Q：在H5上面，外置FLASH里面的程序使用otfdec的时候，是不是必须在内置flash区域写一些代码，不能把所有的代码全放flash？

A：是的，内部flash代码需要初始化OTFDEC以及OSPI模块，设置key等相关参数，然后就可以跳转到外部flash执行密文代码。

Q：STM32H5 Secure Manager是否符合相关安全标准和规范？A：Secure Manager的认证目标是PSA Level3和SESIP Level3。
7 \0 l- ~! _2 Z
Q：STM32H5 Secure Manager如何与主控制器通信？

A：基于TrustZone架构，直接函数调用就可以使用SecureManager里面提供的安全服务功能。

) Q! f' H; {7 L. C2 cQ：H5的硬件安全存储是否提供了备份和恢复功能，以防止数据丢失？A：OBK区域是双bank，写一个bank，还有另一个bank的数据备份。
3 v. F- e( w% h
/ e( V1 A6 {/ `0 k% m# n' W% rQ：STM32TrustTEE支持H5吗？
% r: W# {: c! R- w- ?2 t6 @9 l. m7 ~A：支持，STM32H57x系列。
8 e' ?( S9 _; B, n  l( U* z3 @) j
Q：STM32H5系列支持哪些加密算法？
A：硬件上STM32H5提供多种密码学加速器，包括AES以及SAES，HASH，PKA，硬件真随机数，以及运行时解密单元OTFDEC。

Q：安全启动这部分，需要额外增加代码嘛？还是进行简单的配置就行？
( }6 I, q% w% `A：这要看是否使用STiROT。如果使用STiROT，只需要做相应配置就可以直接引导应用，不需要开发额外的代码。
, j/ h8 C+ O* @; C( \
: ]) Z) H9 p$ m% UQ：如何使用STM32TrustedPackageCreator、STM32CubeProgrammer、STM32CubeFW for H5、SecureManager等工具？是否有推荐的学习资源或文档？
A：可参考工具的说明文档，也可以参考[color=var(--weui-LINK)]https://wiki.stmicroelectronics.cn/stm32mcu/wiki/Category:Getting_started_with_STM32H5_security
2 x7 f$ w4 ~  t4 C# k/ ]. f& E9 l
Q：请问：Arm®TrustZone®有哪些优越性？
$ y5 l, {6 @% ?1 \% fA：TrustZone架构主要提供软件隔离功能，代码可以区分可信和非可信两部分，对资源可以区分不同的访问权限，通过隔离机制可以降低软件漏洞可能带来的风险。
- a0 f7 R+ A6 u6 a) ?
0 z" D7 e8 ^0 s9 f6 F$ TQ：STM32H5的安全特性主要会用在哪些场合？
A：很多场合都会用到，尤其是有网络连接的设备，通常会需要有安全启动和升级的要求，为了设备安全连接和安全通信也会有安全存储，加解密等相关需求。
5 G' E  j# a/ S2 s' X* ?$ F) Y* v
# N* X  x" r' }) ?Q：STM32H5对于信息安全都有哪些功能？

A：STM32H5基于 STM32Trust安全框架，提供多项安全功能，例如：

安全启动Secure boot能够确保在器件里运行的应用的得到认证授权且保证完整性。隔离Isolation将一个应用的受信和非受信的部分进行分隔。

软件安全安装与升级 Secure Install/Update，在安装或者升级时，在对器件进行编程前，能够进行固件认证以及完整性检查。异常状况处理Abnormal situation handling是指系统能够检测硬件和软件的异常状况并采取相应的措施，例如擦除秘密数据。器件生命周期Silicon device lifecycle，控制器件的状态和调试访问控制，在不同阶段保护片上关键资源的安全性。软件IP保护Software IP protection能够保护整个软件或者一部分，免于受到外部或者内部的读取。软件IP保护可以允许多个IP都受到保护。安全制造Secure manufacturing 对设备进行初始化，用于安全定制及防过量生产的控制。安全存储Secure storage提供安全存储数据或者密钥的能力。密码学引擎Crypto engine能够在相应安全等级上执行密码学算法。

# m" T2 I5 O2 |+ E
/ u9 ^$ L; k* Z# w. B: N转载自STM32公众号



6 K7 @* q. x0 Y3 Y2 _