Navigation

    全志在线开发者论坛

    • Register
    • Login
    • Search
    • Categories
    • Tags
    • 在线文档
    • 社区主页

    【FAQ】全志R329Tina下几种安全存储实现有何区别

    其它全志芯片讨论区
    r329 r328 r818 faq 技术支持
    1
    1
    1425
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • q1215200171
      budbool LV 9 last edited by

      问题描述

      客户在《TinaLinux_安全开发指南》上看到有多种安全储存实现,想详细了解他们的区别,进行选择。

      问题解答

      Tina上目前支持三种安全存储,分别是keybox、optee secure storage与dm-crypt。

      keybox

      keybox是全志实现的一种安全存储方法,keybox使用flash区域是特意预留的,该区域未映射到逻辑扇区,通常的数据操作无法访问,具有量产不擦除特性。

      keybox上保存的数据都是通过optee中进行加解密的。

      注:

      • 只有使用nand与emmc介质的方案才支持keybox,nor介质的方案不支持。
      • keybox最多支持31个key烧写,每个key最大支持3KB数据。设计之初主要目的是存放密钥、证书等小数据对象。
      • 可以通过DragonSN与控制台命令方式,烧写数据到keybox上。

      optee secure storage

      OPTEE Secure Storage是optee提供的根据GP TEE Internal API规范实现的一种安全存储技术。它将数据发送到Secure OS进行加密,然后保存到Linux端的文件系统(/data/tee)或者RPMB中。

      注:

      • 保存的数据大小没有限制,最大可以为optee os的堆大小。optee官方提到设计的目的主要是用于存放密钥、hash值以及计数器等小数据对象。
      • 客户需要开发相关的NA与TA来使用optee secure storage功能,全志有提供一个参考demo,位于package/security/optee-secure-storage目录。

      dm-crypt

      dm-crypt 是Linux内核提供的一种基于加密API框架和设备映射器(device mapper)子系统的安全存储技术。dm-crypt是对整个文件系统进行加密,在初始化好后,可以直接读写该文件系统,内核自动对数据进行加解密。

      注:

      • dm-crypt的密钥需要保存在安全域,在初始化时,从安全域读取,配置给Linux内核。
      • 从flash上看,该分区数据是经过加密的,但是Linux端可以直接明文访问。
      • 由于是一个文件系统,所以这种方式可以保存大数据对象,用户数据分区常采用这种安全机制。
      1 Reply Last reply Reply Quote Share 0
      • Referenced by  q1215200171 q1215200171 
      • Referenced by  q1215200171 q1215200171 
      • Referenced by  q1215200171 q1215200171 
      • Referenced by  q1215200171 q1215200171 
      • Referenced by  q1215200171 q1215200171 
      • 1 / 1
      • First post
        Last post

      Copyright © 2024 深圳全志在线有限公司 粤ICP备2021084185号 粤公网安备44030502007680号

      行为准则 | 用户协议 | 隐私权政策