Chaves ML-DSA em AWS KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Chaves ML-DSA em AWS KMS

AWS Key Management Service (AWS KMS) suporta o algoritmo de assinatura digital Module-Lattice (ML-DSA) para assinaturas criptográficas pós-quânticas. Essa implementação segue o padrão Federal Information Processing Standards (FIPS) 204 para ajudar a proteger contra futuras ameaças da computação quântica. AWS KMS cria e protege todas as chaves e operações de assinatura ML-DSA nos módulos de segurança de hardware validados pelo FIPS 140-3 Security Level 3. Para ajudar a equilibrar segurança com desempenho, o ML-DSA in AWS KMS oferece três níveis de segurança distintos por meio de diferentes especificações-chave, ML_DSA_44, ML_DSA_65 e ML_DSA_87.

AWS KMS suporta assinaturas de chave assimétrica para mensagens de até 4 KB usando o RAW tipo de mensagem. Para mensagens maiores, você deve calcular externamente a representação de mensagem de 64 bytes μ usada na assinatura ML-DSA, conforme definido na seção 6.2 do NIST FIPS 204. Use o tipo de EXTERNAL_MU mensagem na operação AWS KMS Assinar para especificar essa mensagem pré-processada de 64 bytes. As assinaturas produzidas pelo μ calculado externamente são as mesmas que quando se usa a RAW mesma mensagem e chave privada. Observe que essa assinatura é diferente do ML-DSA “pré-hash” ou do HashML-DSA da seção 5.4 do NIST FIPS 204.

Para obter mais informações sobre como usar o ML-DSA e o tipo de mensagem EXTERNAL_MU, consulte. Principais especificações do ML-DSA

Para obter um exemplo de uso do ML-DSA e do tipo de mensagem EXTERNAL_MU, consulte. Verificação off-line com pares de chaves ML-DSA