API
安全 API 提供了与 Linux 内核和设备硬件进行接口的能力。它们还支持在可信执行环境中执行各种软件服务。
用户空间 API
这些是 Linux 操作系统用来与内核交互的函数。
拥有对 Qualcomm Linux 随附的专有软件完全访问权限的用户可以查看这些 API。如果您有访问权限,请参阅用户空间 API。
PKCS#11 的接口
请参阅 PKCS#11 加密令牌接口使用指南 和 PKCS #11 加密令牌接口基本规范版本 2.40。
内核 API
这些是允许 Qualcomm Linux 软件与设备硬件交互的函数。
加密 API
qcrypto.ko 驱动程序位于设备的 /lib/modules//kernel/drivers/crypto/qce。内核级和用户级 API 都可以访问加密引擎。有关 API,请参阅内核加密文档 Documentation/crypto/。
支持以下算法:
- RFC 4309 (CCCM(AES))
- CCM (AES)
- Authenc (HMAC (SHA-256), CBC (AES))
- Authenc (HMAC (SHA-256), CBC (DES3_EDE))
- Authenc (HMAC (SHA-256), CBC (DES))
- Authenc (HMAC (SHA-1), CBC (DES3_EDE))
- Authenc (HMAC (SHA-1), CBC (DES))
- HMAC (SHA-256)
- HMAC (SHA-1)
- SHA-256
- SHA-1
- CBC (DES3_EDE)
- ECB (DES3_EDE)
- CBC (DES)
- ECB (DES)
- XTS (AES)
- CTR (AES)
- CBC (AES)
- ECB (AES)
有关 Qualcomm 加密核心的更多信息,请参阅加密。
有关加密 API 的更多详细信息,请参阅 内核加密文档。
硬件随机数生成器 API
Qualcomm Linux 平台通过 qcom-rng Linux 驱动程序支持一个真正的随机数生成器。qcom-rng 生成的随机数使用内核加密随机数生成器 API。
在用户空间,可以在 /dev/hwrng 访问随机数。有关硬件随机数生成器的更多信息,请参阅内核文档 Documentation/hw_random.txt。
有关 PRNG API,请参阅 PRNG 文档。
Qualcomm TEE API
Qualcomm TEE 提供了一系列 API,为安全应用程序提供服务。这些服务包括堆管理、日志记录、安全文件系统访问、监听器交互以及加密和哈希功能。
拥有对 Qualcomm Linux 随附的专有软件完全访问权限的用户可以查看这些 API。如果您有访问权限,请参阅《Qualcomm Linux 安全指南 - 附录》→ Qualcomm TEE API。
开发
拥有 Qualcomm Linux 附带的专有软件完全访问权限的用户可以开发和执行 TA 和 CA。如果您有访问权限,请参阅 Qualcomm Linux 安全指南 - 附录 → 开发。
工具
要在 Qualcomm TEE 上开发 TZ 组件和 TA,请使用 Qualcomm® Snapdragon™ Mobile PC Platform LLVM 编译器(适用于 Arm® 技术)。
您可以使用 Sectools v2 对镜像进行签名,生成用于安全启动的熔断图像,并生成安全调试策略。
构建系统
有关工具链、构建过程和编译的更多信息,请参阅 GitHub 工作流(固件和附加组件)。
安全启动
下表列出了 Sectools v2 的文档:
文档 | 描述 |
---|---|
SecTools V2: Metabuild Secure Image User Guide | 对 metabuild 软件镜像执行安全镜像操作。 |
SecTools V2: Fuse Blower User Guide | 创建并签署熔断图像。当设备使用熔断图像时,指定的熔断器将被熔断。 |
SecTools V2: ELF Tool User Guide | 生成、添加段并合并 ELF 软件镜像。 |
SecTools V2: MBN Tool User Guide | 将调制解调器配置二进制 (MBN) 头添加到二进制镜像。 |
SecTools V2: ELF Consolidator User Guide | 创建合并的 ELF 软件镜像。合并的 ELF 包含多个子系统镜像的内容。 |
SecTools V2: Secure Image User Guide | 签名、加密和检查 Qualcomm 软件镜像。 |
Sectools v2: Secure Debug User Guide | 生成并签署调试策略镜像以启用设备调试和认证。 |