Amazon heeft de aws-lc-rs cryptografische bibliotheek geïntroduceerd, die bedoeld is voor gebruik in Rust-toepassingen en API-compatibel is met de ring Rust-bibliotheek. De projectcode wordt gedistribueerd onder de Apache 2.0- en ISC-licenties. De bibliotheek ondersteunt Linux- (x86, x86-64, aarch64) en macOS-platforms (x86-64).
De implementatie van cryptografische bewerkingen in aws-lc-rs is gebaseerd op de AWS-LC-bibliotheek (AWS libcrypto), geschreven in C++ en op zijn beurt gebaseerd op code van het BoringSSL-project (een door Google onderhouden uitloper van OpenSSL). Daarnaast worden twee low-level kratpakketten voorgesteld: aws-lc-sys (automatisch gegenereerde low-level bindingen via AWS-LC) en aws-lc-fips-sys (low-level bindingen gebaseerd op FFI (Foreign Function Interface) ), die de AWS-LC API reproduceert.
De AWS-LC-bibliotheek bevat formeel geverifieerde implementaties van de SHA-2-, HMAC-, AES-GCM-, AES-KWP-, HKDF-, ECDH- en ECDSA-algoritmen die voldoen aan de vereisten voor cryptografische systemen die kunnen worden gebruikt door overheidsinstanties in de Verenigde Staten en Canada. Het creëren van een Rust-binding wordt gedreven door de behoefte aan FIPS-compatibele cryptobibliotheken die kunnen worden gebruikt in Rust-projecten. In de aws-lc-rs-bibliotheek besloot Amazon om de Ring API, die bekend en gebruikelijk is onder Rust-programmeurs, te combineren en implementaties van algoritmen uit de AWS-LC-bibliotheek te verifiëren die voldoen aan de FIPS-vereisten.
Het gebruik van de AWS-LC-bibliotheek als basis maakte het ook mogelijk om alle door Amazon ontwikkelde specifieke optimalisaties in aws-lc-rs te gebruiken. AWS-LC biedt bijvoorbeeld opties voor de ChaCha20-Poly1305- en NIST P-256-algoritmen die afzonderlijk zijn geoptimaliseerd voor ARM-processors, en er zijn aanzienlijke optimalisaties voor x86-systemen doorgevoerd om de verwerking van ECDSA digitale handtekeningen te versnellen. Bij het testen van de werking van TLS 1.2- en 1.3-protocollen presteerde de aws-lc-rs-bibliotheek aanzienlijk beter dan het rustls-pakket wat betreft prestaties, wat zowel een kortere verbindingstijd als een toename van de doorvoer aantoonde (meer dan twee keer in ECDSA-tests).
Bron: opennet.ru