Trusted Firmware-M:v1.7.0: 新的配置文件,改善可配置性和FWU API 1.0
介绍
Trusted Firmware-M(TF-M)v1.7.0【1】版本于2022年12月8日发布。该版本主要的新增内容包含了新的Medium-ARoT-less配置文件,通过引入Kconfig和配置头文件以及基础配置与PSA认证固件更新API 1.0保持一致。
发布亮点
如下是TF-Mv1.7.0中新增的主要特性:
●新配置文件:除了小型、中型和大型配置文件,还提供Medium-ARoT-less配置文件。
Medium-ARoT-less符合PSA Certified ARoT-less Level 2的保护配置文件【2】中定义的安全需求。这使得设备不需要应用程序信任根就可以支持Level1隔离并满足PSA L2认证需求。
这些配置文件为用户提供了更多选项,可以更轻松的构建满足其安全需求的TF-M配置,从而在没有任何不必要的内存或性能开销下获得PSA认证的目的。这里请查看更多关于TF-M配置文件的信息【3】。
●改进可配置性:新的基础配置包括安全分区管理器(SPM)和平台代码。该配置框架可以用于添加用户需要的安全服务的基础。
CMake变量用于构建和组件选项。为了改进和简化TF-M配置,引入了配置头文件来设置组件选项。构建选项保留在CMake上并可移植到另一个构建系统中。
引入Kconfig供用户来更改配置选项。从基础配置开始,用户可以启用必要的服务和选项。Kconfig确保选项一致且有效。Kconfig使配置更加容易以及更少出错,并提供一个GUI来帮助用户。
配置细节可以在这里查找【4】:
●PSA Certified Firmware Update API 1.0:固件更新分区已更新,以符合最近发布的PSA Certified Firmware Update 1.0 Specification【5】。TF-M v1.6 与规范的 v0.7 保持一致。
●编程模型和通讯框架、Library model已经被移除了。该版本支持PSA-FF-M【6】定义的IPC和SFN机制。
●TF-M Crypto Service已经更新为包含Mbed TLS3.2.1。早期中TLS、X.509和PK只有有限的密码操作子集使用PSA Crypto API。在Mbed TLS3.2.1中,除几个例外大部分加密操作使用了PSA加密API。请参考【7】这里获取例外列表。这允许在非安全处理环境 (NSPE) 中运行的 TLS 堆栈使用 TF-M 加密服务中的 PSA 加密 API 进行大多数加密操作。
●进一步的内存优化包括在分区引入MM-IOVECS并且启用配置堆栈尺寸是版本的一部分。最新的内存使用配置可以在这里【7】找到。
●更改初始证明服务来支持PSA 2.0.0 证明配置【8】。
●作为文档改进的一部分,平台、集成和配置部分已经被重构。
更多细节信息可以在这里面查找【9】。版本的测试已经在Trustedfirmware.org Open CI【10】上完成。下一个版本(v1.8.0)【11】将于2023年4月发布。下个版本之前的任何安全修复程序将在v1.7.x版本分支中以补丁版本提供。
【1】https://git.trustedfirmware.org/TF-M/trusted-firmware-m.git/tag/?h=TF-Mv1.7.0
【3】https://tf-m-user-guide.trustedfirmware.org/configuration/profiles/index.html
【4】https://drive.google.com/drive/folders/14x6vtxMxdbBUBhJwGXUUE8lOJfRV3oVK
【6】https://developer.arm.com/documentation/aes0039/latest
【7】https://tf-m-user-guide.trustedfirmware.org/releases/1.7.0.html
【8】https://www.ietf.org/archive/id/draft-tschofenig-rats-psa-token-09.html
【9】https://tf-m-user-guide.trustedfirmware.org/releases/1.7.0.html
【10】https://ci.trustedfirmware.org/
【11】https://tf-m-user-guide.trustedfirmware.org/releases/index.html
作者:Linaro
文章来源:https://mp.weixin.qq.com/s/-yQtKAcA8zAhUfmVUsHkLw
推荐阅读
更多物联网安全,PSA等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入PSA技术交流群,请备注研究方向。