如何对 ESP32 设备的明文固件使用固定秘钥进行手动加密

已于 2023-06-12 19:28:59 修改
阅读量4.4k 收藏 27
点赞数 10
分类专栏: 芯片安全 (Chip Security) 文章标签: flash 加密
于 2022-06-10 18:19:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Marchtwentytwo/article/details/125226407
版权

需求如下:

想对量产固件进行加密,加密后可用工具擦除旧固件,并支持重复烧录固件。

所需工具:

参考文档:

解决方案:

  • 使用 esptool 指令生成 Flash 加密秘钥
  • 编译工程获取明文固件
  • 使用 Flash 加密秘钥对明文固件进行加密
  • 使用 Flash 下载工具烧录密文固件
  • 烧录 Flash 加密秘钥到 eFuse 中
  • 写 eFuse 中的 Flash 加密控制位来使能 Flash 加密

1、使用 esptool 指令生成 Flash 加密秘钥

  • 使用 esptool 工具,运行如下指令为量产固件生成 Flash 加密密钥(key.bin) ,例如生成的加密秘钥为 key.bin
espsecure.py generate_flash_encryption_key key.bin

在这里插入图片描述

2、编译工程获取明文固件

  • 以 hello-world 例程为例,在软件配置界面开启 Flash 加密配置选项

menuconfig -> Security features -> Enable flash encryption on boot
在这里插入图片描述

  • 由于 Flash 加密会增加 bootloader.bin 固件的大小,所以需要调整默认分区表的偏移量,默认是 0x8000 , 可调整至 0xa000 。可在 menuconfig 中修改 partition_table 的设置。如下:

menuconfig -> Partition Table -> Offset of partition table
在这里插入图片描述
在这里插入图片描述

  • 然后对工程进行编译,获取明文固件,查看编译后的固件对应的固件下载地址。可以看到 hello-world.bin 的下载地址变成了 0x20000
Project build complete. To flash, run this command:
E:\.espressif\python_env\idf4.3_py3.8_env\Scripts\python.exe ..\..\..\components\esptool_py\esptool\esptool.py -p (PORT) -b 460800 --before default_reset --after no_reset --chip esp32c3  write_flash --flash_mode dio --flash_size detect --flash_freq 80m 0x0 build\bootloader\bootloader.bin 0xa000 build\partition_table\partition-table.bin 0x20000 build\hello-world.bin
or run 'idf.py -p (PORT) flash'

3、使用 Flash 加密秘钥对明文固件进行加密

使用生成的 Flash 加密密钥( key.bin 文件)对工程编译后的每个独立的明文固件( bin 文件)进行加密。如下:

  • 使用生成的 Flash 加密密钥( key.bin )对 bootloader.bin 进行加密,加密后的 bootloader.bin 为 key_bootloader.bin
espsecure.py encrypt_flash_data --keyfile key.bin --address 0x1000 -o key_bootloader.bin build/bootloader/bootloader.bin
  • 使用生成的 Flash 加密密钥( key.bin )对 partition-table.bin 进行加密,加密后的 partition-table.bin 为 key_partition-table.bin
espsecure.py encrypt_flash_data --keyfile key.bin --address 0xa000 -o key_partition-table.bin build/partition_table/partition-table.bin
  • 使用生成的 Flash 加密密钥( key.bin )对 hello_world.bin 进行加密,加密后的 hello-world.bin 为 key_hello-world.bin
espsecure.py encrypt_flash_data --keyfile key.bin --address 0x20000 -o key_hello-world.bin build/hello_world.bin

在这里插入图片描述

4、使用 Flash 下载工具烧录密文固件

按照工程编译生成后的固件的对应的下载地址,烧录加密后的密文固件( 加密的 bin 文件)

  • 可使用 esptool 工具来下载密文固件
esptool.py -b 460800 --before default_reset --after no_reset --chip esp32  write_flash --flash_mode dio --flash_size detect --flash_freq 40m 0x1000 key_bootloader.bin 0xa000 key_partition-table.bin 0x20000 key_hello-world.bin

5、烧录 Flash 加密秘钥到 eFuse 中

  • 使用 esptool 工具,运行如下指令,将 Flash 加密密钥(key.bin) 烧录到 eFuse 中:
espefuse.py burn_key flash_encryption key.bin

6、写 eFuse 中的 Flash 加密控制位来使能 Flash 加密

  • 使用 esptool 工具,运行如下指令写 eFuse 中的 Flash 加密控制位来使能 Flash 加密
espefuse.py burn_efuse FLASH_CRYPT_CONFIG 0xF FLASH_CRYPT_CNT 1

说明:

