X-Cube-Cryptolib V4

8 G% F8 G  G! {( L加解密算法是实现信息安全设计的重要工具，在安全启动，安全通信等多个场景都会用到，STM32一直以来都提供支持全系列的算法库软件包X-CUBE-CRYPTOLIB，今年STM32对其加解密算法库又做了进一步的改进升级，发布了V4版本，这个版本的主要亮点有哪些？

接下来我们具体看一下V4版本的加解密库有哪些新变化。

Cryptolib V4支持的算法

新增加的算法

·支持国密SM算法
/ m$ ~, j& f3 z9 j8 o7 G+ o-SM4 (CBC, CFB, CTR, ECB, OFB)
-SM3
- z- e9 F% [, O-SM2 (密钥对生成，计算ZA，签名，验签）


* W8 U% E2 N+ V# q" Z! }: d·散列算法
) e5 H; V0 I; ?4 O5 J除了SM3，还增加了SHA3 (SHA3-224, SHA3-256, SHA3-384, SHA3-512) 和SHAKE
  n1 g0 Z; ~! i

6 F! `; R5 k) G. l9 X& w- M% R0 b·MAC算法
HMAC (SM3), KMAC (SHAKE)
' P/ I2 I! ^) l9 t

·ECC椭圆曲线算法
除了SM2，还增加了ECDSA的Ed448

1 V4 S8 b/ @/ i& t0 \
3 `+ e! G- F2 ?7 P2 ]·ECDH算法
. B  }+ }% \, s5 Z增加Curve448


·RSA算法
新增加PKCS#1 V2.2 以及 RSA CRT模式（包含抵御Bellcore攻击的防护）


·随机数生成
增加CTR_DRBG_AES256
7 d+ \* o) s( t2 `
  {3 |$ W. |/ ~9 u. t0 e不再包含的算法
9 l% u" ?9 k2 p  Z$ W! |# W
·部分旧的算法，处于安全性考虑不推荐使用，因此在V4中不再包含，例如
1 o5 ~% _* H0 q+ N& O4 i# P; k; y. A块加密算法中的ARC4, DES, TDES
- v6 D+ ^7 q$ Y4 A散列算法中的MD5


·密钥派生算法HKDF
0 R) y* h) V' h  E1 ?! P6 `9 ZV3中包含的HKDF-512算法在V4中不直接以库的形式提供
在ST wiki页面中会说明如何在HMAC基础上实现HKDF

% d- H! n9 ?2 p. W0 G! Z& f

软件包内容

新的软件包架构

  U; H) z& Q$ Z9 \7 h0 l新版本采用了新的软件包架构


加解密库仅按照内核提供（每个内核对应一个加解密库）
加解密库不再按照STM32系列分别提供
+ ~, R, |9 ^  E6 F( Y/ F/ n" A加解密库不再区分编译器和优化方式（Speed、Size、FPU）

" w: o2 T' R$ p+ p& t) mV4的目录结构 vs. V3的目录结构
. g3 O2 x" `; N  E. ~
" L/ p1 c  K& d, B3 O& j4 iV3软件包的目录结构是每一个STM32系列对应一个单独的目录
+ I2 T" A' ~- L: D$ O5 ~# D
6 S1 Z2 A5 M7 _1 b% u
每个芯片系列都有对应的Middleware目录, 里面包含加解密库
加解密库有多个库文件，分别针对不同编译器以及不同的优化选项
参考例程工程同样也在每个STM32系列子目录的Projects目录中。

V4的目录结构则完全兼容Cube/X-Cube软件包（STM32Cubexx / X-Cube-xxx）架构，方便与Cube/X-Cube包进行集成。
/ ?0 `5 b$ C2 z! M+ |: `

3 F9 W! V3 V1 l; oV4中包含加解密库的Middleware文件夹直接在顶层目录
% y7 D* {5 n5 f5 H6 t% plib目录下的库文件不针对每个STM32系列，也不再区分不同的编译器和优化方式
/ U, I9 }4 V1 z+ j加解密库文件按照Cortex内核版本，每个内核提供一个统一的库文件
同一个库文件可以适用于各种编译器（AEABI兼容）
% q9 Y1 ?8 ~. v+ f% s对于不同优化选项的选择可以在链接阶段进行配置
* ~7 F  R4 a( K6 R( |3 l

