ขณะนี้ไคลเอนต์ AWS Secrets Manager รองรับ TLS ยุคหลังควอนตัมแบบไฮบริดเพื่อปกป้องข้อมูลลับทางเทคนิคจากความเสี่ยงควอนตัมแล้ว
ไคลเอนต์ AWS Secrets Manager รองรับการแลกเปลี่ยนคีย์ยุคหลังควอนตัมแบบไฮบริดโดยใช้ ML-KEM (กลไกการห่อคีย์ที่ใช้โครงสร้างแลตทิซแบบโมดูล) เพื่อรักษาความปลอดภัยของการเชื่อมต่อ TLS สำหรับการดึงข้อมูลลับทางเทคนิค การป้องกันนี้ถูกเปิดใช้งานโดยอัตโนมัติใน Secrets Manager Agent (เวอร์ชัน 2.0.0+), ส่วนขยาย AWS Lambda (เวอร์ชัน 19+) และ AWS Secrets และ Configuration Provider (เวอร์ชัน 2.0.0+) สำหรับไคลเอนต์ที่ใช้ SDK การแลกเปลี่ยนคีย์ยุคหลังควอนตัมแบบไฮบริดพร้อมใช้งานใน AWS SDK ที่รองรับ ได้แก่ Rust, Go, Node.js, Kotlin, Python (พร้อม OpenSSL 3.5+) และ Java v2 (v2.35.11+)
ด้วยการเปิดตัวครั้งนี้ แอปพลิเคชันของคุณจะดึงข้อมูลข้อมูลลับทางเทคนิคผ่านการเชื่อมต่อ TLS ผ่านไคลเอนต์ Secrets Manager ซึ่งจะผสานการแลกเปลี่ยนคีย์แบบดั้งเดิมเข้ากับการเข้ารหัสแบบทนทานต่อคอมพิวเตอร์ควอนตัมเพื่อป้องกันทั้งการโจมตีทางคริปโตกราฟีแบบดั้งเดิมและความเสี่ยงจากการประมวลผลแบบควอนตัมในอนาคตที่เรียกว่า "Harvest now, decrypt later (เก็บข้อมูลตอนนี้ ถอดรหัสภายหลัง)" (HNDL) ไม่จำเป็นต้องมีการเปลี่ยนแปลงโค้ด การอัปเดตการกำหนดค่า หรือความพยายามในการย้ายระบบ สำหรับกรณีการใช้งานที่ได้รับการอัปเกรดเป็นเวอร์ชันไคลเอนต์ล่าสุดแล้ว ยกเว้น Java v2 (โปรดดูรายละเอียดในเอกสารประกอบ) ตัวอย่างเช่น ไมโครเซอร์วิสที่ต้องการข้อมูลลับทางเทคนิคหลายรายการในช่วงเริ่มต้น สามารถดึงข้อมูลเหล่านั้นผ่านการเชื่อมต่อ TLS แบบทนทานต่อคอมพิวเตอร์ควอนตัมได้ เพียงแค่อัปเกรดเป็น Secrets Manager Agent เวอร์ชันล่าสุด คุณสามารถตรวจสอบได้ว่าการแลกเปลี่ยนคีย์ยุคหลังควอนตัมแบบไฮบริดทำงานอยู่ โดยตรวจสอบข้อมูลบันทึก AWS CloudTrail สำหรับอัลกอริทึมการแลกเปลี่ยนคีย์ "X25519MLKEM768" ในฟิลด์ tlsDetails ของการเรียกใช้ API ของ GetSecretValue
จากการสนับสนุนด้านบริการสำหรับการแลกเปลี่ยนคีย์ยุคหลังควอนตัมแบบไฮบริดโดยใช้ ML-KEM ที่เปิดตัวในปี 2025 (ดูบล็อกการเปิดตัวที่นี่) รุ่นนี้ขยายการสนับสนุนการแลกเปลี่ยนคีย์ยุคหลังควอนตัมแบบไฮบริดสำหรับ TLS ไปยังลูกค้า Secrets Manager ทั้งหมด หากต้องการเรียนรู้เพิ่มเติม โปรดไปที่เอกสารประกอบ AWS Secrets Manager และหน้าการย้ายระบบการเข้ารหัสแบบทนทานต่อคอมพิวเตอร์ควอนตัมของ AWS โปรดดูโพสต์บล็อกสำหรับรายละเอียดเพิ่มเติม: ปกป้องความลับของคุณจากความเสี่ยงควอนตัม