利用对称算法及非对称算法实现安全启动

我们可以利用对称算法及非对称算法实现安全启动

对称加密算法：加密和解密时只有一个key，称为common key，即加密方和解密方都知道这个key，这个key可以在生产或其它需要更新密钥的时候写入HSM的PFLASH

非对称加密算法：加密和解密方用不同的key，加密用private key，解密用public（可能是这样用的，记忆有点混乱）

当然从安全性维度，非对称算法更安全，因为加密方和解密方都不知道对方用的是什么密钥。

对称算法实现secure boot

1 软件下载代码包生成时不需要额外做什么工作，只需要把boot image 及app image下到指定的Flash中。

2 安全启动流程

先启动可信任根，验证可信任链，再通过对称算法如CMAC，及common key 验证boot image，验证成功后继续采用对称算法及common key验证app软件，app软件验证成功后启动app。

非对称算法实现secure boot

1 软件下载代码包的同时需要把签名也存在指定的Flash中，因为在安全启动的时候还是需要这个签名的

2 安全启动流程

先启动可信任根，验证可信任链，再计算boot软件的hash值，对计算出的hash采用非对称算法如ECDSA及public key进行验证。验证成功后计算app的hash值，对计算出的hash采用非对称算法及public key进行验证，app软件验证成功后启动app。

两者的优缺点如安全性可定是非对称算法高，验证速度（影响启动速度）还不知道哪个高。