本文主要是介绍如何实现TA Encrypted的?,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
我们先进行一些思考:
- TA encrypted是什么意思?
- 加密是什么意思?仅仅是把TA明文变成TA密文吗?
- 不同的机器,加密的密钥都是一样的吗?可以做到一机一密吗
- 编译阶段就要对TA Biarny进行加密了,TA被加载到内存阶段时再被解密,整个流程应该是怎样的?
- 除了TA enccrypted? 还有别的加密吗?如镜像加密?
- TA encrypted加密,加密的密钥是aeskey吧? aeskey暂且就叫做K1吧,那K1存放到哪里?安不安全?
- 如果K1也是密文存储的,K1是被K2加密的,那K2又存放在哪里?安不安全?
- 如果加密和签名同时存在,那么到底是先加密还是签名?
以上都是客户们喜欢问的问题。我们接下来进行一系列剖析。
TA encrypted其实就是对TA镜像镜像加密,即TA以密文的方式放置在磁盘中,这样即使攻击者从磁盘中强行掳走你的二进制镜像,他看到的全是密文,也破解不了你的代码。
镜像加密又有两大类,第一类是启动镜像的镜像加密,例如spl、atf、tee、uboot等镜像都被加密了。也就是在磁盘中都是以密文的方式存在,然后在开机被load到内存的时候,一边解密一边load。 第二类就是应用程序的加密,例如TA encrypted,这里是TA以密文的方式存在磁盘中,在CA调用TA的时候,TEE需要把TA装在在安全内存中时,一边解密一边load。
到这里,我们也就知道,TA要以密文的方式存在磁盘中,那么也就是TA在编译阶段的时候,就要把他变成密文。一般的做法,就是TA编译结束后,由编译服务器加密,然后再把密文镜像放置到BSP代码中。
而在开机阶段TEE OS要有办法获得解密的密钥。这部分一般由SOC或OEM厂商自行实现。
如果我们看下optee,他是把加解密的密文写死在Sdk和tee os源码中的。编译TA的时候,在最后一步会对TA签名。TEE OS load TA的时候,会使用key对TA二进制进行解密。
这篇关于如何实现TA Encrypted的?的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!