[参考译文] AM2634：HS-SE 模式下的 HSM 运行时固件映像是必需的

您好、

在 HS-SE 模式下运行时、是否必须刷写 HSM 运行时映像？

HSM 是安全启动流程的一部分、但如果您不希望使用 HSMRT 对应用程序进行身份验证/验证、并且不在应用程序中使用任何 HSM 服务、则无需这样做。
但是、如果器件为 HS_SE、SBL 解析 API 会尝试对映像进行身份验证、因此必须在那里禁用该器件。

如果不需要 HSM 固件、我想知道为什么器件处于 HS_SE 中？ 是否有特定用例？

是否还要求将 HSM 运行时映像加载到 HSM 内核中（包括认证验证和映像完整性验证）、无论我们是否在 SBL 中使用它的任何服务。

是的、要使用 HSM 服务、应将 HSMRT 加载到 HSM 内核中、因为它充当从 R5 内核对服务进行客户端调用的服务器。

HSM 运行时固件和 SBL 映像是否在 QSPI 闪存中共享相同的存储器区域（0x0_0000 - 0xF_0000 和 0xF_0000 - 0xx_0000（应用映像开头）)？

开箱即用 SBL 二进制文件中包含 HSMRT 映像、以便将其放置在闪存存储器中的同一区域中。 否则、如果您想将 HSMRT 放置在不同的闪存位置、也可以这样做。

 可参考 SBL QSPI FASTBOOT 来实现这一点。

谢谢。此致、

Nikhil Dasan

你好、Nikhil、

HSM 是安全启动流程的一部分、但如果您不希望使用 HSMRT 对应用程序进行身份验证/验证、并且不在应用程序中使用任何 HSM 服务、则不需要这样做。
但是、如果器件为 HS_SE、SBL 解析 API 会尝试对映像进行身份验证、因此必须在那里禁用该器件。

如果不需要 HSM 固件、我想知道为什么器件处于 HS_SE 中？ 任何特定用例？

我们希望 SBL 映像通过 HSM ROM 进行全面的身份验证、并使用安全启动。 我们只是不想使用提供的 HSM 运行时固件来对应用程序映像进行身份验证。 使用供应商提供的软件可能会使我们当前项目的合规性变得复杂。

为了对应用程序映像进行身份验证、是否可以让 SBL 映像利用 DTHE 并执行证书验证、映像完整性以及加密/解密。 或者、我们是否可以自行开发 HSM 运行时映像来利用 HSM？