第三届中国Rust开发者大会 简谈 Rust 与国密 TLS Introduction on Rust and SM TLS Title 王江桐 wangjiangtong@huawei.com 华为 公共开发部 嵌入式软件能力中心 就职于华为，目前正在使用 Rust 开发密码相关模块。 Rustacean 在华为。 Title 简谈 Rust 与国密 TLS Introduction on Cryptography #1 国密算法总览 Table of Contents 目录 Use of Rust in Implementing Cryptographic Algorithms and Protocols #3 Rust 实现密码与安全协议的优势与现状 Introduction to Shangmi Algorithms and Protocols #2 国密算法与协议介绍 Huawei Huawei Ylong Rust Cryptographic Framework #4 华为 Ylong Rust 密码库 国密算法总览 Overview to Shangmi Cryptography Section #1 • 密码算法安全目标 • 密码算法分类 • 国密套件总览 密码算法安全目标 Security Goals Rust China Conf 2022 – 2023, Shanghai

第三届中国Rust开发者⼤会 基于 Rust 编程语⾔构建 Amphitheatre CLI / Desktop / Server 的全平台实践经验 王宜国 - 独⽴开源软件作者 RUST CHINA CONF 2023 • 项⽬背景介绍 • 产品功能演示 • 应⽤场景概览 项⽬介绍 • 概念 • 架构设计 • 技术实现 设计与实现 ⼤纲 Amphitheatre 云开发环境（Cloud

• 基于FISCO BCOS 2.0+部署多群组区块链、构建第一个区块链应用，请参考 教程 • 深入了解FISCO BCOS 2.0+功能请看 配置文件和配置项、节点准入、并行交易、分布式存储、国 密 等请参考 使用手册 • 控制台：交 交 交互 互 互式 式 式命 命 命令 令 令行 行 行工 工 工具 具 具，可访问区块链节点，查询区块链状态，部署并调用合约等。 • 运维部署工具(Gen 持 持国 国 国密 密 密算 算 算法 法 法：支持国密加密、签名算法和国密通信协议。 • 落 落 落盘 盘 盘加 加 加密 密 密方 方 方案 案 案：支持加密节点落盘数据，保障链上数据的机密性。 • 密 密 密钥 钥 钥管 管 管理 理 理方 方 方案 案 案：在落盘加密方案的基础上，采用KeyManager服务管理节点密钥，安全性更强。 • 同 同 同态 态 态加 加 加密 密 密、 、 新增ChainGovernance预编译合约，地址0x1008，实现基于角色的权限管理 • 新增SDK连接节点支持国密SSL，可配置是否启用 • 新增账号管理可冻结解冻私钥对应的账号 更 更 更改 改 改 • MySQL存储模式下，合约表的字段类型修改为mediumblob • 国密模式由编译选项修改为配置项 2.1. v2.5.0 9 FISCO BCOS Documentation, 发

• 基于FISCO BCOS 2.0+部署多群组区块链、构建第一个区块链应用，请参考 教程 • 深入了解FISCO BCOS 2.0+功能请看 配置文件和配置项、节点准入、并行交易、分布式存储、国 密 等请参考 使用手册 • 控制台：交 交 交互 互 互式 式 式命 命 命令 令 令行 行 行工 工 工具 具 具，可访问区块链节点，查询区块链状态，部署并调用合约等。 • 运维部署工具(Gen 持 持国 国 国密 密 密算 算 算法 法 法：支持国密加密、签名算法和国密通信协议。 • 落 落 落盘 盘 盘加 加 加密 密 密方 方 方案 案 案：支持加密节点落盘数据，保障链上数据的机密性。 • 密 密 密钥 钥 钥管 管 管理 理 理方 方 方案 案 案：在落盘加密方案的基础上，采用KeyManager服务管理节点密钥，安全性更强。 • 同 同 同态 态 态加 加 加密 密 密、 、 交易Merkle证明和交易回执Merkle证明 更 更 更新 新 新 • CMake最低要求修改为3.7，支持依赖库多源下载 修 修 修复 复 复 • 修复国密模式下ecRecover接口不可用问题 • 修复国密模式、非国密模式下sha256接口返回值不一致的问题 兼 兼 兼容 容 容性 性 性 向 向 向前 前 前兼 兼 兼容 容 容，旧版本可以直接替换程序升级，替换后的节点修复v2

