【OP-TEE】 TA的加密与解密简介

最新推荐文章于 2024-07-29 11:30:19 发布
最新推荐文章于 2024-07-29 11:30:19 发布
阅读量4.7k 收藏 6
点赞数
分类专栏: OP-TEE 文章标签: 安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42878531/article/details/122061507
版权

TA的加密与解密简介

TA的加密

TA在被编译的时候会在optee_os/ta/arch/arm/link.mk里进行一些操作,包括调用脚本对编译出的elf文件进行签名加密生成.ta。
而签名加密的核心在于调用optee_os/scripts/sign_encrypt.py脚本。采用RSA签名,AES加密。当CFG_ENCRYPT_TA变量为y时,TA加密功能被打开。
在这里插入图片描述
TA加密功能打开后,在optee开源代码中存放的加密密钥是默认的上图中的TA_ENC_KEY,这个密钥只是作为演示功能,用在自己的工程中替换为自己的密钥。在调用签名加密脚本时候,传入签名私钥,加密的密钥。
在这里插入图片描述
在这里插入图片描述
目前的从git下载的optee代码中没有打开TA加密功能,只有TA签名功能。如何增加TA的加密功能,以optee_examples工程下的hello_world TA为例。我将CFG_ENCRYPT_TA变量定义在makefile里。CFG_ENCRYPT_TA ?= y 编译时就会调用脚本对hello_world的TA进行了AES加密。加密后其镜像头部会增加ehdr的数据。存放在shdr_encrypte_ta类型的结构体里。

struct shdr_encrypte_ta {
	uint32_t enc_algo;
	uint32_t flags;
	uint16_t iv_size;
	uint16_t tag_size;
};

在这里插入图片描述

签名加密后的TA文件变成了 uuid.ta,比如hello_world编译签名加密后变成了8aaaf200-2450-11e4-abe2-0002a5d5c51b.ta,其通过sig_encrypto.py脚本添加的头部信息如上图。
shdr是与签名有关的信息。
magic:需要与optee-os里的匹配。
img_type:TA镜像类型,是否加密。
img_siez:TA镜像大小。
alg:签名算法,默认RSA。
hash_size::TA签名的摘要大小。此摘要是除去sig和hash后对整个ta文件的摘要
sig_size:TA签名的大小。签名是对前面摘要的签名。

bs_hdr是和TA相关的信息
uuid:此TA的uuid.
ta_version:TA的版本号

ehdr是和加密相关的信息
enc_alg:加密算法,默认是AES。
flag:加密的标识,代表密钥类型。
iv_size:加密iv值的大小。
tag_size:tag的大小。

TA的解密

加密功能使能的TA其头部shdr会存放签名相关的信息。shdr里的img_type变量存放TA镜像类别,是否加密。optee-os加载TA时会判断其是否加密,没有加密则只验签,加密则先验签和解密。

解密TA依赖于 tee_ta_decrypt_init函数。其调用tee_otp_get_ta_enc_key函数获取TA加密的密钥用于解密。此函数在optee里默认从固定的数组(也就是optee-os里保存的用于验签TA的公钥)里派生。用于自己的工程需要修改为自己获取密钥的方式。
在这里插入图片描述
那么默认的密钥是如何派生的呢?
通过huk_subkey_derive函数,将用于派生的数组传入函数,进行HAMC_SHA256计算,得到digest就是派生出的密钥,此密钥和link.mk里的一样,不一样则TA解密失败。此处可以替换为自己的密钥获取方式,但是需要和link.mk里的一致。

const uint8_t ta_pub_key_modulus[] = {
0xa6, 0x5a, 0x18, 0xad, 0xc0, 0xb3, 0xce, 0xe3,
....
};

得到密钥后调用

res = crypto_authenc_init(*enc_ctx, TEE_MODE_DECRYPT, key, sizeof(key),
			SHDR_ENC_GET_IV(ehdr), ehdr->iv_size,
			ehdr->tag_size, 0, len);

