• 状态 Resolved
  • 已锁定 已锁定
  • 回复 18 回复
  • 订户 0 订户
  • 视图 378 视图
  • 用户 0 会员在此处
选项
选项
相关

This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] AM62P-Q1:AM62Px 安全开发和 SDK 说明

admin
Guru**** 2815845 points

Other Parts Discussed in Thread: AM62P

请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/microcontrollers/arm-based-microcontrollers-group/arm-based-microcontrollers/f/arm-based-microcontrollers-forum/1604291/am62p-q1-am62px-security-development-and-sdk-clarification

器件型号: AM62P-Q1
主题: AM62P 中讨论的其他器件

您好、TI 专家、

这是来自 Aumovio 安全团队的、我们有 AM62Px EVM 板--SK-AM62P-LP。 并尝试使用它为汽车 ECU 产品开发安全相关功能。

在开始时、我们有一些问题:

  1. 我们下载 SDK “ MCU_PLUS_SDK_am62px_11_02_00_23 “、但与“MCU_PLUS_SDK_相比、未找到任何安全驱动程序或 HSM (TIFS) API 然后是 am263x _11_01_00_19“,它有 HsmClient 和 SIPC 包,为什么在 am62px SDK,没有它? 我在“3.4.1 中得到了信息。 器件安全 — Processor SDK AM62Px 文档“链接将提供说明、是的、它有、但包在哪里? 下图显示了 am263x SDK:
    1. image.png
  2. 一些文档提到了定义: TIFS HSM SYSFW ...它们之间有什么不同? 据我所知、TIFS 是您的 TI 特殊 HSM、将在 M4F 内核 0 中运行。 但也有第三部分 HSM(可选)、它将在 M4F 内核 1 中运行。
  3. 对于 TIFS、您的 TIFS 固件是否可用于商业用途?  
  4. 如果我们集成了第三部分 HSM 固件、那么在引导序列期间还需要 TIFS FW? 或直接替换为 3p HSM? TIFS 对于引导序列是必需的?
  5. 在安全启动期间、为了验证每个 FW (R5F SBL、HSM、A53 u-boot...)、是将使用相同的密钥集:SMEK/SMPK...、还是在每个步骤中使用不同的密钥?
  6. 我们知道、在 AM263x CPU 中、安全操作将由 HSM 内核处理、R5F 或 A53 内核只向 HSM 内核请求、与 AM62Px 是否相同? 如果是、以下顺序是否正确?
    1. image.png
  7. 对于器件类型、我得到了信息:GP 器件无法切换到 Hs、但在链接“3.4.1 中。 器件安全 — Processor SDK AM62Px 文档 “、其中提到了 CAN 将 GP 转换为 HS-SDK FS、请帮助阐明:
    1. image.png 
    2. image.png

提前感谢!

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好:

    AM263 和 AM62P 具有不同的安全架构。 我们在 AM62P 上提供了 TIFS 固件、该固件在 SMS 中的 M4F0 内核上运行。 该 TIFS 固件在 SDK 中仅以二进制形式提供、充当服务器以侦听器件中其他内核发出的 TISCI 请求。 TIFS 文档可在以下位置找到:

    https://software-dl.ti.com/tisci/esd/latest/index.html

    SMS 中还有一个称为 HSM 内核的内核、专用于运行客户的 HSM 协议栈。 TIFS 内核始终独立于 HSM 运行。

    所有映像仅使用相同的密钥(电子保险丝中的活动密钥)进行身份验证。

    迁移仅从软件角度进行。 比如、如果使用的是 GP 器件、现在拥有 HS 器件、迁移指南讨论了如何将软件迁移到 HS 器件。

    有关 AM62 安全架构的更多信息、请参阅此处提供的资源:

    www.ti.com/.../AM62X-RESTRICTED-SECURITY

    此致、

    Prashant

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    感谢您提供这些信息。  

    TIFS 二进制用法如何? 它是否可用于商业产品? 或者我们必须将其替换为第 3 部分商用 HSM 固件。

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    从哪里可以下载 AM62Px 的 TIFS 二进制文件? 您提到的 AM62Px 仅提供二进制文件。

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。
    TIFS 二进制用法如何? 它是否可用于商业产品? 或者我们必须将其替换为第 3 部分商用 HSM 固件?

