[新产品/新功能] AWS Application Load Balancer 和 Network Load Balancer 现已支持 TLS 的后量子密钥交换

**发布时间:** 2025-11-21 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/11/network-load-balancers-post-quantum-key-exchange-tls/ ---  [新产品/新功能] AWS Application Load Balancer 和 Network Load Balancer 现已支持 TLS 的后量子密钥交换   # 产品功能分析 ## 新功能/新产品概述 AWS 的 **应用负载均衡器 (ALB)** 和 **网络负载均衡器 (NLB)** 现已支持 **传输层安全协议 (TLS)** 的后量子密钥交换。该功能旨在保护传输中的数据免受未来量子计算机的破解威胁，特别是防范“先采集、后解密”（**Harvest Now, Decrypt Later, HNDL**）攻击。该功能通过引入新的 **TLS 安全策略** 实现，采用一种混合模式的 **后量子密钥协商** 机制。此机制将经典的密钥交换算法（如 **ECDH**）与后量子 **密钥封装方法 (KEM)** 相结合，具体实现包括了已标准化的 **基于模块化格的密钥封装机制 (ML-KEM)** 算法。这种混合方法确保了即使后量子算法未来被发现存在漏洞，通信安全也能回退到经典的、经过验证的加密算法，提供双重保障。此功能的目标用户是所有对数据长期机密性有极高要求的客户，例如金融、政府、医疗保健以及需要保护长期敏感知识产权的行业。AWS 将其定位为一项前瞻性的、增强型安全特性，帮助客户“未来验证”（future-proof）其基础设施，以应对新兴的量子计算威胁。 ## 关键客户价值 - **长期数据机密性保障** - 核心价值是有效防范 **HNDL** 攻击。攻击者当前可以截获并存储加密流量，等待未来量子计算机成熟后进行解密。通过部署后量子加密，即使数据现在被截获，未来也无法被破解，从而保护了敏感数据的长期价值和机密性。 - **无缝集成与平滑过渡** - 该功能作为一项可选的 **TLS 安全策略** 提供，客户无需更改应用程序代码或底层架构。只需在负载均衡器的侦听器配置中选择新的策略即可启用，极大地降低了采用门槛。 - 这种在基础设施层“开箱即用”的集成方式，与可能需要更复杂配置或依赖第三方解决方案的竞品相比，具有明显的部署和管理优势。 - **零额外成本** - AWS 将此高级安全功能作为 ALB/NLB 的一部分免费提供，降低了客户采用前沿安全技术的财务门槛，提升了平台的整体价值主张。 - **全面的可用性与可观测性** - 功能覆盖所有 AWS 商业区、GovCloud (US) 和中国区，确保全球客户都能一致地应用此安全防护。 - 提供了通过 **ALB 连接日志** 和 **NLB 访问日志** 监控密钥交换机制的能力，使安全团队能够验证和审计后量子加密的实际使用情况，满足合规性要求。 ## 关键技术洞察 - **采用混合密钥交换模式** - _这是当前后量子密码学（PQC）过渡阶段的最佳实践_。它将成熟的经典算法（如 **Elliptic-Curve Diffie-Hellman, ECDH**）与新兴的后量子算法（如 **ML-KEM**）结合在一起。 - 工作原理：在 **TLS 握手** 过程中，客户端和服务器同时交换经典密钥和后量子密钥材料，并结合两者生成最终的会话密钥。这种设计确保了安全性：只要两种算法中至少有一种未被攻破，通信就是安全的。这既能抵御当前经典计算机的攻击，也能防范未来量子计算机的威胁。 - **基于标准化算法** - 明确提及了 **ML-KEM**，该算法是美国国家标准与技术研究院（NIST）PQC 标准化进程中选定的关键算法之一（作为 CRYSTALS-Kyber 的一部分）。 - _采用行业标准化算法而非专有算法_，增强了方案的可信度、互操作性和长期可行性，避免了供应商锁定，并使客户能够遵循全球公认的最佳安全实践。 - **在网络基础设施层实现加密升级** - 将后量子加密能力内置于 **负载均衡器** 这一网络流量入口，意味着可以为后端所有服务提供透明的加密升级，而无需对每个应用进行逐一改造。 - 这种架构选择极大地简化了大规模部署，确保了安全策略的一致性，是云原生环境下实现安全能力演进的高效方式。 ## 其他信息 - 该功能为 **可选（opt-in）** 模式，现有负载均衡器不会自动升级，需要用户主动更新配置。这是一种审慎的做法，允许客户根据自身业务需求和客户端兼容性情况进行充分测试和规划迁移，避免了强制升级可能带来的兼容性问题。   # AWS Application Load Balancer 和 Network Load Balancer 现已支持 TLS 的后量子密钥交换 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/11/network-load-balancers-post-quantum-key-exchange-tls/](https://aws.amazon.com/about-aws/whats-new/2025/11/network-load-balancers-post-quantum-key-exchange-tls/) **发布时间:** 2025-11-21 **厂商:** AWS **类型:** WHATSNEW --- # AWS Application Load Balancer 和 Network Load Balancer 现已支持 TLS 的后量子密钥交换发布于: 2025-11-21 AWS 应用程序负载均衡器 (Application Load Balancers, ALB) 和网络负载均衡器 (Network Load Balancers, NLB) 现已为传输层安全 (Transport Layer Security, TLS) 协议提供后量子密钥交换 (post-quantum key exchange) 选项。这项可选功能引入了新的 TLS 安全策略，采用混合后量子密钥协商 (hybrid post-quantum key agreement) 机制，将经典密钥交换算法与后量子密钥封装方法 (post-quantum key encapsulation methods) 相结合，其中包括标准化的基于模块化格的密钥封装机制 (Module-Lattice-Based Key-Encapsulation Mechanism, ML-KEM) 算法。后量子 TLS (Post-quantum TLS, PQ-TLS) 安全策略可以保护您的传输中数据，抵御潜在的“先采集，后解密” (Harvest Now, Decrypt Later, HNDL) 攻击。这类攻击指的是攻击者在当前收集加密数据，并计划在量子计算 (quantum computing) 能力成熟后对其进行解密。这种抗量子加密 (quantum-resistant encryption) 技术可确保您的应用程序和数据传输的长期安全，使您的基础设施能够从容应对新兴的量子计算威胁。该功能已在所有 AWS 商业区域、AWS GovCloud (美国) 区域和 AWS 中国区域的 ALB 和 NLB 上线，无需额外费用。要使用此功能，您必须通过 AWS 管理控制台 (AWS Management Console)、CLI、API 或 SDK，显式更新您现有的 ALB HTTPS 侦听器或 NLB TLS 侦听器以使用 PQ-TLS 安全策略，或在创建新侦听器时选择 PQ-TLS 策略。您可以使用 ALB 连接日志或 NLB 访问日志来监控经典密钥交换或抗量子密钥交换的使用情况。更多信息，请访问 [ALB 用户指南](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html) 、[NLB 用户指南](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html) 和 [AWS 后量子密码学](https://aws.amazon.com/security/post-quantum-cryptography/) 文档。