AWS KMS의 ML-DSA 키

AWS Key Management Service(AWS KMS)는 양자 내성 암호화 서명에 대한 모듈-격자 디지털 서명 알고리즘(ML-DSA)을 지원합니다. 이 구현은 향후 양자 컴퓨팅 위협에 대비하기 위해 연방 정보 처리 표준(FIPS) 204 표준을 따릅니다. AWS KMS는 FIPS 140-3 보안 수준 3 검증된 하드웨어 보안 모듈에서 모든 ML-DSA 키 및 서명 작업을 생성하고 보호합니다. 보안과 성능의 균형을 맞추기 위해 AWS KMS의 ML-DSA는 ML_DSA_44, ML_DSA_65, ML_DSA_87 등 서로 다른 키 사양을 통해 세 가지 보안 수준을 제공합니다.

AWS KMS는 RAW 메시지 유형을 사용해 최대 4KB 메시지에 대한 비대칭 키 서명을 지원합니다. 더 큰 메시지의 경우, NIST FIPS 204 섹션 6.2에 정의된 대로 ML-DSA 서명에 사용되는 64바이트 메시지 표현 μ를 외부에서 컴퓨팅해야 합니다. 이 사전 처리된 64바이트 메시지를 지정하려면 AWS KMS Sign 작업의 EXTERNAL_MU 메시지 유형을 사용하세요. 외부에서 컴퓨팅된 μ로 생성된 서명은 동일한 메시지와 프라이빗 키를 사용할 경우 RAW에서 생성된 서명과 동일합니다. 이 서명은 NIST FIPS 204 섹션 5.4의 “pre-hash” ML-DSA 또는 HashML-DSA와는 다릅니다.

ML-DSA 및 EXTERNAL_MU 메시지 유형 사용에 대한 자세한 내용은 ML-DSA 키 사양 페이지를 참조하세요.

ML-DSA와 EXTERNAL_MU 메시지 유형을 사용하는 예시는 ML-DSA 키 페어를 사용한 오프라인 검증 페이지를 참조하세요.