TWT-B3 — 14 个 SDK 上的真实 ML-DSA-65
密钥生成、签名、验证通过 liboqs (Rust、Python、C、C++、Swift、PHP、Perl、Fortran)、circl (Go)、BouncyCastle (Java、C#、VB.NET) 和 noble-post-quantum (TypeScript) 上线运行。PQC 基准扩展至 12 个 SDK。
成就
TWT 1.5 正在交付。16 个 SDK、2000+ 测试、108+ 基准、14 个 SDK 上的真实 ML-DSA-65、IETF Internet-Draft v2、SonarQube 质量门通过。截至 2026-05-15 的快照。
16 / 16
已交付 SDK
6 生产 + 8 扩展 + 2 前端
2,000+
测试通过
覆盖全部 16 个 SDK
108+
基准
全部低于 30 ms
90+/100
OWASP 评分
Top 10 覆盖
IETF v2
Internet-Draft
draft-toonwebtoken-twt-02
近期里程碑
-
-
TWT-B3.2 — v2 路径上的真实 TOON 线上格式
7 个 SDK 现在在 v2 生成器路径上输出真实 TOON (而非 JSON),符合 draft-02 线上格式规范。
-
全部 16 个 SDK 的 MIT/Apache-2.0 双授权
按照 Rust crate 模型统一授权,支持企业采纳和潜在的 Apache 基金会转移。
-
应用安全修复完成 — 81/81 项已关闭 (层级 0–6)
全面应用安全审计:所有 CRITICAL、HIGH、MED 和 LOW 发现已解决。SonarQube 0 阻断、0 严重问题。跨 SDK 对抗语料已部署。
-
SonarQube 质量门通过 — 0 缺陷,0 漏洞
可靠性 / 安全 / 可维护性均评 A 级。新代码覆盖率 82.6% (≥ 阈值 80)。
-
TWT 1.5 — 生产就绪快照
主线 A 与 C 已完成。D2/D4 + E1/E2/E3 + 部分 E5 已交付。生产就绪评估已发布。
-
TWT-E3 — Internet-Draft v1 已发布
draft-toonwebtoken-twt-00 带逐字节可复现的测试向量。现已更新至 draft-02,MLDSA65 为可选。
-
TWT-C1 — 12 个 SDK 基准低于 30 ms
共 108+ 基准。最慢:TypeScript 6.01 ms (5× 安全余量)。最快 PQC 验证:Rust 56 µs。
各 SDK 测试与基准
| SDK | 测试 | 基准 |
|---|---|---|
| Python | 322 | 9 |
| TypeScript | 190 | 9 |
| Java | 179 | 9 |
| C# | 185 | 9 |
| Go | 138 | 9 |
| Swift | 150 | 7 |
| PHP | 157 | 7 |
| Perl | 152 | 7 |
| VB.NET | 156 | 7 |
| Rust | 110 | 9 |
| C | 52 | — |
| C++ | 13 suites | 7 |
| Fortran | 13 suites | 7 |
| React | 53 | — |
| Vue | 53 | — |
| Delphi | 审查 | — |
基准亮点 (ML-DSA-65 PQC)
所有操作在 Apple Silicon (arm64) 上测量。预算:每次操作 < 30 ms。
| SDK | 密钥生成 | 签名 | 验证 | 30 ms 余量 |
|---|---|---|---|---|
| Rust | 61 µs | 237 µs | 56 µs | 126× |
| Python | 84 µs | 253 µs | 67 µs | 58× |
| Go | 103 µs | 269 µs | 83 µs | 76× |
| Java | 90 µs | 252 µs | 84 µs | 56× |
| C# | 128 µs | 415 µs | 470 µs | 54× |
| C++ | 80 µs | 250 µs | 62 µs | 120× |
| Swift | 100 µs | 300 µs | 80 µs | 100× |
| TypeScript | 1.25 ms | 6.01 ms | 1.31 ms | 5× |
| PHP | 142 µs | 440 µs | 213 µs | 68× |
| Perl | 79 µs | 274 µs | 67 µs | 109× |
| Fortran | 174 µs | 231 µs | 73 µs | 130× |
| VB.NET | 474 µs | 1.66 ms | 204 µs | 18× |
每个 SDK 至少有 5× 的余量低于 30 ms 预算。原生 liboqs 绑定提供亚毫秒级 PQC;纯 JS (TypeScript) 最慢,约 6 ms — 仍在预算之内。
审计与合规
OWASP Top 10 — 覆盖率 90+/100
10 项覆盖 8 项 (A01/A02/A04/A05/A07/A08/A09/A10)。A03/A06 不在范围 (无 DB / 无客户端渲染攻击面)。
应用安全审计 — 81/81 修复项已关闭
全面 6 层审计 (层级 0–6):所有 CRITICAL、HIGH、MED 和 LOW 发现已解决。SonarQube 0 阻断、0 严重问题。横跨 154 个文件的 22,504 行代码。
NIST FIPS 对齐
FIPS 198-1 (HMAC-SHA256)、197 (AES-256-GCM)、FIPS 204 (ML-DSA-65) — 通过 liboqs 0.15、circl 1.6.3、BouncyCastle 1.79 在 14 个 SDK 上的真实密码。
监管画像映射
FINMA、nFADP、GDPR、欧盟 AI 法案、HIPAA — 5 个画像、20 项要求、5 项已记录的差距。
MIT/Apache-2.0 双授权
全部 16 个 SDK 按照rust crate 模型双授权,支持企业采纳和 OSI 合规。