C/F系列才有安全启动

BootROM->FSBL

Device Life Cycle

OPEN state

• 此状态即使验证失败也会进入下一步

CLOSED state

• 身份验证是强制性的

RMA state

• 此时ROM的代码都被禁用

和15x的区别

• 可以自带签名的同时还带加密
• FSBL身份验证密钥可以使用多达8个签名

在13x的ROM加密加速器

• ROM代码使用HASH、PKA、CRYP和SAES加密加速器
• HASH执行SHA256
• PKA执行ECDSA签名
• CRYP或SAES 用于FSBL的AES解密

校验过程

加载的头TF-A 包含了加解密的信息（签名的公钥版本等信息），boot会读取头验证ECDSA 公钥，如果被加密了也会使用头中的解密方式进行处理

上位机操作

生成密钥对

可以一次性生成8组密钥，也就是8组 公钥私钥，然后生成哈希表TKHTH文件，需要写入芯片中的OTP 24-31字段中

OTP

如果需要加密，EDMK需要存在 OTP的92-95中

生成头信息

选择其中一种密钥进行处理，生成Image,BootRom会先验证公钥合法性，然后进行Image签名的验证，然后再进行解密的操作，而且也有版本防回滚的机制

八组密钥

如果其中一个密钥泄露，则使用高索引的密钥，旧的密钥则被吊销