Versal デバイスの場合、SHA-3 ハッシュは RSA/ECDSA 秘密キーを使用して署名され、生成されたシグネチャは Versal デバイス イメージに格納されます。ブート時にイメージの SHA-3 ハッシュが計算され、イメージに格納されているシグネチャが公開キーを使用して RSA/ECDSA エンジンに渡されます。計算で求めた SHA-3 ハッシュと検証済みシグネチャが一致すると、イメージは有効です。
Versal デバイスでは、PPK (Primary Public Key) と SPK (Secondary Public Key) の 2 種類の公開キーを使用します。各イメージには、専用または共通の SPK が割り当てられます。たとえば PLM で SPK0 を使用するように割り当てた場合、Cortex-A72 には同じ SPK0 を割り当てることも、SPK1 など専用の SPK を割り当てることもできます。
Versal デバイスには、eFUSE メモリ内に 3 つまたは 5 つの PPL ハッシュ値を格納できるストレージがあります (PPK0、PPK1、PPK2、およびオプションにより PPK3 および PPK4)。いずれかの PPK の eFUSE ビットをプログラムすると、ブート時に A-HWRoT が強制的に実行されます。したがって、すべてのソフトウェアを認証してから Versal デバイスにロードする必要があります。非対称キー ペアは、RSA 4096 または ECDSA–P384 楕円曲線を使用できます。3 つまたは 5 つの PPK には、RSA と ECDSA ハッシュ値の組み合わせをプログラムできます。