ATF官方文档翻译(二):Authentication Framework & Chain of Trust(身份验证框架和信任链)(2)

已于 2023-08-16 21:46:07 修改
阅读量2.5k 收藏
点赞数
分类专栏: ATF 文章标签: 信任链 linux arm 物联网 iot
于 2022-09-12 00:19:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45264425/article/details/126811517
版权
本文详细介绍了ARM Architecture Trusted Firmware (ATF) 中的信任链(Chain of Trust, CoT)实现,包括镜像解析方法、身份验证方法、存储认证参数的机制,以及CoT中镜像的描述方式。内容涵盖X.509v3证书的使用、平台特定的解析方法、身份验证参数的提取和存储,以及如何描述CoT中的每个镜像。" 50675777,4143199,解决IPython Notebook Unreadable JSON nbformat错误,"['IPython', 'notebook', 'error', '升级', 'Jupyter']

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

接上文翻译

3、信任链的具体实现

CoT就是按照一定的顺序将一系列镜像进行排列组合,这个顺序他们得按照这个顺序进行校验。每个镜像都有参数需要AM去校验,这些特性会在下面进行说明。
平台的接口是针对CoT的一个或者多个镜像数据。除非特定的,下面的数据结构就是按照PP中的描述。

3.1 描述镜像解析方法

对应特定的镜像解析有对应的方法。例如,身份验证映像可以采用X.509v3格式。引导加载程序阶段的数据镜像可以是原始二进制或者ELF格式。IPM支持三种解析方法。镜像必须使用以下三种方法之一。
IPL(库)负责解释单个解析方法。
平台使用的每个方法都必须有一个IPL。

1、原始格式:这种格式实际上是nop,因为使用这种方法的镜像被视为原始二进制格式,例如TF-A使用的引导加载程序镜像。此方法仅适用于数据镜像。

2、X509V3方法:该方法使用X.509等行业标准来表示PKI证书(身份验证镜像)。预计开源库将可用,可用于解析此方法表示的镜像(镜像得是这个格式得)。此类库可用于编写相应的IPL,例如mbed TLS中的X.509解析库代码。

