【OP-TEE】 TA的签名与验签 基于optee 3.11

已于 2022-01-20 14:52:38 修改
阅读量1.4k 收藏 5
点赞数 1
分类专栏: OP-TEE 文章标签: 安全架构 安全
于 2021-12-23 16:03:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42878531/article/details/122109714
版权

TA的签名

以optee-os 3.11版本为例。在optee_os目录下,存放着签名的私钥和签名脚本。
工程目录/optee_os/keys/default_ta.pem
工程目录/optee_os/scripts/sign_encrypt.py
编译TA时会先将TA编译为elf文件。此时执行签名脚本,对elf文件签名并生成.ta文件。
签名使用了default_ta.pem私钥,此私钥通过编译时makefile调用python脚本时传入。
此脚本还会放置头部数据,shdr,放在TA镜像的头部。这是与签名信息相关的数据,其为shdr类型的结构体。
在这里插入图片描述

头部放置了magic number,需要和optee-os代码里的magic number匹配。其他的就是签名相关的数据。
magic:需要与optee-os里定义的magic匹配。
img_type:TA镜像类型,是否加密。
img_siez:TA镜像大小。
alg:签名算法,默认RSA。
hash_size::TA签名的摘要大小。此摘要是除去sig和hash后对整个ta文件的摘要
sig_size:TA签名的大小。签名是对前面摘要的签名。

拿optee_example里的aes的TA举个例子:
编译出的elf头部如下:
在这里插入图片描述

签名后生成的ta文件
在这里插入图片描述

红色框里的就是头部shdr的信息,对应为
4字节的magic:0x4f545348;
4字节的img_tpye:0x01;
4字节的img_size:0x0139a8;
4字节的alg:0x70414930,对应optee定义的TEE_ALG_RSASSA_PKCS1_PSS_MGF1_SHA256宏;
2字节的hash_size:0x20;
2字节的sig_size:0x100。
在这之后的0x20字节的内容就是digest,在之后的0x100字节就是签名的内容。

此图片就是shdr的内存布局。

在这里插入图片描述

TA的验签

optee验签TA时使用的公钥哪儿来的?
编译时调用的pem_to_pub_c.py脚本,从makefile给出的密钥路径default_ta.pem中解析出rsa_pub公钥,生成ta_pub_key.c文件,放到了ta_pub_key.c文件的ta_pub_key_modulus数组中。所以ta_pub_key_modulus就是验签TA用到的公钥。

如何验签?
放置公钥的数组在optee-os加载TA时shdr_verify_signature函数会从此数组里获取公钥用于验签TA。验签时取出镜像头部的shdr,通过rpc调用到ree侧的tee_supplicant,此时会将TA的镜像加载到REE与TEE的共享内存中,因为共享内存是非安全的内存,所以此时不能加载全部TA,所以先加载shdr头部到安全内存中来,然后调用shdr_verify_signature读取公钥和shdr的签名信息验签。

/* 存放公钥的数组 */
const unit8_t ta_pub_key_modulus[];

/* Validate header signature */
res = shdr_verify_signature(shdr);

校验流程:
先比较magic

if (shdr->magic != SHDR_MAGIC)
	return TEE_ERROR_SECURITY;

判断alg是否是RSA

if (TEE_ALG_GET_MAIN_ALG(shdr->algo) != TEE_MAIN_ALGO_RSA)
	return TEE_ERROR_SECURITY;

从生成的ta_pub_key_modulus数组里取出公钥

res = crypto_bignum_bin2bn(ta_pub_key_modulus, ta_pub_key_modulus_size, key.n);

使用RSA算法验签

res = crypto_acipher_rsassa_verify(shdr->algo, &key, shdr->hash_size,
					SHDR_GET_HASH(shdr), shdr->hash_size,
					SHDR_GET_SIG(shdr), shdr->sig_size);

验签成功后会校验hash。TA是分段加载的,在加载TA的时候会调用ree_fs_ta_read。每加载一次就update一次hash_ctx,

/*更新hash_ctx,以便后面计算出TA的hash值使用*/
res = crypto_hash_update(handle->hash_ctx, dst, len);

/*
		 * Last read: time to check if our digest matches the expected
		 * one (from the signed header)
		 */
		res = check_digest(handle);
		if (res != TEE_SUCCESS)
			return res;

