rev. 0
adsp-2141l
–6–
context 切换 是 优化 至 降低 这 overhead 的
changing cryptographic keys 至 near 零.
这 软件 接口 至 这 单元 组成 的 一个 设置 的
记忆-编排 寄存器, 所有 的 这个 是 visible 至 这 dsp 和
大多数 的 这个 能 是 使能 为 host 进入 通过 这 pci 总线. 一个
设置 的 five, 16-位 寄存器 定义 这 运作 至 是 执行,
这 长度 的 这 数据 缓存区 至 是 processed, 在 字节, 这 补偿
在 这 开始 的 hashing 和 encryption (或者 恶行 对抗), 和
这 padding 运作. 如果 这 数据 长度 是 unknown 在 这 时间
这 encrypt/decrypt 运作 是 started, 这 数据 长度 寄存器
将 是 设置 至 零, 这个 specifies 特定的 处理. 在 这个 情况,
数据 将 是 passed 至 这 hash/encrypt 块 indefinitely 直到
这 终止 的 数据 是 encountered. 在 那 时间, 这 运作 是
terminated 用 writing 一个 新 控制 文字 至 这 hash/encrypt
控制 寄存器 (也 至 处理 这 next 小包装板盒 或者 至 invoke
这 空闲 状态 如果 那里 是 非 更远 工作 至 做). 这个 将 关闭
输出 这 处理 为 这 小包装板盒, 包含 这 增加 的 这
选择 crypto padding.
一个 设置 的 七 状态 寄存器 提供 信息 在 当 一个
新 运作 能 是 started, 当 那里 是 空间 有 至
接受 新 数据, 当 那里 是 数据 有 至 是 读 输出, 和
这 结果 从 这 padding 运作.
crypto contexts
那里 是 二 sets 的
crypto-context
寄存器. 各自 context
包含 一个 des 或者 triple des 关键, initialization vector, 和
precomputed hashes (inner 和 outer) 的 这 authentication 关键
为 hmac 行动. 这 contexts 也 包含 寄存器 至
再装填 这 字节 计数 从 一个 previous 运作 (这个 是 部分
的 这 hashing context), 作 好 作 一个 iv (也 called
salt
) 为
decrypting 一个 黑色 关键, 如果 需要.
once 一个 crypto-context 有 被 承载 和 这 运作
定义, 数据 是 processed 用 writing 它 至 一个 数据 输入 先进先出. 在
这 i/o 接口, 数据 是 总是 写 至, 或者 读 从, 这
一样 地址. 内部, 这 hash 和 encryption 功能
有 独立的 512-位 fifos, 各自 和 它们的 自己的 先进先出 man-
agement pointers. 新当选的 数据 是 automatically routed 至 一个
或者 两个都 的 这些 fifos, 取决于 在 这 运作 在 progress.
输出 从 这 encryption 块 是 读 从 这 数据 输出
先进先出. 在 encrypt-hash 或者 decrypt-hash 行动, 这 数据 是
也 automatically passed 至 这 hashing 数据 输入 先进先出. 输出
从 这 hash 函数 是 总是 读 从 这 digest 寄存器 的
这 适合的 crypto-context.
这 initialization vector 至 是 使用 为 一个 crypto 运作 能 是
承载 作 部分 的 一个 crypto-context. 当 一个 运作 是 完全,
这 一样 context 将 包含 这 结果 iv 生产 在 这
终止, 这个 能 是 saved away 和 restored 后来的 至 continue 这
运作 和 更多 数据.
在 确实 小包装板盒-为基础 产品 此类 作 ipsec, 一个 特性 是
有 那 避免 这 需要 为 这 控制 软件 至 发生
和 加载 随机的 ivs 为 优于 (encrypted) packets. effec-
tively,这 iv 寄存器 能 是 配置 至 是 automatically
updated 和 新 随机的 号码 为 各自 encrypted 小包装板盒,
和 almost 非 软件 intervention.
Padding
当 这 输入 数据 是 不 一个 多样的 的 第八 字节 (一个 64-位
des 块), 这 encrypt 单元 能 是 配置 至 自动地-
cally append 垫子 字节. 那里 是 一些 选项 为 如何 这
padding 是 构成, 这个 是 指定 使用 这 垫子 控制
文字 的 这 运作 描述. 选项 包含 零 padding,
垫子-长度 character padding (pkcs#7), incrementing计数,
和 trailing 垫子 长度 和 next 标头 字节 (为 ipsec), 或者
fixed character padding.便条 那 为 这 ipsec 和 pkcs#7
垫子 protocols, 那里 是 具体情况 在哪里 这 padding 不 仅有的 fills
输出 这 last 8-字节 块, 但是 也 导致 一个 额外的 8-字节
块 的 padding 至 是 增加.
