AWS KMS добавляет поддержку постквантовых цифровых подписей ML-DSA
Сервис управления ключами AWS (AWS KMS) теперь поддерживает стандарт цифровой подписи на основе алгебраических решеток (MLDSA) FIPS 203. Это квантово-устойчивый алгоритм цифровой подписи, призванный помочь организациям противостоять новым угрозам на основе квантовых вычислений. Данный постквантовый алгоритм подписи был выбран Национальным институтом по стандартизации и технологии США (NIST) в качестве одного из стандартов для защиты конфиденциальной информации в обозримом будущем, в том числе после появления квантовых компьютеров с криптографическими возможностями. Стандарт ML-DSA будет особенно полезен производителям и разработчикам, которым необходимо защитить подпись кода для встроенного ПО и приложений в случаях, когда обновление криптографических подписей после развертывания является сложной задачей. Он также выгоден организациям, чьи подписи для цифрового контента должны сохранять действие в течение нескольких лет.
Ключи ML-DSA интегрируются с существующими API-интерфейсами KMS CreateKey и Sign, что позволяет клиентам продолжать использовать уже имеющиеся процедуры автоматизации, политики ключей IAM и KMS, возможности аудита и рабочие процессы маркировки. Поддержка ML-DSA в AWS KMS представляет три новые спецификации ключей (ML_DSA_44, ML_DSA_65 и ML_DSA_87), которые работают с постквантовым алгоритмом подписи (SigningAlgorithm) ML_DSA_SHAKE_256 и поддерживают как необработанные подписи, так и вариант с предварительным хешированием (External Mu).
Новый функционал является общедоступным, и использовать ML-DSA можно в следующих регионах AWS: Запад США (Северная Калифорния) и Европа (Милан). Остальные коммерческие регионы AWS станут доступны в будущем. Подробнее см. статью блога AWS Security, посвященную созданию постквантовых подписей с помощью AWS KMS и ML-DSA, а также раздел о подписи ML-DSA в Руководстве для разработчиков по AWS KMS.