helsingin/pqc

GitHub: helsingin/pqc

一款后量子密码学迁移沙箱工具,提供 ML-KEM/ML-DSA 密钥管理、数据加密签名、TLS 就绪度检查和审计证据生成,帮助团队将 PQC 迁移计划转化为可运行的系统。

Stars: 1 | Forks: 0

# 后量子密码学工具包 ![安全运行环境和后量子密码学基础设施的配图](https://static.pigsec.cn/wp-content/uploads/repos/cas/6b/6bb58248be1b97ff9cdc5d45c06d5e9427f5ff3f017268d5dd026ab3f536f76e.jpg) `pqc` 允许您: - 管理后量子密码学密钥。 - 使用 ML-KEM 信封加密数据。 - 使用 ML-DSA 对制品进行签名。 - 检查 TLS 端点以支持混合后量子密码学。 - 对迁移就绪度进行评分。 - 生成已签名的审计和透明性证据。 - 通过 `pqcd` 运行本地或远程密钥操作。 - 体验后量子密码学证书和签名配置文件。 使用它将后量子密码学迁移计划转化为可运行的系统: 生成密钥、轮换版本、保护数据、检查真实端点,并 为工程、供应商和合规性审查保存可重复的证据。 ## 安装 ``` go install github.com/helsingin/pqc/cmd/pqc@latest go install github.com/helsingin/pqc/cmd/pqcd@latest ``` 从本地检出版本: ``` make build ``` ## 管理密钥 ``` pqc keys create --type ml-kem-768 --id service-a pqc keys create --type ml-dsa-65 --id signer-a pqc keys rotate --id service-a pqc keys list pqc keys public --id signer-a ``` ## 加密数据 ``` pqc encrypt --key service-a < message.json > message.pqc pqc decrypt < message.pqc > message.out ``` ## 签名制品 ``` pqc sign --key signer-a artifact.tar > artifact.sig pqc verify --key signer-a artifact.tar artifact.sig ``` ## 检查 TLS ``` pqc tls inspect example.com:443 pqc tls readiness example.com:443 ``` ## 就绪度评分 ``` pqc inventory scan --store ./dev-keys --target example.com:443 pqc readiness scan --store ./dev-keys --target example.com:443 ``` ## 生成证据 ``` pqc keys create --type ml-dsa-65 --id audit-signer --audit-log ./audit.jsonl pqc audit checkpoint --audit ./audit.jsonl --sign-key audit-signer pqc transparency checkpoint --sign-key audit-signer --target example.com:443 ``` ## 运行密钥服务 ``` pqcd --addr 127.0.0.1:8080 --token "$PQC_API_TOKEN" pqc keys list --remote http://127.0.0.1:8080 --token "$PQC_API_TOKEN" ``` ## 体验证书和签名配置文件 ``` pqc profiles list pqc profiles show x509-ml-dsa pqc issue --profile mtc --sign-key signer-a --subject example.com --dns example.com pqc verify-artifact artifact.json ``` ## 文档 - [命令行参考](docs/cli.md) - [制品配置文件](docs/artifact-profiles.md) - [Daemon、HTTP 服务和传输](docs/daemon-api.md) ## 注意事项 - 当前的后量子密码学原语:`ML-KEM-768`、`ML-DSA-65` 和 `ML-DSA-87`。 - 该实现使用 Cloudflare CIRCL 作为后量子密码学原语, 并使用 Go 标准库提供 HKDF 和 AES-GCM。 - 请将其视为迁移和集成工具包,而不是加固的生产级密钥保管、 访问控制或事件响应设计的替代品。 ## 许可证 Apache-2.0。请参阅 [LICENSE](LICENSE)。
标签:CVE, EVTX分析, Go, Ruby工具, 后量子密码学, 安全合规, 密码学, 手动系统调用, 抗量子加密, 数字签名, 数据加密, 日志审计, 网络代理