Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Key Management Service (AWS KMS) prend en charge une option hybride d'échange de clés post-quantique pour le protocole de chiffrement réseau TLS (Transport Layer Security). Vous pouvez utiliser cette option TLS lorsque vous vous connectez aux points de terminaison de l'API AWS KMS . Ces fonctionnalités optionnelles d'échange de clés post-quantiques hybrides sont au moins aussi sécurisées que le chiffrement TLS que nous utilisons aujourd'hui et sont susceptibles d'offrir des avantages supplémentaires en matière de sécurité à long terme. Cependant, elles affectent la latence et le débit par rapport aux protocoles d'échange de clés classiques utilisés aujourd'hui.
Les données que vous envoyez à AWS Key Management Service (AWS KMS) sont protégées en transit par le cryptage fourni par une connexion TLS (Transport Layer Security). Les suites de chiffrement classiques que AWS KMS prend en charge pour les sessions TLS rendent les attaques de force brute contre les mécanismes d'échange clés irréalisables avec la technologie actuelle. Cependant, si l'informatique quantique à grande échelle devient courante à l'avenir, les suites de chiffrement classiques utilisées dans les mécanismes d'échange de clés TLS seront sensibles à ces attaques. Si vous développez des applications qui reposent sur la confidentialité à long terme des données transmises via une connexion TLS, vous devriez envisager de migrer vers la cryptographie post-quantique avant que des ordinateurs quantiques à grande échelle ne soient disponibles. AWS travaille à préparer ce futur, et nous voulons que vous soyez également bien préparés.
Afin de protéger les données chiffrées aujourd'hui contre d'éventuelles attaques futures, AWS participe avec la communauté cryptographique au développement d'algorithmes résistants aux quanta ou post-quantiques. Nous avons mis en œuvre des suites de chiffrement hybrides à échange de clés post-quantique AWS KMS qui combinent des éléments classiques et post-quantiques afin de garantir que votre connexion TLS est au moins aussi solide qu'elle le serait avec les suites de chiffrement classiques.
Ces suites de chiffrement hybrides peuvent être utilisées sur vos charges de travail de production dans la plupart des cas. Régions AWS Cependant, étant donné que les caractéristiques de performance et les exigences en bande passante des suites de chiffrement hybrides sont différentes de celles des mécanismes d'échange de clés classiques, nous vous recommandons de les tester sur vos appels d' AWS KMS API dans des conditions différentes.
Commentaires
Comme toujours, nous accueillons vos commentaires et votre participation à nos référentiels open-source. Nous aimerions en particulier savoir comment votre infrastructure interagit avec cette nouvelle variante du trafic TLS.
-
Pour nous faire part de vos commentaires sur ce point, utilisez le lien Commentaires dans le coin supérieur droit de cette page.
-
Nous développons ces suites de chiffrement hybrides en open source dans le s2n-tls
référentiel sur GitHub. Pour fournir des commentaires sur l'utilisabilité des suites de chiffrement, ou pour partager de nouvelles conditions de test ou de nouveaux résultats, créez un problème dans s2n-tls repository. -
Nous écrivons des exemples de code pour utiliser le TLS post-quantique hybride avec AWS KMS dans le aws-kms-pq-tls-example
GitHub référentiel. Pour poser des questions ou partager des idées sur la configuration de votre client HTTP ou de votre AWS KMS client pour utiliser les suites de chiffrement hybrides, créez un problème dans aws-kms-pq-tls-example repository.
Soutenu Régions AWS
Le protocole TLS post-quantique pour AWS KMS est disponible sur tous les Régions AWS AWS KMS supports, à l'exception de la Chine (Pékin) et de la Chine (Ningxia).
Note
AWS KMS ne prend pas en charge le protocole TLS post-quantique hybride pour les points de terminaison FIPS dans. AWS GovCloud (US)
Pour obtenir la liste des AWS KMS points de terminaison de chacun Région AWS, consultez la section AWS Key Management Service Points de terminaison et quotas dans le. Référence générale d'Amazon Web Services Pour plus d'informations sur les points de terminaison FIPS, consultez Points de terminaison FIPS dans le Référence générale d'Amazon Web Services.
À propos de l'échange de clés post-quantiques hybrides dans TLS
AWS KMS prend en charge les suites de chiffrement hybrides à échange de clés post-quantique. Vous pouvez utiliser le AWS Common Runtime AWS SDK for Java 2.x et le Common Runtime sur les systèmes Linux pour configurer un client HTTP qui utilise ces suites de chiffrement. Ensuite, chaque fois que vous vous connectez à un AWS KMS point de terminaison avec votre client HTTP, les suites de chiffrement hybrides sont utilisées.
