Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo del TLS post-quantistico ibrido con AWS KMS

AWS Key Management Service (AWS KMS) supporta un'opzione ibrida di scambio di chiavi post-quantistiche per il protocollo di crittografia di rete Transport Layer Security (TLS). È possibile utilizzare questa opzione TLS quando ci si connette agli endpoint API AWS KMS . Queste caratteristiche opzionali di scambio di chiavi post-quantistiche ibride sono sicure almeno quanto la crittografia TLS che utilizziamo oggi e potrebbero fornire ulteriori vantaggi per la sicurezza a lungo termine. Tuttavia, influenzano la latenza e il throughput rispetto ai protocolli di scambio di chiavi classici in uso oggi.

I dati inviati a AWS Key Management Service (AWS KMS) sono protetti in transito dalla crittografia fornita da una connessione Transport Layer Security (TLS). Le classiche suite di crittografia supportate da AWS KMS per le sessioni TLS rendono gli attacchi di forza bruta sui meccanismi di scambio delle chiavi irrealizzabili con la tecnologia attuale. Tuttavia, se il calcolo quantistico su larga scala diventa una realtà in futuro, le classiche suite di crittografia utilizzate nei meccanismi di scambio delle chiavi TLS saranno suscettibili a questi attacchi. Se stai sviluppando applicazioni che si basano sulla riservatezza a lungo termine dei dati trasmessi tramite una connessione TLS, dovresti prendere in considerazione un piano per migrare alla crittografia post-quantistica prima che i computer quantistici su larga scala diventino disponibili per l'uso. AWS sta lavorando per prepararsi a questo futuro e vogliamo che anche voi siate ben preparati.

Per proteggere i dati crittografati oggi da potenziali attacchi futuri, AWS partecipa con la comunità crittografica allo sviluppo di algoritmi quantistici resistenti o post-quantistici. Abbiamo implementato suite di crittografia ibride post-quantistiche a scambio di chiavi AWS KMS che combinano elementi classici e post-quantistici per garantire che la connessione TLS sia almeno altrettanto potente come lo sarebbe con le suite di crittografia classiche.

Queste suite di crittografia ibride sono disponibili per l'uso sui carichi di lavoro di produzione nella maggior parte dei casi. Regioni AWS Tuttavia, poiché le caratteristiche prestazionali e i requisiti di larghezza di banda delle suite di crittografia ibride sono diversi da quelli dei classici meccanismi di scambio di chiavi, consigliamo di testarli sulle chiamate API in condizioni diverse. AWS KMS

Feedback

Come sempre, la tua opinione e la partecipazione nei nostri repository open source è molto importante. Vorremmo soprattutto sapere come la tua infrastruttura interagisce con questa nuova variante del traffico TLS.

Supportato Regioni AWS

Post-quantum TLS for AWS KMS è disponibile in tutti i Regioni AWS supporti. AWS KMS

Per un elenco di AWS KMS endpoint per ciascuno Regione AWS, consulta AWS Key Management Service endpoint e quote in. Riferimenti generali di Amazon Web Services Per ulteriori informazioni sugli endpoint FIPS, consulta Endpoint FIPS nella Riferimenti generali di Amazon Web Services.

Informazioni sullo scambio di chiavi post-quantistiche ibride in TLS

AWS KMS supporta suite di cifratura ibride post-quantistiche a scambio di chiavi. È possibile utilizzare AWS SDK for Java 2.x e AWS Common Runtime sui sistemi Linux per configurare un client HTTP che utilizza queste suite di crittografia. Quindi, ogni volta che ci si connette a un AWS KMS endpoint con il client HTTP, vengono utilizzate le suite di crittografia ibride.

Questo client HTTP utilizza s2n-tls, che è un'implementazione open source del protocollo TLS. Le suite di crittografia ibride utilizzate da s2n-tls sono implementate solo per lo scambio di chiavi, non per la crittografia dei dati diretta. Durante lo scambio di chiavi, il client e il server calcolano la chiave che utilizzeranno per crittografare e decrittografare i dati in rete.

