AWS KMS 新增對後量子 ML-DSA 數位簽章的支援

張貼日期: 2025年6月13日

AWS Key Management Service (KMS) 現在支援 FIPS 203 Module-Lattice 數位簽章標準 (MLDSA)，這是一種抗量子數位簽章演算法，旨在協助組織解決新興的量子運算威脅。這種後量子簽章演算法是由 NIST 標準化的精選演算法之一，能夠在可預見的將來保護敏感資訊，即使在用於密碼學的量子電腦出現後也依然適用。ML-DSA 對於需要保護韌體和應用程式程式碼簽署 (在部署後無法輕鬆更新密碼簽章) 的製造商和開發人員，以及要求數位內容上的簽章保持數年有效期的組織特別有價值。

ML-DSA 金鑰與現有的 KMS CreateKey 和 Sign API 整合，使客戶能夠保留已建立的自動化流程、IAM 和 KMS 金鑰政策、稽核功能和標記工作流程。適用於 ML-DSA 的 AWS KMS 支援導入了三個新的關鍵規格 (ML_DSA_44、ML_DSA_65 和 ML_DSA_87)，這些規格可與後量子簽章演算法 ML_DSA_SHAKE_256 搭配使用，並且支援原始簽章和預雜湊衍生版本 (外部 Mu)。

此新功能已正式推出，您可在下列 AWS 區域使用 ML-DSA：美國西部 (加利佛尼亞北部) 和歐洲 (米蘭)，並會在未來幾天內於其餘商業 AWS 區域中推出。若要進一步了解，請參閱有關如何使用 AWS KMS 和 ML-DSA 建立後量子簽章的 AWS 安全部落格，並參閱 AWS KMS 開發人員指南中的 ML-DSA 簽署主題。