ATF官方文档翻译(二四):受信任的板引导 -(Trusted Board Boot)

已于 2023-02-05 15:29:18 修改
阅读量593 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: ATF 文章标签: ATF TBB 安全
于 2023-02-05 13:30:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45264425/article/details/128889731
Trusted Board Boot(TBB)确保通过验证固件镜像防止恶意软件运行。本文档详细介绍了ATF如何实现TBB,包括信任链、证书生成和验证流程,以及涉及的加密框架和工具。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、Trusted Board Boot-受信任的板引导

我觉得就是硬件可信启动引导。

Trusted Board Boot(TBB)功能通过验证所有固件镜像(包括正常世界引导加载程序),防止恶意固件在平台上运行。它通过使用公钥密码标准(PKCS)建立信任链来实现这一点。

本文档描述了Trusted Firmware-A(TF-A)TBB的设计,它是Trusted Board Boot Requirements(TBBR)规范Arm DEN0006D的实现。它应与固件更新(FWU)设计文件一起使用,该文件实现了TBBR的特定方面。

1.信任链

信任链(CoT)从一组隐式信任组件开始。在Arm开发平台上,这些组件包括:

  • 信任根公钥(ROTPK)的SHA-256哈希。它存储在受信任的根密钥存储寄存器中。或者,可以使用开发ROTPK,并将其散列嵌入到BL1和BL2图像中(仅用于开发目的)。
  • BL1图像,假设它位于ROM中,因此不能被篡改。

