AWS Secrets Manager 客户端现已支持混合后量子 TLS 以保护密钥免受量子风险
AWS Secrets Manager 客户端现在支持使用 ML-KEM(基于模块格的密钥封装机制)进行混合后量子密钥交换,以保护用于检索密钥的 TLS 连接。此保护功能已在 Secrets Manager 代理(2.0.0+ 版本)、AWS Lambda 扩展(19+ 版本)以及 AWS Secrets and Configuration Provider(2.0.0+ 版本)中自动启用。对于基于 SDK 的客户端,混合后量子密钥交换在受支持的 AWS SDK 中可用,包括 Rust、Go、Node.js、Kotlin、Python(需 OpenSSL 3.5+)和 Java v2 (v2.35.11+)。
此次发布之后,您的应用程序将通过 Secrets Manager 客户端利用 TLS 连接检索密钥,这些连接将经典密钥交换与后量子密码学相结合,可抵御传统加密攻击以及未来被称为“先行捕获,后续解密”(HNDL)的量子计算风险。 除了 Java v2 外,对于已升级至最新客户端版本的使用案例,无需更改代码、更新配置或进行迁移(详情请参阅文档)。 例如,一个在启动时需要多个机密的微服务,现在只需升级到最新的 Secrets Manager 代理版本,即可通过具备量子抗性的 TLS 连接检索这些机密。您可以通过检查 AWS CloudTrail 日志中 GetSecretValue API 调用在 tlsDetails 字段里的“X25519MLKEM768”密钥交换算法,来验证混合后量子密钥交换是否处于活动状态。
此次发布在服务端支持使用 2025 年推出的 ML-KEM 进行混合后量子密钥交换的基础上(参见此处的发布博客),将对 TLS 混合后量子密钥交换的支持扩展至所有 Secrets Manager 客户端。要了解更多信息,请访问 AWS Secrets Manager 文档和 AWS 后量子密码学迁移页面。有关更多详细信息,请参阅博客文章:Protecting your secrets from quantum risks。