Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan TLS pasca-kuantum hibrida dengan Amazon S3
Amazon S3 mendukung opsi pertukaran kunci pasca-kuantum hibrida untuk protokol enkripsi jaringan TLS. Anda dapat menggunakan opsi TLS ini ketika Anda membuat permintaan ke titik akhir Amazon S3 menggunakan TLS 1.3. Suite sandi klasik yang didukung S3 untuk sesi TLS membuat serangan brute force pada mekanisme pertukaran kunci tidak layak dengan teknologi saat ini. Namun, jika komputer kuantum yang relevan secara kriptografi menjadi praktis di masa depan, rangkaian sandi klasik yang digunakan dalam mekanisme pertukaran kunci TLS akan rentan terhadap serangan ini. Saat ini, industri ini selaras dengan pertukaran kunci pasca-kuantum hibrida yang menggabungkan elemen klasik dan pasca-kuantum untuk memastikan bahwa koneksi TLS Anda setidaknya sekuat dengan suite sandi klasik. Amazon S3 mendukung hibrida PQ-TLS, sesuai dengan spesifikasi standar industri, hari ini IANA
Jika Anda mengembangkan aplikasi yang mengandalkan kerahasiaan jangka panjang data yang melewati koneksi TLS, Anda harus mempertimbangkan rencana untuk bermigrasi ke kriptografi pasca-kuantum sebelum komputer kuantum skala besar tersedia untuk digunakan. Sebagai bagian dari model tanggung jawab bersama, S3 memungkinkan kriptografi aman kuantum pada titik akhir layanan kami. Karena browser dan aplikasi mengaktifkan PQ-TLS di sisinya, S3 akan memilih konfigurasi sekuat mungkin untuk mengamankan data dalam perjalanan.
**Jenis endpoint yang didukung dan Wilayah AWS**
TLS pasca-kuantum untuk Amazon S3 tersedia di semua. Wilayah AWS Untuk daftar titik akhir S3 untuk masing-masing titik Wilayah AWS, lihat titik akhir [Amazon Simple Storage Service dan kuota](https://docs.aws.amazon.com/general/latest/gr/s3.html) di. *Referensi Umum Amazon Web Services*
**catatan**
TLS pasca-kuantum hibrida didukung untuk semua titik akhir S3 kecuali untuk Amazon AWS PrivateLink S3, Titik Akses Multi-Wilayah, dan Vektor S3.
## Menggunakan TLS pasca-kuantum hibrida dengan Amazon S3
Anda harus mengonfigurasi klien yang membuat permintaan ke Amazon S3 untuk mendukung TLS pasca-kuantum hibrida. Saat menyiapkan lingkungan pengujian klien HTTP atau lingkungan produksi Anda, perhatikan informasi berikut:
**Enkripsi dalam Transit**
Hybrid post-quantum TLS hanya digunakan untuk enkripsi saat transit. Ini melindungi data Anda saat bepergian dari klien Anda ke titik akhir S3. Dukungan baru ini dikombinasikan dengan enkripsi sisi server Amazon S3 secara default menggunakan AES-256 algoritme menawarkan enkripsi tahan kuantum kepada pelanggan baik dalam perjalanan maupun saat istirahat. Untuk informasi selengkapnya tentang enkripsi sisi server di Amazon S3, lihat [Melindungi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) data dengan enkripsi sisi server.
**Klien yang Didukung**
Penggunaan TLS pasca-kuantum hibrida membutuhkan penggunaan klien yang mendukung fungsi ini. AWS SDKs dan alat memiliki kemampuan dan konfigurasi kriptografi yang berbeda antar bahasa dan runtime. Untuk mempelajari lebih lanjut tentang kriptografi pasca-kuantum untuk alat tertentu, lihat [Mengaktifkan TLS pasca-kuantum hibrida](https://docs.aws.amazon.com/payment-cryptography/latest/userguide/pqtls-details.html).
**catatan**
Rincian pertukaran kunci PQ-TLS untuk permintaan ke Amazon S3 tidak tersedia dalam AWS CloudTrail peristiwa atau log akses server S3.
## Pelajari lebih lanjut tentang TLS pasca-kuantum
Untuk informasi selengkapnya tentang penggunaan TLS pasca-kuantum hibrida, lihat sumber daya berikut.
+ Untuk mempelajari tentang kriptografi pasca-kuantum di AWS, termasuk tautan ke posting blog dan makalah penelitian, lihat Kriptografi [Pasca-Kuantum](https://aws.amazon.com/security/post-quantum-cryptography/) untuk. AWS
+ Untuk selengkapnyas2n-tls, lihat [Memperkenalkans2n-tls, Implementasi dan [Penggunaan s2n-tls](https://github.com/aws/s2n-tls/tree/main/docs/usage-guide) TLS Open Source Baru](https://aws.amazon.com/blogs/security/introducing-s2n-a-new-open-source-tls-implementation/).
+ *Untuk informasi tentang Klien HTTP Runtime AWS Umum, lihat [Mengonfigurasi klien HTTP AWS berbasis CRT](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/http-configuration-crt.html) di Panduan Pengembang.AWS SDK for Java 2.x *
+ Untuk informasi tentang proyek kriptografi pasca-kuantum di National Institute for Standards and Technology (NIST), lihat [Kriptografi Pasca Kuantum](https://csrc.nist.gov/Projects/Post-Quantum-Cryptography).
+ Untuk informasi tentang standardisasi kriptografi pasca-kuantum NIST, lihat Standardisasi Kriptografi Pasca-Kuantum [NIST](https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization).
