Sie befinden sich hier: start » de » Interne Dokumentation » WvdS Krypto-Biblithek » 5. API-Referenz » WvdS.System.Security.Cryptography Namespace » WvdS.System.Security.Cryptography.Providers Namespace » NativeCryptoProvider

Inhaltsverzeichnis

NativeCryptoProvider

Namespace: WvdS.System.Security.Cryptography.Providers

P/Invoke-basierter Krypto-Provider für Server und Desktop-Anwendungen. Kommuniziert direkt mit OpenSSL 3.6 über Platform Invocation Services.

Übersicht

Der NativeCryptoProvider ist der Standard-Provider für:

  • Blazor Server
  • ASP.NET Core
  • Desktop-Anwendungen (Windows, Linux, macOS)
  • Konsolenanwendungen
  • Windows Services / Linux Daemons

Eigenschaften

Eigenschaft Typ Beschreibung
Name string "Native (P/Invoke)"
IsAvailable bool true wenn OpenSSL 3.6 erreichbar

Initialisierung

using WvdS.System.Security.Cryptography.Providers;
 
// Provider erstellen
var provider = new NativeCryptoProvider();
 
// Initialisieren (lädt OpenSSL)
await provider.InitializeAsync();
 
// Prüfen ob verfügbar
if (provider.IsAvailable)
{
    Console.WriteLine($"Provider: {provider.Name}");
    Console.WriteLine($"OpenSSL: {provider.GetOpenSslVersion()}");
}

ML-DSA Operationen

GenerateMlDsaKeyPairAsync

Generiert ein ML-DSA Schlüsselpaar. 

var (publicKey, privateKey) = await provider.GenerateMlDsaKeyPairAsync("ML-DSA-65");
 
// Unterstützte Algorithmen:
// - "ML-DSA-44" (NIST Level 1)
// - "ML-DSA-65" (NIST Level 3, empfohlen)
// - "ML-DSA-87" (NIST Level 5)

SignMlDsaAsync

Signiert Daten mit ML-DSA. 

byte[] data = Encoding.UTF8.GetBytes("Wichtige Daten");
byte[] signature = await provider.SignMlDsaAsync(data, privateKey);

VerifyMlDsaAsync

Verifiziert eine ML-DSA Signatur. 

bool isValid = await provider.VerifyMlDsaAsync(data, signature, publicKey);

ML-KEM Operationen

GenerateMlKemKeyPairAsync

Generiert ein ML-KEM Schlüsselpaar. 

var (publicKey, privateKey) = await provider.GenerateMlKemKeyPairAsync("ML-KEM-768");
 
// Unterstützte Algorithmen:
// - "ML-KEM-512" (NIST Level 1)
// - "ML-KEM-768" (NIST Level 3, empfohlen)
// - "ML-KEM-1024" (NIST Level 5)

EncapsulateAsync

Kapselt einen Shared Secret mit dem Public Key. 

var (sharedSecret, ciphertext) = await provider.EncapsulateAsync(recipientPublicKey);
 
// sharedSecret: 32 Bytes symmetrischer Schlüssel
// ciphertext: Zum Empfänger senden

DecapsulateAsync

Dekapselt den Shared Secret. 

byte[] sharedSecret = await provider.DecapsulateAsync(ciphertext, privateKey);

Zertifikat-Operationen

CreateEphemeralCertificateAsync

Erstellt ein kurzlebiges ML-DSA Zertifikat. 

var (pubKey, privKey) = await provider.GenerateMlDsaKeyPairAsync();
 
byte[] certBytes = await provider.CreateEphemeralCertificateAsync(
    "CN=Ephemeral Test",
    TimeSpan.FromHours(24),
    privKey);
 
var cert = new X509Certificate2(certBytes);

SignCertificateAsync

Signiert TBS-Zertifikatdaten mit ML-DSA. 

byte[] tbsCertificate = GetTbsCertificate();
byte[] signedCert = await provider.SignCertificateAsync(tbsCertificate, privateKey);

Methoden-Übersicht

Methode Parameter Rückgabe
InitializeAsync() - Task
GetOpenSslVersion() - string
GenerateMlDsaKeyPairAsync string algorithm Task<(byte[], byte[])>
SignMlDsaAsync byte[] data, byte[] privateKey Task<byte[]>
VerifyMlDsaAsync byte[] data, byte[] signature, byte[] publicKey Task<bool>
GenerateMlKemKeyPairAsync string algorithm Task<(byte[], byte[])>
EncapsulateAsync byte[] publicKey Task<(byte[], byte[])>
DecapsulateAsync byte[] ciphertext, byte[] privateKey Task<byte[]>
CreateEphemeralCertificateAsync string subject, TimeSpan validity, byte[] privateKey Task<byte[]>
SignCertificateAsync byte[] tbsCertificate, byte[] privateKey Task<byte[]>

OpenSSL-Pfad Konfiguration

// Vor InitializeAsync() den Pfad setzen
CryptoConfig.OpenSslPath = @"C:\OpenSSL\bin";
 
var provider = new NativeCryptoProvider();
await provider.InitializeAsync();

Standard-Suchpfade:

Betriebssystem Pfade
Windows .\, C:\OpenSSL\bin, PATH
Linux /usr/local/lib64, /usr/lib/x86_64-linux-gnu
macOS /opt/homebrew/lib, /usr/local/lib

Performance-Hinweise

P/Invoke Performance:
  • Synchrone Ausführung im nativen Code
  • Task-Wrapper für API-Konsistenz mit WasmCryptoProvider
  • Minimaler Overhead durch direkten Speicherzugriff
  • Thread-sicher durch OpenSSL's interne Synchronisation

Vollständiges Beispiel

using WvdS.System.Security.Cryptography.Providers;
 
// 1. Provider initialisieren
var provider = new NativeCryptoProvider();
await provider.InitializeAsync();
 
Console.WriteLine($"OpenSSL: {provider.GetOpenSslVersion()}");
 
// 2. ML-KEM Key Exchange
var (alicePublic, alicePrivate) = await provider.GenerateMlKemKeyPairAsync();
var (bobPublic, bobPrivate) = await provider.GenerateMlKemKeyPairAsync();
 
// Alice encapsulates für Bob
var (aliceSecret, ciphertext) = await provider.EncapsulateAsync(bobPublic);
 
// Bob decapsulates
var bobSecret = await provider.DecapsulateAsync(ciphertext, bobPrivate);
 
// Shared Secrets sind identisch
Console.WriteLine($"Keys match: {aliceSecret.SequenceEqual(bobSecret)}");
 
// 3. ML-DSA Signatur
var (sigPubKey, sigPrivKey) = await provider.GenerateMlDsaKeyPairAsync();
 
byte[] message = Encoding.UTF8.GetBytes("Wichtige Nachricht");
byte[] signature = await provider.SignMlDsaAsync(message, sigPrivKey);
 
bool isValid = await provider.VerifyMlDsaAsync(message, signature, sigPubKey);
Console.WriteLine($"Signature valid: {isValid}");

Sicherheitshinweise

  • Erfordert OpenSSL 3.6.0 oder höher mit PQ-Algorithmen
  • Private Keys werden im Prozessspeicher gehalten
  • Bei Anwendungsende werden Keys nicht automatisch gelöscht
  • Für höchste Sicherheit: Keys explizit mit CryptographicOperations.ZeroMemory löschen

Siehe auch

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

Zuletzt geändert: den 29.01.2026 um 15:12

Seiten-Werkzeuge