Verwendung von Hybrid-Post-Quantum TLS mit AWS KMS - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von Hybrid-Post-Quantum TLS mit AWS KMS

AWS Key Management Service (AWS KMS) unterstützt eine hybride Option für den Schlüsselaustausch nach dem Quantenverfahren für das Netzwerkverschlüsselungsprotokoll Transport Layer Security (TLS). Sie können diese TLS Option verwenden, wenn Sie eine Verbindung zu AWS KMS API Endpunkten herstellen. Wir bieten diese Funktion an, bevor Post-Quantum-Algorithmen standardisiert sind, sodass Sie damit beginnen können, die Auswirkungen dieser wichtigen Austauschprotokolle auf AWS KMS Anrufe zu testen. Diese optionalen hybriden Funktionen für den Schlüsselaustausch nach dem Quantenaustausch sind mindestens so sicher wie die TLS Verschlüsselung, die wir heute verwenden, und bieten wahrscheinlich zusätzliche langfristige Sicherheitsvorteile. Sie wirken sich jedoch auf Latenz und Durchsatz im Vergleich zu den klassischen Schlüsselaustauschprotokollen aus, die heute verwendet werden.

Die Daten, die Sie an AWS Key Management Service (AWS KMS) senden, sind bei der Übertragung durch die Verschlüsselung geschützt, die über eine Transport Layer Security (TLS) -Verbindung bereitgestellt wird. Die klassischen Chiffrier-Suites, die AWS KMS vier TLS Sitzungen unterstützen, machen Brute-Force-Angriffe auf die Schlüsselaustauschmechanismen mit der aktuellen Technologie unmöglich. Wenn jedoch in future groß angelegte Quantencomputer praktikabel werden, werden die klassischen Chiffrier-Suites, die in TLS wichtigen Austauschmechanismen verwendet werden, anfällig für diese Angriffe sein. Wenn Sie Anwendungen entwickeln, die auf der langfristigen Vertraulichkeit von Daten beruhen, die über eine TLS Verbindung übertragen werden, sollten Sie einen Plan zur Umstellung auf Post-Quanten-Kryptografie in Betracht ziehen, bevor große Quantencomputer für den Einsatz verfügbar sind. AWS arbeitet daran, sich auf diese future vorzubereiten, und wir möchten, dass auch Sie gut vorbereitet sind.

Um heute verschlüsselte Daten vor möglichen future Angriffen zu schützen, beteiligt AWS sich die Kryptografie-Community an der Entwicklung quantenresistenter oder Post-Quanten-Algorithmen. Wir haben hybride Chiffrier-Suites für den Post-Quantum-Schlüsselaustausch implementiert AWS KMS , die klassische und Post-Quantum-Elemente kombinieren, um sicherzustellen, dass Ihre TLS Verbindung mindestens so stark ist wie bei klassischen Verschlüsselungssammlungen.

Diese hybriden Verschlüsselungssammlungen sind in den meisten Fällen für den Einsatz in Ihren Produktions-Workloads verfügbar. AWS-Regionen Da sich die Leistungsmerkmale und Bandbreitenanforderungen hybrider Verschlüsselungssammlungen jedoch von denen klassischer Schlüsselaustauschmechanismen unterscheiden, empfehlen wir, sie bei Ihren AWS KMS API Anrufen unter anderen Bedingungen zu testen.

Feedback

Wie immer freuen wir uns über Ihr Feedback und Ihre Teilnahme an unseren Open Source-Repositories. Wir würden vor allem gerne erfahren, wie Ihre Infrastruktur mit dieser neuen Variante des Datenverkehrs interagiert. TLS

  • Um Feedback zu diesem Thema zu geben, verwenden Sie den Link Feedback in der oberen rechten Ecke dieser Seite.

  • Wir entwickeln diese hybriden Verschlüsselungssammlungen in Open Source in der s2n-tlsRepository aktiviert. GitHub Um Feedback zur Benutzerfreundlichkeit der Cipher Suites zu geben oder neue Testbedingungen oder -ergebnisse zu teilen, erstellen Sie ein Problem in der s2n-tls Repositorium.