# Mengkonfigurasi TLS pasca-kuantum hibrida untuk klien Anda
Untuk menggunakan PQ-TLS dengan Amazon S3, Anda perlu mengonfigurasi klien Anda untuk mendukung algoritme pertukaran kunci pasca-kuantum. Juga pastikan bahwa klien Anda mendukung pendekatan hibrida, yang menggabungkan kriptografi kurva elips tradisional dengan algoritma pasca-kuantum seperti ML-KEM (Mekanisme Enkapsulasi Kunci). Module-Lattice-Based
Konfigurasi spesifik tergantung pada pustaka klien dan bahasa pemrograman Anda. Untuk informasi lebih lanjut, lihat [Mengaktifkan TLS pasca-kuantum hibrida](https://docs.aws.amazon.com/payment-cryptography/latest/userguide/pqtls-details.html).
## Contoh konfigurasi klien: AWS SDK for Java 2
Dalam prosedur ini, tambahkan dependensi Maven untuk AWS Common Runtime HTTP Client. Selanjutnya, konfigurasikan klien HTTP yang lebih memilih TLS pasca-kuantum. Kemudian, buat klien Amazon S3 yang menggunakan klien HTTP.
**catatan**
Klien HTTP Runtime AWS Umum, yang telah tersedia sebagai pratinjau, tersedia secara umum pada Februari 2023. Dalam rilis itu, `tlsCipherPreference` kelas dan parameter `tlsCipherPreference()` metode digantikan oleh parameter `postQuantumTlsEnabled()` metode. Jika Anda menggunakan contoh ini selama pratinjau, Anda perlu memperbarui kode Anda.
1. Tambahkan klien AWS Common Runtime ke dependensi Maven Anda. Sebaiknya gunakan versi terbaru yang tersedia.
Misalnya, pernyataan ini menambahkan versi `2.30.22` klien AWS Common Runtime ke dependensi Maven Anda.
```
software.amazon.awssdk
aws-crt-client
2.30.22
```
1. Untuk mengaktifkan suite sandi pasca-kuantum hibrida, tambahkan AWS SDK for Java 2.x ke proyek Anda dan inisialisasi. Kemudian aktifkan suite sandi pasca-kuantum hibrida pada klien HTTP Anda seperti yang ditunjukkan pada contoh berikut.
Kode ini menggunakan parameter `postQuantumTlsEnabled()` metode untuk mengonfigurasi [klien HTTP runtime AWS umum](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/http-configuration-crt.html) yang lebih menyukai rangkaian sandi pasca-kuantum hibrida yang direkomendasikan, ECDH dengan. ML-KEM Kemudian menggunakan klien HTTP yang dikonfigurasi untuk membangun instance klien asinkron Amazon S3,. [https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/s3/S3AsyncClient.html](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/s3/S3AsyncClient.html) Setelah kode ini selesai, semua permintaan API [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/API/) pada instance menggunakan TLS `S3AsyncClient` pasca-kuantum hibrida.
**penting**
Mulai v2.35.11, penelepon tidak perlu lagi mengatur untuk mengaktifkan TLS pasca-kuantum hibrida `.postQuantumTlsEnabled(true)` untuk klien Anda. Semua versi yang lebih baru dari v2.35.11 mengaktifkan TLS pasca-kuantum secara default.
```
// Configure HTTP client
SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
.postQuantumTlsEnabled(true)
.build();
// Create the Amazon S3 async client
S3AsyncClient s3Async = S3AsyncClient.builder()
.httpClient(awsCrtHttpClient)
.build();
```
1. Uji panggilan Amazon S3 Anda dengan TLS pasca-kuantum hibrida.
Saat Anda memanggil operasi API Amazon S3 pada klien Amazon S3 yang dikonfigurasi, panggilan Anda ditransmisikan ke titik akhir Amazon S3 menggunakan TLS pasca-kuantum hibrida. Untuk menguji konfigurasi Anda, panggil Amazon S3 API, seperti. `[ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)`
```
ListBucketsResponse reponse = s3Async.listBuckets();
```
### Uji konfigurasi TLS pasca-kuantum hibrida Anda
Pertimbangkan untuk menjalankan pengujian berikut dengan rangkaian cipher hybrid pada aplikasi Anda yang memanggil Amazon S3.
+ Jalankan uji beban dan tolok ukur. Cipher suite hibrida melakukan secara berbeda dari algoritme pertukaran kunci tradisional. Anda mungkin perlu menyesuaikan batas waktu koneksi untuk memungkinkan waktu handshake yang lebih lama. Jika Anda menjalankan di dalam suatu AWS Lambda fungsi, perpanjang pengaturan batas waktu eksekusi.
+ Coba hubungkan dari lokasi yang berbeda. Tergantung jalur jaringan yang dibutuhkan permintaannya, Anda mungkin menemukan bahwa host perantara, proksi, atau firewall dengan deep packet inspection (DPI) memblokir permintaan. Ini mungkin hasil dari penggunaan cipher suite baru di [ClientHello](https://tools.ietf.org/html/rfc5246#section-7.4.1.2)bagian jabat tangan TLS, atau dari pesan pertukaran kunci yang lebih besar. Jika Anda terkendala saat menyelesaikan masalah ini, tanyakan kepada tim keamanan atau administrator IT Anda untuk memperbarui konfigurasi yang relevan dan membuka blokir rangkaian penyandian TLS baru.