這是關于安全啟動的三部分系列中的第三部分。如果您還沒有查看前兩篇文章，它們是：（第 1 部分 - 安全啟動介紹）和（第 2 部分 - MCU 設備的安全啟動）。在我們的上一篇文章中，我的同事 Yamanaka-san 先生描述了我們的 RH850 MCU 設備上的安全啟動。在本博客中，我將介紹基于 Arm 的 Renesas R-Car Gen 3 SoC 設備的安全啟動。

R-Car 上的安全啟動

片上系統 （SoC） 設備具有比典型微控制器設備更復雜的啟動序列。安全啟動可確保整個啟動鏈的完整性和真實性。該軟件可以選擇以靜態加密方式存儲以保護機密性。

建立信任鏈

為了在 R-Car 上提供安全啟動，瑞薩電子構建了一條植根于硬件的信任鏈。掩碼 ROM 和 H BK（引導密鑰散列）充當不可變的信任錨。這些不能在生產中更改。在整個引導鏈中，信任鏈的每一部分都由較早的（授權的）部分進行驗證。元素的鏈接允許所有階段驗證都指向原始的信任根，就像鏈中的鏈接一樣。此驗證過程的起點是 R-Car 的掩模 ROM。復位后立即執行。

R-Car 設備中的信任鏈

關鍵要點：瑞薩電子建立了一條植根于硬件的信任鏈

Mask ROM 和 H BK用作不可變的信任錨，這些不能更改

信任鏈的每一部分都由前一個（授權的）部分驗證

此驗證過程的起點是作為“信任根”的 R-Car 設備的掩碼 ROM

準備安全引導環境

在 R-Car 設備中，安全啟動從準備簽名鏈開始。簽名過程的先決條件包括生成兩個 RSA 密鑰對（設備根密鑰對和安全啟動密鑰對）和生成設備根公鑰哈希 （H BK ）。每個客戶都將在其安全的 OT 環境中控制一個唯一的根密鑰。必須安全存儲根和安全啟動私鑰，以確保整體系統安全。創建密鑰對后，瑞薩電子提供的工具會生成根公鑰的加密哈希。此公鑰哈希 （H BK ） 提供給瑞薩電子，并在制造過程中被編程到 R-Car 設備中。H BK用于安全引導鏈中，用于驗證根公鑰的完整性和真實性。

安全啟動順序

簽名圖像

環境準備好后，就可以開始簽名過程了。將根密鑰和安全啟動密鑰對以及軟件映像作為輸入，簽名工具生成兩個證書：1） 包含公共根密鑰的根密鑰證書和 2） 包含安全啟動公鑰和映像簽名內容的內容證書。 軟件映像和證書被編程到 R-Car 設備內存中。只有公鑰存儲在 R-Car 設備上。

R-Car 設備上的安全啟動

復位釋放 （1） 后，調用安全引導功能 （2）。安全啟動功能使用根密鑰和內容證書 （3） 驗證軟件。只有驗證過程成功（4），設備才會執行部署的軟件。

這是安全啟動序列的分解版本。

腳步：

設備重置已發布

設備執行掩碼 ROM。如果設備處于安全啟用狀態，則執行安全啟動。

掩碼 ROM 從外部閃存加載證書和內容

掩碼 ROM 解析根密鑰證書并提取根密鑰。計算根密鑰散列并將其與已知的根密鑰散列 （H BK ） 進行比較。如果密鑰正確，則系統進行下一步。

掩碼 ROM 計算并比較在安全啟動內容證書中找到的啟動密鑰的哈希值與在密鑰證書中找到的安全啟動密鑰哈希值（在上一步中驗證）。如果檢查通過，則使用公鑰來驗證內容證書簽名。如果內容證書中的 有效，則內容證書中的數據用于計算下一個引導階段的有效性和完整性。如果一切檢查執行跳轉到下一個引導階段。

腳步：

后續啟動階段可以調用掩碼 ROM 安全啟動功能來驗證后續階段的內容。在此示例中，IPL 調用掩碼 ROM API 以驗證應用程序 1-3。通過在后期調用掩碼 ROM API，設計人員可以利用硬件加速進行 RSA 簽名檢查和 SHA 加速器進行散列。

掩碼 ROM 驗證內容證書是否在下一個引導階段加載

IPL 可以驗證每個圖像，或僅驗證它加載的圖像子集。在此示例中，應用程序 1-3 使用安全啟動 API，而應用程序 4 和 5 使用另一種方法。

當 IPL 完成加載和驗證內容時，它會跳轉到下一個引導階段。

結論：

SoC 具有比 MCU 設備更長的引導鏈。我們的 R-Car 設備中的安全啟動邏輯允許設計人員在整個啟動過程中利用簽名檢查的硬件加速。瑞薩電子 R-Car 設備利用硬件作為構建可靠、安全系統的安全信任根。

審核編輯：郭婷