[新产品/新功能] Amazon CloudFront 推出支持后量子加密的 TLS 安全策略

**发布时间:** 2025-09-05 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/09/amazon-cloudfront-TLS-policy-post-quantum-support ---  [新产品/新功能] Amazon CloudFront 推出支持后量子加密的 TLS 安全策略   # 产品功能分析 ## 新功能/新产品概述 Amazon CloudFront 推出了一项新的安全功能，为客户端到边缘节点的连接提供了混合式 **后量子密钥协商 (hybrid post-quantum key establishment)** 支持，并发布了一个新的、仅支持 **TLS 1.3** 的安全策略 `TLS1.3_2025`。该功能旨在抵御未来 **量子计算** 对现有加密体系构成的潜在威胁，通过“面向未来”的加密技术，确保数据的长期安全性和合规性。其核心技术原理是在标准的 **TLS** 握手过程中，并行使用经典的密钥交换算法（如 **ECDHE**）和一种 **后量子算法**，将两者生成的密钥结合起来创建最终的会SH会话密钥。这种混合模式确保了即使其中一种算法被破解，通信安全依然能够得到保障。 **后量子密码学 (PQC)** 功能在所有现有的 **TLS** 安全策略中自动启用，无需用户进行任何配置。而 `TLS1.3_2025` 策略则是一个独立的选项，供需要强制使用最新安全标准的客户配置。目标用户群为对数据安全有极高要求的组织，如金融、政府、医疗保健等行业，以及任何需要确保数据长期保密性的企业。此举使 AWS 在 CDN 市场的安全能力上处于领先地位，提前布局应对未来安全威胁。 ## 关键客户价值 - **前瞻性的安全保障** - 业务价值：通过引入 **后量子密码学 (PQC)**，保护客户数据免受未来量子计算机的“先存储后破解”（Store Now, Decrypt Later）攻击。这对于需要长期保护的敏感数据（如个人身份信息、金融交易、国家机密）至关重要。 - 差异化优势：AWS 在所有现有策略中无缝集成了此功能，客户无需任何操作即可自动获得保护，极大地降低了采用门槛。这与一些竞品可能需要单独配置或作为增值服务提供形成对比。 - **增强的合规性与灵活性** - 业务价值：新的 `TLS1.3_2025` 策略允许企业强制使用最新的 **TLS 1.3** 协议，以满足严格的内部安全策略和外部合规性要求（如 PCI DSS、HIPAA）。**TLS 1.3** 相比旧版本，简化了握手过程，减少了延迟，并移除了不安全的加密套件。 - 差异化优势：提供一个仅限 **TLS 1.3** 的专用策略，给予客户更精细的控制权，可以主动淘汰过时的协议，从根本上避免因协议降级攻击导致的安全风险。 - **零成本升级与无缝集成** - 业务价值：客户无需支付额外费用即可使用 **PQC** 和新的 **TLS** 策略，降低了安全升级的成本。由于 **PQC** 是默认启用，也避免了复杂的迁移和配置过程，对现有业务无任何影响。 - 实现机制：AWS 在其全球 **边缘节点 (edge locations)** 基础设施层面实现了这一功能，利用其庞大的规模效应分摊了研发和部署成本。 ## 关键技术洞察 - **混合式密钥交换机制** - 技术独特性：采用 _混合方法 (hybrid approach)_，在 **TLS** 握手过程中，将一个经典的密钥交换算法（如 **Elliptic Curve Diffie-Hellman, ECDHE**）和一个后量子算法（如基于格的 **Kyber**）相结合。 - 工作原理：客户端和服务器同时交换两种类型的密钥材料，并共同用于生成最终的会话密钥。这种设计的优势在于，即使后量子算法在未来被发现存在漏洞，系统的安全性也不会低于当前广泛使用的经典算法，提供了“双重保险”。 - 影响：在不显著增加连接延迟的前提下，实现了对未来量子攻击的防御，确保了加密连接的长期健壮性。 - **全面的边缘默认部署** - 技术创新点：将 **PQC** 支持无缝、默认地集成到所有 CloudFront **边缘节点** 的现有 **TLS** 策略中。 - 影响：确保无论最终用户位于何处，其到 CloudFront 边缘的连接都能获得同等级别的后量子安全保护，提供了统一且一致的安全体验，免去了客户侧复杂的配置和验证工作。 - **TLS 1.3 协议的强制应用** - 技术独特性：提供一个仅支持 **TLS 1.3** 的专用策略 `TLS1.3_2025`。 - 影响：**TLS 1.3** 协议本身在性能和安全上就有巨大提升，例如通过 **0-RTT (Zero Round Trip Time Resumption)** 减少连接建立时间，并废弃了多个已知的弱加密算法和特性。强制使用此协议可以从根本上消除与旧版 **TLS** 相关的漏洞风险，为客户提供更纯粹、更安全的传输层。   # Amazon CloudFront 发布支持后量子加密的 TLS 安全策略 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/09/amazon-cloudfront-TLS-policy-post-quantum-support](https://aws.amazon.com/about-aws/whats-new/2025/09/amazon-cloudfront-TLS-policy-post-quantum-support) **发布时间:** 2025-09-05 **厂商:** AWS **类型:** WHATSNEW --- # Amazon CloudFront 发布支持后量子加密的 TLS 安全策略发布于: 2025-09-05 Amazon CloudFront 宣布在所有现有的传输层安全 (Transport Layer Security, TLS) 安全策略中支持混合后量子密钥协商 (hybrid post-quantum key establishment)，为客户端到边缘站点的连接提供增强的保护，以抵御未来的量子计算威胁。此外，CloudFront 还推出了一项新的仅支持 TLS 1.3 的安全策略，增强了查看器与边缘站点之间的 TLS 选项。这些更新使客户能够利用抗量子加密技术，同时在配置其 CloudFront 分配时拥有更大的灵活性，以满足特定的安全与合规性要求。后量子密码学 (post-quantum cryptography, PQC) 功能已为客户端到边缘站点的连接自动启用，提供了面向未来的加密技术，可确保长期的数据安全并为满足监管合规性做好准备。默认情况下，所有现有的安全策略都支持 PQC，无需客户进行任何配置。新的 TLS1.3_2025 策略仅支持 TLS 1.3，使客户能够利用最新的 TLS 协议，与早期 TLS 版本相比，该协议提供了更高的安全性和性能。这对于强制执行最新安全标准的组织尤其有用。这些 PQC 功能和新的安全策略已在所有 CloudFront 边缘站点可用。使用 PQC 或 TLS1.3_2025 策略不会产生额外费用。要了解有关后量子密码学和这项新 TLS 策略的更多信息，以及如何在您的 CloudFront 分配中实施它们，请访问 CloudFront 文档。 [CloudFront 文档](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html) 。