聊聊TEEOS中的安全存储

最新推荐文章于 2024-06-07 15:13:09 发布
最新推荐文章于 2024-06-07 15:13:09 发布
阅读量793 收藏 1
点赞数
分类专栏: TEE-OS 文章标签: 安全 TEEOS 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45264425/article/details/128451724
版权
本文详细介绍了TEEOS中的安全存储特性,特别是SFS安全存储的实现,包括文件操作、加密流程和涉及的密钥类型。安全存储通过加密保存敏感数据,如密钥,以防止未授权访问。文件操作包括创建、打开和读写,加密流程中使用了AES GCM算法,确保数据安全。同时,文章讨论了安全存储的潜在风险,如dirt.db文件损坏可能影响所有文件的读取。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在之前,我们曾经一起在【TEE OS的安全存储方式介绍
中有过一些感性的认识,了解一些安全的存储媒介、存储对象,但是没有结合到具体场景中。这与我的学习方式是大相径庭的,因此最近刚刚看到了《内核工匠》发的一篇文章,正好一起学习一下,感谢前辈的优秀文章。(对于我自己来说一是涉猎不够广泛,二是对于细节的东西把握度还是不够,等自己积累有度的时候再来输出一些正经有价值的东西回馈这个社区!)

原文链接:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
OP-TEE安全存储(一)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-25 1873
OP-TEE安全存储功能是OP-TEE为用户提供的安全存储机制。用户可使用安全存储功能来保存敏感数据、密钥等信息。使用OP-TEE安全存储功能保存数据时,OP-TEE会对需要被保存的数据进行加密,且每次更新安全文件时所用的加密密钥都会使用随机数重新生成,用户只要调用GP标准中定义的安全存储相关接口就能使用OP-TEE安全存储功能对私有数据进行保护。需要被保护的数据被OP-TEE加密后会被保存到REE侧的文件系统、EMMC的RPMB分区或数据库中。
TEEOS】OP-TEE安全存储
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
11-20 941
OP-TEE安全存储功能是OP-TEE为用户提供的安全存储机制。用户可使用。使用OP-TEE安全存储功能保存数据时,OP-TEE会对需要被保存的数据进行加密,且每次更新安全文件时所用的加密密钥都会使用随机数重新生成,用户只要调用GP标准中定义的安全存储相关接口就能使用OP-TEE安全存储功能对私有数据进行保护。需要被保护的数据被OP-TEE加密后会被保存到、EMMC,至于具体需要将加密后的数据保存到哪里则由芯片提供商决定。(为啥放在REE侧的文件系统?
GP TEE中的几种存储方式介绍
努力创作有价值的文章
12-05 2191
转载:https://cloud.tencent.com/developer/article/1043705 我们知道TEEOS最重要的功能莫过于安全存储了,这是一切安全的前提,根据存储安全性和使用场景GP TEE安全存储分为RPMB安全存储、SFS安全存储和SQLFS安全存储。如下图所示,临时对象、持久化对象、持久化枚举、数据流,分别可以存储在RPMB、SFS、SQLFS三种存储媒介上。 ...
TEEOS基础特性安全存储技术简介
内核工匠
12-16 2250
1、安全存储简介安全存储TEEOS重要特性之一,安全存储主要用来为用户保存敏感数据如密钥等信息。用户在使用安全存储功能保存数据时会在TEE内对数据进行加密,然后保存到REE侧的相关存储区域中。根据对数据存储安全性要求和使用场景TEE常见的安全存储一般分为RPMB安全存储、SFS安全存储。RPMB安全存储是eMMC中的一个具有安全特性的分区,其特点是非安全世界不可见,可以防止重放和回滚攻击,但是...