传入密钥,初始化解密上下文。
在后面的TA已经加载完成后,ree_fs_ta_read时进行解密的工作。因为TA是分段加载的,所以解密也是分段的,需要多次解密。

static TEE_Result ree_fs_ta_read(struct user_ta_store_handle *h, void *data,
				 size_t len)
{
	struct ree_fs_ta_handle *handle = (struct ree_fs_ta_handle *)h;
	/*获取TA镜像除去头之后的elf格式所在位置*/
	uint8_t *src = (uint8_t *)handle->nw_ta + handle->offs;
	size_t next_offs = 0;
	uint8_t *dst = src;
	TEE_Result res = TEE_SUCCESS;

	if (ADD_OVERFLOW(handle->offs, len, &next_offs) ||
	    next_offs > handle->nw_ta_size)
		return TEE_ERROR_BAD_PARAMETERS;
	/*判断TA类型*/
	if (handle->shdr->img_type == SHDR_ENCRYPTED_TA) {
		if (data) {
			dst = data; /* Hash secure buffer */
			/*解密len长度的数据到安全内存中,加载多长的数据就解密多长的数据*/
			res = tee_ta_decrypt_update(handle->enc_ctx, dst, src,
						    len);
			if (res != TEE_SUCCESS)
				return TEE_ERROR_SECURITY;
		} else {
			size_t num_bytes = 0;
			size_t b_size = MIN(1024U, len);
			uint8_t *b = malloc(b_size);

			if (!b)
				return TEE_ERROR_OUT_OF_MEMORY;

			dst = NULL;
			while (num_bytes < len) {
				size_t n = MIN(b_size, len - num_bytes);

				res = tee_ta_decrypt_update(handle->enc_ctx, b,
							    src + num_bytes, n);
				if (res)
					break;
				num_bytes += n;

				res = crypto_hash_update(handle->hash_ctx, b,
							 n);
				if (res)
					break;
			}

			free(b);
			if (res != TEE_SUCCESS)
				return TEE_ERROR_SECURITY;
		}
	} else if (data) { /*不是加密的TA则直接拷贝*/
		dst = data; /* Hash secure buffer (shm might be modified) */
		memcpy(dst, src, len);
	}

	if (dst) {
		/*更新hash_ctx,以便后面计算出TA的hash值使用*/
		res = crypto_hash_update(handle->hash_ctx, dst, len);
		if (res != TEE_SUCCESS)
			return TEE_ERROR_SECURITY;
	}
	/*将句柄的偏移更新*/
	handle->offs = next_offs;
	if (handle->offs == handle->nw_ta_size) {/*判断当前是否已经加载了所有的segment*/
		if (handle->shdr->img_type == SHDR_ENCRYPTED_TA) {
			/*
			 * Last read: time to finalize authenticated
			 * decryption.
			 */
			 /*加载所有segment之后进行ctx final收尾工作*/
			res = tee_ta_decrypt_final(handle->enc_ctx,
						   handle->ehdr, NULL, NULL, 0);
			if (res != TEE_SUCCESS)
				return TEE_ERROR_SECURITY;
		}
		/*
		 * Last read: time to check if our digest matches the expected
		 * one (from the signed header)
		 */
		res = check_digest(handle);/*加载所有segment之后进行hash校验与shdr里的比较*/
		if (res != TEE_SUCCESS)
			return res;

		if (handle->bs_hdr)
			res = check_update_version(handle->bs_hdr);
	}
	return res;
}

镜像的解密是随着TA的elf文件的加载进行的,TA的elf是分段多次加载,先加载elf head,所以就先解密elf head,所以TA的elf每次加载都会触发解密操作。直到TA elf文件完全加载完成。

