AWS KMS がポスト量子 ML-DSA デジタル署名のサポートを追加
AWS Key Management Service (KMS) は FIPS 203 Module-Lattice デジタル署名標準 (MLDSA) をサポートするようになりました。これは、組織が新たな量子コンピューティングの脅威に対処できるように設計された、量子耐性のあるデジタル署名アルゴリズムです。このポスト量子署名アルゴリズムは、暗号に関連する量子コンピューターの登場後も含め、近い将来にわたって機密情報を保護するために NIST によって標準化され、選択されたアルゴリズムの 1 つです。ML-DSA は、デプロイ後に暗号署名を簡単に更新できないファームウェアやアプリケーションのコード署名を保護する必要がある製造業者やデベロッパーにとって特に有益です。また、デジタルコンテンツの署名を数年間有効のまま維持する必要がある組織にも適しています。
ML-DSA キーは既存の KMS CreateKey および Sign API と統合されるため、お客様は確立した自動化プロセス、IAM と KMS のキーポリシー、監査機能、タグ付けワークフローを維持できます。AWS KMS が ML-DSA をサポートするようになったことで、ポスト量子署名アルゴリズムである ML_DSA_SHAKE_256 と連携する 3 つの新しいキー仕様 (ML_DSA_44、ML_DSA_65、ML_DSA_87) が導入されました。未処理の署名と事前にハッシュされたバリアント (External Mu) の両方がサポートされています。
この新機能は一般提供されており、ML-DSA は米国西部 (北カリフォルニア) と欧州 (ミラノ) の AWS リージョンで使用できます。その他の商用 AWS リージョンでも近日中に提供予定です。AWS KMS と ML-DSA を使用してポスト量子署名を作成する方法について詳しくは AWS セキュリティブログを参照してください。AWS KMS デベロッパーガイドの ML-DSA 署名トピックも参照してください。