Botan密码库3.7.1版本在NixOS中的构建经验分享
背景介绍
Botan是一个现代化的C++密码库,提供了广泛的加密算法实现。近期在NixOS系统中构建Botan 3.7.1版本时,我们遇到了一些值得分享的技术问题和解决方案。
构建过程中的关键发现
1. TPM2模块的构建问题
当启用TPM2支持(--with-tpm2)时,构建环境中的测试会失败,原因是缺少TPM设备节点(/dev/tpmrm0或/dev/tmp0)。这提示我们需要考虑在测试阶段增加设备存在性检查,或者将这些测试标记为可选。
解决方案是显式启用所有相关的TPM2模块:
--with-tpm2
--enable-module=tpm2_rsa
--enable-module=tpm2_ecc
--enable-module=tpm2_crypto_backend
2. BSI策略下的FFI模块
使用BSI模块策略(--module-policy=bsi)时,FFI模块默认被禁用,这会影响botan-rs绑定和strongswan IPsec插件的使用。这不是BSI策略的故意限制,而是模块策略的工作机制导致的。
在BSI策略下,任何未明确列出的模块都不会被默认启用。FFI模块属于这种情况,因为BSI TR规范没有对C与C++ API的使用做出特别规定。
3. 现代模块策略的问题
使用现代模块策略(--module-policy=modern)时,x509单元测试会因SHAKE-256哈希不可用而失败。这表明现代策略可能需要更新以包含更多现代密码算法支持。
4. 模块启用策略的变化
值得注意的是,Botan的模块启用策略发生了变化。例如,tls模块现在被标记为仅供内部使用,需要使用tls13_pqc替代。这反映了项目对模块分类的重新思考。
技术建议
-
对于TPM2支持,建议构建系统显式启用所有相关子模块,而不仅仅是基础支持。
-
使用模块策略时,需要特别注意哪些模块需要额外启用。BSI策略下,FFI等模块不会自动启用。
-
测试环境应考虑设备依赖性问题,特别是硬件相关的测试用例。
-
模块策略系统可能需要进一步优化,以提供更好的用户体验和更直观的模块管理方式。
总结
Botan作为一个功能丰富的密码库,在构建和配置上提供了很大的灵活性。通过这次在NixOS中的构建经验,我们看到了模块策略系统的一些边界情况,也发现了TPM2支持等功能的配置细节。这些经验对于在其他发行版中部署Botan也有参考价值。
随着密码学技术的不断发展,我们期待Botan的模块策略系统能够进一步演进,提供更直观的配置体验,同时保持其安全性和灵活性。
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。C0120
let_datasetLET数据集 基于全尺寸人形机器人 Kuavo 4 Pro 采集,涵盖多场景、多类型操作的真实世界多任务数据。面向机器人操作、移动与交互任务,支持真实环境下的可扩展机器人学习00
mindquantumMindQuantum is a general software library supporting the development of applications for quantum computation.Python059
PaddleOCR-VLPaddleOCR-VL 是一款顶尖且资源高效的文档解析专用模型。其核心组件为 PaddleOCR-VL-0.9B,这是一款精简却功能强大的视觉语言模型(VLM)。该模型融合了 NaViT 风格的动态分辨率视觉编码器与 ERNIE-4.5-0.3B 语言模型,可实现精准的元素识别。Python00
GLM-4.7-FlashGLM-4.7-Flash 是一款 30B-A3B MoE 模型。作为 30B 级别中的佼佼者,GLM-4.7-Flash 为追求性能与效率平衡的轻量化部署提供了全新选择。Jinja00
项目优选
kernel
docs
pytorch
flutter_flutterkernel
ops-math
cangjie_compiler
ohos_react_native
leetcode
Dora-SSR