AWS 应用程序负载均衡器和网络负载均衡器现在支持 TLS 后量子密钥交换
AWS 应用程序负载均衡器(ALB)和网络负载均衡器(NLB)现在支持用于传输层安全性协议(TLS)的后量子密钥交换选项。这项可选功能引入了支持混合后量子密钥协商的全新 TLS 安全策略,将传统密钥交换算法与后量子密钥封装方法相结合,其中包括标准化的基于模块格的密钥封装机制(ML-KEM)算法。
后量子 TLS(PQ-TLS)安全策略可以保护传输中数据免受潜在的“先收集,后解密”(HNDL)攻击。在此类攻击中,攻击者先收集当前的加密数据,在量子计算能力成熟后再尝试解密。这种具备抗量子能力的加密机制能够确保应用程序和数据传输的长期安全性,让您的基础设施能够抵御新出现的量子计算威胁,适应未来的发展和需求。
这项功能已在所有 AWS 商业区域、AWS GovCloud(美国)区域及 AWS 中国区域的 ALB 和 NLB 中推出,且无需额外付费。要使用这项功能,您必须明确更新现有的 ALB HTTPS 侦听器或 NLB TLS 侦听器,使其采用 PQ-TLS 安全策略;或者在通过 AWS 管理控制台、CLI、API 或 SDK 创建新的侦听器时选择 PQ-TLS 策略。您可以使用 ALB 连接日志或 NLB 访问日志来监控使用的是传统密钥交换还是量子安全密钥交换。
要了解更多信息,请参阅 ALB 用户指南、NLB 用户指南和 AWS 后量子密码术文档。