Publié le: Mar 16, 2022
Les connexions à AWS Key Management Service (AWS KMS) et AWS Certificate Manager (ACM) recourent désormais à l'établissement de clés post-quantum hybrides pour la sécurité de la couche de transport (SSL/TLS). Ces configurations TLS post-quantum hybrides utilisent des mécanismes d'encapsulation de clés (KEM) issus du 3e tour du processus de sélection de cryptographie post-quantum (PQC) du NIST. Cela permet de mesurer l'impact potentiel sur les performances des algorithmes PQC avant les annonces de normalisation officielles. Vous pouvez également profiter d'une confidentialité à plus long terme grâce aux TLS post-quantum hybrides.
Les trois KEM de cryptographie post-quantique (PQC) proposés sont Kyber, BIKE et SIKE. Les TLS post-quantum hybrides associent un protocole d'échange de clés, tel qu'ECDHE, avec l'un de ces KEM. Ainsi, vos connexions TLS héritent des propriétés de sécurité des échanges de clés post-quantum et classiques.
Les TLS post-quantum hybrides pour AWS KMS et ACM sont disponibles dans toutes les régions AWS publiques. Ces chiffrements TLS post-quantum hybrides réalisent un échange de clé post-quantum supplémentaire durant la liaison TLS tout en se connectant au service, et ce sans altérer d'API de service. Aucun changement des types de certificats pris en charge par ACM n'est apporté à ce moment-là.
Pour commencer, reportez-vous à la documentation et à cet exemple de projet Java afin de comprendre comment utiliser la nouvelle configuration TLS post-quantum hybride.
Mise à jour au 21 juillet 2022 : clarification sur le fait que la fonctionnalité post-quantum est spécifique aux connexions à AWS KMS et ACM.