Mbed TLS项目中PK模块的ECDSA宏替换技术解析

背景概述

在Mbed TLS项目的持续演进过程中，开发团队正在对公钥(PK)模块中的ECDSA相关宏定义进行现代化改造。这项工作的核心目标是将传统的MBEDTLS_PK_CAN/HAVE_ECDSA*系列宏替换为基于PSA(Platform Security Architecture)标准的PSA_WANT宏，以统一项目的配置体系并提高代码的可维护性。

宏替换的具体内容

此次替换涉及以下关键宏定义的变更：

1. 密钥类型宏：

   • 原MBEDTLS_PK_HAVE_ECC_KEYS将被替换为PSA_WANT_KEY_TYPE_ECC_PUBLIC_KEY

2. ECDSA功能宏：

   • MBEDTLS_PK_CAN_ECDSA_SIGN替换为PSA_WANT_ALG_ECDSA && PSA_WANT_KEY_TYPE_ECC_KEY_PAIR_BASIC
   • MBEDTLS_PK_CAN_ECDSA_VERIFY替换为PSA_WANT_ALG_ECDSA && PSA_WANT_KEY_TYPE_ECC_PUBLIC_KEY
   • MBEDTLS_PK_CAN_ECDSA_SOME替换为PSA_WANT_ALG_ECDSA

技术实现要点

在实施过程中，开发团队特别强调了几个关键技术点：

1. ECDSA算法变体处理：

   • 实际实现中需要考虑随机化ECDSA和确定性ECDSA两种变体
   • 为此项目新增了PSA_HAVE_ALG_SOME_ECDSA组合宏，定义为(PSA_WANT_ALG_ECDSA || PSA_WANT_ALG_DETERMNISTIC_ECDSA)
   • 该宏将放置在include/psa/*adjust*.h文件中

2. 替换范围控制：

   • 替换工作将覆盖项目中的所有文件
   • 但明确排除了配置文件(mbedtls_config.h)、配置检查文件(check_config.h)和配置调整文件(config_adjust_*.h)

3. 测试保障：

   • 要求确保替换前后测试用例的执行方式和结果保持一致
   • 这保证了功能变更不会引入回归问题

技术意义与影响

这项变更工作具有重要的技术意义：

1. 架构统一：

   • 将传统的PK模块配置逐步迁移到PSA标准体系下
   • 提高了代码配置的一致性和可维护性

2. 功能细化：

   • 新的宏定义更加精确地区分了签名和验证功能
   • 明确区分了公钥和密钥对的使用场景

3. 算法变体支持：

   • 通过组合宏的方式统一处理ECDSA的不同变体
   • 为未来可能增加的算法变体提供了扩展性

实施建议

对于开发者而言，在实施此类替换工作时应注意：

1. 全面性检查：

   • 确保替换覆盖所有相关代码路径
   • 特别注意条件编译和功能开关相关的代码

2. 测试验证：

   • 建立完整的测试覆盖
   • 特别关注边缘情况和异常路径

3. 文档更新：

   • 同步更新相关API文档和配置说明
   • 记录宏变更的兼容性信息

这项变更代表了Mbed TLS项目向更现代化、更安全的架构演进的重要一步，同时也为开发者提供了更清晰、更灵活的配置选项。