Amazon 推出了 aws-lc-rs,这是一个加密库,设计用于 Rust 应用程序,并在 API 级别与 Rust 环库兼容。 该项目代码根据 Apache 2.0 和 ISC 许可证分发。 该库支持在 Linux(x86、x86-64、aarch64)和 macOS(x86-64)平台上工作。
aws-lc-rs 中加密操作的实现基于 AWS-LC 库 (AWS libcrypto),该库是用 C++ 编写的,并且又基于 BoringSSL 项目(Google 支持的 OpenSSL 的一个分支)的代码。 此外,还提出了两个低级 crate 包:aws-lc-sys(通过 AWS-LC 自动生成低级包装器)和 aws-lc-fips-sys(基于 FFI(外部函数接口)的低级包装器) ,重现 AWS-LC API。
AWS-LC 库包括经过正式验证的 SHA-2、HMAC、AES-GCM、AES-KWP、HKDF、ECDH 和 ECDSA 算法的实现,这些算法满足美国政府机构可以使用的加密系统的要求,以及加拿大。 Rust 语言框架的创建是出于对可在 Rust 项目中使用的符合 FIPS 标准的加密库的需求。 在 aws-lc-rs 库中,Amazon 决定将 Rust 程序员熟悉且广泛使用的 Ring API 与 AWS-LC 库中符合 FIPS 要求的算法的经过验证的实现结合起来。
使用 AWS-LC 库作为基础还可以使用 Amazon 在 aws-lc-rs 中开发的所有特定优化。 例如,AWS-LC 提供针对 ARM 处理器单独优化的 ChaCha20-Poly1305 和 NIST P-256 算法的变体,以及针对 x86 系统的重大优化,以加快 ECDSA 数字签名的处理速度。 在测试 TLS 1.2 和 1.3 协议时,aws-lc-rs 库的性能显着优于 rustls 包,证明连接设置时间减少,吞吐量增加(在 ECDSA 测试中增加了一倍以上)。
来源: opennet.ru