加载完所有TA的段后校验hash,与shdr里的hash比较

static TEE_Result check_digest(struct ree_fs_ta_handle *h)
{
	void *digest = NULL;
	TEE_Result res;

	digest = malloc(h->shdr->hash_size);
	if (!digest)
		return TEE_ERROR_OUT_OF_MEMORY;
	/*加载完成后进行最后计算hash值*/
	res = crypto_hash_final(h->hash_ctx, digest, h->shdr->hash_size);
	if (res != TEE_SUCCESS) {
		res = TEE_ERROR_SECURITY;
		goto out;
	}
	/*与shdr头里存放的hash比较*/
	if (memcmp(digest, SHDR_GET_HASH(h->shdr), h->shdr->hash_size))
		res = TEE_ERROR_SECURITY;
out:
	free(digest);
	return res;
}
该名字已注册
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[optee]-TA签名和验
baron-周贺贺-代码改变世界ctw
08-12 1万+
TA签名1、TA签名2、TA的验 1、TA签名optee或sdk的目录下,有一个default_ta.pem(RSA2048 priv key)和sign.py签名脚本. 在编译TA结束后,会使用这个脚本和key对TA进行签名… export-ta_arm64/keys/default_ta.pem export-ta_arm64/scripts/sign.py 在编译TA时,会调用到TA中的link.mk, 在该文件文件中可以看到rsakey和签名脚本sign.py的引用和makefil
optee中User TA的加载和运行
baron-周贺贺-代码改变世界ctw
10-19 4237
文章目录1、tee_entry_std :std smc的调用2、open_session 1、tee_entry_std :std smc的调用 在linux kernel中,通过GP标准调用的与TA通信的命令(opensession\invoke\closession)其实都是std smc call。 该smc调用后,会进入到TEE中的tee_entry_std中: /* * Note: this function is weak just to make it possible to exclud
OP-TEETA签名、验TA加载过程
楼中望月
12-16 3243
OP-TEETA签名、验以及TA加载过程 文章目录OP-TEETA签名、验以及TA加载过程一、TA签名及验1.TA签名2.TA的public key处理3.TA的验二、TA的加载1.RPC请求加载TA2.获取TA文件内容到共享内存3.加载TAOP-TEE的用户空间 从本篇开始整理OP-TEE相关的技术点,整理过程中自己也慢慢归类和学习。 使用的op-tee版本号是3.12 一、TA签名及验 1.TA签名 optee-os/ta/ta.mk # Copy the scripts
43. TA镜像文件的签名
shuaifengyun的专栏
07-06 5036
历经一年多时间的系统整理合补充,《手机安全和可信应用开发指南:TrustZone与OP-TEE技术详解》一书得以出版,书中详细介绍了TEE以及系统安全中的所有内容,全书按照从硬件到软件,从用户空间到内核空间的顺序对TEE技术详细阐述,读者可从用户空间到TEE内核一步一步了解系统安全的所有内容,同时书中也提供了相关的示例代码,读者可根据自身实际需求开发TA。 为方便和及时的回复读...
OP-TEETA的加载(超详细)
qq_42878531的博客
12-15 3993
TA与加载TA签名TA的验TA的加载动态TA的加载 TA签名optee或sdk的目录下,有一个default_ta.pem(RSA2048 priv key)和sign.py签名脚本. 在编译TA结束后,会使用这个脚本和key对TA进行签名。 工程目录/optee_os/keys/default_ta.pem 工程目录/optee_os/scripts/sign_encrypt.py TA的验 在编译optee_os时,pem_to_pub_c.py脚本中将default_ta.pem中解析
op-tee documentation 笔记(框架+部分内容)
02-20
OP-TEE 的获取方式是从几个 git 存储库中获得,包括 build、optee_os、optee_client、optee_test、optee_examples 和 Linux 内核 TEE 框架。 OP-TEE 的编码标准: * 基本遵守在 Linux 内核中使用的相同的编码约定 ...
