首页
/ Mbed TLS项目中密码算法宏定义的演进与优化

Mbed TLS项目中密码算法宏定义的演进与优化

2025-06-05 05:18:04作者:邬祺芯Juliet

背景介绍

在现代密码学库Mbed TLS的开发过程中,随着PSA(Platform Security Architecture)加密API的引入,项目组正在逐步重构和优化代码中的宏定义系统。近期开发团队针对SSL/TLS模块中使用的传统宏定义展开了深入讨论,特别是那些用于控制密码算法支持的宏定义。

传统宏定义系统的问题

Mbed TLS早期版本中使用了多种宏定义来控制不同密码算法的支持情况,主要包括三类:

  1. 基础密码模式宏:如MBEDTLS_CIPHER_MODE_CBC,直接控制是否编译特定密码模式的支持代码
  2. SSL专用宏:如MBEDTLS_SSL_HAVE_CBC,在SSL/TLS模块内部使用,考虑了PSA使用情况
  3. 密码套件宏:如MBEDTLS_SSL_SOME_SUITES_USE_CBC,涉及更高级的TLS协议层决策

这种多层次的宏定义系统虽然灵活,但也带来了复杂性和潜在的混淆。特别是随着PSA API的成熟,部分传统宏定义已经可以被更统一的PSA_WANT系列宏替代。

宏定义重构的技术考量

开发团队经过深入讨论,明确了不同类型宏定义的作用和演进方向:

  1. 基础密码模式宏:这些宏不考虑PSA使用情况,仅适用于传统加密API路径。随着PSA成为默认选项,这类宏将逐步被淘汰。

  2. SSL专用HAVE宏:如MBEDTLS_SSL_HAVE_CBC等,本质上是PSA感知版本的密码算法可用性检查。它们可以直接被对应的PSA_WANT宏替代,例如:

    • MBEDTLS_SSL_HAVE_CBCPSA_WANT_ALG_CBC_NO_PADDING
    • MBEDTLS_SSL_HAVE_GCMPSA_WANT_ALG_GCM
    • MBEDTLS_SSL_HAVE_CCMPSA_WANT_ALG_CCM
    • MBEDTLS_SSL_HAVE_CHACHAPOLYPSA_WANT_ALG_CHACHA20_POLY1305
  3. 密码套件决策宏:如MBEDTLS_SSL_SOME_SUITES_USE_CBC,包含了TLS协议特定的逻辑,这类宏需要保留并进一步优化。

未来架构演进方向

虽然当前可以安全地用PSA_WANT宏替换部分SSL专用宏,但开发团队已经规划了更长期的架构改进:

  1. 分离密码算法可用性与协议使用决策:未来版本将允许用户独立配置密码算法的可用性(通过PSA_WANT)和在TLS协议中的使用(通过新的TLS专用宏)。

  2. 更精细的TLS配置控制:特别是对于TLS 1.3,计划提供每个密码套件的独立控制选项,而不仅仅是算法级别的控制。

  3. 减少不必要的代码包含:优化条件编译,确保当某些算法在TLS中被禁用时,相关支持代码能真正被排除在编译结果之外。

实施建议与注意事项

对于开发者而言,在进行相关代码修改时需要注意:

  1. 替换范围应排除配置文件(如mbedtls_config.h)和配置调整文件
  2. 需要确保测试覆盖率保持不变
  3. 对于MBEDTLS_SSL_HAVE_AEAD这类复合宏,需要保留其特殊逻辑
  4. 修改时应仔细验证每个宏替换的语义等价性

这项重构工作是Mbed TLS向更统一、更模块化架构演进的重要一步,为未来版本中加密功能与协议实现的更清晰分离奠定了基础。

登录后查看全文
热门项目推荐
相关项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
153
1.98 K
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
505
42
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
194
279
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
992
395
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
938
554
communitycommunity
本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
332
11
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
146
191
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Python
75
70