ATECC508A芯片开发笔记(十):ConfigZone中 SlotConfig/KeyConfig详细解释 & 配置工具Tools

最新推荐文章于 2023-07-14 07:15:00 发布
最新推荐文章于 2023-07-14 07:15:00 发布
阅读量1.2w 收藏 6
点赞数 7
分类专栏: 嵌入式开发 网络安全 - ATECC508A 文章标签: Atecc508A 安全加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HowieXue/article/details/92433541
版权

目录

ATECC508A芯片开发笔记(十):ConfigZone中 SlotConfig及KeyConfig详细配置 &Tools 使用

前言

  • 《https://blog.csdn.net/HowieXue/article/details/75212476 》中提到,ATECC508A使用前需要根据需求配置好各Slot/KeyConfig数据,并且要在Provision代码里的ConfigData数组中,替换相应的Slot/KeyConfig数据,才能正常使用。

因为每一个Bit都有其特殊含义,理解起来非常困难,有一个Bit配置不对,都有可能导致508A不work,而且此时芯片Lock住也不能改了(囧),所以单开篇博客详细解析一下下~~

Ps.: 其实两年前就想着重写这一块,但苦于公司Security政策猛于虎,所以没发布,但现在我重新删减整理了下(本文都是测试用数据哦),针对典型应用作为案例,希望让大家更好理解508A的配置使用。

开发过程中, 因为16个Slot/KeyConfig每一个Bit去配置,再去计算相应的数据太麻烦,所以我做了一个小Excel Tools,里面集合了整个508A的数据区解释/配置…
在配置数据时,只需判断某Bit是否使能,在Tools中通过SlotConfig/KeyConfig Generator置位该Bit,就自动算出代码中所用的Config数据,嗯,用过的都说好~。

自动计算Slot/Key Config:
在这里插入图片描述

Tools 中的SlotConfig Generator(所有数据均为写博客用的测试Demo)
在这里插入图片描述
KeyConfig Generator
在这里插入图片描述
并且每一个bit代表的意义也在excel有说明,查看非常方便
在这里插入图片描述

Tools全览
在这里插入图片描述
Tools获取
需要的话还是留言邮箱吧,虽然里面删减后只剩测试数据,但还是涉及Secret,不敢Publish(Secrurity政策猛于虎 哎)

一、SlotConfig

在这里插入图片描述
SlotConfig配置DataZone中每一个Slot所存储的数据、以及相应的权限,里面详细的设定了每一个Slot需要存储哪一种Secret、是否支持加密读写、数据是否具有可读可写权限等。

根据Datasheet,每个Slot都有16Bit的功能选项去选择,最后生成的ConfigData在Provisioning中写入508A,然后在程序里将ConfigZone Lock完成配置。(SlotConfig数据是在ConfigZone的第20-51Byte)
SlotConfig中某些功能之间还会相互影响,以下针对每一个Bit详细讲解:

注意只有DataZone Lock后这些配置才会生效。、

1.ReadKey(Bit 0:3)

在这里插入图片描述
ReadKey(0-3Bit),是配置该Slot存储数据的可读权限,实际就是配置的508A Read命令在该Slot的执行权限,0-3BIt全配置为0,则读该Slot没有任何限制

如果该Slot配置为存储私钥PriKey,则默认永远不可读,这种case下配置ReadKey各Bit的含义如下:

  • Bit0:是否使能外部数字签名,(该PriKey是否可执行外部Sign,设为1开启,0关闭)
  • Bit1:使内部数字签名,一般是在CheckMac/Genkey命令中使用
  • Bit2:使能ECDH操作(如果该Slot存储PriKey需要ECDH,此项必选,ECDH配置可参见https://blog.csdn.net/HowieXue/article/details/78649559 )
  • Bit3:ECDH操作结果是否明文输出,1则ECDH产生的Secret会输出为明文,0则Secret会写另入一个指定的Slot。(Bit2为0则该项忽略)

该Slot存储的数据实际是否可读与IsSecret和EncryptedRead的设置都非常相关。。。并且如果设置Slot存储的是ECC 私钥Private keys,则该Slot是永远不能被读取的。

每个Bit相应的功能在Tools中也已经加了Comments:
在这里插入图片描述

在这里插入图片描述

2.NoMac

在这里插入图片描述

Bit4:使能禁用Mac命令,1则针对508A的MAC/HMAC命令都不能执行了,0则所有命令都能执行

这个Bit一般默认为0就行了,安全级别要求跟高也可以设为1将MAC指令禁用。

3.LimitedUse

在这里插入图片描述
Bit5:使能限制Key使用次数。

有些Key存储后,可以限制其使用次数,超出次数该Slot就会disable掉,一般也设置为0就行了。
我们该功能没有使用过,具体可以看下面Datasheet说明:

