公司动态

首页
AWS 后量子密码学迁移计划安全博客

AWS 后量子密码学迁移计划安全博客

AWS的后量子密码学迁移计划

主要要点

在这篇文章中，我们将介绍AWS如何采用后量子密码学PQC，并提供迁移过程中的规划与指导。AWS将分阶段迁移PQC，优先处理通过不受信任的网路进行通信的系统。尽管目前尚未出现足以破坏现有公共密钥密码学的量子计算机，AWS决定提前建立保护措施以保障客户数据的安全。此文将概述AWS目前的进展状况和未来路径。

亚马逊网络服务AWS正在向后量子密码学PQC迁移。与AWS的其他安全和合规性功能一样，我们将根据共享责任模型提供PQC服务。这意味著一些PQC功能将为所有客户自动启用，而另一些将作为选项提供给客户以帮助满足其需求。迁移过程将逐步展开，首要处理与不受信任网路例如互联网之间的通信系统。

量子计算机的威胁在于其潜在能力来破坏当前使用的公共密钥密码算法，这些算法被用于绝大多数通信协议和数字签名方案。过去八年间，AWS与其他行业领导者、政府机构及学术界共同 advocating、研究和提出对量子计算具抗性的新的公共密钥密码算法。由于客户依赖AWS进行数据加密，我们在早期便投身于这项工作，以减少未来迁移到PQC所需的努力和影响。虽然目前尚无证据显示存在足以破解AWS使用的公钥密码学的量子计算机，但我们不会坐等，我们希望提前部署保护措施，以保障客户数据的安全。

这篇文章总结了AWS在迁移至PQC过程中目前的状况，并概述了我们的未来路径。

当前进展

在过去五年中，我们在开源库和安全关键服务中部署了经过美国国家标准与技术研究所NIST评估的早期版本的PQC算法，让客户测试迁移到PQC的性能影响。例如，我们的开源算法实现库AWSLC、TLS实现s2n以及核心安全服务，比如AWS金钥管理服务AWS KMS、AWS秘密管理器、AWS凭证管理器ACM等，自2019年起便已实现了NIST PQC提议的密钥封装算法。

2024年8月13日，NIST宣布将三个新的后量子密码PQC算法设为联邦信息处理标准FIPS，这是NIST自2016年开始的PQC标准化过程的结果。AWS员工参与了多个提议方案，包括这三个新的FIPS标准：

安易加速器正版下载FIPS 203，模块基于晶格的密钥封装机制标准MLKEM 原名CRYSTALSKyberFIPS 204，模块基于晶格的数字签名标准MLDSA 最初提交为CRYSTALSDilithiumFIPS 205，无状态基于哈希的数字签名标准SLHDSA 一种无状态的基于哈希的签名方案，最初为SPHINCS

许多客户一直在关注这一标准化过程，包括美国政府的商业国家安全算法CNSA套件20对PQC采纳的要求，以及欧洲委员会的有关向后量子密码的协调实施路线图的建议。

随著第一轮PQC算法的标准化，我们可以开始实现长期支持。以下是我们对PQC实施的计划，以为依赖我们的服务和开源工具进行加密操作的客户提供无缝的过渡。

AWS将在未来数年间采取多层次的方法迁移至PQC。我们定义了同时进行的工作流程：

工作流程名称描述工作流程1现有系统的清查、标准的识别与开发、测试以及迁移规划。随著首批算法标准的发布，还会有更多标准用于定义如何在特定应用和协议中整合PQC以确保互操作性。工作流程2在公共AWS端点整合PQC算法，以提供长期保密性，保护传输到AWS的客户数据。工作流程3将PQC签名算法整合到AWS的加密服务中，使客户能部署新的后量子长期信任根，用于软件、固件和文件签名等功能。工作流程4将PQC签名算法整合到AWS服务中，以便在会话基础的身份验证中使用后量子签名，例如服务器和客户端凭证的验证。

工作流程1

我们视此项工作为迁移计划中的一个持续方面，已经指导了我们的整个战略，并根据客户的需求优先安排了迁移。

与客户类似，我们需要检视所有使用密码学的地方，以确定哪些实施需要迁移以及其优先级。我们做出的一个重要决策是将重点放在传输中的加密上，而不是静态加密。公共密钥非对称密码学是传输中加密的基础，因为它使得双方能在不受信任的网络上协商共享密钥当前的传统公共密钥算法正面临被加密相关的量子计算机破坏的风险。根据目前的业界共识，256位对称密钥密码学不需要降低其风险。因为AWS中静态数据是使用256位对称加密进行保护的，我们相信不需要重新加密现有客户数据或改变我们用于加密未来数据的对称算法和密钥。

AWS 后量子密码学迁移计划安全博客

虽然对称加密密钥和算法的安全性并不会受到加密相关量子计算机的影响，但在某些情况下，公共密钥算法被用于协商共享的对称密钥，从而产生安全风险。因此，AWS首个迁移到PQC的公共密钥密码学的使用即为此类情况我们在AWS服务的公共端点之间协商客户共享的对称密钥。客户使用与AWS服务通信的网络通常不在AWS或客户的控制之内，因此容易遭受坏分子捕获数据，然后利用加密相关的量子计算机进行暴力破解。工作流程2将更详细地讨论这一计划。

