하이브리드 포스트 퀀텀 TLS 구성 - AWS Key Management Service
테스트 방법

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

하이브리드 포스트 퀀텀 TLS 구성

이 절차에서는 AWS 공통 런타임 HTTP 클라이언트에 대한 Maven 종속성을 추가합니다. 다음으로 포스트 양자 TLS를 선호하는 HTTP 클라이언트를 구성하세요. 그런 다음 HTTP AWS KMS 클라이언트를 사용하는 클라이언트를 생성합니다.

AWS KMS에서 하이브리드 포스트 양자 TLS를 구성하고 사용하는 방법의 전체 작업 예시를 보려면 aws-kms-pq-tls-example 리포지토리를 참조하세요.

참고

미리 보기로 사용 가능한 AWS 공통 런타임 HTTP 클라이언트는 2023년 2월에 정식 출시되었습니다. 해당 릴리스에서는 tlsCipherPreference 클래스와tlsCipherPreference() 메서드 파라미터가 postQuantumTlsEnabled() 메서드 파라미터로 대체되었습니다. 평가판 사용 중에 이 예제를 사용했다면 코드를 업데이트해야 합니다.

  1. Maven 종속성에 AWS 공통 런타임 클라이언트를 추가합니다. 사용 가능한 최신 버전을 사용하는 것이 좋습니다.

    예를 들어이 문은 Maven 종속성에 AWS 공통 런타임 클라이언트 2.30.22 버전을 추가합니다.

    <dependency>
    <groupId>software.amazon.awssdk</groupId>
    <artifactId>aws-crt-client</artifactId>
    <version>2.30.22</version>
</dependency>

  2. 하이브리드 포스트 양자 암호 제품군을 활성화하려면 프로젝트에 AWS SDK for Java 2.x 를 추가하고 초기화합니다. 이어서 다음 예제와 같이 HTTP 클라이언트에서 하이브리드 포스트 양자 암호 제품군을 활성화합니다.

    이 코드는 postQuantumTlsEnabled() 메서드 파라미터를 사용하여 권장되는 하이브리드 양자 내성 암호 제품군인 ML-KEM가 포함된 ECDH를 선호하는 AWS 공용 런타임 HTTP 클라이언트를 구성합니다. 그런 다음 구성된 HTTP 클라이언트를 사용하여 AWS KMS 비동기 클라이언트의 인스턴스를 빌드합니다KmsAsyncClient. 이 코드가 완료된 후에 KmsAsyncClient 인스턴스의 모든 AWS KMS API 요청은 하이브리드 포스트 양자 TLS를 사용합니다.

    // Configure HTTP client
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
          .postQuantumTlsEnabled(true)
          .build();

// Create the AWS KMS async client
KmsAsyncClient kmsAsync = KmsAsyncClient.builder()
         .httpClient(awsCrtHttpClient)
         .build();

  3. 하이브리드 포스트 양자 TLS를 사용하여 AWS KMS 호출을 테스트합니다.

    구성된 AWS KMS 클라이언트에서 AWS KMS API 작업을 호출하면 하이브리드 포스트 양자 TLS를 사용하여 AWS KMS 엔드포인트로 호출이 전송됩니다. 구성을 테스트하려면와 같은 AWS KMS API를 호출합니다ListKeys.

    ListKeysReponse keys = kmsAsync.listKeys().get();

하이브리드 포스트 퀀텀 TLS 구성 테스트

를 호출하는 애플리케이션에서 하이브리드 암호 제품군을 사용하여 다음 테스트를 실행하는 것이 좋습니다 AWS KMS.

  • 애플리케이션에서 수행한 AWS KMS API 호출에 대한 CloudTrail 로그 항목의 tlsDetails 섹션을 봅니다. keyExchange 필드는와 같은 하이브리드 알고리즘을 언급해야 합니다X25519MLKEM768. 예제는 포스트 양자 TLS 연결을 통해 표준 대칭 암호화 키로 복호화 섹션을 참조하세요.

  • 하이브리드 포스트 양자 TLS를 사용하여 벤치마크를 실행합니다. 하이브리드 키 교환은 TLS 핸드셰이크에서 일부 메시지의 크기와 처리 시간을 늘리지만 대부분의 경우 전반적인 성능에 미치는 영향은 감지할 수 없어야 합니다.

  • 다른 위치에서 연결해 보세요. 요청이 수행하는 네트워크 경로에 따라 딥 패킷 검사(DPI)가 있는 레거시 중간 호스트, 프록시 또는 방화벽이 요청을 차단하는 것을 발견할 수 있습니다. 이는 TLS 핸드셰이크의 ClientHello 부분에서 새 키 교환 그룹을 사용하거나 더 큰 키 교환 메시지에서 발생할 수 있습니다. 이러한 문제를 해결하는 데 문제가 있는 경우 보안 팀 또는 IT 관리자와 협력하여 관련 구성을 업데이트하고 새 TLS 키 교환 그룹의 차단을 해제합니다.