ARMmbed/mbedtls项目中的驱动专用构建指南

于 2025-06-07 09:06:23 发布
阅读量247 收藏 4
点赞数 4
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00602/article/details/148488676

ARMmbed/mbedtls项目中的驱动专用构建指南

mbedtls mbedtls 项目地址: https://gitcode.com/gh_mirrors/mbe/mbedtls

概述

在嵌入式系统开发中,为了优化代码大小或利用硬件加速模块,开发者可能需要构建仅通过PSA驱动提供加密功能的Mbed TLS版本。本文将详细介绍如何在ARMmbed/mbedtls项目中配置驱动专用构建,以及相关的技术细节和注意事项。

基本概念

驱动专用构建是指Mbed TLS中某些加密机制完全由PSA驱动提供,而不包含内置实现。这种方式特别适用于以下场景:

  1. 使用硬件加速模块提高性能
  2. 采用针对代码大小优化的替代软件实现
  3. 需要减少固件体积的嵌入式应用

配置基础

必备编译选项

要启用驱动专用构建,需要配置以下编译选项:

  1. MBEDTLS_PSA_CRYPTO_C(默认启用):启用PSA加密功能
  2. MBEDTLS_USE_PSA_CRYPTO(默认禁用):使PK、X.509和TLS模块使用PSA加密
  3. MBEDTLS_PSA_CRYPTO_CONFIG(默认禁用):通过PSA_WANT宏配置加密算法

机制配置步骤

对于每个仅由驱动提供的加密机制,需要:

  1. psa/crypto_config.h中定义对应的PSA_WANT
  2. 在构建中定义对应的MBEDTLS_PSA_ACCEL
  3. mbedtls/mbedtls_config.h中取消定义对应的MBEDTLS_xxx_C

例如,要仅通过驱动提供SHA-256,需要:

  • 定义PSA_WANT_ALG_SHA_256MBEDTLS_PSA_ACCEL_SHA_256
  • 取消定义MBEDTLS_SHA256_C

运行时注意事项

在使用驱动专用机制前,必须调用psa_crypto_init()进行初始化。这已经是PSA加密API的基本要求,当启用MBEDTLS_USE_PSA_CRYPTO时,PK、X.509和TLS模块也需遵循此要求。

支持的加密机制

哈希算法

所有哈希操作都可以仅由驱动提供,包括:

  • SHA-3、SHA-2、SHA-1、MD5等

配置示例:

#define PSA_WANT_ALG_SHA_256
#define MBEDTLS_PSA_ACCEL_ALG_SHA_256
// 取消定义MBEDTLS_SHA256_C

HMAC

HMAC也可以加速,需要:

  1. 启用并加速HMAC算法和密钥类型
  2. 按照哈希部分配置所需的哈希算法

椭圆曲线密码学(ECC)

大多数ECC操作可以仅由驱动提供,包括:

  • ECDH、ECDSA和EC J-PAKE算法
  • 密钥导入、导出和随机生成

配置ECC时需注意:

  1. 必须为所有启用的ECC曲线提供驱动支持
  2. 可以禁用MBEDTLS_ECP_CMBEDTLS_BIGNUM_C以进一步减小代码大小

有限域Diffie-Hellman(FFDH)

配置方式与ECC类似,但需要注意:

  • PSA API仅支持RFC 7919定义的群组
  • 传统API支持自定义群组

RSA

所有RSA操作都可以仅由驱动提供,但目前存在限制:

  • 仅PSA加密API可用
  • PK、X.509和TLS模块不支持驱动专用RSA

密码算法(认证和非认证)

所有密码和AEAD操作都可以仅由驱动提供,包括:

  • AES、ARIA、Camellia等密钥类型
  • CBC、CTR、GCM等多种模式

限制与注意事项

ECC限制

  1. 完全移除ecp.c的限制:

    • 解析压缩格式ECC密钥
    • 解析显式参数曲线
    • 确定性派生ECC密钥对

  2. 可中断操作:

