Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Menggunakan TLS pasca-kuantum hibrida dengan AWS KMS TLS pasca-kuantum hibrida AWS Key Management Service (AWS KMS) mendukung opsi pertukaran kunci pasca-kuantum hibrida untuk protokol enkripsi jaringan Transport Layer Security (TLS). Anda dapat menggunakan opsi TLS ini ketika Anda terhubung ke titik akhir API AWS KMS . Fitur pertukaran kunci pasca-kuantum hibrida opsional ini setidaknya seaman enkripsi TLS yang kami gunakan saat ini dan cenderung memberikan manfaat keamanan jangka panjang tambahan. Namun, fitur-fitur tersebut memengaruhi latensi dan throughput dibandingkan dengan protokol pertukaran kunci klasik yang digunakan saat ini. Data yang Anda kirim ke AWS Key Management Service (AWS KMS) dilindungi saat transit oleh enkripsi yang disediakan oleh koneksi Transport Layer Security (TLS). Cipher suite klasik yang didukung AWS KMS untuk sesi TLS membuat serangan brute force pada mekanisme pertukaran kunci yang tidak layak dengan teknologi saat ini. Namun, jika komputasi kuantum skala besar menjadi praktis di masa depan, cipher suite klasik yang digunakan dalam mekanisme pertukaran kunci TLS akan rentan terhadap serangan ini. Jika Anda mengembangkan aplikasi yang mengandalkan kerahasiaan jangka panjang data yang melewati koneksi TLS, Anda harus mempertimbangkan rencana untuk bermigrasi ke kriptografi pasca-kuantum sebelum komputer kuantum skala besar tersedia untuk digunakan. AWS sedang bekerja untuk mempersiapkan masa depan ini, dan kami ingin Anda juga dipersiapkan dengan baik. *Untuk melindungi data yang dienkripsi hari ini terhadap potensi serangan future, AWS berpartisipasi dengan komunitas kriptografi dalam pengembangan algoritma tahan kuantum atau pasca-kuantum.* Kami telah menerapkan suite cipher pertukaran kunci pasca-kuantum *hibrida* AWS KMS yang menggabungkan elemen klasik dan pasca-kuantum untuk memastikan bahwa koneksi TLS Anda setidaknya sekuat dengan suite cipher klasik. [Suite sandi hibrida ini tersedia untuk digunakan pada beban kerja produksi Anda di sebagian besar. Wilayah AWS](#pqtls-regions) Namun, karena karakteristik kinerja dan persyaratan bandwidth suite cipher hybrid berbeda dari mekanisme pertukaran kunci klasik, kami sarankan Anda [mengujinya pada panggilan AWS KMS API Anda](pqtls-how-to.md#pqtls-testing) dalam kondisi yang berbeda. **Umpan Balik** Seperti biasa, kami menyambut baik umpan balik dan partisipasi Anda dalam repositori sumber terbuka kami. Kami terutama ingin mendengar bagaimana infrastruktur Anda berinteraksi dengan varian lalu lintas TLS yang baru ini. + Untuk memberikan umpan balik tentang topik ini, gunakan tautan **Umpan Balik** di sudut kanan atas halaman ini. + Kami sedang mengembangkan suite cipher hybrid ini di open source di [https://github.com/aws/s2n-tls](https://github.com/aws/s2n-tls)repositori di. GitHub Untuk memberikan umpan balik tentang kegunaan rangkaian sandi, atau berbagi kondisi atau hasil pengujian baru, [buat masalah di repositori](https://github.com/aws/s2n-tls/issues). s2n-tls + Kami sedang menulis contoh kode untuk menggunakan TLS pasca-kuantum hibrida dengan AWS KMS di repositori. [https://github.com/aws-samples/aws-kms-pq-tls-example](https://github.com/aws-samples/aws-kms-pq-tls-example) GitHub Untuk