TPM安全启动：构建可信链的Qcom IPQ8064架构

本文档主要探讨了如何利用Trusted Platform Module (TPM) 实现Soaring Eagle Secure Boot系统的设计和架构。作者June Hou在2018年9月4日撰写了这篇初步版本（0.01），旨在构建一个安全的启动环境，通过TPM确保可信链的完整性，并将数据保护扩展到不同的层次。 首先，文章介绍了TPM设计的核心概念。TPM是一个高度可信的硬件模块，它负责存储和保护敏感数据，如加密密钥和安全令牌。在TPM中，"Seal Blob"是一个关键概念，它包含了被TPM加密的信息，确保其安全性和完整性。IPQ8064平台的Seal Blob定义在表4-2中，展示了存储在闪存中的这些关键数据结构。 TPM Data Space 是TPM在闪存中预留的64KB区域，主要用于存储TPM所需的各类数据，包括公钥、私钥、加密算法（如Boot Cipher、Kernel 0 Cipher和RootFS 0 Cipher）等。这些数据类型通过定义常量来标识，如PLATFORM_TYPE_BASE + n，n代表不同数据类型的偏移值。 系统架构方面，文档提到采用Qcom IPQ8064作为CPU，其内部ROM用于存放安全启动代码，Nor Flash用于存储启动加载程序和其他重要信息，而Nand Flash则分别存放内核和根文件系统。图3-1展示了整个系统的安全启动架构，展示了各个组件之间的交互和数据流动路径。 本文的核心知识点包括： 1. TPM在Soaring Eagle Secure Boot中的作用：提供一个可信环境，保护启动流程中的关键数据。 2. Seal Blob的概念与在IPQ8064平台上的存储定义。 3. TPM Data Space的使用，包括数据类型及其在闪存中的存储位置。 4. 安全启动系统架构的设计，强调了不同硬件组件（如CPU、闪存）在TPM保护下的角色。 理解并有效运用这些TPM技术和架构对于保障设备的安全启动过程至关重要，尤其是在物联网(IoT)和移动设备领域，TPM的使用能增强系统的安全性和防篡改能力。