilizamos hoy en día y es muy probable que aporten beneficios de seguridad adicionales. Sin embargo, afectan a la latencia y a la velocidad si las comparamos con los protocolos clásicos de intercambio de claves que se utilizan hoy en día.
Los datos que envíes a AWS Key Management Service (AWS KMS) están protegidos en tránsito mediante el cifrado que proporciona una conexión de Transport Layer Security (TLS). Los conjuntos de cifrado clásicos que AWS KMS admite para las sesiones de TLS convierten en inviables los ataques de fuerza bruta en los mecanismos de intercambio de claves con la tecnología actual. Sin embargo, si la informática cuántica a gran escala tiene efectos prácticos en el futuro, los conjuntos de cifrado clásicos utilizados en los mecanismos de intercambio de claves TLS serán susceptibles a estos ataques. Si está desarrollando aplicaciones que se basan en la confidencialidad a largo plazo de los datos que se transmiten a través de una conexión TLS, debería plantearse un plan para migrar a la criptografía poscuántica antes de que se puedan utilizar ordenadores cuánticos a gran escala. AWS está trabajando para prepararse para este futuro y queremos que usted también esté bien preparado.
Para proteger los datos cifrados hoy contra posibles ataques futuros, AWS participa con la comunidad criptográfica en el desarrollo de algoritmos cuánticos resistentes o poscuánticos. Hemos implementado conjuntos de cifrado híbridos de intercambio de claves poscuántico AWS KMS que combinan elementos clásicos y poscuánticos para garantizar que su conexión TLS sea al menos tan sólida como lo sería con los conjuntos de cifrado clásicos.
En la mayoría de los casos, estos conjuntos de cifrado híbridos están disponibles para su uso en sus cargas de trabajo de producción. Regiones de AWS Sin embargo, dado que las características de rendimiento y los requisitos de ancho de banda de los conjuntos de cifrado híbridos son diferentes de los de los mecanismos de intercambio de claves clásicos, le recomendamos que los pruebe en sus llamadas a la AWS KMS API en diferentes condiciones.
Comentarios
Como siempre, agradecemos sus comentarios y su participación en nuestros repositorios de código abierto. Nos gustaría especialmente saber cómo interactúa su infraestructura con esta nueva variante del tráfico TLS.
-
Para proporcionar comentarios sobre este tema, utilice el enlace Feedback (Comentarios) situado en la esquina superior derecha de esta página.
-
Estamos desarrollando estos conjuntos de cifrado híbridos en código abierto en el s2n-tls
repositorio de. GitHub Para proporcionar comentarios sobre la usabilidad de los conjuntos de cifrado, o para compartir nuevas condiciones o resultados de pruebas, abra una incidencia en el repositorio s2n-tls. -
Estamos escribiendo ejemplos de código para usar el TLS poscuántico híbrido AWS KMS en el repositorio. aws-kms-pq-tls-example
GitHub Para hacer preguntas o compartir ideas sobre la configuración de su cliente HTTP o AWS KMS cliente para que utilice los conjuntos de cifrado híbridos, cree una edición en el repositorio. aws-kms-pq-tls-example
Compatible Regiones de AWS
Post-Quantum TLS for AWS KMS está disponible en todos los dispositivos Regiones de AWS compatibles AWS KMS .
Para obtener una lista de los AWS KMS puntos finales de cada uno Región de AWS, consulte los AWS Key Management Service puntos finales y las cuotas en. Referencia general de Amazon Web Services Para obtener más información acerca de los puntos de conexión FIPS, consulte FIPS endpoints en la Referencia general de Amazon Web Services.
Acerca del intercambio de claves postcuántico híbrido en TLS
AWS KMS admite conjuntos de cifrado híbridos de intercambio de claves poscuánticas. Puede utilizar Common Runtime AWS SDK for Java 2.x y AWS Common Runtime en sistemas Linux para configurar un cliente HTTP que utilice estos conjuntos de cifrado. A continuación, siempre que se conecte a un AWS KMS punto final con su cliente HTTP, se utilizarán los conjuntos de cifrado híbridos.
Este cliente HTTP utiliza s2n-tls
Los algoritmos que se s2n-tls utilizan son un híbrido que combina Elliptic Curve Diffie-Hellman
Utiliza un TLS poscuántico híbrido con AWS KMS
Puede utilizar un TLS poscuántico híbrido para sus llamadas a. AWS KMS Cuando configure el entorno de prueba del cliente HTTP, tenga en cuenta la siguiente información:
Cifrado en tránsito
Los conjuntos de cifrado híbridos de s2n-tls se utilizan únicamente para el cifrado en tránsito. Protegen sus datos mientras viajan del cliente al punto final AWS KMS . AWS KMS no utiliza estos conjuntos de cifrado para cifrar los datos. AWS KMS keys
En cambio, cuando AWS KMS cifra los datos con claves KMS, utiliza criptografía simétrica con claves de 256 bits y el algoritmo AES-GCM (estándar de cifrado avanzado en modo contador de Galois), que ya es resistente a la tecnología cuántica. Los futuros e hipotéticos ataques de informática cuántica a gran escala a textos cifrados creados con claves AES-GCM de 256 bits reducen la seguridad nominal de la clave a 128 bits
Sistemas compatibles
El uso de los conjuntos de cifrado híbridos de s2n-tls solo es compatible actualmente con sistemas Linux. Además, estos conjuntos de cifrado solo son compatibles con AWS Common Runtime, como el. SDKs AWS SDK for Java 2.x Para ver un ejemplo, consulta Configuración del cifrado TLS postcuántico híbrido.
AWS KMS Puntos de conexión
Cuando utilice los conjuntos de cifrado híbridos, utilice el punto final estándar AWS KMS . AWS KMS no admite el TLS poscuántico híbrido para los puntos finales validados por el FIPS 140-3.
Cuando configura un cliente HTTP con la preferencia de conexiones de TLS postcuántico en s2n-tls, los mecanismos de cifrado postcuántico son los primeros en la lista de preferencias de cifrado. Sin embargo, la lista de preferencias incluye los cifrados clásicos no híbridos en una posición inferior en el orden de prioridad por motivos de compatibilidad. Cuando configura un cliente HTTP para que prefiera el TLS poscuántico con un punto final validado por el AWS KMS FIPS 140-3, s2n-tls negocia un cifrado de intercambio de claves clásico y no híbrido.
Para obtener una lista de los AWS KMS puntos finales de cada uno Región de AWS, consulte los puntos finales y las cuotas en.AWS Key Management ServiceReferencia general de Amazon Web Services Para obtener más información acerca de los puntos de conexión FIPS, consulte FIPS endpoints en la Referencia general de Amazon Web Services.
Obtenga más información sobre el TLS poscuántico en AWS KMS
Para obtener más información sobre el uso del TLS poscuántico híbrido en AWS KMS, consulta los siguientes recursos.
-
Para obtener información acerca de s2n-tls, consulte Presentación de s2n-tls, una nueva implementación de TLS de código abierto
y Uso de s2n-tls . -
Para obtener información sobre el cliente HTTP de AWS Common Runtime, consulte Configuración del cliente HTTP AWS basado en CRT en la Guía para desarrolladores.AWS SDK for Java 2.x
-
Para obtener información sobre el proyecto de criptografía postcuántica del Instituto Nacional de Estándares y Tecnología (NIST), consulte Post-Quantum Cryptography
. -
Para obtener información sobre la estandarización de la criptografía poscuántica del NIST, consulte Estandarización de la criptografía poscuántica
.
