====== NativeCryptoProvider ======

**Namespace:** ''WvdS.System.Security.Cryptography.Providers''

Provider crittografico basato su P/Invoke per applicazioni Server e Desktop. Comunica direttamente con OpenSSL 3.6 tramite Platform Invocation Services.

===== Panoramica =====

Il ''NativeCryptoProvider'' e il provider predefinito per:

  * Blazor Server
  * ASP.NET Core
  * Applicazioni Desktop (Windows, Linux, macOS)
  * Applicazioni Console
  * Windows Services / Linux Daemons

===== Proprieta =====

^ Proprieta ^ Tipo ^ Descrizione ^
| ''Name'' | string | ''%%"Native (P/Invoke)"%%'' |
| ''IsAvailable'' | bool | ''true'' se OpenSSL 3.6 e raggiungibile |

===== Inizializzazione =====

<code csharp>
using WvdS.System.Security.Cryptography.Providers;

// Creare provider
var provider = new NativeCryptoProvider();

// Inizializzare (carica OpenSSL)
await provider.InitializeAsync();

// Verificare disponibilita
if (provider.IsAvailable)
{
    Console.WriteLine($"Provider: {provider.Name}");
    Console.WriteLine($"OpenSSL: {provider.GetOpenSslVersion()}");
}
</code>

===== Operazioni ML-DSA =====

==== GenerateMlDsaKeyPairAsync ====

Genera una coppia di chiavi ML-DSA.

<code csharp>
var (publicKey, privateKey) = await provider.GenerateMlDsaKeyPairAsync("ML-DSA-65");

// Algoritmi supportati:
// - "ML-DSA-44" (NIST Level 1)
// - "ML-DSA-65" (NIST Level 3, raccomandato)
// - "ML-DSA-87" (NIST Level 5)
</code>

==== SignMlDsaAsync ====

Firma dati con ML-DSA.

<code csharp>
byte[] data = Encoding.UTF8.GetBytes("Dati importanti");
byte[] signature = await provider.SignMlDsaAsync(data, privateKey);
</code>

==== VerifyMlDsaAsync ====

Verifica una firma ML-DSA.

<code csharp>
bool isValid = await provider.VerifyMlDsaAsync(data, signature, publicKey);
</code>

===== Operazioni ML-KEM =====

==== GenerateMlKemKeyPairAsync ====

Genera una coppia di chiavi ML-KEM.

<code csharp>
var (publicKey, privateKey) = await provider.GenerateMlKemKeyPairAsync("ML-KEM-768");

// Algoritmi supportati:
// - "ML-KEM-512" (NIST Level 1)
// - "ML-KEM-768" (NIST Level 3, raccomandato)
// - "ML-KEM-1024" (NIST Level 5)
</code>

==== EncapsulateAsync ====

Incapsula un Shared Secret con la chiave pubblica.

<code csharp>
var (sharedSecret, ciphertext) = await provider.EncapsulateAsync(recipientPublicKey);

// sharedSecret: 32 Bytes chiave simmetrica
// ciphertext: Da inviare al destinatario
</code>

==== DecapsulateAsync ====

Decapsula il Shared Secret.

<code csharp>
byte[] sharedSecret = await provider.DecapsulateAsync(ciphertext, privateKey);
</code>

===== Operazioni certificati =====

==== CreateEphemeralCertificateAsync ====

Crea un certificato ML-DSA effimero.

<code csharp>
var (pubKey, privKey) = await provider.GenerateMlDsaKeyPairAsync();

byte[] certBytes = await provider.CreateEphemeralCertificateAsync(
    "CN=Ephemeral Test",
    TimeSpan.FromHours(24),
    privKey);

var cert = new X509Certificate2(certBytes);
</code>

==== SignCertificateAsync ====

Firma dati TBS del certificato con ML-DSA.

