28-Openwrt 固件签名与验签

最新推荐文章于 2023-10-18 12:45:28 发布
最新推荐文章于 2023-10-18 12:45:28 发布
阅读量1k 收藏
点赞数
分类专栏: Openwrt 文章标签: linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Creator_Ly/article/details/130576913
版权

openwrt使用sysupgrade升级的时候,只会对固件的头部image进行校验是否合法,不会校验固件的完整性,所以当固件只有头部正常其他地方被破坏修改后,这个固件就是危险的,一旦升级就会出现变砖的情况。

为了验证固件的完整性和合法性,可以有两种方式进行保护。

  • 添加一个校验文件,跟固件打包在一起
  • 在原有的固件前面/后面追加校验信息
方式1:压缩、解压校验升级
1.压缩

在编译生成sysupgrade.bin之后,计算该固件的md5sum/sha256sum,然后将校验值和固件的型号model、版本version等信息写入校验文件中,内容如下:

check_file

md5sum:63be2932ff52dfb99ece030338b51ec6
model:ZHAAA
version:1.0.0

所以升级包会有两个文件

sysupgrade.bin
check_file
2.解压校验

使用sysupgrade升级的时候,先将压缩包解压,然后判断型号model是否一致、判断固件的md5sum是否一致,一致则可以走正常升级写入逻辑。

方式2:签名、验签升级

使用上面的方式有一个明显的弊端,会占用两份内存,下载下来的压缩包是一个包、解压后又要占用内存。

所以可以把校验信息直接追加到固件里面,在写入flash的时候,把校验信息剥离掉即可。

1 签名过程

需要先写一套签名工具,比如我这边的zsign。

在openwrt编译的最后会调用./target/linux/mtk/image/Makefile里面的BuildFirmware函数,内容如下

# u-boot: 512K
# config: 512K
# factory: 256K
# firmware: 32MB
# kpanic: 512K
# bdinfo: 512K
# reserve: 512K
# opt: ~
define BuildFirmware/zrNAND
        @mkdir -p $(BIN_DIR)/$(2)/$(ROM_PREFIX)
        $(call MkImageLzma,$(2),$(3),$(5))
        $(call Sysupgrade/KRuImage,$(1),$(2),$(4),128k)
        $(eval BUILD_TIME:= $(shell cat $(TARGET_DIR)/etc/zihome_build_time))
        $(eval DEST_PREFIX := $(BIN_DIR)/$(2)/$(ROM_PREFIX)/$(2)-$(ROM_PREFIX)_$(BUILD_TIME))
        $(CP) $(call sysupname,$(1),$(2)) $(DEST_PREFIX)-sysupgrade.bin; \
        if [ -f "$(BIN_DIR)/$(2)-uboot.bin" ]; then \
                $(CP) $(BIN_DIR)/$(2)-uboot.bin $(DEST_PREFIX)-uboot.bin; \
                if [ -f $(TOPDIR)/zkeys/rom-keys/zihome.key -a $(TOPDIR)/zkeys/rom-keys/zihome.crt ]; then \
                        (dd if=$(DEST_PREFIX)-uboot.bin bs=524288 conv=sync;) >$(DEST_PREFIX)-uboot-pad.bin; \
                        $(STAGING_DIR_HOST)/bin/zsign -b $(DEST_PREFIX)-uboot-pad.bin -s $(DEST_PREFIX)-sysupgrade.bin -o $(DEST_PREFIX)-sign -k $(TOPDIR)/zkeys/rom-keys/zihome.key;\
                        (dd if=$(DEST_PREFIX)-uboot-pad.bin bs=524288 conv=sync; dd if=$(DEST_PREFIX)-sign) >$(DEST_PREFIX)-uboot-sign.bin; \
                        (dd if=$(DEST_PREFIX)-uboot-sign.bin bs=1310720 conv=sync; dd if=$(DEST_PREFIX)-sysupgrade.bin ) >$(DEST_PREFIX)-flash.bin; \
                        $(STAGING_DIR_HOST)/bin/mt7621-nand-ecc e 2048 64 $(DEST_PREFIX)-flash.bin $(DEST_PREFIX)-factory.bin >/dev/null 2>&1; \
                        rm -rf $(DEST_PREFIX)-sysupgrade.bin; \
                        rm -rf $(DEST_PREFIX)-uboot-pad.bin $(DEST_PREFIX)-uboot-sign.bin $(DEST_PREFIX)-sign $(DEST_PREFIX)-uboot.bin; \
                else \
                        (dd if=$(DEST_PREFIX)-uboot.bin bs=1310720 conv=sync; dd if=$(DEST_PREFIX)-sysupgrade.bin ) >$(DEST_PREFIX)-flash.bin; \
                fi; \
        fi;