Ce client HTTP utilise s2n-tls
Les algorithmes qui s2n-tls les utilisations sont un hybride qui combine Elliptic Curve Diffie-Hellman
Utilisation du TLS post-quantique hybride avec AWS KMS
Vous pouvez utiliser le protocole TLS post-quantique hybride pour vos appels vers. AWS KMS Lors de la configuration de votre environnement de test client HTTP, tenez compte des informations suivantes :
Chiffrement en transit
Les suites de chiffrement hybrides de s2n-tls ne sont utilisés que pour le chiffrement en transit. Ils protègent vos données pendant leur transfert entre votre client et le AWS KMS terminal. AWS KMS n'utilise pas ces suites de chiffrement pour chiffrer les données sous. AWS KMS keys
Au lieu de cela, lorsque vous AWS KMS cryptez vos données sous des clés KMS, il utilise une cryptographie symétrique avec des clés de 256 bits et l'algorithme AES-GCM (Advanced Encryption Standard in Galois Counter Mode), qui est déjà résistant aux attaques quantiques. Dans un avenir théorique, les attaques de calcul quantique à grande échelle sur les textes chiffrés créés sous les clés AES-GCM 256 bits réduiront la sécurité effective de la clé à 128 bits
Systèmes pris en charge
Utilisation des suites de chiffrement hybrides dans s2n-tls n'est actuellement pris en charge que sur les systèmes Linux. En outre, ces suites de chiffrement ne sont prises en charge SDKs que dans la mesure où elles prennent en charge le AWS Common Runtime, comme le AWS SDK for Java 2.x. Pour obtenir un exemple, consultez Configurer le TLS post-quantique hybride.
AWS KMS Points de terminaison
Lorsque vous utilisez les suites de chiffrement hybrides, utilisez le point de AWS KMS terminaison standard. AWS KMS ne prend pas en charge le protocole TLS post-quantique hybride pour les points de terminaison validés par la norme FIPS 140-3.
Lorsque vous configurez un client HTTP pour préférer les connexions TLS post-quantiques avec s2n-tls, les chiffrements post-quantiques sont les premiers de la liste des préférences chiffrées. Toutefois, la liste des préférences inclut les chiffrements classiques non hybrides plus bas dans l'ordre de préférence pour la compatibilité. Lorsque vous configurez un client HTTP pour préférer le protocole TLS post-quantique avec un point de terminaison validé AWS KMS FIPS 140-3, s2n-tls négocie un code d'échange de clés classique et non hybride.
Pour obtenir la liste des AWS KMS points de terminaison de chacun Région AWS, consultez la section AWS Key Management Service Points de terminaison et quotas dans le. Référence générale d'Amazon Web Services Pour plus d'informations sur les points de terminaison FIPS, consultez Points de terminaison FIPS dans le Référence générale d'Amazon Web Services.
Performances attendues
Nos premiers tests de référence montrent que les suites de chiffrement hybrides dans s2n-tls sont plus lents que les suites de chiffrement TLS classiques. L'effet varie en fonction du profil réseau, de la vitesse du processeur, du nombre de cœurs et de votre fréquence d'appel. Pour plus d'informations, consultez le plan de migration de la cryptographie AWS post-quantique
En savoir plus sur le TLS post-quantique dans AWS KMS
Pour plus d'informations sur l'utilisation du protocole TLS post-quantique hybride dans AWS KMS, consultez les ressources suivantes.
-
Pour en savoir plus sur la cryptographie post-quantique sur AWS, y compris des liens vers des articles de blog et des articles de recherche, voir Cryptographie post-quantique
. -
Pour plus d'informations sur s2n-tls, voir Présentation s2n-tls, une nouvelle implémentation du protocole TLS open source
et utilisation s2n-tls . -
Pour plus d'informations sur le client HTTP AWS Common Runtime, consultez la section Configuration du client HTTP AWS CRT dans le guide du AWS SDK for Java 2.x développeur.
-
Pour de plus amples informations sur le projet de chiffrement post-quantique du National Institute for Standards and Technology (NIST), veuillez consulter Chiffrement post-quantique
. -
Pour plus d'informations sur la normalisation du chiffrement post-quantique par le NIST, consultez la page Post-Quantum Cryptography Standardization
(Normalisation du chiffrement post-quantique).
