Chaves ML-DSA em AWS KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Chaves ML-DSA em AWS KMS

AWS Key Management Service (AWS KMS) suporta o algoritmo de assinatura digital Module-Lattice (ML-DSA) para assinaturas criptográficas pós-quânticas. Essa implementação segue o padrão 204 do Federal Information Processing Standards (FIPS) para ajudar a proteger contra futuras ameaças de computação quântica. O AWS KMS cria e protege todas as chaves e operações de assinatura ML-DSA nos módulos de segurança de hardware validados pelo FIPS 140-3 Security Level 3. Para ajudar a equilibrar segurança com desempenho, o ML-DSA in AWS KMS oferece três níveis de segurança distintos por meio de diferentes especificações-chave, ML_DSA_44, ML_DSA_65 e ML_DSA_87.

AWS KMS suporta assinaturas de chave assimétrica para mensagens de até 4 KB usando o RAW tipo de mensagem. Para mensagens maiores, você deve calcular externamente o μ de representação de mensagem de 64 bytes usado na assinatura ML-DSA, conforme definido no NIST FIPS 204 seção 6.2. Use o tipo de EXTERNAL_MU mensagem na operação AWS KMS Assinar para especificar essa mensagem pré-processada de 64 bytes. As assinaturas produzidas pelo μ computado externamente são iguais às RAW ao usar a mesma mensagem e chave privada. Observe que essa assinatura é diferente da ML-DSA “pré-hash” ou HashML-DSA da seção 5.4 do NIST FIPS 204 .

Para obter mais informações sobre como usar ML-DSA e o tipo de mensagem EXTERNAL_MU, consulte Especificações de chave ML-DSA.

Para obter um exemplo de uso de ML-DSA e do tipo de mensagem EXTERNAL_MU, consulte Verificação off-line com pares de chaves ML-DSA.