ARMmbed/mbedtls项目中PSA加密功能的使用指南-CSDN博客

本文链接：https://blog.csdn.net/gitblog_00526/article/details/148488678

ARMmbed/mbedtls项目中PSA加密功能的使用指南

mbedtls 项目地址: https://gitcode.com/gh_mirrors/mbe/mbedtls

概述

在ARMmbed/mbedtls项目中，MBEDTLS_USE_PSA_CRYPTO是一个重要的编译时配置选项，它决定了X.509和TLS库如何利用PSA（Platform Security Architecture）加密架构。本文将深入解析这一选项的功能、应用场景及最佳实践。

PSA加密架构简介

PSA是ARM提出的一套安全架构规范，旨在为嵌入式设备提供标准化的安全接口。在mbedtls中实现PSA加密功能，可以带来以下优势：

更好的硬件加速支持
密钥隔离增强安全性
统一的加密接口
更简单的安全认证流程

核心配置选项解析

MBEDTLS_USE_PSA_CRYPTO

这是本文讨论的核心选项，它主要影响三个模块：

PK模块（公钥加密）
X.509证书处理
TLS协议实现

启用此选项后，这些模块会尽可能使用PSA加密API执行操作。

与MBEDTLS_PSA_CRYPTO_C的关系

这两个选项密切相关但有区别：

MBEDTLS_PSA_CRYPTO_C：启用PSA Crypto API的实现
MBEDTLS_USE_PSA_CRYPTO：使X.509和TLS尽可能使用PSA Crypto

使用前的准备工作

启用MBEDTLS_USE_PSA_CRYPTO后，必须在使用PK、X.509或TLS模块前调用psa_crypto_init()进行初始化：

#include "psa/crypto.h"

int main() {
    psa_status_t status = psa_crypto_init();
    if (status != PSA_SUCCESS) {
        // 处理初始化失败
        return -1;
    }
    
    // 现在可以安全使用PK/X.509/TLS功能
    ...
}

新增API及功能扩展

1. PSA密钥在PK层的使用

核心API：mbedtls_pk_setup_opaque()

这个函数允许将PSA密钥包装成PK上下文，便于在现有API中使用：

mbedtls_pk_context pk;
psa_key_id_t key_id = ...; // 从PSA获取的密钥ID

mbedtls_pk_init(&pk);
int ret = mbedtls_pk_setup_opaque(&pk, key_id);
if (ret != 0) {
    // 错误处理
}

应用场景：

证书签名验证
CSR生成
证书签发

2. TLS预共享密钥(PSK)支持

新增API：

mbedtls_ssl_conf_psk_opaque()
mbedtls_ssl_set_hs_psk_opaque()

使用示例：

psa_key_id_t psk_key = ...; // 预共享密钥的PSA密钥ID
unsigned char psk_identity[] = "client_identity";

ret = mbedtls_ssl_conf_psk_opaque(&conf, psk_key, psk_identity, 
                                 sizeof(psk_identity) - 1);