Mbed TLS项目中SHA3算法宏定义的演进与替换

背景概述

在密码学库Mbed TLS的持续演进过程中，代码库正在进行一系列现代化改造，其中包括将传统的算法选择宏定义逐步迁移到PSA（Platform Security Architecture）框架下的新宏定义系统。本次变更聚焦于SHA3系列哈希算法的宏定义替换工作。

宏定义替换的具体内容

本次变更涉及将以下传统宏定义替换为PSA框架下的对应宏：

• MBEDTLS_MD_CAN_SHA3_224 → PSA_WANT_ALG_SHA3_224
• MBEDTLS_MD_CAN_SHA3_256 → PSA_WANT_ALG_SHA3_256
• MBEDTLS_MD_CAN_SHA3_384 → PSA_WANT_ALG_SHA3_384
• MBEDTLS_MD_CAN_SHA3_512 → PSA_WANT_ALG_SHA3_512

值得注意的是，这一替换仅限于非include目录下的代码，保持了头文件接口的向后兼容性。

技术演进的意义

1. 统一配置系统

PSA框架提供了更加统一和标准化的算法选择机制。通过使用PSA_WANT_前缀的宏定义，开发者可以更清晰地表达对特定算法的需求，这与Mbed TLS向PSA架构迁移的整体战略保持一致。

2. 功能与需求的明确区分

传统MBEDTLS_MD_CAN_宏定义暗示了"能力"的概念，而新的PSA_WANT_宏则明确表达了"需求"，这种语义上的转变使得代码意图更加清晰，有助于静态分析和构建系统的优化。

3. 测试保障机制

在替换过程中，特别强调了确保测试覆盖和测试行为的一致性。这意味着：

• 所有使用这些宏定义的测试用例都需要相应更新
• 测试范围和深度应保持不变
• 测试通过标准需与变更前一致

对开发者的影响

对于使用Mbed TLS的开发者来说，这一变更主要影响以下场景：

1. 自定义配置：如果开发者有自定义的构建配置，需要相应更新SHA3相关算法的宏定义。

2. 条件编译代码：项目中使用这些宏进行条件编译的代码部分需要更新宏定义名称。

3. 测试验证：虽然内部测试会确保功能一致性，但开发者自己的测试套件可能需要相应调整。

实施建议

对于正在迁移到新版本Mbed TLS的项目，建议：

1. 全局搜索项目中使用的旧宏定义，确保完全替换。

2. 检查构建系统配置，确保新的PSA宏得到正确定义。

3. 验证所有依赖SHA3算法的功能模块，特别是：

   • 哈希计算
   • 数字签名
   • 消息认证码(MAC)
   • 密钥派生

4. 更新项目文档中关于算法配置的相关说明。

未来展望

这一变更是Mbed TLS向PSA架构全面迁移的一部分，预计未来会有更多传统宏定义被PSA框架下的新宏所取代。开发者应当关注这一趋势，逐步将项目代码迁移到新的配置系统上，以获得更好的安全性和可维护性。