3、平台定义的方法:该方法满足特定于平台的专有标准,以表示身份验证或数据镜像。例如,可以将数据镜像的签名附加到数据镜像原始二进制。可以在组合blob前面添加一

了解本专栏 订阅专栏 解锁全文 超级会员免费看
ATF官方文档翻译):Authentication Framework & Chain of Trust身份验证框架信任链)(3)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
09-12 2873
接上文。
ATF官方文档翻译):Authentication Framework & Chain of Trust身份验证框架信任链)(1)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
09-12 2779
本文件旨在描述在可信固件-A(TF-A)中实现的认证框架。该框架满足以下要求:1、平台端口可以根据证书层次结构及其机制去校验镜像证书。2框架需要区别一下:+ 这个机制是用于编码传输信息的机制,比如e.g. DER encoded X.509v3 certificates to ferry Subject Public Keys, hashes and non-volatile counters.+ 用于验证传输信息的机制。
Chain_of_trust.pdf
11-19
autosar参考资料,Secure相关概念汇总 AES 加密算法,由NIST制定的标准,例如AES-128, AES-192 AsymmetricCryptography 使用两个不同值进行加密解密的加密算法。非对称算法是基于很大数量的,并且很耗时。 Authenticity 确认数据(例如固件)的真实性 Car-to-X 车辆与其他组件(例如其他汽车,交通标志等)的通信方案 Cipher 实现加密算法的模块(硬件或软件) Chain-of-Trust 作为安全启动的增强变体,固件检查分为多个子块,以减少启动时间。 ECU 电子控制单元,一个由TIER1开发的组件 Elliptic Curve Algorithm 在80年代开发的非对称密码算法,使用短密钥(<512位) EVITA 欧盟资助的项目,旨在为不同用例指定安全模块 Glitch Attack 电压毛刺使设备处于未指定的状态行为。 HASH 一种基于任意输入数据计算值的算法,该值可用于验证输入数据 HSM 硬件安全模块;集成了密码内核的加密模块,有时用户可对其进行编程 Integrity 涉及维护数据的一致性,准确性可信赖性 Key / Crypto Key 加密算法用作输入参数的值。 Key Management 在生产现场设备中处理分发密码密钥 NIST National Institute of Standards and Technology,即国家标准技术局 OTA Over-The-Air的缩写,即云端升级,通过无线连接进行固件更新 Physical Attack 一种攻击方法,使用了超出规格的设备(例如,电压过高/过低/温度或时钟,强光等)。 Replay Attacks 记录并重播加密消息或图像。在这种情况下,攻击者无需知道安全信息(例如密钥)。 RNG / TRNG / PRNG 随机数生成器–真正的随机数生成器根据随机物理效应生成数字; PRNG根据数学算法生成数字 RSA 70年代开发的非对称密码算法使用长密钥(> 1500位) Secure-Boot 一种在硬件模块启动时检查设备固件是否已修改的方法 Secure Memory 一种存储安全信息(例如,加密密钥)并具有严格访问限制的存储器。 SHA 由NIST指定的哈希算法系列,例如 SHA-1,SHA-2,SHA-2 SHE 安全标准;由HIS组中的德国汽车OEM指定。 Side-Channel Attacks 一种攻击方法,攻击者在其中测量加密模块/软件的各个方面。根据这些测量,攻击者可以推导/猜测安全信息,例如: key。 Signature 用于证明数字消息或文档真实性的值 Symmetric Cryptography 使用相同值进行加密解密的加密算法
18-Chain of trust bindings
baron-周贺贺-代码改变世界ctw
11-20 317
Chain of trust bindings
ATF(Arm Trusted Firmware)/TF-A Chapter 03 Chain of Trust (CoT)
puyoupuyou的专栏
04-09 2641
本章主要介绍ATF中出现的CoT证书链相关概念。 1. 密钥信任链概念 参考引用: Trusted Board Boot Requirements (TBBR) specification, Arm DEN0006C-1 信任链(CoT)组件,在Arm开发平台上,这些组件是: 信任根公钥(ROTPK)的SHA-256。 它存储在受信的根密钥存储寄存器中。 BL1镜像,假设它...
5. System Design 5.2. 身份验证框架信任链
最新发布
baron-周贺贺-代码改变世界ctw
07-25 844
本文档旨在描述身份验证框架 在受信任固件 A (TF-A) 中实现。本文档介绍身份验证框架的内部详细信息,以及 可用于指定信任链的抽象机制。
ATF官方文档翻译四):受信任的板引导 -(Trusted Board Boot)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
02-05 570
我觉得就是硬件可信启动引导。Trusted Board Boot(TBB)功能通过验证所有固件镜像(包括正常世界引导加载程序),防止恶意固件在平台上运行。它通过使用公钥密码标准(PKCS)建立信任链来实现这一点。本文档描述了Trusted Firmware-A(TF-A)TBB的设计,它是Trusted Board Boot Requirements(TBBR)规范Arm DEN0006D的实现。它应与固件更新(FWU)设计文件一起使用,该文件实现了TBBR的特定方面。
[加密]证书、CA、证书信任链
