今天小編分享的互聯網經驗:AWS推出ML-KEM來保護TLS免受量子威脅,歡迎閱讀。
亞馬遜網絡服務(AWS)為 AWS 密鑰管理服務(KMS)、AWS 證書管理器(ACM)和 AWS 秘密管理器增加了對 ML-KEM 後量子密鑰封裝機制的支持,使 TLS 連接更加安全。
ML-KEM(基于模格的密鑰封裝機制)是一種後量子加密算法,旨在保護密鑰交換免受量子計算機的威脅,量子計算機可能會破壞傳統的加密,如 RSA 和橢圓曲線加密(ECC)。
該機制基于 CRYSTALS-Kyber,被 NIST(國家标準與技術研究所)選為其後量子加密标準的基礎,該标準于 2024 年 8 月以最終形式宣布。
雖然量子計算機目前對密碼學還不是一個積極的威脅,但實現量子安全算法可以防止未來通過 " 現在獲取,以後解密 " 的攻擊暴露秘密。
AWS 表示,它優先保護其最關鍵的服務(KMS, ACM, Secrets Manager),這些服務以前支持 CRYSTALS-Kyber,将于 2026 年棄用。
聲明中寫道:" 之所以選擇這三項服務,是因為它們是對安全至關重要的 AWS 服務,對後量子保密的需求最為迫切。這三個 AWS 服務之前已經部署了對 ML-KEM 的前身 CRYSTALS-Kyber 的支持。"
對 CRYSTALS-Kyber 的支持将持續到 2025 年,但将在 2026 年從所有 AWS 服務端點上移除,取而代之的是 ML-KEM。
要在使用 AWS 服務(如 KMS、ACM 或 Secrets Manager)時激活 ML-KEM 後量子 TLS,用戶需要更新其客戶端 sdk 并顯式啟用該功能。
AWS 提供了為 Java SDK(2.30.22 及更高版本)和 Rust SDK 的用戶啟用 ML-KEM 的說明。
該雲公司還建議管理員在其環境中運行負載測試、基準測試和連接性測試,以驗證兼容性和性能。
AWS 自己的性能基準測試表明,啟用 ML-KEM 混合後量子 TLS 對性能的影響最小,即使在最壞的情況下也是如此。
性能測試結果
使用 TLS 連接重用(sdk 中的默認設定),幾乎沒有性能損失,僅為 0.05%。
在沒有重用的情況下,下降了大約 2.3%,這是由于 ML-KEM 在 TLS 握手中增加了額外的 1,600 字節,每個連接需要 80 到 150 微秒的額外計算時間。
最終,啟用 ML-KEM 對幾乎所有應用程式的性能損失都很小,建議用戶盡快利用新的數據安全特性。