持 持国 国 国密 密 密算 算 算法 法 法：支持国密加密、签名算法和国密通信协议。 • 落 落 落盘 盘 盘加 加 加密 密 密方 方 方案 案 案：支持加密节点落盘数据，保障链上数据的机密性。 • 密 密 密钥 钥 钥管 管 管理 理 理方 方 方案 案 案：在落盘加密方案的基础上，采用KeyManager服务管理节点密钥，安全性更强。 • 同 同 同态 态 态加 加 加密 密 密、 、 5版本。同时，引入了EVMC扩展框架，支持扩 展不同虚拟机引擎。 底层内部集成支持interpreter虚拟机，未来可扩展支持WASM/JIT等虚拟机。 更 更 更多关于虚拟机的介绍，请参考 虚拟机设计文档 2.1.8 密 密 密钥 钥 钥管 管 管理 理 理服 服 服务 务 务 2.0版本对落盘加密进行了重塑升级，开启落盘加密功能时，依赖KeyManager服务进行密钥管理，安全 性更强。 KeyManager在G • 数据格式和通信协议的版本：通过配置文件 config.ini的supported_version配置项 获取 2.2.1 v2.7.2 变 变 变更 更 更描 描 描述 述 述 • 修复国密环境内存泄露问题 2.2.2 v2.7.1 变 变 变更 更 更描 描 描述 述 述 更 更 更改 改 改 • 完善fisco-sync工具，实现新节点加入群组时从数据仓库拉取指定块高快照数据的功能

持 持国 国 国密 密 密算 算 算法 法 法：支持国密加密、签名算法和国密通信协议。 • 落 落 落盘 盘 盘加 加 加密 密 密方 方 方案 案 案：支持加密节点落盘数据，保障链上数据的机密性。 • 密 密 密钥 钥 钥管 管 管理 理 理方 方 方案 案 案：在落盘加密方案的基础上，采用KeyManager服务管理节点密钥，安全性更强。 • 同 同 同态 态 态加 加 加密 密 密、 、 5版本。同时，引入了EVMC扩展框架，支持扩 展不同虚拟机引擎。 底层内部集成支持interpreter虚拟机，未来可扩展支持WASM/JIT等虚拟机。 更 更 更多关于虚拟机的介绍，请参考 虚拟机设计文档 2.1.8 密 密 密钥 钥 钥管 管 管理 理 理服 服 服务 务 务 2.0版本对落盘加密进行了重塑升级，开启落盘加密功能时，依赖KeyManager服务进行密钥管理，安全 性更强。 KeyManager在G 获取 2.2.1 v2.8.0 标签：v2.8.0 版本特性 变 变 变更 更 更描 描 描述 述 述 新 新 新增 增 增 • 新增使用硬件安全模块进行密码运算的功能。 – 支持使用符合国密《GMT0018-2012密码设备应用接口规范》标准的密码机/密码卡进 行SM2、SM3、SM4等算法运算；支持使用密码机内部密钥，用硬件保障私钥安全。 – 支持使用密码卡/密码机进行共识签名、交易验签、落盘加密。

553 14 运 运 运维 维 维部 部 部署 署 署工 工 工具 具 具 573 15 数 数 数据 据 据治 治 治理 理 理通 通 通用 用 用组 组 组件 件 件 637 16 国 国 国密 密 密使 使 使用 用 用 643 17 证 证 证书 书 书相 相 相关 关 关 645 18 JDK版 版 版本 本 本 647 19 整 整 整体 体 体架 架 架构 构 构 649 持 持国 国 国密 密 密算 算 算法 法 法：支持国密加密、签名算法和国密通信协议。 • 落 落 落盘 盘 盘加 加 加密 密 密方 方 方案 案 案：支持加密节点落盘数据，保障链上数据的机密性。 • 密 密 密钥 钥 钥管 管 管理 理 理方 方 方案 案 案：在落盘加密方案的基础上，采用KeyManager服务管理节点密钥，安全性更强。 • 同 同 同态 态 态加 加 加密 密 密、 、 5版本。同时，引入了EVMC扩展框架，支持扩 展不同虚拟机引擎。 底层内部集成支持interpreter虚拟机，未来可扩展支持WASM/JIT等虚拟机。 更 更 更多关于虚拟机的介绍，请参考 虚拟机设计文档 2.1.8 密 密 密钥 钥 钥管 管 管理 理 理服 服 服务 务 务 2.0版本对落盘加密进行了重塑升级，开启落盘加密功能时，依赖KeyManager服务进行密钥管理，安全 性更强。 KeyManager在G

