TWT-B3 — Echtes ML-DSA-65 auf 14 SDKs
Keygen, Sign, Verify live via liboqs (Rust, Python, C, C++, Swift, PHP, Perl, Fortran), circl (Go), BouncyCastle (Java, C#, VB.NET) und noble-post-quantum (TypeScript). PQC-Benchmarks auf 12 SDKs erweitert.
Erfolge
TWT 1.5 wird ausgeliefert. 16 SDKs, 2000+ Tests, 108+ Benchmarks, echtes ML-DSA-65 auf 14 SDKs, IETF Internet-Draft v2, SonarQube Quality Gate grün. Stand 2026-05-15.
16 / 16
SDKs geliefert
6 prod + 8 zusätzlich + 2 Frontend
2.000+
Tests grün
Über alle 16 SDKs
108+
Benchmarks
Alle unter 30 ms
90+/100
OWASP-Score
Top-10-Abdeckung
IETF v2
Internet-Draft
draft-toonwebtoken-twt-02
Aktuelle Meilensteine
-
-
TWT-B3.2 — Echtes TOON-Wire-Format auf v2-Pfad
7 SDKs emittieren nun echtes TOON (kein JSON) auf dem v2-Generator-Pfad, passend zur draft-02-Wire-Format-Spezifikation.
-
Duale MIT/Apache-2.0-Lizenz über alle 16 SDKs
Lizenz nach dem Rust-Crate-Modell harmonisiert, was Enterprise-Adoption und eine mögliche Übertrag an die Apache Foundation ermöglicht.
-
AppSec-Remediation abgeschlossen — 81/81 Posten geschlossen (Tiers 0–6)
Umfassendes AppSec-Audit: alle CRITICAL-, HIGH-, MED- und LOW-Befunde behoben. SonarQube 0 Blocker, 0 kritische Issues. SDK-übergreifendes adversariales Korpus bereitgestellt.
-
SonarQube Quality Gate grün — 0 Bugs, 0 Schwachstellen
Reliability / Security / Maintainability allesamt mit A bewertet. Abdeckung neuer Code 82,6 % (≥ Schwelle 80).
-
TWT 1.5 — produktionsreifer Snapshot
Spuren A & C abgeschlossen. D2/D4 + E1/E2/E3 + E5-teilweise geliefert. Bewertung der Produktionsreife veröffentlicht.
-
TWT-E3 — Internet-Draft v1 veröffentlicht
draft-toonwebtoken-twt-00 mit byteweise reproduzierbaren Testvektoren. Nun aktualisiert auf draft-02 mit MLDSA65 optional.
-
TWT-C1 — Benchmarks unter 30 ms über 12 SDKs
108+ Benchmarks insgesamt. Langsamstes: TypeScript bei 6,01 ms (5× Sicherheitsmarge). Schnellstes PQC-Verify: Rust bei 56 µs.
Tests & Benchmarks pro SDK
| SDK | Tests | Benchmarks |
|---|---|---|
| Python | 322 | 9 |
| TypeScript | 190 | 9 |
| Java | 179 | 9 |
| C# | 185 | 9 |
| Go | 138 | 9 |
| Swift | 150 | 7 |
| PHP | 157 | 7 |
| Perl | 152 | 7 |
| VB.NET | 156 | 7 |
| Rust | 110 | 9 |
| C | 52 | — |
| C++ | 13 Suiten | 7 |
| Fortran | 13 Suiten | 7 |
| React | 53 | — |
| Vue | 53 | — |
| Delphi | Review | — |
Benchmark-Highlights (ML-DSA-65 PQC)
Alle Messungen auf Apple Silicon (arm64). Budget: < 30 ms pro Operation.
| SDK | Keygen | Sign | Verify | 30-ms-Marge |
|---|---|---|---|---|
| Rust | 61 µs | 237 µs | 56 µs | 126× |
| Python | 84 µs | 253 µs | 67 µs | 58× |
| Go | 103 µs | 269 µs | 83 µs | 76× |
| Java | 90 µs | 252 µs | 84 µs | 56× |
| C# | 128 µs | 415 µs | 470 µs | 54× |
| C++ | 80 µs | 250 µs | 62 µs | 120× |
| Swift | 100 µs | 300 µs | 80 µs | 100× |
| TypeScript | 1,25 ms | 6,01 ms | 1,31 ms | 5× |
| PHP | 142 µs | 440 µs | 213 µs | 68× |
| Perl | 79 µs | 274 µs | 67 µs | 109× |
| Fortran | 174 µs | 231 µs | 73 µs | 130× |
| VB.NET | 474 µs | 1,66 ms | 204 µs | 18× |
Jedes SDK liegt mindestens 5× unter dem 30-ms-Budget. Native liboqs-Bindings liefern sub-ms PQC; reines JS (TypeScript) ist das langsamste bei ~6 ms — dennoch weit innerhalb des Budgets.
Audits & Compliance
OWASP Top 10 — Abdeckung 90+/100
8/10 Punkte abgedeckt (A01/A02/A04/A05/A07/A08/A09/A10). A03/A06 sind außerhalb des Geltungsbereichs (keine DB / keine clientseitige Render-Angriffsfläche).
AppSec-Audit — 81/81 Remediation-Posten geschlossen
Umfassendes 6-Tier-Audit (Tiers 0–6): alle CRITICAL-, HIGH-, MED- und LOW-Befunde behoben. SonarQube 0 Blocker, 0 kritische Issues. 22.504 LOC über 154 Dateien.
NIST-FIPS-Abgleich
FIPS 198-1 (HMAC-SHA256), 197 (AES-256-GCM), FIPS 204 (ML-DSA-65) — echte Krypto auf 14 SDKs via liboqs 0.15, circl 1.6.3, BouncyCastle 1.79.
Mapping regulatorischer Profile
FINMA, nFADP, DSGVO, EU-AI-Act, HIPAA — 5 Profile, 20 Anforderungen, 5 dokumentierte Lücken.
Duale MIT/Apache-2.0-Lizenz
Alle 16 SDKs dual lizenziert nach dem Rust-Crate-Modell, Enterprise-Adoption und OSI-Konformität ermöglichend.