Les clients AWS Secrets Manager prennent désormais en charge le protocole TLS post-quantique hybride pour protéger les secrets contre les menaces quantiques
Les clients AWS Secrets Manager prennent désormais en charge l’échange hybride de clés post-quantiques à l’aide de ML-KEM (Module-Lattice-based Key-Encapsulation Mechanism) pour sécuriser les connexions TLS destinées à récupérer les secrets. Cette protection est automatiquement activée dans l’agent Secrets Manager (version 2.0.0 et ultérieures), l’extension AWS Lambda (version 19 et ultérieures) et AWS Secrets ainsi que le fournisseur de configurations (version 2.0.0 et ultérieures). Pour les clients basés sur un kit SDK, l’échange de clés post-quantiques hybrides est disponible dans les kits SDK AWS pris en charge, notamment Rust, Go, Node.js, Kotlin, Python (avec OpenSSL 3.5 et ultérieures) et Java v2 (v2.35.11 et ultérieures).
Avec ce lancement, vos applications récupèrent des secrets via des connexions TLS par des clients Secrets Manager qui combinent l’échange de clés classique à la cryptographie post-quantique en vue de se protéger à la fois contre les attaques cryptographiques traditionnelles et les futures menaces informatiques quantiques connues sous le nom de « récolter d'abord, décrypter ensuite » (HNDL, harvest now, decrypt later). Aucune modification de code, aucune mise à jour de configuration ou aucun effort de migration n’est requis pour les cas d’utilisation qui ont déjà été mis à niveau vers les dernières versions du client, à l’exception de Java v2 (consultez la documentation pour plus de détails). Par exemple, un microservice nécessitant plusieurs secrets au démarrage peut désormais les récupérer via des connexions TLS résistantes au quantique en effectuant simplement une mise à niveau vers la dernière version de l’agent Secrets Manager. Vous pouvez vérifier que l’échange de clés post-quantiques hybrides est actif en recherchant dans les journaux AWS CloudTrail l’algorithme d’échange de clés « X25519MLKEM768 » dans le champ tlsDetails des appels d’API GetSecretValue.
S’appuyant sur le support côté service pour l’échange hybride de clés post-quantiques à l’aide de ML-KEM lancé en 2025 (voir le blog de lancement ici), cette version étend la prise en charge de l’échange hybride de clés post-quantiques pour TLS à tous les clients Secrets Manager. Pour en savoir plus, consultez la documentation relative à AWS Secrets Manager et la page de migration vers AWS Post-Quantum Cryptography. Consultez l’article de blog pour plus de détails : Protéger vos secrets contre les risques quantiques.