        $(call DebugRoot/prepare,$(DEST_PREFIX)-debug-root.tar.gz)
endef
  • 使用zsign -b $(DEST_PREFIX)-uboot-pad.bin -s $(DEST_PREFIX)-sysupgrade.bin -o $(DEST_PREFIX)-sign -k $(TOPDIR)/zkeys/rom-keys/zihome.key生产签名文件
  • 把签名文件追加到uboot分区(512K)之后
  • 把sysupgrade文件追加到firmware分区(512+512+256=1280K)开始处,得到flash.bin固件
  • 使用mt7621-nand-ecc命令将flash固件转换成factory固件(NAND FLASH特有,需要追加oob信息)

上面的命令用到zsign生成签名后生成最后的固件$(DEST_PREFIX)-flash.bin$(DEST_PREFIX)-factory.bin

2.固件验签
1 验签过程

对应的需要写一套验签工具,比如我这边的zcheck。

当sysupgrade的时候,先使用zcheck进行校验是否正常。

./lib/upgrade/platform.sh:40: zcheck -b "$board" -R -o 0x80000 -f "$1" >>$UPGRADE_LOG_FILE 2>&1

如果正常的话,写入flash的时候会跳过前面1280K,只读取后面sysupgrade的信息进行写入。

# skip 1280K
get_image "$1" | dd bs=2k skip=640 conv=sync 2>/dev/null | mtd write - "${PART_NAME:-image}" >>$UPGRADE_LOG_FILE 2>&1
Creator_Ly
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
固件DIY工具包.rar
07-04
固件DIY工具包)这个工具用于安卓机顶盒的diy刷机,用于机顶盒固件解包打包和签名,通用recovery 的都能认证过去
安卓固件签名工具.zip
05-26
好用的安卓固件签名工具
STM32 Bootloader开发记录 3 固件签名校验
duapple的博客
11-18 2686
为bootloader添加验签功能
ROM签名工具
02-08
安卓手机里面删除不喜欢的定制软件,加入自己喜欢的APK rom DIY 必备的签名工具
PCIe SSD固件签名技术解读
Memblaze
10-25 2570
在一款产品出厂后,随着所使用的软、硬件等环境的改变,产品将出现对新的软、硬件不兼容或者所运行的业务程序速度逐渐降低等现象。同样,此类问题也会在SSD产品发生,为此SSD厂商会定期推出Firmware。
HaaS100 OTA之固件验签功能介绍
HaaS技术社区的博客
06-03 927
1、概述 本文主要介绍HaaS100 对升级的固件验签的功能进而防止升级非法固件;如下图流程所示,当用户开启阿里云IOT物联网平台的安全升级功能,对应的产品就启动了针对这个产品的安全升级功能,云端会对这个产品的升级固件做秘钥、公钥管理并对这个产品的固件做数字签名;对应的设备端,在OTA的过程中,会用从云端获取的公钥对升级的固件做数字签名的验证;整个流程,用户不需要管理公私钥,使用起来也非常方便,下图为HaaS100 安全升级使用流程图: 2、使用流程 2.1、开...
固件签名的安全解决方案 安当加密
www.andang.cn
10-18 1544
综上所述,密钥管理系统可以提供统一的密钥管理平台、应用系统接口支持、密钥模板统一管理、细粒度访问控制、多层次密钥备份和恢复、自动化管理和可审计性等功能,可以满足多应用系统的密钥管理需求,提高密钥管理的效率和安全性。密钥管理系统可以提供统一的密钥管理平台,可以管理多个应用系统的密钥,包括密钥的生成、存储、分发、更新和撤销等操作。密钥管理系统可以提供密钥模板统一管理功能,可以对多个应用系统使用相同的密钥模板,减少密钥管理的复杂性和成本。在汽车行业中,加密机常用于对固件进行签名,以增加固件的安全性和完整性。
谈谈嵌入式开发中签名校验和加解密作用的理解
weixin_42031299的博客
06-10 1038
(1)各家公司都有自己的可信加固件加密的方法,加密算法也不相同,有的是自己公司研发的,有的从专门做安全防护业务公司那里买的加密算法;(2)可信验签固件加密的原理不同,有的是靠软件,有的是靠硬件(芯片自带安全模块 或者 外接一块加解密芯片);(3)除了维护可信加固件加密功能的开发人员,其他绝大部分开发人员是不需要了解可信加固件加密的底层原理,公司也不会随意开放这些代码权限给一般员工;
南浦月wr720nv4-openwrt固件
09-24
南浦月wr720nv4-openwrt固件
mtk-openwrt-3.10.14:MT7628openwrt固件
03-24
在本文中,我们将深入探讨标题为"mtk-openwrt-3.10.14:MT7628openwrt固件"的知识点,这是一款针对MT7628芯片组的OpenWRT固件源码,具有高度可定制性和灵活性,使得开发者和爱好者能够充分利用硬件资源,打造个性化...
