• 状态 Resolved
  • 已锁定 已锁定
  • 回复 6 回复
  • 订户 0 订户
  • 视图 125 视图
  • 用户 0 会员在此处
选项
选项
相关

This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] CC2745R10-Q1:关于持久密钥最大值

admin
Guru**** 2327850 points
Other Parts Discussed in Thread: SYSCONFIG
请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/wireless-connectivity/bluetooth-group/bluetooth/f/bluetooth-forum/1495304/cc2745r10-q1-about-persistent-keys-max

器件型号:CC2745R10-Q1
主题中讨论的其他器件:SysConfig

工具与软件:

在 SDK8.40设置中、我认为您不能为 HSM 持久密钥最大值选择35或更多的值。

我们计划在 HSM 中存储118个密钥、因此无法确定可注册的密钥数量。

第1号
在这种情况下、除了每次执行加密计算时将密钥信息存储在数据闪存中一次、然后将其传输到 HSM 之外、是否有其他解决方案?

如果还有任何其他解决方案、请告知我们。

第2号
第一种方法需要将关键信息存储在数据闪存中、因此我们担心安全性会下降。

如果我们对数据闪存中的信息进行加密、我们能否获得与 HSM 相同的机密性和防篡改能力?

第3号
是否有计划通过更新 SDK 来增加可注册的密钥数量?
如果是、请告诉我们版本和数量。

第4号
可以重写多少次 HSM?

  • 0
    TI__Guru**** 2327850 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好!

    [报价用户 id="603589" url="~/support/wireless-connectivity/bluetooth-group/bluetooth/f/bluetooth-forum/1495304/cc2745r10-q1-about-persistent-keys-max "]

    在 SDK8.40设置中、我认为您不能为 HSM 持久密钥最大值选择35或更多的值。

    我们计划在 HSM 中存储118个密钥、因此无法确定可注册的密钥数量。

    [报价]

    您可以在密钥库中存储多达35个密钥、该密钥存储在闪存中、而不是 HSM 中。 HSM  最多只能容纳5个按键

    HSM 资产存储库与 PSA 密钥库不同。 SysConfig 中尚未明确、但它们是两个不同的位置。

    Unknown 说:

    由于 HSM 可以存储的密钥大小有限、因此必须将密钥存储在闪存中。 但是、将这些密钥存储在闪存中安全的一种方法是将私钥存储在 HSM 资产存储库中、并在密钥存储到非易失性闪存之前打包密钥。  

    Unknown 说:

    解决方法如上所述、即在闪存中存储密钥时打包密钥、在需要时解包密钥。 这样、即使攻击者读取了密钥、它们也将使用无法检索的 HSM 内的私钥进行加密。  

    Unknown 说:
    No.3.
    是否有计划通过更新 SDK 来增加可注册的密钥数量?
    如果是、请告诉我们哪个版本和多少。

    HSM 中存储的密钥数量不会改变(这是由于 HSM RAM 空间的限制)。

    我已询问团队是否有任何计划增加 PSA 密钥库(存储在闪存的保留区域中)的空间量。  

    Unknown 说:
    No.4.
    HSM 可以重写多少次?

    您是指 HSM 固件吗? 你想详细说明这个问题吗?

    此致!

    Nima Behmanesh

  • 0
    TI__Guru**** 2327850 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    感谢您的答复。

    第1号
    很抱歉、我不了解 HSM 资产存储库和 PSA 密钥库之间的区别。
    在 HSM 资产存储库中存储密钥时所述的 API 位于何处?

    第2号
    用于存储存储在数据闪存中 HSM 资产存储库中的密钥的 API 是否遵循以下流程?
    或者、这种方法是存储在数据闪存中的 PSA 密钥库中的密钥、这种方法不安全?
    "密钥库_PSA_setKeyId()"→"密钥库_PSA_importKey()"→"密钥库_PSA_initKey()"→"密钥库_PSA_exportKey()"→"NVS_WRITE()"

    第3号
    我懂了。

    第4号
    我们想知道可以分别在 HSM 资产存储库和 PSA 密钥库中重新写入关键信息的耐久次数。

  • 0
    TI__Guru**** 2327850 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    我想根据附加映像中的顺序使用 PSA_keystore。
    请允许我根据此顺序提出其他问题。

    第5号
    我是否正确理解 PSA_keystore 使用 HSM 来存储加密密钥?

