客户在后量子密码迁移过程中的合规性和安全性 安全博客

后量子密码迁移中的客户合规性与安全性

重点摘要

在后量子密码迁移中，客户和AWS之间的安全与合规责任是共享的。AWS正在引入抗量子攻击的密钥交换算法，以维护长期机密性。客户需确保其应用程序启用量子抗性算法，AWS将优先选择支持的算法。这样的转变旨在提升连接的安全性，同时平衡性能和安全之间的关系。本文详细探讨了客户在后量子环境中如何配置安全连接以及如何应对潜在的兼容性问题。

Amazon Web Services (AWS) 优先考虑其服务的安全性、隐私和性能。AWS负责云的安全和所提供服务的安全性，而客户则负责在云中部署的主机、应用程序和服务的安全性。AWS也在引入抗量子攻击的密钥交换以支持客户在常用传输协议中的长期机密性。在本文中，我们详细说明了在安全连接的后量子迁移中，客户合规性和安全配置的责任将如何运作。我们解释了客户需要启用量子抗性算法，或在连接到AWS的应用程序中默认启用这些算法。我们还讨论了AWS将在服务器端支持的情况下如何尊重并选择这些算法，即使这意味着连接会有短暂的延迟。

安全连接

安全性和合规性是AWS与客户之间的共享责任。这一共享责任模型可以帮助客户减轻运营负担，因为AWS负责操作、管理和控制从主机操作系统和虚拟化层到服务所在设施的物理安全的所有组件。客户则负责管理客户操作系统及其他应用软件，以及配置AWS提供的安全组防火墙。为了支持客户、合作伙伴和审计员理解领先框架的合规要求如何映射到AWS服务安全建议，AWS已经发布了客户合规性指南CCGs。

在安全连接的背景下，AWS提供了在加密协议中使用的安全算法例如，TLS、SSH和VPN，以供客户连接其服务。因此，AWS负责在与AWS云的连接中启用和优先考虑现代加密技术。另一方面，客户则使用能够启用这些算法的客户端，在连接到AWS时进行加密算法的协商。客户有责任配置或使用仅协商客户信任的算法的客户端。

优先考虑抗量子性还是性能？

AWS正在进行向后量子密码迁移，以应对未来可能对当前算法构成威胁的量子计算机CRQC。后量子密码学涉及在TLS 13或SSH/SFTP等协议中引入后量子PQ混合密钥交换。由于需求向后兼容，AWS将优先为支持的客户端提供PQ混合交换，而对尚未升级的客户端则采用经典交换。

PQ混合密钥建立利用量子抗性密钥封装机制KEM以及经典密钥交换相结合。客户和服务器仍然会进行ECDH密钥交换，在衍生对称密钥时将KEM共享密钥与之结合。例如，客户可以在连接到AWS证书管理器ACM、AWS密钥管理服务KMS和AWS秘密管理器时，执行使用P256曲线的ECDH密钥交换和后量子Kyber768的组合。此策略结合了经典密钥交换的高保证和后量子密钥交换的抗量子特性，有助于确保握手的安全，只要ECDH或后量子共享密钥不被破解。

新密钥交换引入了一些独特的概念选择，这可能导致双方协商经典算法。在过去，我们的密码协议配置涉及公认安全的广泛信任的算法。客户和服务器为其偏好的算法配置优先级，并从协商的优先次序中选择更合适的算法。如今，业界存在两类算法，“可信的经典”与“可信的后量子”算法。由于CRQC尚不可获得，经典和后量子算法都被认为是安全的。因此，这种范式转变要求在客户端和服务器配置中，供货商应该在“安全经典”与“安全后量子”算法之间做出优先级决定。

下表展示了混合密钥交换的总开销在典型的互联网握手中几乎无影响。

注意：在典型的互联网连接中，往返延迟可能在3050毫秒之间。

优先考虑量子抗性

在典型的TLS 13握手中，ClientHello包含客户的密钥交换算法优先顺序。收到ClientHello后，服务器根据自身的优先级选择算法。

图2展示了服务器如何在上一个场景中图1向客户发送HelloRetryRequestHRR，以要求通过使用P256Kyber512协商量子抗性密钥。这种方法将增加握手过程中的一次往返。

AWS终止TLS 13连接的服务将采用这种方法。它们将优先考虑支持量子抗性算法的客户端。如果AWS服务已添加抗量子算法，它将尊重客户端支持的后量子密钥交换，即使这意味着握手将需要额外的往返延迟，而PQ混合密钥交换也会包含轻微的处理开销MLKEM的性能几乎与ECDH相似。在区域性TLS连接中，一次典型的往返延迟通常在50毫秒以内，对连接性能没有实质性影响。

AWS客户如何验证后量子密钥交换

已经采用本文中描述的行为的AWS服务包括AWS KMS、ACM和Secrets Manager TLS端点，它们已支持后量子混合密钥交换多年。其他将部署抗量子算法的端点也将继承相同的行为。

AWS客户希望利用AWS服务中新引入的量子抗性算法，应在客户管理的端点的客户端或服务器端启用它们。例如，如果您在AWS Java SDK v2中使用AWS通用运行时CRTHTTP客户端，则需要通过以下方式启用后量子混合TLS密钥交换。

javaSdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClientbuilder() postQuantumTlsEnabled(true) build()

要确认服务器端点是否正确优先考虑和强制执行PQ算法，可以使用一个“旧”的客户端发送PQ混合Keyshare值，该值是PQ启用的服务器不支持的。例如，可以使用构建于AWSLC支持抗量子KEM的s2ntls。您可以使用比服务器策略更新的客户端TLS策略PQTLS1320230601， 比如来进行连接。这样将导致服务器通过HRR请求客户端发送包含P256MLKEM768的新ClientHello。

总之，加密迁移可能会在客户端和服务器之间引入复杂性。在迁移阶段，AWS服务将通过优先考虑客户声明支持这些算法的后量子算法来降低这些复杂性的风险即使这意味着在初始协商阶段会有轻微的延迟。在后量子迁移阶段，选择启用量子抗性的客户表明它们重视CRQC风险。AWS将尊重客户的选择，前提是服务器端支持量子抗性。

如果您对本文有反馈，请在下面的评论区提交意见。如果您对本文有问题，请在AWS安全、身份与合规的rePost上开启新主题，或联系AWS支持。有关AWS PQC工作的更多细节，请参阅我们的PQC页面。