こんばんは、小寺です。
OpenSearchがTLS1.3とPFSをサポートしました。
https://aws.amazon.com/about-aws/whats-new/2024/01/amazon-opensearch-service-tls-1-3-perfect-forward-secrecy/
perfect forward secrecyとは
perfect forward secrecy(以下、PFS)って聞かれたことありますか。日本語では、「完全前方秘匿性」と呼ばれるものです。
SSLは耳にしたことがある方が大半だと思いますが、SSL暗号化で鍵交換プロトコルによって送信者と受信者の間で暗号化に用いる暗号鍵(セッション鍵)を共有します。
そのままでは解読されることはありませんが、暗号化する際に使用した鍵が漏洩してしまうと過去に保管したデータの機密性が保持できなくなります。
秘密鍵が万が一流出した場合でも暗号通信を復号することが不可能なPFS(Perfect Forward Secrecy:完全前方秘匿性)が登場し、Google、TwitterをはじめとしたあらゆるアプリやWebサイトでこの暗号方式が採用されています。
実用化されているのはDHE(ディフィー・ヘルマン鍵共有)と、ECDHE(楕円曲線ディフィー・ヘルマン鍵共有)です。
秘密鍵などが漏洩しても、その鍵を使って生成・交換した暗号鍵は復元はできずに、過去のデータ復元もできなくなっています。なお最新バージョンのTLS 1.3では、既定でPFSを有する鍵交換方式のみが採用されています。
アップデート内容
Amazon OpenSearch Service は、ドメインエンドポイントセキュリティの Transport Layer Security (TLS)で バージョン 1.3 をサポートするようになりました。
今まではTLSバージョン1.2までのサポートでしたが、TLS1.3がサポートされることにより、セキュリティ面が強化され、PFS機能により一意のランダムセッションキーによる暗号化されたデータの漏洩に対して 追加で対策を取ることができるようになりました。
TLS1.3は全てのリージョンでサポートされています。
・Transport Layer Security (TLS) TLS 1.2 および TLS 1.3がサポート
・DHE (Ephemeral Diffie-Hellman) や ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) などの Perfect Forward Secrecy (PFS) を使用した暗号スイート
APIアクセスを行うときに、許容する最低限必要な TLS バージョンを設定するには、ドメインエンドポイントオプションで TLSSecurityPolicy 値を以下の通り指定すればOKです。
aws opensearch update-domain-config --domain-name my-domain --domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-2019-07"}'
OpenSearchのドメイン設定によっては、OpenSearch API へのリクエストに署名する必要があることもあります。