RPMB详解

RPMB详解

1. 简介

1.1. 概述

RPMB（Replay Protected Memory Block重放保护内存块）Partition 是 eMMC 中的一个具有安全特性的分区。eMMC 在写入数据到 RPMB 时，会校验数据的合法性，只有指定的 Host 才能够写入，同时在读数据时，也提供了签名机制，保证 Host 读取到的数据是 RPMB 内部数据，而不是攻击者伪造的数据。

RPMB 在实际应用中，通常用于存储一些有防止非法篡改需求的数据，例如手机上指纹支付相关的公钥、序列号等。RPMB 可以对写入操作进行鉴权，但是读取并不需要鉴权，任何人都可以进行读取操作，因此存储到 RPMB 的数据通常会进行加密后再存储。

1.2. 基本原理

RPMB提供了对重播保护内存块的签名访问。此功能为系统提供了以经过身份验证和重放保护的方式将数据存储到特定存储区域的方法 。这是通过第一个编程身份验证密钥信息提供给eMMC内存（共享秘密）。

由于在此阶段还不能对系统进行身份验证，因此身份验证密钥编程必须在像OEM生产中那样的安全环境中进行。此外，认证密钥用消息认证码（MAC）对重放保护内存区域进行的读写访问进行签名。

随机数生成和计数寄存器的使用提供了额外的保护，防止消息回放，消息可以被攻击者记录和回放。

2. 命令需求

• CMD18
  • 缩写词:READ_MULTIPLE_BLOCK
  • 参数：[31:0] data address
  • 描述：连续将数据块从设备传输到主机，直到被停止命令中断，或传输请求的数据块数如果作为打包读命令的一部分发送，参数应包含包中的第一个读数据地址（包内的第一个单独读命令的地址）。
• CMD23(default)
  • 缩写词:SET_BLOCK_COUNT
  • 参数：
    • [31] Reliable Write Request
    • [30] ‘0’ non- packed
    • [29] tag request
    • [28:25] context ID
    • [24]: forced programming
    • [23:16] set to 0
    • [15:0] number of blocks
  • 描述：定义块读或写命令的块数（读/写）和可靠的写入器参数（写入）。
• CMD25
  • 缩写词:WRITE_MULTIPLE_BLOCK
  • 参数：[31:0] data address
  • 描述：连续写入数据块，直到出现STOP_TRANSMISSION或收到请求的块数。如果作为打包命令（打包写入或打包读取的标题）发送，则参数应包含包中的第一个读/写数据地址（包中第一个单独命令的地址）。

3. 用于RPMB访问的数据帧

• Request/Response Type：定义内存的请求和响应类型。表18列出了已定义的请求和响应。响应类型对应于以前的RPMB读/写请求。

• Authentication Key / Message Authentication Code (MAC) ：根据请求/响应类型，认证密钥或消息认证码（MAC）。MAC将在最后一个（或唯一的）数据块中交付。

• Operation Result：包括有关写计数器的状态（有效、过期）和对重播保护内存块的访问成功的信息。表19为RPMB操作结果数据结构。表20列出了已定义的结果和可能的故障原因。
  

• Write Counter：主机写认证数据成功次数和写认证设备配置次数之和的计数器值。

• Data Address：要编程或从重播保护内存块读取的数据的地址。地址是被访问的半扇区的序列号（256B），第一个地址是0x0000 。CMD 18和CMD 25中的地址参数将被忽略。

• Nonce：由主机为请求生成的随机数，并由RPMB引擎复制到响应中。

• Data：要通过签名访问权限写入或读取的数据。

• Block Count：要求读取/编程的块数（半扇区，256B)。此值等于CMD23参数中的计数值。

4. RPMB的组成

• 认证密钥（Authentication Key）
  • 大小：32Byte
  • 类型：一次写入（与主机交互，只能写一次）
  • 描述：一次性可编程认证密钥寄存器。此寄存器不能被主机覆盖、擦除或读取。在设备生产过程中写入，当计算MAC时，eMMC重播保护内存块引擎用来验证访问。
• 写入计数器（Write Counter）
  • 大小：4Byte
  • 类型：只读（与主机交互，是只读的）
  • 描述：主机写认证数据成功次数和写认证设备配置次数之和的计数器值。eMMC生产后的初始值为0x000000000。值将由eMMC重播保护内存块引擎与成功的编程访问。无法重置该值。当计数器达到其最大值0x FFFF FFFF后，它将不再增加（防止溢出），数组帧中操作结果（result）的位[7]值将被永久设置为1，表示计数器过期。
• 数据（data）
  • 大小： 最小128kB (RPMB_SIZE_MULT x 128kB)
  • 类型：可读可写（与主机交互，是可读可写的）
  • 描述：只能通过成功验证的读写访问来读写的数据。此数据可能会被主机覆盖，但永远无法被擦除。

