• 状态 Resolved
  • 已锁定 已锁定
  • 回复 4 回复
  • 订户 0 订户
  • 视图 993 视图
  • 用户 0 会员在此处
选项
选项
相关

This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] CC3220SF:代码签名证书的最小密钥大小增加到3072位

admin
Guru**** 2539500 points
Other Parts Discussed in Thread: CC3220SF, UNIFLASH, CC3120

请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/wireless-connectivity/wi-fi-group/wifi/f/wi-fi-forum/1069761/cc3220sf-minimum-key-size-for-code-signing-certificates-increase-to-3072-bits

部件号:CC3220SF
《线程》中讨论的其他部件: UNIFLASHCC3120

CA/B 论坛规定,自2021年06月01日 起,最低代码签名密钥大小将增加到3072位。  CC3220SF 启动 ROM 仅支持2048位。

在这些情况下,您能否为如何使用 CC3220SF 提供一些指导?  常见问题和 AppNote 将有所帮助。  我一直在搜索论坛,并找到了以下链接:

1.此论坛帖子说只需查找另一个代码签名证书提供商。  

https://e2e.ti.com/support/wireless-connectivity/wi-fi-group/wifi/f/wi-fi-forum/1042210/launchcc3220modasf-operation-failed-image-creation-failure-error-signature-file-size-exceeded-the-actual-size-is-384-bytes-while-the-max-supported-signature-size-is-256-bytes

TI 能否推荐供应商?  还是成为 IT 客户的提供商?

供应商

注释

comodosslstore.com      

仅3072位

www.ssl.com

仅3072位

digicert.com

仅3072位

太糟糕了

现在是 DigiCert

Symantec

现在是 DigiCert

globalsign.com

等待响应

 这篇文章提到了创建私有目录: https://e2e.ti.com/support/wireless-connectivity/wi-fi-group/wifi/f/wi-fi-forum/1045696/cc3235modsf-code-signing-certificate?tisearch=e2e-sitesearch&keymatch=code%25252520signing%25252520key

供应商设备验证与 SimpleLink WiFiRegistered设备配合使用

我需要一些时间来消化这些信息。  它是否支持公共加密站点?  Playground 目录没有。  我目前的理解是,目录需要由 CC3220或 CC3235私钥签署(这就是为什么目录不同)。

3. 这篇文章说,我的产品无关紧要,因为设备不知道启动的当前时间,所以过期的代码签名证书可以使用。  失效日期被忽略。

https://e2e.ti.com/support/wireless-connectivity/wi-fi-group/wifi/f/wi-fi-forum/878184/cc3220sf-obtaining-certificates-for-production-for-secure-boot

这对新客户来说是一个问题 ,可能会在安全审计中提出问题。

谢谢你,

标记

  • 0
    TI__Guru**** 2539500 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好,

    1. TI 不是供应商,因此我们无法提供此服务。 我不知道有哪些特定授权机构仍可以提供2048个密钥,但如果有的话,您肯定可以使用它。
    2. 您可以在串行闪存中使用 OTP 使用专用目录。 它所做的只是替换 TI 提供的目录证书,使客户能够完全控制目录中引入的根 CA 证书。 在这种情况 下,客户需要生成公钥和私钥,并将公钥存储在 OTP 中(使用此密钥而不是 ROM 中的 TI 公钥)。 此选项仍然允许连接到安全站点,并且具有使用 TI 目录的所有优点(因此它是无缝的)。 在这种情况下,解决方案是存储新的根 CA (支持大于2K 的密钥),但同时保留一个自签名根 CA,该根 CA 仅为 MCU 映像使用2K 密钥,可以在生产过程中绕过限制。 请注意,例如,在 OTA 期间,NWP 具有4K 关键支持。 限制仅在生产过程中出现,因为引导加载程序不支持4K 密钥。
    3. 设备不会检查用于文件系统操作(仅用于连接到安全站点)的证书的过期时间。 这可能会引发问题,但这并不是真正的安全漏洞,因为用于文件系统的证书完全控制存储这些证书的用户,并且没有服务器发送证书链进行身份验证,因为该链已经在文件上 系统。

    此致,

    什洛米

  • 0
    TI__Guru**** 2539500 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好,

    只需快速评论第2点。 OTP 目录的使用有一个很大的缺点。 OTP 目录只能由 Uniflash 软件(通过 UART)编写。 这意味着在这种情况下,通过嵌入式编程或 Gang 编程进行的生产编程不起作用。 这会使大规模生产复杂化。

    1月

  • 0
    TI__Guru**** 2539500 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    请 确认,选项3允许代码签名证书过期不会影响设备编程或过期后的 OTA 更新。  如果是这样,这似乎是我们中拥有现有代码签名证书的用户的最佳选择。

    对于选项2,是否可以更新已部署设备的 OTP?  OTP 编程记录在哪里?     我们目前参考 SWPA230A,“CC3120和 CC3220 SimpleLink Wi-FiRegistered嵌入式编程”进行设备编程。

    谢谢你,

    标记

  • 0
    TI__Guru**** 2539500 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好,

    我看到我的经理通过 电子邮件打开了一个私人渠道,但只是为了完成您对广大受众的查询:

    1. 我确认。 即使该日期过期,出于文件系统验证的目的,也不会检查日期。
    2. 您可以阅读供应商目录证书文档 https://www.ti.com/lit/ug/swru547a/swru547a.pdf?ts=1642661114802&ref_url=https%253A%252F%252Fwww.ti.com%252Fsitesearch%252Fdocs%252Funiversalsearch.tsp%253FlangPref%253Den-US%2526searchTerm%253DVendor%2BDevice%2BAuthentication%2526nr%253D637
      嵌入式编程在这种情况下不相关。

    使用供应商目录选项的唯一方法是通过 Uniflash 编程,这样部署的设备就无法获得更新。 只有新的。

    但是,如果您选择 TI 为 客户签署自定义可信目录的选项,您可以像现在一样使用常用的 OTA 程序(即不要使用 OTP 方法)。

    此致,

    什洛米