Publicado en: Mar 16, 2022
Las conexiones a AWS Key Management Service (AWS KMS) y AWS Certificate Manager (ACM) ahora usan el establecimiento de claves híbridas poscuánticas para la seguridad de la capa de transporte (SSL/TLS). Estas configuraciones de TLS poscuántico híbrido utilizan mecanismos de encapsulación de claves (KEM) de la tercera ronda del proceso de selección de criptografía poscuántica (PQC) del NIST. Esto permite medir el posible impacto en el rendimiento de los algoritmos PQC antes de que se anuncie su estandarización formal. También se puede beneficiar de la confidencialidad a largo plazo que ofrece el TLS híbrido poscuántico.
Los tres mecanismos de encapsulación de claves (KEM) de Criptografía Poscuántica (PQC) que se ofrecen son Kyber, BIKE y SIKE. El protocolo TLS poscuántico híbrido combina un acuerdo de clave clásico, como ECDHE, con uno de estos KEM. El resultado es que las conexiones TLS heredan las propiedades de seguridad de los intercambios de claves clásicos y poscuánticos.
El TLS poscuántico híbrido para conectar AWS KMS y ACM está disponible en todas las regiones públicas de AWS. Estos cifrados TLS híbridos poscuánticos realizan un intercambio de clave poscuántico adicional durante el enlace de TLS mientras se conectan al servicio y no alteran ninguna API del servicio. En este momento no se hace ningún cambio a los tipos de certificados admitidos por ACM.
Para comenzar, consulte la documentación y este proyecto Java de muestra que indica cómo utilizar la nueva configuración de TLS poscuántico híbrido.
Actualización: 21 de julio de 2022 para aclarar que la funcionalidad poscuántica es específica para las conexiones a AWS KMS y ACM.