AWS Secrets Manager 用戶端現在支援混合後量子 TLS 以保護密碼免於量子風險的侵害
AWS Secrets Manager 用戶端現在支援使用 ML-KEM (基於模組格的金鑰封裝機制) 的混合後量子金鑰交換,以針對擷取密碼保護 TLS 連線。此保護會自動在 Secrets Manager Agent (2.0.0+ 版)、AWS Lambda 延伸 (19+ 版),以及 AWS Secrets and Configuration Provider (2.0.0+ 版) 中啟用。針對以 SDK 為基礎的用戶端,混合後量子金鑰交換已在支援的 AWS SDK 中提供,包括 Rust、Go、Node.js、Kotlin、Python (搭配 OpenSSL 3.5+) 和 Java v2 (v2.35.11+)。
在此版本推出後,您的應用程式會使用 Secrets Manager 用戶端,透過結合傳統金鑰交換與後量子密碼學的 TLS 連線擷取密碼,從而同時防範傳統的密碼編譯攻擊,以及稱為「先竊取,後解密」(HNDL) 的未來量子運算風險。 已升級至最新用戶端版本的使用案例,則不需要變更程式碼、進行組態更新或移轉工作,Java v2 除外 (如需詳細資料,請參閱文件)。 例如,啟動時需要多個密碼的微服務,現在只需升級至最新的 Secrets Manager Agent 版本,即可透過抗量子 TLS 連線擷取它們。您可以在 GetSecretValue API 呼叫的 tlsDetails 欄位中檢查 AWS CloudTrail 日誌中是否有 "X25519MLKEM768" 金鑰交換演算法,以驗證混合後量子金鑰交換是否處於作用中狀態。
此版本以 2025 年推出之使用 ML-KEM 的混合後量子金鑰交換服務端支援 (請參閱此處的發佈部落格) 為基礎,將 TLS 的混合後量子金鑰交換支援擴展至所有 Secrets Manager 用戶端。若要進一步了解,請參閱 AWS Secrets Manager 文件和 AWS 後量子密碼學移轉頁面。請參閱部落格文章以取得詳細資料:保護您的密碼免於量子風險的侵害。