의 ML-DSA 키 AWS KMS

AWS Key Management Service (AWS KMS)는 포스트 퀀텀 암호화 서명에 대해 ML-DSA(모듈 래티스 디지털 서명 알고리즘)를 지원합니다. 이 구현은 향후 양자 컴퓨팅 위협으로부터 보호하는 데 도움이 되는 FIPS(Federal Information Processing Standards) 204 표준을 따릅니다.는 FIPS 140-3 보안 수준 3 검증 하드웨어 보안 모듈에서 모든 ML-DSA 키 및 서명 작업을 AWS KMS 생성하고 보호합니다. 의 ML-DSA는 보안과 성능의 균형을 맞추기 위해 다양한 키 사양인 ML_DSA_44, ML_DSA_65 및 ML_DSA_87을 통해 세 가지 고유한 보안 수준을 AWS KMS 제공합니다.

AWS KMS 는 메시지 유형을 사용하여 최대 4KB의 RAW 메시지에 대해 비대칭 키 서명을 지원합니다. 더 큰 메시지의 경우 NIST FIPS 204 섹션 6.2에 정의된 대로 ML-DSA 서명에 사용되는 64바이트 메시지 표현 μ를 외부에서 계산해야 합니다. AWS KMS 서명 작업에서 EXTERNAL_MU 메시지 유형을 사용하여이 사전 처리된 64바이트 메시지를 지정합니다. 외부에서 계산된 μ에서 생성된 서명은 동일한 메시지와 프라이빗 키를 사용할 RAW 때와 동일합니다. 이 서명은 NIST FIPS 204의 섹션 5.4의 '사전 해시' ML-DSA 또는 HashML-DSA와 다릅니다.

ML-DSA 및 EXTERNAL_MU 메시지 유형 사용에 대한 자세한 내용은 섹션을 참조하세요ML-DSA 키 사양.

ML-DSA 및 EXTERNAL_MU 메시지 유형을 사용하는 예는 섹션을 참조하세요ML-DSA 키 페어를 사용한 오프라인 확인.