Mbed TLS项目中TLS 1.3多线程安全问题的技术解析

背景介绍

Mbed TLS是一个广泛应用于嵌入式系统的开源TLS/SSL协议栈实现。在最新版本中，TLS 1.3协议支持被默认启用，这带来了性能和安全性的提升，但也引入了一些需要注意的线程安全问题。

问题本质

在Mbed TLS的默认配置下，当启用TLS 1.3协议支持时，即使开发者没有显式地在多个线程间共享TLS上下文，仍然可能出现线程竞争条件。这是因为TLS 1.3实现强制使用了PSA（Platform Security Architecture）加密子系统，而PSA内部维护了全局状态。

技术细节分析

1. PSA的全局状态特性：

   • PSA加密子系统维护了全局密钥存储等共享资源
   • 这些资源会被所有使用PSA的线程访问
   • 即使开发者没有显式共享TLS上下文，PSA的全局状态仍然构成了隐式共享

2. 关键函数调用链：

   • mbedtls_ssl_tls13_generate_and_write_xxdh_key_exchange是TLS 1.3密钥交换的关键函数
   • 该函数会调用PSA API进行密钥操作
   • 最终会访问psa_get_and_lock_key_slot_in_memory等需要线程保护的函数

3. 配置误解：

   • 文档中关于MBEDTLS_THREADING_C的说明存在误导
   • 原文档暗示不共享TLS上下文就不需要线程保护
   • 但实际上只要使用PSA（特别是TLS 1.3）就需要线程保护

解决方案

1. 必须配置：

   • 在任何多线程环境中使用Mbed TLS时，必须启用MBEDTLS_THREADING_C
   • 这包括但不限于使用TLS 1.3协议的情况

2. 配置建议：

   #define MBEDTLS_THREADING_C
   #define MBEDTLS_THREADING_PTHREAD  // 或其他适合平台的实现
   

3. 性能考量：

   • 启用线程保护会引入一定的性能开销
   • 但在多线程环境中这是必要的安全代价

最佳实践

1. 在多线程应用中始终启用MBEDTLS_THREADING_C
2. 即使不使用TLS 1.3，如果使用任何PSA功能也需要线程保护
3. 定期检查Mbed TLS文档更新，了解最新的线程安全要求

总结

Mbed TLS项目在支持TLS 1.3协议后，其线程安全模型发生了重要变化。开发者需要特别注意，现在任何多线程使用场景都需要显式启用线程保护机制，而不再仅仅依赖于不共享TLS上下文的约定。这一变化反映了现代密码学实现中全局状态管理的重要性，也是向更安全设计演进的一部分。