Lib.rs

密码学pqc_kyber
#密钥交换 #后量子密码学 #后量子 #kyber #kem #kex #嵌入式设备

no-std pqc_kyber_kyberslash

后量子 Kyber KEM 算法的 Rust 实现

Mitchell Berry 5 位贡献者 开发。 所有者 Thomas Braun.

1 个不稳定版本

0.7.1 2024 年 4 月 4 日

1536密码学 中排名

Download history 16/week @ 2024-04-20 9/week @ 2024-04-27 1/week @ 2024-05-04 5/week @ 2024-05-11 79/week @ 2024-05-18 29/week @ 2024-05-25 29/week @ 2024-06-01 44/week @ 2024-06-08 126/week @ 2024-06-15 231/week @ 2024-06-22 8/week @ 2024-06-29 1/week @ 2024-07-06 22/week @ 2024-07-13 116/week @ 2024-07-20 24/week @ 2024-07-27 39/week @ 2024-08-03

每月 201 次下载
6 个 crate 中使用(通过 kyber-pke

MIT/Apache

300KB
7.5K SLoC

Rust 5.5K SLoC // 0.0% comments GNU Style Assembly 625 SLoC // 0.1% comments Assembly 606 SLoC // 0.0% comments JavaScript 601 SLoC // 0.1% comments Bitbake 99 SLoC // 0.0% comments TypeScript 50 SLoC // 0.5% comments

Kyber

Build Status Crates NPM License dependency status

Kyber 算法的 Rust 实现,Kyber 算法是由 NIST 后量子标准化项目标准化的 KEM。

本库

  • 与 no_std 兼容,无需分配器,适合嵌入式设备。
  • 参考文件不包含不安全代码,且完全使用 Rust 编写。
  • 在 x86_64 平台上提供 avx2 优化版本,其中包含来自 C 参考仓库的汇编代码。
  • 使用 wasm-bindgen 编译到 WASM,并在 NPM 上发布可用的二进制文件。

请参阅 功能 部分,了解有关安全级别和操作模式的不同选项。默认安全设置是 kyber768。

建议将 Kyber 与传统的密钥交换算法(如 X25519)一起用于混合系统。

请在使用前阅读 安全注意事项

最低支持的 Rust 版本:1.56.0

安装

cargo add pqc_kyber

使用

use pqc_kyber::*;

对于 x86 平台的优化,启用 avx2 功能和以下 RUSTFLAGS

export RUSTFLAGS="-C target-feature=+aes,+avx2,+sse2,+sse4.1,+bmi2,+popcnt"

密钥封装

// Generate Keypair
let keys_bob = keypair(&mut rng)?;

// Alice encapsulates a shared secret using Bob's public key
let (ciphertext, shared_secret_alice) = encapsulate(&keys_bob.public, &mut rng)?;

// Bob decapsulates a shared secret using the ciphertext sent by Alice 
let shared_secret_bob = decapsulate(&ciphertext, &keys_bob.secret)?;

assert_eq!(shared_secret_alice, shared_secret_bob);

单方面认证密钥交换

let mut rng = rand::thread_rng();

// Initialize the key exchange structs
let mut alice = Uake::new();
let mut bob = Uake::new();

// Generate Bob's Keypair
let bob_keys = keypair(&mut rng)?;

// Alice initiates key exchange
let client_init = alice.client_init(&bob_keys.public, &mut rng)?;

// Bob authenticates and responds
let server_response = bob.server_receive(
  client_init, &bob_keys.secret, &mut rng
)?;

// Alice decapsulates the shared secret
alice.client_confirm(server_response)?;

// Both key exchange structs now have the same shared secret
assert_eq!(alice.shared_secret, bob.shared_secret);

相互认证密钥交换

遵循相同的流程,但 Bob 需要 Alice 的公钥

let mut alice = Ake::new();
let mut bob = Ake::new();

let alice_keys = keypair(&mut rng)?;
let bob_keys = keypair(&mut rng)?;

let client_init = alice.client_init(&bob_keys.public, &mut rng)?;

let server_response = bob.server_receive(
  client_init, &alice_keys.public, &bob_keys.secret, &mut rng
)?;

alice.client_confirm(server_response, &alice_keys.secret)?;

assert_eq!(alice.shared_secret, bob.shared_secret);