Gli algoritmi s2n-tls utilizzati sono un ibrido che combina Elliptic Curve Diffie-Hellman (ECDH), un classico algoritmo di scambio di chiavi utilizzato oggi in TLS, con il meccanismo di incapsulamento delle chiavi basato su Module-Lattice (ML-KEM), un algoritmo di crittografia e definizione delle chiavi a chiave pubblica che il National Institute for Standards and Technology (NIST) ha designato come primo algoritmo di accordo di chiavi post-quantistiche standard. Questo algoritmo ibrido utilizza ciascuno degli algoritmi in modo indipendente per generare una chiave. Quindi combina crittograficamente le due chiavi. Con s2n-tls, puoi configurare un client HTTP con una preferenza per il protocollo TLS post-quantistico, che inserisce ECDH con ML-KEM in prima posizione nell'elenco delle preferenze. Gli algoritmi di scambio di chiavi classici sono inclusi nell'elenco delle preferenze per garantire la compatibilità, ma sono inferiori nell'ordine delle preferenze.

Utilizzo del TLS post-quantistico ibrido con AWS KMS

Puoi utilizzare il TLS post-quantistico ibrido per le tue chiamate a. AWS KMS Quando si configura l'ambiente di test del client HTTP, tenere presente le seguenti informazioni:

Crittografia in transito

Le suite di crittografia ibrida in s2n-tls vengono utilizzate solo per la crittografia in transito. Proteggono i tuoi dati mentre viaggiano dal client all'endpoint. AWS KMS AWS KMS non utilizza queste suite di crittografia per crittografare i dati con. AWS KMS keys

Invece, quando AWS KMS crittografa i dati con chiavi KMS, utilizza la crittografia simmetrica con chiavi a 256 bit e l'algoritmo Advanced Encryption Standard in Galois Counter Mode (AES-GCM), che è già resistente ai calcoli quantistici. Attacchi teorici futuri di calcolo quantistico su larga scala su testi cifrati creati con chiavi AES-GCM a 256 bit riducono l'effettiva sicurezza della chiave a 128 bit. Questo livello di sicurezza è sufficiente a rendere impossibili gli attacchi di forza bruta ai testi cifrati. AWS KMS

Sistemi supportati

L'uso delle suite di crittografia ibride in s2n-tls al momento è supportato solo su sistemi Linux. Inoltre, queste suite di crittografia sono supportate solo se supportano Common Runtime, SDKs ad esempio. AWS AWS SDK for Java 2.x Per vedere un esempio, consulta Configura TLS post-quantistico ibrido.

AWS KMS Endpoints

Quando si utilizzano le suite di crittografia ibride, utilizzare l'endpoint standard. AWS KMS AWS KMS non supporta il TLS ibrido post-quantistico per endpoint convalidati FIPS 140-3.

Quando configuri un client HTTP con preferenza per le connessioni TLS post-quantistiche con s2n-tls, le crittografie post-quantistiche sono al primo posto nell'elenco delle preferenze di crittografia. Tuttavia, l'elenco delle preferenze include le crittografie classiche non ibride in posizioni inferiori nell'ordine di preferenza per la compatibilità. Quando si configura un client HTTP per preferire il TLS post-quantistico con un endpoint convalidato AWS KMS FIPS 140-3, negozia un cifrario di scambio di chiavi classico non ibrido. s2n-tls

Per un elenco di endpoint per ciascuno, consulta endpoint e quote AWS KMS in. Regione AWSAWS Key Management ServiceRiferimenti generali di Amazon Web Services Per ulteriori informazioni sugli endpoint FIPS, consulta Endpoint FIPS nella Riferimenti generali di Amazon Web Services.

Scopri di più sul TLS post-quantistico in AWS KMS

Per ulteriori informazioni sull'utilizzo del TLS ibrido post-quantistico in AWS KMS, consulta le seguenti risorse.