本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
后量子 TLS
Secrets Manager 支持对传输层安全 (TLS) 网络加密协议使用混合后量子密钥交换选项。当您连接到 Secrets Manager API 终端节点时,可以使用此 TLS 选项。我们在标准化后量子算法之前提供了此功能,因此您可以开始测试这些密钥交换协议对 Secrets Manager 调用产生的影响。这些混合后量子密钥交换功能是可选的,至少与我们目前使用的 TLS 加密一样安全,并且有可能会提供额外的安全优势。不过,与目前使用的传统密钥交换协议相比,它们会影响延迟和吞吐量性能。
为了保护今天加密的数据,让这些数据在未来免受可能的攻击,Amazon 正在积极参与密码社区,一起开发抗量子密码算法或后量子算法。我们已经在 Secrets Manager 端点中实施了混合后量子密钥交换密码套件。这些混合密码套件将传统加密算法与后量子算法相结合,可确保 TLS 连接至少与传统密码套件一样强大。不过,由于混合密码套件的性能特征及带宽要求与传统密钥交换机制的性能特征及带宽要求有所不同,我们建议您针对 API 调用开展测试。
Secrets Manager 在除中国区域之外的所有区域都支持 PQTLS。
配置混合后量子 TLS
-
将 Amazon 公共运行时客户端添加到您的 Maven 依赖项中。我们建议您使用最新可用版本。例如,以下语句将添加版本 2.20.0。
<dependency> <groupId>software.amazon.awssdk</groupId> <artifactId>aws-crt-client</artifactId> <version>2.20.0</version> </dependency> -
将 Amazon SDK for Java 2.x 添加到项目并对其进行初始化。在 HTTP 客户端上启用混合后量子密码套件。
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder() .postQuantumTlsEnabled(true) .build(); -
SecretsManagerAsyncClient SecretsManagerAsync = SecretsManagerAsyncClient.builder() .httpClient(awsCrtHttpClient) .build();现在,当您调用 Secrets Manager API 操作时,您的调用将通过混合后量子 TLS 传输到 Secrets Manager 端点。
有关使用混合后量子 TLS 的更多信息,请参阅:
-
Amazon SDK for Java 2.x 开发人员指南和Amazon SDK for Java 2.x 已发布
博客帖子。 -
美国国家标准和技术研究院 (NIST) 的后量子密码学
。
Secrets Manager 的后量子 TLS 在所有 Amazon Web Services 区域 中都可用,但中国除外。