Mbed TLS中ECDSA签名DER格式与原始R/S组件的转换

概述

在嵌入式安全领域，Mbed TLS是一个广泛使用的加密库。当使用ECDSA(椭圆曲线数字签名算法)时，签名可以有两种表示形式：DER编码格式和原始R/S组件格式。这两种格式在嵌入式安全协处理器应用中有着不同的用途和需求。

DER格式与原始R/S格式的区别

ECDSA签名本质上由两个大整数组成，通常称为R和S。在实际应用中，这两种组件的表示方式有所不同：

1. DER格式：一种ASN.1编码的可变长度格式，包含完整的签名信息。这种格式在协议传输和存储时更为常见，因为它具有自描述性。

2. 原始R/S格式：将R和S组件分别表示为固定长度的字节串。这种格式通常用于安全协处理器，因为大多数硬件加密引擎需要固定长度的输入。

Mbed TLS中的转换API

从Mbed TLS 3.6.0版本开始，库中提供了两个关键函数来处理这两种格式之间的转换：

1. mbedtls_ecdsa_raw_to_der：将原始R/S格式转换为DER编码格式
2. mbedtls_ecdsa_der_to_raw：将DER编码格式转换为原始R/S格式

这些函数解决了嵌入式开发者在使用安全协处理器时的一个常见痛点：硬件通常需要固定长度的R/S组件输入，而协议层通常使用DER格式传输签名。

应用场景

1. 安全协处理器集成：当使用带有ECDSA加速功能的硬件安全模块(HSM)或加密协处理器时，通常需要将DER格式的签名转换为原始R/S组件才能输入到硬件中。

2. 协议实现：在实现TLS等协议时，收到的签名通常是DER格式的，而某些内部处理可能需要原始的R/S组件。

3. 签名验证优化：在某些性能敏感的场景下，直接使用R/S组件可能比解析DER格式更高效。

最佳实践

对于新项目，建议使用PSA(Platform Security Architecture)API而不是传统的PK API。PSA API在设计时就考虑了安全协处理器的支持，并且在Mbed TLS的未来版本中将成为主要的加密API。PSA API中的psa_sign_hash和psa_verify_hash函数默认使用固定大小的R/S格式处理ECDSA签名，这简化了与安全协处理器的集成。

总结

Mbed TLS提供的ECDSA签名格式转换功能为嵌入式安全开发者提供了更大的灵活性，特别是在安全协处理器集成方面。了解这些API的使用场景和限制可以帮助开发者构建更高效、更安全的嵌入式系统。随着Mbed TLS向PSA API的演进，开发者应该考虑逐步迁移到新的API以获得更好的硬件支持和未来兼容性。