Amazon Web Services (AWS) se ha agregado a la administración de las claves de ML-Kem de Kem-Kem de Post-Quantum para el Servicio de Administración de claves (KMS), AWS Certificate Manager (ACM) y AWS Secrets Manager, lo que hace que las conexiones TLS sean más seguras.
ML-kem (mecanismo clave de encapsulación basado en el módulo modelo) es un algoritmo criptográfico posterior a la salud diseñado para asegurar intercambios clave de la amenaza percibida pero siempre teórica de las computadoras cuánticas que podrían romper el cifrado tradicional como el RSA y la criptografía de la cubierta eliptical (ECC).
El mecanismo se basa en Crystals-Kyber, que fue seleccionado por el NIST (Instituto Nacional de Estándares y Tecnología) como base de su estándar de criptografía posterior al quanto, que se anunció en su forma final en agosto de 2024.
Aunque las computadoras cuánticas no son una amenaza activa para la criptografía en este momento, la implementación de algoritmos de seguridad cuántica evita la exposición futura de secretos a través de “cosecha ahora, descifrar más tarde”.
AWS dice que ha priorizado la seguridad de sus servicios más críticos (KMS, ACM, Secrets Manager), que anteriormente se encargó de Crystals-Yyber, que debería depreciarse en 2026.
“Estos tres servicios fueron elegidos porque son servicios críticos de AWS con la necesidad más urgente de confidencialidad posterior al tostado”, “,”, “,”, ” anuncio de la cama.
“Estos tres servicios de AWS ya han desplegado el soporte para Crystals-Kyber, el predecesor de ML-Kem”.
“El apoyo para Crystalls-Kyber continuará hasta 2025, pero se eliminará en todos los puntos de terminar AWS en 2026 a favor de ML-Kem”.
Para activar TLS post-quantum de ML-Kem cuando se usa servicios de AWS como KMS, ACM o Secrets Manager, los usuarios deben actualizar sus SDK de clientes y activar explícitamente la funcionalidad.
AWS proporciona instrucciones para activar ML-Kem para los dos usuarios de SDK para Java (2.30.22 y posterior) y SDK para Rust.
La compañía en la nube también sugiere que los administradores realicen pruebas de carga, puntos de referencia y pruebas de conectividad en su entorno para verificar la compatibilidad y el rendimiento.
Las propias referencias de rendimiento de AWS muestran que la activación del kem TLS posterior a la salud tiene un impacto mínimo del rendimiento, incluso en los peores escenarios.
Fuente: AWS
Con la reutilización de la conexión TLS, la configuración predeterminada en los SDK, prácticamente no hay pérdida de rendimiento, medida a solo 0.05%.
Sin reutilización, la caída es de alrededor del 2,3%, causada por los 1.600 bytes adicionales ML-kem se suma al apretón de manos TLS, que requiere entre 80 y 150 microsegundos de tiempo de cálculo adicional por conexión.
Al final, la activación de ML-kem tiene un mínimo de compromiso de rendimiento para casi todas las aplicaciones, y se recomienda que los usuarios aprovechen la nueva función de seguridad de datos lo antes posible.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.