  • Wir schreiben Codebeispiele für die Verwendung von Hybrid-Post-Quantum TLS mit AWS KMS in aws-kms-pq-tls-example GitHubEndlager. Um Fragen zu stellen oder Ideen zur Konfiguration Ihres HTTP Clients oder AWS KMS Clients für die Verwendung der Hybrid-Cipher Suites auszutauschen, erstellen Sie ein Problem in der aws-kms-pq-tls-example Repository.

Unterstützt AWS-Regionen

Post-Quantum TLS for AWS KMS ist in allen AWS KMS unterstützten AWS-Regionen Ländern verfügbar, außer in China (Peking) und China (Ningxia).

Anmerkung

AWS KMS unterstützt keine Hybrid-Post-Quantum-Methode TLS für FIPS Endgeräte in. AWS GovCloud (US)

Eine Liste der jeweiligen AWS KMS Endpunkte finden Sie unter AWS Key Management Service Endpunkte und AWS-Region Kontingente in der. Allgemeine Amazon Web Services-Referenz Informationen zu Endpunkten finden Sie unter FIPS FIPSEndpunkte in der. Allgemeine Amazon Web Services-Referenz

Informationen zum hybriden Schlüsselaustausch nach dem Quantenaustausch in TLS

AWS KMS unterstützt hybride Chiffrier-Suites nach dem Quantenaustausch. Sie können Common Runtime AWS SDK for Java 2.x und AWS Common Runtime auf Linux-Systemen verwenden, um einen HTTP Client zu konfigurieren, der diese Verschlüsselungssammlungen verwendet. Wenn Sie dann mit Ihrem HTTP Client eine Verbindung zu einem AWS KMS Endpunkt herstellen, werden die Hybrid-Verschlüsselungssammlungen verwendet.

Dieser Client verwendet HTTP s2n-tls, bei der es sich um eine Open-Source-Implementierung des TLS Protokolls handelt. Die Hybrid-Chiffre eignet sich dafür s2n-tls Verwendungen werden nur für den Schlüsselaustausch implementiert, nicht für die direkte Datenverschlüsselung. Während des Schlüsselaustauschs berechnen Client und Server den Schlüssel, den sie verwenden, um die Daten auf der Leitung zu verschlüsseln und zu entschlüsseln.

Die Algorithmen, die s2n-tls verwendet einen Hybrid, der Elliptic Curve Diffie-Hellman (ECDH), einen klassischen Schlüsselaustauschalgorithmus, der heute verwendet wird, kombiniert mit TLS Kyber, ein Algorithmus zur Verschlüsselung und Einrichtung von Schlüsseln mit öffentlichen Schlüsseln, den das National Institute for Standards and Technology (NIST) als seinen ersten Standardalgorithmus für die Zeit nach der Quantum-Schlüsselvereinbarung bezeichnet hat. Dieser Hybrid verwendet jeden der Algorithmen unabhängig, um einen Schlüssel zu generieren. Dann kombiniert es die beiden Schlüssel kryptografisch. Mit s2n-tls, Sie können einen HTTP Client so konfigurieren, dass er Post-Quantum bevorzugtTLS, also Orte ECDH mit Kyber an erster Stelle in der Präferenzliste. Klassische Schlüsselaustauschalgorithmen sind in der Einstellungsliste enthalten, um die Kompatibilität sicherzustellen, aber sie sind in der Präferenzreihenfolge niedriger.

Wenn laufende Untersuchungen ergeben, dass Kyber Dem Algorithmus fehlt die erwartete Stärke nach dem Quantenprozess, ist der Hybridschlüssel immer noch mindestens so stark wie der ECDH Einzelschlüssel, der derzeit verwendet wird. Bis die Forschung zu Post-Quanten-Algorithmen abgeschlossen ist, empfehlen wir, Hybrid-Algorithmen zu verwenden, anstatt nur Post-Quanten-Algorithmen zu verwenden.

