Uso de la poscuántica TLS híbrida con AWS KMS - AWS Key Management Service
Acerca de la poscuántica TLSModo de usoCómo configurarloCómo probarloMás información

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de la poscuántica TLS híbrida con AWS KMS

AWS Key Management Service (AWS KMS) admite una opción híbrida de intercambio de claves poscuántico para el protocolo de cifrado de red Transport Layer Security (TLS). Puede usar esta TLS opción cuando se conecte a puntos AWS KMS API finales. Ofrecemos esta función antes de que se estandaricen los algoritmos poscuánticos para que puedas empezar a probar el efecto de estos protocolos de intercambio de claves en las AWS KMS llamadas. Estas funciones opcionales de intercambio de claves poscuánticas híbridas son al menos tan seguras como el TLS cifrado que utilizamos hoy en día y es probable que ofrezcan beneficios de seguridad adicionales a largo plazo. Sin embargo, afectan a la latencia y a la velocidad si las comparamos con los protocolos clásicos de intercambio de claves que se utilizan hoy en día.

Los datos que envíes a AWS Key Management Service (AWS KMS) están protegidos en tránsito mediante el cifrado que proporciona una conexión de Transport Layer Security (TLS). Los conjuntos de cifrado clásicos que AWS KMS admiten TLS sesiones hacen que los ataques de fuerza bruta a los mecanismos de intercambio de claves no sean factibles con la tecnología actual. Sin embargo, si la computación cuántica a gran escala se vuelve práctica en el futuro, los conjuntos de cifrado clásicos utilizados en los mecanismos de intercambio de TLS claves serán susceptibles a estos ataques. Si está desarrollando aplicaciones que se basan en la confidencialidad a largo plazo de los datos transmitidos a través de una TLS conexión, debería plantearse un plan para migrar a la criptografía poscuántica antes de que se puedan utilizar ordenadores cuánticos a gran escala. AWS está trabajando para prepararse para este futuro y queremos que usted también esté bien preparado.

Para proteger los datos cifrados hoy contra posibles ataques futuros, AWS participa con la comunidad criptográfica en el desarrollo de algoritmos cuánticos resistentes o poscuánticos. Hemos implementado conjuntos de cifrado híbridos de intercambio de claves poscuántico AWS KMS que combinan elementos clásicos y poscuánticos para garantizar que su TLS conexión sea al menos tan sólida como lo sería con los conjuntos de cifrado clásicos.

En la mayoría de los casos, estos conjuntos de cifrado híbridos están disponibles para su uso en sus cargas de trabajo de producción. Regiones de AWS Sin embargo, dado que las características de rendimiento y los requisitos de ancho de banda de los conjuntos de cifrado híbridos son diferentes de los de los mecanismos de intercambio de claves clásicos, le recomendamos que los pruebe en sus AWS KMS API llamadas en diferentes condiciones.

Comentarios

Como siempre, agradecemos sus comentarios y su participación en nuestros repositorios de código abierto. Nos gustaría especialmente saber cómo interactúa su infraestructura con esta nueva variante de TLS tráfico.

  • Para proporcionar comentarios sobre este tema, utilice el enlace Feedback (Comentarios) situado en la esquina superior derecha de esta página.

  • Estamos desarrollando estas suites de cifrado híbridas en código abierto en el s2n-tlsrepositorio de. GitHub Para proporcionar comentarios sobre la usabilidad de los conjuntos de cifrado, o para compartir nuevas condiciones o resultados de pruebas, abra una incidencia en el repositorio s2n-tls.

  • Estamos escribiendo ejemplos de código para utilizarlos AWS KMS en el repositorio TLS con sistemas poscuánticos híbridos. aws-kms-pq-tls-example GitHub Para hacer preguntas o compartir ideas sobre la configuración de su HTTP cliente o AWS KMS cliente para que utilice las suites de cifrado híbridas, cree una edición en el aws-kms-pq-tls-example repositorio.

Compatible Regiones de AWS

Post-Quantum TLS for AWS KMS está disponible en todos los AWS KMS países Regiones de AWS compatibles, excepto en China (Beijing) y China (Ningxia).

nota

AWS KMS no admite la poscuántica híbrida TLS para FIPS los puntos finales de. AWS GovCloud (US)

Para obtener una lista de los AWS KMS puntos finales de cada uno Región de AWS, consulte los AWS Key Management Service puntos finales y las cuotas en. Referencia general de Amazon Web Services Para obtener información sobre los FIPS puntos finales, consulte los puntos FIPSfinales en. Referencia general de Amazon Web Services

Acerca del intercambio de claves poscuánticas híbridas en TLS

AWS KMS admite conjuntos de cifrado híbridos de intercambio de claves poscuánticas. Puede utilizar Common Runtime AWS SDK for Java 2.x y AWS Common Runtime en sistemas Linux para configurar un HTTP cliente que utilice estos conjuntos de cifrado. Luego, siempre que se conecte a un AWS KMS punto final con su HTTP cliente, se utilizarán los conjuntos de cifrado híbridos.

