在Mariner系统上构建Python cryptography库时遇到的CHACHA20加密算法兼容性问题

背景介绍

Python cryptography库是一个广泛使用的加密工具包，它提供了各种加密算法的实现。在实际部署过程中，特别是在基于Mariner（AzureLinux）操作系统上从源代码构建该库时，开发者可能会遇到一个特定的构建失败问题。

问题现象

当在Mariner系统上使用pip install --no-binary ":all:"命令从源代码构建cryptography库时，构建过程会失败并显示以下错误信息：

error[E0599]: no function or associated item named `chacha20_poly1305` found for struct `openssl::cipher::Cipher` in the current scope

这个错误表明系统尝试调用OpenSSL中的CHACHA20-POLY1305加密算法，但该算法在当前OpenSSL构建中不可用。

根本原因分析

经过调查发现，Mariner系统在构建OpenSSL时使用了no-chacha配置选项，这导致OpenSSL库中不包含CHACHA20-POLY1305算法的实现。这是Mariner系统的特定配置选择，可能是出于安全或性能方面的考虑。

在cryptography库的代码中，存在对CHACHA20-POLY1305算法的硬编码调用，当运行在缺少此算法支持的系统上时，就会导致构建失败。微软Azure团队已经意识到了这个问题，并在他们维护的cryptography包中应用了补丁来移除相关代码。

解决方案探讨

对于这个兼容性问题，有以下几种可能的解决方案：

1. 使用预编译的wheel包：最简单的解决方案是避免从源代码构建，直接使用预编译的wheel包。这可以绕过构建时的兼容性问题。

2. 应用微软的补丁：可以借鉴微软Azure团队的做法，手动应用他们开发的补丁来移除对CHACHA20-POLY1305算法的依赖。

3. 修改构建配置：更彻底的解决方案是修改cryptography库的构建系统，使其能够检测OpenSSL的构建配置并相应地调整功能集。这需要：

   • 更新CI测试流程以包含no-chacha配置的测试
   • 修改Rust代码中的算法注册逻辑
   • 更新Cargo.toml中的相关元数据

技术实现建议

对于希望贡献代码解决此问题的开发者，可以按照以下思路进行修改：

1. 在构建系统中添加对OpenSSL配置的检测能力，特别是检查是否启用了no-chacha选项。

2. 使用条件编译指令（如cfg）来控制在不同的OpenSSL配置下启用或禁用特定功能。

3. 确保测试套件能够覆盖各种OpenSSL配置情况。

4. 更新文档以明确说明对OpenSSL构建配置的要求和限制。

总结

在特殊定制的Linux发行版上构建加密相关库时，经常会遇到这类底层加密算法支持不一致的问题。cryptography库作为Python生态中重要的加密组件，需要考虑到各种可能的OpenSSL构建配置。通过增强构建系统的适应性，可以使库在更广泛的环境中顺利构建和使用，这对于企业级部署尤为重要。