Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Menggunakan TLS pasca-kuantum hibrida dengan AWS KMS

PDF
RSS
Mode fokus
Menggunakan TLS pasca-kuantum hibrida dengan AWS KMS - AWS Key Management Service
Tentang TLS pasca-kuantumCara menggunakannyaPelajari selengkapnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Key Management Service (AWS KMS) mendukung opsi pertukaran kunci pasca-kuantum hibrida untuk protokol enkripsi jaringan Transport Layer Security (TLS). Anda dapat menggunakan opsi TLS ini ketika Anda terhubung ke titik akhir API AWS KMS . Fitur pertukaran kunci pasca-kuantum hibrida opsional ini setidaknya seaman enkripsi TLS yang kami gunakan saat ini dan cenderung memberikan manfaat keamanan jangka panjang tambahan. Namun, fitur-fitur tersebut memengaruhi latensi dan throughput dibandingkan dengan protokol pertukaran kunci klasik yang digunakan saat ini.

Data yang Anda kirim ke AWS Key Management Service (AWS KMS) dilindungi saat transit oleh enkripsi yang disediakan oleh koneksi Transport Layer Security (TLS). Cipher suite klasik yang didukung AWS KMS untuk sesi TLS membuat serangan brute force pada mekanisme pertukaran kunci yang tidak layak dengan teknologi saat ini. Namun, jika komputasi kuantum skala besar menjadi praktis di masa depan, cipher suite klasik yang digunakan dalam mekanisme pertukaran kunci TLS akan rentan terhadap serangan ini. Jika Anda mengembangkan aplikasi yang mengandalkan kerahasiaan jangka panjang data yang melewati koneksi TLS, Anda harus mempertimbangkan rencana untuk bermigrasi ke kriptografi pasca-kuantum sebelum komputer kuantum skala besar tersedia untuk digunakan. AWS sedang bekerja untuk mempersiapkan masa depan ini, dan kami ingin Anda juga dipersiapkan dengan baik.

Untuk melindungi data yang dienkripsi hari ini terhadap potensi serangan future, AWS berpartisipasi dengan komunitas kriptografi dalam pengembangan algoritma tahan kuantum atau pasca-kuantum. Kami telah menerapkan suite cipher pertukaran kunci pasca-kuantum hibrida AWS KMS yang menggabungkan elemen klasik dan pasca-kuantum untuk memastikan bahwa koneksi TLS Anda setidaknya sekuat dengan suite cipher klasik.

Suite sandi hibrida ini tersedia untuk digunakan pada beban kerja produksi Anda di sebagian besar. Wilayah AWS Namun, karena karakteristik kinerja dan persyaratan bandwidth suite cipher hybrid berbeda dari mekanisme pertukaran kunci klasik, kami sarankan Anda mengujinya pada panggilan AWS KMS API Anda dalam kondisi yang berbeda.

Umpan Balik

Seperti biasa, kami menyambut baik umpan balik dan partisipasi Anda dalam repositori sumber terbuka kami. Kami terutama ingin mendengar bagaimana infrastruktur Anda berinteraksi dengan varian lalu lintas TLS yang baru ini.

  • Untuk memberikan umpan balik tentang topik ini, gunakan tautan Umpan Balik di sudut kanan atas halaman ini.

  • Kami sedang mengembangkan suite cipher hybrid ini di open source di s2n-tlsrepositori aktif. GitHub Untuk memberikan umpan balik tentang kegunaan rangkaian sandi, atau berbagi kondisi atau hasil pengujian baru, buat masalah di s2n-tls repositori.

  • Kami sedang menulis contoh kode untuk menggunakan TLS pasca-kuantum hibrida dengan AWS KMS di aws-kms-pq-tls-example GitHub repositori. Untuk mengajukan pertanyaan atau berbagi ide tentang mengonfigurasi klien atau AWS KMS klien HTTP Anda untuk menggunakan rangkaian sandi hibrida, buat masalah di aws-kms-pq-tls-example repositori.

Didukung Wilayah AWS

TLS pasca-kuantum untuk AWS KMS tersedia di semua Wilayah AWS yang AWS KMS mendukung kecuali untuk China (Beijing) dan China (Ningxia).

catatan

AWS KMS tidak mendukung TLS pasca-kuantum hibrida untuk titik akhir FIPS di. AWS GovCloud (US)

Untuk daftar AWS KMS titik akhir untuk masing-masing Wilayah AWS, lihat AWS Key Management Service titik akhir dan kuota di. Referensi Umum Amazon Web Services Untuk informasi tentang titik akhir FIPS, lihat titik akhir FIPS di. Referensi Umum Amazon Web Services

Tentang pertukaran kunci pasca-kuantum hibrida di TLS

AWS KMS mendukung suite cipher pertukaran kunci pasca-kuantum hibrida. Anda dapat menggunakan AWS SDK for Java 2.x dan AWS Common Runtime pada sistem Linux untuk mengkonfigurasi klien HTTP yang menggunakan cipher suite ini. Kemudian, setiap kali Anda terhubung ke AWS KMS titik akhir dengan klien HTTP Anda, suite cipher hybrid digunakan.

