【FAQ】全志R329Tina下几种安全存储实现有何区别
-
问题描述
客户在《TinaLinux_安全开发指南》上看到有多种安全储存实现,想详细了解他们的区别,进行选择。
问题解答
Tina上目前支持三种安全存储,分别是keybox、optee secure storage与dm-crypt。
keybox
keybox是全志实现的一种安全存储方法,keybox使用flash区域是特意预留的,该区域未映射到逻辑扇区,通常的数据操作无法访问,具有量产不擦除特性。
keybox上保存的数据都是通过optee中进行加解密的。
注:
- 只有使用nand与emmc介质的方案才支持keybox,nor介质的方案不支持。
- keybox最多支持31个key烧写,每个key最大支持3KB数据。设计之初主要目的是存放密钥、证书等小数据对象。
- 可以通过DragonSN与控制台命令方式,烧写数据到keybox上。
optee secure storage
OPTEE Secure Storage是optee提供的根据GP TEE Internal API规范实现的一种安全存储技术。它将数据发送到Secure OS进行加密,然后保存到Linux端的文件系统(/data/tee)或者RPMB中。
注:
- 保存的数据大小没有限制,最大可以为optee os的堆大小。optee官方提到设计的目的主要是用于存放密钥、hash值以及计数器等小数据对象。
- 客户需要开发相关的NA与TA来使用optee secure storage功能,全志有提供一个参考demo,位于package/security/optee-secure-storage目录。
dm-crypt
dm-crypt 是Linux内核提供的一种基于加密API框架和设备映射器(device mapper)子系统的安全存储技术。dm-crypt是对整个文件系统进行加密,在初始化好后,可以直接读写该文件系统,内核自动对数据进行加解密。
注:
- dm-crypt的密钥需要保存在安全域,在初始化时,从安全域读取,配置给Linux内核。
- 从flash上看,该分区数据是经过加密的,但是Linux端可以直接明文访问。
- 由于是一个文件系统,所以这种方式可以保存大数据对象,用户数据分区常采用这种安全机制。
-
-
-
-
-
Copyright © 2023 深圳全志在线有限公司 粤ICP备2021084185号 粤公网安备44030502007680号