Chaves ML-DSA no AWS KMS

AWS Key Management Service(AWS KMS) é compatível com Module-Lattice Digital Signature Algorithm (ML-DSA) para assinaturas criptográficas pós-quânticas. Essa implementação segue o padrão 204 do Federal Information Processing Standards (FIPS) para ajudar a proteger contra futuras ameaças de computação quântica. O AWS KMS cria e protege todas as chaves e operações de assinatura ML-DSA nos módulos de segurança de hardware validados pelo FIPS 140-3 Security Level 3. Para ajudar a equilibrar segurança com performance, o ML-DSA no AWS KMS oferece três níveis de segurança distintos por meio de diferentes especificações de chave, ML_DSA_44, ML_DSA_65 e ML_DSA_87.

O AWS KMS é compatível com assinaturas de chave assimétrica para mensagens de até 4 KB usando o tipo de mensagem RAW. Para mensagens maiores, você deve calcular externamente o μ de representação de mensagem de 64 bytes usado na assinatura ML-DSA, conforme definido no NIST FIPS 204 seção 6.2. Use o tipo de mensagem EXTERNAL_MU na operação Sign do AWS KMS para especificar essa mensagem de 64 bytes pré-processada. As assinaturas produzidas pelo μ computado externamente são iguais às RAW ao usar a mesma mensagem e chave privada. Observe que essa assinatura é diferente da ML-DSA “pré-hash” ou HashML-DSA da seção 5.4 do NIST FIPS 204 .

Para obter mais informações sobre como usar ML-DSA e o tipo de mensagem EXTERNAL_MU, consulte Especificações de chave ML-DSA.

Para obter um exemplo de uso de ML-DSA e do tipo de mensagem EXTERNAL_MU, consulte Verificação off-line com pares de chaves ML-DSA.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Chaves de HMAC

Chaves de várias regiões