Mbed-TLS项目中示例程序的清理与重构策略

背景与目标

Mbed-TLS作为一款广泛使用的加密库，随着版本演进到3.6/4.0，需要对项目中的示例程序进行系统性的评估和整理。本文分析了项目中所有示例程序的去留决策，为开发者提供清晰的升级路径。

程序分类处理方案

X.509相关程序

X.509证书管理工具组将基本保留，包括：

• load_roots.c：证书链加载工具
• req_app.c：证书请求处理工具
• crl_app.c：CRL处理工具

需要调整随机数生成器的程序：

• cert_app.c：证书管理工具
• cert_req.c：CSR生成工具
• cert_write.c：证书签发工具

密钥管理程序

保留PSA-ready的工具：

• pk_verify.c：公钥验证工具
• rsa_verify_pss.c：PSS签名验证工具（需移除少量rsa相关代码）

需要重写的关键工具：

• gen_key.c：密钥生成工具（将改用PSA API实现）

淘汰的旧工具：

• rsa_genkey.c：旧式RSA密钥生成
• dh_genprime.c：自定义DH参数生成
• mpi_demo.c：大数运算演示

测试与基准程序

保留的核心测试工具：

• query_included_headers.c：头文件检查工具
• zeroize.c：内存清零测试工具
• udp_proxy.c：网络代理测试工具

需要重构的重要工具：

• benchmark.c：性能基准测试（将迁移至TF-PSA-Crypto）

加密演示程序

淘汰的旧式演示：

• crypt_and_hash.c：旧式加密哈希组合
• md_hmac_demo.c：旧式HMAC演示
• cipher_aead_demo.c：旧式AEAD演示

SSL/TLS相关程序

需要调整的核心工具：

• ssl_client1/2.c：TLS客户端测试工具
• ssl_server.c：TLS服务端测试工具
• dtls_client/server.c：DTLS测试工具

保留的特殊用途工具：

• ssl_mail_client.c：邮件客户端TLS实现
• ssl_pthread_server.c：多线程服务端测试

技术决策要点

1. API演进适配：所有使用旧式随机数生成器的程序都需要改用PSA Crypto API

2. 功能价值评估：

   • 保留具有实际使用价值的证书管理工具
   • 淘汰仅用于演示旧API的示例程序
   • 保留对开发和测试有实际帮助的工具

3. 渐进式迁移策略：

   • 对复杂工具如benchmark采用分阶段改造
   • 优先保证关键测试工具链的可用性

4. 架构合理化：

   • 将仍需要旧API的工具迁移到TF-PSA-Crypto
   • 清理不再相关的平台特定代码（如wince_main.c）

实施建议

开发团队应按照以下优先级执行改造：

1. 首先处理X.509和密钥管理工具链，确保基本功能可用性
2. 然后更新SSL/TLS测试工具，保证测试覆盖率
3. 最后处理基准测试和特殊用途工具

对于需要重写的程序，建议先建立对应的PSA API实现，再进行替换，确保平稳过渡。所有删除操作应统一批量执行，减少对代码库的扰动。