[参考译文] AM3352：HS 器件安全认证流程 — PQC with Software

Hong Hong：

感谢您的支持。

您之前说过、在上一个主题上、

以下是您的客户可以了解的一些选项：
-添加外部 TPM/SE 设备及未来的 PQC 保护固件更新机制。
-查找可以集成到用户代码库（即引导加载程序）的 PQC 库

AM3352：HS 器件安全认证流程 — 处理器论坛-处理器 — TI E2E 支持论坛

客户正在探索寻找可立即集成到用户代码库中的 PQC 库。

请详细说明一下吗？

此致、

Kenley

尊敬的 Kenley：
请允许我在上一次答复中补充说明。

AM335x HS 片上 ROM 仅支持基于 RSA 的 PKCS 签名验证。
AM335x HS 器件无法支持 PQC。

用户的引导加载程序需要使用 RSA 密钥离线签名、然后在目标引导过程中使用基于 RSA 的 PKCS 签名验证通过片上 ROM 进行身份验证。 无法使用 PQC 验证用户的引导加载程序。

1/。 在由 AM335x 片上 ROM 使用基于 RSA 的 PKCS 方案验证和引导用户的引导加载程序后、
-理论上,AM335x SecDev 软件包可以使用 IFT 对任何带有 RSA 密钥的数据 blob（即 PQC 公钥）进行签名,并通过调用 ROM/PPA API 来验证已签名的数据 blob ,以便通过用户的引导加载程序进行基于 RSA 的 PKCS 签名验证。 此步骤通过用户的引导加载程序验证二进制 blob（即 PQC 公钥）...

2/。 完成最后一步后、用户可以了解如何为下一阶段二进制 blob 验证、TPM/SE 或 PQC 库添加 PQC 支持...
-用户的引导加载程序可以使用 (TPM/SE, PQC lib...) 继续进行基于 PQC 的签名验证 在最后一步中使用已验证的 PQC 公钥...

此致、
- Hong

Hong Hong：

感谢您的支持。

让我澄清一下。

您的意思是 PQC 可以得到支持、但通过执行您刚才提到的步骤、它是否正确？

请回答以下问题。

1.根据 AM3352 HS 器件规范、公钥证书当前包含 256 字节公钥。 如果客户将其替换为大约 3 KB（PQC 的公共密钥）、它是否有效？
在验证并启动 PQC 的公钥之前、客户期望正常操作。

→？μ s

2.（如果 1 为“是“）客户希望使用支持 PQC 的图像格式化工具 (IFT)。 是否可提供？

→？μ s

3.（当 2 为“否“时）如果未提供符合 PQC 的 IFT、则客户需要自行创建。 是否可以制作自己的 IFT？

→？μ s

4、软件验证 (PQC) 可能会影响启动速度。 一种可能的解决方案是更改为硬件验证 (PQC)。
是否有 CPU 可以直接在 CPU 上验证 PQC 签名？ 客户 想要一款与现有 AM3352 HS 器件兼容的器件。

→？μ s

此致、

Kenley

尊敬的 Kenley：

您的意思是可以支持 PQC、但通过执行您刚才提到的步骤、它是否正确？

我上次回复中的步骤 1/是可行的、使用具有 AM335x ROM/PPA 支持的 AM335x SecDev 软件包、并且客户需要探索步骤 2/、以便通过 TPM/SE 或 PQC 库获得 PQC 支持...

不可以、它不能用 PQC 密钥替换 RSA 公钥、因为 PKC 结构已固定为仅支持 RSA 密钥。

此致、
- Hong

Hong Hong：

谢谢你。

这个问题怎么样？

4、软件验证 (PQC) 可能会影响启动速度。 一种可能的解决方案是更改为硬件验证 (PQC)。
是否有 CPU 可以直接在 CPU 上验证 PQC 签名？ 客户 想要一款与现有 AM3352 HS 器件兼容的器件。

提前感谢您、

Kenley

尊敬的 Kenley：
TI 正在努力为较新的处理器添加 PQC 支持、但不支持 AM335x HS 兼容处理器。
此致、
- Hong