引流關(guān)鍵詞: 中斷、同步異常、異步異常、irq、fiq、BL1,BL2,BL3,BL31,BL32,BL33,AP_BL1,AP_BL2,AP_BL3,AP_BL31,AP_BL32,AP_BL33,SCP_BL1,SCP_BL2,BL0,BL30, optee、ATF、TF-A、Trustzone、optee3.14、MMU、VMSA、cache、TLB、arm、armv8、armv9、TEE、安全、內(nèi)存管理、頁(yè)表…

快速鏈接:
.
👉👉👉 個(gè)人博客筆記導(dǎo)讀目錄(全部) 👈👈👈


[專欄目錄](méi)-ATF/FF-A/specification學(xué)習(xí)

Measured Boot 簡(jiǎn)介

• Measured Boot 是一種引導(dǎo)流程，可在引導(dǎo)鏈的每個(gè)階段計(jì)算并安全記錄代碼和其他關(guān)鍵數(shù)據(jù)的哈希值。
• TPM（通常）用于保存測(cè)量值。
• 這些測(cè)量（記錄）可以在以后用于證明或執(zhí)行安全策略

TPM介紹

• TPM 是一個(gè)模塊，可以安全地存儲(chǔ)用于驗(yàn)證計(jì)算平臺(tái)的組件
• 它提供證明、加密服務(wù)和密鑰管理。
• 通常作為單獨(dú)的芯片實(shí)現(xiàn)
  它也可以在固件中實(shí)現(xiàn)（例如在 TrustZone 中）
• 保持所有加載的代碼和數(shù)據(jù)的測(cè)量（例如哈希）。
  信息被記錄（擴(kuò)展）到平臺(tái)配置寄存器（PCR）中

在 TF-A 上測(cè)量引導(dǎo)的基本原理

• Arm 服務(wù)器通常實(shí)現(xiàn)或包含用于證明和安全啟動(dòng)的 TPM 服務(wù)。
• 在某些情況下，TPM 服務(wù)只能從 Secure World 訪問(wèn)
• 這通常通過(guò)安全分區(qū)（或類似的）來(lái)完成，該分區(qū)在啟動(dòng)過(guò)程中相對(duì)較晚可用。
  

一個(gè)推薦的啟動(dòng)示例

具體的實(shí)現(xiàn)細(xì)節(jié)–driver

• TF-A 包括 BL2 階段使用的 Measured Boot 驅(qū)動(dòng)程序。
• BL1 測(cè)量BL2 并通過(guò)TB_FW_CONFIG DTB 進(jìn)行測(cè)量。
• BL2 測(cè)量其余圖像和數(shù)據(jù)，并將所有測(cè)量結(jié)果記錄在安全存儲(chǔ)器的事件日志中。
• 支持多種加密散列函數(shù)
  在當(dāng)前實(shí)現(xiàn)中，算法由 Mbed TLS 庫(kù)提供。

Bindings–driver

測(cè)量的引導(dǎo)驅(qū)動(dòng)程序需要 nt_fw_config 和 tsp_fw_config DTS 文件中的 tpm_event_log 節(jié)點(diǎn)

Enablement --Driver

• 自 2.3 版以來(lái)，Measured Boot 現(xiàn)在已完全集成到 TF-A 中。
• MEASURED_BOOT=1 構(gòu)建命令行中的標(biāo)志以啟用它。
• 選擇散列算法的 TPM_HASH_ALG 標(biāo)志
• TRUSTED_BOARD_BOOT 必須為測(cè)量啟動(dòng)啟用。
• EVENT_LOG_LEVEL 可用于設(shè)置將轉(zhuǎn)儲(chǔ)事件日志的日志級(jí)別。

Testing

• 要驗(yàn)證 Measured Boot 功能，我們需要
  能夠?qū)⑹录罩緜鬟f給 TPM 服務(wù)（或任何其他證明服務(wù)）。
  TPM 服務(wù)必須能夠處理和擴(kuò)展記錄。
• 我們不驗(yàn)證散列算法的輸出。
• 我們不驗(yàn)證證明機(jī)制的輸出。
  

OPTEE/fTPM Service Initialization

總結(jié)

以上是生活随笔為你收集整理的08-Measured Boot Driver (MBD)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。