[参考译文] AM2632：在有符号器件(HS-SE)上编辑 OTP

您好、Holger、

1.客户是否有 TIFS SDK？ 如果没有、请让他们从此处申请： www.ti.com/.../AM263X-RESTRICTED-SECURITY

现在、假设客户具有 TIFS SDK、对于 HSSE 器件、客户需要使用以下命令构建 HSM RT 映像、TIFS 文档中也提到了这一点：

make -s -C hsm_firmware/am263x/HSSE-hsm0-0_nortos/ti-arm-clang device=am263x device_type=hs

随后将生成更新的 HSM RT 映像、并将其复制到 SDK 安全文件夹中。

然后、他们需要重新构建 SBL：

gmake -C examples/drivers/boot/sbl_qspi/am263x-cc/r5fss0-0_nortos/ti-arm-clang device=am263x device_type=hs  

尊敬的 Nilabh：
这不是客户想要知道的…
SDK 中包含 HSM RT 的.h 文件。 这是一个特殊的 HSM RT 吗、或者它是否与 TIFS 包相对应？
两个数组的大小不同。 他使用 TI 密钥从 TIFS 包中签署 HSM RT。

此致、Holger

paul wang2 说：

SDK 中有一个 HSM RT 的.h 文件。 这是一个特殊的 HSM RT 还是它与 TIFS 包相对应？[/QUOT]

这是 Keywriter hsmrt 映像、来自 OTP Keywriter。 OTRP Keywriter 和 TIFS SDK 之间没有关系。

我不确定这里的问题是什么？ 为什么客户尝试在 HSSE 器件上使用 OTP Keywriter 二进制。

应使用 TIFS SDK 示例完成扩展 OTP 编程。

尊敬的 Nilabh：

他们不希望在标准固件中使用此类功能。 如果他们想要更改该字段中的 OTP 数据、则最合理的方法是通过 OTP Keywriter。
该 HSM RT 具体如何使其不起作用？
为什么我们可以发布二进制文件以创建带有客户签名的 CA？

此致、Holger

尊敬的 Nilabh：
问题是、他们不想从标准固件访问 OTP。 如果他们可以将 OTP Keywriter 固件用于此目的、这一点也是显而易见的。

但是,他仍然想知道写作过程的时序是什么样的。 KEYREV 是否总是写入最后一个位置？

为什么不首先检查 KEYCNT？ 虽然他注意到、如果 KEYCNT 配置为2、但 CA 不包含 BMPK、写入将开始、并且以后才会取消。 在这种情况下、必须创建一个新 CA、其中已写入 OTP 数据标记为"未激活"的 OTP 数据。

此致、Holger

尊敬的 Nilabh：

客户现在已使用 HS-SE 器件运行 HSM RT。

现在、他有以下问题：

引导加载程序的概念规定、在将 SBL 映像和应用映像写入闪存之前、必须先检查其签名。 HSM 客户端中是否有只检查证书的服务？
2.在开发过程中,主要采用 FS 器件。 HSM RT 已加载到修订版 SR11 (HS-SR11) FS 的 AM263x 上。 他如何使用 TIFS_AM263x_05_00_00_10封装中的 HS-HSM RT 器件签名创建 FS 映像？ (各自的) 他需要使用什么密钥来实现这一点？

此致、Holger

是的、我们在 TIFS 中提供 Proc Auth 启动服务、支持证书验证。

您可以在 TIFS 文档中查看更多详细信息： file：///C/C：/ti/tifs_am263x_10_00_00_05/docs/api_guide_am263x/html/HSM_PROC_AUTH_BOOT_SRV.html

尊敬的 Nilabh：
他想创建一个可在 HSFS 器件上工作的 HSM RT。
这只能通过 HSSE 器件实现吗？ 他需要使用什么密钥来签名？

此致、Holger

您好、Holger、用于为 HSFS 器件的 HSM 映像签名的密钥是 TI 不会共享的秘密。

无法在客户端为 HSFS 器件生成 HSMRT 映像