[optee]-optee的加解密接口的介绍
baron-周贺贺-代码改变世界ctw
08-18 2287
目录1、算法的注册2、算法的实现 --- 举例(1)、aes(2)、hash3、在TA中使用这些算法(1)、rsa-encrypt/rsa-decrypt(2)、rsa-sign\rsa-verify(3)、hash ★★★ 友情链接 : 个人博客导读首页—点击此处 ★★★ 1、算法的注册 再service_init阶段,调用了tee_ltc_reg_algs()注册系统的各类算法.(ltc是libtomcrypt的缩写) service_init(tee_cryp_init) --> tee_cr
Optee的加解密接口简介及其在嵌入式系统中的应用
CodeSageX的博客
09-06 195
OpteeOpen Portable Trusted Execution Environment)是一种开放的、可移植的受信执行环境,具有安全保护能力,在嵌入式系统中广泛应用于提供安全的加解密功能。Optee的加解密接口提供了丰富的功能,适用于各种嵌入式系统中的安全需求。通过上述示例代码,开发者可以在自己的嵌入式系统中快速集成Optee,并使用其提供的接口对敏感数据进行加解密操作。可以使用Optee的加解密接口对嵌入式系统中的敏感数据进行加密存储,以保护数据的安全性。二、Optee在嵌入式系统中的应用。
TA 镜像文件的加密
jason的笔记
07-14 1026
optee中通过scripts中的sign.py 来对tee签名 # def get_args():     from argparse import ArgumentParser     parser = ArgumentParser()     parser.add_argument('--key', required=True, help='Name of key file
OPTEETA命令操作的实现(三)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
09-17 1038
上文我们创建好了通道,现在就是操作,怎么操作TA呢?REE侧的CA执行创建会话操作成功后,CA就可使用获取到的调用来让TA执行特定的命令。通过ioctl的系统调用发送到OP-TEE的驱动中,保存在共享内存中,并触发安全监控模式调用(smc)切换到Monitor模式(ARMv7)或EL3(ARMv8)中进行安全世界状态的处理。
OP-TEE中的密码学算法
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-25 838
对于上层用户而言无需修改任何代码,只需按照GP规范,调用对应的接口组合即可实现对数据的加解密、摘要计算和数据的签名验签操作。GP规范中定义的接口有很多,所以读者可参阅GP规范中定义的算法接口编写其他算法的实现,例如。具体的一个使用栗子可以看书诶,这部分我还没涉及到具体的实现,就先不展开了。答应我晚上别吃太多了,下午减肥不吃饭,晚上难过吃贼多,made。文章的内容来自《手机安全和可信应用开发指南》(比如说基于keyladder)的密码学算法的基础框架。OPTEE提供了哪些?使用各种算法的共同点是。
OP-TEETA签名、验签及TA加载过程
楼中望月
12-16 4191
OP-TEETA签名、验签以及TA加载过程 文章目录OP-TEETA签名、验签以及TA加载过程一、TA的签名及验签1.TA的签名2.TA的public key处理3.TA的验签二、TA的加载1.RPC请求加载TA2.获取TA文件内容到共享内存3.加载TAOP-TEE的用户空间 从本篇开始整理OP-TEE相关的技术点,整理过程中自己也慢慢归类和学习。 使用的op-tee版本号是3.12 一、TA的签名及验签 1.TA的签名 optee-os/ta/ta.mk # Copy the scripts
OP-TEETACA调用的完整流程----系统各层面关系
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-04 2737
最近在需要设计一个CA,虽然学习了一些相关的方面。但是做设计的时候,对于调用关系还是因为缺乏宏观的架构认识,做的时候就还是很不顺畅。这里先来瞅瞅。要使用OP-TEE来实现特定的安全功能就需要开发者根据自己的实际需求开发特定的CA和TA程序,并将TA集成到OP-TEE中。CA端负责实现在RTOS端,而TA端的代码则是在OP-TEE OS的userspace层面,例如使用何种算法组合来对数据进行安全处理,对处理后的数据的安全保存,解密加密数据等等功能。(CA和TA都是用户层的)
trustzoneOP-TEE
07-11
#### 三、OP-TEETACA的交互 在OP-TEE框架中,可信应用(TA)是运行在安全世界中的应用程序,它们负责执行敏感操作,比如密码学运算。而客户端应用(Client Application, CA)则运行在非安全世界,作为用户...
OP-TEE安全存储(二)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-25 661
参考内容来自《手机安全和可信应用开发指南》
OP-TEE加密接口介绍及示例代码
git_debug233的博客
09-12 199
OP-TEEOpen Portable Trusted Execution Environment)是一个开放的可移植的可信执行环境,用于在嵌入式系统中提供安全保护和隔离。OP-TEE提供了一组加密接口,用于在受信任的执行环境(TEE)中执行加密操作。下面是一个示例代码,演示了如何使用OP-TEE加密接口进行数据加密解密。在使用OP-TEE加密接口之前,首先需要初始化OP-TEE的运行环境。在使用完OP-TEE加密接口后,应该清理OP-TEE的运行环境。应替换为你的可信应用中执行加密操作的命令ID。