    • 目前不支持驱动提供的可中断ECC操作

密码算法限制

  1. 部分传统模块需要内置实现:

    • NIST密钥包装(MBEDTLS_NIST_KW_C)
    • CMAC(MBEDTLS_CMAC_C)
    • 传统密码API(MBEDTLS_CIPHER_C)

  2. 密钥解析限制:

    • 只能解析使用内置算法加密的密钥

最佳实践

  1. 明确需求:确定哪些算法需要驱动专用实现
  2. 逐步验证:先验证PSA API功能,再测试上层模块
  3. 代码审查:检查所有依赖关系,确保没有意外依赖内置实现
  4. 性能测试:比较驱动实现与内置实现的性能差异

结论

ARMmbed/mbedtls的驱动专用构建功能为嵌入式开发者提供了更大的灵活性,可以在代码大小和性能之间做出最优选择。通过合理配置,开发者可以充分利用硬件加速模块或优化的软件实现,同时保持与标准Mbed TLS API的兼容性。

随着Mbed TLS的持续发展,预计未来会有更多加密机制支持完整的驱动专用构建,为嵌入式安全应用提供更多可能性。

mbedtls mbedtls 项目地址: https://gitcode.com/gh_mirrors/mbe/mbedtls

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

mbedtls | 01 - 移植mbedtls库到STM32的两种方法
Mculover666的博客(嵌入式)
09-19 1万+
一、mbedtls 开源库 1. mbedtls是什么 Mbed TLS是一个开源、可移植、易于使用、代码可读性高的SSL库。可实现加密原语,X.509证书操作以及SSL / TLS和 DTLS 协议,它的代码占用空间小,非常适合用于嵌入式系统。 mbedtls遵循 Apache 2.0 开源许可协议,目前由 TrustedFirmware 维护(Linaro主持的一个治理开放社区项目),在Github上已收获 2.6k star,目前Github上发布的最新版本为 2.24.0 版本,开源仓库地址为:
mbedtls | 05 - 消息认证码的配置与使用(HMAC算法、GCM算法)
Mculover666的博客(嵌入式)
09-26 2922
mbedtls系列文章 mbedtls | 01 - 移植mbedtls库到STM32的两种方法 mbedtls | 02 - 伪随机数生成器(ctr_drbg)的配置与使用 mbedtls | 03 - 单向散列算法的配置与使用(MD5、SHA1、SHA256、SHA512) mbedtls | 04 - 对称加密算法的配置与使用(AES算法) Demo工程源码 https://github.com/Mculover666/mbedtls-study-demo 本工程基于STM32L41RCT6开
Mbed Crypto 和 MbedTLS 使用方法
John Lee 的专栏
08-12 2377
看了下这两个库的源码,好像是一样的,MbedTLS更新的时间比较近一些,先用这个库试试。 什么是 Mbed Crypto Mbed Crypto 的是一个开源的加密库,支持很多种加密方式,包括 密钥管理 哈希 对称加密 非对称加密 消息身份验证 密钥生成和分发 带关联数据的加密认证 Mbed Crypto库是Arm平台安全架构(PSA)加密接口的参考实现。 它是用可移植的C语言编写的。 Mbed Crypto库是在Apache许可证下发布的,版本2.0。 什么是平台安全架构(PSA) Arm的平台安
mbedtls学习--平台安全架构库函数接口
言京的博客
07-08 2984
TF-M是PSA的一种实现方式,主要基于ARM Cortex-M系列的芯片,除此之外还有TF-A等。[Mbedtls](https://tls.mbed.org/)也是ARM维护的基于ARM平台的开源嵌入式加密库,现已是[trust-frimware](https://www.trustedfirmware.org/)的一部分,除了基本的各类加解密算法及安全工具箱的实现,为方便嵌入式开发人员快速编写符合PSA规范的代码,mbedtls提供了各类安全工具的调用接口。源代码见mbdetls/library/ps
MbedTLS 3.0.0
seraph_hh的博客
10-25 900