CoT中的其余组件是证书或引导加载程序映像。证书遵循X.509 v3标准。该标准允许向证书添加自定义扩展,用于存

了解本专栏 订阅专栏 解锁全文 超级会员免费看
ATF官方文档翻译(十九):中断管理框架( Interrupt Management Framework)-中断注册
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
02-02 257
本节详细描述了每个软件组件(参见软件组件)在注册中断类型处理程序期间的作用。
ATF官方文档翻译(四):ATF固件设计(Firmware Design)(1)-冷启动
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
01-03 762
Trusted Firmware-A(TF-A)实现了Trusted Board Boot Requirements(TBBR)平台设计的一个子集 Arm参考平台的文档(PDD)。 TBB序列在平台通电时开始,并运行到将控制权移交给DRAM中正常运行的固件的阶段。这是**冷启动路径**。 TF-A还将电源状态协调接口PDD实现为运行时服务。PSCI是实现电源管理用例(例如,辅助CPU引导、热插拔和空闲)的从普通软件到固件的接口。普通世界软件可以通过Arm SMC(安全监视器调用)指令访问TF-A运行时服
8-Trusted Board Boot
baron-周贺贺-代码改变世界ctw
11-20 618
信任引导 (TBB) 功能通过验证所有固件映像(包括普通世界引导加载程序)来防止恶意固件在平台上运行。它通过使用公钥密码标准 (PKCS) 建立信任链来做到这一点。 本文档描述了信任固件 A (TF-A) TBB 的设计,它是信任引导要求 (TBBR)规范 Arm DEN0006D 的实现。它应该与 固件更新 (FWU)设计文档一起使用,该文档实现了 TBBR 的特定方面。
可信启动Trusted Board Boot
qq_16106195的博客
06-21 1573
Trusted Board BootTBB)对所有固件镜像(包括普通世界的bootloader)进行身份验证,以防止恶意固件在平台上运行。TBB使用公钥加密标准 (PKCS)来建立信任链(Chain of Trust)。
9-Building FIP images with support for Trusted Board Boot
baron-周贺贺-代码改变世界ctw
11-20 573
9-Building FIP images with support for Trusted Board Boot
ATF已到uboot和linux流程
12-06
附件是一个可编辑的visio文档。文档中给出了ARMv8冷启动后使用功能ATF功能引导uboot和linux的流程图。
ATF官方文档翻译(二):Authentication Framework & Chain of Trust(身份验证框架和信任链)(3)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
09-12 2887
接上文。
ATF官方文档翻译(十六):ATF固件设计(Firmware Design)-Armv8-A体系结构扩展&&ATF的代码结构
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
01-10 637
TF-A在适用的情况下使用Armv8-A架构扩展。本节列出了体系结构扩展的用法,以及控制它们的构建标志。通常,除非单独提及,否则构建选项ARM_ARCH_MAJOR和ARM_ARCH_MINOR将在构建TF-A时选择要作为目标的体系结构扩展。后续的Arm架构扩展与以前的版本向后兼容。生成系统只要求ARM_ARCH_MAJOR和ARM_ARCH_MINOR具有有效的数值。这些构建选项仅控制构建中是否包含特定于体系结构扩展的代码。否则,TF-A的目标是基础Armv8.0-A架构;
ATF官方文档翻译(二五):构建支持Trusted Board Boot的FIP映像
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
02-05 507
如果使用OpenSSL的自定义构建,请相应地设置OpenSSL_DIR变量,使其指向OpenSSL安装路径,如构建选项中所述。include/drivers/auth/mbedtls/mbedtls_config.h包含构建mbed TLS源所需的配置选项。此构建的结果将是bl1.bin、fip.bin和fwu_fip.bin二进制文件。此构建的结果将是bl1.bin和fip.bin二进制文件。构建和安装非安全和SCP FWU映像(NS_BL1U、NS_BL2U和SCP_BL2U)不属于本文档的范围。
ATF(Arm Trusted Firmware)/TF-A Chapter 03 Chain of Trust (CoT)
kunkliu的博客
04-12 926
本章主要介绍ATF中出现的CoT证书链和相关概念。   1. 密钥和信任链概念 参考和引用: Trusted Board Boot Requirements (TBBR) specification, Arm DEN0006C-1 信任链(CoT)组件,在Arm开发平台上,这些组件是: 信任根公钥(ROTPK)的SHA-256。 它存储在信的根密钥存储寄存器中。BL1镜像,假设它在ROM中,不能被篡改。 CoT中的其余组件是证书或Bootlo...
【转】ARM Trusted Firmware分析——TBBR、TBB、FIP-TBB