Este HTTP cliente utiliza s2n-tls, que es una implementación de código abierto del TLS protocolo. Los conjuntos de cifrado híbridos que utiliza s2n-tls se implementan solo para el intercambio de claves, no para el cifrado de datos directo. Durante el intercambio de claves, el cliente y el servidor calculan la clave que utilizarán para cifrar y descifrar los datos en la red.

Los algoritmos que s2n-tls utiliza son un híbrido que combina la curva elíptica Diffie-Hellman (ECDH), un algoritmo clásico de intercambio de claves que se utiliza hoy en día TLS Kyber, con un algoritmo de cifrado y establecimiento de claves públicas que el Instituto Nacional de Estándares y Tecnología (NIST) ha designado como su primer algoritmo estándar de acuerdo de claves poscuántico. Este híbrido utiliza cada uno de los algoritmos de forma independiente para generar una clave. Luego combina las dos claves criptográficamente. Con éls2n-tls, puede configurar un HTTP cliente para que prefiera el poscuántico, que ocupa el primer lugar en la lista de preferencias. TLS ECDH Kyber Los algoritmos clásicos de intercambio de claves se incluyen en la lista de preferencias para garantizar la compatibilidad, pero están en una posición inferior en esta lista.

Si las investigaciones en curso revelan que el Kyber algoritmo carece de la potencia poscuántica prevista, la clave híbrida sigue siendo al menos tan sólida como la ECDH clave única que se utiliza actualmente. Hasta que la investigación en algoritmos poscuánticos esté completa, recomendamos usar algoritmos híbridos, en lugar de usar solo algoritmos postcuánticos.

Uso de un sistema TLS poscuántico híbrido con AWS KMS

Puede utilizar la tecnología poscuántica híbrida TLS para sus llamadas a. AWS KMS Al configurar el entorno de pruebas de su HTTP cliente, tenga en cuenta la siguiente información:

Cifrado en tránsito

Los conjuntos de cifrado híbridos de s2n-tls se utilizan únicamente para el cifrado en tránsito. Protegen sus datos mientras viajan del cliente al AWS KMS punto final. AWS KMS no utiliza estos conjuntos de cifrado para cifrar los datos. AWS KMS keys

En cambio, cuando AWS KMS cifra los datos con KMS claves, utiliza criptografía simétrica con claves de 256 bits y el algoritmo Galois Counter Mode (AES-GCM) estándar de cifrado avanzado, que ya es resistente a la computación cuántica. En el futuro teórico, los ataques de computación cuántica a gran escala contra textos cifrados creados con GCM claves de 256 bits AES reducen la seguridad efectiva de la clave a 128 bits. Este nivel de seguridad es suficiente para hacer inviables los ataques de fuerza bruta contra textos cifrados. AWS KMS

Sistemas compatibles

El uso de los conjuntos de cifrado híbridos de s2n-tls solo es compatible actualmente con sistemas Linux. Además, estos conjuntos de cifrado solo son compatibles con AWS Common Runtime, como el. SDKs AWS SDK for Java 2.x Para ver un ejemplo, consulte ¿Cómo configurar la poscuántica híbrida TLS.

AWS KMS Puntos de conexión

Cuando utilice los conjuntos de cifrado híbridos, utilice el punto final estándar AWS KMS . Los conjuntos de cifrado híbridos incluidos no s2n-tls son compatibles con los FIPS140-2 puntos finales validados para. AWS KMS

Al configurar un HTTP cliente para preferir las TLS conexiones poscuánticass2n-tls, los cifrados poscuánticos ocupan el primer lugar en la lista de preferencias de cifrado. Sin embargo, la lista de preferencias incluye los cifrados clásicos no híbridos en una posición inferior en el orden de prioridad por motivos de compatibilidad. Al configurar un HTTP cliente para que prefiera la tecnología poscuántica TLS con un punto final validado de AWS KMS FIPS 140-2, se s2n-tls negocia con un sistema de cifrado de intercambio de claves clásico y no híbrido.