错误

KyberError 枚举有两个变体

  • InvalidInput - 函数的一个或多个输入大小不正确。这可能是因为两方在尝试协商密钥交换时使用不同的安全级别。

  • Decapsulation - 密文无法进行认证。共享密钥没有被解封装。

  • RandomBytesGeneration - 尝试填充随机字节时出错(例如,外部(硬件)RNG 模块可能失败)。

功能

如果未指定安全级别,则默认使用 kyber768,这是作者推荐的安全级别。它大致相当于 AES-192。除了两个安全级别之外,所有其他功能可以根据需要组合。例如

[dependencies]
pqc_kyber = {version = "0.7.1", features = ["kyber512", "90s", "avx2"]}
特性 描述
std 启用标准库
kyber512 启用 kyber512 模式,安全性大约等同于 AES-128。
kyber1024 启用 kyber1024 模式,安全性大约等同于 AES-256。如果指定了多个安全性级别,则会引发编译时错误。
90s 使用 AES256 计数模式和 SHA2 替代 SHAKE。这可能在某些情况下提供硬件加速。
90s-fixslice 使用 RustCrypto 的 AES256 fixslice 实现,这提供了更大的侧信道攻击抵抗力,尤其是在嵌入式平台上。
avx2 在 x86_64 平台上启用优化版本。此标志将在其他架构上导致编译错误。
wasm 用于编译 WASM 目标
nasm 使用 Netwide Assembler avx2 代码而不是 GAS 以提高可移植性。需要 nasm 编译器:[https://www.nasm.us/](https://www.nasm.us/)
zeroize 这将使用 zeroize crate 在析构时将密钥交换结构清零
基准测试 启用 criterion 基准测试套件

测试

使用 run_all_tests 脚本,将通过运行安全性级别、变体和 crate 特性矩阵来遍历所有可能的代码路径。

已知答案测试需要确定性的 rng 粒度,在 RUSTFLAGS 中启用 kyber_kat 以使用它们。在 cargo test 之外使用此功能会导致编译时错误。测试向量文件相当大,您需要从 C 参考代码中自行构建它们。这里有一个辅助脚本来完成此操作:这里

# This example runs the basic tests for kyber768
cargo test

# This runs the KATs for kyber512 in 90's mode
RUSTFLAGS='--cfg kyber_kat' cargo test --features "kyber512 90s"

有关更详细的信息,请参阅 测试说明

基准测试

使用 criterion 进行基准测试。如果您已安装 GNUPlot,它将在 ./target/criterion/ 中生成统计图表。

您需要启用 benchmarking 功能。

有关正确使用信息,请参阅 基准测试说明

模糊测试

模糊测试套件使用 honggfuzz,安装和说明在 模糊测试 页面上。

WebAssembly

此库已编译成 WebAssembly 并作为 npm 包发布。使用说明在这里

[https://npmjs.net.cn/package/pqc-kyber](https://npmjs.net.cn/package/pqc-kyber)

它也位于此处的 wasm 说明

安装

npm i pqc-kyber

要自行编译 wasm 文件,您需要启用 wasm 功能。

例如,使用 wasm-pack

wasm-pack build -- --features wasm

它将导出 wasm、javascript 和 typescript 文件到 ./pkg/

将不同变体编译到单独的文件夹中

wasm-pack build --out-dir pkg_kyber512/ -- --features "wasm kyber512"

www 文件夹中还有一个基本的 html 示例。

从 www 文件夹运行

npm run start

安全考虑

虽然在从 C 参考代码库迁移时已采取了很多注意,但此库尚未经过任何第三方安全审计,也不能对 LWE 密码学或此实现可能出现的潜在漏洞以及可能由此产生的侧信道攻击做出任何保证。

Kyber 是一个相对较新的协议,建议在混合密钥交换系统中与传统的 X25519 算法等一起使用,而不是单独使用。

关于进一步阅读,IETF 为 TLS 1.3 提供了一个混合密钥交换的草案。

https://www.ietf.org/archive/id/draft-ietf-tls-hybrid-design-04.html

您还可以在此处查看 OpenSSH 如何在 C 中实现此类系统:这里

请自行承担风险。

关于

Kyber 是一个 IND-CCA2 安全的密钥封装机制(KEM),其安全性基于解决模格学习错误(LWE)问题的难度。它是 NIST 后量子密码学项目的最终标准化算法

官方网站:https://pq-crystals.org/kyber/

Kyber 算法作者

  • Roberto Avanzi,ARM Limited(德国)
  • Joppe Bos,NXP Semiconductors(比利时)
  • Léo Ducas,CWI Amsterdam(荷兰)
  • Eike Kiltz,Ruhr University Bochum(德国)
  • Tancrède Lepoint,SRI International(美国)
  • Vadim Lyubashevsky,IBM Research Zurich(瑞士)
  • John M. Schanck,University of Waterloo(加拿大)
  • Peter Schwabe,Radboud University(荷兰)
  • Gregor Seiler,IBM Research Zurich(瑞士)
  • Damien Stehle,ENS Lyon(法国)

贡献

欢迎贡献。对于拉取请求,请创建功能分支并将其提交到开发分支。更多信息可以在贡献页面上找到。

替代方案

PQClean 项目为其 Kyber C 代码库提供了 rust 绑定。

https://github.com/rustpq/pqcrypto

依赖关系

~0-10MB
~96K SLoC