应用贴士 | HPM6000系列 Security Flash介绍
本期介绍的是hpm6000系列中security flash方面内容。希望可以帮助用户了解先楫为了用户信息安全方面所做的设计。
security flash 模块概述
首先进行一些名词解释: 在线执行 (execution in place):可以直接访问外部存储器,不需要把外部存储器数据先复制到内存再执行的访问的方式,称为在线执行 (execution inplace); dek(data encryption key):数据加密秘钥,用户加密存储器上数据/代码的秘钥;kek(key-encryption key):密钥加密密钥,加密 dek 的秘钥。exip 在线解密引擎介绍 先楫半导体 hpm6000 系列 mcu 设计的 exip 在线解密引擎支持在线执行功能,并且可以对加密的外部 nor flash 进行实时解密,实现在线实时解密执行,exip 主要特性有: (1)支持 aes-128 ctr 模式解密exip 支持 aes-128 ctr 模式解密,密钥长度为 128 位。密钥存放在寄存器 rgnx_key0、rgnx_key1、 rgnx_key2、rgnx_key3 中。aes-128 ctr 模式要求使用相同密钥加密的数据,每一个数据块对应的计数器 counter 值不能重复,counter 长度与 aes 数据块长度相同,也为 128位。exip 对每个 128 位的数据块,其 counter 由数据块的 32 位系统地址和64 位的 nonce 组成,其中 nonce 存放在 rgnx_ctr0 和 rgnx_ctr1 中。(2)支持 4 个区段,每个区段可以使用不同的密钥加密 (3)支持通过 key blob 封装数据加密密钥等敏感信息(符合 rfc3394 标准) (4)支持硬件解封 key blob(符合 rfc3394 标准) (5)支持从 otp 读取用于解封 key blob 的 kekxpi nor 启动镜像布局介
xpi nor 启动镜像布局
如上图所示,完整的 xpi nor 启动镜像有 exip blob、xpi 配置选项、fw blob、固件头和固件组成,其中虚线框为可选内容,实线框为必须包含内容。
要实现加密镜像,则镜像头部必须包含 exip blob 内容,该部分内容使用rfc3394 定义的密钥封装和密钥解封算法,通过 kek 加密后以密文形式存放在 flash 中,以保护 exip 解密用的 dek 和相关敏感数据。
security flash 系统流程介绍
security flash 原理示意框图如上图所示,security flash 流程包含三个方面:
(1)用户生成加密镜像,使能在线加密执行功能;(2)exip 解密 exip blob 得到 dek 等解密信息;(3)exip 使用 aes-128 ctr 模式在线解密 flash 密文固件。 当 otp 中 encrypt_xip 字段置为 1,bootrom 启动加密原地执行功能,bootrom 会 在 xpi nor 启 动 中 强 制 打 开 exip , 并 尝 试 用 exip0_kek(xpi_instance 值为 0)或者 expi1_kek(xpi_instance 值 为 1)解密exip blob。当 exip blob 解密无误后,rom 会根据 exip blob 中的信息配置对应的解密信息,将恢复的 dek、nonce、加密区域的开始和结束地址信息载入rgnx 对应的寄存器。当 exip blob 解密无误后,exip 即可根据 aes-128ctr 模式执行原地解密执行操作。
性能对比测试
对于加密对执行环节的影响,先楫做了简单的测试对比,在明文和密文的单核测试中测试程序条件:(1)关闭所有 cache,包括 d-cache 和 i-cache (2)循环运行 600 次特定数学计算,得出运行消耗时间测试结果如下表:
可见,相同软硬件平台下,加密镜像执行对处理器性能并没有实质影响
注意:由于加密环节涉及到对otp的烧写,可能一个疏失造成芯片无法正常启动。因此先楫建议开发者在有实际需要时联系先楫,这样可以得到更好的支持。
u-blox推出工业和汽车应用的F9多功能高精度定位技术
无源探头和有源探头哪个更适合高速信号?
节省电池能量的系统断电电路CPLD
mybatis的dao能重载吗
74ls164移位寄存器介绍(特点、引脚、参数、时序)
应用贴士 | HPM6000系列 Security Flash介绍
PCBA加工片式元器件焊盘设计缺陷有哪些?
麒麟980上采用的Cortex-A76有什么过人的表现呢?
GAIA电源拦截模块的简要说明
路由器NAT功能配置知识
ADC测量结果不准确的应用
魅族pro7什么时候上市?魅族pro7最新消息:魅族pro7用10nm的X30,小米笑了,还是万年联发科
首个边缘计算节点,是雄安智能城市网格化计算体系重要组成部分
什么是链路聚合?怎么配置链路聚合?链路聚合简介
笔记本工作中何以无故强行关机?
