ハイブリッドポスト量子 TLS の使用

AWS Payment Cryptography およびその他の多くのサービスは、Transport Layer Security (TLS) ネットワーク暗号化プロトコルのハイブリッドポスト量子キー交換オプションをサポートしています。この TLS オプションは、API エンドポイントに接続するとき、または AWS SDKs を使用するときに使用できます。これらのオプションのハイブリッドポスト量子キー交換機能は、現在使用している TLS 暗号化と同等以上に安全であり、セキュリティ上のさらなる長期的な利点をもたらす可能性があります。

有効なサービスに送信するデータは、Transport Layer Security (TLS) 接続によって提供される暗号化によって転送中に保護されます。 AWS Payment Cryptography が TLS セッションでサポートする RSA と ECC に基づく従来の暗号スイートは、現在のテクノロジーではキー交換メカニズムに対するブルートフォース攻撃を実行不可能にします。ただし、大規模または暗号に関連する量子コンピュータ (CRQC) が将来実用的になった場合、既存の TLS キー交換メカニズムはこれらの攻撃の影響を受けやすくなります。攻撃者は、今後復号化できることを期待して、暗号化されたデータの収集を開始する可能性があります (今すぐ収集し、後で復号化します）。TLS 接続を介して渡されるデータの長期的な機密性に依存するアプリケーションを開発している場合は、大規模な量子コンピュータが使用できるようになる前に、ポスト量子暗号化に移行する計画を検討する必要があります。 AWS は、この未来に備えており、準備も万全にしておく必要があります。

現在暗号化されているデータを潜在的な将来の攻撃から保護するために、 AWS は量子耐性アルゴリズムまたはポスト量子アルゴリズムの開発に暗号コミュニティに参加しています。 AWS は、クラシック要素とポスト量子要素を組み合わせたハイブリッドポスト量子キー交換暗号スイートを実装し、TLS 接続がクラシック暗号スイートと同等以上に強力であることを確認します。

これらのハイブリッド暗号スイートは、最新バージョンの AWS SDKs を使用する場合に、本稼働ワークロードで使用できます。この動作を有効/無効にする方法の詳細については、「」を参照してください。 ハイブリッドポスト量子 TLS の有効化

TLS におけるハイブリッドポスト量子キー交換について

が AWS 使用するアルゴリズムは、TLS で現在使用されている従来のキー交換アルゴリズムである Elliptic Curve Diffie-Hellman (ECDHML-KEM) と、米国国立標準技術研究所 (NIST) が最初の標準ポスト量子キーアグリーメントアルゴリズムとして指定したパブリックキー暗号化およびキー確立アルゴリズムである Module-Lattice-Based Key-Encapsulation Mechanism () を組み合わせたハイブリッドです。このメカニズムは、各アルゴリズムを独立して使用してキーを生成します。次に、2つのキーを暗号的に組み合わせます。

PQC の詳細

米国国立標準技術研究所 (NIST) のポスト量子暗号プロジェクトの詳細については、「Post-Quantum Cryptography」(ポスト量子暗号化) を参照してください。

NIST ポスト量子暗号標準化については、「Post-Quantum Cryptography Standardization」(ポスト量子暗号標準化) を参照してください。