Configuration du protocole TLS post-quantique hybride pour votre client - Amazon Simple Storage Service
Exemple de configuration client : AWS SDK pour Java 2

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du protocole TLS post-quantique hybride pour votre client

Pour utiliser PQ-TLS avec Amazon S3, vous devez configurer votre client pour qu'il prenne en charge les algorithmes d'échange de clés post-quantiques. Assurez-vous également que votre client soutient l'approche hybride, qui combine la cryptographie à courbe elliptique traditionnelle avec des algorithmes post-quantiques tels que ML-KEM (Key Encapsulation Mechanism). Module-Lattice-Based

La configuration spécifique dépend de votre bibliothèque cliente et de votre langage de programmation. Pour plus d'informations, voir Activation du TLS post-quantique hybride.

Exemple de configuration client : AWS SDK pour Java 2

Dans cette procédure, ajoutez une dépendance Maven pour le client HTTP AWS Common Runtime. Vous pouvez ensuite configurer un client HTTP qui privilégie le protocole TLS post-quantique. Créez ensuite un client Amazon S3 qui utilise le client HTTP.

Note

Le client HTTP AWS Common Runtime, disponible en version préliminaire, est devenu généralement disponible en février 2023. Dans cette version, la classe tlsCipherPreference et le paramètre de méthode tlsCipherPreference() sont remplacés par le paramètre de méthode postQuantumTlsEnabled(). Si vous utilisiez cet exemple dans la version préliminaire, vous devez procéder à la mise à jour de votre code.

  1. Ajoutez le client AWS Common Runtime à vos dépendances Maven. Nous vous recommandons d'utiliser la dernière version disponible.

    Par exemple, cette instruction ajoute une version 2.30.22 du client AWS Common Runtime à vos dépendances Maven. 

    <dependency>
    <groupId>software.amazon.awssdk</groupId>
    <artifactId>aws-crt-client</artifactId>
    <version>2.30.22</version>
</dependency>

  2. Pour activer les suites de chiffrement post-quantiques hybrides, ajoutez-les AWS SDK for Java 2.x à votre projet et initialisez-le. Activez ensuite les suites de chiffrement post-quantique hybrides sur votre client HTTP, comme indiqué dans l'exemple suivant.

    Ce code utilise le paramètre postQuantumTlsEnabled() method pour configurer un client HTTP d'exécution AWS commun qui préfère la suite de chiffrement post-quantique hybride recommandée, ECDH with. ML-KEM Il utilise ensuite le client HTTP configuré pour créer une instance du client asynchrone Amazon S3. S3AsyncClient Une fois ce code terminé, toutes les demandes d'API Amazon S3 sur l'S3AsyncClientinstance utilisent le protocole TLS post-quantique hybride.

    Important

    Depuis la version 2.35.11, les appelants n'ont plus besoin de configurer pour activer le TLS post-quantique hybride .postQuantumTlsEnabled(true) pour votre client. Toutes les versions plus récentes que la version 2.35.11 activent le TLS post-quantique par défaut.

    // Configure HTTP client
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
          .postQuantumTlsEnabled(true)
          .build();

// Create the Amazon S3 async client
S3AsyncClient s3Async = S3AsyncClient.builder()
         .httpClient(awsCrtHttpClient)
         .build();

  3. Testez vos appels Amazon S3 avec le protocole TLS post-quantique hybride.

    Lorsque vous appelez les opérations d'API Amazon S3 sur le client Amazon S3 configuré, vos appels sont transmis au point de terminaison Amazon S3 à l'aide du protocole TLS post-quantique hybride. Pour tester votre configuration, appelez une API Amazon S3, telle queListBuckets.

    ListBucketsResponse reponse = s3Async.listBuckets();

Testez votre configuration TLS post-quantique hybride

Envisagez d'exécuter les tests suivants avec des suites de chiffrement hybrides sur vos applications qui appellent Amazon S3.

  • Exécutez des tests de charge et des repères. Les suites de chiffrement hybrides fonctionnent différemment des algorithmes d'échange de clés traditionnels. Il se peut que vous deviez ajuster les délais d'expiration de votre connexion pour tenir compte des durées de liaison plus longues. Si vous exécutez une AWS Lambda fonction, prolongez le paramètre de délai d'exécution.

  • Essayez de vous connecter à partir de différents endroits. Selon le chemin réseau emprunté par votre demande, vous découvrirez peut-être que des hôtes intermédiaires, des proxys ou des pare-feu avec inspection approfondie des paquets (DPI) bloquent la demande. Cela peut être dû à l'utilisation des nouvelles suites de chiffrement dans le ClientHellocadre de la poignée de main TLS ou à des messages d'échange de clés plus volumineux. Si vous rencontrez des difficultés pour résoudre ces problèmes, collaborez avec votre équipe de sécurité ou les administrateurs informatiques pour mettre à jour la configuration appropriée et débloquer les nouvelles suites de chiffrement TLS.