V4的参考例程则类似Cube/X-Cube包的结构，在Projects目录下的各个系列的子目录中提供。
; K7 E% c) l/ C  G$ X2 K% o
新版本示例工程支持的系列包括
: q3 r6 d! Q8 S
' G% ^. T  q: [% i, @
STM32G0，STM32G4
STM32H7
STM32L0，STM32L1，STM32L4，STM32L5，STM32U5 (V4.0.1中包含)
STM32WB，STM32WL
  y4 F  `$ S# O& N+ g
, H, {# g* S7 y4 ]3 V/ \
其他STM32系列虽然没有提供直接的参考例程，但也可以参考示例代码的方式使用库文件，因为库是针对不同Cortex®-M内核提供的，并不区分产品系列。

3 e0 ~! V+ R- J" Y6 v4 K! x+ n+ H1 r代码质量进一步提升

V4版本加解密库的源码经过MISRAC:2012检查，加解密库的头文件也同样符合MISRAC:2012标准，对于有MISRAC合规需求的场景，V4将提供很好的支持。

$ D$ T# C0 n7 \7 M" H更小代码+更高性能
9 I/ N5 w" \( Z/ L4 p
V4的加解密库在优化方面做了很多提升。以STM32G4为例，我们可以用下表对比一下使用CryptoLib V3.1.3和V4.0.0版本，选择最高性能配置时的运算速度比较。可以看到，无论是对称算法，散列算法还是非对称算法，V4在性能上都有了很大提升，同时加解密库的代码量比V3还要更小。

更加灵活易用

方便灵活的方式选择加解密库的实现配置
9 ]5 l' _' u+ e" A- N
V4的加解密库为每个内核提供一个单一的库文件，但是允许客户在其应用工程中可以根据速度和代码大小的需要选择不同的配置。这个配置在链接和使用过程中完成。
2 f0 W5 [' I  n9 Y
0 ?/ I8 Z7 B& g( ]. Y8 e9 N) x
V3的加解密库在编译阶段使用不同配置，编译出不同的库文件
& _4 t/ ?: x8 Q而V4在相同的算法服务中实现了对不同配置（性能高低和代码量大小）的支持
用户通过Construct API或者每个服务的Processing API来进行选择采用哪个实现
$ A! Z! L( w8 R, G. l: C7 `8 m" z5 }缺省的配置以头文件形式提供

以ECDSA签名算法为例，使用签名函数之前，首先需要调用cmox_ecc_construct（）函数，这个函数的第二个输入参数CMOX_ECC256_MATH_FUNCS就用来选择下层的具体实现使用哪一个。

CMOX_ECC256_MATH_FUNCS的定义决定了ECDSA的处理函数将会选择哪个实现，缺省配置为CMOX_MATH_FUNCS_SUPERFAST256，可选配置包括
% d) w( U% ?' N- K% U  a) D7 S
& E2 C0 [* j1 V  ~8 N7 b
- K& y0 ^9 ~  ^6 NCMOX_MATH_FUNCS_SMALL ：代码量小，性能相对低
CMOX_MATH_FUNCS_FAST ：性能高，代码量相对大
CMOX_MATH_FUNCS_SUPERFAST256：性能更高（针对长度为225到256的ECC曲线）
8 `1 I5 f" V- v- Y2 ^
其他算法的配置也可以使用类似的方法进行性能和代码量大小的选择，具体请参考Middlewares\ST\STM32_Cryptographic\include\cmox_default_config.h


6 c; ^/ J5 ]5 t如果希望所有的配置都按照最小代码量来选择，则可以直接使用相同目录下的cmox_small_config.h头文件的定义，如果希望所有配置都按照最高性能来选择，则可以直接使用相同目录下的cmox_fast_config.h头文件的配置。
+ M% @5 m( n$ ~1 u! n3 F

应用代码调用更加简洁
同样以ECDSA为例，使用V3版本加解密库，应用程序需要调用多个API才能完成 一个ECDSA Verification，而使用V4的加解密库只需要两个API即可完成。
( O2 I  c) y& ]' X9 J0 h1 ?

