Компанія Amazon представила криптографічну бібліотеку aws-lc-rs, призначену для використання у додатках на мові Rust та сумісну на рівні API з Rust-бібліотекою ring. Код проекту розповсюджується під ліцензіями Apache 2.0 та ISC. Бібліотека підтримує роботу на платформах Linux (x86, x86-64, aarch64) та macOS (x86-64).
p align="justify"> Реалізація криптографічних операцій в aws-lc-rs базується на бібліотеці AWS-LC (AWS libcrypto), написаній мовою С++ і, в свою чергу, заснованої на коді проекту BoringSSL (підтримуване компанією Google відгалуження від OpenSSL). Додатково запропоновано два низькорівневі crate-пакети: aws-lc-sys (автоматично згенеровані низькорівневі обв'язки над AWS-LC) і aws-lc-fips-sys (низькорівневі обв'язки на базі FFI (Foreign Function Interface)), що відтворюють API AWS-LC.
Бібліотека AWS-LC включає формально верифіковані реалізації алгоритмів SHA-2, HMAC, AES-GCM, AES-KWP, HKDF, ECDH та ECDSA, які відповідають вимогам до криптографічних систем, які можна використовувати у державних установах США та Канади. Створення обв'язки для мови Rust пояснюється потребою криптобібліотек, що відповідають стандартам FIPS, які можна було б використовувати в проектах на мові Rust. У бібліотеці aws-lc-rs компанія Amazon вирішила поєднати звичний та поширений серед Rust-програмістів API Ring та верифіковані реалізації алгоритмів з бібліотеки AWS-LC, які відповідають вимогам FIPS.
Використання як основа бібліотеки AWS-LC також дозволило задіяти в aws-lc-rs всі специфічні оптимізації, що розвиваються компанією Amazon. Наприклад, AWS-LC доступні варіанти алгоритмів ChaCha20-Poly1305 і NIST P-256, окремо оптимізовані для процесорів ARM, а також внесені значні оптимізації для систем x86, що прискорюють обробку цифрових підписів ECDSA. При тестуванні роботи протоколів TLS 1.2 та 1.3 бібліотека aws-lc-rs помітно випередила за продуктивністю пакет rustls, продемонструвавши як скорочення часу встановлення з'єднання, так і збільшення пропускної спроможності (у тестах ECDSA більш ніж удвічі).
Джерело: opennet.ru