Konfiguration von hybridem Post-Quantum-TLS für Ihren Kunden - Amazon Simple Storage Service
Beispiel für eine Client-Konfiguration: AWS SDK for Java 2

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von hybridem Post-Quantum-TLS für Ihren Kunden

Um PQ-TLS mit Amazon S3 zu verwenden, müssen Sie Ihren Client so konfigurieren, dass er Algorithmen für den Schlüsselaustausch nach dem Quantenprozess unterstützt. Stellen Sie außerdem sicher, dass Ihr Kunde den Hybridansatz unterstützt, der traditionelle Kryptografie mit elliptischen Kurven mit Post-Quanten-Algorithmen wie ML-KEM (Key Encapsulation Mechanism) kombiniert. Module-Lattice-Based

Die spezifische Konfiguration hängt von Ihrer Clientbibliothek und Ihrer Programmiersprache ab. Weitere Informationen finden Sie unter Hybrid-Post-Quantum-TLS aktivieren.

Beispiel für eine Client-Konfiguration: AWS SDK for Java 2

Fügen Sie in diesem Verfahren eine Maven-Abhängigkeit für den AWS Common Runtime HTTP Client hinzu. Anschließend konfigurieren Sie einen HTTP-Client, der Post-Quantum-TLS bevorzugt. Erstellen Sie dann einen Amazon S3 S3-Client, der den HTTP-Client verwendet.

Anmerkung

Der AWS Common Runtime HTTP Client, der als Vorversion verfügbar war, wurde im Februar 2023 allgemein verfügbar. In dieser Version werden die tlsCipherPreference-Klasse und der tlsCipherPreference()-Methodenparameter durch den postQuantumTlsEnabled()-Methodenparameter ersetzt. Wenn Sie dieses Beispiel in der Vorversion verwendet haben, müssen Sie Ihren Code aktualisieren.

  1. Fügen Sie den AWS Common Runtime-Client zu Ihren Maven-Abhängigkeiten hinzu. Wir empfehlen, die neueste verfügbare Version zu verwenden.

    Diese Anweisung fügt beispielsweise eine Version 2.30.22 des AWS Common Runtime-Clients zu Ihren Maven-Abhängigkeiten hinzu. 

    <dependency>
    <groupId>software.amazon.awssdk</groupId>
    <artifactId>aws-crt-client</artifactId>
    <version>2.30.22</version>
</dependency>

  2. Um die hybriden Post-Quantum-Cipher-Suites zu aktivieren, fügen Sie sie AWS SDK for Java 2.x zu Ihrem Projekt hinzu und initialisieren Sie sie. Aktivieren Sie dann die hybriden Post-Quantum-Cipher-Suites auf Ihrem HTTP-Client, wie im folgenden Beispiel gezeigt.

    Dieser Code verwendet den postQuantumTlsEnabled() Methodenparameter, um einen AWS gemeinsamen Runtime-HTTP-Client zu konfigurieren, der die empfohlene hybride Post-Quantum-Verschlüsselungssuite ECDH with bevorzugt. ML-KEM Anschließend verwendet es den konfigurierten HTTP-Client, um eine Instance des asynchronen Amazon S3 S3-Clients zu erstellen. S3AsyncClient Nachdem dieser Code abgeschlossen ist, verwenden alle Amazon S3 S3-API-Anfragen auf der S3AsyncClient Instance hybrides Post-Quantum-TLS.

    Wichtig

    Ab Version 2.35.11 müssen Anrufer nicht mehr festlegen, ob Hybrid-Post-Quantum-TLS .postQuantumTlsEnabled(true) für Ihren Client aktiviert werden soll. Alle Versionen, die neuer als v2.35.11 sind, aktivieren standardmäßig Post-Quantum-TLS.

    // Configure HTTP client
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
          .postQuantumTlsEnabled(true)
          .build();

// Create the Amazon S3 async client
S3AsyncClient s3Async = S3AsyncClient.builder()
         .httpClient(awsCrtHttpClient)
         .build();

  3. Testen Sie Ihre Amazon S3 S3-Anrufe mit Hybrid-Post-Quantum-TLS.

    Wenn Sie Amazon S3 S3-API-Operationen auf dem konfigurierten Amazon S3 S3-Client aufrufen, werden Ihre Aufrufe mithilfe von Hybrid-Post-Quantum-TLS an den Amazon S3 S3-Endpunkt übertragen. Um Ihre Konfiguration zu testen, rufen Sie eine Amazon S3 S3-API auf, z. ListBuckets B.

    ListBucketsResponse reponse = s3Async.listBuckets();

Testen Sie Ihre hybride Post-Quantum-TLS-Konfiguration

Erwägen Sie, die folgenden Tests mit Hybrid-Verschlüsselungssammlungen für Ihre Anwendungen durchzuführen, die Amazon S3 aufrufen.

  • Führen Sie Belastungstests und Benchmarks aus. Die Hybrid-Cipher-Suites funktionieren anders als herkömmliche Schlüsselaustauschalgorithmen. Möglicherweise müssen Sie Ihre Verbindungszeitüberschreitungen anpassen, um längere Handshake-Zeiten zu ermöglichen. Wenn Sie innerhalb einer AWS Lambda Funktion arbeiten, verlängern Sie die Einstellung für das Ausführungs-Timeout.

  • Versuchen Sie, eine Verbindung von verschiedenen Standorten herzustellen. Abhängig vom Netzwerkpfad Ihrer Anforderung können Sie feststellen, dass Zwischenhosts, Proxys oder Firewalls mit Deep Packet Inspection (DPI) die Anforderung blockieren. Dies kann auf die Verwendung der neuen Cipher Suites im ClientHelloTeil des TLS-Handshakes oder auf die größeren Schlüsselaustauschnachrichten zurückzuführen sein. Wenn Sie Probleme bei der Behebung dieser Probleme haben, arbeiten Sie mit Ihrem Sicherheitsteam oder IT-Administratoren zusammen, um die entsprechende Konfiguration zu aktualisieren und die Blockierung der neuen TLS-Cipher-Suites aufzuheben.