PolarSSL项目中AES-NI汇编指令的寄存器声明问题分析

在PolarSSL（现为Mbed TLS）加密库中，使用AES-NI指令集进行ECB模式加密时，发现了一个关于内联汇编寄存器声明不完整的问题。这个问题虽然看似微小，但在特定编译优化场景下可能导致安全隐患。

问题背景

AES-NI是Intel提供的硬件加速指令集，专门用于加速AES加密算法。PolarSSL/Mbed TLS通过内联汇编的方式调用这些指令以实现高性能加密。内联汇编需要明确告知编译器哪些寄存器会被修改（称为"寄存器"声明），否则编译器可能错误地假设某些寄存器内容保持不变。

问题详情

在mbedtls_aesni_crypt_ecb函数的实现中，内联汇编块修改了几个输入寄存器，但没有在寄存器列表中声明这些修改。具体来说：

1. 汇编代码使用了输入寄存器作为工作寄存器
2. 这些寄存器的修改没有被正确标记
3. 编译器可能基于错误假设进行优化

潜在影响

虽然整个函数仅包含这个汇编块，表面上看风险不大，但在以下情况下可能导致问题：

1. 链接时优化(LTO)启用时
2. 函数被内联到调用者中
3. 编译器进行激进优化时

在这些场景下，编译器可能错误地重用寄存器值，导致加密结果不正确，甚至可能引发安全问题。

技术原理

x86架构的调用约定中，某些寄存器是调用者保存的(caller-saved)，有些是被调用者保存的(callee-saved)。内联汇编必须通过寄存器列表准确告知编译器：

1. 哪些寄存器会被修改
2. 是否会访问内存
3. 是否会影响条件标志位

缺少必要的寄存器声明会导致编译器生成错误的代码。

解决方案

修复方案是在内联汇编的寄存器列表中添加所有被修改的寄存器。典型的修复包括：

1. 明确列出所有被修改的通用寄存器
2. 声明内存访问（如已存在）
3. 声明条件标志修改（如已存在）

对于AES-NI这类加密指令，还需要特别注意：

1. XMM寄存器使用情况
2. 隐式修改的寄存器
3. 内存访问模式

最佳实践

编写加密相关的内联汇编时，建议：

1. 完整列出所有寄存器项
2. 对每个汇编指令的文档仔细检查隐式影响
3. 在不同优化级别下测试
4. 考虑使用编译器内置函数替代内联汇编

总结

这个案例展示了加密实现中看似微小的疏忽可能带来的安全问题。在性能关键的内联汇编实现中，必须严格遵循编译器的使用规范，特别是在安全敏感的加密算法实现中。PolarSSL/Mbed TLS团队及时修复了这个问题，确保了在各种编译优化场景下的正确性。