OpenTitan项目中ROM_EXT擦除流程问题分析与解决

背景介绍

在OpenTitan项目中，ROM_EXT(ROM扩展)是一个重要的安全组件，它负责在芯片启动过程中验证和执行后续的固件。ISFB(Image Signing Firmware Block)擦除功能是ROM_EXT中的一个关键特性，允许在特定条件下擦除Flash信息页。

问题描述

开发者在尝试使用ISFB擦除扩展功能时遇到了问题。具体表现为：

1. 在manifest中正确配置了ISFB擦除扩展(偏移量415172)
2. 检查二进制文件确认ISFB标记存在(0x755C4位置)
3. 配置了正确的Owner配置，包括Flash信息页权限和ISFB配置
4. 但实际擦除操作仍然失败，返回错误代码0x00000002(mp_err)

技术分析

通过深入分析，发现问题根源在于：

1. 权限冲突：原有的Owner代码在启动过程中对信息页(Info Page)设置了锁定权限，这发生在ROM_EXT所有者配置机制完善之前。
2. 执行顺序：Owner代码的权限设置先于ROM_EXT的ISFB擦除流程执行，导致后者无法获得足够的权限。

解决方案

该问题实际上是一个"假警报"，根本原因是：

项目中遗留的Owner代码在系统启动时对信息页进行了锁定，这种锁定行为是在ROM_EXT所有者配置机制完全实现之前添加的。随着项目发展，现在有了更完善的ROM_EXT所有者配置机制，可以更精细地控制Flash页面的访问权限。

经验总结

1. 权限管理：在安全芯片开发中，权限管理的时序和层次非常重要，需要确保不同组件的权限设置不会相互冲突。
2. 遗留代码：项目演进过程中，要注意清理不再需要的旧机制，避免与新功能产生冲突。
3. 配置验证：在使用新功能时，不仅要验证新配置的正确性，还需要检查系统中是否存在可能影响新功能的旧机制。

这个问题提醒开发者在实现安全功能时，需要全面考虑系统各组件之间的交互，特别是在权限管理这种关键功能上。同时也展示了OpenTitan项目在安全机制上的持续改进过程。