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-23 1362
ATF中实现了COT,包括FIP生成、密码库调用、镜像签名加密/解密验签等等流程。下面主要参考ARM TBBR文档,以及《Trusted Firmware-A Documention》。
Tina_Linux_安全_开发指南
韦东山嵌入式专栏
02-24 2040
安全系统是基于硬件配合软件的安全解决方案。其主要目的是保障系统资源的完整性、保密性、可用性,从而为系统提供一个可信的运行环境。(1)明文P。准备加密的文本,称为明文。(2)密文Y。加密后的文本,称为密文。(3)加解密算法E(D)。用于实现从明文到密文或从密文到明文的一种转换关系。(4)密钥K。密钥是加密和解密算法中的关键参数。
windows下详细配置VS2019+CUDA10.1+tensorflow2.0+tbb+gpu支持的opencv4.2.0(with_cuda)编译全过程
风筝大晒的博客
12-30 5087
前言 这篇文章将会演示windows下详细的用VS2019+CUDA10.1+tensorflow2.0+tbb+opencv4.2.0(gpu——with_cuda)环境的配置全过程。如果按本文讲到的避坑方式做的话,应该是可以成功配置的,本文的配置顺序也是个人踩坑多年觉得最合适的路线,所以话不多说,直接开始。 准备 –> 全过程会很久,做好心理准备 注意:在全部配置过程之前,一定要确保环境...
ATF(Arm Trusted Firmware)/TF-A Chapter 05 BL2
puyoupuyou的专栏
02-05 2933
写在最前 二级boot的实现方案有很多,比如bl2,u-boot、uboot-spl, uefi。 5.1. 正文开始 在前一阶段,主CPU核运行bl1代码。在Bl2上,同样只有主cpu核运行bl2代码(通过platform_is_primary_cpu()函数识别主cpu核)。Bl1将系统的控制权交给bl2(跳转到BL2_BASE)。Bl2调用plat_get_bl_image_load_info()从外部flash获取要加载的image list(通过plat_get_bl_image_lo.
ARM Trusted Firmware分析——启动、PSCI、OP-TEE接口
kunkliu的博客
04-07 5491
 关键词:等等。  下图划分成不同EL,分别描述BL1、BL2、BL31、BL32、BL33启动流程,以及PSCI、SP处理流程。 1. 冷启动(Cold boot)流程及阶段划分 ATF冷启动实现分为5个步骤: BL1 - AP Trusted ROM,一般为BootRom。 BL2 - Trusted Boot Firmware,一般为Trusted Bootloader。 BL31 - EL3 Runtime Firmware,一般为SML,管理SMC执行处理和中断,运行在se.
ATF(Arm Trusted Firmware)/TF-A Chapter 04 Authentication Framework
kunkliu的博客
04-12 801
  4.1. 代码分析 首先,重新分析之前忽略掉的 TRUSTED_BOARD_BOOT =1 的情况,bl1_platform_setup->arm_bl1_platform_setup->arm_load_tb_fw_config. 看138行,load_auth_image会调用load_auth_image_internal:   此时会执行236行宏控制的代码。243行,首先找到这个id的父id,递归调用认...
ATF加载自定义镜像
以梦为马不负韶华
08-02 1228
本文介绍了如何在fip.bin中打包自定义二进制文件,并在Secure Boot流程中加载和认证这些文件。首先,通过修改cert_create和fip_tool工具,添加自定义image的hash到TRUSTED_BOOT_FW_CERT证书中,并将其打包到fip.bin。然后,通过修改IO storage、定义加载位置、进行MMU映射以及修改信任链,实现了在BL2阶段加载并验证自定义image。最后,通过实际的启动日志展示了加载和认证过程的成功。
05-Exception Handling Framework
baron-周贺贺-代码改变世界ctw
11-20 775
BL1,BL2,BL3,BL31,BL32,BL33,AP_BL1,AP_BL2,AP_BL3,AP_BL31,AP_BL32,AP_BL33,SCP_BL1,SCP_BL2,BL0,BL30, optee、ATF、TF-A、Trustzone、optee3.14、MMU、VMSA、cache、TLB、arm、armv8、armv9、TEE、安全、内存管理、页表…
ARM平台安全要求
pslyunhai3255的博客
02-01 890
本文档规定了对片上系统(SoC)期望的多个市场最低安全要求。它主要面向需要符合各种安全性的芯片组设计人员要求。架构师、设计师和验证工程师可以使用这个规范来支持这个过程独立实验室的认证。本文档未指定特定的系统架构或特定组件的使用。另外Arm的文档提供了如何使用Arm最佳地满足安全要求的指导架构和系统IP。鼓励系统设计者检查是否符合规定的安全性要求。
ATF和u-boot之间的关系是什么
最新发布
04-30
