[参考译文] AM62A7：am62x 加密和解密

Hong Hong：

感谢您的答复。 我知道加密/解密是可选的。 由于我们的产品需要启用 Linux 恢复内核和正常内核在加载后进行加密和解密、您能否提供建议或方法来执行此操作？ 由于加密和解密由 TI 固件自动处理、因此我不知道映像的格式是什么。 任何文档或 SDK 代码示例都将很有帮助、谢谢 Aiping

尊敬的爱平：
在扩展安全启动流程中、TI OM/TIFS 用于验证 spl/u-boot、下一阶段 u-boot 通过社区 u-boot 时基故障签名验证方案来正确验证内核/DTB。
https://e2e.ti.com/support/processors-group/processors/f/processors-forum/1477353/am6442-processor-sdk-linux-secure-boot-authentication-u-boot-proper---linux/5671474#5671474
https://git.ti.com/cgit/ti-u-boot/ti-u-boot/tree/doc/usage/fit/signature.rst
此致、
- Hong

Hong Hong：

我的问题与 Linux 内核映像加密和解密支持有关、而不是身份验证（签名验证）。 您的回复不包含任何关于加密/解密的内容。 您能否提供有关如何在 TI 平台上添加图像加密/解密支持的信息？

谢谢爱平

尊敬的爱平：
是的、通过将内核/DTB 的 u-boot 正确验证移至新的 u-boot 时基故障方案、只执行签名身份验证来进行完整性检查、而不执行机密性检查。 U-boot 时基故障代码由社区维护、而不是由 TI SDK 细节负责。
此致、
- Hong

Hong Hong：

我理解你的观点。 但 TI 的文档清楚地表明、TI 的固件/ROM 支持身份验证和解密。 我们希望使用 TI 的固件/ROM 对恢复内核或 Linux 内核进行解密、哪些应该更安全、解密密钥应该能够在保险丝中烧坏？ 请 为我们提供支持、并提供我们如何实现此目标的接口或文档。

谢谢爱平

尊敬的爱平：
这是一个替代选项
1/。 请参阅 Linux SDK 8.x、其中 u-boot 使用 TIFS API 正确验证内核/DTB（使用了强制签名验证，但不使用可选的二进制 blob 解密）
2/。 请参阅 MCU+SDK 中的安全启动流程、在这个流程中、除了强制签名验证外、它还可配置为启用可选的二进制 blob 解密。
https://software-dl.ti.com/mcu-plus-sdk/esd/AM62AX/10_01_00_33/exports/docs/api_guide_am62ax/SECURE_BOOT.html#autotoc_md192
#加密选项（是/否）
ENC_ENABLED？=否

例如、取 2/。 作为基准、并将其应用于 1/。 在 TIFS API 调用中启用签名验证+二进制 blob 解密。 这仅供您参考、以启用您的用例。
此致、
- Hong