加密加签

1. 安全解决方案

芯片	加密	加签	SCA安全算法	Firmware安全算法	数据安全算法	签名安全算法
GR551x	√	√	HMAC-SHA256	ECC P-256 & PRESENT-128	PRESENT-128	RSASSA-PSS
GR5525	√	√	HMAC-SHA256	ECC P-256 & PRESENT-128	PRESENT-128	RSASSA-PSS / ECDSA
GR5526	√	√	HMAC-SHA256	ECC P-256 & PRESENT-128	PRESENT-128	RSASSA-PSS
GR533x	×	√	×	×	x	ECDSA

生成firmware，data，hmac, signature等密钥信息；
根据以上数据，生成Efuse烧录文件：Encrypt_key_info.bin和Mode_control.bin等
工具端烧录Encrypt_key_info.bin和Mode_control.bin至Efuse，使能芯片硬件加密模式
工具端加密加签Firmware，会再Firmware添加以下信息：
- firmware pub key相关参数
- signature pub key相关参数
- signature pub key Hash数据
- 加密固件文件的signature
工具端烧录加密加签固件时，会加密烧录SCA区域信息，并附上HMAC

读取Efuse信息，以判断芯片是否使能硬件加密模式，以及是否开启SWD；
触发Efuse controller将各key发送至Keyram；
计算SCA区域信息HMAC是否与SCA存储HMAC匹配，完成SCA信息验证；
使用Data Key解密SCA区域信息，取得boot info；
根据boot info确定firmware load位置和大小，获取signature pub key相关参数，signature pub key Hash数据，加密固件文件的signature；
计算signature pub key相关参数Hash，与Efuse中Hash进行匹配验证；
使用signature pub key相关参数计算出signature pub key；
使用signature pub key对加密固件文件的signature进行解密获取工具端计算的firmware文件Hash
对于firmware文件Hash计算得到摘要，与工具端计算的firmware文件Hash进行匹配验证
signature验证通过后，获取firmware尾部firmware pub key相关参数，与efuse中生成firmware key参数计算出对称密钥FW Code Key；

输入Name和ID，配置Fimware Key（首次生成选择Using Random Key），Security Mode，SWD，Sign算法（仅适合GR5525），生成Efuse File
烧录Encrypt_key_info.bin和Mode_control.bin Efuse File至芯片端；
选择Product Info，Random Number（首次生成选择Using Random Number），需要加密加签的Firmware文件
Encrypt and Sign生成加密加签Firmware文件

仅加签模式是后续扩展功能，rom启动时不会对跳转固件进行signature验证，此模式应用于app bootloader对user app firmware或DFU Firmware进行验证
仅加签模式无需烧录生成Efuse File，因此需要将Public_key_hash.txt中signature pub key Hash数据填写至app bootloader配置文件中
取消勾选Encrypt，仅Sign对目标Firmware进行加签

产品使用应用中，会有app bootloader firmware和user app firmware，对两个文件进行加密加签时，须使用相同的firmware.key和random.bin，否则硬件加载的是app bootloader firmware配置的FW Code Key，对user app firmware会解密失败，导致跳转失败。若首次生成加密文件时，勾选Using Random Key和Using Random Nuber，后续加密加签固件时，应选择已生成后的firmware.key和random.bin