This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] AM6421:SBL 是否可以使用 TI's 引导加载程序驱动程序对'binary&#39进行解密;?

Guru**** 2378650 points
请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/processors-group/processors/f/processors-forum/1494937/am6421-can-sbl-use-ti-s-bootloader-driver-to-decrypt-the-binary

器件型号:AM6421

工具/软件:

尊敬的 TI 专家:

我使用 MCU SDK: mcu_plus_sdk_am64x_10_00_00_20。

我对 AM64上的安全启动有一些问题、我想为 SBL 和 RTOS 应用启用身份验证和加密

下面的屏幕截图展示了安全启动时的身份验证步骤。  

如果我启用安全启动、并生成了 SBL 的安全映像(使用 x509证书)、RBL (第一个引导加载程序)会为我完成所有步骤、对吗? 是否包括步骤3和4 (黄色)?

但对于应用的安全启动、如何启用所有步骤呢? 引导加载程序驱动程序的 API (Bootloader_socAuthImage)是否会执行这些操作?

它是否会"加载整个应用程序映像"-->'cacluate 其哈希'-->'compare with x509的哈希'?

"Step 4"、何时将在引导加载程序驱动程序中执行?

  • 请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好:

    Unknown 说:
    如果我启用安全启动并生成了 SBL 的安全映像(使用 x509证书)、RBL (第一个引导加载程序)将为我完成所有步骤、对吗? 包括步骤3和4 (黄色)?

    是的、ROM 将对 SBL 映像进行身份验证和解密(如果已加密)

    Unknown 说:
    但对于应用程序的安全启动、如何启用所有步骤? 引导加载程序驱动程序的 API (Bootloader_socAuthImage)是否会执行这些操作?

    此 API 请求 SYSFW 对映像进行身份验证。 SYSFW 还会进行身份验证和解密映像(如果加密)。

    请同时查看以下指南:

    https://software-dl.ti.com/mcu-plus-sdk/esd/AM64X/10_01_00_32/exports/docs/api_guide_am64x/SECURE_BOOT.html

    此致、

    Prashant

  • 请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好 、Prashant、

    非常感谢。

    正如您提到的、"API (Bootloader_socAuthImage) 也会进行身份验证和解密映像(如果加密)"。

    我对如何实现感到好奇。 因为在读取 SBL 代码后、我看到在"Bootloader_socAuthImage"之后

    bootloader_rprcImageLoad ()"将直接调用"imgReadFxn ()"以从闪存读取到 DDR、我没有看到任何加密过程。

  • 请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。
    我对如何实现感到好奇。 因为在读取 SBL 代码后、我看到在"Bootloader_socAuthImage"后的"

    如前所述、此 API 请求在 DMSC 内核上运行的 SYSFW 进行映像身份验证。 如果 SYSFW 返回 ACK、则表示映像经过身份验证并可成功解密(可选)。

  • 请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Prashant、

    因此、对于 AM64x 上的这个 API (Bootloader_socAuthImage):

    对于身份验证、仅支持两种类型:RSA-4096和 ECDSA-4096?

    对于加密、仅支持一种:AES-256? 对吗?

  • 请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好:

    对于身份验证、只支持两种类型:RSA-4096和 ECDSA-4096?

    到目前为止、仅支持 RSA4096

    https://software-dl.ti.com/tisci/esd/latest/6_topic_user_guides/key_writer.html#supported-fields

    对于加密、只支持一种加密:AES-256? 对吗?

    是的。

    此致、

    Prashant

  • 请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Prashant、

    感谢您的答复。

    我对 SMEK 密钥有一个安全问题、因为它直接存储到 OTP 中、并将由 DMSC FW 用于解密二进制。

    从技术角度来看、TI 如何确保 SMEK 的安全性? SBL/APP 无法读取?  

    我们公司的典型安全解决方案建议我们需要使用 ECC-256加密 SMEK 密钥、并将 ECC-256公钥存储到 OTP 中、您怎么看?

    Zekun Bai

  • 请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好:

    从技术角度来看、TI 如何确保 SMEK 的安全性? SBL/APP 无法读取?  [/报价]

    无法从 SBL/APP 等非安全世界应用程序读取 SMEK。 从不离开安全子系统(DMSC)。

  • 请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Prashant、

    相关"目前仅支持 RSA4096"、支持'ECDSA'的计划是什么? 什么时候会发生?

  • 请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    你好,我将与团队检查一次,并得到你.

  • 请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好:

    相关"目前仅支持 RSA4096"、支持'ECDSA'的计划是什么? 何时会发生?

    没有立即支持 ECDSA 的计划。 目前暂定在26年第1季度提供支助。

    此致、

    Prashant

  • 请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    Prashant:

     是否会考虑 在 AM64x SDK v12.0上支持 ECDSA?

    谢谢

    Jim