下面介绍 HS-FS 和 HS-SE 之间的差异。
HS-FS 器件
- 允许客户在 HS 器件上运行诊断代码,无需创建签名映像。
- 无安全启动
- JTAG 开路
HS-SE 器件
- 完全安全的 HS 器件
- 所有安全策略均应用
- 强制安全启动
- JTAG 关闭
- 防火墙已启用
- 所有可用的安全功能均已激活
在开发过程中,客户必须使用 Keywriter 将 HS-FS 转换为 HS-SE。
OTP Keywriter
适用于 K3 平台的 OTP 写入器开发为单个二进制文件,可在 HS-FS 器件上运行并可对客户的电子保险丝密钥进行编程。
OTP 写入器是单个映像,包含安全部分和非安全部分。
- 非安全部分或 OTP 应用程序在 R5 上运行
- 安全部分本质上是 OTP 驱动程序,在 DMSC 子系统上作为 SYSFW 的一部分运行
非安全出厂密钥配置支持:
- Keywriter 包含加密的 TI FEK 私钥
- 提供给客户的 FEK 公钥,用于加密对称密钥(SMEK 和 BMEK)
可以使用 X509 证书输入用户可配置的参数。该 OTP 配置证书包含:
- SMPK 哈希和 FEK 加密的 SMEK、选项和 BCH
- BMPK 哈希和 FEK 加密的 BMEK、选项和 BCH
- SWREV、KEYREV(用于选择活动密钥)、KEYCNT(使用的密钥数量)
- 用于 VPP 的 GPIO(对于 16FF 器件是可选的)
- 用于唤醒 UART 的 UART 多路复用器配置
- TI FEK 私钥,使用通过 TI 对称密钥 (MEK) 获得的密钥进行加密
- 具有完整根密钥的签名证书(克隆保护)