缺省情况下,关闭安全启动。安全设备的配置状态有:

  • 开放:这是默认状态。打开的设备没有启用安全引导,并且将引导任何U-Boot映像,而不管签名是否无效或根本没有附加签名。但是,当使用签名的U-Boot映像时,ROM加载程序会尝试验证它,如果U-Boot映像没有正确签名,则会生成事件。您可以在关闭设备之前使用此行为来验证图像。打开的设备使用默认测试密钥进行加密和解密。

  • 关闭:在关闭状态下,启用安全引导功能,只有经过正确签名的U-Boot映像才能引导设备。封闭设备使用OTPMK(一次性可编程主密钥)进行加密和解密。

安全启动可分为两个不同的过程:

  • 制造:该设备在一个安全的环境中编程,保护身份验证和加密密钥。

  • 部署:在引导时验证映像签名,并对映像进行解密。