同上
Hi MTS
根据TrustZone 体系架构和TBBR 的安全要求,信任根ROTPK 通常以OTP/Efuse的形式存放在soc内部,secure world要用来进行后续image的认证和初始化来创建完整的信任链,来保证整个系统的安全性。
如果把信任根ROTPK放在REE 也可以访问的flash区域,那么攻击者可以采用虚假的信任根来篡改和替换真正的ROTPK,系统的安全性会收到影响.
Thanks
再请教下:因FLASH可通过安全启动设置为安全区和非安全区,在安全区存放信任根REE无法访问,且因每次启动或复位都是从TEE安全启动开始,FLASH安全区总是在进入REE前就已配置确定,REE总是无法访问,似乎攻击者无法通过REE攻击。这与安全启动在ROM中似乎一样? 不知是否还有其它原因? 谢谢
谢谢share更多应用场景信息。架构手册中提到的以OTP/Efuse的形式存放于SOC内部,是出厂设置一次,以后以只读方式访问,攻击难度更高,安全性也更高。具体产品设计可以根据具体产品安全性需求不同而不同,如果只有TEE可以访问flash安全区域,normal world是不能访问的,那么可以达到一般TEE保护的级别了。
攻击者可以进行物理攻击,比如把 flash chip 从电路板拿下来,放在另一个电路板直接读取,这样就暴露了 ROTPK。然后攻击者可以再利用已知的 ROTPK 来在你的电路板上绕过你的 TEE。