[参考译文] AM2434：使用 OSPI 引导和 Keywriter 的安全引导

尊敬的 Mark Orkenyi：

Unknown 说：

或者可以吗、但固件映像不能加密、只能签名？

我们不对经过身份验证的引导使用术语"安全引导"、该术语仍然是 HSFS 器件的可选特性。 但是、这仍然是可能的。

Unknown 说：

您是否会建议使用这些或可能有这些已被弃用的可能性，而且最好是实施我们自己的过程(使用 openssl 或类似方法)？

我们仅提供了一个示例脚本以及脚本工作原理的流程图。 用户应拥有值得信赖的 HSM 供应商来提供安全服务器、该服务器可提供经过签名的图像并帮助在 安全电子保险丝中配置密钥。 我们不声明这些脚本具有任何生产质量用途。

Unknown 说：

关于 Keywriter -我想不是-但是否有可能为了测试目的在开发环境中(在 launchpad 或 EVM 上)重写安全密钥？

是的、您的假设是正确的。 密钥写入电子保险丝、可在器件的生命周期内一次性编程。 因此、它无法被覆盖(在特定模式下)。

1.  如果行未被写锁定、电子保险丝中的位可以从0写入1。
2. 电子保险丝中的位 不能从 1写入  0.

因此、密钥在器件的生命周期内只能编程一次。

希望它有所帮助。

此致、
Aakash

尊敬的 Mark Orkenyi：

Unknown 说：

 很抱歉，但我仍然不清楚什么是"仍然可能"。 如果我理解正确、 经认证的引导 仅对固件进行签名但未对其进行加密的情况？ 因此、仅使用 OSPI 引导 经认证的引导 甚至是 安全启动 ?[/报价]

我们不声称 HSFS 引导为安全引导、即使它支持经过身份验证的引导、这是因为对 HSFS 器件中的引导加载程序进行身份验证 是可选的。 因此、 如果 更改了证书、则可以禁用身份验证。

但是、HSFS 支持身份验证的引导特性。

Unknown 说：

您能否确认注意事项"Encryption of application image not possible in SBL OSPI"仍然有效？

可以、由于器件中的存储器限制、在基于 OSPI 的应用程序引导时、当前的 SDK 和 SYSFW 版本不支持应用程序映像加密。 将在将来的版本中解决此问题。 但这仅对 HSSE 设备有效。

我希望这对您有所帮助。

此致、
Aakash

[/quote]

尊敬的 Mark Orkenyi：

Unknown 说：

刻录密钥转移到 HS-SE 没有意义，但可能需要在 HS-SE 中使用经过身份验证的启动功能 FS。 您同意吗？

嗯、不完全是。 HSFS 中的身份验证方法不依赖于任何密钥。 如果是 HSSE、则对客户编程的电子保险丝中的根密钥进行固定的身份验证。 对于 HSFS、 您只需使用任何密钥和有效身份验证来更改映像、该操作仍然有效。

如果 您对安全性有有效顾虑、则不建议将 HSFS 用于生产。

Unknown 说：

""此问题将在将来的版本中解决。"

我没有这方面的时间轴。 最有可能是09.02版本(Q1'24)或10.00版本 (Q2'24)。

此致、
Aakash

尊敬的 Mark Orkenyi：

Unknown 说：

如果我使用 Keywriter 在 SMEK 和 SMPK 中写入，这是否自动意味着我们必须上传加密的应用程序映像，或者可能在启动期间禁用应用程序解密并仅使用身份验证的启动？ 如果是、如何？

这取决于应用程序映像的证书。

它不应具有此处所述的"加密"字段- https://downloads.ti.com/tisci/esd/latest/2_tisci_msgs/security/sec_cert_format.html#sample-x509-template

如果加密不可用、图像将不会被解密。 然而,图像的验证是强制性的。

我希望这对您有所帮助。

此致、
Aakash