    TIFS 始终独立于 HSM 固件运行、因此可实现商业化。 TIFS 二进制文件随 SDK 提供。

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    好的、谢谢!

    另一个问题:我们在 AM62Ax MCU+ SDK 中找到了 SA3_UL 功能说明:SA3UL、但在 AM62x 和 AM62Px SDK 说明中未找到该说明、AM62x 和 AM62Px 中也支持 SA3_UL、因此该 SA3_UL 说明也适用于 AM62Px 吗?

    我们需要确认 AM62Px 中也支持的这些特性。

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    我找到了“3.2.2.3 中的 SDK 安全说明。 加密 — Processor SDK AM62Px 文档“、是吗?这意味着、当前的此 AM62Px SDK 仅支持低于硬件加速器的驱动程序:

    如果是、PKA 非对称算法(例如 RSA 和 ECC)如何?

    从哪里可以获得支持的 AM62Px 硬件安全加速器功能的完整列表?

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    我在 TISCI 消息定义(在“安全管理“一章 加密服务 TISCI 说明—TISCI 用户指南中)中找到 、“Crypto Services“似乎只具有 AES 加密和解密。 其他服务呢? 例如 RSA 签名验证... TISCI 消息是什么?

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。
    我们要确认 AM62Px 中也支持这些功能。

    AM62P 的 MCU+ SDK 不支持 SA3UL。 Processor SDK 支持该初始化。

    https://software-dl.ti.com/processor-sdk-linux/esd/AM62PX/11_02_08_02/exports/docs/linux/Foundational_Components Crypto/Kernel/SA2UL_OMAP.html Kernel_Drivers

    在哪里可以获得支持的 AM62Px 硬件安全加速器功能的完整列表?

     TIFS 不允许访问 PKA 模块、因此它不可用于一般用途。

    “加密服务“似乎只有 AES 加密和解密。 其他服务呢?

    TIFS 目前仅提供 AES 服务。 对于其他服务、您可以在 Linux 上利用 OpenSSL、如 PSDK 文档中所述。

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    感谢您的答复、让我列出信息:

    1、对于 SA3UL、Processor SDK 支持它、仅支持 AES 硬件加速器、如果尝试使用 Linux 内核中的 SA3UL、则仅支持 AES;

    2、PKA (RSA/ECC ) 只能由 TIFS (M4F core0) 本身使用,用于安全启动/JTAG 验证使用;  

    3、如果用户应用程序想要使用 RSA/ECC 签名操作 (isign/verify ),需要通过 openssl(内核集成)调用硬件加速器;

    以上 3 分是否正确?

    另一个问题、对于硬件加速器、是否支持 RSA3K? 在 TI Academy 中、仅提及 RSA2K 和 RSA4K。

    再次感谢!

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。
    2. PKA (RSA/ECC) 只能由 TIFS (M4F core0) 本身使用、用于安全启动/JTAG 身份验证使用; [/报价]

    正确。

    [引述 userid=“680150" url="“ url="~“~/support/microcontrollers/arm-based-microcontrollers-group/arm-based-microcontrollers/f/arm-based-microcontrollers-forum/1604291/am62p-q1-am62px-security-development-and-sdk-clarification/6191649。]3. 如果用户应用程序想要使用 RSA/ECC 签名操作 (isign/verify)、则需要通过 openssl(集成在内核中)来调用硬件加速器;

