Claves ML-DSA en AWS KMS

AWS Key Management Service (AWS KMS) admite el algoritmo Module-Lattice Digital Signature Algorithm (ML-DSA) para firmas criptográficas poscuánticas. Esta implementación sigue el estándar 204 de los Estándares Federales de Procesamiento de Información (FIPS) para ayudar a estar protegido contra las futuras amenazas de la computación cuántica. AWS KMS crea y protege todas las claves y operaciones de firma ML-DSA en módulos de seguridad de hardware validados por el FIPS 140-3 de nivel de seguridad 3. Para ayudar a equilibrar la seguridad con el rendimiento, ML-DSA en AWS KMS ofrece tres niveles de seguridad distintos con diferentes especificaciones clave: ML_DSA_44, ML_DSA_65 y ML_DSA_87.

AWS KMS admite firmas de clave asimétricas para mensajes de hasta 4 KB según el tipo de mensaje RAW. Para mensajes más grandes, debe calcular externamente la μ de representación del mensaje de 64 bytes utilizada en la firma ML-DSA, tal como se define en la sección 6.2 del NIST FIPS 204. Utilice el tipo de mensaje EXTERNAL_MU en la operación de firma de AWS KMSpara especificar este mensaje de 64 bytes preprocesado. Las firmas generadas por la μ calculada externamente son las mismas las de RAW cuando se utiliza el mismo mensaje y la misma clave privada. Tenga en cuenta que esta firma es diferente del MLDSA “previo al hash” o del HashML-DSA definido en la sección 5.4 de NIST FIPS 204.

Para obtener más información sobre el uso de ML-DSA y el tipo de mensaje EXTERNAL_MU, consulte Especificaciones clave del ML-DSA.

Para ver un ejemplo del uso de ML-DSA y el tipo de mensaje EXTERNAL_MU, consulte Verificación fuera de línea con pares de claves ML-DSA.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Claves HMAC

Claves de varias regiones