UPGRADE YOUR BROWSER

We have detected your current browser version is not the latest one. Xilinx.com uses the latest web technologies to bring you the best online experience possible. Please upgrade to a Xilinx.com supported browser:Chrome, Firefox, Internet Explorer 11, Safari. Thank you!

AR# 71293

Zynq UltraScale+ MPSoC 的设计咨询:2017.x FSBL 根据分区报头的内容在分区上执行安全操作。

描述

该设计咨询涵盖两个与 Zynq UltraScale+ MPSoC FSBL 的 2017.x 版本有关的问题。

问题 1:

在 2018.1 之前的版本中,FSBL 不对 Boot Header (引导报头)进行身份验证,即使启用了信任的硬件根(即 RSA_EN 可编程)也不例外。

Boot Header 包含加密操作中使用的参数。

未得到身份验证的 Boot Header 可导致对手在不被发现的情况下篡改它们的潜在威胁。

问题 2:

在 2018.1 版本之前,FSBL 不检查 ENC_ONLY eFUSE。

这只是在“仅加密”安全引导模式下才是一个问题。使用信任的硬件根时,这不是问题。

在“仅加密”安全引导模式下,ENC_ONLY eFUSE 命令 CSU ROM 和 FSBL 解密 FSBL 以及引导镜像中的所有分区。

ROM 会准确检查 ENC_ONLY eFuse,但 FSBL 不会。

由于 FSBL 不检查 ENC_ONLY eFuse,敌对份子可能会在不被检测到修改的情况下修改分区报头,而且可能会加载一个未加密的分区。

解决方案

这两个问题均可通过使用 Vivado 2018.1 FSBL 或更新版本来解决。

AR# 71293
日期 08/14/2018
状态 Active
Type 设计咨询
器件
Tools More Less
的页面