目录

OTFAD（On the fly decryption）是针对QSPI flash的一个解密模块。板子上电后，OTFAD自动解密。

OTFAD的加密使用SB命令完成，SB的操作请参见博客RT600之SB。

OTFAD支持PUF跟OTP key两套解密操作。

加密过程：

OTFAD kek ==>加密得到加密的image，key==>对OTFAD kek加密得到加密的OTFAD kek，加密的OTFAD kek存储到固定位置

解密过程：

key ==> 解密OTFAD kek ==> 解密image

key使用PUF或者OTP key管理。

BD file解析

options {

}

sources {

myQspiConfile = "Image/unsigned_0xc000.bin"; #需要加密的image，使用LED demo

key_store = "Key_store/key_store_otfad.bin"; #如果使用PUF管理key，此处需要填入SB/OTFAD key对应的key store

}

keyblob(0){

(

start = 0x08001000, #加密起始地址

end = 0x080013ff, #加密结束地址

key = "000102030405060708090A0B0C0D0E0F",

counter = "0123456789ABCDEF"

)

}

keyblob(1){

(

start = 0x08001400,

end = 0x080033ff,

key = "000102030405060708090A0B0C0D0E0F",

counter = "0123456789ABCDEF"

)

}

keyblob(2){

(

start = 0x08005000,

end = 0x080063ff,

key = "000102030405060708090A0B0C0D0E0F",

counter = "0123456789ABCDEF"

)

}

keyblob(3){

(

start = 0x08007000,

end = 0x080083ff,

key = "000102030405060708090A0B0C0D0E0F",

counter = "0123456789ABCDEF"

)

}

section (0) {

load 0xc0000003 > 0xC000;

enable qspi 0xC000; #enable QSPI flash

erase 0x8000000..0x8010000; #擦除QSPI flash

load 0xf000000f > 0xd000;

enable qspi 0xd000; #写入FCB

load key_store > 0x08000800; #写入key store，使用master key的话不需要写入key store

encrypt(0){

load myQspiConfile > 0x08001000; #写入image，由于写入的区域是加密的，image会使用key blob0加密后存储到flash中

}

keywrap (0) {

load {

{0102030405060708090a0b0c0d0e0f00}} > 0x08000000; #使用key对key blob 0加密后写入QSPI offset 0x0

}

keywrap (1) {

load {

{0102030405060708090a0b0c0d0e0f00}} > 0x08000040;

}

keywrap (2) {

load {

{0102030405060708090a0b0c0d0e0f00}} > 0x08000080;

}

keywrap (3) {

load {

{0102030405060708090a0b0c0d0e0f00}} > 0x080000C0;

}

}

OTFAD key使用PUF管理

1. 生成key store
   blhost -p COM5 -- key-provisioning enroll
   blhost -p COM5 -- key-provisioning set_user_key 2 Key_store/otfadkek.bin OTFAD kek key store，用于解密加密的OTFAD blok
   blhost -p com5 -- key-provisioning set_user_key 3 Key_store/SBKEK.bin SB用于receive-sb
   blhost -p com5 -- key-provisioning set_user_key 11 Key_store/userkey.bin 如果image签名，用于计算HMAC
   blhost -p com5 -- key-provisioning read_key_store Key_store/key_store_otfad.bin
2. 生成SB，SB里面包含了如何配置OTFAD区域，OTFAD kek的存储，参考如上的bd file详解
   elftosb.exe -d -V -k Key_store\SBKEK.txt -f rt6xx -c BD_file\26_OTFAD_PUF_XIP_unsigned.bd -o encrypt.sb2
3. 烧写shadow register
   jlink.write_register(0x40130180, 0x201) 开启PUF，设置QSPI启动
   jlink.write_register(0x401301AC, 0x1) enable OTFAD
4. receive-sb后jlink reset，OTFAD解密成功后会boot

OTFAD使用master key管理

1. 生成加密的SB
   elftosb.exe -d -V -k key/SBKEK.txt -f rt6xx -c BD_file/32_Unsigned_XIP_MasteKey_OTP.bd -o encrypt.sb2
2. 根据bd文件中的OTFAD kek，计算得到写入fuse中的OTFAD key，使用如下的算法
   OTFAD_KEK = AES256_ENCRYPT(MASTERKEY256, OTFAD_key[127:0] fuse )
   也就是 OTFAD_key[127:0] fuse = AES256_DECRYPT(MASTERKEY256, OTFAD_KEK)
3. 将master key，OTFAD key写入shadow register，使能OTFAD，烧写boot device为QSPI
4. receive-sb后reset，OTFAD成功后会boot