• 亚哈高级高保证引导,固件在处理器的引导ROM中,负责验证引导映像。

  • 真空断路: Android Verified Boot,一个与Project Treble架构一起工作的Verified Boot版本。

  • 汉堡王: Blob Key,随机256位AES-CCM密钥,用于加密CAAM Blob上的数据。

  • BKEK: Blob密钥加密密钥,256位AES-ECB派生密钥,用于加密CAAM Blob中的BK。

  • CA:颁发数字证书的证书颁发机构。

  • 中国汽车工业协会:加密加速器和保证模块,这是片上系统的硬件模块,提供硬件加速加密功能。

  • 脑脊液:命令序列文件,一个附加在签名U-Boot映像上的二进制blob,包含签名、证书和配置CAAM用于解密和认证过程的命令。

  • DEK:数据加密密钥,用于加密引导工件(如U-Boot, Linux映像,设备树blobs和引导脚本)的秘密密钥。

  • dm-verity设备映射器真实性,一个内核特性,支持块设备的透明完整性检查。

  • 想吃汉堡: High Assurance Boot,处理器引导ROM中的固件,负责验证引导映像。

  • NVTK非易失性测试密钥,一个256位的硬连接到CAAM的密钥,用于开放(非安全启用)设备,作为OTPMK的替代品。NVTK值是公共知识,对所有部件都是通用的,所以它的使用是不安全的:它应该只用于测试。

  • OTP:一次性可编程位,也称为电子保险丝或熔断器。

  • OTPMK一次性可编程主密钥,一个唯一的256位密钥,由CPU制造商存储在CPU的OTP位上,CAAM仅在关闭(启用安全启动)的设备上使用。

  • 公钥基础设施:公钥基础设施,一组证书和私钥,Digi Embedded Yocto使用这些证书和私钥对固件映像签名。

  • RPMB:重放保护内存块,将数据存储到重放保护的内存区域,读写访问需要身份验证。

  • RSA:用于公钥加密的Rivest-Shamir-Adleman密码系统。

  • SRK:超级根密钥,作为哈希存储在CPU的OTP位中,由HAB用于映像身份验证。

  • 助教:受信任的应用程序,具有特殊权限的应用程序,可以执行与安全相关的功能。

  • 三通:可信执行环境,主处理器内部的一个安全区域,保护所加载代码和数据的机密性和完整性。TEE与操作系统并行运行,但在隔离的环境中运行。