5. mac计算

协议规定算法选sha256.
mac = HMAC(Authentication Key, data + Nonce + Write + Counter + Address + Block + Count + Result + Req/ Resp );

6. 访问流程

6.1. 写认证密钥（write Authentication Key）

认证密钥在生产阶段的时候写入。

认证密钥使用写多块命令CMD25进行编程。在命令CMD25之前，CMD23将块计数设置为1，参数位[31]设置为1，以表示编程的可靠的写类型。如果块计数未设置为1和/或参数位[31]未设置为1，则随后的写多块命令必须失败，并且应指示一般失败（ General Failure）。

应该通过读取重播保护内存块的结果寄存器来检查键的编程是否成功。结果读取序列由写多块命令CMD25启动。在CMD25之前，CMD23将块计数设置为1。如果块计数未设置为1，则随后的写入多块命令必须失败，并且应指示常规失败（ General Failure）。

如果身份验证密钥的编程成功，则返回的结果为0x00。如果身份验证密钥的编程失败，则返回的结果为0x05（写入失败）。如果在身份验证密钥编程过程中出现其他错误，则返回的结果为0x01（一般失败）。

6.2. 读计数器值（Reading of the Counter Value）

计数器读取序列由写多块命令CMD25启动。在CMD25之前，CMD23将块计数设置为1。如果块计数未设置为1，则随后的写入多块命令必须失败， 并且应指示常规失败。

如果读取计数器值成功，则返回的结果为0x00（读取失败）。如果读取计数器值失败，则返回的结果为0x06（读取失败）。如果发生其他错误，则结果为0x01（一般故障）。如果计数器已过期，则返回结果中的第7位也被设置为1（结果值分别为0x80、0x86和0x81）。

6.3. 写认证数据（Authenticated Data Write）

重播保护内存块的数据用写多块命令CMD25编程。在命令CMD25之前，块计数由CMD23设置，参数位[31]设置为1，表示编程访问的可靠写类型。块计数是要编程的半扇区的数目（256B）。

RPMB写访问支持的数据大小由EN_RPMB_REL_WR（EXT_CSD[166]位）决定。一次RPMB写访问中的整个数据是原子的，应包含旧数据或新数据。每个RPMB写访问的 起始地址应与相应的RPMB写访问的传输大小对齐。

EN_RPMB_REL_WR=0：RPMB分区支持两种不同的大小：256B（单个512B帧）和512B（两个512B帧）。

EN_RPMB_REL_WR=1：RPMB分区支持三种不同的大小：256B（单个512B帧）、512B（2个512B帧）和8KB（32个512B帧）。

如果没有设置块计数，并且/或参数位[31]没有设置为1和/或大小与EN_RPMB_REL_WR定义的支持的数据大小不同，则随后的写入多块命令必须失败，并指示一般故障。

当eMMC收到此消息时，它首先检查写计数器是否已经过期。如果写计数器已过期，则eMMC将结果设置为0x85（写失败，写计数器已过期）。没有任何数据被写入到eMMC中。

接下来，将检查该地址。如果在地址中出现错误（超出范围），则该结果将设置为0x04（地址失败）。在多个块写入的情况下，如果数据地址没有与其自己的数据大小对齐，则结果被设置为0x04（地址失败）。没有任何数据被写入eMMC。如果写计数器未过期，则通过字节[283：0]计算MAC（请求类型、结果= 0x00、块计数、写计数器、地址、一次= 0x00和数据），并将其与请求中的MAC进行比较。

如果两个MAC不同，则eMMC将结果设置为0x02（身份验证失败）。没有任何数据被写入eMMC。

如果请求中的MAC和计算出的MAC相等，那么eMMC将请求中的写计数器与存储在eMMC中的写计数器进行比较。如果两个计数器不同，则eMMC将结果设置为0x03（计数器失败）。没有任何数据被写入eMMC。如果MAC和写计数器比较成功，则认为写请求进行身份验证。来自请求的数据被写入请求中指示的地址，并且写计数器增加1。

