内容来自于对《手机安全和可信应用开发指南》的总结,如有错误欢迎指出 TA镜像的签名和加载 TA镜像文件保存在REE侧(TEE侧一般不存储文件),以动态CA的方式运行在OPTEE中CA通过libteec创建和TA的会话后,位于REE侧的TA镜像会加载到OPTEE的用户态空间去运行编译TA镜像文件过程中会对TA镜像进行签名加载的过程中OPTEE会对TA镜像做验证签名操作有关RSA公私钥存储在optee_os/keys中