工具/软件:
您好 AM437x 和 AM62x Champ!
我的客户正在调查 AM437x HS 和 AM62x 的安全设备上的安全功能。
以下是我对两人的初步研究。
请检查并建议安全存储功能实施。
 安全存储打开  TI Sitara AM437x
 安全存储打开  TI Sitara AM437x 
1. 安全功能
- 
支持 AM437x 安全功能有限 、并且只有一些变体可作为提供 高安全性(HS)器件 。 
- 
不过、 不支持 OP-TEE 或基于 TrustZone 的安全存储 AM437x。 
- 
因此、安全存储解决方案通常依赖于这些解决方案 外部硬件 或 软件加密 。 
2. 使用外部 TPM (可信平台模块)
- 
您可以集成外部器件 TPM 2.0芯片 连接到 I2C 或 SPI。 
- 
使用 tpm2-tools、tpm2-tss和相关软件安全地存储加密密钥、证书等。
- 
Linux 应用程序可以与 TPM 交互以实现安全的密钥操作。 
3. 加密文件系统
- 
您可以使用加密特定分区 dm-crypt+LUKS或fscrypt。
- 
示例:将敏感配置文件或密钥文件存储在加密卷中(例如 /etc/secure_data)。
 安全存储打开  TI AM62x
 安全存储打开  TI AM62x 
。 AM62x 是较新的 Sitara 平台、包含 现代安全功能 :
1. 高安全性(HS)器件支持
- 
支持的配置 安全启动、密钥存储和访问控制 使用 TI 的高安全性(HS)型号。 
- 
安全密钥可以烧录到中 一次性可编程(OTP)保险丝 。 
2. OP-TEE 和 TIFS (TI 基础安全)
- 
AM62x 支持 TrustZone 和附带的 OP-TEE 、可信执行环境(TEE)。 
- 
TI 的 Linux SDK 包括 OP-TEE 集成了安全存储支持 。 
- 
在 TEE (受信任的应用程序)中运行的应用程序可以安全地存储密钥和凭据。 
μ OP-TEE 安全存储示例:
 OP-TEE 安全存储示例: 
- 
TEE_CreatePersistentObject()从 OP-TEE API 中使用。
- 
数据存储在中 加密格式 在安全的文件系统中(通常 /data/tee)。
- 
只有受信任的应用程序才能访问此存储、而不是常规 Linux 用户。 
3. RPMB (Replay 保护内存块)支持
- 
AM62x 可以使用 eMMC 的 RPMB 分区 安全存储数据。 
- 
OP-TEE 可与 RPMB 集成 防篡改 安全存储。 
 总结比较:AM437x 与 AM62x
 总结比较:AM437x 与 AM62x 
| 功能 | AM437x | AM62x | 
|---|---|---|
| 安全启动 | 受限(仅限 HS) | 完全支持 | 
| TEE/OP-TEE | 不支持 | 完全支持 | 
| 安全存储 | 通过 TPM 或加密 FS | OP-TEE 安全存储+ RPMB | 
| 外部 TPM 支持 | 是的 | 是(可选) | 
| RPMB 支持 | 否 | 是的 | 
| TI 安全工具 | 受限 | 包括 TIFS、Keywriter 等 | 
 推荐的方法
 推荐的方法 
对于 AM437x:
- 
使用外部电源 TPM 2.0 安全密钥存储。 
- 
使用保护敏感文件 DM-crypt 或 加密 。 
- 
考虑在应用程序内进行软件加密(例如 OpenSSL AES)。 
对于 AM62x:
- 
应用 OP-TEE 安全存储 API 以进行密钥/证书管理。 
- 
在中存储机密 RPMB 晶体的振荡频率。 
- 
应用 TI 安全启动和 Keywriter 用于安全管理设备配置的工具。 
谢谢。
此致、Jack
 
				 
		 
					