跳到主要内容
版本:0.0.1

动机

HashiCorp Vault是云原生领域被广泛使用的Secret Management产品,也是CNCF的项目。在实际使用中,Vault存在一些不足,例如:

  1. 对中国商用密码算法合规性没有支持
  2. 存在一定的性能问题
  3. 对密码硬件的支持不佳
  4. 高级功能不开源
  5. ……

且目前市面上除了Vault之外,也几乎没有比较靠谱的Key/Secret Management类的开源实现。基于此,我们计划启动一个新的开源项目来解决上述问题。

这个新的项目需要覆盖传统密钥管理系统(KMS)的大部分功能,也可能需要兼顾云原生时代对身份、Secret等方面的管理。因此,该系统可能存在如下需求纲领:

  1. 支持国产密码学算法
  2. 性能
  3. 高可用
  4. 底层硬件利用
  5. 内存安全

需求列表

语言:Rust

名字:RustyVault

功能:

  • API
    • RESTful
      • 可考虑一定程度兼容Vault的API,降低迁移成本(待定)
    • gRPC (低优先级)
  • 用户和认证
    • 基于数字证书的用户身份认证
    • 基于用户名和口令的用户身份认证
    • 基本的访问控制规则
    • 基于用户的密钥管理体系
  • 配置方式
    • 配置文件
    • 支持热重启
  • 公钥基础设施(PKI)CA能力
    • X.509证书签发:RSA/ECC/SM2
    • X.509证书吊销:OCSP, CRL
  • 密钥管理
    • 对称密钥:生成/存储/轮转
    • 非对称密钥:RSA/ECC/SM2
  • 传统密码学算法支持
    • 对称加密算法:AES, SM4
    • 公钥密码算法:
      • 签名算法:RSA/ECDSA/EdDSA/SM2/环签名
      • 加密算法:RSA/SM2
    • 哈希算法:SHA1/SHA2/SM3
    • 随机数生成:国密合规的随机数生成算法
  • 前沿密码学算法支持
    • 半同态算法:Paillier, EC-ElGamal
    • 零知识证明:Bulletproofs
    • 后量子密码学算法(待定)
  • 硬件适配
    • 通过指令集、加速卡等进行密码算法性能优化
    • 通过加密卡、加密机等进行密钥保护和密钥管理
  • 集群和高可用
    • 全主模式(多读多写)
  • 存储能力
    • 本地加密存储
    • etcd等中心化存储
  • 日志和监控
    • 文件日志