PolarSSL项目中TLS 1.3启用时的熵源配置问题解析

在嵌入式系统开发中使用PolarSSL（现Mbed TLS）进行安全通信时，开发者可能会遇到一个典型问题：当仅启用TLS 1.2协议时，SSL握手过程正常进行，但一旦启用TLS 1.3支持，握手过程就会失败并返回MBEDTLS_ERR_ENTROPY_NO_SOURCES_DEFINED错误。这个问题在STM32等嵌入式平台上尤为常见。

问题本质分析

这个错误表明系统在尝试执行加密操作时无法获取足够的随机熵源。TLS 1.3协议相比TLS 1.2对随机数生成提出了更高要求，必须确保有可靠的熵源来初始化伪随机数生成器(DRBG)。在嵌入式环境中，由于缺乏标准操作系统提供的熵源接口，开发者需要手动配置适当的熵源。

解决方案实现

解决这个问题需要在代码中显式添加熵源。典型的实现步骤如下：

1. 首先初始化熵上下文和CTR_DRBG上下文：

mbedtls_entropy_context entropy;
mbedtls_ctr_drbg_context ctr_drbg;

mbedtls_entropy_init(&entropy);
mbedtls_ctr_drbg_init(&ctr_drbg);

2. 添加自定义熵源。对于STM32平台，可以利用硬件随机数生成器(RNG)外设：

int stm32_hardware_entropy(void *data, unsigned char *output, size_t len)
{
    // 实现从STM32硬件RNG读取随机数的代码
    // 返回0表示成功，其他值表示错误
}

mbedtls_entropy_add_source(&entropy, stm32_hardware_entropy, NULL,
                          MBEDTLS_ENTROPY_MIN_HARDWARE,
                          MBEDTLS_ENTROPY_SOURCE_STRONG);

3. 初始化随机数生成器：

const char *pers = "ssl_client";
mbedtls_ctr_drbg_seed(&ctr_drbg, mbedtls_entropy_func, &entropy,
                     (const unsigned char *)pers, strlen(pers));

4. 在SSL配置中指定随机数生成器回调：

mbedtls_ssl_conf_rng(&conf, mbedtls_ctr_drbg_random, &ctr_drbg);

深入技术细节

在嵌入式系统中，熵源的质量直接影响TLS连接的安全性。开发者应当注意：

1. 熵源强度评估：MBEDTLS_ENTROPY_SOURCE_STRONG标志表明该熵源被认为能提供高质量的随机性。对于关键应用，建议使用硬件随机数生成器。

2. 熵池大小：MBEDTLS_ENTROPY_MIN_HARDWARE定义了从该源收集的最小熵量，应根据实际硬件特性调整。

3. 个性化字符串：初始化DRBG时使用的个性化字符串(pers)应为应用唯一标识，防止不同应用产生相同的随机序列。

最佳实践建议

1. 对于资源受限的嵌入式设备，建议同时实现多个熵源，包括硬件RNG和基于系统时钟等软件熵源的组合。

2. 在生产环境中，应定期测试熵源的质量，确保其满足安全要求。

3. 考虑实现熵源故障检测机制，当主要熵源失效时能够切换到备用方案或安全地终止连接。

4. 对于实时性要求高的应用，可以预先生成足够的随机数并缓存，避免在握手过程中产生延迟。

通过正确配置熵源，开发者可以充分利用TLS 1.3提供的增强安全特性，同时确保系统在各种嵌入式平台上稳定运行。