As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Key Management Service (AWS KMS) suporta uma opção híbrida de troca de chaves pós-quântica para o protocolo de criptografia de rede Transport Layer Security (TLS). Você pode usar essa opção TLS ao se conectar aos endpoints de API do AWS KMS . Esses recursos opcionais de troca de chaves pós-quânticas híbridas são, no mínimo, tão seguros quanto a criptografia TLS que usamos atualmente e provavelmente fornecerão benefícios adicionais de segurança em longo prazo. No entanto, eles afetam a latência e o throughput em comparação com os protocolos clássicos de troca de chaves em uso atualmente.
Os dados que você envia para AWS Key Management Service (AWS KMS) são protegidos em trânsito pela criptografia fornecida por uma conexão TLS (Transport Layer Security). Os pacotes de criptografia clássica aos quais o AWS KMS oferece suporte a sessões TLS tornam inviáveis os ataques de força bruta nos mecanismos de troca de chaves com a tecnologia atual. No entanto, se a computação quântica em grande escala se tornar prática no futuro, os pacotes de criptografia clássica usados nos mecanismos de troca de chaves TLS serão suscetíveis a esses ataques. Se você estiver desenvolvendo aplicativos que dependem da confidencialidade de longo prazo dos dados transmitidos por uma conexão TLS, considere um plano para migrar para a criptografia pós-quântica antes que computadores quânticos em grande escala estejam disponíveis para uso. AWS está trabalhando para se preparar para esse futuro, e queremos que você também esteja bem preparado.
Para proteger os dados criptografados hoje contra possíveis ataques futuros, AWS está participando com a comunidade criptográfica no desenvolvimento de algoritmos quânticos resistentes ou pós-quânticos. Implementamos suítes de cifras híbridas pós-quânticas de troca de chaves AWS KMS que combinam elementos clássicos e pós-quânticos para garantir que sua conexão TLS seja pelo menos tão forte quanto seria com suítes de criptografia clássicas.
Esses pacotes de criptografia híbrida estão disponíveis para uso em suas cargas de trabalho de produção na maioria. Regiões da AWS No entanto, como as características de desempenho e os requisitos de largura de banda dos pacotes de criptografia híbrida são diferentes dos mecanismos clássicos de troca de chaves, recomendamos que você os teste em suas chamadas de AWS KMS API sob condições diferentes.
Feedback
Como sempre, agradecemos seu feedback e sua participação em nossos repositórios de código aberto. Gostaríamos especialmente de saber como sua infraestrutura interage com essa nova variante do tráfego TLS.
-
Para fornecer feedback sobre esse tópico, use o link Feedback no canto superior direito desta página.
-
Estamos desenvolvendo esses pacotes de criptografia híbrida em código aberto no s2n-tls
repositório ativado. GitHub Para fornecer feedback sobre a usabilidade dos pacotes de criptografia ou compartilhar novas condições ou resultados de testes, crie um problema no s2n-tls repositório. -
Estamos escrevendo exemplos de código para usar o TLS pós-quântico híbrido com o AWS KMS aws-kms-pq-tls-example
GitHub repositório. Para fazer perguntas ou compartilhar ideias sobre como configurar seu cliente HTTP ou AWS KMS cliente para usar os pacotes de criptografia híbridos, crie um problema no aws-kms-pq-tls-example repositório.
Suportado Regiões da AWS
O Post-Quantum TLS for AWS KMS está disponível em todos os Regiões da AWS que oferecem AWS KMS suporte, exceto na China (Pequim) e na China (Ningxia).
nota
AWS KMS não suporta TLS híbrido pós-quântico para endpoints FIPS em. AWS GovCloud (US)
Para obter uma lista de AWS KMS endpoints para cada um Região da AWS, consulte AWS Key Management Service endpoints e cotas no. Referência geral da Amazon Web Services Para obter informações sobre endpoints do FIPS, consulte Endpoints do FIPS no Referência geral da Amazon Web Services.
Sobre a troca de chaves pós-quântica híbrida no TLS
AWS KMS suporta suítes de cifras híbridas pós-quânticas de troca de chaves. Você pode usar o AWS SDK for Java 2.x e o AWS Common Runtime em sistemas Linux para configurar um cliente HTTP que usa esses conjuntos de criptografia. Então, sempre que você se conecta a um AWS KMS endpoint com seu cliente HTTP, os conjuntos de criptografia híbrida são usados.
