Клиенты Менеджера секретов AWS теперь поддерживают гибридный постквантовый TLS для защиты секретов от квантовых угроз
Клиенты Менеджера секретов AWS теперь поддерживают гибридный постквантовый обмен ключами с использованием механизма инкапсуляции ключей на основе модульной решетки (ML-KEM) для защиты соединений по протоколу TLS при получении секретов. Эта защита автоматически включается в Агенте управления секретами (версии 2.0.0 и выше), расширении AWS Lambda (версии 19 и выше) и Поставщике секретов и конфигураций AWS (версии 2.0.0 и выше). Для клиентов на основе SDK гибридный постквантовый обмен ключами доступен в поддерживаемых AWS SDK, включая Rust, Go, Node.js, Kotlin, Python (с OpenSSL 3.5+) и Java v2 (версии 2.35.11 и выше).
С запуском этих возможностей приложения смогут получать секреты в клиентах Менеджера секретов по TLS-соединениям, сочетая классический обмен ключами с постквантовой криптографией. Это обеспечит защиту как от традиционных криптографических атак, так и от будущих угроз квантовых вычислений за счет стратегии «harvest now, decrypt later» («собирай данные сейчас, расшифровывай позже», HNDL). В тех примерах использования, которые уже переведены на новейшие версии клиентов (кроме Java v2 – см. дополнительные сведения в документации), вносить изменения в код, обновлять конфигурацию или выполнять миграцию не требуется. Например, микросервис, которому при запуске требуется несколько секретов, теперь может извлекать их через квантово-устойчивые соединения TLS, просто обновившись до последней версии Агента управления секретами. Вы можете убедиться, что гибридный постквантовый обмен ключами активен, проверив, содержат ли журналы AWS CloudTrail вызовы API GetSecretValue со значением алгоритма обмена ключами X25519MLKEM768 в поле tlsDetails.
Поддержка гибридного постквантового обмена ключами с использованием ML-KEM на стороне сервисов была запущена в 2025 г. (см. блог о запуске), а текущее расширение охватывает поддержку протокола TLS для всех клиентов Менеджера секретов. Подробнее см. документацию Менеджера секретов AWS и страницу о переходе на постквантовую криптографию AWS. Дополнительные сведения см. в публикации блога Защита ваших секретов от квантовых рисков.