mengajukan pertanyaan atau berbagi ide tentang mengonfigurasi klien HTTP atau AWS KMS klien Anda untuk menggunakan suite cipher hybrid, [buat masalah di repositori](https://github.com/aws-samples/aws-kms-pq-tls-example/issues). aws-kms-pq-tls-example **Didukung Wilayah AWS** TLS pasca-kuantum untuk AWS KMS tersedia di semua Wilayah AWS yang AWS KMS mendukung. Untuk daftar AWS KMS titik akhir untuk masing-masing AWS Region, lihat [AWS Key Management Service titik akhir dan kuota](https://docs.aws.amazon.com/general/latest/gr/kms.html) di. *Referensi Umum Amazon Web Services* Untuk informasi tentang titik akhir FIPS, lihat titik akhir [FIPS](https://docs.aws.amazon.com/general/latest/gr/rande.html#FIPS-endpoints) di. *Referensi Umum Amazon Web Services* ## Tentang pertukaran kunci pasca-kuantum hibrida di TLS Tentang TLS pasca-kuantum AWS KMS mendukung suite cipher pertukaran kunci pasca-kuantum hibrida. Anda dapat menggunakan AWS SDK for Java 2.x dan AWS Common Runtime pada sistem Linux untuk mengkonfigurasi klien HTTP yang menggunakan cipher suite ini. Kemudian, setiap kali Anda terhubung ke AWS KMS titik akhir dengan klien HTTP Anda, suite cipher hybrid digunakan. Klien HTTP ini menggunakan [https://github.com/aws/s2n-tls](https://github.com/aws/s2n-tls), yang merupakan implementasi open source dari protokol TLS. Suite cipher hybrid yang s2n-tls menggunakan diimplementasikan hanya untuk pertukaran kunci, bukan untuk enkripsi data langsung. Selama *pertukaran kunci*, klien dan server menghitung kunci yang akan mereka gunakan untuk mengenkripsi dan mendekripsi data pada kabel. [Algoritma yang s2n-tls digunakan adalah *hibrida* yang menggabungkan [Elliptic Curve Diffie-Hellman](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman) (ECDH), algoritma pertukaran kunci klasik yang digunakan saat ini di TLS, dengan [Module-Lattice-Based Key-Encapsulation Mechanism](https://csrc.nist.gov/pubs/fips/203/final) (), enkripsi kunci publik dan algoritma pembentukan kunci yang National Institute for Standards and Technology (NISTML-KEM) telah ditetapkan sebagai algoritma kesepakatan kunci pasca-kuantum standar pertama.](https://csrc.nist.gov/pubs/fips/203/final) Hibrida ini menggunakan masing-masing algoritma secara independen untuk menghasilkan kunci. Selanjutnya menggabungkan dua kunci kriptografi. Dengans2n-tls, Anda dapat [mengonfigurasi klien HTTP](pqtls-how-to.md) untuk memilih TLS pasca-kuantum, yang menempatkan ECDH dengan yang ML-KEM pertama dalam daftar preferensi. Algoritme pertukaran kunci klasik disertakan dalam daftar preferensi untuk memastikan kompatibilitasnya, namun lebih rendah dalam urutan preferensi. ## Menggunakan TLS pasca-kuantum hibrida dengan AWS KMS Cara menggunakannya Anda dapat menggunakan TLS pasca-kuantum hibrida untuk panggilan Anda. AWS KMS Saat menyiapkan lingkungan pengujian klien HTTP Anda, perhatikan informasi berikut: **Enkripsi dalam Transit** Suite cipher hybrid di hanya s2n-tls digunakan untuk enkripsi dalam perjalanan. Mereka melindungi data Anda saat bepergian dari klien Anda ke AWS KMS titik akhir. AWS KMS tidak menggunakan cipher suite ini untuk mengenkripsi data di bawah. AWS KMS keys Sebaliknya, ketika AWS KMS mengenkripsi data Anda di bawah kunci KMS, ia menggunakan kriptografi simetris dengan