Amazon har introducerat det kryptografiska biblioteket aws-lc-rs, som är avsett för användning i Rust-applikationer och är API-kompatibelt med Ring Rust-biblioteket. Projektkoden distribueras under Apache 2.0- och ISC-licenserna. Biblioteket stöder Linux (x86, x86-64, aarch64) och macOS (x86-64) plattformar.
Implementeringen av kryptografiska operationer i aws-lc-rs är baserad på AWS-LC-biblioteket (AWS libcrypto), skrivet i C++ och i sin tur baserat på kod från BoringSSL-projektet (en Google-underhållen utlöpare av OpenSSL). Dessutom föreslås två lågnivåpaket: aws-lc-sys (automatiskt genererade lågnivåbindningar över AWS-LC) och aws-lc-fips-sys (lågnivåbindningar baserade på FFI (Foreign Function Interface) ), som återger AWS-LC API.
AWS-LC-biblioteket inkluderar formellt verifierade implementeringar av algoritmerna SHA-2, HMAC, AES-GCM, AES-KWP, HKDF, ECDH och ECDSA som uppfyller kraven för kryptografiska system som kan användas av statliga myndigheter i USA och Kanada. Att skapa en Rust-bindning drivs av behovet av att ha FIPS-kompatibla kryptobibliotek som kan användas i Rust-projekt. I aws-lc-rs-biblioteket bestämde sig Amazon för att kombinera Ring API, som är bekant och vanligt bland Rust-programmerare, och verifierade implementeringar av algoritmer från AWS-LC-biblioteket som uppfyller FIPS-kraven.
Användningen av AWS-LC-biblioteket som bas gjorde det också möjligt att använda alla de specifika optimeringar som utvecklats av Amazon i aws-lc-rs. Till exempel ger AWS-LC alternativ för algoritmerna ChaCha20-Poly1305 och NIST P-256 som är separat optimerade för ARM-processorer, och betydande optimeringar för x86-system har gjorts för att påskynda behandlingen av ECDSA digitala signaturer. När man testade driften av TLS 1.2- och 1.3-protokollen överträffade aws-lc-rs-biblioteket avsevärt rustls-paketet när det gäller prestanda, vilket visade både en minskning av anslutningsinstallationstid och en ökning av genomströmning (mer än två gånger i ECDSA-tester).
Källa: opennet.ru