Mbed-TLS项目中PSA Crypto客户端的配置优化分析

背景介绍

在Mbed-TLS密码学库中，PSA（Platform Security Architecture）Crypto接口提供了一种标准化的方式来访问密码学服务。当构建一个纯PSA客户端配置时（即定义了MBEDTLS_PSA_CRYPTO_CLIENT但未定义MBEDTLS_PSA_CRYPTO_C），当前的实现会对传统的MBEDTLS_*配置项进行调整，这实际上是不必要的。

问题本质

在纯客户端配置下，密码学操作不会在客户端本地的Mbed-TLS实例中实现，而是通过传输层路由到服务端执行。因此，当前实现中对传统密码学配置项的调整实际上给客户端配置增加了不必要的约束条件。

理想情况下，对于仅执行PSA Crypto API的纯客户端配置，唯一必需的配置项应该是定义MBEDTLS_PSA_CRYPTO_CLIENT。然而，客户端仍然需要定义正确的PSA_WANT_*项，以确保头文件能正确推导出宏的大小。

技术细节

当同时满足以下条件时，系统不应定义传统的密码学符号：

1. MBEDTLS_PSA_CRYPTO_CLIENT && !MBEDTLS_PSA_CRYPTO_C（仅客户端PSA）
2. MBEDTLS_PSA_CRYPTO_CONFIG（不从传统配置推导PSA配置）
3. MBEDTLS_USE_PSA_CRYPTO（在PK/X509/TLS中仅依赖PSA API）

实际影响

当前的实现会导致：

1. 客户端配置必须提供有效的本地Mbed-TLS配置
2. 这些本地配置必须匹配PSA_WANT_*的要求
3. 增加了不必要的配置复杂性

解决方案建议

建议修改实现，使得在纯PSA客户端配置下：

1. 仅保留PSA_WANT_*相关的配置要求
2. 移除对传统MBEDTLS_*密码学配置项的调整
3. 保持对TLS/X.509相关配置的调整（如果存在）

总结

这一优化将简化纯PSA客户端配置的构建过程，减少不必要的配置约束，同时保持系统的安全性和功能性。对于像TF-M这样的使用场景特别有益，可以降低配置复杂度并提高开发效率。