V3

1. int32_t rv;
   $ n2 t( |# x# X6 J
2. EC_stt EC_st;
   
3. membuf_stt Crypto_Buffer;
   
4. ECpoint_stt *PubKey = NULL;
   
5. ECDSAsignature_stt *sign = NULL;
   
6. uint8_t membuf[MAX_MEMBUF_SIZE];
   - V. v2 ?# q+ Q
7. ECDSAverifyCtx_stt verctx;
   # N6 O" i; D% d* u' m8 ]
8. 
   # V$ U: s/ g4 F8 I
9. uint8_t pub_x[] = {…}, pub_y[] = {…};
   
10. uint8_t sign_r[] = {…}, sign_s[] = {…};
    ' k- r6 O3 n: S( h9 e4 Z4 |
11. uint8_t digest[] = {…};
    
12. 
    
13. Crypto_Buf.pmBuf = membuf;
    * }& m: E7 _9 U* g. j9 `8 r
14. Crypto_Buf.mUsed = 0;
    
15. Crypto_Buf.mSize = sizeof(membuf);
    
16. 
    0 E. X; \6 q! _1 R2 ?1 O2 a
17. /* Init the EC main struct */
    
18. rv = ECCinitEC(&EC_st, &Crypto_Buf);
    6 n0 Z. j$ ~+ ^
19. 
    : s0 D0 P/ v4 d
20. /* Init the public key */
    
21. ECCinitPoint(&PubKey,
    
22.              &EC_st,
    
23.              &Crypto_Buf);
    1 ^/ F0 {6 I! V9 g
24. ECCsetPointCoordinate(PubKey,
    
25.                E_ECC_POINT_COORDINATE_X,
    
26.                pub_x,
    
27.                sizeof(pub_x));
    
28. ECCsetPointCoordinate(PubKey,
    6 B( c$ T/ ^- H7 ~# `8 k, Z7 m( a* M
29.                E_ECC_POINT_COORDINATE_Y,
    
30.                pub_y,
    
31.                sizeof(pub_y));
    ' @! o; O% y( _  \
32. 
    
33. /* Init the signature */
    
34. ECDSAinitSign(&sign,
    3 X2 p1 o7 S9 Y' `- [
35.               &EC_st,
    
36.               &Crypto_Buf);
    ! c! I2 i) d( n* p# j& d
37. ECDSAsetSignature(sign,
    2 S0 H6 F. U" y- \" L
38.               E_ECDSA_SIGNATURE_R_VALUE,
    + y' O6 m2 n2 V1 ~: W
39.               sign_r, sizeof(sign_r));
    ; `7 d# Q" p  |. F# v0 e; d
40. ECDSAsetSignature(sign,
    % \/ K7 _; c3 F  i) ^! B% j
41.               E_ECDSA_SIGNATURE_S_VALUE,
    / B6 Z0 F) ?8 m$ F3 Z# w
42.               sign_s, sizeof(sign_s));
    
43. 
    
44. /* Verification */
    
45. verif_ctx.pmEC = &EC_st;
    
46. verif_ctx.pmPubKey = PubKey;
    4 d/ P- g% B0 C3 s
47. rv = ECDSAverify(digest,
    " w# G( i1 S8 @7 H' I
48.                  sizeof(digest),
    ( z' c1 P) u3 n) e# W
49.                  sign,
    " Q* B  F3 {3 D# x9 S+ H' q( u
50.                  &verif_ctx,
    
51.                  &Crypto_Buf);

复制代码

V4

1. 
   
2. cmox_ecc_retval_t rv;
   4 i$ _3 u" S, R
3. cmox_ecc_handle_t Ecc_Ctx;
   : D( e$ |; a: a) |& W" p
4. uint8_t membuf[MAX_MEMBUF_SIZE];
   
5. uint32_t fault_check = CMOX_ECC_AUTH_FAIL;
   ) Q' C& L% h. l" r' G
6. 
   2 H2 m4 r8 v, b" U, j6 H# d# V3 l
7. uint8_t pubkey[] = {…}, digest[] = {…};
   
8. uint8_t signature[] = {…};
   
9. 
   
