optee HSM的实现
生活随笔
收集整理的這篇文章主要介紹了
optee HSM的实现
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
目錄
- 1、IoT Security Needs
- 2、Hardware Security Module -- HSM
- 3、PKCS#11 - Cryptoki
- 4、Why not simply use HSM on IoT?
- 5、OP-TEE Secure Key Services
- 6、OP-TEE Secure Key Services Usage
- 7、OP-TEE SKS Next Steps
參考代碼:
TA:optee_os/ta/pkcs11/src/
CA:optee_client/libckteec/src/
1、IoT Security Needs
(1)、Device security
- Trusted and authentic software / firmware execution
- Secure and verified boot
(2)、Network security
- Data integrity
- Authentication via unique device identity
- Data communication protection
2、Hardware Security Module – HSM
- 用于保護和管理密鑰的物理計算設備
- 密鑰材料和密碼操作難以篡改
- 允許導入、生成、導出密鑰和密碼
- 加密、解密、簽名和驗證操作
- 通過獨立于平臺的標準使用,例如 PKCS#11-
3、PKCS#11 - Cryptoki
- 加密設備的獨立于平臺的高級 API
- 智能卡和 HSM 的“標準”API
- OpenSSL、GnuTLS、wolfSSL 和許多其他package支持
- 強大的工具支持,包括完整的軟件實現
- 以基于對象的方法管理的簡單 API 和數據
- 最新規范版本為 v2.40,v3.0 即將發布
4、Why not simply use HSM on IoT?
(1)、花費
- 一些物聯網設備和應用受到成本限制
- TPM 作為替代方案,但眾所周知管理復雜
(2)、所有者實現
? 無法審查軟件實施
? 錯誤修復只能由模塊供應商提供
(3)、物聯網領域的大部分設備都說基于ARM的
- 可以將可信執行環境用作 HSM
- 可用的開源安全操作系統 - OP-TEE
5、OP-TEE Secure Key Services
- PKCS#11 服務作為 TA 的開源實現
- 由 Etienne Carriere etienne.carriere@linaro.org 發起
- RFC 可在 https://github.com/OP-TEE/optee_os/pull/2732 獲得
- Libsks 作為 PKCS#11 客戶端庫
- SKS TA 實施 PKCS#11 的 HSM
負責管理和操作密鑰
使用 TEE Internal Core API進行安全存儲 - 還有一個foundriesio項目(PKCS#11 CA/TA的實現) : https://github.com/foundriesio/optee-sks
注:PR是pull request, RFC是request for comments
6、OP-TEE Secure Key Services Usage
7、OP-TEE SKS Next Steps
- 通過 optee_test 提高測試覆蓋率
- 擴展對其他機制的支持
- 上游進入 OP-TEE(作為主要項目的一部分提供)
- 添加對 PKCS#11 v3.0 的支持
總結
以上是生活随笔為你收集整理的optee HSM的实现的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: PKCS#11 in OP-TEE
- 下一篇: 03-密码学基础-数字摘要hash的介绍