将混合后量子 TLS 与 Amazon S3 结合使用
Amazon S3 支持 TLS 网络加密协议的混合后量子密钥交换选项。当您向采用 TLS 1.3 的 Amazon S3 端点发出请求时,可以使用此 TLS 选项。S3 支持用于 TLS 会话的传统密码套件,使得针对密钥交换机制进行的暴力攻击在现有技术下是不可行的。不过,如果与密码学相关的量子计算机在未来得到广泛应用,那么 TLS 密钥交换机制中使用的传统密码套件将会容易受到这些攻击。目前,业内已就混合后量子密钥交换达成共识,此方法将传统加密算法与后量子要素相结合,可确保 TLS 连接至少与传统密码套件一样强大。目前,Amazon S3 支持混合 PQ-TLS,符合行业标准的 IANA 规范。
如果您正在开发的应用程序高度重视通过 TLS 连接传输的数据的长期保密性,则应考虑在大规模量子计算机投入使用之前迁移到后量子密码术的计划。作为责任共担模型的一部分,S3 在我们的服务端点上启用了量子安全密码学技术。由于浏览器和应用程序支持 PQ-TLS,S3 将选择尽可能强的配置来保护传输中数据。
支持的端点类型和 AWS 区域
适用于 Amazon S3 的后量子 TLS 在所有 AWS 区域中提供。有关每个 AWS 区域中 S3 端点的列表,请参阅《Amazon Web Services 一般参考》中的 Amazon Simple Storage Service 端点和限额。
注意
除了适用于 Amazon S3 的 AWS PrivateLink、多区域接入点和 S3 Vectors 之外,所有 S3 端点均支持混合后量子 TLS。
将混合后量子 TLS 与 Amazon S3 结合使用
您必须配置客户端,使其向 Amazon S3 发出请求来支持混合后量子 TLS。在设置 HTTP 客户端测试环境或生产环境时,请注意以下信息:
传输中加密
混合后量子 TLS 仅适用于传输中加密。这可以在数据从客户端传输到 S3 端点的过程中保护数据。这种新支持的功能与 Amazon S3 服务器端加密(默认使用 AES-256 算法)相结合,为客户提供了传输中数据和静态数据的抗量子加密。有关 Amazon S3 中服务器端加密的更多信息,请参阅使用服务器端加密保护数据。
支持的客户端
要使用混合后量子 TLS,您需要使用支持此功能的客户端。AWSSDK 和工具的加密功能及配置因语言和运行时而异。要了解有关特定工具的后量子密码术的更多信息,请参阅启用混合后量子 TLS。
注意
对于向 Amazon S3 发出的请求,AWS CloudTrail 事件或 S3 服务器访问日志中不提供 PQ-TLS 密钥交换详细信息。
了解后量子 TLS 的更多信息
有关使用混合后量子 TLS 的更多信息,请参阅以下资源。
-
要了解 AWS 的后量子密码术,包括博客文章和研究论文的链接,请参阅 Post-Quantum Cryptography for AWS
。 -
有关 s2n-tls 的信息,请参阅推出新的开源 TLS 实施 s2n-tls
和使用 s2n-tls 。 -
有关 AWS 公共运行时 HTTP 客户端的信息,请参阅《AWS SDK for Java 2.x 开发者指南》中的 配置基于 AWS CRT 的 HTTP 客户端。
-
有关美国国家标准和技术研究所 (NIST) 开展的后量子密码加密技术项目的信息,请参阅后量子密码加密技术
。 -
有关 NIST 后量子密码术标准化的信息,请参阅 NIST's Post-Quantum Cryptography Standardization
。