如果写入失败，则返回的结果为0x05（写入失败）。如果在写入过程中发生了其他错误，则返回的结果为0x01（一般失败）。

主机应该通过读取重播保护内存块的结果寄存器来检查数据的编程是否成功。结果读取序列由写多块命令CMD 25启动。在CMD25之前，CMD23将块计数设置为1。如果块计数未设置为1，则随后的写入多块命令必须失败，并且应指示常规失败。

6.3. 读认证数据（Authenticated Data Read）

数据读取序列由写多块命令CMD25启动。在CMD25之前，CMD23将块计数设置为1。如果块计数未设置为1，则随后的写入多块命令必须失败，并且应指示常规失败。

当eMMC收到此请求时，它首先检查该地址。如果地址有错误（超出范围），则结果设置为0x04（地址失败）。数据读取操作无效。通过“多读取块”命令CMD18读出数据本身。在读取命令之前，块计数由CMD23设置。

块计数是要读取的半扇区的数量（256B）。如果未设置块计数，则读取多块命令必须失败，并且应指示一般故障。MAC按字节[283：0]计算（响应类型、一次、地址、块计数、写计数器= 0x00、数据和结果）。如果MAC计算失败，则返回的结果为0x02（身份验证失败）。

如果从eMMC内的寻址位置获取数据失败，则返回的结果为0x06（读取失败）。如果在读取过程中出现其他错误，则返回的结果为0x01(一般故障）。

6.4. 写认证设备配置（Authenticated Device Configuration Write）

设备配置区域通过RPMB过程使用写多块命令CMD25编程。在命令CMD25之前，块计数由CMD23设置，参数位[31]设置为1 ，表示编程访问的可靠写类型。块计数是要编程的半扇区数（256B），且块计数应为0x1。因此，只使用一个256B （单512B帧）。如果块计数和参数位[31]未设置为1，则随后的写多块命令将失败，并在RPMB操作结果中显示一般故障。

该地址是要更新的设备配置寄存器的索引，即0x0001或0x0002为有效索引。请求类型值0x0006表示对数据的编程。

当eMMC收到此消息时，它首先检查写计数器是否已经过期。如果写计数器已过期，则eMMC将结果设置为0x85（写失败，写计数器已过期）。没有任何数据被写入到eMMC中。

如果主机访问预留区域（地址[0]和地址[3~255]），则设备不应返回错误。没有任何数据被写入eMMC。如果写计数器未过期，则通过字节[283：0]（请求类型、结果= 0x00、块计数、写计数器、地址、nonce= 0x00和数据）计算MAC，并将其与请求中的MAC进行比较。如果两个MAC不同，则eMMC将结果设置为0x02（身份验证失败）。没有任何数据被写入eMMC。

如果请求中的MAC和计算出的MAC相等，那么eMMC将请求中的写计数器与存储在eMMC中的写计数器进行比 较。如果两个计数器不同，则eMMC将结果设置为0x03（计数器失败）。没有任何数据被写入eMMC。

如果MAC和写计数器比较成功，则认为写请求进行身份验证。来自请求的数据被写入由请求中的地址指示的设备配置区域，并且写入计数器被增加1。

如果写入失败，则返回的结果为0x05（写入失败）。如果在写入过程中发生了其他错误，则返回的结果为0x01（一般失败）。主机应该通过读取重播保护内存块的结果寄存器来检查数据的编程是否成功。结果读取序列由写多块命令CMD 25启动。在CMD25之前，CMD23将块计数设置为1。如果块计数未设置为1，则随后的写入多块命令将失败，并应在RPMB操作结果中显示一般故障。

6.5. 读认证设备配置（Authenticated Device Configuration Read）

经过验证的设备配置读序列由写多块命令CMD25启动。在CMD25之前，CMD23将块计数设置为1。如果块计数未设置为1，则随后的写入多块命令将失败，并且在RPMB操作结果中应显示一般故障。

在读取命令之前，块计数由CMD23设置，块计数应设置为0x1。如果块计数未设置为0x1，则读取多块命令将失败，并应在RPMB操作结果中显示一般故障。