ブート時のセキュリティ - 2022.1 日本語

Zynq®-7000 SoC デバイスのセキュア モードおよび非セキュア モード

セキュリティ上の理由により、PS の全マスター モジュールの中で CPU 0 が最初にリセット状態を終了します。CPU 1 は WFE ステートを維持します。bootROM が実行されている間は、安全性を確保するためにリセットの種類に関係なく JTAG は常に無効となります。bootROM の実行が完了した後、ブート モードが非セキュアな場合は JTAG が有効になります。

bootROM コードには、FSBL/ユーザー コードをロードする役目もあります。bootROM がステージ 1 へ制御をリリースすると、ユーザー ソフトウェアがシステム全体を完全に制御します。bootROM を再度実行するには、システム リセットのいずれかを実行する以外に方法はありません。FSBL/ユーザー コードのサイズは、暗号化/非暗号化ともに 192 KB までに制限されています。この制限は、非セキュアの XIP (eXecute-In-Place) オプションを使用する場合は適用されません。

PS ブート ソースは BOOT_MODE ストラップ ピン (弱いプルアップまたはプルダウン抵抗で指定) を使用して選択します。このピンは、パワーオン リセット (POR) 時に 1 回サンプリングされます。サンプリングされた値は、slcr.BOOT_MODE レジスタに格納されます。

bootROM は暗号化/認証されたイメージ (セキュア ブート) と暗号化していないイメージ (非セキュア ブート) をサポートしています。また、非セキュア ブート イメージのみを対象とした場合、XIP (eXecute-In-Place、xip_mode) オプションを使用してステージ 1 イメージを NOR または Quad-SPI から直接実行できます。XIP (eXecute-In-Place) は、NOR および Quad-SPI ブート モードでのみ利用できます。

• セキュア ブートの場合、bootROM コードを実行している CPU は、ブート デバイス上のユーザー PS イメージを復号化/認証して OCM に格納した後、このイメージに分岐します。
• 非セキュア ブートの場合、bootROM を実行している CPU は、PL 内の AES ユニットなどすべてのセキュア ブート機能を無効にした後、OCM メモリまたはフラッシュ デバイス (XIP (eXecute-In-Place) を使用した場合) 内のユーザー イメージに分岐します。

これ以降の PS または PL に対するブート ステージは開発者であるユーザーの責任で、ユーザー制御下で実行する必要があります。bootROM コードにはユーザーからはアクセスできません。ステージ 1 ブートがセキュア ブートの場合、その後のブート ステージはセキュアまたは非セキュアのどちらも可能です。ステージ 1 ブートが非セキュア ブートの場合、その後のブート ステージは非セキュア ブートしか実行できません。

Zynq UltraScale+ MPSoC デバイスのセキュリティ

Zynq® UltraScale+™ MPSoC デバイスでは、ハードウェア ルート オブ トラストのブート メカニズムを使用してセキュア ブートが実行されます。これにより、すべてのブート ファイルまたはコンフィギュレーション ファイルも暗号化されます。このアーキテクチャは、アプリケーションの安全性を最大限に確保するために必要な機密性、完全性、および認証を提供します。

詳細は、 『Zynq UltraScale+ デバイス テクニカル リファレンス マニュアル』 (UG1085) のこのセクションを参照してください。

Versal ACAP セキュリティ

Versal® ACAP では、セキュア ブートにより、デバイスにロードされるファームウェアおよびソフトウェアの機密性、完全性、および認証が保たれるようになっています。ルート オブ トラストは、PLM ソフトウェアの認証/復号化を認証する PMC ROM から開始します。PLM ソフトウェアが信頼できるようになったので、PLM でファームウェアおよびソフトウェアの残りが安全な方法でロードされます。また、セキュア ブートが必要ない場合でも、ソフトウェアは少なくともシンプルなチェックサムを使用して認証できます。

詳細は、 『Versal ACAP テクニカル リファレンス マニュアル』 (AM011) を参照してください。