Mbed TLS 4.0中TF-PSA-Crypto内部配置符号的暴露问题解析

在Mbed TLS 4.0版本开发过程中，项目团队面临一个重要的技术挑战：如何正确处理TF-PSA-Crypto内部配置符号的暴露问题。这个问题涉及到密码学库的核心架构设计，特别是当Mbed TLS启用PSA Crypto支持时的兼容性处理。

背景与现状

Mbed TLS 3.6版本中，当启用MBEDTLS_USE_PSA_CRYPTO选项时，X.509和TLS代码主要依赖PSA_WANT_xxx系列宏或相关派生符号（如MBEDTLS_MD_CAN_xxx、MBEDTLS_PK_HAVE_xxx）来判断是否支持特定的密码学机制。这种设计源于"driver-only"架构的工作成果。

然而，当前实现中存在一些例外情况，X.509和TLS代码仍然依赖一些传统符号。随着TF-PSA-Crypto的配置将完全基于PSA_WANT_xxx系列宏，但内部仍会保留一些传统符号，这就产生了兼容性问题。

核心问题

在Mbed TLS 4.0中，需要从TF-PSA-Crypto配置中访问某些内部符号。具体来说，RSA相关的几个关键配置符号需要特别注意：

• MBEDTLS_RSA_C
• MBEDTLS_PKCS1_V15
• MBEDTLS_PKCS1_V21

这些符号必须包含在Mbed TLS 4.x版本能够访问的头文件中，直到完成向PSA的完整迁移。

技术影响

这个问题的解决对于Mbed TLS的架构演进至关重要：

1. 向后兼容性：确保现有代码在迁移过程中能够继续工作
2. 架构清晰性：明确区分传统接口和PSA接口的边界
3. 功能完整性：保证所有密码学操作在不同配置下都能正确执行

解决方案方向

虽然原始问题描述中提到这是一个小规模(XS)的技术问题，但它实际上反映了密码学库架构演进过程中的一个典型挑战。解决这类问题通常需要考虑：

1. 过渡期设计：如何优雅地处理新旧接口并存阶段
2. 符号可见性：合理控制哪些内部符号需要暴露给上层模块
3. 长期架构：确保临时解决方案不会成为未来架构的负担

总结

Mbed TLS向PSA Crypto的迁移是一个渐进过程，在这个过程中，处理内部配置符号的暴露问题需要谨慎平衡短期需求和长期架构目标。通过合理设计过渡方案，可以确保库的功能完整性同时为最终架构目标铺平道路。