【OP-TEE安全存储
努力创作有价值的文章
12-23 6010
背景 OP-TEE中的安全存储是根据 GlobalPlatform 的 TEE 内部核心 API(这里称为可信存储)中定义的内容来实现的。本规范规定,应该可以存储通用数据和关键材料,以保证所存储数据的机密性和完整性以及修改存储的操作的原子性(这里的原子性意味着整个操作要么成功完成,要么不写)。 目前,OP-TEE中有两种安全存储实现: 第一个依赖于普通世界(REE)文件系统,默认实现。它在编译时通过 CFG_REE_FS=y 启用。 第二种方法利用eMMC设备的重放保护内存块(RPMB)分区,通过设
TEEOS】搞懂TA-CA交互流程
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
11-18 1327
最近一位读者问我CA如何与TA进行匹配的,答案在文中,当然文中也有广告,不介意的话欢迎点击一下退出即可给作者充电成功!TA 是 Trusted Application 的缩写,通常运行在 TEE 环境下的应用简称为 TA。CA 是 Client Application 的缩写,通常运行在 REE 环境下的应用简称为 CA。
领域知识 | 智能驾驶安全领域部分常见概论
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
05-23 1857
Hi,早。最近想买个新能源车,这个车吧相比于之前的内燃车,新能源车与外界的交互多了很多。比如娱乐的第三方应用,OTA升级等应用。交互带来的便利越多,暴露的风险自然也就越大,相比于手机等消费者终端设备,车要是被黑客远程操控,这就玩大了。所以对于车规级的芯片和系统,从沙子开始就有相应得规范来保证安全。作为一个曾经的安全领域的不知名靓仔,于是就在这里整理回忆了部分涉及到的概念和理论记录如下。保证一个系统的安全,需要从多个维度去考虑。网络、通信、系统、应用、硬件等多方面。
TEE技术与Meltdown & Spectre
Trust Bo
02-26 2096
        2018年1月,“熔断”(Meltdown)与“幽灵”(Spectre)安全事件以爆炸性的速度与方式占据了各大新闻媒体的头条和IT工作者的朋友圈,在整个安全界闹得沸沸扬扬。正所谓几家欢喜几家愁:一方面,新鲜出炉且又影响力深远的安全漏洞让无数安全从业人员和研究者兴奋不已;另一方面,漏洞带来的安全隐患让Intel、AMD、ARM、NVIDIA、Microsoft和Apple等各类厂商陷...
【Soc级系统防御】硬件安全与硬件可信
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
11-15 399
首先“硬件”指的是电子硬件。与任何安全领域一样,硬件安全的主题关注为窃取或危害资产而精心编制的攻击以及旨在保护这些资产的方法。考虑的资产是指硬件部件本身,如各类集成电路(IC)、无源元件(电阻、电容、电感等)、印刷电路板(PCB)等;以及这些部件内部存储的秘密,如密码密钥、DRM密钥、可编程fuse等。敏感的用户数据、固件和配置数据。软件安全关注于软件上的恶意攻击,通常利用不同的实现缺陷,例如不一致的错误处理和缓冲区溢出,以及在存在潜在安全风险的情况下确保软件可靠运行的技术。
20.OPTEE安全存储
foreve3n1ght的博客
08-11 223
OPTEE安全存储
GP_TEE中的几种存储方式介绍
04-30
GP_TEE中的几种存储方式介绍,RPMB和REE FS两种安全方式。
聚焦|TEE,重新定义数据存储安全
Crust_Network的博客
07-07 1103
Crust 实现了去中心化存储的激励层协议,适配包括 IPFS 在内的多种存储层协议,并对应用层提供支持。同时 Crust 的架构也有能力对去中心化计算层提供支持,构建分布式云生态。 前几天,Polkadot 官网推特发表了一篇《Trusted Execution Environments and the Polkadot Ecosystem(波卡生态与可信执行环境(TEE)》。 ​ 该篇详细介绍了 Polkadot 生态中的一些项目如何将 TEE 与 Substrate(用于构建 Polkadot ..
TEE存储系统是如何实现的?如何保证其安全的?
baron-周贺贺-代码改变世界ctw
06-07 504
那么,TEE OS 的安全存储是如何实现的呢?不用担心,因为所有存储的数据在反向存储到 REE 侧之前,都会由 TEE OS 进行加密。此外,加密密钥也不需要存储,不需要落盘,而是每次开机时根据 CPU ID 和 HUK 等信息计算生成,并保存到 TEE OS 的运行内存中。在以下设计中,可以清晰看到通过 TEE OS 安全存储系统后,数据被反向存储到了 REE 的磁盘。在一般情况下,TEE OS 中是没有磁盘的,也没有 EMMC/UFS 驱动,因此无法在 TEE OS 侧完成数据落盘。
39. OP-TEE中secure stroage------安全文件数据的打开过程(open)
shuaifengyun的专栏
06-24 4853
历经一年多时间的系统整理合补充,《手机安全和可信应用开发指南:TrustZone与OP-TEE技术详解》一书得以出版,书中详细介绍了TEE以及系统安全中的所有内容,全书按照从硬件到软件,从用户空间到内核空间的顺序对TEE技术详细阐述,读者可从用户空间到TEE内核一步一步了解系统安全的所有内容,同时书中也提供了相关的示例代码,读者可根据自身实际需求开发TA。 为方便和及时的回复读者对书中...
