英飞凌TC3xx--深度手撕HSM安全启动(六)--安全启动的TARA、HARA分析

        在之前我们讲解基于Tricore的安全启动流程，但是是不是这种流程就是安全可靠的呢？不确定，因此对启动流程基于信息安全的TARA分析基和于功能安全的HARA分析必不可少。

1、安全启动的TARA分析

        首先我们来看看什么叫做TARA分析。

        在ISO\SAE 21434 中对于TARA描述为threat analysis and risk assessment，即威胁分析和风险评估。这个使用模块化的方法，用于评估信息安全的风险程度，大致可以按以下步骤总结：运行环境描述 -> 风险资产定义及影响分级 -> 危险场景定义 -> 攻击路径分析  -> 攻击可行性分析 -> 风险等级定义 -> 预防机制。

        按照上述步骤，要对安全启动进行分析。首先就要确定安全启动的运行环境：在当前多核MCU架构下，HSM充当一个安全岛，运行时相对独立，此外由于HSM自身特性，其BootRom可以作为安全启动的信任根。除了上述环境，我们还要对整个安全启动的流程进一步梳理，分析每一个启动步骤的信息安全风险（这里不考虑OTA/离线升级等情况）。

        安全启动具体可以分为以下几个步骤：

        对于每个步骤，我们风险资产定义：

        很明显，在安全启动中，有几个最为重要的风险资产：启动安全启动的标志位、待认证程序的签名、完成安全启动后应用程序的首地址。

         那么在TARA分析