Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwendung von hybridem Post-Quantum-TLS mit Amazon S3
<a name="UsingEncryptionInTransit.PQ-TLS"></a>

Amazon S3 unterstützt eine hybride Post-Quantum-Schlüsselaustauschoption für das TLS-Netzwerkverschlüsselungsprotokoll. Sie können diese TLS-Option verwenden, wenn Sie Anfragen an Amazon S3 S3-Endpunkte stellen, die TLS 1.3 verwenden. Die klassischen Verschlüsselungssammlungen, die S3 für TLS-Sitzungen unterstützt, machen Brute-Force-Angriffe auf die wichtigsten Austauschmechanismen mit der aktuellen Technologie unmöglich. Wenn jedoch in future ein kryptografisch relevanter Quantencomputer praktikabel wird, werden die klassischen Cipher Suites, die in TLS-Schlüsselaustauschmechanismen verwendet werden, anfällig für diese Angriffe sein. Gegenwärtig ist die Branche auf einen hybriden Post-Quantum-Schlüsselaustausch ausgerichtet, der klassische und Post-Quantum-Elemente kombiniert, um sicherzustellen, dass Ihre TLS-Verbindung mindestens so stark ist wie bei klassischen Chiffrier-Suites. Amazon S3 unterstützt heute hybrides PQ-TLS gemäß der Industriestandardspezifikation IANA

Wenn Sie Anwendungen entwickeln, die auf der langfristigen Vertraulichkeit von Daten basieren, die über eine TLS-Verbindung übertragen werden, sollten Sie einen Plan zur Umstellung auf Post-Quanten-Kryptografie in Betracht ziehen, bevor große Quantencomputer für den Einsatz verfügbar sind. Im Rahmen des Modells der gemeinsamen Verantwortung ermöglicht S3 quantensichere Kryptografie auf unseren Service-Endpunkten. Da Browser und Anwendungen ihrerseits PQ-TLS aktivieren, wird S3 die stärkste Konfiguration wählen, um Daten während der Übertragung zu schützen.

**Unterstützte Endpunkttypen und AWS-Regionen**

Post-Quantum-TLS für Amazon S3 ist in allen AWS-Regionen verfügbar. Eine Liste der jeweiligen AWS-Region S3-Endpunkte finden Sie unter [Amazon Simple Storage Service-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/s3.html) in der. *Allgemeine Amazon Web Services-Referenz*

**Anmerkung**  
Hybrides Post-Quantum-TLS wird für alle S3-Endpunkte mit Ausnahme von Amazon S3, Multi-Region Access Points und S3 Vectors unterstützt. AWS PrivateLink 

## Verwendung von hybridem Post-Quantum-TLS mit Amazon S3
<a name="pqtls-details"></a>

Sie müssen den Client, der Anfragen an Amazon S3 stellt, so konfigurieren, dass er Hybrid-Post-Quantum-TLS unterstützt. Beachten Sie bei der Einrichtung Ihrer HTTP-Client-Testumgebung oder Produktionsumgebung die folgenden Informationen:

**Verschlüsselung während der Übertragung**

Hybrides Post-Quantum-TLS wird nur für die Verschlüsselung bei der Übertragung verwendet. Dadurch werden Ihre Daten auf dem Weg von Ihrem Client zum S3-Endpunkt geschützt. Diese neue Unterstützung in Kombination mit der serverseitigen Verschlüsselung von Amazon S3, die standardmäßig AES-256 Algorithmen verwendet, bietet Kunden eine quantenresistente Verschlüsselung sowohl während der Übertragung als auch im Ruhezustand. Weitere Informationen zur serverseitigen Verschlüsselung in Amazon S3 finden Sie unter [Schützen von Daten mit serverseitiger](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) Verschlüsselung.

**Unterstützte Clients**

Die Verwendung von Hybrid-Post-Quantum-TLS erfordert die Verwendung eines Clients, der diese Funktionalität unterstützt. AWS SDKs und Tools verfügen über kryptografische Funktionen und Konfigurationen, die sich je nach Sprache und Laufzeit unterscheiden. Weitere Informationen zur Post-Quantum-Kryptografie für bestimmte Tools finden Sie unter Hybrid-Post-Quantum-TLS [aktivieren](https://docs.aws.amazon.com/payment-cryptography/latest/userguide/pqtls-details.html).

