 Le principal poursuit du système de management de la clé est de l'unifier la façon d'utiliser la clé cryptographique de la nouvelle plateforme. Pour minimiser l'exposure de la clé de valeur, chaque clé aura un identifiant unique. Et l'appli sera lié à ce identifiant unique. ST implemente le standard API pkcs11. Les services principaux de ce système, le management des objectifs cryptographiques comme clé ou certificate et des services classiques comme encryption, décryption, signature generation and verification, key derivation or generation. Dans le KMS, nous avons trois principales catégories de clé. Les clés statiques sont prédifiées et prédifiées dans le code. Elles ne peuvent pas être updatées. Ensuite, nous avons les clés optimistes avec des idées statiques. Les idées sont prédifiées dans le système, mais la clé valeur est optimiste après tout dans un moyen sécurisé. Le moyen sécurisé veut dire que l'intégrité, l'authenticité et la confidentialité de la valeur de la clé sont garanties en utilisant des clés statiques. La dernière catégorie est la clé optimiste avec des idées dynamiques. La clé valeur est créée en utilisant une fonction interne, typiquement une clé derivation d'une autre clé. Ici, il y a une autre vue du système KMS. A la première étape, les clés statiques sont valables. Le KMS permet de prévisionner la clé valeur de l'authenticité prédifiée. Pour cela, nous devons générer un conteneur aussi clé à bloc. Dans ce bloc, nous avons la clé valeur de l'authenticité qui est encryptée. Associé avec celui-ci, nous avons un peu de metadata qui permet le KMS de vérifier l'intégrité et l'authenticité de cette clé cryptique avant d'installer la clé. Ensuite, l'application peut utiliser ces clés par identifier que l'application de l'application PCS11. L'application peut aussi créer de nouvelles clés en utilisant une fonction interne. Merci à la architecture de la softwares, vous pouvez facilement isoler le KMS du reste de votre plateforme, ainsi que d'un mécanisme plus tard sur votre target. Cette clé montre comment la clé prédictionner des clés KMS est intégrée avec l'SBSF, ici dans notre exemple de code. La clé valeur de la prédiction est encryptée. Cette valeur encryptée sur des metadata associées sera installée dans un conteneur appelé aublob. Les metadata incluent un header, avec une magique, une version protocole, une version aublob, une dimension aublob et la clé valeur de la prédiction. Les metadata aussi incluent la signature de cet header. Pour prédire une nouvelle clé, l'aublob devrait être installée dans un slot d'installation. Cela sera adressé par l'adresseur de notre système. La nouvelle clé sera détectée sur l'exécution de l'SBSF. Cette clé sera appelée par l'adresseur de l'SBSF. La procédure est ensuite à vérifier la signature de l'aublob. Cela garantira l'authentication et l'intégrité de l'aublob. La clé valeur sera décryptée, et la clé valeur de l'aublob sera vérifiée. Si ces détails sont d'accord, la clé valeur sera installée dans un membre non volatel associé à un identifiant. La clé valeur est now provisioned and could be used securely. ST delivers the KMS middleware in the STM32W Helcube firmware package. You can also find some basic examples, but also some more advanced examples with a full integration of the KMS with the SBSFU. Thanks for your attention.