• 状态
  • 已锁定 已锁定
  • 回复 3 回复
  • 订户 0 订户
  • 视图 16 视图
  • 用户 0 会员在此处
选项
选项
相关

This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] AM623:AM623x 的网络安全查询:验证 ROOTFS、密钥管理、uboot FitImage 错误

admin
Guru**** 2331900 points
请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/processors-group/processors/f/processors-forum/1509988/am623-cybersecurity-inquiries-for-am623x-authenticating-rootfs-key-management-uboot-fitimage-error

器件型号:AM623

工具/软件:

团队、

客户提出的一些网络安全问题、我的第一遍回答(请查看并评论最后的第3个问题):

 

1.如何在通过内核装入 ROOTFS 之前对其进行身份验证? TI 的建议是什么?

 使用 NFS 装载根文件系统。 引导加载程序将告知内核在何处查找根文件系统1.

  1. SK-AM62A-LP:如何设置 U-Boot 环境值以在 AM62A 定制电路板上安装 NFS -处理器论坛-处理器- TI E2E 支持论坛
  2. Arm 上的 U Boot 入门

 2.如何管理 CRTS 和密钥? 目前我看到它们是 U-boot 源代码(即 u-boot/board/ti/keys 目录)的一部分

 AM62x 系统上加密密钥和证书的管理 1. 2. 3. 4. 5.  涉及高安全性-现场安全(FS)器件、非对称加密和自定义密钥 1. 2. 3. 4. 。  该系统使用公钥和私钥的组合来实现安全启动、并保护 ROM 代码和安全外设2. 4.

 基础信息安全机制|视频|德州仪器 TI.com

安全启动简介|视频|德州仪器 TI.com

(计划中有更多视频)

 AM62x 培训:

器件标识和密钥

安全性概述: 安全性

 

我在 u-boot 验证 fitImage 时遇到以下错误、我验证了 uboot DTB 有签名节点、并经历了许多 E2E 的问题、但找不到解决方案。

 这是一个我想依靠我们的专家…。 敬请关注更多…

 此外、您是否已经有 AM62X 安全性 文档(我认为您是)?

ti.com/secureresources/AM62X-RESTRICTED-SECURITY?

 

CY、

CY

  • 0
    TI__Guru**** 2331900 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    Prashant 和团队、

    进一步总结- 问题特别侧重于安全启动、尤其是根文件系统的身份验证方式及其如何融入安全启动过程的信任链中。

    1.如何在通过内核装入 ROOTFS 之前对其进行身份验证? TI 的建议是什么?

    2.如何管理 CRTS 和密钥? 目前我看到它们是 U-boot 源代码(即 u-boot/board/ti/keys 目录)的一部分

    我在 u-boot 验证 fitImage 时遇到以下错误、我验证了 uboot DTB 有签名节点、并经历了许多 E2E 的问题、但找不到解决方案。

       ##从 FIT 图像加载内核82000000 ...

      使用"conf-ti_k3-am625-xxx_xxxx.dtt"配置

      正在验证哈希完整性... fit_config_verify_required_keys:未找到签名节点:FDT_ERR_NOTFOUND

    错误的数据哈希

    错误:无法获取内核映像!

    您的评论确实受到欢迎和赞赏!

    CY、

    CY

  • 0
    TI__Guru**** 2331900 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好:

    user5948470 说:
    1.如何在通过内核装入 ROOTFS 之前对其进行身份验证? TI 的建议是什么?

    我认为这一点到目前为止还没有得到正式支持。

    最新的 SDK 似乎支持此功能:

    software-dl.ti.com/.../Auth_boot.html

    user5948470 说:
    2.如何管理 CRTS 和密钥? 目前我看到它们是 U-boot 源代码的一部分、即 u-boot/board/ti/keys 目录

    管理密钥是用户的责任。 默认架构假设密钥存在于本地文件系统中。 如果是由 HSM 服务器等自定义架构管理密钥、则必须在 U-Boot 源代码中相应地修改签名过程。

    user5948470 说:
    我在 u-boot 验证 fitImage 时遇到以下错误、我验证了 uboot DTB 有签名节点、并经过了许多 E2E 的测试、但找不到解决方案。

    请参阅以下相关主题:

    (+) PROCESSOR-SDK-AM62X:[AM6231][安全引导][HS-SE]验证哈希完整性... fit_config_verify_required_keys:未找到签名节点:FDTD 坏数据哈希-处理器论坛-处理器- TI E2E 支持论坛

    这通常应该是 A53 U-Boot 映像存在的问题。 请注意、创建 fitImage 后需要重建 U-Boot。

    如有疑问、请分享完整日志。

    此致、

    Prashant

  • 0
    TI__Guru**** 2331900 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    这是否意味着 TI 没有计划为密钥本身添加适当的 HSM 支持? 这对我来说似乎是一项关键的缺失功能、我希望 TI 能够自行添加适当的支持、因为这一要求越来越多、我相信许多其他应用也是如此