Verwendung von Hybrid-Post-Quantum TLS mit AWS KMS

Sie können Hybrid Post-Quantum TLS für Ihre Anrufe bei verwenden. AWS KMS Beachten Sie beim Einrichten Ihrer HTTP Client-Testumgebung die folgenden Informationen:

Verschlüsselung während der Übertragung

Die hybride Chiffre passt in s2n-tls werden nur für die Verschlüsselung bei der Übertragung verwendet. Sie schützen Ihre Daten auf dem Weg von Ihrem Client zum AWS KMS Endpunkt. AWS KMS verwendet diese Cipher Suites nicht zum Verschlüsseln von Daten unter. AWS KMS keys

Wenn es Ihre Daten unter AWS KMS KMS Schlüsseln verschlüsselt, verwendet es stattdessen symmetrische Kryptografie mit 256-Bit-Schlüsseln und den Algorithmus Advanced Encryption Standard in Galois Counter Mode (AES-), der bereits quantenresistent ist. GCM Theoretisch reduzieren groß angelegte Quantencomputerangriffe auf Chiffretexte, die unter AES GCM 256-Bit-Schlüsseln erstellt wurden, die effektive Sicherheit des Schlüssels auf 128 Bit. Diese Sicherheitsstufe reicht aus, um Brute-Force-Angriffe auf Chiffretexte unmöglich zu machen. AWS KMS

Unterstützte Systeme

Verwendung der hybriden Cipher Suites in s2n-tls wird derzeit nur auf Linux-Systemen unterstützt. Darüber hinaus werden diese Verschlüsselungssammlungen nur unterstützt, wenn sie SDKs die AWS Common Runtime unterstützen, wie z. B. die. AWS SDK for Java 2.x Ein Beispiel finden Sie unter Konfigurieren Sie Hybrid-Post-Quantum TLS.

AWS KMS Endpunkte

Wenn Sie die hybriden Cipher Suites verwenden, verwenden Sie den Standardendpunkt. AWS KMS Die hybriden Verschlüsselungssammlungen in s2n-tls sind nicht kompatibel mit den FIPS140-2 validierten Endpunkten für. AWS KMS

Wenn Sie einen HTTP Client so konfigurieren, dass er Post-Quantum-Verbindungen bevorzugt TLS s2n-tls, stehen die Post-Quantum-Chiffren an erster Stelle in der Liste der Verschlüsselungspräferenzen. Die Voreinstellungsliste enthält jedoch die klassischen, nicht-hybriden Verschlüsselungen, die in der Präferenzreihenfolge aus Gründen der Kompatibilität niedriger sind. Wenn Sie einen HTTP Client so konfigurieren, dass er Post-Quantum-Daten mit einem 140-2-validierten Endpunkt TLS bevorzugt, AWS KMS FIPS s2n-tls handelt eine klassische Chiffre für den Schlüsselaustausch aus, bei der es sich nicht um eine Hybrid-Verschlüsselung handelt.

Eine Liste der jeweiligen Endpunkte finden Sie unter AWS KMS AWS Key Management Service Endpunkte und AWS-Region Kontingente in der. Allgemeine Amazon Web Services-Referenz Informationen zu Endpunkten finden Sie unter FIPS FIPSEndpunkte in der. Allgemeine Amazon Web Services-Referenz

Erwartete Leistung

Unsere ersten Benchmark-Tests haben gezeigt, dass sich die Hybrid-Chiffre für s2n-tls sind langsamer als klassische TLS Cipher Suites. Der Effekt hängt vom Netzwerkprofil, der CPU Geschwindigkeit, der Anzahl der Kerne und Ihrer Anrufrate ab. Die Ergebnisse der Leistungstests finden Sie unter So stimmen TLS Sie die Hybrid-Post-Quanten-Kryptografie mit Kyber ab.

Erfahren Sie mehr über Post-Quantum in TLS AWS KMS

Weitere Informationen zur Verwendung von Hybrid Post-Quantum TLS in AWS KMS finden Sie in den folgenden Ressourcen.