Mbed TLS中ECDSA签名DER格式与原始格式的转换解析

概述

在嵌入式安全领域，ECDSA(椭圆曲线数字签名算法)是广泛使用的数字签名方案。Mbed TLS作为轻量级加密库，在嵌入式系统中有着广泛应用。本文将深入探讨ECDSA签名在DER格式和原始格式之间的转换问题，这是嵌入式硬件协处理器集成中的常见需求。

ECDSA签名格式差异

ECDSA签名实际上由两个大整数组成，通常称为r和s分量。在实际应用中，这两种格式最为常见：

1. DER格式：ASN.1编码的可变长度格式，包含完整的结构信息
2. 原始格式：固定长度的二进制串，直接串联r和s分量

嵌入式硬件协处理器通常需要原始格式的输入，因为：

• 硬件设计更简单，处理固定长度数据更容易
• 减少软件预处理的开销
• 与硬件寄存器宽度匹配更好

Mbed TLS的解决方案

自Mbed TLS 3.6.0版本起，库中提供了两个关键API函数来处理这种转换：

1. mbedtls_ecdsa_raw_to_der：将原始格式(r,s)转换为DER格式
2. mbedtls_ecdsa_der_to_raw：将DER格式转换为原始格式(r,s)

这些函数位于psa_util.h头文件中，属于PSA(Platform Security Architecture)兼容层的一部分。

转换实现细节

DER到原始格式的转换过程实际上包含以下步骤：

1. 解析ASN.1序列结构
2. 提取r和s两个MPI(多精度整数)分量
3. 将MPI转换为固定长度的字节串
4. 串联两个分量形成原始签名

原始到DER格式的转换则是逆过程：

1. 分离原始签名为r和s分量
2. 将字节串转换为MPI
3. 构建ASN.1序列结构
4. 编码为DER格式

现代嵌入式开发的建议

对于新项目开发，建议直接使用PSA API而非传统的PK接口，原因包括：

1. 更好的硬件协处理器支持
2. 更统一的接口设计
3. 面向未来的兼容性(Mbed TLS 4.0将仅保留PSA API)

PSA API中的psa_sign_hash和psa_verify_hash函数默认使用原始格式处理ECDSA签名，这正符合大多数硬件协处理器的需求。

实际应用考虑

在实际嵌入式系统集成时，开发者需要注意：

1. 缓冲区大小的合理分配
2. 字节序问题(特别是跨平台时)
3. 错误处理机制
4. 性能优化(避免频繁转换)

通过合理使用Mbed TLS提供的转换接口，开发者可以轻松桥接软件算法和硬件协处理器，构建高效安全的嵌入式系统。