Criptografia Linux com chave armazenada em hardware oculta

Estou executando o Linux no iMX233, uma CPU ARM com mecanismo AES acelerado por hardware. A chave AES pode ser programada permanentemente na ROM do chip (OTP). Essa chave não é acessível diretamente pelo software. Os programas apenas invocam o mecanismo e executam a criptografia / decriptografia no bloco de dados fornecido usando a chave interna e retornam o resultado para o programa. Esse recurso não é implementado no kernel do iMX como um dispositivo de criptografia padrão do Linux. Em vez disso, existe um IOCTL adequado para acessar esse recurso.

O que você sugere como a melhor prática para criptografia de dados com base nesse recurso?

• Existe uma ferramenta de criptografia de dados que possa oferecer suporte a esse recurso?
• ou devo desenvolver um driver de dispositivo de criptografia do kernel personalizado e usar dm-crypt ou loop-aes? É possível quando nenhuma chave pode ser fornecida externamente ao algoritmo?
• ou devo desenvolver um código de espaço de usuário personalizado?
• ...