    第6号
    我认为 ExportData 与 keyMaterial 的加密值不同。  
    是否可以导入此密钥并将其用作导入密钥材料时的密钥?

    第7号
    我认为导出数据将被解密并转换回密钥材料值并用于加密计算。
    我是否正确理解此解密密钥值从未离开 HSM?

    流动图像

  • 0
    TI__Guru**** 2327850 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好!

    我会查看一下、明天再与您联系。

    此致!

    Nima Behmanesh

  • 0
    TI__Guru**** 2327850 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    尊敬的 Nima:

    确认状态如何?

    如果您能在确认完成后立即回复、我们将不胜感激。

  • 0
    TI__Guru**** 2327850 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好!

    [报价 userid="603589" url="~/support/wireless-connectivity/bluetooth-group/bluetooth/f/bluetooth-forum/1495304/cc2745r10-q1-about-persistent-keys-max/5746055 #5746055"]

    第1号
    很抱歉、我不了解 HSM 资产存储库和 PSA 密钥库之间的区别。
    在 HSM 资产存储库中存储密钥时所述的 API 位于何处?

    第2号
    用于存储存储在数据闪存中 HSM 资产存储库中的密钥的 API 是否遵循以下流程?
    或者、这种方法是存储在数据闪存中的 PSA 密钥库中的密钥、这种方法不安全?
    "密钥库_PSA_setKeyId()"→"密钥库_PSA_importKey()"→"密钥库_PSA_initKey()"→"密钥库_PSA_exportKey()"→"NVS_WRITE()"

    [报价]

    如需更多信息、请参阅此页面: 密钥库—SimpleLink 低功耗 F3 SDK BLE5-Stack 用户指南3.03.04.00文档

    没有 密钥库  API、您可以通过 PSA.e2e.ti.com/.../psa.zip 中的密钥生命周期对其进行设置

    我已经附加了一个工程文件、其中包含在 HSM 中存储密钥的方法。 请注意、这些密钥一旦导入 HSM、就不再可导出。  

    Unknown 说:
    4.
    我们想知道可以分别在 HSM 资产存储库和 PSA 密钥库中重新写入关键信息的耐久次数。

    PSA 密钥库位于闪存的安全区域中、因此在闪存老化之前、您可以写入闪存的次数相同。 您可以在 TRM 中找到此信息。

    对于 HSM、我不相信我们有这些数字。 不过、通过 改写、 您的意思是什么? 您的意思是在 HSM RAM 开始磨损之前可以写入多少次?

    Unknown 说:
    第5号
    我是否理解 PSA_keystore 使用 HSM 来存储加密密钥?

    您可以使用 PSA 密钥库(存储在闪存中的 密钥、而不是 HSM 中的密钥)来存储打包的密钥和未打包的密钥(加密或纯文本)。  

    对于 HSM、可以以纯文本密钥发送、然后接收打包的密钥、从而可以安全地存储在闪存中。 在使用打包的密钥时、密钥将发送到 HSM、在 HSM 中、HSM 将在内部展开密钥并使用它。 无法导出存储在 HSM 中的所有明文密钥、因此 HSM 将在内部使用这些密钥、但应用程序将无法检索实际的密钥材料。

    Unknown 说:
    第6号
    我认为 ExportData 与 keyMaterial 的加密值不同。  
    我是否可以导入此密钥并将其用作导入密钥材料时的密钥?

    请参阅上文。  

    Unknown 说:
    第7号
    我认为导出数据将被解密并转换回密钥材料值并用于加密计算。
    我是否正确理解此解密密钥值从未离开 HSM?

    是的、这种理解是正确的。  

    需要记住的一些关键事项:

    1.无法导出存储在 HSM 中的纯文本密钥。 但是、存储在 HSM 中的明文密钥可以导出为可存储在闪存中的加密密钥块。 将这些加密密钥块发送到 HSM 后、HSM 会解密并使用密钥。

    2. HSM 资产存储库和密钥库是两个不同的位置。 您可以在上面我提供的文档中找到有关关键寿命的更多信息。

    如果您希望我清除任何内容、请告诉我。

    此致!

    Nima Behmanesh