wolfCOSE: Thư viện C nhúng nhẹ nhàng hỗ trợ ký hậu lượng tử cho COSE

wolfSSL, công ty nổi tiếng với các giải pháp mã hóa SSL/TLS, vừa chính thức ra mắt wolfCOSE – một thư viện C mới được thiết kế tối ưu cho hệ thống nhúng (embedded systems). Đây là một thư viện triển khai các tiêu chuẩn CBOR (RFC 8949) và COSE (RFC 9052/9053), sử dụng wolfSSL làm hậu phương xử lý mã hóa (crypto backend).

Với xu hướng hướng tới kỷ nguyên tính toán hậu lượng tử (post-quantum), wolfCOSE nổi bật nhờ việc hỗ trợ thuật toán ký ML-DSA (Dilithium) ngay từ đầu, đồng thời đảm bảo hiệu suất cao và footprint cực nhỏ.

Đặc điểm kỹ thuật nổi bật

Điểm mạnh lớn nhất của wolfCOSE là thiết kế "không cấp phát bộ nhớ động" (zero dynamic allocation). Tất cả các thao tác đều sử dụng bộ đệm do người gọi cung cấp, giúp loại bỏ các rủi ro liên quan đến việc phân bổ bộ nhớ trên hệ thống nhúng, nơi tài nguyên hạn chế.

Dưới đây là các tính năng chính của thư viện này:

• Tuân thủ đầy đủ RFC 9052: Hỗ trợ tất cả 6 loại tin nhắn COSE, bao gồm cả đa ký (multi-signer) và đa người nhận (multi-recipient).
• Ký hậu lượng tử: Hỗ trợ ML-DSA (Dilithium) ở cả 3 mức độ bảo mật.
• 40 thuật toán mã hóa: Bao gồm ký, mã hóa, MAC và phân phối khóa.
• Footprint siêu nhỏ: Chỉ tốn khoảng 7,5 KB bộ nhớ cho bản build tối thiểu (Sign1 + ECC) và 25,6 KB cho bản đầy đủ (40 thuật toán).
• Tiết kiệm RAM: Vòng đời đầy đủ của COSE chỉ tiêu tốn dưới 1KB RAM (chưa tính phần nội bộ của wolfCrypt).
• Đường dẫn FIPS 140-3: Có thể đạt chứng chỉ FIPS thông qua wolfCrypt FIPS Certificate #4718.

Trạng thái xây dựng và kiểm thử trên GitHub Actions

Các thuật toán và loại tin nhắn được hỗ trợ

wolfCOSE cung cấp khả năng mã hóa mạnh mẽ với danh sách các thuật toán phong phú:

• Ký số: ES256, ES384, ES512, EdDSA (Ed25519/Ed448), PS256/384/512, và ML-DSA-44/65/87.
• Mã hóa: AES-GCM (128/192/256), ChaCha20-Poly1305, các biến thể AES-CCM.
• MAC: HMAC-SHA256/384/512, AES-MAC.
• Phân phối khóa: Direct, AES Key Wrap, ECDH-ES+HKDF.

Về loại tin nhắn, thư viện bao phủ toàn diện các nhu cầu bảo mật từ đơn giản đến phức tạp:

• COSE_Sign1 / COSE_Sign: Ký đơn và ký đa người dùng.
• COSE_Encrypt0 / COSE_Encrypt: Mã hóa AEAD đơn người nhận và đa người nhận.
• COSE_Mac0 / COSE_Mac: Xác thực mã hóa tin nhắn (MAC) cho đơn và đa người nhận.
• COSE_Key / COSE_KeySet: Tuần tự hóa khóa cho tất cả các loại khóa.

Yêu cầu và Cấu hình

Để sử dụng wolfCOSE, nhà phát triển cần cài đặt wolfSSL phiên bản tối thiểu là v5.8.0-stable. Đây là phiên bản đầu tiên bao gồm các biểu tượng công khai wc_ForceZero và các API ML-DSA hoàn chỉnh theo tiêu chuẩn FIPS 204.

Tùy thuộc vào nhu cầu ứng dụng, người dùng có thể chọn các cấu hình build khác nhau:

• Build tối thiểu (ECC + AES-GCM): Hỗ trợ COSE Sign1 (ES256/384/512) và Encrypt0 (AES-GCM).
• Build hậu lượng tử (Chỉ ML-DSA): Dành cho việc ký số thuần túy bằng thuật toán hậu lượng tử ML-DSA.
• Build đầy đủ: Bật tất cả các thuật toán bao gồm ECC, Ed25519, Curve25519, RSA-PSS, ChaCha-Poly1305, Dilithium, HKDF và AES Key Wrap.

Kiểm thử và Tuân thủ tiêu chuẩn

wolfCOSE được xây dựng với tiêu chuẩn chất lượng rất cao, phù hợp cho các dự án công nghiệp và y tế khắt khe. Quá trình CI/CD chạy trên mọi lần đẩy mã (push) và Pull Request, kiểm tra trên Ubuntu, macOS với các trình biên dịch GCC 10-14 và Clang 14-18.

Kết quả phân tích tĩnh và bảo mật mã nguồn

Các tiêu chuẩn tuân thủ bao gồm:

• Phân tích tĩnh: cppcheck, Clang analyzer, GCC -fanalyzer.
• MISRA C: Tuân thủ MISRA C 2012 và MISRA C 2023 với các kiểm tra nghiêm ngặt.
• Coverity Scan: Phân tích khiếm khuyết hàng đêm.
• Độ phủ mã (Code Coverage): Đạt 99,3% cho tệp wolfcose.c và 100% cho wolfcose_cbor.c.

Báo cáo độ phủ mã nguồn từ Coverity

Giấy phép và Hỗ trợ

wolfCOSE là phần mềm miễn phí được cấp phép theo GPLv3. Hiện tại, dự án đang được duy trì bởi các nhà phát triển của wolfSSL nhưng chưa được phân loại chính thức là sản phẩm được hỗ trợ (supported product). Tuy nhiên, nó được thiết kế để đáp ứng cùng các tiêu chuẩn chất lượng với các sản phẩm khác trong bộ suite wolfSSL.

Nếu tổ chức của bạn cần hỗ trợ chính thức, giấy phép thương mại hoặc muốn đưa wolfCOSE vào môi trường sản xuất, wolfSSL khuyến khích liên hệ trực tiếp để thảo luận về việc chuyển đổi dự án này thành sản phẩm được hỗ trợ đầy đủ.