Klien HTTP ini menggunakan s2n-tls, yang merupakan implementasi open source dari protokol TLS. Suite cipher hybrid yang s2n-tls penggunaan diimplementasikan hanya untuk pertukaran kunci, bukan untuk enkripsi data langsung. Selama pertukaran kunci, klien dan server menghitung kunci yang akan mereka gunakan untuk mengenkripsi dan mendekripsi data pada kabel.

Algoritma yang s2n-tls penggunaan adalah hibrida yang menggabungkan Elliptic Curve Diffie-Hellman (ECDH), algoritma pertukaran kunci klasik yang digunakan saat ini di TLS, dengan Mekanisme Enkapsulasi Kunci Berbasis Kisi Modul (ML-KEM), enkripsi kunci publik dan algoritma pendirian kunci yang telah ditetapkan oleh Institut Nasional untuk Standar dan Teknologi (NIST) sebagai algoritma perjanjian kunci pasca-kuantum standar pertama. Hibrida ini menggunakan masing-masing algoritma secara independen untuk menghasilkan kunci. Selanjutnya menggabungkan dua kunci kriptografi. Dengan s2n-tls, Anda dapat mengonfigurasi klien HTTP untuk memilih TLS pasca-kuantum, yang menempatkan ECDH ML-KEM pertama dalam daftar preferensi. Algoritme pertukaran kunci klasik disertakan dalam daftar preferensi untuk memastikan kompatibilitasnya, namun lebih rendah dalam urutan preferensi.

Menggunakan TLS pasca-kuantum hibrida dengan AWS KMS

Anda dapat menggunakan TLS pasca-kuantum hibrida untuk panggilan Anda. AWS KMS Saat menyiapkan lingkungan pengujian klien HTTP Anda, perhatikan informasi berikut:

Enkripsi dalam Transit

Suite cipher hybrid di s2n-tls hanya digunakan untuk enkripsi dalam perjalanan. Mereka melindungi data Anda saat bepergian dari klien Anda ke AWS KMS titik akhir. AWS KMS tidak menggunakan cipher suite ini untuk mengenkripsi data di bawah. AWS KMS keys

Sebaliknya, ketika AWS KMS mengenkripsi data Anda di bawah kunci KMS, ia menggunakan kriptografi simetris dengan kunci 256-bit dan Standar Enkripsi Lanjutan dalam algoritma Galois Counter Mode (AES-GCM), yang sudah tahan kuantum. Komputasi kuantum skala besar yang secara teoritis disiapkan untuk menghadapi masa depan akan menyerang ciphertext yang dibuat berdasarkan kunci 256-bit AES-GCM, sehingga mengurangi keamanan efektif untuk kunci menjadi 128 bit. Tingkat keamanan ini cukup untuk membuat serangan brute force pada AWS KMS ciphertext tidak layak.

Sistem yang Didukung

Penggunaan suite cipher hybrid di s2n-tls Saat ini hanya didukung pada sistem Linux. Selain itu, cipher suite ini didukung hanya dalam SDKs mendukung AWS Common Runtime, seperti. AWS SDK for Java 2.x Sebagai contoh, lihat Konfigurasikan TLS pasca-kuantum hibrida.

AWS KMS Titik akhir

Saat menggunakan suite cipher hybrid, gunakan endpoint standar AWS KMS . AWS KMS tidak mendukung TLS pasca-kuantum hibrida untuk titik akhir yang divalidasi FIPS 140-3.

Saat Anda mengonfigurasi klien HTTP untuk memilih koneksi TLS pasca-kuantum dengan s2n-tls, cipher pasca-kuantum adalah yang pertama dalam daftar preferensi cipher. Namun, daftar preferensi ini mencakup cipher klasik dan non-hibrida yang lebih rendah dalam urutan preferensi untuk kompatibilitas. Saat Anda mengonfigurasi klien HTTP untuk memilih TLS pasca-kuantum dengan titik akhir yang divalidasi AWS KMS FIPS 140-3, s2n-tls menegosiasikan cipher pertukaran kunci non-hybrid klasik.

Untuk daftar AWS KMS titik akhir untuk masing-masing Wilayah AWS, lihat AWS Key Management Service titik akhir dan kuota di. Referensi Umum Amazon Web Services Untuk informasi tentang titik akhir FIPS, lihat titik akhir FIPS di. Referensi Umum Amazon Web Services

Kinerja yang Diharapkan

Pengujian benchmark awal kami menunjukkan bahwa suite cipher hybrid di s2n-tls lebih lambat dari suite cipher TLS klasik. Efeknya bervariasi, tergantung profil jaringan, kecepatan CPU, jumlah core, dan tingkat panggilan Anda. Untuk informasi lebih lanjut, lihat rencana migrasi kriptografi AWS pasca-kuantum.

Pelajari lebih lanjut tentang TLS pasca-kuantum di AWS KMS

Untuk informasi lebih lanjut tentang penggunaan TLS pasca-kuantum hibrida di AWS KMS, lihat sumber daya berikut.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.