AWS Secrets Manager が量子脅威からシークレットを保護するハイブリッドポスト量子 TLS をサポート
AWS Secrets Manager は、シークレットの取得と管理に必要な TLS 接続を保護するため、ML-KEM (Module-Lattice-based Key-Encapsulation Mechanism) を使用したハイブリッドポスト量子キー交換をサポートするようになりました。この保護は、Secrets Manager Agent (バージョン 2.0.0 以降)、AWS Lambda 拡張機能 (バージョン 19 以降)、Secrets Manager CSI ドライバー (バージョン 2.0.0 以降) で自動的に有効になります。SDK ベースのクライアントの場合、ハイブリッドポスト量子キー交換は、Rust、Go、Node.js、Kotlin、Python (OpenSSL 3.5 以降使用時)、Java v2 (v2.35.11 以降) を含む、サポートされている AWS SDK で利用できます。
今回のリリースにより、アプリケーションは従来のキー交換とポスト量子暗号を組み合わせた TLS 接続を介してシークレットを取得できるため、従来の暗号攻撃からの保護だけでなく、HNDL 攻撃 (Harvest Now, Decrypt Later) として知られる将来の量子コンピューティングの脅威に対する保護にも役立ちます。Java v2 以外の最新のクライアントバージョンを使用している場合、コードの変更、設定の更新、移行作業は不要です。例えば、起動時に複数のシークレットを必要とするマイクロサービスは、Secrets Manager Agent を最新バージョンにアップグレードするだけで、量子耐性のある TLS 接続を介してシークレットを取得できるようになります。ハイブリッドポスト量子キー交換がアクティブであることは、CloudTrail ログの GetSecretValue API コールの tlsDetails フィールドで、キー交換アルゴリズムが "X25519MLKEM768" になっているかをチェックすることで確認できます。
AWS Secrets Manager 向けの ML-KEM を使用したハイブリッドポスト量子キー交換は、AWS Secrets Manager がサポートされているすべての AWS リージョンで利用できます。詳細については、AWS Secrets Manager のドキュメント、および AWS ポスト量子暗号移行ページを参照してください。