helsingin/pqc
GitHub: helsingin/pqc
一款后量子密码学迁移沙箱工具,提供 ML-KEM/ML-DSA 密钥管理、数据加密签名、TLS 就绪度检查和审计证据生成,帮助团队将 PQC 迁移计划转化为可运行的系统。
Stars: 1 | Forks: 0
# 后量子密码学工具包

`pqc` 允许您:
- 管理后量子密码学密钥。
- 使用 ML-KEM 信封加密数据。
- 使用 ML-DSA 对制品进行签名。
- 检查 TLS 端点以支持混合后量子密码学。
- 对迁移就绪度进行评分。
- 生成已签名的审计和透明性证据。
- 通过 `pqcd` 运行本地或远程密钥操作。
- 体验后量子密码学证书和签名配置文件。
使用它将后量子密码学迁移计划转化为可运行的系统:
生成密钥、轮换版本、保护数据、检查真实端点,并
为工程、供应商和合规性审查保存可重复的证据。
## 安装
```
go install github.com/helsingin/pqc/cmd/pqc@latest
go install github.com/helsingin/pqc/cmd/pqcd@latest
```
从本地检出版本:
```
make build
```
## 管理密钥
```
pqc keys create --type ml-kem-768 --id service-a
pqc keys create --type ml-dsa-65 --id signer-a
pqc keys rotate --id service-a
pqc keys list
pqc keys public --id signer-a
```
## 加密数据
```
pqc encrypt --key service-a < message.json > message.pqc
pqc decrypt < message.pqc > message.out
```
## 签名制品
```
pqc sign --key signer-a artifact.tar > artifact.sig
pqc verify --key signer-a artifact.tar artifact.sig
```
## 检查 TLS
```
pqc tls inspect example.com:443
pqc tls readiness example.com:443
```
## 就绪度评分
```
pqc inventory scan --store ./dev-keys --target example.com:443
pqc readiness scan --store ./dev-keys --target example.com:443
```
## 生成证据
```
pqc keys create --type ml-dsa-65 --id audit-signer --audit-log ./audit.jsonl
pqc audit checkpoint --audit ./audit.jsonl --sign-key audit-signer
pqc transparency checkpoint --sign-key audit-signer --target example.com:443
```
## 运行密钥服务
```
pqcd --addr 127.0.0.1:8080 --token "$PQC_API_TOKEN"
pqc keys list --remote http://127.0.0.1:8080 --token "$PQC_API_TOKEN"
```
## 体验证书和签名配置文件
```
pqc profiles list
pqc profiles show x509-ml-dsa
pqc issue --profile mtc --sign-key signer-a --subject example.com --dns example.com
pqc verify-artifact artifact.json
```
## 文档
- [命令行参考](docs/cli.md)
- [制品配置文件](docs/artifact-profiles.md)
- [Daemon、HTTP 服务和传输](docs/daemon-api.md)
## 注意事项
- 当前的后量子密码学原语:`ML-KEM-768`、`ML-DSA-65` 和
`ML-DSA-87`。
- 该实现使用 Cloudflare CIRCL 作为后量子密码学原语,
并使用 Go 标准库提供 HKDF 和 AES-GCM。
- 请将其视为迁移和集成工具包,而不是加固的生产级密钥保管、
访问控制或事件响应设计的替代品。
## 许可证
Apache-2.0。请参阅 [LICENSE](LICENSE)。
标签:CVE, EVTX分析, Go, Ruby工具, 后量子密码学, 安全合规, 密码学, 手动系统调用, 抗量子加密, 数字签名, 数据加密, 日志审计, 网络代理