次のセキュア ブート / 信頼チェーンのシナリオは通常どのように処理されますか?前例は何ですか?

ほとんどのドキュメント/例では、シナリオは単純です。同じNXPについてがデバイスとアプリケーション ソフトウェアを作成し、アプリケーション ソフトウェアを搭載したデバイスを販売し、そのNXPについてキーのみを対応させる必要があります。

ただし、当社のCASEでは、i.MX 8X ベースのデバイスを製造しています。弊社のお客様は、デバイス用のソフトウェア アプリケーションを開発し、ソフトウェアを搭載したデバイスを顧客に販売します。

私たちの鍵は AHAB SRK にあります。しかし、お客様がソフトウェア更新に署名できるように、お客様のキーをどこかに格納する必要もあります...

当社は、Yocto が作成した SDK と Linux rootfs をお客様に提供します。弊社のお客様は Yocto ビルドを自分で実行しません。彼らは SDK を使用してアプリケーション ソフトウェアを構築します。

セキュアブートと誰のキーがどこに保存されるかという観点から、このシナリオが通常どのように処理されるかについての前例はありますか?さまざまな当事者の用語は何ですか?

ありがとう
ピーター

まだ受け取っていない場合はお知らせください。

よろしくお願いします。

Harvey

こんにちは@Harvey021 。ありがとう。内部システムのメールはどこでCAN見つかりますか?プライベートメッセージ/受信トレイを確認しましたが、空ですか?

こんにちは@petero5

内部システムメールを送信しました。

よろしくお願いします。

Harvey

こんにちは@Harvey021ありがとうございます。はい、HSM で CST を使用しています。

しかし、1 つのNXPについてではなく 2 つのNXPについてが関与する信頼チェーンに関するベスト プラクティスをまだ探しています。

A NXPについてはデバイスを製造し、Yocto SDKとFITイメージ、U-Boot、Linuxカーネル、rootfsを構築します。

NXPについて Bは上記を受け、アプリケーションを開発（アプリケーションパーティションを作成）します。

A が SRK を書き込んでデバイスを閉じると、B はデバイスとイメージが途中で改ざんされていないと信頼CANます。

しかし、アプリケーション パーティションに B の公開キーを登録する方法、またはそれを信頼チェーンに含める方法が必要ですか?

ありがとう
ピーター

セクション<7.3CST ユーザーガイドの「ハードウェア セキュリティ モジュールを使用した CST」が参考になります。

ガイドはIMX_CST_TOOLからダウンロードCAN。

よろしくお願いします。

Harvey