OPTEETATA加载(一)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
09-17 3796
最近老师给了个作业,让做一下TA的镜像校验,而我是什么都不知道?甚至以前都没听过这个。于是将这个任务拆分成了三个部分,最后也就是学习的三篇笔记。TA动态加载流程是什么?TA验签流程是什么?怎么制作TA的签名?这是我在看了关于TA的一些基础的知识之后,选择的一个方式,可能连起的这个名字都不是很专业,哈哈。没事学习不就是一个发现问题解决问题的过程。我会在每个部分,把相关的基础知识先放在前面。这个会以我自己的疑问的方式进行提出解答。
optee中User TA的加载和运行
baron-周贺贺-代码改变世界ctw
10-19 4388
文章目录1、tee_entry_std :std smc的调用2、open_session 1、tee_entry_std :std smc的调用 在linux kernel中,通过GP标准调用的TA通信的命令(opensession\invoke\closession)其实都是std smc call。 该smc调用后,会进入到TEE中的tee_entry_std中: /* * Note: this function is weak just to make it possible to exclud
OP-TEETA的加载(超详细)
qq_42878531的博客
12-15 5603
TA验签加载TA的签名TA的验签TA的加载动态TA的加载 TA的签名 在optee或sdk的目录下,有一个default_ta.pem(RSA2048 priv key)和sign.py签名脚本. 在编译TA结束后,会使用这个脚本和key对TA进行签名。 工程目录/optee_os/keys/default_ta.pem 工程目录/optee_os/scripts/sign_encrypt.py TA的验签 在编译optee_os时,pem_to_pub_c.py脚本中将default_ta.pem中解析
OPTEE之静态TA的创建调用
小丑鱼的专栏
01-19 4634
先简单介绍下opteeTEE是智能手机主处理器中的一块安全区域,保证代码和数据的机密性和完整性;TEE中的数据不会被REE中的程序非法访问;TEE中的 可信应用(TA)在隔离的环境中运行,其 安全性比手机主操作系统(Rich OS,比如Android)高,并且 提供比SE更丰富的功能。optee就是TEE的开源版本,企业可以将其的TEE功能移植到支持trustzone的arm芯片的各种操作系统,包括Android、Linux等其他系统。 目前我所知的OPTEE已经可以支持的设备有如下: HiKey 6
OP-TEE系统服务的实现方式(嵌入式)
DevCyberX的博客
08-29 142
为了确保系统服务的安全性,OP-TEE使用了TEE技术来实现安全隔离。每个系统服务都在一个TEE中运行,而TEE是一个受信任的执行环境,具有操作系统相隔离的内存空间和资源。开发者可以根据自己的需求,在此函数中编写相应的系统服务逻辑,并使用TEE提供的接口来处理参数和数据。在OP-TEE中,系统服务通过TEE提供的安全接口和API应用程序进行通信。以上代码是一个简单的示例,它定义了一个基于OP-TEE的系统服务,包括初始化、清理、会话处理和调用功能等各个环节。OP-TEE系统服务的实现方式(嵌入式)
OPTEE TA介绍
xcxhzjl的博客
01-13 1870
optee ta介绍
OPTEE开发】从TA安全驱动的功能设计
楼中望月
01-17 3805
文章目录一、功能需求二、TA到Driver层的架构1. 软件层架构2. 实现思路2.3 封装libutee层系统API2.2 core中增加系统服务层2.1 Driver侧接口和实现三、详细实现1. 修改清单2. 详细设计2.1 libutee对外接口设计2.2 core服务设计2.3 Driver驱动侧设计2.4 TA应用侧实现 一、功能需求 实现普通TA通过系统调用到增加的Driver侧功能,实现完整的通路。 功能:在TA中通过系统调用安全驱动中的write和read功能,增加rot service系统
optee CA和TA 例程 - buffer传递
最新发布
coversky2016的博客
07-29 277
CA 和TA通过buffer传递大量数据
20. OP-TEETACA执行流程-------CA部分的代码篇
shuaifengyun的专栏
06-06 9209
历经一年多时间的系统整理合补充,《手机安全和可信应用开发指南:TrustZoneOP-TEE技术详解》一书得以出版,书中详细介绍了TEE以及系统安全中的所有内容,全书按照从硬件到软件,从用户空间到内核空间的顺序对TEE技术详细阐述,读者可从用户空间到TEE内核一步一步了解系统安全的所有内容,同时书中也提供了相关的示例代码,读者可根据自身实际需求开发TA。目前该书已在天猫、京东、当当同步...
Linux下OP-TEE机制详解TrustZone技术
"本文主要分析了Linux系统下的OP-TEE机制,这是一种基于Arm TrustZone技术的可信执行环境...通过这样的机制,开发者可以创建和运行安全敏感的应用,如密钥管理、加密解密和隐私保护服务,确保了数据和系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值