**Anmerkung**  
Details zum PQ-TLS-Schlüsselaustausch für Anfragen an Amazon S3 sind nicht in AWS CloudTrail Ereignis- oder S3-Serverzugriffsprotokollen verfügbar.

## Erfahren Sie mehr über Post-Quantum-TLS
<a name="pqtls-see-also"></a>

Weitere Informationen zur Verwendung von Hybrid-Post-Quantum-TLS finden Sie in den folgenden Ressourcen.
+ Weitere Informationen zur Post-Quanten-Kryptografie AWS, einschließlich Links zu Blogbeiträgen und Forschungsarbeiten, finden Sie unter [Post-Quantum-Kryptografie](https://aws.amazon.com/security/post-quantum-cryptography/) für. AWS
+ Weitere Informationen zu s2n-tls finden Sie unter [Introducing s2n-tls, a New Open Source TLS Implementation](https://aws.amazon.com/blogs/security/introducing-s2n-a-new-open-source-tls-implementation/) und [Using s2n-tls](https://github.com/aws/s2n-tls/tree/main/docs/usage-guide).
+ *Informationen zum AWS Common Runtime HTTP Client finden Sie unter [Konfiguration des AWS CRT-basierten HTTP-Clients im](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/http-configuration-crt.html) Entwicklerhandbuch.AWS SDK for Java 2.x *
+ Weitere Informationen zum Post-Quantum-Kryptographie-Projekt am National Institute for Standards and Technology (NIST) finden Sie unter [Post-Quantum-Kryptographie](https://csrc.nist.gov/Projects/Post-Quantum-Cryptography).
+ [Informationen zur NIST-Standardisierung nach der Quantenkryptografie finden Sie unter Post-Quantum-Kryptografie-Standardisierung von NIST.](https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization)

# Konfiguration von hybridem Post-Quantum-TLS für Ihren Kunden
<a name="pqtls-how-to"></a>

Um PQ-TLS mit Amazon S3 zu verwenden, müssen Sie Ihren Client so konfigurieren, dass er Algorithmen für den Schlüsselaustausch nach dem Quantenprozess unterstützt. Stellen Sie außerdem sicher, dass Ihr Kunde den Hybridansatz unterstützt, der traditionelle Kryptografie mit elliptischen Kurven mit Post-Quanten-Algorithmen wie ML-KEM (Key Encapsulation Mechanism) kombiniert. Module-Lattice-Based 

Die spezifische Konfiguration hängt von Ihrer Clientbibliothek und Ihrer Programmiersprache ab. Weitere Informationen finden Sie unter [Hybrid-Post-Quantum-TLS aktivieren](https://docs.aws.amazon.com/payment-cryptography/latest/userguide/pqtls-details.html).

## Beispiel für eine Client-Konfiguration: AWS SDK for Java 2
<a name="UsingEncryptionInTransit.PQ-TLS.configuration.java2-sdk"></a>

Fügen Sie in diesem Verfahren eine Maven-Abhängigkeit für den AWS Common Runtime HTTP Client hinzu. Anschließend konfigurieren Sie einen HTTP-Client, der Post-Quantum-TLS bevorzugt. Erstellen Sie dann einen Amazon S3 S3-Client, der den HTTP-Client verwendet.

**Anmerkung**  
Der AWS Common Runtime HTTP Client, der als Vorversion verfügbar war, wurde im Februar 2023 allgemein verfügbar. In dieser Version werden die `tlsCipherPreference`-Klasse und der `tlsCipherPreference()`-Methodenparameter durch den `postQuantumTlsEnabled()`-Methodenparameter ersetzt. Wenn Sie dieses Beispiel in der Vorversion verwendet haben, müssen Sie Ihren Code aktualisieren.

1. Fügen Sie den AWS Common Runtime-Client zu Ihren Maven-Abhängigkeiten hinzu. Wir empfehlen, die neueste verfügbare Version zu verwenden. 

   Diese Anweisung fügt beispielsweise eine Version `2.30.22` des AWS Common Runtime-Clients zu Ihren Maven-Abhängigkeiten hinzu. 

