PolarSSL项目中MBEDTLS_MD_CAN_SHA384宏向PSA_WANT_ALG_SHA_384的迁移

背景介绍

PolarSSL（现称为Mbed TLS）是一个开源的SSL/TLS实现库，广泛应用于嵌入式系统和安全通信场景。在密码学模块的持续演进过程中，项目正在逐步采用PSA（Platform Security Architecture）加密接口标准，以提供更统一、更安全的密码学抽象层。

宏定义变更的意义

在PolarSSL/Mbed TLS项目中，MBEDTLS_MD_CAN_SHA384宏长期以来被用于条件编译，控制SHA-384哈希算法的支持。随着PSA接口的引入，项目正在将这类算法支持宏统一迁移到PSA_WANT系列宏，其中PSA_WANT_ALG_SHA_384就是对应的新宏。

这种迁移带来几个重要优势：

1. 接口标准化：PSA接口是ARM提出的跨平台安全接口标准，采用统一的前缀和命名规范
2. 功能解耦：PSA宏更清晰地表达了算法需求，而不与特定实现耦合
3. 未来兼容：为将来可能的架构变化和功能扩展做好准备

技术实现细节

宏定义对比

• 旧宏：MBEDTLS_MD_CAN_SHA384

  • 属于MBEDTLS_前缀的宏体系
  • 直接关联到消息摘要(MD)模块的实现能力
  • 控制SHA-384算法在传统接口中的可用性

• 新宏：PSA_WANT_ALG_SHA_384

  • 属于PSA_前缀的宏体系
  • 表达对SHA-384算法的需求
  • 用于PSA加密接口的条件编译

迁移范围

需要注意的是，本次迁移仅针对项目源代码中include目录以外的部分。include目录中的头文件保持原有宏定义，以维持向后兼容性。

测试保障

为确保迁移不影响功能，需要：

1. 保持测试用例的覆盖范围不变
2. 验证所有使用SHA-384的场景
3. 确保性能指标无明显变化
4. 检查边界条件和错误处理

开发者指南

对于使用PolarSSL/Mbed TLS的开发者，在遇到相关代码时应注意：

1. 新项目：建议直接使用PSA_WANT_ALG_SHA_384宏
2. 现有项目：
   • 如果只使用传统接口，可暂时保持不变
   • 如果使用PSA接口或计划迁移，应更新为新的宏
3. 条件编译：在同时支持两种接口的代码中，可能需要同时检查两个宏

总结

从MBEDTLS_MD_CAN_SHA384到PSA_WANT_ALG_SHA_384的迁移是PolarSSL/Mbed TLS项目现代化进程的一部分。这种变化虽然表面上是简单的宏替换，但实际上反映了项目向更标准化、更安全的密码学接口体系演进的方向。开发者理解这一变化背后的设计理念，将有助于更好地使用和维护相关代码。