[参考译文] AM263P4：在密钥环中使用对称密钥进行加密/解密

您好、

如需所有安全软件和文档、请在此处申请： https://www.ti.com/drr/opn/AM263PX-RESTRICTED-SECURITY 

此致、Shiv

您好、

我已经可以访问此文档、但似乎找不到所需内容。 TIFS 文档中是否有可能包含我要查找的信息的部分？

谢谢

你（们）好

我了解如何将对称和非对称密钥导入 HSM 密钥环。 但是、我看不到任何允许在 HSM 外部运行的应用程序代码（例如，在非安全 R5F 内核上运行）实际使用这些密钥进行加密或解密的 API。

是否有支持的 HSM API、使非 HSM 代码能够使用密钥环密钥执行加密操作、而无需直接访问密钥材料？

谢谢、

Olivier H

您好、Oliver：

如您所知、有一种用于导入密钥环的服务、其中从 R5 内核调用该服务、该服务将密钥环密钥（采用已签名证书的形式）发送到 HSM 内核、并由 HSM 内核从证书中提取密钥、然后将其放置在 HSM 安全 RAM 中。

这是 TIFS SDK 的一部分提供的服务

第二种方法是使用此密钥。

目前、如果您使用密钥环密钥对应用程序签名、则需要将 keyID 放在应用证书中、这样、当此映像发送到 HSM 内核时、系统会解析证书、并使用来自证书的 keyID、从 HSM 安全 RAM（仍处于 HSM 内核中）检索密钥、然后对映像进行身份验证/解密。

上述内容也作为 TIFS SDK 的一部分提供。

在这两种情况下、只能在 HSM 内核本身中访问密钥。

因此、为了使用这些密钥、应在 HSM 内核中进行加密/解密（因为密钥不应暴露给 R5 内核）。

此外、密钥环导入时的密钥在  HSM 端的 gKeyringAsymmKey[]/ gKeyringSymmKey[]中可用、这些是放置在 HSM 安全 RAM 中的数组。

因此对于您的用例、您可以从 R5 内核发送 keyID 并获取相应的密钥在 HSM 内核上签名或加密。

谢谢。此致、

Nikhil Dasan  

人们编写一个驱动程序来将密钥 ID 和数据从 5F 内核发送到 HSM 内核进行加密/解密、然后 HSM 内核将其发送回 R5 内核是否普遍？ 或者这种驱动程序是否已经存在？

那么、这些密钥环密钥仅用于安全启动解密和签名？