MbedTLS被ARM收购以后不知不觉已经走到了3.0.0,MbedTLS库也已经从openSSL库的替代者转型成为PSA平台实现的一部分。 目前关于PSA部分的文章大多是基于官方给出的使用测试案例和trusted-firmware框架,关于PSA实现的具体实现讲的比较少,这里基于我浅薄的研究,投石问路,希望能给大家在安全产品设计设计中带来一些启发。 crypto.h是这个PSA实现部分的关键头文件,在这个头文件中定义了平台安全实现需要展现给大家的核心要素...
mbedTLS简介
HORHEART的博客
08-28 1万+
mbedTLS简介mbedTLS的背景介绍关于mbedTLS的简要概括mbedTLS常用结构体1. 公钥算法类型mbedtls_pk_type_t2. 摘要算法类型mbedtls_md_type_t3. 公钥上下文mbedtls_pk_context4. 解析证书得到的mbedtls_pk_info_tmbedTLS使用事例mbedTLS_API分析参考文章 mbedTLS的背景介绍 MbedTLS前身是开源加密算法库PolarSLL,现已被arm公司收购并由arm技术团队进行维护更新,是对TLS和SSL协
对称加密算法AES的MbedTLS代码实现Demo
mickey2007的博客
12-09 928
AES (Advanced Encryption Standard) 加密算法就是一种广泛使用的对称加密算法。该算法用来替代原先的DES,已经被多方分析且广为全世界所使用。经过五年的甄选流程,AES由美国国家标准与技术研究院(NIST)于2001年11月26日发布于FIPS PUB 197,并在2002年5月26日成为有效的标准。2006年,AES已然成为对称密钥加密中最流行的算法之一。
mbedtls移植体验
最新发布
01-19
git clone https://github.com/ARMmbed/mbedtls.git 2、下载编写程序的模板 (我自己的/通用的) git clone https://gitee.com/baron_zz/code_template.git 3、拷贝native_c_template命名为mbedtls_test cp native_c_...
mbedtls 2.16.0
03-04
官方GitHub页面(https://github.com/ARMmbed/mbedtls)提供了详细的移植教程,帮助开发者将mbedtls集成到自己的项目中,无论是在Linux、Windows还是RTOS环境下。 **6. 压缩包内容** `mbedtls-2.16.0`压缩包中可能...
Mbedtls加密组件库使用
专注基础架构领域
10-26 6822
下载与安装 github的下载:https://github.com/ARMmbed/mbedtls 官网下载:https://tls.mbed.org mbedtls-2.6.0库我们要在工程中引用的目录有include,library和visualc这3文件夹: include: 库头文件所在 library:库源文件(.c)所在 visualc:工程文件所在,使用VS2010...
基于Mbedtls实现AES128-CBC-PKCS7#padding和Hmac-SHA256数据加解密处理和基于micro_uECC实现ECDH密钥协商算法
weixin_46097907的博客
07-18 1466
对称算法是一种通信双方使用相同的秘钥进行加密和解密的密码算法。其中这份相同的秘钥称为对称秘钥或者共享秘钥,只有通信双方持有,如果传输的密文被拦截,没有秘钥也无法解密出原文。3.1.1. AES功能相关宏mbedtls中提供的这些对称加密算法,每个都是一个独立的模块,由对应的宏控制是否开启,要使用AES相关功能,需要开启以下宏:宏定义说明开启AES算法开启CBC模式开启CRT模式开启预定义S盒开启PKCS7填充方案。
数据加密与安全专题《mbedtls工具篇,实用教程4@对称加密算法,AES128算法应用》
物联网研究室BBC的博客
01-24 1235
什么是对称加密 对称加密算法是一种使用相同的密钥加密明文和解密密文的密码算法,通信双方持有相同的密钥,该密钥被称为共享密钥或对称密钥。第三方窃听到密文后,由于没有密钥,没法解密得到原文。对称加密算法单次只能处理一个固定长度得分组数据,例如AES算法单次只能加密或加密128位数据。当然实际场景中被AES加密或解密得消息长度往往不是128位或者128位的整倍,于是AES算法制定了分组密码模式和消息填充方法。 如上电脑A向电脑B的密文传输过程: 电脑A使用共享密钥先对明文进行加密,得到密文 电脑A向电
编译mbedtls
顽石的博客
09-24 2244