    OpenSSL 不会使用 PKA 的硬件加速器。 这将依赖于软件实现。

    另一个问题、对于硬件加速器、是否支持 RSA3K? 在 TI Academy 中、仅提及 RSA2K 和 RSA4K。

    如需确认硬件支持的功能、请参阅之前共享的安全门户上提供的安全加速器 TRM。 其他任何地方的信息可能已过时或与实际支持的功能不匹配。

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    好的、SA3UL 支持 SHA、NICE。

    1.您提到了“基本上支持身份验证和加密引擎“、以下 TISCI 消息“TISCI_MSG_PROC_AUTH_BOOT"吗“吗? 如果是、则用户应用程序希望使用安全功能:

      1)。 通过 SA3UL(用于 AES、SHA);

      2)。 通过使用软件实现的 RSA/ECC 的 openssl。  

      3)。 TISCI 消息、但仅支持有限的操作。 请参阅 TISCI 消息列表。  

    2.关于 3id 部分 HSM ,如果我们集成了在 M4F 内核 1 中运行的特殊 HSM ,是否可以调用 RSA/ECC 加速器?

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。
    [quote userid=“680150" url="“ url="~“~/support/microcontrollers/arm-based-microcontrollers-group/arm-based-microcontrollers/f/arm-based-microcontrollers-forum/1604291/am62p-q1-am62px-security-development-and-sdk-clarification/6191666 您提到了“基本上支持身份验证和加密引擎“、以下 TISCI 消息“TISCI_MSG_PROC_AUTH_BOOT"吗“吗?

    我的意思是内核中的加密驱动程序仅支持身份验证和加密引擎、它们分别支持 SHA 和 AES 等算法。 PROC_AUTH_BOOT 只是 TIFS 提供的一项服务、用于对已签名且可选的加密 blob 进行身份验证。

    [引述 userid=“680150" url="“ url="~“~/support/microcontrollers/arm-based-microcontrollers-group/arm-based-microcontrollers/f/arm-based-microcontrollers-forum/1604291/am62p-q1-am62px-security-development-and-sdk-clarification/6191666。]2. 如果我们集成了在 M4F 内核 1 中运行的特殊 HSM、那么是否可以调用 RSA/ECC 加速器?

    TIFS 不允许 HSM 也访问 PKA 引擎。

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    好的、明白了。 谢谢。

    TIFS 不允许其他内核/角色使用 RSA/ECC 加速器、且 TIFS 仅使用 RSA 进行安全启动、 ECC 似乎没有任何  用例。

    在我现在的理解(上述讨论中的信息)中、用户应用程序似乎没有任何使用 RSA/ECC 加速器的方法。 我的回答正确吗?

    例如、验证自定义数据的 RSA3072 签名。 是否只能使用软件实现?

    另一个问题:

    TIFS 如何阻止第 3 个 HSM 访问 OKA 加速器? 通过防火墙?

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。
    TIFS 仅使用 RSA 进行安全启动、 ECC 似乎没有任何  用例。

    这不完全正确。 TIFS 现在还支持 ECC 密钥、用于使用 PROC_AUTH_BOOT 对 Blob 进行身份验证。

    在我现在的理解中(以上讨论中的信息)、用户应用程序似乎没有任何使用 RSA/ECC 加速器的方法。 我是否正确?

    正确。

    TIFS 如何阻止第 3 个 HSM 访问 OKA 加速器? 通过防火墙?

    PKA MMR 受防火墙保护、仅允许访问 TIFS。

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    谢谢 Prashant。

    立即清除!

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    大家好、Prashant、我找到了 AM62Ax MCU+ SDK 的 PKA 封装、  

    这是否意味着、这个芯片-- AM62Ax、MCU+ SDK 可以支持使用 PKA、而不受 TIFS 的限制?

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。
    这是否意味着、这个芯片---AM62Ax/twf, MCU+ SDK 可以支持使用 PKA、不受 TIFS 的限制?

    这不正确。 该驱动程序出现的原因可能是它是从可以访问 PKA 的 AM64x MCU+ SDK 移植的。 AM62A MCU+ SDK 包含 AES、SHA(示例/安全/加密)的示例、但 PKA 没有、这表明它确实不受支持。

  • 0
    TI__Guru**** 2815845 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    好的、谢谢!