为 这 hash 行动, padding 是 automatically 增加 作
指定 在 这 md-5 和 sha-1 standards. 当 这 hash
最终 command 是 issued 表明 这 last 的 这 输入 数据, 这
algorithm-指定 padding 和 数据 计数 位 是 增加 至 这
终止 的 这 hash 输入 缓存区 较早的 至 computing 这 hash.
数据 补偿
确实 安全 protocols, 包含 ipsec, 需要 portions 的 一个
数据 小包装板盒 至 是 hashed 当 这 remainder 的 这 数据 是 两个都
hashed 和 encrypted. 这 adsp-2141l 支持 这个 需要-
ment 通过 这 补偿 寄存器, 这个 准许 specifying 这
号码 的 32-位 dwords 的 补偿 在 这 hash 和 encrypt/
decrypt 行动.
黑色 关键 负载
这 cryptographic keys 承载 作 部分 的 一个 crypto-context 能
是 贮存 止-碎片 在 一个
黑色
, 或者 encrypted, 表格. 如果 这 appropri-
ate 控制 位 是 设置 (hecntl 位 15), 这 des 或者 3-des 关键
将 是 decrypted 立即 之后 它 是 写 在 这 context
寄存器. 这 硬件 handles 这个 decryption automatically.
这 关键 encryption 关键 (kek) 那 覆盖 这 黑色 keys
是 承载 在 一个 专心致志的 写-仅有的 kek 寄存器 在里面 这
adsp-2141l. 这 iv 为 decrypting 这 黑色 secret 关键 是
called ‘salt’ 和 必须 是 贮存 along 和 这 黑色 关键 (作 部分
的 这context). 便条 那 3-des cbc 模式 是 使用 为 pro-
tecting 3-des 黑色 keys 和 单独的 des cbc 是 使用 为
单独的 des 黑色 keys.
当 黑色 keys 是 使用, 这 关键-decrypt 运作 adds 一个
6-循环 overhead (0.15
µ
s @ 40 mhz) 为 des keys 或者 36-循环
overhead (0.9
µ
s @ 40 mhz) 为 triple des keys 各自 时间 一个
新 crypto-context 是 承载. (便条 那 如果 这 一样 context 是
使用 为 更多 比 一个 小包装板盒 运作, 这 关键 decryption 做
不 需要 至 是 执行 又一次.) 取决于 在 这 sequencing
的 行动, 这个 关键 decryption 将 在 事实 是 hidden (从 一个
效能 impact perspective) 如果 其它 行动 是 进行中的.
这个 是 因为 这 黑色 关键 decryption 处理 仅有的 需要
那 这 des 硬件 是 有. 为 例子, 如果 这 dsp 是
读 这 previous hash 结果 从 这 输出 先进先出, 这
黑色 关键 decryption 能 是 going 在 在 并行的. 也 便条 那
这 数据 驱动器 firmware 做 不 有 至 wait 为 这 关键 至
是 decrypted 在之前 writing 数据 至 这 输入 先进先出. 这 hard-
ware automatically waits 为 这 关键 至 是 decrypted 在之前
beginning 至 处理 数据 为 一个 给 小包装板盒. 所以, 和 效率高的
pipeline 程序编制, 它 是 可能 至 制造 这 impact 的 黑色
关键 essentially 零.
这 kek 为 关键 decryption 是 承载 通过 这 secure kernel
firmware 使用 一个 的 这 cgx 关键 manipulation commands.
(为 更多 信息, 看 这 command summary 部分.)
这个 kek 是 典型地 这 一样 为 所有 黑色 keys, 自从 它 是 通常地
protecting local 存储 仅有的. 它 是 designated 这 dkek 在 这
cgx api.
一个 的 这 激光器-编写程序配置 位 specifies whether
red (plaintext) keys 是 允许 至 是 承载 在 这 adsp-
2141l 从 一个 host. 如果 这
AllowRedKeyLoad
激光器 位 是 不 设置,
keys 将 仅有的 是 承载 在 它们的
黑色
表格. 这个 是 有用的 在
系统 在哪里 export restrictions 限制 这 关键 长度 那 将
是 使用 或者 在哪里 这 外部 存储 环境 是 untrusted.
: 点此下载
