Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo del TLS post-quantistico ibrido con AWS KMS
<a name="pqtls"></a>

AWS Key Management Service (AWS KMS) supporta un'opzione ibrida di scambio di chiavi post-quantistiche per il protocollo di crittografia di rete Transport Layer Security (TLS). È possibile utilizzare questa opzione TLS quando ci si connette agli endpoint API AWS KMS . Queste caratteristiche opzionali di scambio di chiavi post-quantistiche ibride sono sicure almeno quanto la crittografia TLS che utilizziamo oggi e potrebbero fornire ulteriori vantaggi per la sicurezza a lungo termine. Tuttavia, influenzano la latenza e il throughput rispetto ai protocolli di scambio di chiavi classici in uso oggi.

I dati inviati a AWS Key Management Service (AWS KMS) sono protetti in transito dalla crittografia fornita da una connessione Transport Layer Security (TLS). Le classiche suite di crittografia supportate da AWS KMS per le sessioni TLS rendono gli attacchi di forza bruta sui meccanismi di scambio delle chiavi irrealizzabili con la tecnologia attuale. Tuttavia, se il calcolo quantistico su larga scala diventa una realtà in futuro, le classiche suite di crittografia utilizzate nei meccanismi di scambio delle chiavi TLS saranno suscettibili a questi attacchi. Se state sviluppando applicazioni che si basano sulla riservatezza a lungo termine dei dati trasmessi tramite una connessione TLS, dovreste prendere in considerazione un piano di migrazione alla crittografia post-quantistica prima che i computer quantistici su larga scala diventino disponibili per l'uso. AWS sta lavorando per prepararsi a questo futuro e vogliamo che anche voi siate ben preparati.

*Per proteggere i dati crittografati oggi da potenziali attacchi futuri, AWS partecipa con la comunità crittografica allo sviluppo di algoritmi quantistici resistenti o post-quantistici.* Abbiamo implementato suite di *crittografia ibride* post-quantistiche a scambio di chiavi AWS KMS che combinano elementi classici e post-quantistici per garantire che la connessione TLS sia almeno altrettanto potente come lo sarebbe con le suite di crittografia classiche.

[Queste suite di crittografia ibride sono disponibili per l'uso sui carichi di lavoro di produzione nella maggior parte dei casi. Regioni AWS](#pqtls-regions) Tuttavia, poiché le caratteristiche prestazionali e i requisiti di larghezza di banda delle suite di crittografia ibride sono diversi da quelli dei classici meccanismi di scambio di chiavi, consigliamo di [testarli sulle](pqtls-how-to.md#pqtls-testing) chiamate API in condizioni diverse. AWS KMS 

**Feedback**

Come sempre, la tua opinione e la partecipazione nei nostri repository open source è molto importante. Vorremmo soprattutto sapere come la tua infrastruttura interagisce con questa nuova variante del traffico TLS. 
+ Per fornire un feedback su questo argomento, usa il link **Feedback** nell'angolo in alto a destra di questa pagina.
+ Stiamo sviluppando queste suite di crittografia ibrida in open source nel repository di. [https://github.com/aws/s2n-tls](https://github.com/aws/s2n-tls) GitHub Per fornire feedback sulla fruibilità delle suite crittografia o condividere nuove condizioni o risultati di test, [creare un problema](https://github.com/aws/s2n-tls/issues) nel repository s2n-tls.
+ Stiamo scrivendo esempi di codice per l'utilizzo del TLS post-quantistico ibrido nel repository. AWS KMS [https://github.com/aws-samples/aws-kms-pq-tls-example](https://github.com/aws-samples/aws-kms-pq-tls-example) GitHub [Per porre domande o condividere idee sulla configurazione del client o AWS KMS del client HTTP per l'utilizzo delle suite di crittografia ibrida, crea un problema nel repository.](https://github.com/aws-samples/aws-kms-pq-tls-example/issues) aws-kms-pq-tls-example

**Supportato Regioni AWS**

Post-quantum TLS for AWS KMS è disponibile in tutti i Regioni AWS supporti. AWS KMS 

Per un elenco di AWS KMS endpoint per ciascuno Regione AWS, consulta [AWS Key Management Service endpoint](https://docs.aws.amazon.com/general/latest/gr/kms.html) e quote in. *Riferimenti generali di Amazon Web Services* Per ulteriori informazioni sugli endpoint FIPS, consulta [Endpoint FIPS](https://docs.aws.amazon.com/general/latest/gr/rande.html#FIPS-endpoints) nella *Riferimenti generali di Amazon Web Services*.

## Informazioni sullo scambio di chiavi post-quantistiche ibride in TLS
<a name="PQTLS-concepts"></a>

AWS KMS supporta suite di cifratura ibride post-quantistiche a scambio di chiavi. È possibile utilizzare AWS SDK for Java 2.x e AWS Common Runtime sui sistemi Linux per configurare un client HTTP che utilizza queste suite di crittografia. Quindi, ogni volta che ci si connette a un AWS KMS endpoint con il client HTTP, vengono utilizzate le suite di crittografia ibride.

