MbedTLS中PBKDF2-HMAC密钥派生函数的使用注意事项

在使用MbedTLS密码学库进行密钥派生时，开发者可能会遇到MBEDTLS_ERR_MD_BAD_INPUT_DATA(-20736)错误。这个错误通常发生在调用mbedtls_pkcs5_pbkdf2_hmac函数时，根本原因是未正确初始化哈希算法上下文。

问题分析

PBKDF2(Password-Based Key Derivation Function 2)是一种基于密码的密钥派生函数，它使用HMAC伪随机函数来增强安全性。在MbedTLS中实现PBKDF2-HMAC时，必须明确指定使用的哈希算法类型。

常见的错误做法是：

1. 仅初始化md_ctx上下文(mbedtls_md_init)
2. 没有设置具体的哈希算法类型
3. 直接调用mbedtls_pkcs5_pbkdf2_hmac函数

正确实现方式

正确的实现应该包含以下步骤：

// 初始化MD上下文
mbedtls_md_init(&md_ctx);

// 设置具体的哈希算法类型
int ret = mbedtls_md_setup(&md_ctx, mbedtls_md_info_from_type(MBEDTLS_MD_SHA256), 1);
if(ret != 0) {
    // 错误处理
}

// 使用扩展版PBKDF2函数
ret = mbedtls_pkcs5_pbkdf2_hmac_ext(MBEDTLS_MD_SHA256,
                                   (const unsigned char*)password,
                                   strlen(password),
                                   (const unsigned char*)salt,
                                   strlen(salt),
                                   iteration_count,
                                   KEY_SIZE,
                                   key);

或者使用更简单的新版API：

// 直接使用扩展函数，无需手动设置MD上下文
int ret = mbedtls_pkcs5_pbkdf2_hmac_ext(MBEDTLS_MD_SHA256,
                                       (const unsigned char*)password,
                                       strlen(password),
                                       (const unsigned char*)salt,
                                       strlen(salt),
                                       iteration_count,
                                       KEY_SIZE,
                                       key);

关键点说明

1. 哈希算法选择：必须明确指定使用的哈希算法，如MBEDTLS_MD_SHA256

2. 函数选择：

   • mbedtls_pkcs5_pbkdf2_hmac：需要预先配置MD上下文
   • mbedtls_pkcs5_pbkdf2_hmac_ext：简化版，直接指定哈希算法类型

3. 参数验证：

   • 确保password和salt不是NULL指针
   • iteration_count应该足够大(通常≥10000)以增强安全性
   • 输出密钥长度应符合算法要求

安全建议

1. 使用强密码和足够长的随机盐值
2. 迭代次数应足够高(现代应用推荐≥100,000次)
3. 完成后及时清除内存中的敏感数据
4. 考虑使用更现代的密钥派生函数如Argon2(如果环境支持)

通过正确配置哈希算法上下文或使用简化版API，可以避免MBEDTLS_ERR_MD_BAD_INPUT_DATA错误，确保PBKDF2密钥派生过程正常执行。