翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の ML-DSA キー AWS KMS
<a name="mldsa"></a>

AWS Key Management Service (AWS KMS) は、ポスト量子暗号化署名の Module-Lattice Digital Signature Algorithm (ML-DSA) をサポートしています。この実装は、将来の量子コンピューティングの脅威から保護するために[連邦情報処理標準 (FIPS) 204 標準](https://csrc.nist.gov/pubs/fips/204/final)に準拠しています。 AWS KMS は、FIPS 140-3 セキュリティレベル 3 検証済みハードウェアセキュリティモジュールですべての ML-DSA キーと署名オペレーションを作成および保護します。セキュリティとパフォーマンスのバランスを取るために、 の ML-DSA AWS KMS は、ML\$1DSA\$144、ML\$1DSA\$165、ML\$1DSA\$187 の異なるキー仕様を通じて 3 つの異なるセキュリティレベルを提供します。

AWS KMS は、メッセージタイプを使用して最大 4 KB の`RAW`メッセージの非対称キー署名をサポートします。より大きなメッセージの場合、NIST FIPS 204 セクション 6.2 で定義されているように、ML-DSA 署名で使用される 64 バイトのメッセージ表現 μ を外部で計算する必要があります。 AWS KMS [署名](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)オペレーションで`EXTERNAL_MU`メッセージタイプを使用して、この事前処理された 64 バイトのメッセージを指定します。外部で計算された μ によって生成される署名は、同じメッセージとプライベートキーを使用するときの `RAW` と同じです。この署名は、NIST FIPS 204 のセクション 5.4 に記載されている「pre-hash」ML-DSA または HashML-DSA とは異なります。

ML-DSA と EXTERNAL\$1MU メッセージタイプの使用の詳細については、「[ML-DSA キー仕様](symm-asymm-choose-key-spec.md#key-spec-mldsa)」を参照してください。

ML-DSA と EXTERNAL\$1MU メッセージタイプの使用例については、「[ML-DSA キーペアによるオフライン検証](offline-operations.md#mldsa-offline-verification)」を参照してください。