Versal 自适应 SoC 的安全性架构相比前几代提升显著。信任根随 BootROM 一起启动,这样即可验证器件的安全状态。如果所有检查都通过,那么 BootROM 会对 PLM 固件进行身份验证,随后加载。如果您之前选择加密 PLM,那么 BootROM 还会在完成身份验证后对 PLM 进行解密。BootROM 只能从 PMC 中的 RCU 运行。当 PLM 固件加载完成并验证后,PLM 即可确保以安全方式加载剩余固件和软件。如需了解与安全性相关的详细信息(包括使用说明),请参阅 AMD 网站上设计安全性专区(需要注册)中提供的 Versal 自适应 SoC 安全手册(UG1508)。下表高亮显示了 Versal 自适应 SoC 的可能的安全启动配置,并显示了与 Zynq UltraScale+ MPSoC 的比较。
| 启动类型 | 操作 | 硬件加密引擎 | |||
|---|---|---|---|---|---|
| 身份验证 | 解密 | 完整性(校验和验证) | Zynq UltraScale+ MPSoC | Versal 自适应 SoC | |
| 非安全 | 不支持 | 不支持 | 不支持 |
支持 不使用内建引擎 |
支持 不使用内建引擎 |
| 硬件信任根 (HWRoT) | 支持 | 可选 | 采用非对称验证来确认身份 |
支持 RSA 和 SHA3 |
不适用 |
| 非对称硬件信任根 (A-HWRoT) | 支持 | 可选 | 采用非对称验证来确认身份 | 不适用 | 支持 RSA/ECDSA,SHA3 (AES-GCM 和 PUF 为可选) |
| 对称硬件信任根 (S-HWRoT) | 通过 GCM 和 eFUSE 予以支持 |
支持 必须使用 PUF KEK |
采用非对称验证来确认身份 | 不适用 | 支持 AES-GCM,PUF |
| A-HWRoT + S-HWRoT | 支持 |
支持 必须使用 PUF KEK |
采用非对称验证来确认身份 | 不适用 | 支持 RSA/ECDSA、SHA3、AES-GCM 和 PUF |
| 校验和验证 | 不支持 | 不支持 | 支持 | 支持 SHA3 |
支持 SHA3 |