Versal アダプティブ SoC のセキュリティ アーキテクチャは、旧世代から大幅に強化されています。信頼のルートは BootROM から始まり、BootROM がデバイスのセキュリティ ステートを検証します。すべてのチェックにパスすると、BootROM は PLM ファームウェアを認証し、ロードします。PLM が暗号化されている場合は、BootROM は認証後に PLM の復号化を実行します。BootROM は、PMC 内の RCU からのみ実行されます。PLM ファームウェアがロードされて実行されると、PLM によって残りのファームウェアとソフトウェアが安全にロードされます。使用方法を含むセキュリティの詳細は、AMD ウェブサイトのデザイン セキュリティ ラウンジ (要登録) で 『Versal アダプティブ SoC セキュリティ マニュアル』 (UG1508) を参照してください。次の表に、Versal アダプティブ SoC で利用可能なセキュア ブート構成、および Zynq UltraScale+ MPSoC との比較を示します。
ブート タイプ | 動作 | ハードウェア暗号化エンジン | |||
---|---|---|---|---|---|
認証 | 復号化 | 完全性 (チェックサム検証) | Zynq UltraScale+ MPSoC | Versal アダプティブ SoC | |
非セキュア | なし | なし | なし |
あり ビルトイン エンジンを使用しない |
あり ビルトイン エンジンを使用しない |
ハードウェアによる信頼のルート (HWRoT) | あり | オプション | 非対称認証による完全性 |
あり RSA、SHA3 |
N/A |
非対称型のハードウェアによる信頼のルート (A-HWRoT) | あり | オプション | 非対称認証による完全性 | N/A | あり RSA/ECDSA、SHA3 (AES-GCM および PUF、オプション) |
対称型のハードウェアによる信頼のルート (S-HWRoT) | あり (GCM と eFUSE 使用) |
あり PUF KEK の使用が必要 |
非対称認証による完全性 | N/A | あり AES-GCM、PUF |
A-HWRoT + S-HWRoT | あり |
あり PUF KEK の使用が必要 |
非対称認証による完全性 | N/A | あり RSA/ECDSA、SHA3、AES-GCM、PUF |
チェックサム検査 | なし | なし | あり | あり SHA3 |
あり SHA3 |