Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Key Management Service (AWS KMS) admite una opción híbrida de intercambio de claves poscuántico para el protocolo de cifrado de red Transport Layer Security (TLS). Puede utilizar esta opción de TLS cuando se conecte a los puntos de conexión de la API de AWS KMS . Estas características opcionales de intercambio híbrido postcuántico de claves son al menos tan seguras como el cifrado TLS que utilizamos hoy en día y es muy probable que aporten beneficios de seguridad adicionales. Sin embargo, afectan a la latencia y a la velocidad si las comparamos con los protocolos clásicos de intercambio de claves que se utilizan hoy en día.
Los datos que envíes a AWS Key Management Service (AWS KMS) están protegidos en tránsito mediante el cifrado que proporciona una conexión de Transport Layer Security (TLS). Los conjuntos de cifrado clásicos que AWS KMS admite para las sesiones de TLS convierten en inviables los ataques de fuerza bruta en los mecanismos de intercambio de claves con la tecnología actual. Sin embargo, si la informática cuántica a gran escala tiene efectos prácticos en el futuro, los conjuntos de cifrado clásicos utilizados en los mecanismos de intercambio de claves TLS serán susceptibles a estos ataques. Si está desarrollando aplicaciones que se basan en la confidencialidad a largo plazo de los datos que se transmiten a través de una conexión TLS, debería plantearse un plan para migrar a la criptografía poscuántica antes de que se puedan utilizar ordenadores cuánticos a gran escala. AWS está trabajando para prepararse para este futuro y queremos que usted también esté bien preparado.
Para proteger los datos cifrados hoy contra posibles ataques futuros, AWS participa con la comunidad criptográfica en el desarrollo de algoritmos cuánticos resistentes o poscuánticos. Hemos implementado conjuntos de cifrado híbridos de intercambio de claves poscuántico AWS KMS que combinan elementos clásicos y poscuánticos para garantizar que su conexión TLS sea al menos tan sólida como lo sería con los conjuntos de cifrado clásicos.
En la mayoría de los casos, estos conjuntos de cifrado híbridos están disponibles para su uso en sus cargas de trabajo de producción. Regiones de AWS Sin embargo, dado que las características de rendimiento y los requisitos de ancho de banda de los conjuntos de cifrado híbridos son diferentes de los de los mecanismos de intercambio de claves clásicos, le recomendamos que los pruebe en sus llamadas a la AWS KMS API en diferentes condiciones.
Comentarios
Como siempre, agradecemos sus comentarios y su participación en nuestros repositorios de código abierto. Nos gustaría especialmente saber cómo interactúa su infraestructura con esta nueva variante del tráfico TLS.
-
Para proporcionar comentarios sobre este tema, utilice el enlace Feedback (Comentarios) situado en la esquina superior derecha de esta página.
-
Estamos desarrollando estos conjuntos de cifrado híbridos en código abierto en s2n-tls
repositorio en. GitHub Para enviar comentarios sobre la usabilidad de los conjuntos de cifrado o compartir condiciones o resultados novedosos de las pruebas, cree un problema en el s2n-tls . -
Estamos escribiendo ejemplos de código para utilizar el TLS poscuántico híbrido con AWS KMS aws-kms-pq-tls-example
GitHub repositorio. Para hacer preguntas o compartir ideas sobre la configuración de su cliente o AWS KMS cliente HTTP para que utilice los conjuntos de cifrado híbridos, cree una edición en el aws-kms-pq-tls-example .
Compatible Regiones de AWS
El TLS poscuántico para AWS KMS está disponible en todos los Regiones de AWS países AWS KMS compatibles, excepto en China (Beijing) y China (Ningxia).
nota
AWS KMS no es compatible con el TLS poscuántico híbrido para los terminales FIPS en. AWS GovCloud (US)
Para obtener una lista de los AWS KMS puntos finales de cada uno Región de AWS, consulte los puntos AWS Key Management Service finales y las cuotas en. Referencia general de Amazon Web Services Para obtener más información acerca de los puntos de conexión FIPS, consulte FIPS endpoints en la Referencia general de Amazon Web Services.