Este cliente HTTP usa s2n-tls
Os algoritmos que s2n-tls os usos são um híbrido que combina a curva elíptica Diffie-Hellman
Usando TLS pós-quântico híbrido com AWS KMS
Você pode usar o TLS pós-quântico híbrido para suas chamadas para. AWS KMS Ao configurar seu ambiente de teste de cliente HTTP, esteja ciente das seguintes informações:
Criptografia em trânsito
As suítes de cifras híbridas em s2n-tls são usados somente para criptografia em trânsito. Eles protegem seus dados enquanto eles viajam do seu cliente para o AWS KMS endpoint. AWS KMS não usa esses conjuntos de cifras para criptografar dados em. AWS KMS keys
Em vez disso, ao AWS KMS criptografar seus dados com chaves KMS, ele usa criptografia simétrica com chaves de 256 bits e o algoritmo Advanced Encryption Standard in Galois Counter Mode (AES-GCM), que já é resistente ao quantum. Num futuro teórico, ataques de computação quântica em grande escala em textos cifrados criados sob chaves AES-GCM de 256 bits reduzem a segurança efetiva da chave para 128 bits
Sistemas suportados
Uso das suítes de cifras híbridas em s2n-tls atualmente é suportado somente em sistemas Linux. Além disso, esses pacotes de criptografia são suportados somente no SDKs AWS Common Runtime, como o. AWS SDK for Java 2.x Para ver um exemplo, consulte Configurar o TLS pós-quântico híbrido.
AWS KMS Endpoints
Ao usar os pacotes de criptografia híbridos, use o endpoint padrão AWS KMS . AWS KMS não suporta TLS híbrido pós-quântico para endpoints validados pelo FIPS 140-3.
Quando você configura um cliente HTTP para preferir conexões TLS pós-quânticas com s2n-tls, as cifras pós-quânticas estão em primeiro lugar na lista de preferências de cifras. No entanto, a lista de preferências inclui as cifras clássicas não híbridas mais abaixo na ordem de preferência para a compatibilidade. Quando você configura um cliente HTTP para preferir o TLS pós-quântico com um endpoint validado pelo AWS KMS FIPS 140-3, s2n-tls negocia uma cifra de troca de chaves clássica e não híbrida.
Para obter uma lista de AWS KMS endpoints para cada um Região da AWS, consulte AWS Key Management Service endpoints e cotas no. Referência geral da Amazon Web Services Para obter informações sobre endpoints do FIPS, consulte Endpoints do FIPS no Referência geral da Amazon Web Services.
Desempenho esperado
Nossos primeiros testes de benchmark mostram que as suítes de cifras híbridas em s2n-tls são mais lentos do que os pacotes de criptografia TLS clássicos. O efeito varia de acordo com o perfil de rede, a velocidade da CPU, o número de núcleos e a taxa de chamada. Para obter mais informações, consulte o plano de migração da criptografia AWS pós-quântica
Saiba mais sobre o TLS pós-quântico em AWS KMS
Para obter mais informações sobre como usar o TLS híbrido pós-quântico em AWS KMS, consulte os recursos a seguir.
-
Para aprender sobre criptografia pós-quântica em AWS, incluindo links para postagens de blogs e trabalhos de pesquisa, consulte Criptografia pós-quântica
. -
Para obter mais informações sobre s2n-tls, consulte Apresentando s2n-tls, uma nova implementação
e uso de TLS de código aberto s2n-tls . -
Para obter informações sobre o cliente HTTP do AWS Common Runtime, consulte Configurando o cliente HTTP AWS baseado em CRT no Guia do AWS SDK for Java 2.x desenvolvedor.
-
Para obter informações sobre o projeto de criptografia pós-quântica no Instituto Nacional de Padrões e Tecnologia (NIST — National Institute for Standards and Technology), consulte Criptografia pós-quântica
. -
Para obter informações sobre a padronização de criptografia pós-quântica do NIST, consulte Post-Quantum Cryptography Standardization
(Padronização de criptografia pós-quântica).