anxuan3201的博客
03-18 1013
转自:https://www.jianshu.com/p/6bf2f9a37feb TLS 传输层安全性协定 TLS(Transport Layer Security),及其前身安全套接层 SSL(Secure Sockets Layer)是一种安全协议,目的是为网际网路通信,提供安全及数据完整性保障。 如图,TLS 在建立连接时...
Certificate chain 证书链
Adrian 博客
06-26 1万+
http://publib.boulder.ibm.com/infocenter/wmqv6/v6r0/index.jsp?topic=/com.ibm.mq.csqzas.doc/sy10600_.htm How certificate chains work   When you receive the certificate for another entity, you mi
何为Root of Trust信任根?何为Chain of Trust信任链
码农17年的博客
10-08 2万+
何为Root of Trust信任根? 信任根 (RoT) 是在密码系统中始终可以信任的来源。由于密码安全依赖于对数据进行加密解密并执行生成数字签名验证签名等功能的密钥,因此 RoT 方案通常包括一个硬化的硬件模块。一个主要示例是硬件安全模块 (HSM),它在其安全环境中生成保护密钥并执行加密功能。 由于该模块的所有意图目的都无法在计算机生态系统之外访问,因此该生态系统可以信任它从信任根模块接收到的密钥其他加密信息是真实的经过授权的。随着物联网 (IoT) 的激增,这一点尤为重要,因为为了避
ARM TrustZone ----ARM信任区
ffmxnjm的博客
04-01 2621
ooooooooooooooooooooooooooooooooooooooooooooooooo
ATF信任链(CoT)代码梳理
以梦为马不负韶华
03-05 1100
CoT节点里的​成员定义了该image的认证方法,例如​的认证方法为签名抗回滚。​​CoT节点里面的​​内容会保存从image的解析得到的hash值等信息,会被用于后续子节点的认证鉴权。​​
浅谈 Android 的安全启动完整性保护
键盘的起始页
07-26 3240
是保障系统完整性内部软件安全的一个重要屏障,本文主要针对Android智能设备的SecureBoot实现进行梳理分析。AndroidSecureBoot实现主要有两个版本,一个是VerifiedBoot1.0,另一个是VerifiedBoot2.0,也称为AVB。前者主要通过在镜像末尾添加证书签名等元信息,而后者将这些信息统一成VBMeta,并根据实现可置于独立分区中。由于两种不同的分区策略(ABnon-AB),两种SecureBoot的具体校验流程也略有不同,但整体大同小异。......
microsoft authenticator 华为等手机无谷歌框架使用方法
热门推荐
qq_42732137的博客
07-14 4万+
很多微软应用都强制要求使用microsoft authenticator。但是诸如华为等无谷歌框架的手机无法安装此应用。这里给出一个解决办法。 关键字:模拟器 解决方法 本方法使用电脑模拟器安装microsoft authenticator。 1、模拟器安装谷歌框架。谷歌框架使用kk谷歌助手安装,该程序一般模拟器自带。 2、下载安装microsoft authenticator的akp。建议网上搜索下载。 3、使用维码扫码注册。 如遇microsoft authenticator推送注册失败问题,可以选择
8-Trusted Board Boot
baron-周贺贺-代码改变世界ctw
11-20 616
受信任的板引导 (TBB) 功能通过验证所有固件映像(包括普通世界引导加载程序)来防止恶意固件在平台上运行。它通过使用公钥密码标准 (PKCS) 建立信任链来做到这一点。 本文档描述了受信任固件 A (TF-A) TBB 的设计,它是受信任的板引导要求 (TBBR)规范 Arm DEN0006D 的实现。它应该与 固件更新 (FWU)设计文档一起使用,该文档实现了 TBBR 的特定方面。
聊聊SOC启动(ATF BL1启动流程
qq_41483419的博客
11-15 1085
ATF BL1启动流程ATF V2.5
1. arm-trusted-firmware (ATF介绍)
每天进步一点
06-07 3万+
1. 大致描述ATF提供了安全世界的参考实现软件[ARMv8-A],包括执行的 [Secure Monitor] [TEE-SMC]异常级别 3(EL3)。它实现了各种 ARM 接口标准,如电源状态协调接口([PSCI]),可信板启动要求(TBBR,ARM DEN0006C-1)[SMC 呼叫公约] [SMCCC]。尽可能代码旨在重用或移植到其他 ARMv8-A 型号硬件平台。2. 功能
1. ATFARM Trusted firmware)完成启动流程
shuaifengyun的专栏
05-18 4万+
历经一年多时间的系统整理合补充,《手机安全可信应用开发指南:TrustZone与OP-TEE技术详解》一书得以出版,书中详细介绍了TEE以及系统安全中的所有内容,全书按照从硬件到软件,从用户空间到内核空间的顺序对TEE技术详细阐述,读者可从用户空间到TEE内核一步一步了解系统安全的所有内容,同时书中也提供了相关的示例代码,读者可根据自身实际需求开发TA。目前该书已在天猫、京东、当当同步...
全面清理电脑垃圾:ATF-Cleane管理临时文件指南
根据提供的文件信息,我们可以了解到ATF-Cleane是一款专门用于清理系统临时文件IE临时文件夹的工具。为了深入理解这一工具的应用场景、功能重要性,接下来将详细阐述有关知识点: 1. 临时文件的产生作用 临时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TrustZone_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值