[参考译文] CC3220S：特定于供应商的证书、OTP 写入错误

您好！

您在使用什么芯片？ IC 还是模块？

如果这是 IC、您在使用什么串行闪存器件？

什洛米

CC3220S、我们自己的电路板。  
串行闪存芯片为  GD25Q32C

很好的信息。 谢谢 Shlomi。

感谢您的帮助、仍然 将问题嵌套以便有上下文。
如果我理解正确、 下面是消费类产品中 CC3220S 芯片的 OTA 更新安全方法：

1.从 RIGHT CA 购买证书 ex. DigiCert 等。

2.使用供应商特定的证书。 免费。 但它需要用于 OTP 的 macronix 串行闪存。

3. TI 虚拟认证。 但要与其他人共享、黑客可以通过 OTA 访问该产品。

我是否缺少安全 OTA 的替代方法？

此外、如果 TI 与 CA 有任何建议或合作伙伴关系、

选择哪一个以及 IT 成本和工作量？

您好！

第一个选项在 CC3220S 中无法实现。 因为您将找不到能够颁发兼容证书的 CA。 CC3220器件不支持 SHA-384或 SHA-512以实现安全启动。 如果要使用来自 CA 的代码签名证书、则应使用 CC3235S、其中支持 SHA-384或 SHA-512。

1月

要添加、不能确定虚拟证书的含义是什么。 您能详细说明一下吗？

一旦拥有了根 CA (或处理此问题的 TI 根 Ca)、就不再需要虚拟证书。

您应该使用与目录中的某个根 CA 结尾的"真实"证书。

此致、

什洛米

虚拟证书是 TI 附带的一种证书。

关于真实证书、Jan D 说、我们不能使用它、因为它不支持 SHA-384或 SHA-512。  

感谢您的答复。 如果是这种情况、我们如何确保 CC3220S 的 OTA 过程的安全？

让我在内部检查一下、但如果您只是处于设计阶段、我们强烈建议您转到 CC3235器件。

遗憾的是、我们已通过设计阶段。 这是现在要介绍的重大变化。

我看、没问题。

您好、Lokesh。

如果您有一些较旧的过期代码签名证书(例如 DigiCert SHA2保证 ID 代码签名 CA 和 SHA256RSA)、则可以使用它们来为 CC3220S 器件进行安全引导。 CC3220S 的引导程序不会验证过期证书。 如果您没有丢失证书的私钥、则从安全立场来看、使用过期证书是没有问题的。

1月

谢谢您的 

您好！

否。 但它需要是您的(您的公司证书)、并且您需要对私钥保密。 如果您将以某种方式获得证书和私钥(例如从互联网下载)、这将带来安全风险。

1月

我们会检查是否有办法使用较新的证书,让你知道。

仅供确认。

我们是否可以在没有 OTP 部件的情况下使用我们自己生成的证书？

我们能否将 自己生成的证书直接 放入串行闪存并使用它们？

OTP 当然不是强制性的、可在您想使用自己的信任根(和目录)来验证真实性时使用。

如上所述、它仅适用于 Macronix 的特定器件。

如果使用 TI 信任根(和目录)、则需要验证根 CA 已编程到文件系统中、并且它是目录中的有效根 CA。 当然，您需要在授权的根 CA 供应商中签名。

此处唯一仍需要调查的部分是摘要的大小、此大小可能为384/512、具有 CC3220引导加载程序不支持的新符号。  

您好！

对您的问题的回答：

• 我们是否可以在没有 OTP 部件的情况下使用我们自己生成的证书？ ->不适用于安全启动和签署固件 iamge。 但可以对套接字连接(TLS)使用自签名证书。
• 我们能否将 自己生成的证书直接 放入串行闪存并使用它们？ ->否。 您需要使用 Uniflash (UART 线路)对 sFlash 的 OTP 部分进行编程。 不支持对闪存的 OTP 部分进行 Gang 编程。 可使用 sl_ filesystem API 对用于 TLS 连接的证书进行编程。

1月

Yi Yvan 说：

CA 供应商。

摘要大小有任何更新？ TI 拥有它支持的目录但没有建议支持与 TI 框架无缝集成。
TI 是否有任何 CA 建议？
使用它们的流畅程度如何？
这一切都令人困惑、例如 DigiCert/GolSign 之类的 CA 列表的硬件令牌。 它的作用是什么？