在这里插入图片描述针对slot15 该bit有特殊应用:
在这里插入图片描述在这里插入图片描述

4.EncryptRead

在这里插入图片描述Bit6:使能加密读,设为0可以明文读。设为1为加密读,如果设为1,则该Slot的IsSecret Bit7也要设为1

必须使能EncryptedRead才能使用加密读,否则与508芯片通信都是明文传输

5.IsSecret

在这里插入图片描述Bit7:该slot存储的数据是否是Confidential Secret(隐私数据)
如果slot存储的是key就设为1吧,如果设为0,则GenKey、Sign命令都不能在该Slot执行了。

可以说IsSecret与EncryptedRead共同决定了某一Slot具备的读权限,之间关系如下:
在这里插入图片描述

6.WriteKey

在这里插入图片描述
WriteKey根据WriteConfig配置该Slot支持怎样的Write,默认我都设置的0,Write命令配置包括Configuration/OTA/Data Zone的写操作,具体的有兴趣的看下Datasheet吧

7.WriteConfig

在这里插入图片描述

配置了该Slot的Write Permissions,既Write命令可执行的权限:
有5种权限如下:

在这里插入图片描述
Bit12-Bit15全部设为0,对应的就是Always模式,可以支持明文写入,Datasheet上也建议,如果存储Key的话,不要设置为该模式。

如果存储的是私钥等Secret,建议WriteConfig设置为Never,既该Slot永远不能被Write

该参数其他对应的Config Table如下:
针对DeriveKey :
在这里插入图片描述
针对PrivWrite:
在这里插入图片描述

针对GenKey:
在这里插入图片描述

二、KeyConfig

在这里插入图片描述
KeyConfig配置了每个slot存储的Key的功能权限,是在ConfigZone的第96 - 127 Byte,也是只有DataZone Lock后这些配置才会生效。

1.Private

在这里插入图片描述
Bit0:Slot是否存储ECC PriKey,

  • 设为1则该Slot存储ECC私钥,相应就可以执行一些ECC私钥相关功能,如Sign、GenKey等。。

  • 设置0则相反,如果存储公钥、HMAC/SHA的key或者对称加密的Key,就设置为0

2.PubInfo

在这里插入图片描述

Bit1:

  • 如果Bit0设置为1(既存ECC私钥),则该Bit作用为是否公开该Key的一些公开的版本信息(Public version)
  • 如果Bit0设为0,则Bit1决定了该Publickey是否可以执行Verify功能,Verify功能/命令就是用一个存储的PubKey去校验签名信息,然后返回执行结果)(Valid/Invalid)

3.KeyType

在这里插入图片描述
Bit2-4:ECC私钥类型,
508A目前只支持P256 NIST 类型的ECC PriKey…

如下图,ECC key则KeyType设置为 1 0 0 (既4),不是ECC Key则设为 1 1 1 (既7)
在这里插入图片描述

5. Lockable

在这里插入图片描述
Bit5:使能Slot Lock,
该Bit就是设置Slot是否支持单独锁定功能,1则使能该功能,Lock后也是不能数据被改动

6. ReqRandom

在这里插入图片描述
Bit6:使能Nonce是否需要随机数
针对一些命令,Nonce可以是固定的,也可以是随机数,这一项就是这个功能。开启后安全性更高一些,但是个人感觉没太大必要

7. ReqAuth

在这里插入图片描述

Bit7:使能Key操作之前的认证功能

508A有这个功能,是说在对slot存储的Key执行操作时,可以先对这个Key进行认证。怎么认证呢?是根据Bit8-11中指向的认证密钥来做。

该功能我们没有用过,因为Prikey一般在存储时已经进行了安全管控,在使用上一般不做这类Check,如果另有安全要求可以使能,但要相应配置下面的AuthKey参数:。

8.AuthKey

在这里插入图片描述
Bit8-11:如果使能Bit7,则AuthKey表明了相应认证用的Key在哪个Slot
AuthKey指向的认证密钥是用来Verify该Key的合法性,一般指向另一个Slot存储的Key。

9.IntrusionDisable

在这里插入图片描述
Bit12:使能禁用该Slot所有命令(除了GenKey命令)
设为1的话,相当于该Slot除了GenKey命令,其他命令接受了都不会执行了,这个功能我个人理解和Lock还不一样,相当于更改了执行权限。
一般用的很少

10.X509id

在这里插入图片描述
Bit14-15:PubKey是否遵循X509格式
如果不为0,则代表存储的PubKey是遵循X509格式,那么用该PubKey去验证证书的签名,需要明确证书长度、PubKey位置等。

