18-Chain of trust bindings
引流關鍵詞: 中斷、同步異常、異步異常、irq、fiq、BL1,BL2,BL3,BL31,BL32,BL33,AP_BL1,AP_BL2,AP_BL3,AP_BL31,AP_BL32,AP_BL33,SCP_BL1,SCP_BL2,BL0,BL30, optee、ATF、TF-A、Trustzone、optee3.14、MMU、VMSA、cache、TLB、arm、armv8、armv9、TEE、安全、內存管理、頁表…
快速鏈接:
.
👉👉👉 個人博客筆記導讀目錄(全部) 👈👈👈
[專欄目錄]-ATF/FF-A/specification學習
18.信任綁定鏈?
設備樹允許在包含“清單”和“圖像”作為子節點的“嬰兒”節點的幫助下描述信任鏈。“manifests”和“images”節點包含多個子節點(即“certificate”和“image”節點),分別提及證書和圖像的屬性。
此外,設備樹描述了“非易失性計數器”節點,該節點包含多個子節點,提及信任鏈中使用的所有非易失性計數器的屬性。
18.1. cot
這是包含“manifests”和“images”作為子節點的根節點
18.2. 清單和證書節點綁定定義?
- Manifests node
描述:證書節點的容器。
特性
兼容的:
用途:必填
值類型:<字符串>
定義:必須是“arm, cert-descs”
- Certificate node
描述:
描述在身份驗證過程中使用的證書屬性。
特性
根證書
用法:
沒有父母的證書是必需的。換句話說,使用信任根公鑰驗證的證書。
值類型:
圖像 ID
用法:每個具有唯一 ID 的證書都需要。
值類型:
父母
用法:
它指的是它們的父圖像,通常包含驗證證書的信息。所有非根證書都需要此屬性。
根證書不需要此屬性,因為根證書是使用平臺提供的信任根公鑰驗證的。
值類型:
簽名密鑰
用法:
此屬性用于引用父證書節點中存在的公鑰節點,并且它是使用父證書中存在的公鑰進行身份驗證的所有非根證書的必需屬性。
根證書不需要此屬性,因為根證書是使用平臺提供的信任根公鑰驗證的。
值類型:
防回滾計數器
用法:
所有使用非易失性計數器保護免受回滾攻擊的證書都使用此屬性,它是一個可選屬性。
此屬性用于引用“非易失性計數器”節點中存在的非易失性計數器子節點之一。
值類型:
- SUBNODES
描述:
這些節點顯示證書中存在的哈希和公鑰信息。
公鑰節點
說明:在證書中提供公鑰信息。
特性
樣的
用法:
此屬性提供證書中提供的公鑰的對象 ID,可以幫助提取哪些公鑰信息。
值類型:<字符串>
哈希節點
說明:提供證書中的哈希信息。
特性
樣的
用法:
該屬性提供證書中提供的散列的對象ID,可以幫助提取哪些散列信息。
值類型:<字符串>
例子:
cot {manifests {compatible = "arm, cert-descs”trusted-key-cert: trusted-key-cert {root-certificate;image-id = <TRUSTED_KEY_CERT_ID>;antirollback-counter = <&trusted_nv_counter>;trusted-world-pk: trusted-world-pk {oid = TRUSTED_WORLD_PK_OID;};non-trusted-world-pk: non-trusted-world-pk {oid = NON_TRUSTED_WORLD_PK_OID;};};scp_fw_key_cert: scp_fw_key_cert {image-id = <SCP_FW_KEY_CERT_ID>;parent = <&trusted-key-cert>;signing-key = <&trusted_world_pk>;antirollback-counter = <&trusted_nv_counter>;scp_fw_content_pk: scp_fw_content_pk {oid = SCP_FW_CONTENT_CERT_PK_OID;};};...next-certificate {};}; };18.3. 圖像和圖像節點綁定定義?
- Images node
描述:圖像節點的容器
特性
兼容的:
用途:必填
值類型:<字符串>
定義:必須是“arm, img-descs”
- Images node
描述:
描述將在身份驗證過程中使用的圖像屬性。
特性
圖像 ID
用法:每個具有唯一 ID 的圖像都需要。
值類型:
父母
用法:
每個圖像都需要提供對其父圖像的引用,其中包含對其進行身份驗證所需的信息。
值類型:
哈希
用法:
對于使用哈希方法驗證的所有圖像都是必需的。此屬性用于引用父證書節點中存在的哈希節點。
值類型:
筆記:
目前,所有圖像都使用“哈希”方法進行驗證。將來,可能有多種方法可用于驗證圖像。
例子:
cot {images {compatible = "arm, img-descs";scp_bl2_image {image-id = <SCP_BL2_IMAGE_ID>;parent = <&scp_fw_content_cert>;hash = <&scp_fw_hash>;};...next-img {};}; };18.4. 非易失性計數器節點綁定定義?
- 非易失性計數器節點
描述:包含非易失性計數器的屬性。
特性
兼容的:
用途:必填
值類型:<字符串>
定義:必須是“arm, non-volatile-counter”
#address-cells
用途:必填
值類型:
定義:
必須根據非易失性計數器寄存器的地址大小設置
#size-細胞
用途:必填
值類型:
定義:必須設置為0
- SUBNODE
計數器節點
描述:包含平臺中存在的各種非易失性計數器。
特性
ID
用法:每個具有唯一 id 的 nv-counter 都需要。
值類型:
注冊
用法:
注冊非易失性計數器的基地址,它是必需的屬性。
值類型:
樣的
用法:
此屬性提供證書中提供的非易失性計數器的對象 ID,它是必需屬性。
值類型:<字符串>
示例:以下是 ARM 平臺的非易失性計數器示例
non_volatile_counters: non_volatile_counters {compatible = "arm, non-volatile-counter";#address-cells = <1>;#size-cells = <0>;trusted-nv-counter: trusted_nv_counter {id = <TRUSTED_NV_CTR_ID>;reg = <TFW_NVCTR_BASE>;oid = TRUSTED_FW_NVCOUNTER_OID;};non_trusted_nv_counter: non_trusted_nv_counter {id = <NON_TRUSTED_NV_CTR_ID>;reg = <NTFW_CTR_BASE>;oid = NON_TRUSTED_FW_NVCOUNTER_OID;}; };18.5。信任綁定鏈的未來更新?
需要重新審視這個具有約束力的文檔,以概括一些當前特定于 X.509 證書的術語,例如對象 ID。
總結
以上是生活随笔為你收集整理的18-Chain of trust bindings的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 17-Translation (XLAT
- 下一篇: 11-Reliability, Avai