• 状态 Resolved
  • 已锁定 已锁定
  • 回复 5 回复
  • 订户 0 订户
  • 视图 296 视图
  • 用户 0 会员在此处
选项
选项
相关

This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] CC3235MODASF:HSM 和 CC3235

admin
Guru**** 2539500 points


请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/wireless-connectivity/wi-fi-group/wifi/f/wi-fi-forum/909572/cc3235modasf-hsm-and-cc3235

器件型号:CC3235MODASF
我们计划在 Wi-Fi 网桥上使用预配置的 HSM 连接到 AWS。 HSM 附带预先编程的证书(器件和签署人)和私钥。  私钥的密钥插槽被锁定、这意味着必须在 HSM 内完成所有与私钥的操作。
我尝试浏览 cc32xx 的文档以及如何建立 TLS 会话、似乎 cc32xx 在内部文件系统中必须具有.pem 格式的私钥。 有没有办法解决这个问题?
谢谢你
  • 0
    TI__Guru**** 2539500 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好!

    这些是 CC32xx 连接到 AWS IoT 所需的证书/密钥对吗? 如果您无法将 HSM 所需的私钥传输到 CC32xx、则需要采用不同的方法。

    建议的方法是让 CC32xx 在运行时自行配置、如下所示:

    由于 CC32xx 能够使用其器件唯一的 keypair 来生成 CSR、因此它可以联系 AWS IoT 配置服务并在运行时设置自己的 AWS 证书/密钥。

    在这种情况下、您的 HSM 不需要传输预生成的私钥、只需连接到 CC32xx 并下载其 UDID 和公钥即可进行未来身份验证。 该方法是否更适合您的生产线?

    此致、

    Michael

  • 0
    TI__Guru**** 2539500 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Michael、

    我们计划使用的 HSM 是 Microchip 的 Trust&go。 它附带预配置的证书、签名证书可导入到 AWS 中。

    以下是一个链接:

    https://aws.amazon.com/de/blogs/apn/implementing-secure-authentication-with-aws-iot-and-microchips-trust-platform/

    但是、我不能完全确定 cc32XX 是否可以使用这种方法。 当我查看 AWS 器件影子的示例代码时、内部文件系统中的私钥必须始终为.pem 格式:

    在 aws_IoT_conig.c 中

    #define AWS IOT 根 CA 文件名   "/cert/ca.pem //<根 CA 文件名

    #define AWS IOT certificate_filename "/cert/cert.pem //<器件签名的证书文件名

    #define AWS IOT 专用密钥文件 名"/cert/key.pem //<设备专用密钥文件名

    当私钥存储在 HSM 中而不是存储在文件系统中时、是否有办法启动相互 TLS 验证?  

    谢谢你

    Simon

  • 0
    TI__Guru**** 2539500 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Simon、

    我看到你的 HSM 现在正在尝试做什么。 我之前对生产线上使用的 HSM 感到困惑。

    遗憾的是、CC32xx 需要将私钥存储在器件的串行闪存中、以便与 TLS 堆栈配合使用。 您将无法将私钥仅保留在 HSM 上、但仍可将其用于 TLS 身份验证。 如果硬要求将私钥存储在 HSM 上、则需要在 CC32xx 上运行您自己的网络堆栈。 这是可行的、但我们没有这方面的任何示例或演示。

    请记住、CC3235在其外部闪存上具有安全存储、您还可以使用 UDID 和/或唯一密钥对进行身份识别、并使用安全存储在 CC3235串行闪存上的 AWS 私钥和证书。

    您对这种方法是否有任何疑虑?

    此致、

    Michael

  • 0
    TI__Guru**** 2539500 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Michael、

    感谢您的更新。 我真的很喜欢拥有预置 HSM 的想法。 是否计划将此选项添加到 TI 端的 TLS 堆栈?

    Simon

  • 0
    TI__Guru**** 2539500 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Simon、

    否、没有计划增加 CC32xx 访问用于 TLS 验证的 HSM 的能力。 目前、器件希望私钥存储在直接连接到 CC32xx 的外部串行闪存中。 没有相应的配置、可以通过 I2C/SPI/UART/等 访问外部器件并利用其签名功能。 用户应利用 CC32xx 本机的安全存储来存储私钥等敏感数据。

    此致、

    Michael