Questo client HTTP utilizza [https://github.com/aws/s2n-tls](https://github.com/aws/s2n-tls), che è un'implementazione open source del protocollo TLS. Le suite di crittografia ibride utilizzate da s2n-tls sono implementate solo per lo scambio di chiavi, non per la crittografia dei dati diretta. Durante *lo scambio di chiavi*, il client e il server calcolano la chiave che utilizzeranno per crittografare e decrittografare i dati in rete.

Gli algoritmi s2n-tls utilizzati sono un *ibrido* che combina [Elliptic Curve Diffie-Hellman](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman) (ECDH), un classico algoritmo di scambio di chiavi utilizzato oggi in TLS, con il [meccanismo di incapsulamento delle chiavi basato su Module-Lattice](https://csrc.nist.gov/pubs/fips/203/final) (ML-KEM), un algoritmo di crittografia e definizione delle chiavi a chiave pubblica che il National Institute for Standards and Technology (NIST) [ha designato come primo algoritmo di accordo di chiavi post-quantistiche standard](https://csrc.nist.gov/pubs/fips/203/final). Questo algoritmo ibrido utilizza ciascuno degli algoritmi in modo indipendente per generare una chiave. Quindi combina crittograficamente le due chiavi. Con s2n-tls, puoi [configurare un client HTTP](pqtls-how-to.md) con una preferenza per il protocollo TLS post-quantistico, che inserisce ECDH con ML-KEM in prima posizione nell'elenco delle preferenze. Gli algoritmi di scambio di chiavi classici sono inclusi nell'elenco delle preferenze per garantire la compatibilità, ma sono inferiori nell'ordine delle preferenze.

## Utilizzo del TLS post-quantistico ibrido con AWS KMS
<a name="pqtls-details"></a>

Puoi utilizzare il TLS post-quantistico ibrido per le tue chiamate a. AWS KMS Quando si configura l'ambiente di test del client HTTP, tenere presente le seguenti informazioni:

**Crittografia in transito**

Le suite di crittografia ibrida in s2n-tls vengono utilizzate solo per la crittografia in transito. Proteggono i tuoi dati mentre viaggiano dal client all'endpoint. AWS KMS AWS KMS non utilizza queste suite di crittografia per crittografare i dati con. AWS KMS keys

Invece, quando AWS KMS crittografa i dati con chiavi KMS, utilizza la crittografia simmetrica con chiavi a 256 bit e l'algoritmo Advanced Encryption Standard in Galois Counter Mode (AES-GCM), che è già resistente ai calcoli quantistici. Attacchi teorici futuri di calcolo quantistico su larga scala su testi cifrati creati con chiavi AES-GCM a 256 bit [riducono l'effettiva sicurezza della chiave a 128 bit](https://www.etsi.org/images/files/ETSIWhitePapers/QuantumSafeWhitepaper.pdf). Questo livello di sicurezza è sufficiente a rendere impossibili gli attacchi di forza bruta ai testi cifrati. AWS KMS 

**Sistemi supportati**

L'uso delle suite di crittografia ibride in s2n-tls al momento è supportato solo su sistemi Linux. Inoltre, queste suite di crittografia sono supportate solo se supportano Common Runtime, come SDKs ad esempio. AWS AWS SDK for Java 2.x Per vedere un esempio, consulta [Configura il TLS post-quantistico ibrido](pqtls-how-to.md).

**AWS KMS Endpoints**

AWS KMS [supporta il TLS post-quantistico ibrido su tutti gli endpoint, inclusi gli endpoint convalidati FIPS 140-3.](https://docs.aws.amazon.com/general/latest/gr/kms.html)

## Scopri di più sul TLS post-quantistico in AWS KMS
<a name="pqtls-see-also"></a>

Per ulteriori informazioni sull'utilizzo del TLS ibrido post-quantistico in AWS KMS, consulta le seguenti risorse.
+ [Per ulteriori informazioni sulla crittografia post-quantistica all'indirizzo AWS, compresi i collegamenti ai post di blog e ai documenti di ricerca, consulta Crittografia post-quantistica.](https://aws.amazon.com/security/post-quantum-cryptography/)
+ Per informazioni su s2n-tls, consultare [Introduzione di s2n-tls, una nuova implementazione TLS open source](https://aws.amazon.com/blogs/security/introducing-s2n-a-new-open-source-tls-implementation/) e [Utilizzo di s2n-tls](https://github.com/aws/s2n-tls/tree/main/docs/usage-guide).
+ *Per informazioni sul client HTTP AWS Common Runtime, consulta [Configurazione del client HTTP basato su AWS CRT nella Guida per gli sviluppatori](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/http-configuration-crt.html).AWS SDK for Java 2.x *
+ Per informazioni sul progetto di crittografia post-quantistica presso il National Institute for Standards and Technology (NIST), consultare [Post-Quantum Cryptography](https://csrc.nist.gov/Projects/Post-Quantum-Cryptography) (Crittografia post-quantistica).
+ Per informazioni sulla standardizzazione della crittografia post-quantistica del NIST, consulta la sezione [Standardizzazione della crittografia post-quantistica](https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization).