Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Key Management Service (AWS KMS) supporta un'opzione ibrida di scambio di chiavi post-quantistiche per il protocollo di crittografia di rete Transport Layer Security (TLS). È possibile utilizzare questa opzione TLS quando ci si connette agli endpoint API AWS KMS . Queste caratteristiche opzionali di scambio di chiavi post-quantistiche ibride sono sicure almeno quanto la crittografia TLS che utilizziamo oggi e potrebbero fornire ulteriori vantaggi per la sicurezza a lungo termine. Tuttavia, influenzano la latenza e il throughput rispetto ai protocolli di scambio di chiavi classici in uso oggi.
I dati inviati a AWS Key Management Service (AWS KMS) sono protetti in transito dalla crittografia fornita da una connessione Transport Layer Security (TLS). Le classiche suite di crittografia supportate da AWS KMS per le sessioni TLS rendono gli attacchi di forza bruta sui meccanismi di scambio delle chiavi irrealizzabili con la tecnologia attuale. Tuttavia, se il calcolo quantistico su larga scala diventa una realtà in futuro, le classiche suite di crittografia utilizzate nei meccanismi di scambio delle chiavi TLS saranno suscettibili a questi attacchi. Se stai sviluppando applicazioni che si basano sulla riservatezza a lungo termine dei dati trasmessi tramite una connessione TLS, dovresti prendere in considerazione un piano per migrare alla crittografia post-quantistica prima che i computer quantistici su larga scala diventino disponibili per l'uso. AWS sta lavorando per prepararsi a questo futuro e vogliamo che anche voi siate ben preparati.
Per proteggere i dati crittografati oggi da potenziali attacchi futuri, AWS partecipa con la comunità crittografica allo sviluppo di algoritmi quantistici resistenti o post-quantistici. Abbiamo implementato suite di crittografia ibride post-quantistiche a scambio di chiavi AWS KMS che combinano elementi classici e post-quantistici per garantire che la connessione TLS sia almeno altrettanto potente come lo sarebbe con le suite di crittografia classiche.
Queste suite di crittografia ibride sono disponibili per l'uso sui carichi di lavoro di produzione nella maggior parte dei casi. Regioni AWS Tuttavia, poiché le caratteristiche prestazionali e i requisiti di larghezza di banda delle suite di crittografia ibride sono diversi da quelli dei classici meccanismi di scambio di chiavi, consigliamo di testarli sulle chiamate API in condizioni diverse. AWS KMS
Feedback
Come sempre, la tua opinione e la partecipazione nei nostri repository open source è molto importante. Vorremmo soprattutto sapere come la tua infrastruttura interagisce con questa nuova variante del traffico TLS.
-
Per fornire un feedback su questo argomento, usa il link Feedback nell'angolo in alto a destra di questa pagina.
-
Stiamo sviluppando queste suite di crittografia ibrida in formato open source nel s2n-tls
repository su. GitHub Per fornire feedback sull'usabilità delle suite di crittografia o condividere nuove condizioni o risultati dei test, crea un problema nel s2n-tls archivio. -
Stiamo scrivendo esempi di codice per l'utilizzo del TLS post-quantistico ibrido con in AWS KMS aws-kms-pq-tls-example
GitHub deposito. Per porre domande o condividere idee sulla configurazione del client o AWS KMS del client HTTP per l'utilizzo delle suite di crittografia ibrida, crea un problema nel aws-kms-pq-tls-example archivio.
Supportato Regioni AWS
Il TLS post-quantum for AWS KMS è disponibile in tutti i paesi Regioni AWS AWS KMS supportati ad eccezione di Cina (Pechino) e Cina (Ningxia).
Nota
AWS KMS non supporta il TLS post-quantistico ibrido per gli endpoint FIPS in. AWS GovCloud (US)
Per un elenco di AWS KMS endpoint per ciascuno Regione AWS, consulta AWS Key Management Service endpoint e quote in. Riferimenti generali di Amazon Web Services Per ulteriori informazioni sugli endpoint FIPS, consulta Endpoint FIPS nella Riferimenti generali di Amazon Web Services.