如果为0,则代表PubKey可以验证任一格式的签名,或者该Slot不存储PubKey

这个我们也没怎么用过,不多介绍了

KeyConfig介绍完毕。。。写博客比写代码都累。。

三、实际应用设置案例

总结下实际应用案例数据,仅供参考

SlotConfig数据:

SlotConfig DataUsage
0x8780存储ECC PriKey
0x8720存储ECC PriKey 并需要该Key执行ECDH、GenKey
0xC780存储ECC PriKey 使用IIC加密读
0x0F00存储PubKey、Signature等普通Secret数据(非私钥)

KeyConfig数据:

KeyConfig DataUsage
0x3300存储ECC PriKey
0x3C00存储PubKey、Signature等普通Secret数据(非私钥)

在这里插入图片描述

欢迎转载,Howie原创作品,本文地址

http://blog.csdn.net/HowieXue/article/details/92433541

谢谢

HowieXue
关注
专栏目录
k8s核心操作_存储抽象_K8S使用ConfigMap抽取配置_实现配置热更新---分布式云原生部署架构搭建032
添柴程序猿的专栏
07-17 8658
现在有个问题,是上面我们利用pv和pvc 就是持久卷 以及 持久卷申请,实现了对存储的,pod删除以后,对其使用的存储空间也进行了删除,那么还有个问题,对于redis这种我们希望,他的配置也管理起来.这个配置就指向了name是redis-conf的这个配置,可以看到,取他的key是redis.conf path也是redis.conf。这里就是要把key:redis.conf的内容,拿过来,然后挂载到,path:也就是redis.conf的路径下,这个路径。
Couldn‘t agree a key exchange algorithm(available:curve25519-sha256,curve25519-sha256@libssh.org解决方案
最新发布
weixin_43178406的博客
11-11 3万+
 本文主要介绍了Couldn’t agree a key exchange algorithm(available:curve25519-sha256,curve25519-sha256@libssh.org解决方案,希望能对使用winscp的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
Keyconfig for Firefox
12-29
Firefox经典插件,可修改键盘快捷键。
ATECC508A芯片开发笔记(三):获取508A串号、随机数源码及I2C抓包分析
HowieXue 薛永浩的博客
07-16 2万+
ATECC508A芯片开发笔记(三):读取508A串号、获取随机数源码及I2C抓包分析 APP层函数编写及源码分析 At508_GetSernum() GetSernum抓包记录 At508_GetRandom( ) GetRandom抓包记录 经过前两章节,CryptoAuthlib库已经成功适配在代码了,下面简单测试一下API函数,并分析下I2C通讯流程: APP层函数编写及源码分析利用li
ATECC508A芯片开发笔记(四):自定义配置508功能,规划DataZone数据存储
HowieXue 薛永浩的博客
07-16 2万+
ATECC508A芯片开发笔记(四):自定义配置508功能,规划DataZone数据存储 508A内部存储区介绍 Data Zone Config Zone 508A Config Zone配置(自定义) - ATECC508A芯片在使用之前,需要自定义配置ConfigZone与DataZone,并同Lock命令将两个区域锁住,否则无法正常使用功能。而一旦锁上就是永久性的,配置区不能够进行解锁
ATECC508A芯片开发笔记(二):开发准备之 CryptoAuthLib 库简介与移植
HowieXue 薛永浩的博客
07-16 3万+
ATECC508A芯片开发笔记(二):开发准备之 CryptoAuthLib 库简介与移植 Atmel两个官方lib介绍 CryptoAuthLib简介 bitbang方式移植CryptoAuthLib 从逻辑和代码上分析CryptoAuthLib的底层驱动调用结构关系 508A 另一个小型libATECC108A-508A Library简介 Atmel两个官方lib介绍 At
ATECC508A芯片开发笔记(八):ECDH算法配置方法、执行过程及实现原理
HowieXue 薛永浩的博客
11-27 2万+
AATECC508A芯片开发笔记(八):ECDH算法配置方法、过程原理及示例代码 1、ECDH介绍及原理 2、ECDH执行过程 3、508A某一slot执行Ecdh需要配置的参数 4、示例代码 508A芯片硬件可以实现ECDH算法,大大提高了算法执行效率,实际使用,需要配置好508A使其能够执行ECDH,之后才可以调用库函数的API正确执行该算法。 1、ECDH介绍及原
Centos系列 Curl error (37): Couldn‘t read a file:// file for file:///etc/pki/rpm-gpg/RPM-GPG-KEY-XXXX
大昱的博客
11-03 1万+
最近在Centos8系统安装gcc时提示“Curl error (37): Couldn’t read a file:// file for file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial [Couldn’t open file /etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial]”,经过摸索找到了方法,接下来记录一下修复方法。   先贴一张提示内容:   然后使用:wget https:.
出现Error: Post “https://localhost:7053/participation/v1/channels“: read tcp 127.0.0.1:44780->127.0.0.
weixin_42375493的博客
06-06 1万+