Acerca del intercambio de claves postcuántico híbrido en TLS
AWS KMS admite conjuntos de cifrado híbridos de intercambio de claves poscuánticas. Puede utilizar Common Runtime AWS SDK for Java 2.x y AWS Common Runtime en sistemas Linux para configurar un cliente HTTP que utilice estos conjuntos de cifrado. A continuación, siempre que se conecte a un AWS KMS punto final con su cliente HTTP, se utilizarán los conjuntos de cifrado híbridos.
Este cliente HTTP usa s2n-tls
Los algoritmos que s2n-tls utiliza un híbrido que combina la curva elíptica Diffie-Hellman
Uso de un TLS poscuántico híbrido con AWS KMS
Puede utilizar un TLS poscuántico híbrido para sus llamadas a. AWS KMS Cuando configure el entorno de prueba del cliente HTTP, tenga en cuenta la siguiente información:
Cifrado en tránsito
El cifrado híbrido se encuentra en s2n-tls se utilizan únicamente para el cifrado en tránsito. Protegen sus datos mientras viajan desde el cliente hasta el AWS KMS punto final. AWS KMS no utiliza estos conjuntos de cifrado para cifrar los datos. AWS KMS keys
En cambio, cuando AWS KMS cifra los datos con claves KMS, utiliza criptografía simétrica con claves de 256 bits y el algoritmo AES-GCM (estándar de cifrado avanzado en modo contador de Galois), que ya es resistente a la tecnología cuántica. Los futuros e hipotéticos ataques de informática cuántica a gran escala a textos cifrados creados con claves AES-GCM de 256 bits reducen la seguridad nominal de la clave a 128 bits
Sistemas compatibles
Uso de los conjuntos de cifrado híbridos en s2n-tls actualmente solo se admite en sistemas Linux. Además, estos conjuntos de cifrado solo son compatibles con el AWS Common Runtime, como el AWS SDK for Java 2.x. SDKs Para ver un ejemplo, consulta Configuración del cifrado TLS postcuántico híbrido.
AWS KMS Puntos de conexión
Cuando utilice los conjuntos de cifrado híbridos, utilice el punto final estándar AWS KMS . AWS KMS no admite el TLS poscuántico híbrido para los puntos finales validados por el FIPS 140-3.
Al configurar un cliente HTTP para preferir las conexiones TLS poscuánticas con s2n-tls, los cifrados poscuánticos ocupan el primer lugar en la lista de preferencias de cifrado. Sin embargo, la lista de preferencias incluye los cifrados clásicos no híbridos en una posición inferior en el orden de prioridad por motivos de compatibilidad. Al configurar un cliente HTTP para que prefiera el TLS poscuántico con un AWS KMS punto final validado por el FIPS 140-3, s2n-tls negocia un cifrado de intercambio de claves clásico y no híbrido.
Para obtener una lista de los AWS KMS puntos finales de cada uno Región de AWS, consulte los AWS Key Management Service puntos finales y las cuotas en. Referencia general de Amazon Web Services Para obtener más información acerca de los puntos de conexión FIPS, consulte FIPS endpoints en la Referencia general de Amazon Web Services.
Rendimiento previsto
Nuestras primeras pruebas comparativas muestran que el cifrado híbrido se adapta a s2n-tls son más lentos que los conjuntos de cifrado TLS clásicos. El efecto varía según el perfil de red, la velocidad de la CPU, el número de núcleos y la frecuencia de llamadas. Para obtener más información, consulte el plan de migración de la criptografía AWS poscuántica
Obtenga más información sobre el TLS poscuántico en AWS KMS
Para obtener más información sobre el uso del TLS poscuántico híbrido en AWS KMS, consulta los siguientes recursos.
-
Para obtener más información s2n-tls, consulte Introducción s2n-tls, una nueva implementación
y uso de TLS de código abierto s2n-tls . -
Para obtener información sobre el cliente HTTP de AWS Common Runtime, consulte Configuración del cliente HTTP AWS basado en CRT en la AWS SDK for Java 2.x Guía para desarrolladores.
-
Para obtener información sobre el proyecto de criptografía postcuántica del Instituto Nacional de Estándares y Tecnología (NIST), consulte Post-Quantum Cryptography
. -
Para obtener información sobre la estandarización de la criptografía poscuántica del NIST, consulte Estandarización de la criptografía poscuántica
.
