Configurazione del TLS post-quantistico ibrido per il tuo client - Amazon Simple Storage Service
Esempio di configurazione del client: AWS SDK for Java 2

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del TLS post-quantistico ibrido per il tuo client

Per utilizzare PQ-TLS con Amazon S3, devi configurare il client per supportare algoritmi di scambio di chiavi post-quantistici. Assicurati inoltre che il tuo cliente supporti l'approccio ibrido, che combina la tradizionale crittografia a curva ellittica con algoritmi post-quantistici come ML-KEM (Key Encapsulation Mechanism). Module-Lattice-Based

La configurazione specifica dipende dalla libreria client e dal linguaggio di programmazione. Per ulteriori informazioni, consulta Abilitazione del TLS ibrido post-quantistico.

Esempio di configurazione del client: AWS SDK for Java 2

In questa procedura, aggiungi una dipendenza Maven per il client HTTP AWS Common Runtime. Quindi, configura un client HTTP che preferisca il protocollo TLS post-quantistico. Quindi, crea un client Amazon S3 che utilizzi il client HTTP.

Nota

Il AWS Common Runtime HTTP Client, disponibile in anteprima, è diventato disponibile a livello generale nel febbraio 2023. In tale versione, la classe tlsCipherPreference e il parametro del metodo tlsCipherPreference() vengono sostituiti dal parametro del metodo postQuantumTlsEnabled(). Se stavi usando questo esempio durante l'anteprima, devi aggiornare il codice.

  1. Aggiungi il client AWS Common Runtime alle tue dipendenze Maven. Si consiglia di utilizzare l'ultima versione disponibile.

    Ad esempio, questa istruzione aggiunge la versione 2.30.22 del client AWS Common Runtime alle dipendenze Maven. 

    <dependency>
    <groupId>software.amazon.awssdk</groupId>
    <artifactId>aws-crt-client</artifactId>
    <version>2.30.22</version>
</dependency>

  2. Per abilitare le suite ibride di cifratura post-quantistica, aggiungile al progetto e inizializzalo. AWS SDK for Java 2.x Quindi abilita le suite di crittografia post-quantistica ibrida come mostrato nell'esempio seguente.

    Questo codice utilizza il parametro postQuantumTlsEnabled() method per configurare un client HTTP di runtime AWS comune che preferisce la suite di cifratura post-quantistica ibrida consigliata, ECDH with. ML-KEM Quindi utilizza il client HTTP configurato per creare un'istanza del client asincrono Amazon S3,. S3AsyncClient Una volta completato questo codice, tutte le richieste API Amazon S3 sull'istanza utilizzano S3AsyncClient il TLS post-quantistico ibrido.

    Importante

    A partire dalla versione 2.35.11, i chiamanti non devono più impostare l'attivazione del TLS post-quantistico ibrido per il cliente.postQuantumTlsEnabled(true). Tutte le versioni più recenti della v2.35.11 abilitano il TLS post-quantistico per impostazione predefinita.

    // Configure HTTP client
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
          .postQuantumTlsEnabled(true)
          .build();

// Create the Amazon S3 async client
S3AsyncClient s3Async = S3AsyncClient.builder()
         .httpClient(awsCrtHttpClient)
         .build();

  3. Testa le tue chiamate Amazon S3 con TLS post-quantistico ibrido.

    Quando richiami le operazioni API di Amazon S3 sul client Amazon S3 configurato, le tue chiamate vengono trasmesse all'endpoint Amazon S3 utilizzando TLS post-quantistico ibrido. Per testare la tua configurazione, chiama un'API Amazon S3, ad esempio. ListBuckets

    ListBucketsResponse reponse = s3Async.listBuckets();

Testa la tua configurazione TLS ibrida post-quantistica

Prendi in considerazione l'esecuzione dei seguenti test con suite di crittografia ibride sulle tue applicazioni che chiamano Amazon S3.

  • Eseguire test di carico e benchmark. Le suite di crittografia ibrida funzionano in modo diverso rispetto agli algoritmi di scambio di chiavi tradizionali. Potrebbe essere necessario modificare i timeout della connessione per consentire tempi di handshake più lunghi. Se esegui all'interno di una AWS Lambda funzione, estendi l'impostazione del timeout di esecuzione.

  • Provare a connettersi da posizioni diverse. A seconda del percorso di rete utilizzato dalla richiesta, è possibile scoprire che host intermedi, proxy o firewall con deep packet inspection (DPI) bloccano la richiesta. Ciò potrebbe derivare dall'utilizzo delle nuove suite di crittografia nella ClientHelloparte dell'handshake TLS o dai messaggi di scambio di chiavi più grandi. In caso di difficoltà con la risoluzione di questi problemi, contattare il team di sicurezza o gli amministratori IT per aggiornare la configurazione pertinente e sbloccare le nuove suite di crittografia TLS.