OP-TEE存储系统模型详解
WangWEel的博客
08-14 295
OP-TEE(Open Portable Trusted Execution Environment)是一个开源项目,旨在提供安全可信的执行环境,保护嵌入式系统的关键数据和敏感信息。TEE是一种受保护的执行环境,可以运行在嵌入式设备中,并与常规的操作系统(Normal World)相隔离,从而提供一定程度的安全性。首先,TA打开安全存储对象,然后获取所需的存储信息。(4) 隔离与保护:采用TEE的隔离机制,将TA与Normal World相分离,从而防止恶意软件或攻击者对存储数据进行非法访问。
OPTEE安全存储详解
楼中望月
12-22 4362
文章目录安全存储是什么?二、安全存储相关技术点1.加载dirf.db文件2. dirf.db文件和安全存储文件的格式2.1 安全文件的三个区域2.2 重要结构体的关系框图2.3 FEK和IV介绍3. 安全的基本操作3.1 安全文件的创建3.2 安全文件的读取3.3 安全文件的写入4. 安全存储中的加密解密4.1 数据结构的组成与作用4.2 元数据的加密4.3 数据块数据的加密总结 安全存储是什么? OP-TEE安全存储功能是OP-TEE为用户提供的安全存储机制。 用户可使用安全存储功能来保存敏感数据、密钥
课时18:uuid、huk、hwkey简介
baron-周贺贺-代码改变世界ctw
03-08 804
使用软件方法生成唯一的设备密钥:设备制造商也可以使用软件方法生成设备的唯一密钥。这种方法通常需要在设备上运行安全的操作系统或受信任的执行环境,以保护生成的密钥不被未经授权的软件访问。使用额外的硬件安全模块 (HSM):设备制造商可以在设备上使用额外的HSM来生成和存储唯一的设备密钥。这些HSM可以生成在设备上的唯一密钥,并且在加密的形式下存储它们,以防止未经授权的访问。唯一性:每个设备的HUK都是唯一的,这意味着即使两个设备的硬件和软件配置完全相同,它们的HUK也不同。
OPTEE安全存储
xcxhzjl的博客
01-13 3266
optee安全存储
安全存储,ARM HUK
qq_44610805的博客
08-07 2771
芯片安全存储; HUK; 安全世界
ubuntu img
最新发布
03-15
### Ubuntu 镜像文件下载方法 对于获取官方的 Ubuntu 安装镜像文件,可以访问其官方网站并按照指定路径完成下载。以下是关于如何找到和验证这些镜像的具体说明。 #### 下载地址 官方提供了一个专门用于分发 ISO 文件的位置,在此链接下可获得最新版本以及历史存档版本的安装介质: [https://ubuntu.com/download](https://ubuntu.com/download)[^4] #### 校验完整性 为了确保所下载的内容未被篡改或者传输过程中损坏,建议使用 SHA256 哈希值来校验文件的真实性。具体操作如下: 1. **获取哈希列表** 访问以下页面查找对应版本的 checksums 文本文件: [http://releases.ubuntu.com/](http://releases.ubuntu.com/) [^5] 2. **计算本地文件摘要** 使用命令行工具 `sha256sum` 对已保存到计算机中的 .iso 进行处理,例如: ```bash sha256sum ubuntu-XX.XX-desktop-amd64.iso ``` 3. **对比结果** 将上述得到的结果同官网上发布的数值逐一核对,完全一致则表明该副本有效无误。 #### 自定义制作 LiveCD/DVD 或 USB 启动盘 如果需要创建个性化的系统映像,则可以通过 RemasterSys 工具实现这一目标。下面展示了一条复制自定义备份至网络共享存储设备的例子: ```bash sudo cp /home/remastersys/remastersys/custom-back.iso /NFS[^1] ``` 另外还有一种方式就是利用 dd 实用程序直接写入空白 U盘当中作为引导装置: ```bash sudo dd bs=4M if=path_to_your_image of=/dev/sdX status=progress && sync ``` 注意替换 path_to_your_image 和 sdX 参数以匹配实际环境配置情况。 ### 创建桌面快捷方式实例 当希望简化应用程序启动流程时,可以在 ~/.local/share/applications/ 目录新增一个 .desktop 文件描述符。这里给出一段示范代码片段用来注册腾讯 QQ 轻聊版客户端: ```ini [Desktop Entry] Name=QQ Exec=/home/tzloop/Downloads/TIM-x86_64.AppImage Icon=/home/tzloop/Downloads/qq.png Type=Application StartupNotify=true ``` 记得赋予执行权限之后才能正常使用: ```bash chmod +x ~/path/to/newfile.desktop ``` ### 添加第三方软件源教程节选 有时可能还需要引入外部仓库以便于管理依赖关系复杂的包集合。比如针对容器化解决方案——Docker 的集成过程就涉及到了更新 APT 缓存索引前先声明远程 HTTP(S) 地址的动作序列: ```bash echo \ "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu \ $(. /etc/os-release && echo "$VERSION_CODENAME") stable" | \ sudo tee /etc/apt/sources.list.d/docker.list > /dev/null sudo apt update # 接着就可以正常安装 docker-ce 等组件啦~ ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TrustZone_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值