AWS s2n-tls项目中遗留PKEY实现的全面替换

在AWS的s2n-tls项目中，近期完成了一项重要的加密功能重构工作，将项目中遗留的PKEY(公钥)实现全面替换为更现代的EVP(Envelope)接口实现。这项改进是项目长期现代化改造的一部分，旨在简化代码结构并提高安全性。

背景与动机

s2n-tls作为AWS开发的一个轻量级TLS/SSL协议实现，其核心加密功能长期以来混合使用了两种不同的实现方式：传统的PKEY接口和更现代的EVP接口。这种混合状态增加了代码维护的复杂性，也带来了潜在的安全风险。

在之前的重构工作中，项目团队已经完成了签名和验证方法的替换，将所有PKEY的签名/验证方法迁移到了EVP接口。然而，其他关键功能如RSA加密/解密和密钥匹配检查仍然使用着传统的实现方式。

技术挑战

全面替换遗留PKEY实现面临几个技术挑战：

1. 功能完整性：需要确保新实现的EVP接口在功能上完全覆盖原有PKEY接口的所有功能，包括但不限于RSA加密/解密、密钥匹配检查等。

2. 性能考量：EVP接口作为更高层次的抽象，其性能表现需要经过严格测试，确保不会对TLS握手等关键操作造成明显延迟。

3. 兼容性保证：替换过程不能影响现有协议的互操作性，必须保证替换前后s2n-tls与其他TLS实现的通信行为完全一致。

实现方案

本次重构工作的核心是将剩余的PKEY功能统一迁移到EVP接口，具体包括：

1. RSA加密/解密功能：将原有的RSA_public_encrypt/RSA_private_decrypt等函数调用替换为对应的EVP_PKEY_encrypt/EVP_PKEY_decrypt接口。

2. 密钥匹配检查：重构密钥验证逻辑，使用EVP_PKEY_cmp等现代接口替代传统的密钥比较方法。

3. 错误处理统一：标准化错误处理流程，利用EVP接口提供的统一错误码机制，简化错误处理逻辑。

技术优势

完成这项重构工作后，s2n-tls项目获得了多项技术优势：

1. 代码简化：消除了新旧接口混合使用的复杂状态，代码库更加清晰统一。

2. 维护性提升：EVP接口作为OpenSSL推荐的现代接口，其长期维护更有保障。

3. 安全性增强：EVP接口提供了更好的抽象和更安全的默认配置，减少了低级错误的风险。

4. 未来扩展性：为后续支持更多加密算法和协议特性打下了更好的基础架构。

影响评估

经过严格测试，这项变更确认不会产生以下影响：

• 不会改变s2n-tls的网络传输行为
• 不会影响任何公共API接口
• 对所有版本的TLS协议保持兼容

总结

s2n-tls项目中遗留PKEY实现的全面替换是该项目持续现代化进程中的重要里程碑。通过统一使用EVP接口，项目获得了更简洁的代码结构、更好的维护性和更高的安全性，同时保持了与现有系统的完全兼容。这一改进为s2n-tls未来的功能扩展和性能优化奠定了更坚实的基础。