本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 后量子 TLS
Secrets Manager 支持对传输层安全 (TLS) 网络加密协议使用混合后量子密钥交换选项。当您连接到 Secrets Manager API 终端节点时,可以使用此 TLS 选项。我们在标准化后量子算法之前提供了此功能,因此您可以开始测试这些密钥交换协议对 Secrets Manager 调用产生的影响。这些混合后量子密钥交换功能是可选的,至少与我们目前使用的 TLS 加密一样安全,并且有可能会提供额外的安全优势。不过,与目前使用的传统密钥交换协议相比,它们会影响延迟和吞吐量性能。默认情况下,Secrets Manager 代理使用后量子 ML-KEM 密钥交换作为优先级最高的密钥交换方式。
*为了保护当今加密的数据免受未来潜在的攻击, Amazon 正在与密码学界一起开发抗量子算法或后量子算法。*我们已经在 Secrets Manager 端点中实施了混合后量子密钥交换密码套件。这些混合密码套件将传统加密算法与后量子算法相结合,可确保 TLS 连接至少与传统密码套件一样强大。不过,由于混合密码套件的性能特征及带宽要求与传统密钥交换机制的性能特征及带宽要求有所不同,我们建议您针对 API 调用开展测试。
Secrets Manager 在除中国区域之外的所有区域都支持 PQTLS。
**配置混合后量子 TLS**
1. 将 Amazon 通用运行时客户端添加到你的 Maven 依赖项中。我们建议您使用最新可用版本。例如,以下语句将添加版本 2.20.0。
```
software.amazon.awssdk
aws-crt-client
2.20.0
```
1. 将适用于 Java 的 Amazon SDK 2.x 添加到您的项目中并对其进行初始化。在 HTTP 客户端上启用混合后量子密码套件。
```
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
.postQuantumTlsEnabled(true)
.build();
```
1. 创建 [Secrets Manager 异步客户端](https://docs.amazonaws.cn/AWSJavaSDK/latest/javadoc/com/amazonaws/services/secretsmanager/AWSSecretsManagerAsyncClient.html)。
```
SecretsManagerAsyncClient SecretsManagerAsync = SecretsManagerAsyncClient.builder()
.httpClient(awsCrtHttpClient)
.build();
```
现在,当您调用 Secrets Manager API 操作时,您的调用将通过混合后量子 TLS 传输到 Secrets Manager 端点。
有关使用混合后量子 TLS 的更多信息,请参阅:
+ [Amazon SDK for Java 2.x 开发者指南](https://docs.amazonaws.cn/sdk-for-java/latest/developer-guide/)和[Amazon SDK for Java 2.x 已发布](https://www.amazonaws.cn/blogs/developer/aws-sdk-for-java-2-x-released/)的博客文章。
+ [s2n-tls 简介,新的开源 TLS 实施](https://www.amazonaws.cn/blogs/security/introducing-s2n-a-new-open-source-tls-implementation/)和[使用 s2n-tls](https://aws.github.io/s2n-tls/usage-guide/)。
+ 美国国家标准和技术研究院 (NIST) 的[后量子密码术](https://csrc.nist.gov/Projects/Post-Quantum-Cryptography)。
+ [适合传输层安全 1.2 (TLS) 的混合后量子密钥封装方法 (PQ KEM)](https://tools.ietf.org/html/draft-campagna-tls-bike-sike-hybrid-01)。
Secrets Manager 的后量子 TLS 已在 Amazon Web Services 区域 除中国以外的所有地区推出。