Mengkonfigurasi TLS pasca-kuantum hibrida untuk klien Anda - Amazon Simple Storage Service
Contoh konfigurasi klien: AWS SDK for Java 2

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi TLS pasca-kuantum hibrida untuk klien Anda

Untuk menggunakan PQ-TLS dengan Amazon S3, Anda perlu mengonfigurasi klien Anda untuk mendukung algoritma pertukaran kunci pasca-kuantum. Juga pastikan bahwa klien Anda mendukung pendekatan hibrida, yang menggabungkan kriptografi kurva elips tradisional dengan algoritma pasca-kuantum seperti ML-KEM (Mekanisme Enkapsulasi Kunci). Module-Lattice-Based

Konfigurasi spesifik tergantung pada pustaka klien dan bahasa pemrograman Anda. Untuk informasi lebih lanjut, lihat Mengaktifkan TLS pasca-kuantum hibrida.

Contoh konfigurasi klien: AWS SDK for Java 2

Dalam prosedur ini, tambahkan dependensi Maven untuk AWS Common Runtime HTTP Client. Selanjutnya, konfigurasikan klien HTTP yang lebih memilih TLS pasca-kuantum. Kemudian, buat klien Amazon S3 yang menggunakan klien HTTP.

catatan

Klien HTTP Runtime AWS Umum, yang telah tersedia sebagai pratinjau, tersedia secara umum pada Februari 2023. Dalam rilis itu, tlsCipherPreference kelas dan parameter tlsCipherPreference() metode digantikan oleh parameter postQuantumTlsEnabled() metode. Jika Anda menggunakan contoh ini selama pratinjau, Anda perlu memperbarui kode Anda.

  1. Tambahkan klien AWS Common Runtime ke dependensi Maven Anda. Sebaiknya gunakan versi terbaru yang tersedia.

    Misalnya, pernyataan ini menambahkan versi 2.30.22 klien AWS Common Runtime ke dependensi Maven Anda. 

    <dependency>
    <groupId>software.amazon.awssdk</groupId>
    <artifactId>aws-crt-client</artifactId>
    <version>2.30.22</version>
</dependency>

  2. Untuk mengaktifkan suite sandi pasca-kuantum hibrida, tambahkan AWS SDK for Java 2.x ke proyek Anda dan inisialisasi. Kemudian aktifkan suite sandi pasca-kuantum hibrida pada klien HTTP Anda seperti yang ditunjukkan pada contoh berikut.

    Kode ini menggunakan parameter postQuantumTlsEnabled() metode untuk mengonfigurasi klien HTTP runtime AWS umum yang lebih menyukai rangkaian sandi pasca-kuantum hibrida yang direkomendasikan, ECDH dengan. ML-KEM Kemudian menggunakan klien HTTP yang dikonfigurasi untuk membangun instance klien asinkron Amazon S3,. S3AsyncClient Setelah kode ini selesai, semua permintaan API Amazon S3 pada instance menggunakan TLS S3AsyncClient pasca-kuantum hibrida.

    penting

    Mulai v2.35.11, penelepon tidak perlu lagi mengatur untuk mengaktifkan TLS pasca-kuantum hibrida .postQuantumTlsEnabled(true) untuk klien Anda. Semua versi yang lebih baru dari v2.35.11 mengaktifkan TLS pasca-kuantum secara default.

    // Configure HTTP client
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
          .postQuantumTlsEnabled(true)
          .build();

// Create the Amazon S3 async client
S3AsyncClient s3Async = S3AsyncClient.builder()
         .httpClient(awsCrtHttpClient)
         .build();

  3. Uji panggilan Amazon S3 Anda dengan TLS pasca-kuantum hibrida.

    Saat Anda memanggil operasi API Amazon S3 pada klien Amazon S3 yang dikonfigurasi, panggilan Anda ditransmisikan ke titik akhir Amazon S3 menggunakan TLS pasca-kuantum hibrida. Untuk menguji konfigurasi Anda, panggil Amazon S3 API, seperti. ListBuckets

    ListBucketsResponse reponse = s3Async.listBuckets();

Uji konfigurasi TLS pasca-kuantum hibrida Anda

Pertimbangkan untuk menjalankan pengujian berikut dengan rangkaian cipher hybrid pada aplikasi Anda yang memanggil Amazon S3.

  • Jalankan uji beban dan tolok ukur. Cipher suite hibrida melakukan secara berbeda dari algoritme pertukaran kunci tradisional. Anda mungkin perlu menyesuaikan batas waktu koneksi untuk memungkinkan waktu handshake yang lebih lama. Jika Anda menjalankan di dalam suatu AWS Lambda fungsi, perpanjang pengaturan batas waktu eksekusi.

  • Coba hubungkan dari lokasi yang berbeda. Tergantung jalur jaringan yang dibutuhkan permintaannya, Anda mungkin menemukan bahwa host perantara, proksi, atau firewall dengan deep packet inspection (DPI) memblokir permintaan. Ini mungkin hasil dari penggunaan cipher suite baru di ClientHellobagian jabat tangan TLS, atau dari pesan pertukaran kunci yang lebih besar. Jika Anda terkendala saat menyelesaikan masalah ini, tanyakan kepada tim keamanan atau administrator IT Anda untuk memperbarui konfigurasi yang relevan dan membuka blokir rangkaian penyandian TLS baru.