萨科微半导体与猎芯网同进共赢——专访猎芯网CEO梁耀
真无线降噪耳机哪个牌子好?主动降噪无线蓝牙耳机
人工智能技术面对着怎样的新挑战
ST登陆2023慕尼黑上海电子展,可持续发展等四大主题专区重磅登场
11天续航震惊业界,君正谈华米手表的低功耗特性!
security flash 模块概述
首先进行一些名词解释: 在线执行 (execution in place):可以直接访问外部存储器,不需要把外部存储器数据先复制到内存再执行的访问的方式,称为在线执行 (execution inplace); dek(data encryption key):数据加密秘钥,用户加密存储器上数据/代码的秘钥;kek(key-encryption key):密钥加密密钥,加密 dek 的秘钥。exip 在线解密引擎介绍 先楫半导体 hpm6000 系列 mcu 设计的 exip 在线解密引擎支持在线执行功能,并且可以对加密的外部 nor flash 进行实时解密,实现在线实时解密执行,exip 主要特性有: (1)支持 aes-128 ctr 模式解密exip 支持 aes-128 ctr 模式解密,密钥长度为 128 位。密钥存放在寄存器 rgnx_key0、rgnx_key1、 rgnx_key2、rgnx_key3 中。aes-128 ctr 模式要求使用相同密钥加密的数据,每一个数据块对应的计数器 counter 值不能重复,counter 长度与 aes 数据块长度相同,也为 128位。exip 对每个 128 位的数据块,其 counter 由数据块的 32 位系统地址和64 位的 nonce 组成,其中 nonce 存放在 rgnx_ctr0 和 rgnx_ctr1 中。(2)支持 4 个区段,每个区段可以使用不同的密钥加密 (3)支持通过 key blob 封装数据加密密钥等敏感信息(符合 rfc3394 标准) (4)支持硬件解封 key blob(符合 rfc3394 标准) (5)支持从 otp 读取用于解封 key blob 的 kekxpi nor 启动镜像布局介
xpi nor 启动镜像布局
如上图所示,完整的 xpi nor 启动镜像有 exip blob、xpi 配置选项、fw blob、固件头和固件组成,其中虚线框为可选内容,实线框为必须包含内容。
要实现加密镜像,则镜像头部必须包含 exip blob 内容,该部分内容使用rfc3394 定义的密钥封装和密钥解封算法,通过 kek 加密后以密文形式存放在 flash 中,以保护 exip 解密用的 dek 和相关敏感数据。
security flash 系统流程介绍
security flash 原理示意框图如上图所示,security flash 流程包含三个方面:
(1)用户生成加密镜像,使能在线加密执行功能;(2)exip 解密 exip blob 得到 dek 等解密信息;(3)exip 使用 aes-128 ctr 模式在线解密 flash 密文固件。 当 otp 中 encrypt_xip 字段置为 1,bootrom 启动加密原地执行功能,bootrom 会 在 xpi nor 启 动 中 强 制 打 开 exip , 并 尝 试 用 exip0_kek(xpi_instance 值为 0)或者 expi1_kek(xpi_instance 值 为 1)解密exip blob。当 exip blob 解密无误后,rom 会根据 exip blob 中的信息配置对应的解密信息,将恢复的 dek、nonce、加密区域的开始和结束地址信息载入rgnx 对应的寄存器。当 exip blob 解密无误后,exip 即可根据 aes-128ctr 模式执行原地解密执行操作。
性能对比测试
对于加密对执行环节的影响,先楫做了简单的测试对比,在明文和密文的单核测试中测试程序条件:(1)关闭所有 cache,包括 d-cache 和 i-cache (2)循环运行 600 次特定数学计算,得出运行消耗时间测试结果如下表:
可见,相同软硬件平台下,加密镜像执行对处理器性能并没有实质影响
注意:由于加密环节涉及到对otp的烧写,可能一个疏失造成芯片无法正常启动。因此先楫建议开发者在有实际需要时联系先楫,这样可以得到更好的支持。
u-blox推出工业和汽车应用的F9多功能高精度定位技术
无源探头和有源探头哪个更适合高速信号?
节省电池能量的系统断电电路CPLD
mybatis的dao能重载吗
74ls164移位寄存器介绍(特点、引脚、参数、时序)
应用贴士 | HPM6000系列 Security Flash介绍
PCBA加工片式元器件焊盘设计缺陷有哪些?
麒麟980上采用的Cortex-A76有什么过人的表现呢?
GAIA电源拦截模块的简要说明
路由器NAT功能配置知识
ADC测量结果不准确的应用
魅族pro7什么时候上市?魅族pro7最新消息:魅族pro7用10nm的X30,小米笑了,还是万年联发科
首个边缘计算节点,是雄安智能城市网格化计算体系重要组成部分
什么是链路聚合?怎么配置链路聚合?链路聚合简介
笔记本工作中何以无故强行关机?
萨科微半导体与猎芯网同进共赢——专访猎芯网CEO梁耀
真无线降噪耳机哪个牌子好?主动降噪无线蓝牙耳机
人工智能技术面对着怎样的新挑战
ST登陆2023慕尼黑上海电子展,可持续发展等四大主题专区重磅登场
11天续航震惊业界,君正谈华米手表的低功耗特性!