国密支持

特性简介

从TEE OS 1.6.2开始，CCOS在TA加密，安全存储，硬件加速等方面扩展了对国密算法的支持，如下图所示。

• TA编译过程中TA的加密算法支持国密：TA编译时，加密算法默认为国际AES-CBC，客户可配置为SM4-CBC。
• 安全存储支持国密：调用安全存储GP接口时，TEE OS对数据的加密和摘要算法默认为国际AES-XTS和SHA256，客户可配置为国密的SM4-CBC和SM3。
• 国密算法支持硬件加速：通过GP接口调用国密SM4加解密时，支持配置硬件加速。

关于上述流程如何配置国密支持请参考国密支持。

规格约束

硬件加速：

• 目前支持的硬件加速国密算法只有SM4-CBC/ECB。ECB为不安全模式，不推荐使用该模式。
• 使用硬件加速，TA编译的GP API Level需配置为3。manifest.txt中需配置gpd.ta.dma_allocable: true，使能dma内存。
• TEE内使用硬件加速的并发线程数上限为32。
• 使用硬件加速时，必须调用TEE_CipherDoFinal接口结束加解密计算，若该接口未被调用，则申请的全局队列资源将不被释放。当全局资源占用达到64时，将无队列资源可用，导致硬件加速功能不可用。此时可使用软算，若仍需使用硬件加速，需重启服务器。
• HUK密钥派生也会用到队列资源，当没有队列资源可申请时，HUK接口将不可用，影响安全存储，远程证明等功能。

安全存储：

• 使用安全存储时，单个文件单次读写不能超过4M，单个存储文件大小也不能超过4M。
• 不支持TA session单独创建的子线程访问安全存储。