   ```
   <dependency>
       <groupId>software.amazon.awssdk</groupId>
       <artifactId>aws-crt-client</artifactId>
       <version>2.30.22</version>
   </dependency>
   ```

1. Um die hybriden Post-Quantum-Cipher-Suites zu aktivieren, fügen Sie sie AWS SDK for Java 2.x zu Ihrem Projekt hinzu und initialisieren Sie sie. Aktivieren Sie dann die hybriden Post-Quantum-Cipher-Suites auf Ihrem HTTP-Client, wie im folgenden Beispiel gezeigt.

   Dieser Code verwendet den `postQuantumTlsEnabled()` Methodenparameter, um einen [AWS gemeinsamen Runtime-HTTP-Client](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/http-configuration-crt.html) zu konfigurieren, der die empfohlene hybride Post-Quantum-Verschlüsselungssuite ECDH with bevorzugt. ML-KEM Anschließend verwendet es den konfigurierten HTTP-Client, um eine Instance des asynchronen Amazon S3 S3-Clients zu erstellen. [https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/s3/S3AsyncClient.html](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/s3/S3AsyncClient.html) Nachdem dieser Code abgeschlossen ist, verwenden alle [Amazon S3 S3-API-Anfragen](https://docs.aws.amazon.com/AmazonS3/latest/API/) auf der `S3AsyncClient` Instance hybrides Post-Quantum-TLS.
**Wichtig**  
Ab Version 2.35.11 müssen Anrufer nicht mehr festlegen, ob Hybrid-Post-Quantum-TLS `.postQuantumTlsEnabled(true)` für Ihren Client aktiviert werden soll. Alle Versionen, die neuer als v2.35.11 sind, aktivieren standardmäßig Post-Quantum-TLS.

   ```
   // Configure HTTP client
   SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
             .postQuantumTlsEnabled(true)
             .build();
   
   // Create the Amazon S3 async client
   S3AsyncClient s3Async = S3AsyncClient.builder()
            .httpClient(awsCrtHttpClient)
            .build();
   ```

1. Testen Sie Ihre Amazon S3 S3-Anrufe mit hybridem Post-Quantum-TLS.

   Wenn Sie Amazon S3 S3-API-Operationen auf dem konfigurierten Amazon S3 S3-Client aufrufen, werden Ihre Aufrufe mithilfe von Hybrid-Post-Quantum-TLS an den Amazon S3 S3-Endpunkt übertragen. Um Ihre Konfiguration zu testen, rufen Sie eine Amazon S3 S3-API auf, z. `[ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)` B.

   ```
   ListBucketsResponse reponse = s3Async.listBuckets();
   ```

### Testen Sie Ihre hybride Post-Quantum-TLS-Konfiguration
<a name="pqtls-testing"></a>

Erwägen Sie, die folgenden Tests mit Hybrid-Verschlüsselungssammlungen für Ihre Anwendungen durchzuführen, die Amazon S3 aufrufen.
+ Führen Sie Belastungstests und Benchmarks aus. Die Hybrid-Cipher-Suites funktionieren anders als herkömmliche Schlüsselaustauschalgorithmen. Möglicherweise müssen Sie Ihre Verbindungszeitüberschreitungen anpassen, um längere Handshake-Zeiten zu ermöglichen. Wenn Sie innerhalb einer AWS Lambda Funktion arbeiten, verlängern Sie die Einstellung für das Ausführungs-Timeout.
+ Versuchen Sie, eine Verbindung von verschiedenen Standorten herzustellen. Abhängig vom Netzwerkpfad Ihrer Anforderung können Sie feststellen, dass Zwischenhosts, Proxys oder Firewalls mit Deep Packet Inspection (DPI) die Anforderung blockieren. Dies kann auf die Verwendung der neuen Cipher Suites im [ClientHello](https://tools.ietf.org/html/rfc5246#section-7.4.1.2)Teil des TLS-Handshakes oder auf die größeren Schlüsselaustauschnachrichten zurückzuführen sein. Wenn Sie Probleme bei der Behebung dieser Probleme haben, arbeiten Sie mit Ihrem Sicherheitsteam oder IT-Administratoren zusammen, um die entsprechende Konfiguration zu aktualisieren und die Blockierung der neuen TLS-Cipher-Suites aufzuheben.