<think>好的,我现在需要回答用户关于ARM Trusted Firmware (ATF)和u-boot之间关系及交互方式的问题。首先,我要回顾一下用户提供的引用内容,确保信息准确。 根据引用[1],ATF是ARMv8架构中引入的底层固件,负责引导加载程序、Linux内核和TEEOS的加载和启动,以及正常世界状态和安全世界状态的切换。这说明ATF在启动流程中扮演重要角色。而引用[3]提到ATF实现了Trusted Board Boot,符合TBBR要求,涉及固件映像包的认证和加载,这可能与u-boot的职责有所重叠或分工。 接下来,用户问的是ATF和u-boot的关系。我需要明确两者的层级和职责。u-boot是一个通用的BootLoader,常用于嵌入式系统,负责初始化硬件和加载操作系统。而ATF作为ARM TrustZone的一部分,专注于安全相关的启动和监控。根据引用[2],ATF实现了Secure Monitor和EL3的处理,这可能意味着在ARMv8系统中,ATF运行在更高的异常级别,管理安全状态切换,而u-boot可能在EL2或EL1运行,处理非安全世界的启动。 然后,交互方式方面,引用[2]提到ATF处理SMC调用,这应该是通过SMC指令进行通信的机制。当u-boot需要执行安全相关操作时,比如访问安全内存或切换状态,会触发SMC异常,由ATF的Secure Monitor处理。引用[4]提到BL2阶段,可能涉及ATF的不同引导阶段与u-boot的协作,例如BL2加载BL31(ATF的一部分)和BL33(可能是u-boot)。 我还需要确认两者的启动顺序。通常,ARM系统上电后,首先运行ATF的BL1,然后是BL2,接着加载BL31(Secure Monitor)和BL33。BL33通常是非安全BootLoader,比如u-boot。这样,ATF在启动流程中处于更底层,负责安全相关的初始化,然后将控制权转交给u-boot进行后续的非安全启动。 最后,需要检查是否有遗漏的细节,比如具体如何传递参数,是否有标准的接口规范。引用[3]提到固件映像包(FIP),可能ATF负责验证和加载这些映像,包括u-boot的镜像,确保启动链的安全性。因此,ATF和u-boot的关系是分层协作,ATF提供安全基础,u-boot处理后续引导步骤。</think>ARM Trusted Firmware (ATF) 与 u-boot 在 ARMv8/ARMv9 系统的启动流程中是分层协作关系,共同构成完整的启动链。以下是两者的核心关系及交互方式分析: --- ### 一、功能定位差异 1. **ATF的核心作用** - 作为安全世界(Secure World)的底层固件,运行在最高特权级 **EL3**,负责: - 安全启动链的验证(符合 TBBR 规范)[^3] - 安全与非安全世界状态切换(通过 `SMC` 指令触发)[^1] - 提供电源管理接口(如 PSCI 标准实现)[^2] - 包含 **BL1/BL2/BL31** 等固件阶段,其中 BL31 实现 Secure Monitor 功能[^4]。 2. **u-boot的职责** - 作为非安全世界(Normal World)的 BootLoader(通常对应 **BL33** 阶段)[^3],负责: - 硬件初始化(如 DDR、外设) - 加载 Linux 内核与设备树 - 提供 U-Boot 命令行等调试功能 --- ### 二、启动流程协作 典型 ARMv8 启动顺序如下: ``` BootROM → BL1 (ATF) → BL2 (ATF) → BL31 (ATF, EL3) → BL32 (可选 TEE OS) → BL33 (u-boot, EL2/EL1) ``` **关键交互点**: 1. **镜像加载** - ATF 的 BL2 阶段负责从 FIP(Firmware Image Package)中加载 **BL33(u-boot)镜像**,并验证其完整性[^3]。 - 示例代码片段(ATF 配置文件中定义 BL33 入口): ```C #define BL33_IMAGE_DESC { \ .image_id = BL33_IMAGE_ID, \ .image_info.h.attr = SET_EXEC_STATE(EXECUTABLE), \ .image_info.image_base = BL33_BASE, \ .ep_info.pc = BL33_BASE \ } ``` 2. **状态切换** - u-boot 运行时若需访问安全服务(如调用 PSCI 关闭核心),会通过 `SMC` 指令触发异常,由 ATF 的 BL31(Secure Monitor)接管并处理[^2]。 --- ### 三、接口规范 1. **SMC Calling Convention** - u-boot 通过 **SMC(Secure Monitor Call)指令** 与 ATF 通信,参数通过寄存器传递(如 `X0-X7`),遵循 SMCCC 标准[^2]。 - 示例:u-boot 调用 PSCI 的 `CPU_OFF` 函数: ```C // u-boot 中触发 SMC invoke_psci_fn(PSCI_0_2_FN_CPU_OFF, 0, 0, 0); ``` 2. **设备树传递** - ATF 可将硬件配置信息(如电源管理节点)通过设备树传递给 u-boot,确保非安全世界能正确初始化硬件。 --- ### 四、典型应用场景 1. **安全固件更新** ATF 验证 u-boot 镜像签名后加载,防止恶意篡改[^3]。 2. **多核启动控制** u-boot 通过 ATF 提供的 PSCI 接口唤醒/关闭其他 CPU 核心[^2]。 3. **TrustZone 资源配置** ATF 在初始化阶段划分安全内存区域,u-boot 仅能访问非安全资源。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TrustZone_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值