AWS Secrets Manager-Clients bieten jetzt hybrides Post-Quanten-TLS, um Geheimnisse vor Quantenrisiken zu schützen
AWS Secrets Manager-Clients bieten jetzt den hybriden Post-Quanten-Schlüsselaustausch mithilfe von ML-KEM (Module-Lattice-based Key-Encapsulation Mechanism), um TLS-Verbindungen zum Abrufen von Geheimnissen abzusichern. Dieser Schutz wird automatisch in Secrets Manager Agent (Version 2.0.0+), AWS Lambda Extension (Version 19+) und Secrets Manager CSI Driver (Version 2.0.0+) aktiviert. Für SDK-basierte Kunden ist der hybride Post-Quantum-Schlüsselaustausch in unterstützten AWS-SDKs verfügbar, darunter Rust, Go, Node.js, Kotlin, Python (mit OpenSSL 3.5+) und Java v2 (v2.35.11+).
Mit diesem Launch rufen Ihre Anwendungen Geheimnisse über Secrets Manager-Clients ab, die klassischen Schlüsselaustausch mit Post-Quanten-Kryptografie kombinieren. So schützen Sie sich sowohl vor herkömmlichen kryptografischen Angriffen als auch vor zukünftigen Quantencomputer-Bedrohungen, bekannt als „Harvest now, decrypt later“ (HNDL). Für Anwendungsfälle, die bereits auf die neuesten Client-Versionen aktualisiert wurden, sind keine Codeänderungen, Konfigurationsupdates oder Migrationsarbeiten erforderlich, mit Ausnahme von Java v2 (Einzelheiten finden Sie in der Dokumentation). Beispielsweise kann ein Microservice, der beim Start mehrere Geheimniss benötigt, diese jetzt über quantenresistente TLS-Verbindungen abrufen, indem er einfach ein Upgrade auf die neueste Secrets-Manager-Agent-Version durchführt. Sie können überprüfen, ob der hybride Post-Quanten-Schlüsselaustausch aktiv ist, indem Sie die AWS CloudTrail-Protokolle auf den Schlüsselaustauschalgorithmus „X25519MLKEM768“ im Feld „TLSDetails“ der GetSecretValue-API-Aufrufe überprüfen.
Aufbauend auf der 2025 eingeführten serviceseitigen Unterstützung für den hybriden Post-Quanten-Schlüsselaustausch mit ML-KEM (siehe den Launch-Blog hier), erweitert diese Version die Unterstützung für den hybriden Post-Quanten-Schlüsselaustausch für TLS auf alle Secrets Manager-Clients. Weitere Informationen finden Sie in der Dokumentation zu AWS Secrets Managern und auf der Migrationsseite zu AWS Post-Quanten-Kryptographie. Weitere Informationen finden Sie im Blogbeitrag: Schützen Sie Ihre Geheimnisse vor Quantenrisiken.