创建channel时 出现错误 解决方法 1.切换到:/go/src/github.com/hyperledger/fabric/scripts$目录下 2.然后切换到:/go/src/github.com/hyperledger/fabric/scripts/fabric-samples/test-network$ 输入: 3.最后重新进行一下之前的过程 注意:一定要有sudo,否者容易出现的错误...
huggingface datasets map时出现KeyError: ‘output‘的解决方案
热门推荐
weixin_43178406的博客
07-14 6万+
本文主要介绍了使用huggingface datasets数据时进行map操作时出现KeyError: 'output’的解决方案,希望能对学习python的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
Hardening TLS using ATECC508A
06-18
TLS is a cryptographic protocol designed to provide secure communication over an insecure infrastructure. This means that, if this protocol is properly deployed, you can open a communication channel to an arbitrary service on the internet and be reasonably sure that you’re talking to the correct server, and exchange information safely knowing that your data won’t fall into the wrong hands and that it will be received intact.
ATECC08A加密芯片配置 Provision ,X509证书重组,代码Demo
07-16
ATECC08A加密芯片配置 Provision 代码Demo,实现了Atecc508A自动化配置,包括初始化配置Config、DataZone,以及密钥、证书读写,还包括X.509证书生成、重组及解析的Demo。经过配置并Lock后,才能使用该加密芯片
Atmel_ATECC508_TLS双向认证及加解密Demo程序
09-14
1. Atmel Studio client / server TLS examples using PK_CALLBACKS. 2. Atmel ASF Framework wolfCrypt example using GCC ARM Makefile.
ATECC508A芯片开发笔记(五):Provision执行过程及代码分析
HowieXue 薛永浩的博客
07-17 4150
ATECC508A芯片开发笔记(五):Provision过程及代码分析 Provision流程分析 Provision代码分析(508 Demo) 本节主要分析官方提供的Provision代码,并着重讲下508A配置ConfigZone流程,X.509证书重组及写入等。 代码可以在我分享的链接下载:http://download.csdn.net/detail/howiexue/99006
ATECC508A学习
m0_37458552的博客
05-16 793
1,atecc508a有高速的公钥验证机制。基于ECDSA的FIPS186-3的非对称签名机制。2,ECDH的FIPS SP800-56的非对称秘钥磋商机制。3,SHA-256的HMAC的哈希算法。主从机的操作流程。4,多达16个key的秘钥长度。5,2个计数器。6,唯一的72BIT的SN号。7,真随机数发生器。8,10KB的EEPROM的,用来保存keys.证书,数据区。9,2.0V到5.5V的...
ATECC508A加密芯片
小人物的编程
10-11 4790
ATECC508A加密芯片使用开一个帖子交流下ATECC508A,也包括同类型芯片ATSHA208A demo使用 串口调试 ConfigZone配置 DataZone配置 加密读写 挑战(challenge)应答及校验 Openssl相关 证书相关 demo使用目前官网上能下载到的demo有cryptoauth-node-auth-basic和cryptoauth-d21-host 接下来的问题
ATECC508A-ECDH命令
m0_37458552的博客
05-20 567
1,ECDH是508的基于ECC算法的秘钥磋商机制,主要是用于双方协商一个临时的key,作为AES的key.可以加解密。2,ECDH协商出来的秘钥可以用来保存到邻近的slot也可以以明文的方式返回到主机。如果保存到邻近的slot,那么可以把这个slot配置加密读,然后用别的slotkey加密读出来这个slot。...
ATECC508A/ATECC608A加密芯片国产替代
加密与安全的博客
03-05 1373
一款兼容ATECC508A安全芯片,除P2P兼容,兼容高安全功能外,芯片集成了FIPS/NIST真随机数生成器(RNG)、5Kb安全NVM、单调计数器,同时将密钥存储与高级硬件加密加速器相结合,支持TLS和secrue boot以及ECCDSA等各类加密算法或功能,同时增加了支持国密SM4等算法,符合工业级标准。
ATECC508A学习一508的应用市场
m0_37458552的博客
05-12 846
1,下面是ECC508的一些目标的应用市场。2,Node Authentication (ECDSA) 一个比较简单的node authentication(ECDSA).ROOT的公钥是可以给到主机端的。所以,在hOST端是有root公钥的。从508里面读取签名和508的公钥,然后进行验证。这个的目的是身份的认证,然后接下来是发送随机数,给508,508用私钥对随机数进行签名,然后用508的公钥...
评论 26
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

HowieXue

求打赏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值