本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 後量子 TLS
<a name="pqtls"></a>

Secrets Manager 支援適用於 Transport Layer Security (TLS) 網路加密通訊協定的混合式後量子金鑰交換選項。連線至 Secrets Manager API 端點時，您可使用此 TLS 選項。在後量子演算法標準化前，我們會提供此功能，以便您可以開始測試這些金鑰交換通訊協定對於 Secrets Manager 呼叫的影響。這些選用的混合式後量子金鑰交換功能至少與現今使用的 TLS 加密功能同樣安全，且還能提供其他安全優勢。不過，與現今使用的傳統金鑰交換通訊協定相較之下，這些功能會影響延遲和輸送量。Secrets Manager Agent 預設會使用後量子 ML-KEM 金鑰交換作為最高優先順序金鑰交換。

為了保護今天加密的資料免受潛在的未來攻擊， AWS 正與密碼編譯社群參與開發量子抗性或*後量子*演算法。我們已在 Secrets Manager 端點中實作混合式後量子金鑰交換密碼套件。這些混合式密碼套件結合傳統與後量子元素，能夠確保您的 TLS 連線至少與使用傳統密碼套件一樣堅強。然而，由於混合式密碼套件的效能特性和頻寬要求不同於傳統金鑰交換機制，我們建議您對 API 呼叫測試這些套件。

Secrets Manager 支援所有區域中的 PQTLS，唯中國地區除外。

**設定混合式後量子 TLS**

1. 將 AWS Common Runtime 用戶端新增至 Maven 相依性。我們建議使用最新的可用版本。例如，此陳述式將新增 2.20.0 版。

   ```
   <dependency>
     <groupId>software.amazon.awssdk</groupId>
     <artifactId>aws-crt-client</artifactId>
     <version>2.20.0</version>
   </dependency>
   ```

1. 將適用於 Java 的 AWS SDK 2.x 新增至您的專案並初始化它。在 HTTP 用戶端上啟用混合式後量子密碼套件。

   ```
   SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
               .postQuantumTlsEnabled(true)
               .build();
   ```

1. 建立 [Secrets Manager 非同步用戶端](https://docs.aws.amazon.com/AWSJavaSDK/latest/javadoc/com/amazonaws/services/secretsmanager/AWSSecretsManagerAsyncClient.html)。

   ```
   SecretsManagerAsyncClient SecretsManagerAsync = SecretsManagerAsyncClient.builder()
               .httpClient(awsCrtHttpClient)
               .build();
   ```

   現在，當您呼叫 Secrets Manager API 操作時，系統會使用混合式後量子 TLS 將您的呼叫傳輸至 Secrets Manager 端點。

如需有關使用混合式後量子 TLS 的詳細資訊，請參閱：
+ [AWS SDK for Java 2.x 開發人員指南](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/)和[AWS SDK for Java 2.x 發佈](https://aws.amazon.com/blogs/developer/aws-sdk-for-java-2-x-released/)的部落格文章。
+ [s2n-tls 簡介 (全新開放原始碼 TLS 實作)](https://aws.amazon.com/blogs/security/introducing-s2n-a-new-open-source-tls-implementation/) 和[使用 s2n-tls](https://aws.github.io/s2n-tls/usage-guide/)。
+ 國家標準技術研究所 (NIST) 的[後量子加密法](https://csrc.nist.gov/Projects/Post-Quantum-Cryptography)。
+ [用於 Transport Layer Security 1.2 (TLS) 的混合式後量子金鑰封裝法 (PQ KEM)](https://tools.ietf.org/html/draft-campagna-tls-bike-sike-hybrid-01)。

Secrets Manager 的後量子 TLS 可用於中國 AWS 區域 以外的所有 。