Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer un post-quantum hybride TLS
Dans cette procédure, ajoutez une dépendance Maven pour le HTTP client AWS Common Runtime. Configurez ensuite un HTTP client qui préfère le post-quantumTLS. Créez ensuite un AWS KMS client qui utilise le HTTP client.
Pour voir des exemples pratiques complets de configuration et d'utilisation de systèmes post-quantiques hybrides TLS avec AWS KMS, consultez le aws-kms-pq-tls-example
Note
Le HTTP client AWS Common Runtime, qui était disponible en version préliminaire, est devenu généralement disponible en février 2023. Dans cette version, la classe tlsCipherPreference et le paramètre de méthode tlsCipherPreference() sont remplacés par le paramètre de méthode postQuantumTlsEnabled(). Si vous utilisiez cet exemple dans la version préliminaire, vous devez procéder à la mise à jour de votre code.
-
Ajoutez le client AWS Common Runtime à vos dépendances Maven. Nous vous recommandons d'utiliser la dernière version disponible.
Par exemple, cette instruction ajoute une version
2.20.0du client AWS Common Runtime à vos dépendances Maven.<dependency> <groupId>software.amazon.awssdk</groupId> <artifactId>aws-crt-client</artifactId> <version>2.20.0</version> </dependency> -
Pour activer les suites de chiffrement post-quantiques hybrides, ajoutez-les AWS SDK for Java 2.x à votre projet et initialisez-le. Activez ensuite les suites de chiffrement post-quantique hybrides sur votre HTTP client, comme indiqué dans l'exemple suivant.
Ce code utilise le paramètre
postQuantumTlsEnabled()method pour configurer un HTTPclient d'exécution AWS commun qui préfère la suite de chiffrement post-quantique hybride recommandée, ECDH avec Kyber. Il utilise ensuite le HTTP client configuré pour créer une instance du client AWS KMS asynchrone.KmsAsyncClientUne fois ce code terminé, toutes les AWS KMS APIdemandes sur l' KmsAsyncClientinstance utilisent le post-quantum TLS hybride.// Configure HTTP client SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder() .postQuantumTlsEnabled(true) .build(); // Create the AWS KMS async client KmsAsyncClient kmsAsync = KmsAsyncClient.builder() .httpClient(awsCrtHttpClient) .build(); -
Testez vos AWS KMS appels avec le post-quantum TLS hybride.
Lorsque vous appelez AWS KMS API des opérations sur le AWS KMS client configuré, vos appels sont transmis au AWS KMS terminal à l'aide d'un post-quantum TLS hybride. Pour tester votre configuration, appelez un AWS KMS API, tel que
ListKeys.ListKeysReponse keys = kmsAsync.listKeys().get();
Testez votre configuration post-quantique TLS hybride
Envisagez d'exécuter les tests suivants avec des suites de chiffrement hybrides sur les applications qui appellent AWS KMS.
-
Exécutez des tests de charge et des repères. Les suites de chiffrement hybrides fonctionnent différemment des algorithmes d'échange de clés traditionnels. Il se peut que vous deviez ajuster les délais d'expiration de votre connexion pour tenir compte des durées de liaison plus longues. Si vous exécutez une AWS Lambda fonction, prolongez le paramètre de délai d'exécution.
-
Essayez de vous connecter à partir de différents endroits. Selon le chemin réseau emprunté par votre demande, vous découvrirez peut-être que des hôtes intermédiaires, des proxys ou des pare-feux dotés d'une inspection approfondie des paquets (DPI) bloquent la demande. Cela peut être dû à l'utilisation des nouvelles suites de chiffrement dans la ClientHello
partie de la TLS poignée de main ou à des messages d'échange de clés plus volumineux. Si vous ne parvenez pas à résoudre ces problèmes, contactez votre équipe de sécurité ou vos administrateurs informatiques pour mettre à jour la configuration appropriée et débloquer les nouvelles suites de TLS chiffrement.
