Mbed TLS中纯PSA客户端配置的优化建议

背景介绍

在Mbed TLS项目中，当使用纯PSA（Platform Security Architecture）客户端配置时，即定义了MBEDTLS_PSA_CRYPTO_CLIENT但未定义MBEDTLS_PSA_CRYPTO_C的情况下，当前实现会对传统的加密配置项进行不必要的调整。这种调整实际上增加了客户端配置的复杂度，而实际上这些调整对于纯客户端配置来说并非必需。

问题分析

在纯PSA客户端配置中，加密操作不会在客户端本地的Mbed TLS实例中实现，而是通过传输层路由到服务端执行。因此，客户端配置中要求传统加密配置项与PSA_WANT_*定义相匹配的约束是不必要的。

具体来说，当前实现中config_adjust_legacy_from_psa.h头文件会根据PSA_WANT_*定义来调整MBEDTLS_*配置项。对于纯客户端配置，这种调整实际上增加了不必要的配置约束。

技术细节

1. PSA客户端配置：当仅定义MBEDTLS_PSA_CRYPTO_CLIENT时，表明这是一个纯PSA客户端配置。

2. 配置调整机制：当前的配置调整机制会强制客户端配置必须满足从PSA_WANT_*派生的传统加密配置要求。

3. 实际需求：在纯客户端场景下，客户端只需要能够正确解析PSA相关的尺寸宏即可，不需要实现相应的加密功能。

优化建议

1. 条件判断优化：当同时满足以下条件时，应跳过对传统加密符号的定义：

   • MBEDTLS_PSA_CRYPTO_CLIENT已定义
   • MBEDTLS_PSA_CRYPTO_C未定义
   • MBEDTLS_PSA_CRYPTO_CONFIG已定义（表示不从传统配置推导PSA配置）
   • MBEDTLS_USE_PSA_CRYPTO已定义（表示PK/X509/TLS仅依赖PSA API）

2. 保留必要配置：仍需保留PSA_WANT_xxx符号的定义，因为这些符号决定了尺寸宏的值，对客户端正确解析PSA相关数据结构至关重要。

实现影响

这种优化将带来以下好处：

1. 简化客户端配置：客户端不再需要维护与传统加密功能相关的冗余配置项。

2. 减少配置错误：消除了因不必要配置约束导致的潜在配置错误。

3. 提高灵活性：使客户端配置更加专注于其实际需要的功能。

注意事项

需要注意的是，这种优化仅适用于加密相关的配置项调整。如果配置调整涉及TLS或X.509相关的配置，这些调整仍需保留，因为它们可能影响客户端的实际功能。

结论

通过对Mbed TLS配置系统的这一优化，可以显著简化纯PSA客户端的配置工作，同时保持系统的完整性和功能性。这种改进特别适用于类似TF-M这样的使用场景，其中客户端和服务端的功能划分非常明确。