kunci 256-bit dan Standar Enkripsi Lanjutan dalam algoritma Galois Counter Mode (AES-GCM), yang sudah tahan kuantum. Komputasi kuantum skala besar yang secara teoritis disiapkan untuk menghadapi masa depan akan menyerang ciphertext yang dibuat berdasarkan kunci 256-bit AES-GCM, sehingga [mengurangi keamanan efektif untuk kunci menjadi 128 bit](https://www.etsi.org/images/files/ETSIWhitePapers/QuantumSafeWhitepaper.pdf). Tingkat keamanan ini cukup untuk membuat serangan brute force pada AWS KMS ciphertext tidak layak. **Sistem yang Didukung** Penggunaan suite cipher hybrid di saat s2n-tls ini hanya didukung pada sistem Linux. Selain itu, cipher suite ini didukung hanya dalam SDKs mendukung AWS Common Runtime, seperti. AWS SDK for Java 2.x Sebagai contoh, lihat [Konfigurasikan TLS pasca-kuantum hibrida](pqtls-how-to.md). **AWS KMS Titik akhir** AWS KMS mendukung TLS pasca-kuantum hibrida pada semua titik akhir termasuk titik akhir yang divalidasi [FIPS](https://docs.aws.amazon.com/general/latest/gr/kms.html) 140-3. # Konfigurasikan TLS pasca-kuantum hibrida Dalam prosedur ini, tambahkan dependensi Maven untuk AWS Common Runtime HTTP Client. Selanjutnya, konfigurasikan klien HTTP yang lebih memilih TLS pasca-kuantum. Kemudian, buat AWS KMS klien yang menggunakan klien HTTP. Untuk melihat contoh kerja lengkap tentang mengonfigurasi dan menggunakan TLS pasca-kuantum hibrida dengan AWS KMS, lihat repositori. [https://github.com/aws-samples/aws-kms-pq-tls-example](https://github.com/aws-samples/aws-kms-pq-tls-example) **catatan** Klien HTTP Runtime AWS Umum, yang telah tersedia sebagai pratinjau, tersedia secara umum pada Februari 2023. Dalam rilis itu, `tlsCipherPreference` kelas dan parameter `tlsCipherPreference()` metode digantikan oleh parameter `postQuantumTlsEnabled()` metode. Jika Anda menggunakan contoh ini selama pratinjau, Anda perlu memperbarui kode Anda. 1. Tambahkan klien AWS Common Runtime ke dependensi Maven Anda. Sebaiknya gunakan versi terbaru yang tersedia. Misalnya, pernyataan ini menambahkan versi `2.30.22` klien AWS Common Runtime ke dependensi Maven Anda. ``` software.amazon.awssdk aws-crt-client 2.30.22 ``` 1. Untuk mengaktifkan suite sandi pasca-kuantum hibrida, tambahkan AWS SDK for Java 2.x ke proyek Anda dan inisialisasi. Kemudian aktifkan suite sandi pasca-kuantum hibrida pada klien HTTP Anda seperti yang ditunjukkan pada contoh berikut. Kode ini menggunakan parameter `postQuantumTlsEnabled()` metode untuk mengonfigurasi [klien HTTP runtime AWS umum](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/http-configuration-crt.html) yang lebih menyukai rangkaian sandi pasca-kuantum hibrida yang direkomendasikan, ECDH dengan. ML-KEM Kemudian menggunakan klien HTTP yang dikonfigurasi untuk membangun instance klien AWS KMS asinkron,. [https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/kms/KmsAsyncClient.html](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/kms/KmsAsyncClient.html) Setelah kode ini selesai, semua permintaan [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) pada `KmsAsyncClient` instance menggunakan TLS pasca-kuantum hibrida. ``` // Configure HTTP client SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder() .postQuantumTlsEnabled(true) .build(); // Create the AWS KMS async