Informazioni sullo scambio di chiavi post-quantistiche ibride in TLS
AWS KMS supporta suite di cifratura ibride post-quantistiche a scambio di chiavi. È possibile utilizzare AWS SDK for Java 2.x e AWS Common Runtime sui sistemi Linux per configurare un client HTTP che utilizza queste suite di crittografia. Quindi, ogni volta che ci si connette a un AWS KMS endpoint con il client HTTP, vengono utilizzate le suite di crittografia ibride.
Questo client HTTP utilizza s2n-tls
Gli algoritmi che s2n-tls utilizza un ibrido che combina Elliptic Curve Diffie-Hellman
Utilizzo del TLS post-quantistico ibrido con AWS KMS
Puoi utilizzare il TLS post-quantistico ibrido per le tue chiamate a. AWS KMS Quando si configura l'ambiente di test del client HTTP, tenere presente le seguenti informazioni:
Crittografia in transito
La crittografia ibrida si adatta a s2n-tls vengono utilizzati solo per la crittografia in transito. Proteggono i dati mentre viaggiano dal client all' AWS KMS endpoint. AWS KMS non utilizza queste suite di crittografia per crittografare i dati con. AWS KMS keys
Invece, quando AWS KMS crittografa i dati con chiavi KMS, utilizza la crittografia simmetrica con chiavi a 256 bit e l'algoritmo Advanced Encryption Standard in Galois Counter Mode (AES-GCM), che è già resistente ai calcoli quantistici. Attacchi teorici futuri di calcolo quantistico su larga scala su testi cifrati creati con chiavi AES-GCM a 256 bit riducono l'effettiva sicurezza della chiave a 128 bit
Sistemi supportati
Utilizzo delle suite di cifratura ibride in s2n-tls è attualmente supportato solo su sistemi Linux. Inoltre, queste suite di crittografia sono supportate solo se SDKs supportano AWS Common Runtime, ad esempio. AWS SDK for Java 2.x Per vedere un esempio, consulta Configura il TLS post-quantistico ibrido.
AWS KMS Endpoints
Quando si utilizzano le suite di crittografia ibride, utilizzare l'endpoint standard. AWS KMS AWS KMS non supporta il TLS ibrido post-quantistico per endpoint convalidati FIPS 140-3.
Quando si configura un client HTTP per preferire le connessioni TLS post-quantistiche con s2n-tls, i cifrari post-quantistici sono i primi nell'elenco delle preferenze di cifratura. Tuttavia, l'elenco delle preferenze include le crittografie classiche non ibride in posizioni inferiori nell'ordine di preferenza per la compatibilità. Quando configurate un client HTTP per preferire il TLS post-quantistico con un endpoint convalidato FIPS 140-3, AWS KMS s2n-tls negozia un cifrario di scambio di chiavi classico e non ibrido.
Per un elenco di AWS KMS endpoint per ciascuno Regione AWS, consulta AWS Key Management Service endpoint e quote in. Riferimenti generali di Amazon Web Services Per ulteriori informazioni sugli endpoint FIPS, consulta Endpoint FIPS nella Riferimenti generali di Amazon Web Services.
Prestazioni previste
I nostri primi test di benchmark mostrano che le suite di cifratura ibrida sono disponibili in s2n-tls sono più lente delle classiche suite di crittografia TLS. L'effetto varia in base al profilo di rete, alla velocità della CPU, al numero di core e alla frequenza delle chiamate. Per ulteriori informazioni, consulta il piano di migrazione della crittografia AWS post-quantistica
Scopri di più sul TLS post-quantistico in AWS KMS
Per ulteriori informazioni sull'utilizzo del TLS ibrido post-quantistico in AWS KMS, consulta le seguenti risorse.
-
Per informazioni su s2n-tls, vedere Introduzione s2n-tls, una nuova implementazione
e utilizzo di TLS open source s2n-tls . -
Per informazioni sul client HTTP AWS Common Runtime, vedere Configurazione del client HTTP AWS basato su CRT nella Guida per gli sviluppatori.AWS SDK for Java 2.x
-
Per informazioni sul progetto di crittografia post-quantistica presso il National Institute for Standards and Technology (NIST), consultare Post-Quantum Cryptography
(Crittografia post-quantistica). -
Per informazioni sulla standardizzazione della crittografia post-quantistica del NIST, consulta la sezione Standardizzazione della crittografia post-quantistica
.