AWS的下一步将迁移到PQC的公共密钥密码学使用是提供创建密钥对的能力，该密钥对作为长期信任根，通常用于对软件、固件或文档进行数字签名。这些类型的密钥对可能需要在未来的数字签名中保持有效，因为它们不容易更新。例如，卫星、游戏主机和其他物联网设备的固件或许无法在设备的整个运行寿命内更改公共密钥对和签名算法代码。工作流程3将详细描述这一计划。

AWS将迁移的最后一个公共密钥密码学使用案例是创建作为短期信任根的密钥对，通常用于对单一交易、网络会话或其他短暂信息进行数字签名。此用例使用最广泛的一个例子是TLS会话中数字凭证的使用，来验证服务器或客户端的身份。您可能认为工作流程2和工作流程3已经处理了TLS会话中的会话密钥协商和数字签名的风险，那么剩下什么来保护呢？事实上，使用数字凭证相互验证双方的公共密钥密码学的方式，依赖于跨一大组互联网基础设施的标准和互操作性。在这一工作流完成之前，协调行业对这些标准达成一致以及测试互操作性将需要时间。工作流程4将详细描述这一计划。

以上我们已经介绍了AWS如何进行密码学库存和迁移至PQC的计划。如果您不将所有密码学操作委托给AWS，您应该如何准备呢？虽然没有单一的解决方案适用于所有应用和行业，但以下资源提供了更多背景信息，这些信息是我们在工作中所做的推荐或使用的部分：

CISA量子就绪：向后量子密码迁移CISA自动化后量子密码发现和库存工具的迁移策略ETSI TR 103 619 向量子安全方案的迁移策略和建议

为了对您的组织的密码学进行库存，以优先考虑PQC的迁移可能是一个耗时的过程，我们有几个短期的战术建议值得考虑。首先，确保您能灵活分发更新的软件版本。对于任何组织来说，这都是在漏洞管理和软件生命周期维护方面的一项关键能力。在我们发布新的AWS Command Line InterfaceAWS CLI和AWS SDK的PQC版本时，这项能力将是必需的。您还可能需要更新使用TLS或其他加密实现的第三方软件组件，以确保您能够利用我们提供的PQC功能。

其次，我们强烈建议您开始在整个组织内全面推广TLS 13。这个及更高版本的TLS不仅在使用传统公共密钥密码学方面提供安全和性能改进，而且必须能够使用PQC。即使您最近在客户端和伺服器上更新到TLS 12，仍然需要为您的系统为PQC未来做好准备。

工作流程2

客户使用基于公共密钥密码学的协议与云服务进行通信。这些协议如TLS有助于确保客户的通信保密，并无法在传输过程中被更改。为了保护客户对长期保密性的需求，我们首创了一种称为混合后量子密钥协商的机制。混合后量子密钥协商将椭圆曲线迪菲赫尔曼ECDH这一传统的密钥交换算法与新的后量子密钥封装方法如新标准化的MLKEM算法结合起来，生成的两个密钥将继而合并，以建立会话通信密钥来加密网络流量。对一个对手而言，必须同时打破这两个公共密钥原语ECDH和MLKEM才能破坏混合密钥协商所提供的保密性。

AWS已经通过在我们的加密库AWSLC中实现MLKEM迈出了第一步，该库经过FIPS1403验证，是AWS在整个系统中使用的核心加密库。与此工作流程相关，它被用于s2ntls，这是我们在提供HTTPS端点的AWS服务中广泛使用的开源TLS实现。

互联网工程任务组IETF目前正在制定纳入后量子密码学的TLS协议标准。标准完成后，AWS将更新s2ntls以符合这些新规范。在将AWSLC中的MLKEM实现与基于IETF标准的s2n版本集成后，我们将开始在所有提供HTTPS接口的AWS公共端点上部署此版本的s2n。这代表著大多数AWS服务，通常通过AWS SDK或AWS CLI访问。AWS服务如果具有其他接口如SFTP、IPsec或SSH的公共端点，也将在IETF等标准组织发布这些协议的实施指导后获得MLKEM支持。

作为PQC通过TLS迁移AWS管理服务端点的一部分，我们还将启用提供伺服器端TLS终端的服务，包括弹性负载均衡ELB、亚马逊API网关和亚马逊CloudFront。这将让您可以使用一直与这些服务一起使用的数字凭证，并使它们代表您协商伺服器端TLS会话，使用MLKEM来提供TLS会话的长期保密性，而无需将底层的凭证本身升级为某个尚未定义的PQC标准。

为进一步强化这一过渡至MLKEM的过程，AWS正与关键行业倡议进行合作，包括国家网络安全卓越中心NCCoE向后量子密码的迁移、Linux基金会的后量子密码学联盟、和Rust TLS项目。这些合作对于确保不同后量子密码解决方案实施之间的无缝互操作性至关重要。