Amazon hat aws-lc-rs eingeführt, eine kryptografische Bibliothek, die für die Verwendung in Rust-Anwendungen entwickelt wurde und auf API-Ebene mit der Rust-Ringbibliothek kompatibel ist. Der Projektcode wird unter Apache 2.0- und ISC-Lizenzen vertrieben. Die Bibliothek unterstützt die Arbeit auf den Plattformen Linux (x86, x86-64, aarch64) und macOS (x86-64).
Die Implementierung kryptografischer Operationen in aws-lc-rs basiert auf der AWS-LC-Bibliothek (AWS libcrypto), die in C++ geschrieben ist und wiederum auf Code aus dem BoringSSL-Projekt (einem von Google unterstützten Zweig von OpenSSL) basiert. Darüber hinaus werden zwei Low-Level-Crate-Pakete vorgeschlagen: aws-lc-sys (automatisch generierte Low-Level-Wrapper über AWS-LC) und aws-lc-fips-sys (Low-Level-Wrapper basierend auf FFI (Foreign Function Interface)). , Reproduktion der AWS-LC-API.
Die AWS-LC-Bibliothek enthält formal verifizierte Implementierungen der Algorithmen SHA-2, HMAC, AES-GCM, AES-KWP, HKDF, ECDH und ECDSA, die die Anforderungen für kryptografische Systeme erfüllen, die von Regierungsbehörden in den Vereinigten Staaten und verwendet werden können Kanada. Die Schaffung eines Frameworks für die Rust-Sprache wurde durch den Bedarf an FIPS-kompatiblen Kryptobibliotheken vorangetrieben, die in Rust-Projekten verwendet werden könnten. In der aws-lc-rs-Bibliothek hat Amazon beschlossen, die unter Rust-Programmierern bekannte und weit verbreitete Ring-API mit verifizierten Implementierungen von Algorithmen aus der AWS-LC-Bibliothek zu kombinieren, die den FIPS-Anforderungen entsprechen.
Die Nutzung der AWS-LC-Bibliothek als Basis ermöglichte zudem die Nutzung aller von Amazon entwickelten spezifischen Optimierungen in aws-lc-rs. AWS-LC bietet beispielsweise Varianten der ChaCha20-Poly1305- und NIST P-256-Algorithmen, die separat für ARM-Prozessoren optimiert sind, sowie erhebliche Optimierungen für x86-Systeme, die die Verarbeitung digitaler ECDSA-Signaturen beschleunigen. Beim Testen der TLS 1.2- und 1.3-Protokolle übertraf die aws-lc-rs-Bibliothek das Rustls-Paket deutlich und zeigte sowohl eine Reduzierung der Verbindungsaufbauzeit als auch eine Steigerung des Durchsatzes (mehr als eine Verdoppelung in ECDSA-Tests).
Source: opennet.ru