Para obtener una lista de los AWS KMS puntos finales de cada uno Región de AWS, consulte AWS Key Management Service los puntos finales y las cuotas en. Referencia general de Amazon Web Services Para obtener información sobre los FIPS puntos finales, consulte los puntos FIPSfinales en. Referencia general de Amazon Web Services

Rendimiento previsto

Nuestras primeras pruebas comparativas muestran que los conjuntos de cifrado híbridos s2n-tls son más lentos que los conjuntos de cifrado clásicosTLS. El efecto varía en función del perfil de la red, la CPU velocidad, la cantidad de núcleos y la frecuencia de llamadas. Para ver los resultados de las pruebas de rendimiento, consulta Cómo ajustar TLS la criptografía poscuántica híbrida con Kyber.

¿Cómo configurar la poscuántica híbrida TLS

En este procedimiento, agregue una dependencia de Maven para el AWS Common Runtime HTTP Client. A continuación, configure un HTTP cliente que prefiera la tecnología TLS poscuántica. A continuación, cree un AWS KMS cliente que utilice el HTTP cliente.

Para ver un ejemplo práctico completo de la configuración y el uso de la tecnología poscuántica TLS híbrida AWS KMS, consulte el aws-kms-pq-tls-examplerepositorio.

nota

El AWS Common Runtime HTTP Client, que estaba disponible como versión preliminar, comenzó a estar disponible para el público en general en febrero de 2023. En esa versión, la clase tlsCipherPreference y el parámetro del método tlsCipherPreference() se sustituyen por el parámetro del método postQuantumTlsEnabled(). Si utilizó este ejemplo durante la vista previa, debe actualizar el código.

  1. Agregue el cliente AWS Common Runtime a sus dependencias de Maven. Le recomendamos que utilice la última versión disponible.

    Por ejemplo, esta instrucción agrega la versión 2.20.0 del cliente AWS Common Runtime a sus dependencias de Maven. 

    <dependency>
    <groupId>software.amazon.awssdk</groupId>
    <artifactId>aws-crt-client</artifactId>
    <version>2.20.0</version>
</dependency>

  2. Para habilitar las suites de cifrado poscuántico híbridas, agréguelas AWS SDK for Java 2.x a su proyecto e inicialícelas. A continuación, habilite los conjuntos híbridos de cifrado poscuántico en su HTTP cliente, como se muestra en el siguiente ejemplo.

    Este código usa el parámetro postQuantumTlsEnabled() method para configurar un HTTPcliente de tiempo de ejecución AWS común que prefiera el conjunto de cifrado poscuántico híbrido recomendado, con Kyber. ECDH A continuación, utiliza el HTTP cliente configurado para crear una instancia del cliente AWS KMS asíncrono,. KmsAsyncClient Una vez completado este código, todas las AWS KMS APIsolicitudes de la KmsAsyncClient instancia utilizan la tecnología poscuántica híbrida. TLS

    // Configure HTTP client
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
          .postQuantumTlsEnabled(true)
          .build();

// Create the AWS KMS async client
KmsAsyncClient kmsAsync = KmsAsyncClient.builder()
         .httpClient(awsCrtHttpClient)
         .build();

  3. Pon a prueba tus AWS KMS llamadas con la tecnología TLS poscuántica híbrida.

    Cuando llamas a AWS KMS API las operaciones del AWS KMS cliente configurado, tus llamadas se transmiten al AWS KMS terminal mediante un sistema TLS poscuántico híbrido. Para probar la configuración, llama a un AWS KMS API, por ejemplo. ListKeys

    ListKeysReponse keys = kmsAsync.listKeys().get();

Probando el poscuántico TLS híbrido con AWS KMS

Considere la posibilidad de ejecutar las siguientes pruebas con conjuntos de cifrado híbridos en las aplicaciones que llamen. AWS KMS

  • Ejecute pruebas de carga y pruebas de rendimiento. Los conjuntos de cifrado híbridos funcionan de manera diferente que los algoritmos tradicionales de intercambio de claves. Es posible que tenga que ajustar los tiempos de espera de conexión para permitir tiempos de negociación más prolongados. Si ejecuta una función dentro de una AWS Lambda función, amplíe la configuración del tiempo de espera de ejecución.

  • Intente conectarse desde diferentes ubicaciones. Según la ruta de red que tome tu solicitud, es posible que descubras que los hosts intermedios, proxies o firewalls con inspección profunda de paquetes (DPI) bloquean la solicitud. Esto puede deberse al uso de los nuevos conjuntos de cifrado en la ClientHelloparte del protocolo de TLS enlace o a los mensajes de intercambio de claves más grandes. Si tiene problemas para resolver estos problemas, colabore con su equipo de seguridad o con los administradores de TI para actualizar la configuración correspondiente y desbloquear los nuevos TLS conjuntos de cifrado.

Obtenga más información sobre la TLS poscuántica en AWS KMS

Para obtener más información sobre el uso de la energía poscuántica TLS híbrida AWS KMS, consulta los siguientes recursos.