  • 若 eFuse 中没有写入 Flash 加密秘钥( key.bin )和开启 eFuse 中的 Flash 加密的控制位,则无法正常运行加密后的 “固件”( bin 文件)。
  • 模组开启 Flash 加密后,无法使用 Flash 下载工具 来进行重烧固件和擦除固件的操作,但支持使用 esptool 工具来重烧固件和擦除固件。
  • 对 Flash 加密后的模组重烧固件,重烧的固件要求在 menuconfig 中开启 ”Flash 加密“ 的配置选项并使用与旧固件相同的加密密钥(key.bin)来进行加密后进行烧录,这样重烧后的固件才能正常运行。
  • eFuse 中烧录加密密钥不可擦除,因此无法重烧新的密钥。
  • 此解决方案满足对模组量产固件加密后还能使用 esptool 工具来对模组进行重烧固件、擦除、读 Flash 的操作,但读出的固件为加密固件。若新的模组没有烧录加密固件对应的密钥(key.bin)的话,仅把读出的加密固件烧录到新的模组上也是无法正常运行启动的。
25March
关注
  • 10
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTPS和SSL/TL加密ESP32/ESP8266介绍
ICMRCHIP的博客
02-22 2510
在本教程中,我们将了解通常称为 HTTPS 的安全超文本传输协议,以及使用 ESP32 和 ESP8266 开发板的 SSL/TLS 加密。本指南包括对 HTTPS 和 SSL/TLS 加密的描述、使用它的原因、SSL/TLS 加密的工作原理、使用 HTTPS 通过网络通信以及最终使用 ESP32/ESP8266 开发板生成 HTTPS 请求。让我们开始吧!
Micropython ESP32-S3固件 v1.22.1
03-03
确保您的 ESP32-S3 开发板兼容该固件版本,并按照官方指南进行固件刷写和配置。 如有任何问题或反馈,请及时联系 MicroPython 社区或开发人员。 该 MicroPython ESP32-S3 固件为开发人员提供了一种方便快捷的方式,...
ESP32 Secure Boot和Flash加密
一个人要像一支队伍
01-21 7352
ESP32的代码是存在外部Flash中,如果不加密,很容易被窃取代码。 ESP32的secure boot和flash加密是两个功能,但是要配合一起使用,其加密效果才好。 一、初次加密。 这里只写可重复烧写的加密方式,其加密步骤如下: 1、进入menuconfig配置secure boot和flash加密。 make menuconfig 这里Secure bootloader mode选择Reflashable。配置后要与下图完全一致。 2、生成私钥,即pem文件。 pyth.
最新【ESP32S3】使用 Flash 下载工具完成 “ Flash 加密 + Secure Boot V2 + NVS 加密功能 “
最新发布
ESP 技术分享,推动万物互联
05-10 920
ESP32S3】开启 Flash 加密 + Secure Boot V2 + NVS 加密功能
ESP32flash加密过程及实现
qq1140920745的博客
08-31 7220
文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言        一个项目完成之后,为了防止二次烧录或固件盗版,通常会进行程序加密,就好像STM32的flash写都保护、唯一ID程序加密类似。        乐鑫给我们提供了flash加密的方案, 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为.
ESP32S3】使用 Flash 下载工具完成 Flash 加密功能
ESP 技术分享,推动万物互联
04-29 615
【应用笔记】基于 ESP32-S3 使用 Flash 下载工具完成 Flash 加密的全部流程
esp32 flash加密介绍
weixin_42942530的博客
01-13 4659
flash 加密指南 ##esp32安全介绍 esp32有两个重要的功能,安全启动(secure boot) flash加密flash encryption) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qC9IU09r-1578903983262)(https://miro.medium.com/max/651/1*V21pBvviI9wthV__3cm6Pg...
ESP32 nvs 加密
ESP 技术分享,推动万物互联
01-29 2709
由于部分用户在 nvs 中存储了一些安全性需求较高的数据,比如 cloud 对应的秘钥。希望在 flash 加密时同时开启 nvs 加密。此篇文章着重描述 nvs 加密需要进行的流程,大体分为以下三步: 编写需要生成的自定义 nvs 键值对 生成 nvs.bin 的 key 与加密后的 nvs.bin 进行加密 烧录加密后的 nvs.bin 和 nvs key 到 flash 注意:NVS 加密同时需要修改分区表,具体会在后文说明。 对应的指令可以简要概括如下: 使用 nvs_partition
tasmota国内烧写ESP32模块专用固件
09-29
总的来说,"tasmota国内烧写ESP32模块专用固件"的烧录过程是一个将ESP32模块转变为智能设备的关键步骤,它使用户能够利用Tasmota的强大功能,轻松实现对各种电子设备的远程控制和管理,从而推进物联网技术在国内的...
ESP32-S3 MicroPython lvgl固件
02-04
ESP32-S3 MicroPython lvgl固件
esp32 micropython 固件 包含smartconfig模块
08-20