wolfssl是GPL2.0,无法商用,只能尝试mbedtls,这个是免费开源的。 下载地址:https://gitee.com/Kono2019/mbedtls.git github经常上不了,gitee比较方便。 下载完了,怎么编译呢,我需要编译riscv的。 一开始通过cmake -DCMAKE_C_COMPILER=riscv-nuclei-elf-gcc,会编一个test的程序,但是很快报“error: unrecognized command line option '-rdynamic
mbedtls学习--移植库至K210平台
言京的博客
07-08 1303
文章目录K210 RISC-V移植过程简述代码 K210 RISC-V 亚博智能开发板,使用的编译工具和sdk为riscv64-unknown-elf-gcc和kendryte-standalone-sdk-develo,开发环境为windows。 移植过程简述 在sdk/lib下添加mbedtls的文件夹,删除无关的文件只保留.c和.h文件: include library 在sdk/lib/mbedtls下添加CMakeLists.txt FILE(GLOB_RECURSE MBEDTLS_S
开源polarssl加密库使用详解之二:伪随机数发生器(DRBG)
热门推荐
wenxiaohua_113的专栏
01-11 2万+
随机数在密码学中的具有十分重要的地位,被广泛用于密钥产生、初始化向量、时间戳、认证挑战码、密钥协商、大素数产生等等方面。随机数产生器就是用于产生随机数的算法、函数以及设备。因此它的安全性也就对密码系统的安全性带来重要影响
mbedtls安装与入门(mbedtls安装与入门)
firefoxwyw的专栏
08-15 1万+
引用http://www.mamicode.com/info-detail-1831476.html 下面需要修改的地方(CMakeLists.txt 文件名大小写敏感),(使用sudo vim /etc/ld.so.conf 添加内容:/etc/local/lib ;然后调用sudo ldconfig 使修改生效),(需要安装编译器sudo apt-get install g++),(CMak
mbedtls学习(11)TLS
jiang_2018的博客
11-27 2128
r
mbedtls | 08 - ECDH秘钥协商算法的配置与使用
Mculover666的博客(嵌入式)
09-30 4072
mbedtls系列文章 mbedtls | 01 - 移植mbedtls库到STM32的两种方法 mbedtls | 02 - 伪随机数生成器(ctr_drbg)的配置与使用 mbedtls | 03 - 单向散列算法的配置与使用(MD5、SHA1、SHA256、SHA512) mbedtls | 04 - 对称加密算法的配置与使用(AES算法) mbedtls | 05 - 消息认证码的配置与使用(HMAC算法、GCM算法) mbedtls | 06 - 非对称加密算法的配置与使用(RSA算法) mbe
mbedtls gmssl
08-30
mbedTLS是一个开源的轻量级加密和SSL/TLS协议库,它提供了一些常用的加密算法和协议实现,如AES、SM4、SHA-1、SHA-256、RSA、ECDH、TLS、DTLS等。它被广泛用于物联网、安全通信、云服务等领域的安全通信。它的官方地址是https://tls.mbed.org/,官方文档地址是https://mbed-tls.readthedocs.io/en/latest/,GitHub仓库地址是https://github.com/ARMmbed/mbedtls。 GMSSL(国密SSL)是一个由OSCCA(OpenSSL Software Foundation in China)开发的开源软件包,它实现了SM2、SM3、SM4等多种国密算法,并提供了与OpenSSL兼容的API接口,方便在C语言中使用。相比于mbedTLS,GMSSL专注于国密算法的实现和应用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [国密算法学习笔记](https://blog.youkuaiyun.com/yjkhtddx/article/details/129843419)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

任涌重

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值