PolarSSL项目中TLS 1.3多线程安全问题的技术分析

在PolarSSL（现为Mbed TLS）项目中，当启用TLS 1.3协议支持时，即使不显式共享TLS上下文，也可能出现多线程环境下的竞态条件问题。这一现象源于项目内部对PSA（Platform Security Architecture）加密子系统的使用方式。

问题背景

PolarSSL/Mbed TLS默认配置中定义了TLS 1.3协议支持（MBEDTLS_SSL_PROTO_TLS1_3）。根据项目文档说明，当宏MBEDTLS_THREADING_C未定义时，库假定运行在单线程环境或上下文不在线程间共享。然而，实际情况是，TLS 1.3实现强制使用了PSA加密子系统，而PSA内部维护了全局状态。

技术细节

问题的核心在于PSA密钥管理机制。函数psa_get_and_lock_key_slot_in_memory的文档明确指出："如果启用了多线程，调用者必须持有全局密钥槽互斥锁"。但在默认配置下：

1. TLS 1.3始终使用PSA API，无论MBEDTLS_USE_PSA_CRYPTO是否启用
2. 当MBEDTLS_PSA_KEY_STORE_DYNAMIC定义时，密钥存储是动态分配的
3. 关键函数如mbedtls_ssl_tls13_generate_and_write_xxdh_key_exchange会调用PSA接口

在未启用线程安全保护（MBEDTLS_THREADING_C）的情况下，多个线程同时访问PSA子系统（如创建密钥）会导致竞态条件，可能引发各种错误。

影响范围

这一问题的特殊性在于：

1. 影响所有使用TLS 1.3的多线程应用
2. 即使应用不显式共享TLS上下文也会出现问题
3. 默认配置下就会触发，容易被开发者忽略
4. 动态密钥存储（MBEDTLS_PSA_KEY_STORE_DYNAMIC）会扩大竞态条件的窗口

解决方案

项目维护者确认这是文档说明的遗漏，并通过更新文档明确了以下要求：

任何使用PSA的库组件都需要MBEDTLS_THREADING_C来保证线程安全。PSA子系统维护了全局状态，构成了所有访问PSA的线程之间隐式共享的上下文。

对于开发者而言，如果应用需要：

1. 在多线程环境中使用TLS 1.3
2. 或者任何使用PSA加密功能

必须启用MBEDTLS_THREADING_C配置选项，否则无法保证线程安全。这一要求与是否显式共享TLS上下文无关。

最佳实践

基于这一发现，建议开发者：

1. 在多线程环境中使用PolarSSL/Mbed TLS时，始终启用MBEDTLS_THREADING_C
2. 仔细审查项目中所有PSA相关的调用点
3. 在性能敏感场景，考虑使用线程本地存储或其他隔离机制
4. 定期关注项目文档更新，了解线程安全要求的变化

这一案例也提醒我们，在评估加密库的线程安全性时，不仅要关注显式的API上下文，还需要考虑子系统内部的全局状态管理。