工具/软件:
您好 AM437x 和 AM62x Champ!
我的客户正在调查 AM437x HS 和 AM62x 的安全设备上的安全功能。
以下是我对两人的初步研究。
请检查并建议安全存储功能实施。
安全存储打开 TI Sitara AM437x
1. 安全功能
-
支持 AM437x 安全功能有限 、并且只有一些变体可作为提供 高安全性(HS)器件 。
-
不过、 不支持 OP-TEE 或基于 TrustZone 的安全存储 AM437x。
-
因此、安全存储解决方案通常依赖于这些解决方案 外部硬件 或 软件加密 。
2. 使用外部 TPM (可信平台模块)
-
您可以集成外部器件 TPM 2.0芯片 连接到 I2C 或 SPI。
-
使用
tpm2-tools
、tpm2-tss
和相关软件安全地存储加密密钥、证书等。 -
Linux 应用程序可以与 TPM 交互以实现安全的密钥操作。
3. 加密文件系统
-
您可以使用加密特定分区
dm-crypt
+LUKS
或fscrypt
。 -
示例:将敏感配置文件或密钥文件存储在加密卷中(例如
/etc/secure_data
)。
安全存储打开 TI AM62x
。 AM62x 是较新的 Sitara 平台、包含 现代安全功能 :
1. 高安全性(HS)器件支持
-
支持的配置 安全启动、密钥存储和访问控制 使用 TI 的高安全性(HS)型号。
-
安全密钥可以烧录到中 一次性可编程(OTP)保险丝 。
2. OP-TEE 和 TIFS (TI 基础安全)
-
AM62x 支持 TrustZone 和附带的 OP-TEE 、可信执行环境(TEE)。
-
TI 的 Linux SDK 包括 OP-TEE 集成了安全存储支持 。
-
在 TEE (受信任的应用程序)中运行的应用程序可以安全地存储密钥和凭据。
μ
OP-TEE 安全存储示例:
-
TEE_CreatePersistentObject()
从 OP-TEE API 中使用。 -
数据存储在中 加密格式 在安全的文件系统中(通常
/data/tee
)。 -
只有受信任的应用程序才能访问此存储、而不是常规 Linux 用户。
3. RPMB (Replay 保护内存块)支持
-
AM62x 可以使用 eMMC 的 RPMB 分区 安全存储数据。
-
OP-TEE 可与 RPMB 集成 防篡改 安全存储。
总结比较:AM437x 与 AM62x
功能 | AM437x | AM62x |
---|---|---|
安全启动 | 受限(仅限 HS) | 完全支持 |
TEE/OP-TEE | 不支持 | 完全支持 |
安全存储 | 通过 TPM 或加密 FS | OP-TEE 安全存储+ RPMB |
外部 TPM 支持 | 是的 | 是(可选) |
RPMB 支持 | 否 | 是的 |
TI 安全工具 | 受限 | 包括 TIFS、Keywriter 等 |
推荐的方法
对于 AM437x:
-
使用外部电源 TPM 2.0 安全密钥存储。
-
使用保护敏感文件 DM-crypt 或 加密 。
-
考虑在应用程序内进行软件加密(例如 OpenSSL AES)。
对于 AM62x:
-
应用 OP-TEE 安全存储 API 以进行密钥/证书管理。
-
在中存储机密 RPMB 晶体的振荡频率。
-
应用 TI 安全启动和 Keywriter 用于安全管理设备配置的工具。
谢谢。
此致、Jack