ARMmbed/mbedtls项目中可中断的ECDH密钥协商接口设计解析

在现代密码学应用中，椭圆曲线密钥交换（ECDH）是保障通信安全的核心机制之一。ARMmbed/mbedtls作为轻量级加密库，近期针对可中断操作场景下的ECDH密钥协商进行了接口优化设计，本文将深入剖析其技术实现与设计考量。

---

背景与需求

嵌入式设备常面临资源受限和实时性要求高的挑战，传统密钥协商过程中一旦启动就必须完成，无法响应更高优先级的系统事件。为此，mbedtls团队提出"可中断的临时ECDH"（Interruptible Ephemeral ECDH）机制，允许在密钥生成和协商过程中保存中间状态，以便后续恢复执行。

---

关键技术设计

1. 阶段性密钥对生成

通过PSA接口psa_key_derivation_key_agreement()的分阶段设计：

• 初始化阶段设置算法类型和输出密钥属性
• 分步执行时通过PSA_OPERATION_INCOMPLETE状态标记进度
• 支持保存/恢复上下文状态（如椭圆曲线点计算中间值）

psa_status_t psa_key_agreement(
    psa_key_derivation_operation_t *operation,
    psa_key_id_t private_key,
    const uint8_t *peer_key,
    size_t peer_key_length,
    size_t *output_length);

2. 临时密钥管理

• 引入PSA_KEY_TYPE_EPHEMERAL标志位
• 自动清理机制确保中断后的密钥材料不会残留
• 内存占用优化设计支持资源受限设备

3. 状态机控制

定义明确的状态转换规则：

[INIT] → [KEYGEN] → [AGREEMENT] → [COMPLETE]
           ↑_____________|
               (中断恢复)

---

实现优势

1. 实时性提升：允许抢占式处理高优先级任务
2. 资源效率：临时密钥的自动回收减少内存泄漏风险
3. 安全保证：保持原有ECDH的前向安全性等密码学特性
4. 兼容性：与现有PSA Crypto API无缝集成

---

典型应用场景

• 物联网设备在低功耗模式下执行密钥协商
• 实时操作系统中的高优先级任务插队处理
• 需要定期执行看门狗检测的安全关键系统

---

开发者注意事项

1. 必须检查PSA_OPERATION_INCOMPLETE返回值
2. 上下文保存需使用安全存储区域
3. 建议设置合理的最大重试次数
4. 临时密钥生命周期应显式控制

该设计已通过ARMmbed/mbedtls的9410和9441两个PR实现，为嵌入式安全通信提供了更灵活的解决方案。