同上
再请教下:因FLASH可通过安全启动设置为安全区和非安全区,在安全区存放信任根REE无法访问,且因每次启动或复位都是从TEE安全启动开始,FLASH安全区总是在进入REE前就已配置确定,REE总是无法访问,似乎攻击者无法通过REE攻击。这与安全启动在ROM中似乎一样? 不知是否还有其它原因? 谢谢
谢谢share更多应用场景信息。架构手册中提到的以OTP/Efuse的形式存放于SOC内部,是出厂设置一次,以后以只读方式访问,攻击难度更高,安全性也更高。具体产品设计可以根据具体产品安全性需求不同而不同,如果只有TEE可以访问flash安全区域,normal world是不能访问的,那么可以达到一般TEE保护的级别了。
攻击者可以进行物理攻击,比如把 flash chip 从电路板拿下来,放在另一个电路板直接读取,这样就暴露了 ROTPK。然后攻击者可以再利用已知的 ROTPK 来在你的电路板上绕过你的 TEE。