Secure-by-Design-NXP-Webinar-Series-OP-TEE
08-20
* 安全密钥处理:OP-TEE 可以用于安全密钥的存储、签名、证明等。 * DRM 目的数据解密:OP-TEE 可以用于保护敏感的数据免受恶意攻击和未经授权的访问。 * 敏感数据处理:OP-TEE 可以用于保护敏感的数据处理免受恶意...
rust-optee-trustzone-sdk:Rust OP-TEE TrustZone SDK:支持Trustlet的安全,功能和人体工程学开发
02-24
Rust OP-TEE TrustZone SDK Rust OP-TEE TrustZone SDK提供了在Rust中构建安全TrustZone应用程序的功能。 该SDK基于项目,该项目遵循 TEE规范并提供符合人体工程学的API。 此外,它还具有使用Rust的标准库和许多第...
使用Qemu运行ARM的OP-TEE的方法
06-24
参考 https://blog.csdn.net/shuaifengyun/article/details/71499619 但是,因为随着github.com代码的更新,导致我做了一大堆的额外的动作。把代码库各个代码返回到2017年5月底。才得以成功运行。 附件写了方法
trustzone与OP-TEE
07-11
trustzone与OP-TEE,针对系统TEE安全方面的内容,希望对大家有帮助
TA 镜像文件的加密
jason的笔记
07-14 974
optee中通过scripts中的sign.py 来对tee签名 # def get_args():     from argparse import ArgumentParser     parser = ArgumentParser()     parser.add_argument('--key', required=True, help='Name of key file
optee的error codes
努力创作有价值的文章
03-09 1626
1、TEE internal (lib/libutee/include/tee_api_defines.h) * API Error Codes */ #define TEE_SUCCESS 0x00000000 #define TEE_ERROR_CORRUPT_OBJECT 0xF0100001 #define TEE_ERROR_CORRUPT_OBJECT_2 0xF0100002 #define TEE_ERROR_...
TEE系列之GP规范&TEE API浅析
ZP1015
09-06 7143
TEE系列之ARM Trustzone 技术浅析(四) 1、GlobalPlatform2、TEE GP API介绍2.1 TEE Client API介绍2.2 TEE OS API 1、GlobalPlatform GlobalPlatform是一个由100多家成员公司推动的非营利性行业协会。成员们共同的目标是开发GlobalPlatform的规范。这些规范现已被广泛认定为推动数字服务和设备在整个生命周期内受到信任并安全管理的国际标准。 GlobalPlatform通过制定标准和认证安全硬件/硬件组合(
32. secure world对smc请求的处理------open session操作在OP-TEE中的实现
shuaifengyun的专栏
06-14 4046
历经一年多时间的系统整理合补充,《手机安全和可信应用开发指南:TrustZone与OP-TEE技术详解》一书得以出版,书中详细介绍了TEE以及系统安全中的所有内容,全书按照从硬件到软件,从用户空间到内核空间的顺序对TEE技术详细阐述,读者可从用户空间到TEE内核一步一步了解系统安全的所有内容,同时书中也提供了相关的示例代码,读者可根据自身实际需求开发TA。目前该书已在天猫、京东、当当同步...
OPTEE安全通告之CVE-2023-41325(Double free in shdr_verify_signature)
security²-卢鸿波-安全二次方
11-13 1841
一、受影响版本 二、漏洞描述 三、问题触发 四、官方Patch修复 五、参考 六、OP-TEE ID 七、报告团队 八、时间线
《手机安全和可信应用开发指南:TrustZone与OP-TEE技术详解》 勘误
shuaifengyun的专栏
10-29 9816
     为方便和及时的回复读者对书中或者TEE相关的问题的疑惑(每天必看一次),也为了大家能有一个统一的交流平台。我搭建了一个简单的论坛,网址如下: https://www.huangtengxq.com/discuz/forum.php 关于您的疑问可在“相关技术讨论“”中发帖,我会逐一回复。也欢迎大家发帖,一起讨论TEE相关的一些有意思的feature。共同交流。同时该论坛中也会添加关于...