<code csharp>
byte[] tbsCertificate = GetTbsCertificate();
byte[] signedCert = await provider.SignCertificateAsync(tbsCertificate, privateKey);
</code>

===== Panoramica metodi =====

^ Metodo ^ Parametri ^ Ritorno ^
| ''InitializeAsync()'' | - | Task |
| ''GetOpenSslVersion()'' | - | string |
| ''GenerateMlDsaKeyPairAsync'' | string algorithm | Task<(byte[], byte[])> |
| ''SignMlDsaAsync'' | byte[] data, byte[] privateKey | Task<byte[]> |
| ''VerifyMlDsaAsync'' | byte[] data, byte[] signature, byte[] publicKey | Task<bool> |
| ''GenerateMlKemKeyPairAsync'' | string algorithm | Task<(byte[], byte[])> |
| ''EncapsulateAsync'' | byte[] publicKey | Task<(byte[], byte[])> |
| ''DecapsulateAsync'' | byte[] ciphertext, byte[] privateKey | Task<byte[]> |
| ''CreateEphemeralCertificateAsync'' | string subject, TimeSpan validity, byte[] privateKey | Task<byte[]> |
| ''SignCertificateAsync'' | byte[] tbsCertificate, byte[] privateKey | Task<byte[]> |

===== Configurazione percorso OpenSSL =====

<code csharp>
// Impostare il percorso prima di InitializeAsync()
CryptoConfig.OpenSslPath = @"C:\OpenSSL\bin";

var provider = new NativeCryptoProvider();
await provider.InitializeAsync();
</code>

**Percorsi di ricerca predefiniti:**

^ Sistema operativo ^ Percorsi ^
| Windows | ''%%.\%%'', ''%%C:\OpenSSL\bin%%'', ''%%PATH%%'' |
| Linux | ''%%/usr/local/lib64%%'', ''%%/usr/lib/x86_64-linux-gnu%%'' |
| macOS | ''%%/opt/homebrew/lib%%'', ''%%/usr/local/lib%%'' |

===== Note sulle prestazioni =====

<note tip>
**Prestazioni P/Invoke:**

  * Esecuzione sincrona nel codice nativo
  * Wrapper Task per coerenza API con WasmCryptoProvider
  * Overhead minimo grazie all'accesso diretto alla memoria
  * Thread-safe grazie alla sincronizzazione interna di OpenSSL
</note>

===== Esempio completo =====

<code csharp>
using WvdS.System.Security.Cryptography.Providers;

// 1. Inizializzare provider
var provider = new NativeCryptoProvider();
await provider.InitializeAsync();

Console.WriteLine($"OpenSSL: {provider.GetOpenSslVersion()}");

// 2. ML-KEM Key Exchange
var (alicePublic, alicePrivate) = await provider.GenerateMlKemKeyPairAsync();
var (bobPublic, bobPrivate) = await provider.GenerateMlKemKeyPairAsync();

// Alice incapsula per Bob
var (aliceSecret, ciphertext) = await provider.EncapsulateAsync(bobPublic);

// Bob decapsula
var bobSecret = await provider.DecapsulateAsync(ciphertext, bobPrivate);

// I Shared Secrets sono identici
Console.WriteLine($"Keys match: {aliceSecret.SequenceEqual(bobSecret)}");

// 3. Firma ML-DSA
var (sigPubKey, sigPrivKey) = await provider.GenerateMlDsaKeyPairAsync();

byte[] message = Encoding.UTF8.GetBytes("Messaggio importante");
byte[] signature = await provider.SignMlDsaAsync(message, sigPrivKey);

bool isValid = await provider.VerifyMlDsaAsync(message, signature, sigPubKey);
Console.WriteLine($"Signature valid: {isValid}");
</code>

===== Note di sicurezza =====

<note warning>
  * Richiede OpenSSL 3.6.0 o superiore con algoritmi PQ
  * Le chiavi private vengono mantenute nella memoria del processo
  * Le chiavi non vengono cancellate automaticamente alla chiusura dell'applicazione
  * Per massima sicurezza: cancellare le chiavi esplicitamente con ''CryptographicOperations.ZeroMemory''
</note>

===== Vedi anche =====

  * [[.:start|Namespace Providers]]
  * [[.:icryptoprovider|ICryptoProvider]]
  * [[.:wasmcryptoprovider|WasmCryptoProvider]]
  * [[.:cryptoproviderfactory|CryptoProviderFactory]]
  * [[..:interop:opensslinterop|OpenSslInterop]]

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//