esp32 的 micropython 固件,v1.19,2022年8月20日编译; 包含smartconfig、ssd1306、aht10、microWebSrv等模块;
ESP32 仿STM32原子哥程序处理外部Flash
01-10
仿STM32 访问外部SPI Flash程序,在ESP32使用外部SPI Flash。 只有.c文件,懂得就够了。后面还有其他版本
ESP32固件&固件烧录工具
07-29
ESP32固件&固件烧录工具ESP32固件&固件烧录工具ESP32固件&固件烧录工具ESP32固件&固件烧录工具ESP32固件&固件烧录工具ESP32固件&固件烧录工具ESP32固件&固件烧录工具ESP32固件&固件烧录工具ESP32固件&固件烧录工具...
esp32学习之路6——flash加密
weixin_48213877的博客
06-19 3859
在esp-idf中复制出(/esp/esp-idf/examples/security/flash_encryption)demo文件,详细加密描述参考乐鑫文档Flash加密在开发过程中,可使用 ESP32 内部生成的密钥或外部主机生成的密钥进行 flash 加密。 在开发模式下不会阻止修改和读取加密flash 内容。在做加密实验之前,且确保模组没有做任何的加密,要检查您ESP32 设备上是否启用了 flash 加密,请执行以下操作之一: (1)将应用示例 security/flash_encrypti
基于 ESP32-C3 开启 Flash 加密和安全启动并进行 OTA 测试
ESP 技术分享,推动万物互联
01-02 2404
【应用笔记】基于 ESP32-C3 开启 Flash 加密和安全启动并进行 OTA 测试
esp32 micropython 加密_ESP32 MicroPython教程:使用SHA-256
weixin_39541693的博客
12-03 617
本micropython 教程的目的是解释如何在esp32使用 sha-256 算法与 micropython 一起使用该模块。介绍本 micropython 教程的目的是解释如何在esp32使用 SHA-256 算法与 micropython 一起使用该模块。我们将使用一个来自 hashlib的模块(https://github.com/micropython/micropython-lib...
ESP32-S3 V5.0.2 flash 手动生成密钥加密 _By星年(已验证)
qq_18070087的博客
06-16 669
(4)加密镜像并烧录(根据idf.py build编译后信息,修改文件路径、文件名、烧录地址及生成文件名)环境 ESP32-S3 ESP_IDF V5.0.2 手动生成密钥加密。三、关闭加密和解密已加密镜像(关闭解密只有1次机会)(3)烧录密钥到设备(修改端口号)(只能烧录一次)(1)AES-128(256 位密钥)(2)AES-256(512 位密钥)(2)工程加密配置及串口配置安全模式。1.查看是否加密:(修改端口号)(5)烧录加密bin。
ESP32学习笔记(47)——加密算法AES/MD5/SHA
Leung的博客
10-27 8410
一、简介 1.1 SSL SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。 1.2 TLS TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议和TLS握手协议。 1.3 mbed
使用PIO开发ESP32,怎么对ESP32的功能进行配置
05-26
PIO(PlatformIO)是一款跨平台的开源IDE,用于开发嵌入式系统和物联网设备。在使用PIO开发ESP32时,可以通过配置platformio.ini文件来对ESP32的功能进行配置。 以下是一些常见的配置选项: 1. 指定开发板型号: ``` [env:esp32dev] platform = espressif32 board = esp32dev ``` 2. 配置串口: ``` [env:esp32dev] platform = espressif32 board = esp32dev upload_port = COM5 monitor_port = COM5 monitor_speed = 115200 ``` 3. 配置WiFi: ``` [env:esp32dev] platform = espressif32 board = esp32dev framework = arduino lib_deps = WiFi AsyncTCP ESPAsyncWebServer Adafruit_BME280_Library build_flags = -D WIFI_SSID=\"my_wifi_ssid\" -D WIFI_PASSWORD=\"my_wifi_password\" ``` 4. 配置OTA(Over-the-Air)升级: ``` [env:esp32dev] platform = espressif32 board = esp32dev framework = arduino lib_deps = WiFi AsyncTCP ESPAsyncWebServer Adafruit_BME280_Library Update build_flags = -D WIFI_SSID=\"my_wifi_ssid\" -D WIFI_PASSWORD=\"my_wifi_password\" -D OTA_HOSTNAME=\"my_device_name\" -D OTA_PASSWORD=\"my_ota_password\" ``` 通过配置platformio.ini文件,可以轻松地对ESP32的功能进行配置,实现各种不同的应用场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值