请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。
器件型号:AM625工具/软件:
我正在开发一种基于 PKI 的新服务、用于 Sitara 安全启动。 这将包括初始 SBL、u-boot 和 Yocto 等所有内容。
我注意到在受限文档中它提到了 PKI、但在图中它说它只是将固件公钥与 eFuse 中的公钥进行了比较。 这显然不是 PKI!
在 PKI 中有一个信任根、这应该与使用的引导密钥无关。
那么引导 PKI 是否正确? 是否有办法评估 SBL 中的信任链、或者这只是将 X.509 格式用于“wannabe PKI“?
我们需要将根 CA 证书烧录到 eFuse、并使用由中间 CA 签名的软件签名证书为每个固件版本颁发密钥。
我相信我们可以将其从 u-boot 正向排序、但这会使 SBL 保持打开状态。 ->引导不是那么安全。
此致、
//HS
