1、Trusted Board Boot-受信任的板引导
我觉得就是硬件可信启动引导。
Trusted Board Boot(TBB)功能通过验证所有固件镜像(包括正常世界引导加载程序),防止恶意固件在平台上运行。它通过使用公钥密码标准(PKCS)建立信任链来实现这一点。
本文档描述了Trusted Firmware-A(TF-A)TBB的设计,它是Trusted Board Boot Requirements(TBBR)规范Arm DEN0006D的实现。它应与固件更新(FWU)设计文件一起使用,该文件实现了TBBR的特定方面。
1.信任链
信任链(CoT)从一组隐式信任组件开始。在Arm开发平台上,这些组件包括:
- 信任根公钥(ROTPK)的SHA-256哈希。它存储在受信任的根密钥存储寄存器中。或者,可以使用开发ROTPK,并将其散列嵌入到BL1和BL2图像中(仅用于开发目的)。
- BL1图像,假设它位于ROM中,因此不能被篡改。
CoT中的其余组件是证书或引导加载程序映像。证书遵循X.509 v3标准。该标准允许向证书添加自定义扩展,用于存储建立CoT的基本信息。
在TBB CoT中,所有证书都是自签名的。不需要证书颁发机构(CA),因为CoT不是通过验证证书颁发者的有效性建立的,而是通过证书扩展的内容建立的。要对证书进行签名,可以使用不同的签名方案&#