OP-TEE中启用RPMB存储时遇到TEEC_ERROR_BAD_STATE错误的解决方案

在嵌入式安全领域，OP-TEE作为可信执行环境(TEE)的开源实现，广泛应用于各种安全敏感场景。RPMB(Replay Protected Memory Block)是eMMC/ufs等存储设备提供的一种安全存储机制，能够防止重放攻击并确保数据完整性。本文将详细分析在i.MX8MM平台上启用RPMB功能时遇到的TEEC_ERROR_BAD_STATE错误及其解决方案。

问题现象

开发者在i.MX8MM平台上启用OP-TEE的RPMB支持时，配置了以下编译选项：

CFG_RPMB_FS=y
CFG_RPMB_WRITE_KEY=y
CFG_RPMB_FS_DEV_ID=0
CFG_RPMB_TESTKEY=y
CFG_REE_FS=y

同时在tee-supplicant中设置了RPMB_EMU=0。然而，启用这些配置后，所有xtest测试用例均失败，返回错误码0xffff0007(TEEC_ERROR_BAD_STATE)，表明TEE处于错误状态。

根本原因分析

深入分析OP-TEE源代码后发现，问题源于平台特定的安全验证机制。在RPMB初始化过程中，OP-TEE会调用plat_rpmb_key_is_ready()函数检查硬件安全状态。对于i.MX8MM平台，该函数会验证硬件是否已关闭(secure boot enabled)，如果硬件处于开放状态(非安全状态)，则拒绝使用RPMB功能。

这种设计是出于安全考虑：在生产环境中，RPMB密钥应该基于硬件唯一密钥(HUK)派生，而HUK只有在硬件关闭状态下才能安全使用。如果硬件处于开放状态，使用测试密钥(test key)可能存在安全风险。

解决方案

针对开发调试阶段，可以采用以下两种解决方案：

1. 硬件关闭方案：

   • 按照官方推荐流程，先关闭硬件(secure boot enabled)
   • 使用硬件唯一密钥派生RPMB密钥
   • 确保plat_rpmb_key_is_ready()返回true
   • 这是生产环境推荐的安全做法

2. 开发调试方案：

   • 重写plat_rpmb_key_is_ready()函数，使其始终返回true
   • 仅用于开发和调试阶段
   • 注意这会降低安全性，不应在生产环境中使用

实施步骤

对于开发调试环境，建议按照以下步骤操作：

1. 修改平台代码，使plat_rpmb_key_is_ready()始终返回true
2. 配置OP-TEE编译选项：

   CFG_RPMB_FS=y
   CFG_RPMB_WRITE_KEY=y
   CFG_RPMB_TESTKEY=y
   CFG_REE_FS=n
   

3. 编译并烧写OP-TEE镜像
4. 运行xtest测试套件，完成eMMC密钥初始化
5. 重新编译OP-TEE，禁用CFG_RPMB_WRITE_KEY选项

安全注意事项

1. 测试密钥(CFG_RPMB_TESTKEY)仅适用于开发和测试环境
2. 生产环境必须使用硬件派生密钥
3. 修改plat_rpmb_key_is_ready()会降低系统安全性
4. RPMB密钥初始化是一次性操作，初始化后应禁用CFG_RPMB_WRITE_KEY

通过以上分析和解决方案，开发者可以在i.MX8MM平台上正确启用RPMB功能，同时理解不同方案的安全权衡。在开发调试阶段使用测试密钥可以加快开发进度，但在产品发布前必须切换为基于硬件安全机制的生产方案。