Clés ML-DSA entrées AWS KMS

AWS Key Management Service (AWS KMS) prend en charge l'algorithme de signature numérique Module-Lattice (ML-DSA) pour les signatures cryptographiques post-quantiques. Cette mise en œuvre est conforme à la norme Federal Information Processing Standards (FIPS) 204 afin de contribuer à la protection contre les futures menaces informatiques quantiques. AWS KMS crée et protège toutes les clés ML-DSA et les opérations de signature dans les modules de sécurité matériels validés FIPS 140-3 Security Level 3. Pour trouver un équilibre entre sécurité et performances, ML-DSA AWS KMS propose trois niveaux de sécurité distincts grâce à différentes spécifications clés, ML_DSA_44, ML_DSA_65 et ML_DSA_87.

AWS KMS prend en charge les signatures de clé asymétriques pour les messages d'une taille maximale de 4 Ko en utilisant le type de RAW message. Pour les messages plus volumineux, vous devez calculer en externe la représentation du message de 64 octets μ utilisée pour la signature ML-DSA, comme défini dans la section 6.2 de la norme NIST FIPS 204. Utilisez le type de EXTERNAL_MU message dans l'opération de AWS KMS signature pour spécifier ce message prétraité de 64 octets. Les signatures produites par le μ calculé en externe sont les mêmes que RAW celles produites lors de l'utilisation du même message et de la même clé privée. Notez que cette signature est différente du « pré-hachage » ML-DSA ou du HashML-DSA de la section 5.4 du NIST FIPS 204.

Pour plus d'informations sur l'utilisation de ML-DSA et du type de message EXTERNAL_MU, consultez. Caractéristiques clés de la ML-DSA

Pour un exemple d'utilisation de ML-DSA et du type de message EXTERNAL_MU, consultez. Vérification hors ligne avec des paires de clés ML-DSA