Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

Subkey驗證及載入流程

Subkey 驗證

OP-TEE 支援使用 subkey(子金鑰)或 subkey 鏈(chain of subkeys) 來驗證 TA,這使得可以在不洩漏 root key 的情況下,將簽章權限授予第三方,支援多方獨立簽署 TA。另外,因為子金鑰簽署的 TA 必須位於該子金鑰的 UUID-V5 命名空間,這種方式還能防止 TA UUID 混淆,避免 UUID 衝突。

REE FS TA 載入流程

以下為從 REE 載入 REE FS TA 的流程:

  1. REE 世界的 Client App 請求啟動 TA
  2. TEE Core 收到請求後,透過 RPC 要求 tee-supplicant 幫忙讀取 TA
  3. supplicant 根據 UUID 在 /lib/optee_armtz/ 中找對應的 .ta 檔案
  4. supplicant 將整個 .ta 檔案讀入 shared memory,並傳給 TEE Core
  5. TEE Core 對 TA 映像進行簽章驗證
  6. 驗證通過後,TA 被載入並初始化執行