.net 8不支持post-quantum加密算法,需通过p/invoke调用liboqs实现kyber等nist标准算法,且必须采用混合模式(kyber封装aes密钥+aes-gcm加密文件),不可直接用kyber加密大文件。
Post-Quantum加密在C#中没有开箱即用的内置支持
截至 .NET 8,System.Security.Cryptography 里所有加密类(如 Aes、RSA、ECDSA)都不包含 NIST 标准化的后量子算法(如 CRYSTALS-Kyber、CRYSTALS-Dilithium)。这不是你配置错了,而是平台本身还没集成。
目前唯一可行路径是调用外部实现——主流选择是 liboqs(Open Quantum Safe 的 C 库),再通过 P/Invoke 封装。但要注意:liboqs 不提供 .NET 绑定,也没有官方 NuGet 包。
- 别指望
RSACryptoServiceProvider或AsymmetricAlgorithm.Create("Kyber512")能跑起来——会抛CryptographicException:“The requested cryptographic algorithm is not supported.” - .NET 的
CngKey和BCrypt后端也不支持 PQ 算法,Windows Cryptography API: Next Generation(CNG)尚未更新 - 部分实验性项目(如
McEliece.NET)仅覆盖老一代 PQ 方案,不兼容 NIST 第三轮胜出算法,且无维护
用 P/Invoke 调 liboqs 做 Kyber 封装的实际门槛
你得自己编译 liboqs(含 kyber768 或 kyber1024)、导出 C 函数、写 DllImport、处理内存生命周期。不是加个 NuGet 就能用的事。
典型流程:
- 从 https://www.php.cn/link/90c2c5d590002e532c3056dc49b3fdce 拉源码,用 CMake + VS 工具链编译成
oqs.dll(Windows)或liboqs.so(Linux) - 确认导出函数签名,例如密钥生成:
OQS_KEM_kyber768_keypair,封装时必须严格匹配IntPtr参数和unsafe内存拷贝 -
liboqs所有 API 都要求调用方分配输出缓冲区,比如公钥长度由OQS_KEM_kyber768_length_public_key返回,不能硬编码 - 每次加密需生成新密钥对或使用 KEM 封装模式(
encap_secret+ciphertext),直接拿 Kyber 当 RSA 用会出错
示例片段(非完整):
[DllImport("oqs.dll", CallingConvention = CallingConvention.Cdecl)]
public static extern OQS_STATUS OQS_KEM_kyber768_encap_secret(IntPtr kem, byte* ciphertext, byte* shared_secret);
文件加密不能只靠 Kyber:混合模式才是现实解法
Kyber 是 KEM(密钥封装机制),只能安全传输一个对称密钥,不能直接加密大文件。想加密文件,必须组合使用——这也是 NIST 推荐的“Hybrid Mode”。
- 先用
Kyber768封装一个随机生成的AesGcm密钥(32 字节)和 nonce - 再用该密钥+nonce 对文件流做分块
AesGcm.Encrypt,每块加认证标签 - 最终文件格式得自定义:头部存 Kyber 密文长度 + 密文,后面接 AES 加密数据块,否则无法解密
- 别跳过 AEAD 的 tag 验证——
AesGcm.Decrypt失败时不会抛异常,而是返回false,静默解密失败很危险
错误做法:File.WriteAllBytes(path, kyber.Encapsulate(publicKey)) —— 这只生成了几十字节密文,根本不是加密后的文件。
生产环境当前最务实的选择
现在真要上线抗量子文件加密,优先级应该是:确保密钥交换环节可升级,而不是立刻全量替换。
- 把 RSA/ECC 公钥加密逻辑抽成接口(如
IKeyEncapsulation),底层先用RSACng,留好KyberKem实现插槽 - 文件加密主流程保持
AesGcm+ 安全随机 IV + 认证标签,这部分无需改动 - 关注 dotnet/runtime#93522 —— 这是官方跟踪 PQ 支持的 issue,.NET 9 可能开始实验性引入
OQS绑定 - 别自行实现 PQ 算法逻辑(哪怕抄 liboqs)——侧信道、内存清零、常数时间比较这些细节,错一点就废
真正卡住的不是代码怎么写,而是你怎么让上下游系统(备份服务、移动客户端、硬件 HSM)也同步支持 Kyber 密文格式。这个协同成本,远高于写几个 P/Invoke 函数。