刷机包签名工具
03-15
刷机包app签名工具 解压 1将所需要的app,刷机包放入签名目录 2运行签名.bat。 3签名成功后文件会在goapk里
极路由3-openwrt固件
最新发布
06-28
极路由3-openwrt固件
HG320-openwrt固件
05-31
HG320-openwrt-bcm5358固件,最小化,无多余pkg,无线稳定可用
wr720n v4固件合集-openwrt-uboot-官方原固件
09-24
wr720n v4 刷机固件 刷入openwrt,不死uboot,以及官方原固件wr720n-v4-tplink官方.bin wr720n-v4-art-tplink官方.bin wr720n-v4-中文-超频-2014-9-04-uboot.bin
固件签名是什么?如何进行有效的固件签名认证?
SafePloy_SH的博客
10-12 541
有效的固件签名认证有助于确保固件文件的完整性和安全性,从而降低系统故障和安全风险。在进行固件签名认证之前,需要确保用于签名的私钥的安全性。在进行固件签名认证之前,需要使用可靠的证书颁发机构颁发的数字证书。为了确保固件签名认证的有效性,需要使用由可信任的CA颁发的数字证书来签名固件文件。这包括使用可靠的证书颁发机构颁发的数字证书、确保私钥的安全、使用合适的算法和密钥长度、定期更新签名密钥以及进行完整的文件校验等措施。在更新密钥时,需要确保新的私钥与旧的公钥匹配,并采取措施保护旧的私钥。
openwrt管理后台https自签名制作&获得chrome/edge信任方法
coolbi5的博客
01-10 4062
3. 应用自签名证书,把/ff/cert目录的uhttpd_null.crt和uhttpd_null.key 复制到/etc目录,因为uhttpd的默认签名uhttpd.crt和uhttpd.key 就在这个目录,方便管理,用下面命令复制,也可以用。一顿操作,在/ff/cert目录生成了根证书CA.crt和根证书私钥CA.key,-days 是证书有效期天数,证书主体描述在-subj参数中修改,关于-subj参数意义参考下图,至此,全部折腾完工了,水品有限,如有纰漏,请指正!
Openwrt 自编译后安装官方ipk时产生kernel MD5不兼容的问题处理
bjr2016的博客
08-04 5361
目录 环境 原因: 解决方法: 最后 环境 芯片:V3S 软件:基于Openwrt 19.07.3的自编译版本 问题:在安装需要校验kernel版本的ipk时,无法安装,报错:satisfy_dependencies_for: Cannot satisfy the following dependencies for xxxx 原因: 当我们修改了kernel的config文件后,编译时,openwrt会根据kernel的.config文件( $(LINUX_DIR)/.config )计算
openwrt luci使用本地软件源更新软件包,更新package.sig签名
pandaSIX的博客
05-12 7565
官方的源在国外,一般访问速度比较慢,本地源可以快速解决这个问题。有时自己编译的软件升级发布版本使用本地源,能够更好的维护与安装。 为了保证兼容性,尽量使用同一个源提供的SDK打包的源软件。 把编译出来的ipk文件上传到本地服务器。 在索引中添加新增的软件包信息,在软件包生成的目录中,除了我们选中的软件包还有三个文件生成——Packages,Packages.gz,Packages.manifest,这几个文件提供了软件包的索引(在SDK下使用make package/xxxx/compile生成软件包后不
电视机固件包;安卓机顶盒;长虹;乐视;创维;TCL等电视机修改,制作,签名
weixin_41739683的博客
08-17 2420
电视机固件包;安卓机顶盒;长虹;乐视;创维;TCL等电视机修改,制作,签名。 部分固件,我也在学习中,欢迎大家交流。遇到问题跟帖学习噢!
arm-openwrt-linux-gcc
03-06
arm-openwrt-linux-gcc是一个用于在Linux下进行交叉编译的工具。它是GCC编译器的一个变体,专门用于ARM架构的OpenWrt操作系统。通过使用arm-openwrt-linux-gcc,开发人员可以在主机上编译ARM架构的应用程序,并将其部署到OpenWrt设备上。 以下是一个使用arm-openwrt-linux-gcc进行交叉编译的示例[^1]: ```shell arm-openwrt-linux-gcc -o hello hello.c ``` 上述命令将使用arm-openwrt-linux-gcc编译名为hello.c的源文件,并生成一个名为hello的可执行文件。 请注意,使用arm-openwrt-linux-gcc进行交叉编译时,需要提供正确的交叉编译工具链和目标平台的配置参数。这些参数可以通过配置文件或命令行选项进行设置,具体取决于项目的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值