client KmsAsyncClient kmsAsync = KmsAsyncClient.builder() .httpClient(awsCrtHttpClient) .build(); ``` 1. Uji AWS KMS panggilan Anda dengan TLS pasca-kuantum hibrida. Saat Anda memanggil operasi AWS KMS API pada AWS KMS klien yang dikonfigurasi, panggilan Anda ditransmisikan ke AWS KMS titik akhir menggunakan TLS pasca-kuantum hibrida. Untuk menguji konfigurasi Anda, panggil AWS KMS API, seperti`[ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)`. ``` ListKeysReponse keys = kmsAsync.listKeys().get(); ``` ## Uji konfigurasi TLS pasca-kuantum hibrida Anda Bagaimana cara mengujinya Pertimbangkan untuk menjalankan pengujian berikut dengan suite cipher hybrid pada aplikasi Anda yang memanggil. AWS KMS + Lihat `tlsDetails` bagian dalam entri CloudTrail log untuk panggilan AWS KMS API yang dibuat oleh aplikasi Anda. `keyExchange`Bidang harus menyebutkan algoritma hybrid seperti`X25519MLKEM768`. Sebagai contoh, lihat [Dekripsi dengan kunci enkripsi simetris standar melalui koneksi TLS pasca-kuantum](ct-decrypt.md#ct-decrypt-default-pqtls). + Jalankan tolok ukur menggunakan TLS pasca-kuantum hibrida. Pertukaran kunci hibrida meningkatkan ukuran dan waktu pemrosesan beberapa pesan dalam jabat tangan TLS, tetapi dampak kinerja keseluruhan seharusnya tidak terlihat dalam banyak kasus. + Coba hubungkan dari lokasi yang berbeda. Bergantung pada jalur jaringan yang diambil permintaan Anda, Anda mungkin menemukan bahwa host perantara lama, proxy, atau firewall dengan inspeksi paket mendalam (DPI) memblokir permintaan tersebut. Ini mungkin hasil dari menggunakan grup pertukaran kunci baru di [ClientHello](https://datatracker.ietf.org/doc/html/rfc8446#section-4.1.2)bagian jabat tangan TLS, atau dari pesan pertukaran kunci yang lebih besar. Jika Anda mengalami masalah dalam menyelesaikan masalah ini, bekerjalah dengan tim keamanan atau administrator TI Anda untuk memperbarui konfigurasi yang relevan dan membuka blokir grup pertukaran kunci TLS yang baru. ## Pelajari lebih lanjut tentang TLS pasca-kuantum di AWS KMS Pelajari selengkapnya Untuk informasi lebih lanjut tentang penggunaan TLS pasca-kuantum hibrida di AWS KMS, lihat sumber daya berikut. + Untuk mempelajari tentang kriptografi pasca-kuantum di AWS, termasuk tautan ke posting blog dan makalah penelitian, lihat Kriptografi [Pasca-Kuantum](https://aws.amazon.com/security/post-quantum-cryptography/). + Untuk selengkapnyas2n-tls, lihat [Memperkenalkans2n-tls, Implementasi dan [Penggunaan s2n-tls](https://github.com/aws/s2n-tls/tree/main/docs/usage-guide) TLS Open Source Baru](https://aws.amazon.com/blogs/security/introducing-s2n-a-new-open-source-tls-implementation/). + *Untuk informasi tentang Klien HTTP Runtime AWS Umum, lihat [Mengonfigurasi klien HTTP AWS berbasis CRT](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/http-configuration-crt.html) di Panduan Pengembang.AWS SDK for Java 2.x * + Untuk informasi tentang proyek kriptografi pasca-kuantum di National Institute for Standards and Technology (NIST), lihat [Kriptografi Pasca Kuantum](https://csrc.nist.gov/Projects/Post-Quantum-Cryptography). + [Untuk informasi tentang standardisasi kriptografi pasca-kuantum NIST, lihat Standardisasi Kriptografi Pasca-Kuantum.](https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization)