Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo del TLS post-quantistico ibrido con AWS KMS
AWS Key Management Service (AWS KMS) supporta un'opzione ibrida di scambio di chiavi post-quantistiche per il protocollo di crittografia di rete Transport Layer Security (TLS). È possibile utilizzare questa opzione TLS quando ci si connette agli endpoint API AWS KMS . Queste caratteristiche opzionali di scambio di chiavi post-quantistiche ibride sono sicure almeno quanto la crittografia TLS che utilizziamo oggi e potrebbero fornire ulteriori vantaggi per la sicurezza a lungo termine. Tuttavia, influenzano la latenza e il throughput rispetto ai protocolli di scambio di chiavi classici in uso oggi.
I dati inviati a AWS Key Management Service (AWS KMS) sono protetti in transito dalla crittografia fornita da una connessione Transport Layer Security (TLS). Le classiche suite di crittografia supportate da AWS KMS per le sessioni TLS rendono gli attacchi di forza bruta sui meccanismi di scambio delle chiavi irrealizzabili con la tecnologia attuale. Tuttavia, se il calcolo quantistico su larga scala diventa una realtà in futuro, le classiche suite di crittografia utilizzate nei meccanismi di scambio delle chiavi TLS saranno suscettibili a questi attacchi. Se state sviluppando applicazioni che si basano sulla riservatezza a lungo termine dei dati trasmessi tramite una connessione TLS, dovreste prendere in considerazione un piano di migrazione alla crittografia post-quantistica prima che i computer quantistici su larga scala diventino disponibili per l'uso. AWS sta lavorando per prepararsi a questo futuro e vogliamo che anche voi siate ben preparati.
*Per proteggere i dati crittografati oggi da potenziali attacchi futuri, AWS partecipa con la comunità crittografica allo sviluppo di algoritmi quantistici resistenti o post-quantistici.* Abbiamo implementato suite di *crittografia ibride* post-quantistiche a scambio di chiavi AWS KMS che combinano elementi classici e post-quantistici per garantire che la connessione TLS sia almeno altrettanto potente come lo sarebbe con le suite di crittografia classiche.
[Queste suite di crittografia ibride sono disponibili per l'uso sui carichi di lavoro di produzione nella maggior parte dei casi. Regioni AWS](#pqtls-regions) Tuttavia, poiché le caratteristiche prestazionali e i requisiti di larghezza di banda delle suite di crittografia ibride sono diversi da quelli dei classici meccanismi di scambio di chiavi, consigliamo di [testarli sulle](pqtls-how-to.md#pqtls-testing) chiamate API in condizioni diverse. AWS KMS
**Feedback**
Come sempre, la tua opinione e la partecipazione nei nostri repository open source è molto importante. Vorremmo soprattutto sapere come la tua infrastruttura interagisce con questa nuova variante del traffico TLS.
+ Per fornire un feedback su questo argomento, usa il link **Feedback** nell'angolo in alto a destra di questa pagina.
+ Stiamo sviluppando queste suite di crittografia ibrida in open source nel repository di. [https://github.com/aws/s2n-tls](https://github.com/aws/s2n-tls) GitHub Per fornire feedback sulla fruibilità delle suite crittografia o condividere nuove condizioni o risultati di test, [creare un problema](https://github.com/aws/s2n-tls/issues) nel repository s2n-tls.
+ Stiamo scrivendo esempi di codice per l'utilizzo del TLS post-quantistico ibrido nel repository. AWS KMS [https://github.com/aws-samples/aws-kms-pq-tls-example](https://github.com/aws-samples/aws-kms-pq-tls-example) GitHub [Per porre domande o condividere idee sulla configurazione del client o AWS KMS del client HTTP per l'utilizzo delle suite di crittografia ibrida, crea un problema nel repository.](https://github.com/aws-samples/aws-kms-pq-tls-example/issues) aws-kms-pq-tls-example
**Supportato Regioni AWS**
Post-quantum TLS for AWS KMS è disponibile in tutti i Regioni AWS supporti. AWS KMS
Per un elenco di AWS KMS endpoint per ciascuno Regione AWS, consulta [AWS Key Management Service endpoint](https://docs.aws.amazon.com/general/latest/gr/kms.html) e quote in. *Riferimenti generali di Amazon Web Services* Per ulteriori informazioni sugli endpoint FIPS, consulta [Endpoint FIPS](https://docs.aws.amazon.com/general/latest/gr/rande.html#FIPS-endpoints) nella *Riferimenti generali di Amazon Web Services*.
## Informazioni sullo scambio di chiavi post-quantistiche ibride in TLS
AWS KMS supporta suite di cifratura ibride post-quantistiche a scambio di chiavi. È possibile utilizzare AWS SDK for Java 2.x e AWS Common Runtime sui sistemi Linux per configurare un client HTTP che utilizza queste suite di crittografia. Quindi, ogni volta che ci si connette a un AWS KMS endpoint con il client HTTP, vengono utilizzate le suite di crittografia ibride.
Questo client HTTP utilizza [https://github.com/aws/s2n-tls](https://github.com/aws/s2n-tls), che è un'implementazione open source del protocollo TLS. Le suite di crittografia ibride utilizzate da s2n-tls sono implementate solo per lo scambio di chiavi, non per la crittografia dei dati diretta. Durante *lo scambio di chiavi*, il client e il server calcolano la chiave che utilizzeranno per crittografare e decrittografare i dati in rete.
Gli algoritmi s2n-tls utilizzati sono un *ibrido* che combina [Elliptic Curve Diffie-Hellman](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman) (ECDH), un classico algoritmo di scambio di chiavi utilizzato oggi in TLS, con il [meccanismo di incapsulamento delle chiavi basato su Module-Lattice](https://csrc.nist.gov/pubs/fips/203/final) (ML-KEM), un algoritmo di crittografia e definizione delle chiavi a chiave pubblica che il National Institute for Standards and Technology (NIST) [ha designato come primo algoritmo di accordo di chiavi post-quantistiche standard](https://csrc.nist.gov/pubs/fips/203/final). Questo algoritmo ibrido utilizza ciascuno degli algoritmi in modo indipendente per generare una chiave. Quindi combina crittograficamente le due chiavi. Con s2n-tls, puoi [configurare un client HTTP](pqtls-how-to.md) con una preferenza per il protocollo TLS post-quantistico, che inserisce ECDH con ML-KEM in prima posizione nell'elenco delle preferenze. Gli algoritmi di scambio di chiavi classici sono inclusi nell'elenco delle preferenze per garantire la compatibilità, ma sono inferiori nell'ordine delle preferenze.
## Utilizzo del TLS post-quantistico ibrido con AWS KMS
Puoi utilizzare il TLS post-quantistico ibrido per le tue chiamate a. AWS KMS Quando si configura l'ambiente di test del client HTTP, tenere presente le seguenti informazioni:
**Crittografia in transito**
Le suite di crittografia ibrida in s2n-tls vengono utilizzate solo per la crittografia in transito. Proteggono i tuoi dati mentre viaggiano dal client all'endpoint. AWS KMS AWS KMS non utilizza queste suite di crittografia per crittografare i dati con. AWS KMS keys
Invece, quando AWS KMS crittografa i dati con chiavi KMS, utilizza la crittografia simmetrica con chiavi a 256 bit e l'algoritmo Advanced Encryption Standard in Galois Counter Mode (AES-GCM), che è già resistente ai calcoli quantistici. Attacchi teorici futuri di calcolo quantistico su larga scala su testi cifrati creati con chiavi AES-GCM a 256 bit [riducono l'effettiva sicurezza della chiave a 128 bit](https://www.etsi.org/images/files/ETSIWhitePapers/QuantumSafeWhitepaper.pdf). Questo livello di sicurezza è sufficiente a rendere impossibili gli attacchi di forza bruta ai testi cifrati. AWS KMS
**Sistemi supportati**
L'uso delle suite di crittografia ibride in s2n-tls al momento è supportato solo su sistemi Linux. Inoltre, queste suite di crittografia sono supportate solo se supportano Common Runtime, come SDKs ad esempio. AWS AWS SDK for Java 2.x Per vedere un esempio, consulta [Configura il TLS post-quantistico ibrido](pqtls-how-to.md).
**AWS KMS Endpoints**
AWS KMS [supporta il TLS post-quantistico ibrido su tutti gli endpoint, inclusi gli endpoint convalidati FIPS 140-3.](https://docs.aws.amazon.com/general/latest/gr/kms.html)
# Configura il TLS post-quantistico ibrido
In questa procedura, aggiungi una dipendenza Maven per il client HTTP Common Runtime. AWS Quindi, configura un client HTTP che preferisca il protocollo TLS post-quantistico. Quindi, crea un AWS KMS client che utilizzi il client HTTP.
Per un esempio completo di configurazione e utilizzo del protocollo TLS post-quantistico ibrido con AWS KMS, consultare il repository [https://github.com/aws-samples/aws-kms-pq-tls-example](https://github.com/aws-samples/aws-kms-pq-tls-example).
**Nota**
Il AWS Common Runtime HTTP Client, disponibile in anteprima, è diventato disponibile a livello generale nel febbraio 2023. In tale versione, la classe `tlsCipherPreference` e il parametro del metodo `tlsCipherPreference()` vengono sostituiti dal parametro del metodo `postQuantumTlsEnabled()`. Se stavi usando questo esempio durante l'anteprima, devi aggiornare il codice.
1. Aggiungi il client AWS Common Runtime alle tue dipendenze Maven. Si consiglia di utilizzare l'ultima versione disponibile.
Ad esempio, questa istruzione aggiunge la versione `2.30.22` del client AWS Common Runtime alle dipendenze Maven.
```
software.amazon.awssdk
aws-crt-client
2.30.22
```
1. Per abilitare le suite ibride di cifratura post-quantistica, aggiungile al progetto e inizializzalo. AWS SDK for Java 2.x Quindi abilita le suite di crittografia post-quantistica ibrida come mostrato nell'esempio seguente.
Questo codice utilizza il parametro `postQuantumTlsEnabled()` method per configurare un [client HTTP di runtime AWS comune](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/http-configuration-crt.html) che preferisce la suite di cifratura post-quantistica ibrida consigliata, ECDH with. ML-KEM Quindi utilizza il client HTTP configurato per creare un'istanza del client asincrono,. AWS KMS [https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/kms/KmsAsyncClient.html](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/kms/KmsAsyncClient.html) Una volta completato questo codice, tutte le richieste [API AWS KMS](https://docs.aws.amazon.com/kms/latest/APIReference/) sull'istanza `KmsAsyncClient` utilizzano un protocollo TLS post-quantistico ibrido.
```
// Configure HTTP client
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
.postQuantumTlsEnabled(true)
.build();
// Create the AWS KMS async client
KmsAsyncClient kmsAsync = KmsAsyncClient.builder()
.httpClient(awsCrtHttpClient)
.build();
```
1. Metti alla prova le tue AWS KMS chiamate con il TLS post-quantistico ibrido.
Quando richiami le operazioni AWS KMS API sul AWS KMS client configurato, le chiamate vengono trasmesse all' AWS KMS endpoint utilizzando il TLS post-quantistico ibrido. Per testare la tua configurazione, chiama un' AWS KMS API, ad esempio. `[ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)`
```
ListKeysReponse keys = kmsAsync.listKeys().get();
```
## Testa la tua configurazione TLS ibrida post-quantistica
Valuta la possibilità di eseguire i seguenti test con suite di crittografia ibrida sulle applicazioni che effettuano chiamate. AWS KMS
+ Visualizza la `tlsDetails` sezione nella voce di CloudTrail registro relativa a una chiamata AWS KMS API effettuata dalla tua applicazione. Il `keyExchange` campo deve menzionare un algoritmo ibrido come`X25519MLKEM768`. Per vedere un esempio, consulta [Decrittografa con una chiave di crittografia simmetrica standard su una connessione TLS post-quantistica](ct-decrypt.md#ct-decrypt-default-pqtls).
+ Esegui benchmark utilizzando TLS post-quantistico ibrido. Lo scambio di chiavi ibride aumenta le dimensioni e il tempo di elaborazione di alcuni messaggi nell'handshake TLS, ma l'impatto complessivo sulle prestazioni dovrebbe essere impercettibile nella maggior parte dei casi.
+ Provare a connettersi da posizioni diverse. A seconda del percorso di rete seguito dalla richiesta, potresti scoprire che host intermedi, proxy o firewall legacy con ispezione approfondita dei pacchetti (DPI) bloccano la richiesta. Ciò potrebbe derivare dall'utilizzo dei nuovi gruppi di scambio di chiavi nella [ClientHello](https://datatracker.ietf.org/doc/html/rfc8446#section-4.1.2)parte dell'handshake TLS o dai messaggi di scambio di chiavi più grandi. Se hai problemi a risolvere questi problemi, collabora con il tuo team di sicurezza o gli amministratori IT per aggiornare la configurazione pertinente e sbloccare i nuovi gruppi di scambio di chiavi TLS.
## Scopri di più sul TLS post-quantistico in AWS KMS
Per ulteriori informazioni sull'utilizzo del TLS ibrido post-quantistico in AWS KMS, consulta le seguenti risorse.
+ [Per ulteriori informazioni sulla crittografia post-quantistica all'indirizzo AWS, compresi i collegamenti ai post di blog e ai documenti di ricerca, consulta Crittografia post-quantistica.](https://aws.amazon.com/security/post-quantum-cryptography/)
+ Per informazioni su s2n-tls, consultare [Introduzione di s2n-tls, una nuova implementazione TLS open source](https://aws.amazon.com/blogs/security/introducing-s2n-a-new-open-source-tls-implementation/) e [Utilizzo di s2n-tls](https://github.com/aws/s2n-tls/tree/main/docs/usage-guide).
+ *Per informazioni sul client HTTP AWS Common Runtime, consulta [Configurazione del client HTTP basato su AWS CRT nella Guida per gli sviluppatori](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/http-configuration-crt.html).AWS SDK for Java 2.x *
+ Per informazioni sul progetto di crittografia post-quantistica presso il National Institute for Standards and Technology (NIST), consultare [Post-Quantum Cryptography](https://csrc.nist.gov/Projects/Post-Quantum-Cryptography) (Crittografia post-quantistica).
+ Per informazioni sulla standardizzazione della crittografia post-quantistica del NIST, consulta la sezione [Standardizzazione della crittografia post-quantistica](https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization).