Amazon představil kryptografickou knihovnu aws-lc-rs, která je určena pro použití v aplikacích Rust a je kompatibilní s API s prstencovou knihovnou Rust. Kód projektu je distribuován pod licencemi Apache 2.0 a ISC. Knihovna podporuje platformy Linux (x86, x86-64, aarch64) a macOS (x86-64).
Implementace kryptografických operací v aws-lc-rs je založena na knihovně AWS-LC (AWS libcrypto), napsané v C++ a zase na kódu z projektu BoringSSL (odnož OpenSSL spravovaná Googlem). Kromě toho jsou navrženy dva balíčky bedny nízké úrovně: aws-lc-sys (automaticky generované nízkoúrovňové vazby přes AWS-LC) a aws-lc-fips-sys (nízkoúrovňové vazby založené na FFI (Foreign Function Interface) ), reprodukující AWS-LC API.
Knihovna AWS-LC obsahuje formálně ověřené implementace algoritmů SHA-2, HMAC, AES-GCM, AES-KWP, HKDF, ECDH a ECDSA, které splňují požadavky na kryptografické systémy, které mohou používat vládní agentury ve Spojených státech. a Kanadě. Vytvoření vazby Rust je řízeno potřebou mít kryptoknihovny vyhovující FIPS, které lze použít v projektech Rust. V knihovně aws-lc-rs se Amazon rozhodl zkombinovat Ring API, které je mezi programátory Rust známé a běžné, a ověřené implementace algoritmů z knihovny AWS-LC, které splňují požadavky FIPS.
Použití knihovny AWS-LC jako základu také umožnilo využít všechny specifické optimalizace vyvinuté Amazonem v aws-lc-rs. Například AWS-LC poskytuje možnosti pro algoritmy ChaCha20-Poly1305 a NIST P-256, které jsou samostatně optimalizovány pro procesory ARM, a byly provedeny významné optimalizace pro systémy x86, aby se urychlilo zpracování digitálních podpisů ECDSA. Při testování provozu protokolů TLS 1.2 a 1.3 knihovna aws-lc-rs výrazně předčila balíček rustls, pokud jde o výkon, což prokázalo jak zkrácení doby nastavení připojení, tak zvýšení propustnosti (více než dvojnásobné v testech ECDSA).
Zdroj: opennet.ru