持 持国 国 国密 密 密算 算 算法 法 法：支持国密加密、签名算法和国密通信协议。 • 落 落 落盘 盘 盘加 加 加密 密 密方 方 方案 案 案：支持加密节点落盘数据，保障链上数据的机密性。 • 密 密 密钥 钥 钥管 管 管理 理 理方 方 方案 案 案：在落盘加密方案的基础上，采用KeyManager服务管理节点密钥，安全性更强。 • 同 同 同态 态 态加 加 加密 密 密、 、 5版本。同时，引入了EVMC扩展框架，支持扩 展不同虚拟机引擎。 底层内部集成支持interpreter虚拟机，未来可扩展支持WASM/JIT等虚拟机。 更 更 更多关于虚拟机的介绍，请参考 虚拟机设计文档 2.1.8 密 密 密钥 钥 钥管 管 管理 理 理服 服 服务 务 务 2.0版本对落盘加密进行了重塑升级，开启落盘加密功能时，依赖KeyManager服务进行密钥管理，安全 性更强。 KeyManager在G 获取 2.2.1 v2.8.0 标签：v2.8.0 版本特性 变 变 变更 更 更描 描 描述 述 述 新 新 新增 增 增 • 新增使用硬件安全模块进行密码运算的功能。 – 支持使用符合国密《GMT0018-2012密码设备应用接口规范》标准的密码机/密码卡进 行SM2、SM3、SM4等算法运算；支持使用密码机内部密钥，用硬件保障私钥安全。 – 支持使用密码卡/密码机进行共识签名、交易验签、落盘加密。

持 持国 国 国密 密 密算 算 算法 法 法：支持国密加密、签名算法和国密通信协议。 • 落 落 落盘 盘 盘加 加 加密 密 密方 方 方案 案 案：支持加密节点落盘数据，保障链上数据的机密性。 • 密 密 密钥 钥 钥管 管 管理 理 理方 方 方案 案 案：在落盘加密方案的基础上，采用KeyManager服务管理节点密钥，安全性更强。 • 同 同 同态 态 态加 加 加密 密 密、 、 5版本。同时，引入了EVMC扩展框架，支持扩 展不同虚拟机引擎。 底层内部集成支持interpreter虚拟机，未来可扩展支持WASM/JIT等虚拟机。 更 更 更多关于虚拟机的介绍，请参考 虚拟机设计文档 2.1.8 密 密 密钥 钥 钥管 管 管理 理 理服 服 服务 务 务 2.0版本对落盘加密进行了重塑升级，开启落盘加密功能时，依赖KeyManager服务进行密钥管理，安全 性更强。 KeyManager在G 获取 2.2.1 v2.8.0 标签：v2.8.0 版本特性 变 变 变更 更 更描 描 描述 述 述 新 新 新增 增 增 • 新增使用硬件安全模块进行密码运算的功能。 – 支持使用符合国密《GMT0018-2012密码设备应用接口规范》标准的密码机/密码卡进 行SM2、SM3、SM4等算法运算；支持使用密码机内部密钥，用硬件保障私钥安全。 – 支持使用密码卡/密码机进行共识签名、交易验签、落盘加密。

持 持国 国 国密 密 密算 算 算法 法 法：支持国密加密、签名算法和国密通信协议。 • 落 落 落盘 盘 盘加 加 加密 密 密方 方 方案 案 案：支持加密节点落盘数据，保障链上数据的机密性。 • 密 密 密钥 钥 钥管 管 管理 理 理方 方 方案 案 案：在落盘加密方案的基础上，采用KeyManager服务管理节点密钥，安全性更强。 • 同 同 同态 态 态加 加 加密 密 密、 、 5版本。同时，引入了EVMC扩展框架，支持扩 展不同虚拟机引擎。 底层内部集成支持interpreter虚拟机，未来可扩展支持WASM/JIT等虚拟机。 更 更 更多关于虚拟机的介绍，请参考 虚拟机设计文档 2.1.8 密 密 密钥 钥 钥管 管 管理 理 理服 服 服务 务 务 2.0版本对落盘加密进行了重塑升级，开启落盘加密功能时，依赖KeyManager服务进行密钥管理，安全 性更强。 KeyManager在G 获取 2.2.1 v2.8.0 标签：v2.8.0 版本特性 变 变 变更 更 更描 描 描述 述 述 新 新 新增 增 增 • 新增使用硬件安全模块进行密码运算的功能。 – 支持使用符合国密《GMT0018-2012密码设备应用接口规范》标准的密码机/密码卡进 行SM2、SM3、SM4等算法运算；支持使用密码机内部密钥，用硬件保障私钥安全。 – 支持使用密码卡/密码机进行共识签名、交易验签、落盘加密。