我们先进行一些思考：

• TA encrypted是什么意思？
• 加密是什么意思？仅仅是把TA明文变成TA密文吗？
• 不同的机器，加密的密钥都是一样的吗？可以做到一机一密吗
• 编译阶段就要对TA Biarny进行加密了，TA被加载到内存阶段时再被解密，整个流程应该是怎样的？
• 除了TA enccrypted? 还有别的加密吗？如镜像加密？
• TA encrypted加密，加密的密钥是aeskey吧？ aeskey暂且就叫做K1吧，那K1存放到哪里？安不安全？
• 如果K1也是密文存储的，K1是被K2加密的，那K2又存放在哪里？安不安全？
• 如果加密和签名同时存在，那么到底是先加密还是签名？

以上都是客户们喜欢问的问题。我们接下来进行一系列剖析。
TA encrypted其实就是对TA镜像镜像加密，即TA以密文的方式放置在磁盘中，这样即使攻击者从磁盘中强行掳走你的二进制镜像，他看到的全是密文，也破解不了你的代码。
镜像加密又有两大类，第一类是启动镜像的镜像加密，例如spl、atf、tee、uboot等镜像都被加密了。也就是在磁盘中都是以密文的方式存在，然后在开机被load到内存的时候，一边解密一边load。 第二类就是应用程序的加密，例如TA encrypted，这里是TA以密文的方式存在磁盘中，在CA调用TA的时候，TEE需要把TA装在在安全内存中时，一边解密一边load。

到这里，我们也就知道，TA要以密文的方式存在磁盘中，那么也就是TA在编译阶段的时候，就要把他变成密文。一般的做法，就是TA编译结束后，由编译服务器加密，然后再把密文镜像放置到BSP代码中。
而在开机阶段TEE OS要有办法获得解密的密钥。这部分一般由SOC或OEM厂商自行实现。

如果我们看下optee，他是把加解密的密文写死在Sdk和tee os源码中的。编译TA的时候，在最后一步会对TA签名。TEE OS load TA的时候，会使用key对TA二进制进行解密。