Configura la postquantistica ibrida TLS - AWS Key Management Service
Come eseguire il test

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura la postquantistica ibrida TLS

In questa procedura, aggiungi una dipendenza Maven per il Common Runtime Client. AWS HTTP Quindi, configura un HTTP client che preferisce il post-quantum. TLS Quindi, crea un AWS KMS client che utilizzi il client. HTTP

Per vedere alcuni esempi operativi completi di configurazione e utilizzo della tecnologia post-quantistica ibrida TLS con AWS KMS, consulta la aws-kms-pq-tls-examplearchivio.

Nota

Il AWS Common Runtime HTTP Client, disponibile in anteprima, è diventato disponibile a livello generale nel febbraio 2023. In tale versione, la classe tlsCipherPreference e il parametro del metodo tlsCipherPreference() vengono sostituiti dal parametro del metodo postQuantumTlsEnabled(). Se stavi usando questo esempio durante l'anteprima, devi aggiornare il codice.

  1. Aggiungi il client AWS Common Runtime alle tue dipendenze Maven. Si consiglia di utilizzare l'ultima versione disponibile.

    Ad esempio, questa istruzione aggiunge la versione 2.20.0 del client AWS Common Runtime alle dipendenze Maven. 

    <dependency>
    <groupId>software.amazon.awssdk</groupId>
    <artifactId>aws-crt-client</artifactId>
    <version>2.20.0</version>
</dependency>

  2. Per abilitare le suite ibride di cifratura post-quantistica, aggiungile al progetto e inizializzalo. AWS SDK for Java 2.x Quindi abilita le suite di cifratura post-quantistica ibrida sul tuo client, come mostrato nell'esempio seguente. HTTP

    Questo codice utilizza il parametro postQuantumTlsEnabled() method per configurare un HTTPclient di runtime AWS comune che preferisce la suite di cifratura post-quantistica ibrida consigliata, con Kyber. ECDH Quindi utilizza il HTTP client configurato per creare un'istanza del client asincrono,. AWS KMS KmsAsyncClient Una volta completato questo codice, tutte le AWS KMS APIrichieste sull'KmsAsyncClientistanza utilizzano la tecnologia post-quantistica ibrida. TLS

    // Configure HTTP client
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
          .postQuantumTlsEnabled(true)
          .build();

// Create the AWS KMS async client
KmsAsyncClient kmsAsync = KmsAsyncClient.builder()
         .httpClient(awsCrtHttpClient)
         .build();

  3. Metti alla prova le tue AWS KMS chiamate con la tecnologia post-quantistica ibrida. TLS

    Quando richiami AWS KMS API le operazioni sul AWS KMS client configurato, le chiamate vengono trasmesse all' AWS KMS endpoint utilizzando la tecnologia post-quantistica ibrida. TLS Per testare la configurazione, chiama un AWS KMS API, ad esempio. ListKeys

    ListKeysReponse keys = kmsAsync.listKeys().get();

Testa la tua configurazione ibrida post-quantistica TLS

Valuta la possibilità di eseguire i seguenti test con suite di crittografia ibride sulle applicazioni che effettuano chiamate. AWS KMS

  • Eseguire test di carico e benchmark. Le suite di crittografia ibrida funzionano in modo diverso rispetto agli algoritmi di scambio di chiavi tradizionali. Potrebbe essere necessario modificare i timeout della connessione per consentire tempi di handshake più lunghi. Se esegui all'interno di una AWS Lambda funzione, estendi l'impostazione del timeout di esecuzione.

  • Provare a connettersi da posizioni diverse. A seconda del percorso di rete seguito dalla richiesta, potresti scoprire che host intermedi, proxy o firewall con deep packet inspection () bloccano la richiesta. DPI Ciò potrebbe derivare dall'utilizzo delle nuove suite di crittografia nella ClientHelloparte dell'TLShandshake o dai messaggi di scambio di chiavi più grandi. Se hai problemi a risolvere questi problemi, collabora con il tuo team di sicurezza o gli amministratori IT per aggiornare la configurazione pertinente e sbloccare le nuove suite di crittografia. TLS