ring项目中的ECDSA签名密钥对解析优化方案

概述

在密码学库ring中，当前处理PKCS#8格式ECDSA签名密钥对的API设计存在一些不足，主要体现在密钥解析过程的效率和灵活性方面。本文将深入分析现有问题，并提出一套改进方案。

当前问题分析

ring库目前处理ECDSA签名密钥对时存在几个关键限制：

1. 算法组合限制：用户只能为每个密钥对指定单一曲线和单一摘要算法组合，而实际应用中经常需要支持多种曲线和多种摘要算法的组合。

2. 签名格式耦合：签名格式(Fixed vs ASN1)与算法组合紧密耦合，导致灵活性不足。

3. 重复解析开销：为支持多种摘要算法，用户(如Rustls)不得不采用变通方法，导致同一密钥需要多次解析。

技术背景

ECDSA(椭圆曲线数字签名算法)是现代密码学中广泛使用的签名方案。其安全性依赖于：

• 椭圆曲线的选择(如P-256、P-384等)
• 使用的哈希算法(如SHA-256、SHA-384等)
• 签名格式(Fixed或ASN1编码)

NIST FIPS-186-5标准明确要求："使用的哈希函数安全强度不应低于与n位长度相关联的安全强度"。这意味着某些曲线和哈希算法的组合是不被允许的。

改进方案设计

核心思想

1. 解耦签名格式：将签名格式从算法定义中分离，改为在签名时指定。
2. 多算法支持：允许在密钥解析时指定多个合法的算法组合。
3. 运行时验证：在签名时验证使用的算法是否在创建密钥时允许的范围内。

具体实现方案

1. 算法定义简化：

   • 移除ECDSA_{x}_{y}_FIXED_SIGNING等常量
   • 引入更通用的ECDSA_{x}_{y}_SIGNING常量

2. 签名API扩展：

   • 新增支持动态指定摘要算法和签名格式的签名方法
   • 在签名时验证算法合规性

3. 密钥存储优化：

   • 在EcdsaKeyPair结构中存储允许的摘要算法位图
   • 使用位图(nth位表示AlgorithmID为n的算法是否允许)高效存储和验证

4. 新PKCS#8解析API：

   • 支持传入多个EcdsaSigningAlgorithm
   • 自动根据密钥曲线筛选合法算法组合

安全考虑

改进方案特别注重以下安全方面：

1. 算法合规性：确保所有使用的曲线和哈希算法组合符合FIPS/NIST要求
2. 明确区分：通过命名清晰标识传统(legacy)算法组合
3. 最小权限：密钥创建时明确指定允许的算法，避免后续误用

兼容性影响

此改进方案将导致API不兼容变更，属于重大版本更新(semver-breaking-change)。具体影响包括：

1. 现有算法常量将被替换
2. 部分API将被弃用
3. 可能需要用户代码调整以适应新设计

结论

通过此改进方案，ring库将提供更灵活、高效的ECDSA密钥处理能力，同时保持高标准的安全性。新设计特别适合需要支持多种算法组合的复杂应用场景，如TLS实现等。

此改进不仅解决了当前API的局限性，还为未来可能的扩展奠定了基础，体现了密码学库设计中安全性与灵活性的平衡艺术。