Kunci ML-DSA di AWS KMS

AWS Key Management Service (AWS KMS) mendukung Module-Lattice Digital Signature Algorithm (ML-DSA) untuk tanda tangan kriptografi pasca-kuantum. Implementasi ini mengikuti standar Federal Information Processing Standards (FIPS) 204 untuk membantu melindungi terhadap ancaman komputasi kuantum masa depan. AWS KMS membuat dan melindungi semua kunci ML-DSA dan operasi tanda tangan di modul keamanan perangkat keras yang divalidasi FIPS 140-3 Security Level 3. Untuk membantu menyeimbangkan keamanan dengan kinerja, ML-DSA AWS KMS menawarkan tiga tingkat keamanan yang berbeda melalui spesifikasi kunci yang berbeda, ML_DSA_44, ML_DSA_65, dan ML_DSA_87.

AWS KMS mendukung tanda tangan kunci asimetris untuk pesan hingga 4 KB menggunakan jenis pesan. RAW Untuk pesan yang lebih besar, Anda harus menghitung secara eksternal representasi pesan 64-byte μ yang digunakan dalam penandatanganan ML-DSA seperti yang didefinisikan dalam NIST FIPS 204 bagian 6.2. Gunakan jenis EXTERNAL_MU pesan dalam operasi AWS KMS Tanda tangan untuk menentukan pesan 64-byte yang telah diproses sebelumnya ini. Tanda tangan yang dihasilkan oleh μ yang dihitung secara eksternal sama dengan tanda tangan saat menggunakan pesan dan RAW kunci pribadi yang sama. Perhatikan bahwa penandatanganan ini berbeda dari “pra-hash” ML-DSA atau HashML-DSA dari bagian 5.4 dari NIST FIPS 204.

Untuk informasi selengkapnya tentang penggunaan ML-DSA dan jenis pesan EXTERNAL_MU, lihat. Spesifikasi kunci ML-DSA

Untuk contoh menggunakan ML-DSA dan jenis pesan EXTERNAL_MU, lihat. Verifikasi offline dengan pasangan kunci ML-DSA