支持PSA FWU或TBBR FWU的TF-A威胁模型

目录

一、简介

二、评估目标

三、威胁评估

四、PSA FWU

1、威胁可以通过引导固件来缓解

2、威胁可以通过平台设计来缓解

五、TBBR FWU - 固件恢复

1、威胁可以通过引导固件来缓解

---

一、简介

本博客提供了针对启用 PSA固件更新 或 TBBR固件更新或两者均已启用平台的TF-A固件威胁模型。要了解固件更新的设计，请参阅固件更新（Firmware Update (FWU)）。

尽管它是一个单独的文档，在许多地方引用了通用威胁模型，因为其中一些内容适用于此威胁模型。

二、评估目标

在这个威胁模型中，评估目标是当启用 PSA FWU 支持或 TBBR FWU 模式时的 A 系列处理器的可信固件（TF-A）。这包括引导 ROM（BL1）和受信任的引导固件（BL2）。

三、威胁评估

对于本节，请参考通用威胁模型下的威胁评估。这里只突出显示了差异。

四、PSA FWU

1、威胁可以通过引导固件来缓解

下表分析了在此威胁模型的上下文中由引导固件缓解的威胁。仅指出了额外的细节。

ID	Applicable?	Comments
01	Yes	攻击者可以使用任意镜像来更新系统。
02	Yes	攻击者试图使用易受攻击/较旧的固件更新系统。
03	Yes
04	Yes

2、威胁可以通过平台设计来缓解

PSA FWU 是由存储在非易失性存储器中的元数据驱动的。这些元数据没有进行加密签名。此外，根据硬件设计的不同，它可能存储在不受信任的存储中，这使得 TF-A 安全边界之外的软件或物理攻击者有可能对其进行修改，以改变 FWU 过程的行为。

以下是一些可能的 FWU 元数据损坏场景：

1. FWU 元数据包括用于引导的固件区块；攻击者试图修改它以阻止执行更新后的固件。

2. FWU 元数据包含一个指示固件状态的字段，可以是试运行或接受运行。攻击者试图操纵此字段，确保更新后的固件始终以试运行模式运行，以防止防回滚更新。

按设计，不存在软件缓解措施来防止这种情况。FWU 元数据的保护依赖于平台的硬件设计，以缓解对其的潜在攻击，如果这在平台的威胁模型中是一个问题的话。例如，FWU 元数据可能存储在安全存储中，只能由安全软件进行独占访问，这样可以保护它免受物理上的、未经认证的访问以及非安全软件的访问。

五、TBBR FWU - 固件恢复

1、威胁可以通过引导固件来缓解

下表分析了在此威胁模型的上下文中由引导固件缓解的威胁。仅指出了额外的细节。

ID	Applicable?	Comments
01	Yes	攻击者可以使用任意镜像来恢复系统。
02	Yes	攻击者试图使用易受攻击/较旧的固件恢复系统。
03	Yes
04	Yes