optee TA文件签名
Hola_ya的博客
02-16 763
optee TA签名
optee的sign_encrypt.py为例讲解argparse命令解析模块
xcxhzjl的博客
06-25 322
Argparse是 Python 标准库中推荐的命令行解析模块。该模块会自动生成提示信息,且在用户给程序传入非法参数时报错。刚好最近在看optee的sign_encrypt.py,以它为例介绍python的argparse命令解析模块。
安全架构概述_1.信息安全面临的威胁
最新发布
huaqianzkh的专栏
06-29 1538
在当今以计算机、网络和软件为载体的数字化服务几乎成为人类赖以生存的手段。与之而来的计算机犯罪呈现指数上升趋势,因此,信息的可用性、完整性、机密性、可控性和不可抵赖性等安全保障显得尤为重要,而满足这些诉求,离不开好的安全架构设计。安全保障是以风险和策略为基础,在信息系统的整个生命周期中,安全保障应包括技术、管理、人员和工程过程的整体安全,以及相关组织机构的健全等。当前,信息化技术存在多重威胁,我们要从系统的角度考虑整体安全防御方法。
OP-TEE examples 中acipher代码怎么理解
08-30
### 回答1: ACIPHER代码在OP-TEE examples中是一个对称加密算法的例子,它展示了如何使用OP-TEE来实现加密和解密数据。 ACIPHER实现了AES加密算法,并在TA(Trusted Application)中运行,以保证加密数据的安全性。代码中包含了加密和解密数据的函数,以及如何与OP-TEE安全模块进行通信的详细说明。通过阅读ACIPHER代码,您可以了解如何在OP-TEE环境中实现对称加密算法,以及如何使用TA来保护敏感数据的安全。 ### 回答2: 在OP-TEE examples中,acipher代码是指实现了在安全环境中进行加密和解密操作的示例代码。 首先,acipher代码涉及到的主要功能是使用Open Portable TEEOP-TEE)提供的加密功能来保护敏感数据。它提供了一种安全的方式来执行加密和解密操作,以免被恶意软件或攻击者窃取或篡改。具体而言,acipher代码为应用程序提供了一种方式来调用OP-TEE中的加密APIs,以进行对称密码和非对称密码的加密和解密操作。 其次,acipher代码中包含了一些示例函数,这些函数展示了如何使用OP-TEE的加密功能。例如,可以使用acipher_init()函数来初始化加密库,acipher_aes_encrypt()函数来执行AES加密操作,acipher_rsa_encrypt()函数来执行RSA加密操作,acipher_aes_decrypt()函数来执行AES解密操作等等。这些函数使用OP-TEE提供的API,将敏感数据以安全的方式进行加密和解密。 最后,acipher代码还提供了示例数据和详细的代码注释,以帮助开发人员理解和使用加密功能。开发人员可以根据自己的需求自定义这些代码,以满足特定的加密需求。同时,acipher代码还提供了错误处理机制,以确保加密操作的安全性和稳定性。 总之,在OP-TEE examples中,acipher代码所展示的是如何在安全环境中使用OP-TEE提供的加密功能来保护敏感数据。通过理解和使用这些示例代码,开发人员可以更好地应用加密算法,提高数据的安全性和完整性。 ### 回答3: acipher是OP-TEE examples中的一个代码示例,用于演示在安全环境中执行加密操作的方法。在理解acipher代码之前,首先需要了解OP-TEE的基本概念。 OP-TEEOpen Portable Trusted Execution Environment)是一个开放的可移植的可信执行环境,它提供了一个安全的执行环境,可以独立于操作系统运行。acipher代码则是OP-TEE examples中的一个示例,用于展示如何在OP-TEE环境中使用加密算法。 acipher代码的主要功能是执行一些常见的加密操作,如对称加密、非对称加密、哈希等。它通过调用OP-TEE提供的安全接口函数,来完成这些加密操作。 在acipher代码中,首先会初始化OP-TEE环境,并创建一个与之关联的会话。然后,根据用户的选择,选择执行不同的加密操作。例如,可以选择对一段明文进行对称加密,使用AES算法和密钥进行加密,并将密文存储在OP-TEE安全缓冲区中。还可以选择执行非对称加密,使用RSA算法进行公钥加密或私钥解密。 代码还提供了其他一些功能,如生成随机数、计算哈希值等。通过这些功能,acipher代码可以满足一些基本的加密需求。 总的来说,acipher代码主要是为了向开发者展示如何在OP-TEE环境中使用加密算法。通过对代码的理解和学习,开发者可以了解到如何在安全环境中执行加密操作,并将其应用到实际场景中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值