目录
OTFAD(On the fly decryption)是针对QSPI flash的一个解密模块。板子上电后,OTFAD自动解密。
OTFAD的加密使用SB命令完成,SB的操作请参见博客RT600之SB。 OTFAD支持PUF跟OTP key两套解密操作。 加密过程:OTFAD kek ==>加密得到加密的image,key==>对OTFAD kek加密得到加密的OTFAD kek,加密的OTFAD kek存储到固定位置 解密过程:key ==> 解密OTFAD kek ==> 解密image key使用PUF或者OTP key管理。
BD file解析
options {
} sources { myQspiConfile = "Image/unsigned_0xc000.bin"; #需要加密的image,使用LED demo key_store = "Key_store/key_store_otfad.bin"; #如果使用PUF管理key,此处需要填入SB/OTFAD key对应的key store } keyblob(0){ ( start = 0x08001000, #加密起始地址 end = 0x080013ff, #加密结束地址 key = "000102030405060708090A0B0C0D0E0F", counter = "0123456789ABCDEF" ) } keyblob(1){ ( start = 0x08001400, end = 0x080033ff, key = "000102030405060708090A0B0C0D0E0F", counter = "0123456789ABCDEF" ) } keyblob(2){ ( start = 0x08005000, end = 0x080063ff, key = "000102030405060708090A0B0C0D0E0F", counter = "0123456789ABCDEF" ) } keyblob(3){ ( start = 0x08007000, end = 0x080083ff, key = "000102030405060708090A0B0C0D0E0F", counter = "0123456789ABCDEF" ) } section (0) { load 0xc0000003 > 0xC000; enable qspi 0xC000; #enable QSPI flash erase 0x8000000..0x8010000; #擦除QSPI flash load 0xf000000f > 0xd000; enable qspi 0xd000; #写入FCB load key_store > 0x08000800; #写入key store,使用master key的话不需要写入key store encrypt(0){ load myQspiConfile > 0x08001000; #写入image,由于写入的区域是加密的,image会使用key blob0加密后存储到flash中 } keywrap (0) { load { {0102030405060708090a0b0c0d0e0f00}} > 0x08000000; #使用key对key blob 0加密后写入QSPI offset 0x0 } keywrap (1) { load { {0102030405060708090a0b0c0d0e0f00}} > 0x08000040; } keywrap (2) { load { {0102030405060708090a0b0c0d0e0f00}} > 0x08000080; } keywrap (3) { load { {0102030405060708090a0b0c0d0e0f00}} > 0x080000C0; } }
OTFAD key使用PUF管理
- 生成key store blhost -p COM5 -- key-provisioning enroll blhost -p COM5 -- key-provisioning set_user_key 2 Key_store/otfadkek.bin OTFAD kek key store,用于解密加密的OTFAD blok blhost -p com5 -- key-provisioning set_user_key 3 Key_store/SBKEK.bin SB用于receive-sb blhost -p com5 -- key-provisioning set_user_key 11 Key_store/userkey.bin 如果image签名,用于计算HMAC blhost -p com5 -- key-provisioning read_key_store Key_store/key_store_otfad.bin
- 生成SB,SB里面包含了如何配置OTFAD区域,OTFAD kek的存储,参考如上的bd file详解 elftosb.exe -d -V -k Key_store\SBKEK.txt -f rt6xx -c BD_file\26_OTFAD_PUF_XIP_unsigned.bd -o encrypt.sb2
- 烧写shadow register jlink.write_register(0x40130180, 0x201) 开启PUF,设置QSPI启动 jlink.write_register(0x401301AC, 0x1) enable OTFAD
- receive-sb后jlink reset,OTFAD解密成功后会boot
OTFAD使用master key管理
- 生成加密的SB elftosb.exe -d -V -k key/SBKEK.txt -f rt6xx -c BD_file/32_Unsigned_XIP_MasteKey_OTP.bd -o encrypt.sb2
- 根据bd文件中的OTFAD kek,计算得到写入fuse中的OTFAD key,使用如下的算法 OTFAD_KEK = AES256_ENCRYPT(MASTERKEY256, OTFAD_key[127:0] fuse ) 也就是 OTFAD_key[127:0] fuse = AES256_DECRYPT(MASTERKEY256, OTFAD_KEK)
- 将master key,OTFAD key写入shadow register,使能OTFAD,烧写boot device为QSPI
- receive-sb后reset,OTFAD成功后会boot