高通Linux安全指南(五)

配置安全启动项

高通TEE配置可以通过设备配置（devcfg）框架进行调整。
TrustZone通过XML文件提供配置选项，比方：trustzone_images/ssg/securemsm/trustzone/qsee/mink/oem/config//oem_config.xml。
XML配置文件会被编译到devcfg.mbn中。以下命令用于从TZ.XF.5.0编译devcfg镜像：

1. cd trustzone_images/build/ms
2. python3 build_all.py -b TZ.XF.5.0 CHIPSET=<chipset> devcfg
3. trustzone_images/build/ms/bin/<build_flavor>

复制代码

有关编译和构建的详细阐明，请参见《Qualcomm Linux Build Guide》 ➝《GitHub workflow (firmware and extras)
设备配置

属性形貌OEM_pil_secure_app_load_region_size配置以自定义TA（Trust Application）大小。OEM_pil_subsys_load_region_start配置以自定义PIL（Primary Image Loader）加载起始地址，当默认内存映射有变化时使用。OEM_pil_subsys_load_region_size配置以自定义PIL大小，当默认内存映射有变化时使用。OEM_enable_app_fatal_err当特定TA瓦解时，可用此属性强制TZ系统发生致命错误。与OEM_crash_ta_name一起使用。OEM_crash_ta_name用瓦解的TA名称替换条目，而且预期安全内核会在该TA上瓦解。OEM_sec_wdog_bark_time更改设备的安全看门狗吠叫时间的默认配置。OEM_sec_wdog_bite_time更改设备的安全看门狗咬合时间的默认配置。OEM_tz_log_level设置TZ日记级别：
Fatal: 0
Error: 1
Debug: 2 基于RPMB的SFS防回滚掩护

可以在位于 trustzone_images/ssg/securemsm/trustzone/qsee/mink/oem/config/common/cmnlib_oem_config.xml 的XML配置文件中启用或禁用基于RPMB的SFS防回滚掩护。
SELinux配置

通过SSH连接到设备。
使用以下命令更改SELinux模式。

• 将设备切换到强制模式：
  
  1. setenforce 1

  复制代码
• 将设备切换到宽松模式：
  
  1. setenforce 0

  复制代码
• 查抄设备当前的配置（强制模式或宽松模式）：
  
  1. getenforce

  复制代码

启用安全启动

通过吹掉一组作为QFPROM一部门的硬件熔丝来启用安全启动。根证书的哈希值被吹入硬件熔丝，作为主要的信任根（RoT）。
启用SELinux

当SELinux启用时，所有系统对象，包罗文件、目录、进程、套接字、驱动程序等，都被标记有安全上下文。
启用UEFI安全启动

你可以设置初始的UEFI安全启动配置，并将密钥和证书转换为UEFI可以明白的格式。
示例OpenSSL配置

示例显示了用于天生密钥和证书请求的配置文件。
安装或升级QCS5430 SoftSKU功能包

你可以使用Qualcomm®无线边缘服务（Qualcomm WES）许可证升级QCS5430软库存单元（SKU）功能包。
启用安全启动

通过吹掉属于QFPROM的一组硬件熔丝来启用安全启动。根证书的哈希值被吹入硬件熔丝，作为主要的信任根（RoT）。
请参阅工作流程以相识目标外准备和设备上的执行。

只有在吹掉QFPROM（一种eFuse）后才能保证安全启动。启用平台安全启动所需的eFuse配置包罗：

• 启用镜像认证和防回滚掩护。
  
• 禁用调试和JTAG访问。
  
• 吹掉QFPROM地区的读写权限禁用熔丝。
  

启用安全启动，请按照以下步骤操作：

• 从高通获取唯一的OEM ID。
  在使用代码授权签名服务（CASS）或高通WES服务时需要该ID。或者，你可以使用0作为OEM ID的值。
  
• 天生并配置签名资产，如密钥和证书。
  
• 天生用于吹熔丝的签名ELF文件（sec.elf）。
  
• 签名固件镜像。
  
• 将sec.elf和签名的镜像刷写到设备。
  

非Linux基础的镜像使用Sectools v2和本地签名器进行签名。这个过程需要在进行签名的本地机器上存在签名证书和密钥。然而，这些密钥并不安全，在Sectools运行的机器上进行和完成签名过程中可能会暴露。
使用OpenSSL工具自天生的密钥和证书不与任何认证机构相关联。
启用安全启动的条件条件

• 设置Sectools v2的情况变量。有关更多信息，请参见工具文档。
  以下代码片段作为参考。根据使用的版本替换和.LE.X.x。比方，<QCM6490.LE.1.0>。
         注意:
  术语metabuild、meta和meta路径互换使用，用于指代来自高通ChipCode™门户的路径。 metabuild表现构建的完备Qualcomm ChipCode发布版本。
  
  
  
  •   对于Windows：
    
    1. set SECTOOLS=\<chipset>.LE.X.x\common\sectoolsv2\ext\windows\sectools.exe

    复制代码
  •   对于Linux：
    
    1. setenv SECTOOLS=/<chipset>.LE.X.x/common/sectoolsv2/ext/linux/sectools
    2. export SECTOOLS=/<chipset>.LE.X.x/common/sectoolsv2/ext/linux/sectools

    复制代码
  
  
• 安装Sectools v2，它位于meta的
  .LE.X.x/common/sectoolsv2/ext/ 目录中。
  
  
  
  •   _security_profile.xml 文件位于meta的
    .LE.X.x/common/sectoolsv2 目录中。
    
  •   最低版本要求是1.17。
    
  
  
• 建议使用硬件安全模块（HSM）。但是，如果使用本地（不安全）签名器，请参阅<<SecTools V2：Secure Image User Guide>>  中的本地签名
  
• 所有密钥和证书天生命令均使用OpenSSL 1.1.1g（2020年4月21日）执行。安装OpenSSL是条件条件。
  
• 确保在未进行RPMB配置的设备上启用安全启动。参见查抄RPMB配置状态。
  在吹入安全启动熔丝后，RPMB将主动使用生产密钥进行配置。
  QFPROM熔丝
  
  下表列出了可以吹入以启用安全启动的各种QFPROM熔丝值。
  天生本地（不安全）根密钥和证书
  
  版本3（v3和v3_attest）扩展用于定义证书格式并创建CA（证书颁发机构）。
  天生ECDSA根密钥和证书
  
  相比RSA签名算法，ECDSA提供更高的安全性和性能。因此，Sectools的默认配置支持ECDSA签名。
  天生RSA CA密钥对和证书
  
  RSA是一种加密算法，使用一对密钥加密和解密数据，以确保数据传输的安全性。
  天生RSA和ECDSA的SHA-384哈希
  
  SHA-384哈希在加密应用中非常告急，包罗加强安全强度、创建数字签名、确保符合标准和将来防范。
  签名镜像
  
  镜像签名确保镜像的真实性、完备性和来源。
  天生签名的sec.elf镜像
  
  此信息仅提供示例命令。有关天生熔丝烧录器二进制文件的信息，请参见SecTools V2：Fuse Blower User Guide。
  刷写镜像
  
  刷写镜像涉及将整个镜像（包罗分区、文件系统和数据）写入存储设备。
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。