This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] AM4372:安全存储功能支持

Guru**** 2386610 points
请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/processors-group/processors/f/processors-forum/1500890/am4372-secure-storage-feature-support

部件号:AM4372

工具/软件:

您好 AM437x 和 AM62x Champ!

我的客户正在调查 AM437x HS 和 AM62x 的安全设备上的安全功能。

以下是我对两人的初步研究。

请检查并建议安全存储功能实施。

Small blue diamond 安全存储打开  TI Sitara AM437x

1. 安全功能

  • 支持 AM437x 安全功能有限 、并且只有一些变体可作为提供 高安全性(HS)器件

  • 不过、 不支持 OP-TEE 或基于 TrustZone 的安全存储 AM437x。

  • 因此、安全存储解决方案通常依赖于这些解决方案 外部硬件 软件加密

2. 使用外部 TPM (可信平台模块)

  • 您可以集成外部器件 TPM 2.0芯片 连接到 I2C 或 SPI。

  • 使用tpm2-toolstpm2-tss和相关软件安全地存储加密密钥、证书等。

  • Linux 应用程序可以与 TPM 交互以实现安全的密钥操作。

3. 加密文件系统

  • 您可以使用加密特定分区 dm-crypt+ LUKSfscrypt

  • 示例:将敏感配置文件或密钥文件存储在加密卷中(例如/etc/secure_data)。


Large blue diamond 安全存储打开  TI AM62x

AM62x 是较新的 Sitara 平台、包含 现代安全功能

1. 高安全性(HS)器件支持

  • 支持的配置 安全启动、密钥存储和访问控制 使用 TI 的高安全性(HS)型号。

  • 安全密钥可以烧录到中 一次性可编程(OTP)保险丝

2. OP-TEE 和 TIFS (TI 基础安全)

  • AM62x 支持 TrustZone 和附带的 OP-TEE 、可信执行环境(TEE)。

  • TI 的 Linux SDK 包括 OP-TEE 集成了安全存储支持

  • 在 TEE (受信任的应用程序)中运行的应用程序可以安全地存储密钥和凭据。

μPackage OP-TEE 安全存储示例:

  • TEE_CreatePersistentObject()从 OP-TEE API 中使用。

  • 数据存储在中 加密格式 在安全的文件系统中(通常/data/tee)。

  • 只有受信任的应用程序才能访问此存储、而不是常规 Linux 用户。

3. RPMB (Replay 保护内存块)支持

  • AM62x 可以使用 eMMC 的 RPMB 分区 安全存储数据。

  • OP-TEE 可与 RPMB 集成 防篡改 安全存储。


Mag 总结比较:AM437x 与 AM62x

功能 AM437x AM62x
安全启动 受限(仅限 HS) 完全支持
TEE/OP-TEE 不支持 完全支持
安全存储 通过 TPM 或加密 FS OP-TEE 安全存储+ RPMB
外部 TPM 支持 是的 是(可选)
RPMB 支持 是的
TI 安全工具 受限 包括 TIFS、Keywriter 等

White check mark 推荐的方法

对于 AM437x:

  • 使用外部电源 TPM 2.0 安全密钥存储。

  • 使用保护敏感文件 DM-crypt 加密

  • 考虑在应用程序内进行软件加密(例如 OpenSSL AES)。

对于 AM62x:

  • 应用 OP-TEE 安全存储 API 以进行密钥/证书管理。

  • 在中存储机密 RPMB 晶体的振荡频率。

  • 应用 TI 安全启动和 Keywriter 用于安全管理设备配置的工具。

谢谢。

此致、Jack