AWS KMS 现已支持后量子 ML-DSA 数字签名

发布于: 2025年6月13日

AWS Key Management Service (KMS) 现在支持 FIPS 203 模块晶格数字签名标准 (MLDSA)，这是一种抵抗量子攻击的数字签名算法，旨在帮助组织应对新出现的量子计算威胁。这种后量子签名算法是 NIST 标准化的选定算法之一，可在未来相当长的一段时间内（包括在加密相关量子计算机问世之后）保护敏感信息的安全。对于需要保护固件和应用程序代码签名（加密签名在部署后无法轻易更新）的制造商和开发人员，以及需要让数字内容签名在数年内后保持有效的组织而言，ML-DSA 尤其有价值。

ML-DSA 密钥可与现有的 KMS CreateKey 和签名 API 集成，使客户能够保留既有的自动化流程、IAM 与 KMS 密钥策略、审计功能以及标记工作流程。AWS KMS 对 ML-DSA 的支持引入了三种新的密钥规格（ML_DSA_44、ML_DSA_65 和 ML_DSA_87），它们可与后量子签名算法 ML_DSA_SHAKE_256 配合使用，并支持原始签名与预哈希变体 (External Mu) 两种形式。

这项新功能现已全面推出，您可以在以下 AWS 区域使用 ML-DSA：美国西部（北加利福尼亚）和欧洲地区（米兰），其余 AWS 商业区域将在未来几天内推出该功能。要了解更多信息，请参阅有关如何使用 AWS KMS 和 ML-DSA 创建后量子签名的 AWS 安全博客，并参阅《AWS KMS 开发人员指南》中的 ML-DSA 签名主题。