10. /* Construct a ECC context */
    
11. cmox_ecc_construct(&Ecc_Ctx,
    
12.         CMOX_ECC256_MATH_FUNCS,
    
13.         membuf, sizeof(membuf));
    & M, @; l6 H9 M( B8 s& W6 g
14. 
    * h5 K3 Q7 K1 C, L# g# {4 l! d
15. /* Verify directly the signature passing
    7 [/ h' J. v" U+ w& K: }
16.    all the needed parameters */
      ~/ S6 [: X( P, n% m7 S
17. rv = cmox_ecdsa_verify(&Ecc_Ctx,
    
18.         CMOX_ECC_CURVE_SECP256R1,
    & g- j5 i' M0 x% K2 u4 \6 R
19.         pubkey, pubkey(Public_Key),
    $ z/ n+ N8 u, H: W+ r! q) t: u1 y
20.         digest, sizeof(digest),
    : d- q; L4 s! Q3 {
21.         signature, sizeof(signature),
    
22.         &fault_check);

复制代码

从V3到V4的快速切换

2 i) e* i  u7 m' P# M

: q9 Y8 W0 R/ R; }3 ?. F3 L! Z' r
在V4的软件包中，还提供了一个wrapper实现，帮助以前V3的使用者快速切换到V4的，这个wrapper允许应用继续沿用V3 API但使用V4的库。当然，这种用法虽然快速切换到V4，但却不能最大化地利用V4的新优点，不是推荐用法，仅仅作为快速切换的目的使用。
3 ?5 M" k) Y( N. D: M. O

算法认证

V4提供的加解密库经过了NIST CAVP（Cryptographic Algorithm Validation Program）的认证。

$ [( k8 ^, e8 k- M
认证测试覆盖了不同的性能和代码大小的配置方式（前面提到的可以通过头文件的宏定义进行的配置选择）
认证基于Cortex®-M内核，而不是和某个特定的STM32系列绑定，所以可以适用于所有STM32系列
3 [+ w7 T8 ^; P; c- x
- ]# y+ U# g/ U" \/ x有关加解密库认证的详细信息可以参考此链接：https://wiki.stmicroelectronics. ... rary_Certifications
! ]# P7 G# U+ i: K
! D5 _5 S: d6 u. z: ~0 U& I) s
) m, w' I. @. ]

资源链接

文档
所有Cryptolib V4相关的文档都通过STM32 MCU Wiki以网页形式提供，不再提供单独的UM和其他文档：https://wiki.st.com/stm32mcu/wiki/Category:Cryptographic_library
0 _' v6 @4 T% G+ y: K
1 }9 G# q/ z/ Y5 m
( o- Q, l) Z% G& p. {内容包括
% \# k- @2 M9 |; k8 |" g
* `& c% u; v: }$ ]% Q, O
加解密库简介、使用指南、密码学算法的基础知识

如何安全地使用加解密库、如何实现HKDF、加解密库认证信息、如何迁移到新版加解密库
: s* E  L; m/ |  ^. F) \$ A

加解密库的性能及资源占用信息

下载页面
; B6 P* a1 h# r6 [V4版本加解密库可以从XCUBE-CRYPTOLIB常规的网址下载：
, M  e, t6 V' c' Ohttps://www.st.com/en/embedded-software/x-cube-cryptolib.html
! i6 A% m9 W, ?4 h
" V1 `) u  K$ H& g4 d
V3版本加解密库可以通过以下链接下载：
- |( a, ^! j, `: D; u4 Mhttps://www.st.com/en/embedded-software/x-cube-crypto-v3.html
6 V* K2 V7 H% t8 z3 \6 A

. A8 ~6 Q  B0 G; s2 M; @' A0 U- c, W
+ _/ p( X  ]4 ?/ O# \& o
$ v% w: P  I8 |