ESP32-S3 使用指定 key 来进行 secure boot 签名并进行 OTA 测试

文档说明

测试准备:

  • 硬件准备:ESP32-S3 开发板或模组
  • 软件准备:esp-idf v5.0 版本 SDK

测试步骤:

  • 生成指定 secure boot 签名 key
  • 软件开启 secure boot 配置
  • 烧录被签名的固件
  • 对新的 app.bin 使用指定 key 进行签名
  • 对已经签名的 app.bin 进行 OTA 测试

1、生成指定 secure boot 签名 key

  • 可使用 esptool 工具,运行如下指令生成指定secure boot 签名 key
espsecure.py generate_signing_key secure_boot_signing_key.pem --version 2
  • secure_boot_signing_key.pem 为生成的(自定义名称)的 key file 文件
  • --version 2 为选择 secure boot V2 版本

在这里插入图片描述

openssl genrsa -out my_secure_boot_signing_key.pem 3072

在这里插入图片描述


2、软件开启 secure boot 配置

  • 使能 secure boot 功能的软件配置
  • 将 key 文件放到当前工程目录下,并使用指定 key 进行签名
  • 同时,注意 UART ROM download mode 配置选项的设置,若需要运行重烧固件,可按照如下进行设置

idf.py menuconfig —> Security features —> UART ROM download mode


在这里插入图片描述


3、 烧录被签名的固件

  • 由于 Secure boot 是对二级 bootloader 进行签名,因此编译生成的被签名的 bootloader.bin 将增大,需要调整默认 partition table 偏移地址

idf.py menuconfig —> Partition Table
在这里插入图片描述

  • 使用 idf.py build 指令编译当前工程,编译完成后会生成已经签名的 bootloader.bin 和 app.bin ,以及未被签名的 bootloader-unsigned.bin 和 app-unsigned.bin ,如下:

在这里插入图片描述

在这里插入图片描述

  • 注意编译完成后,直接使用 idf.py flash 指令烧录固件不会烧录被签名的 bootloader.bin,只会烧录 partition-table.binota_data_initial.bin 以及 被签名的 blink.bin ,需要自行对 被签名的 bootloader.bin 进行烧录

在这里插入图片描述

  • 烧录 被签名的 bootloader.bin固件,可在当前工程目录下,使用 idf.py bootloader-flash 指令来烧录 被签名的 bootloader.bin 固件。如下:

在这里插入图片描述

  • 固件烧录后会在第一次启动运行时完成 secure boot 签名,对 eFuse 写入 secure boot 签名 key 以及 secure boot 控制位,参见如下启动日志:

在这里插入图片描述

  • 未设置安全下载模式可使用 espefuse.py summary 指令查看 eFuse 信息,可以发现,Secure Boot 被使能,且 eFuse 中写入了 secure boot 签名 key ,如下:
    在这里插入图片描述

  • 设置了安全下载模式可使用 esptool.py --no-stub get_security_info 指令查看 eFuse 中的安全 信息,如下:

在这里插入图片描述

在这里插入图片描述

  • Key_Purposes:(9,0,0,0,0,0,12) 第一个 eFsue block 为 9 ,说明这里已经有一个 secure boot 的 digest 烧录到 eFuse 了

4、对新的 app.bin 使用指定 key 进行签名

  • OTA 更新时固件时,需要对新的 app.bin 使用 secure boot 签名 key (secure_boot_signing_key.pem)进行签名,使用 hello_world.bin 进行测试,使用如下指令:
espsecure.py sign_data --version 2 --keyfile secure_boot_signing_key.pem --output SIGNED_hello_world.bin hello_world.bin

在这里插入图片描述

  • secure_boot_signing_key.pem 为 key 文件
  • SIGNED_hello_world.bin 为自定义名称的 被签名的后生成的 app.bin
  • hello_world.bin 为原始未被签名的 app.bin

5 、对已经签名的 SIGNED_hello_world.bin 进行 OTA 测试

  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
对不起,我之前给出的回答不正确。实际上,OTA(Over-The-Air)升级是一种通过网络无线更新设备固件的方法。在STM32上使用ESP8266进行OTA升级是一种常见的做法。 下面是一个简单的步骤指南,介绍如何使用ESP8266和OTA将STM32进行升级: 1. 首先,确保你已经烧录了适用于STM32的Bootloader程序。这个Bootloader程序将负责接收并更新固件。 2. 确保你已经连接了STM32和ESP8266。你可以使用串口或者其他通信接口进行连接。 3. 在ESP8266上编写一个简单的固件升级服务器,并确保它能够提供固件文件。你可以使用Arduino IDE或者其他适合的开发环境。 4. 在STM32的应用程序中,实现一个OTA升级的机制。你可以通过HTTP协议从ESP8266服务器下载固件文件,并将其存储在STM32的存储器中。 5. 在STM32应用程序中,实现固件的验证和升级过程。你可以使用CRC校验、数字签名等方法来确保固件的完整性和安全性。 6. 当需要升级固件时,STM32应用程序向ESP8266发送OTA请求,并从ESP8266服务器下载最新的固件文件。 7. 下载完成后,STM32应用程序将固件写入存储器,并更新相应的启动标志。 8. 最后,STM32应用程序重启以完成固件升级。 请注意,以上步骤只是一个简单的指南。实际实现中,你可能需要考虑更多的细节和安全性。同时,确保你对STM32和ESP8266的使用有一定的了解,并根据具体情况进行相应的调整。 希望这能对你有所帮助!如果还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值