AWS Secrets Manager クライアントが量子リスクからシークレットを保護するハイブリッドポスト量子 TLS をサポート開始
AWS Secrets Manager クライアントは、シークレットの取得に必要な TLS 接続を保護するため、ML-KEM (Module-Lattice-based Key-Encapsulation Mechanism) を使用したハイブリッドポスト量子キー交換をサポートするようになりました。この保護は、Secrets Manager Agent (バージョン 2.0.0 以降)、AWS Lambda 拡張機能 (バージョン 19 以降)、AWS Secrets and Configuration Provider (バージョン 2.0.0 以降) で自動的に有効になります。SDK ベースのクライアントの場合、ハイブリッドポスト量子キー交換は、Rust、Go、Node.js、Kotlin、Python (OpenSSL 3.5 以降使用時)、Java v2 (v2.35.11 以降) を含む、サポートされている AWS SDK で利用できます。
今回のリリースにより、アプリケーションは Secrets Manager クライアントを介して TLS 接続上でシークレットを取得できるようになり、従来のキー交換とポスト量子暗号を組み合わせることで、従来の暗号攻撃だけでなく、HNDL 攻撃 (Harvest Now, Decrypt Later) として知られる将来の量子コンピューティングのリスクからも保護されます。 Java v2 を除き、既に最新のクライアントバージョンにアップグレードされているユースケースでは、コードの変更、構成の更新、または移行作業は必要ありません (詳細については、ドキュメントを参照してください)。 例えば、起動時に複数のシークレットを必要とするマイクロサービスは、Secrets Manager Agent を最新バージョンにアップグレードするだけで、量子耐性のある TLS 接続を介してシークレットを取得できるようになります。ハイブリッドポスト量子キー交換が有効であることは、GetSecretValue API コールの tlsDetails フィールドで、鍵交換アルゴリズム「X25519MLKEM768」が AWS CloudTrail ログに記録されていることを確認することで検証できます。
2025 年に開始された ML-KEM を使用するハイブリッドポスト量子キー交換のサービス側サポート (提供開始に関するブログはこちらを参照) を基盤として、このリリースでは、TLS のハイブリッドポスト量子キー交換のサポートがすべての Secrets Manager クライアントに拡張されました。詳細については、AWS Secrets Manager のドキュメント、および AWS ポスト量子暗号移行ページを参照してください。詳細については、ブログ記事「Protecting your secrets from quantum risks」を参照してください。