• 状态 Resolved
  • 已锁定 已锁定
  • 回复 6 回复
  • 订户 0 订户
  • 视图 18 视图
  • 用户 0 会员在此处
选项
选项
相关

This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] AM6421:有关 AM64安全引导解决方案的一些问题

admin
Guru**** 2329030 points
Other Parts Discussed in Thread: SYSCONFIG, AM6421
请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/processors-group/processors/f/processors-forum/1519975/am6421-some-questions-for-secure-boot-solution-on-am64

器件型号:AM6421
主题中讨论的其他器件:SysConfig

工具/软件:

尊敬的 TI 专家:

我正在使用 MCU SDK:mcu_plus_sdk_am64x_11_00_00_15和 SysConfig: sysconfig_1.22.0

Q1:在"AM64x 安全概述"的培训 ppt 中、有一个"魔法编号"验证步骤、下面以黄色圈出。

但我没有看到"appimage_x509_cert_gen.py"中没有任何"宏编号"配置、能帮我确定它在哪里吗?

问题2:TI FEK 公钥的"优先密钥"存储在哪里? OTP 或 DMSC 的 SYSFW 中?

我看到 TI-FEK 公钥存储在 OTP 中、并且是脚本所必需的、我想知道相应的私钥存储在哪里? 如果是在 SYSFW 中、且 SYSFW 存储在外部闪存中、则存在潜在的安全问题吗?

  • 0
    TI__Guru**** 2329030 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好:

    Unknown 说:
    但我没有看到"appimage_x509_cert_gen.py"中没有任何"宏编号"配置、您能帮助我确定它在哪里吗?

    下面的"Magic Number"实际上是脚本中的"Random String":

    https://github.com/TexasInstruments/tifs-mcu-common/blob/next/tools/boot/signing/appimage_x509_cert_gen.py#L101-L101

    TISCI 文档中介绍了如何使用此"随机字符串(又名 Magic Number)":

    https://software-dl.ti.com/tisci/esd/latest/6_topic_user_guides/secure_boot_signing.html?highlight=random%20string#signing-an-encrypted-binary-for-secure-boot

    Unknown 说:
    我看到 TI-FEK 公钥存储在 OTP 中、脚本需要它、我想知道相应的私钥存储在哪里? 如果它位于 SYSFW 中、且 SYSFW 存储在外部闪存中、则是否存在潜在的安全问题?

    TIFEK 密钥对不存储在 OTP 中。 TIFEK 公钥随 OTP Keywriter 包提供、而 TIFEK 私钥是加密的 SYSFW 二进制文件的一部分。

    此致、

    Prashant

  • 0
    TI__Guru**** 2329030 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Prashant、

    感谢你的帮助。

    关于此:

    "TIFEK 密钥对不存储在 OTP 中。 TIFEK 公钥随 OTP Keywriter 包提供、而 TIFEK 私钥是经过加密的 SYSFW 二进制文件的一部分。"

    所以 SYSFW 双向存储器由'MEK'加密,并由'MPK'验证,所有这些都存储在 OTP 中,对吧?

    另外、opt Keywriter 二进制和 SBL 中的 SYSFW 二进制都被加密、这就是保证 TIFEK 私钥安全性的方法、对吧?

  • 0
    TI__Guru**** 2329030 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Prashant、

    还有一个问题。

    我们公司的安全策略要求支持 RSAv2.0、即"RSA-PSS"算法。 在接下来的主题中、我看到您回复了"AM6421不支持"。 我想知道硬件是否支持安全引擎或 BootROM? 或者仅与 SYSFW 相关。

    由于 Bootrom 依赖 SYSFW 进行所有验证、我想是 SYSFW、对吧? 如果是、是否有计划在 SYSFW 内添加支持?

    AM6412:采用 RSASA-PSS 算法进行图像身份验证-处理器论坛-处理器- TI E2E 支持论坛

  • 0
    TI__Guru**** 2329030 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好:

    Unknown 说:
    此外、在 opt Keywriter 二进制和 SBL 中的 SYSFW 二进制文件都被加密、这就是保证 TIFEK 私钥安全性的方法、对吗?

    是的。 TIFEK 仅在 Keywriter 的上下文中相关。 它不能在其他地方使用。

    Unknown 说:
    我想知道硬件是否不支持、例如安全引擎或 BootROM? 或者它只是与 SYSFW 相关。

    ROM 不支持该模式。

    Unknown 说:
    由于 Bootrom 依赖 SYSFW 进行所有验证、我想这是 SYSFW、对吧? 如果是、是否有计划在 SYSFW 中添加支持?

    SYSFW 是 ROM 后在 DMSC 内核上运行的下一个固件。 因此、ROM 不需要 SYSFW 进行任何操作。 ROM 本身具有身份验证过程的所有实现方式。

    目前尚无支持 AM64/243设备任何其他签名方案的计划。

    此致、

    Prashant

  • 0
    TI__Guru**** 2329030 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Prashant、

    好的、我看到了。

    我想确保"ECDSA"支持只涉及 SYSFW、计划在 26年第1季度完成、对吧?

  • 0
    TI__Guru**** 2329030 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好:

    Unknown 说:
    我想确保'ECDSA'支持只涉及 SYSFW、安排在 26年第1季度、对吧?

    它只是暂定的。 目前仅针对 AM62器件安排了 ECDSA 支持。

    此致、

    Prashant