Amazon Web Services (AWS) a ajouté la prise en charge du mécanisme d’encapsulation de clé post-quantique ML-KEM à AWS Key Management Service (KMS), AWS Certificate Manager (ACM) et AWS Secrets Manager, ce qui rend les connexions TLS plus sécurisées.
ML-KEM (Mécanisme d’encapsulation de clé basé sur un réseau de modules) est un algorithme cryptographique post-quantique conçu pour sécuriser les échanges de clés contre la menace perçue, mais toujours théorique, des ordinateurs quantiques qui pourraient briser le cryptage traditionnel comme RSA et la cryptographie à courbe elliptique (ECC).
Le mécanisme est basé sur CRYSTALS-Kyber, qui a été sélectionné par le NIST (National Institute of Standards and Technology) comme base de son standard de cryptographie post-quantique, qui a été annoncé dans sa forme finale en août 2024.
Bien que les ordinateurs quantiques ne constituent pas une menace active pour la cryptographie à l’heure actuelle, la mise en œuvre d’algorithmes quantiques sécurisés empêche l’exposition future de secrets par le biais d’attaques « récoltez maintenant, déchiffrez plus tard ».
AWS affirme avoir priorisé la sécurisation de ses services les plus critiques (KMS, ACM, Secrets Manager), qui prenaient auparavant en charge CRYSTALS-Kyber, qui devrait être obsolète en 2026.
« Ces trois services ont été choisis parce qu’il s’agit de services AWS critiques pour la sécurité avec le besoin le plus urgent de confidentialité post-quantique », lit-on dans l’annonce.
« Ces trois services AWS ont déjà déployé la prise en charge de CRYSTALS-Kyber, le prédécesseur de ML-KEM. »
« La prise en charge de CRYSTALS-Kyber se poursuivra jusqu’en 2025, mais sera supprimée sur tous les points de terminaison de service AWS en 2026 au profit de ML-KEM. »
Pour activer ML-KEM post-quantum TLS lors de l’utilisation de services AWS tels que KMS, ACM ou Secrets Manager, les utilisateurs doivent mettre à jour leurs SDK clients et activer explicitement la fonctionnalité.
AWS fournit des instructions pour activer ML-KEM pour les utilisateurs du SDK pour Java (2.30.22 et versions ultérieures) et du SDK pour Rust.
La société de cloud suggère également aux administrateurs d’exécuter des tests de charge, des benchmarks et des tests de connectivité dans leur environnement pour vérifier la compatibilité et les performances.
Les propres benchmarks de performances d’AWS montrent que l’activation de ML-KEM HYBRID post-quantum TLS a un impact minimal sur les performances, même dans les pires scénarios.
Avec la réutilisation des connexions TLS, le paramètre par défaut des SDK, il n’y a pratiquement aucune perte de performances, mesurée à seulement 0,05%.
Sans réutilisation, la baisse est d’environ 2,3%, causée par les 1 600 octets supplémentaires que ML-KEM ajoute à la négociation TLS, nécessitant entre 80 et 150 microsecondes de temps de calcul supplémentaire par connexion.
En fin de compte, l’activation de ML-KEM a des compromis de performances minimes pour presque toutes les applications, et il est recommandé aux utilisateurs de profiter de la nouvelle fonctionnalité de sécurité des données dès que possible.