PolarSSL项目中PSA接口设计支持可中断ECDH密钥交换的技术解析

背景与需求

在现代密码学应用中，椭圆曲线Diffie-Hellman（ECDH）密钥交换协议因其安全性和效率被广泛采用。然而在资源受限的嵌入式系统中，传统的同步密钥生成操作可能因耗时过长而影响系统实时性。PolarSSL（现为Mbed TLS）项目针对这一需求，通过PSA（Platform Security Architecture）加密接口实现了**可中断的临时ECDH（Ephemeral ECDH）**操作，允许密钥生成过程被安全暂停和恢复。

技术实现要点

1. 可中断密钥对生成设计

传统ECDH密钥对生成是一个原子操作，而新设计将其分解为多阶段状态机：

• 初始化阶段：通过psa_key_derivation_setup()设置密钥派生参数
• 分步计算阶段：利用psa_interruptible_operation_t结构体保存中间状态
• 恢复机制：当系统资源允许时，从保存点继续未完成的椭圆曲线点乘运算

这种设计显著降低了单次CPU时间占用，使系统能够响应高优先级中断。

2. PSA接口扩展

项目为PSA加密API新增了两类核心接口：

• 密钥对生成控制接口：

  psa_status_t psa_interruptible_key_pair_generate(
      psa_key_derivation_operation_t *operation,
      psa_key_attributes_t *attributes,
      psa_key_id_t *key_id);
  

• 原始密钥协商接口：

  psa_status_t psa_raw_key_agreement(
      psa_algorithm_t alg,
      psa_key_id_t private_key,
      const uint8_t *peer_key,
      size_t peer_key_length,
      uint8_t *output,
      size_t output_size,
      size_t *output_length);
  

3. 安全性与状态管理

实现中特别注重：

• 所有中间状态均通过PSA安全域保护
• 每次操作中断前自动清除敏感寄存器内容
• 提供确定性的最大操作步骤计数，防止侧信道攻击

应用场景

该特性特别适用于：

• 实时操作系统中的安全通信模块
• 电池供电设备的节能密钥协商
• 需要满足FIPS 140-3认证的安全设备

实现验证

通过新增的测试套件验证了：

• 中断恢复后的结果一致性
• 并行操作隔离性
• 边界条件下的错误处理

这项改进使PolarSSL/Mbed TLS在保持高安全性的同时，更好地适应了嵌入式实时系统的需求，为IoT设备的安全通信提供了更灵活的底层支持。