请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。
器件型号:PROCESSOR-SDK-AM64X主题:AM62P 中讨论的其他器件
工具/软件:
您好团队
我最近了解到、AM64xx 系列 SoC 增加了密钥环支持。 因此、我检查了在由于事件而必须撤销 SMPK 的情况下、密钥环支持是否可以提供一种机制来替换 SMPK 根密钥。
根据此说明 https://software-dl.ti.com/tisci/esd/latest/6_topic_user_guides/keyring.html#keyring-import 我发现,密钥环导入需要使用 SMPK(或可能的 BMPK)签名的 X.509 证书。 因此、我得出结论、如果必须恢复 SMPK、则不能使用密钥环中的密钥。 你能确认这一点吗?
恢复 SMPK 的唯一可能性是切换到 BMPK、正确吗?
请注意、根密钥完整性是我们关于 AM64x 系列的主要安全问题之一。 SMPK 和 BMPK 必须同时调试。 我们必须燃烧我们还不需要但将来可能需要的 BMPK。 但是、如果 SMPK (RSA4k) 变得容易受到攻击(我们有 20 年的使用寿命)、那么 BMPK 就没有太大帮助、因为使用相同的算法。 如果我们的 SMPK 被披露,那么 BMPK 很可能也被披露,除非我们在物理和逻辑上将 BMPK 与 SMPK 分离(这并不是真正可行的)。
TI 是否曾考虑支持添加剂调试? 这将允许我们在真正需要时添加 BMPK。
密钥撤销是否曾经是导致引入 BMPK 的一个深思熟虑的用例? 我怀疑密钥撤销是对 BMPK 最初的用途的滥用。
据我所知、ECDSA 支持曾经在路线图上。 ECDSA 支持的状态是什么?
此致
Walter
