Botan密码库3.7.1版本在NixOS中的构建经验分享

背景介绍

Botan是一个现代化的C++密码库，提供了广泛的加密算法实现。近期在NixOS系统中构建Botan 3.7.1版本时，我们遇到了一些值得分享的技术问题和解决方案。

构建过程中的关键发现

1. TPM2模块的构建问题

当启用TPM2支持(--with-tpm2)时，构建环境中的测试会失败，原因是缺少TPM设备节点(/dev/tpmrm0或/dev/tmp0)。这提示我们需要考虑在测试阶段增加设备存在性检查，或者将这些测试标记为可选。

解决方案是显式启用所有相关的TPM2模块：

--with-tpm2
--enable-module=tpm2_rsa
--enable-module=tpm2_ecc
--enable-module=tpm2_crypto_backend

2. BSI策略下的FFI模块

使用BSI模块策略(--module-policy=bsi)时，FFI模块默认被禁用，这会影响botan-rs绑定和strongswan IPsec插件的使用。这不是BSI策略的故意限制，而是模块策略的工作机制导致的。

在BSI策略下，任何未明确列出的模块都不会被默认启用。FFI模块属于这种情况，因为BSI TR规范没有对C与C++ API的使用做出特别规定。

3. 现代模块策略的问题

使用现代模块策略(--module-policy=modern)时，x509单元测试会因SHAKE-256哈希不可用而失败。这表明现代策略可能需要更新以包含更多现代密码算法支持。

4. 模块启用策略的变化

值得注意的是，Botan的模块启用策略发生了变化。例如，tls模块现在被标记为仅供内部使用，需要使用tls13_pqc替代。这反映了项目对模块分类的重新思考。

技术建议

1. 对于TPM2支持，建议构建系统显式启用所有相关子模块，而不仅仅是基础支持。

2. 使用模块策略时，需要特别注意哪些模块需要额外启用。BSI策略下，FFI等模块不会自动启用。

3. 测试环境应考虑设备依赖性问题，特别是硬件相关的测试用例。

4. 模块策略系统可能需要进一步优化，以提供更好的用户体验和更直观的模块管理方式。

总结

Botan作为一个功能丰富的密码库，在构建和配置上提供了很大的灵活性。通过这次在NixOS中的构建经验，我们看到了模块策略系统的一些边界情况，也发现了TPM2支持等功能的配置细节。这些经验对于在其他发行版中部署Botan也有参考价值。

随着密码学技术的不断发展，我们期待Botan的模块策略系统能够进一步演进，提供更直观的配置体验，同时保持其安全性和灵活性。