ESP32-S3 使用指定 key 来进行 secure boot 签名并进行 OTA 测试

已于 2023-07-12 11:55:21 修改
阅读量1.7k 收藏 4
点赞数
分类专栏: 芯片安全 (Chip Security) 文章标签: secure boot ESP32-S3
于 2023-06-08 14:57:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Marchtwentytwo/article/details/131108003
版权

文档说明

测试准备:

  • 硬件准备:ESP32-S3 开发板或模组
  • 软件准备:esp-idf v5.0 版本 SDK

测试步骤:

  • 生成指定 secure boot 签名 key
  • 软件开启 secure boot 配置
  • 烧录被签名的固件
  • 对新的 app.bin 使用指定 key 进行签名
  • 对已经签名的 app.bin 进行 OTA 测试

1、生成指定 secure boot 签名 key

  • 可使用 esptool 工具,运行如下指令生成指定secure boot 签名 key
espsecure.py generate_signing_key secure_boot_signing_key.pem --version 2
  • secure_boot_signing_key.pem 为生成的(自定义名称)的 key file 文件
  • --version 2 为选择 secure boot V2 版本

在这里插入图片描述

openssl genrsa -out my_secure_boot_signing_key.pem 3072

在这里插入图片描述

2、软件开启 secure boot 配置

  • 使能 secure boot 功能的软件配置
  • 将 key 文件放到当前工程目录下,并使用指定 key 进行签名
  • 同时,注意 UART ROM download mode 配置选项的设置,若需要运行重烧固件,可按照如下进行设置

idf.py menuconfig —> Security features —> UART ROM download mode

在这里插入图片描述

3、 烧录被签名的固件

  • 由于 Secure boot 是对二级 bootloader 进行签名,因此编译生成的被签名的 bootloader.bin 将增大,需要调整默认 partition table 偏移地址

idf.py menuconfig —> Partition Table
在这里插入图片描述

  • 使用 idf.py build 指令编译当前工程,编译完成后会生成已经签名的 bootloader.bin 和 app.bin ,以及未被签名的 bootloader-unsigned.bin 和 app-unsigned.bin ,如下:

在这里插入图片描述

在这里插入图片描述

  • 注意编译完成后,直接使用 idf.py flash 指令烧录固件不会烧录被签名的 bootloader.bin,只会烧录 partition-table.binota_data_initial.bin 以及 被签名的 blink.bin ,需要自行对 被签名的 bootloader.bin 进行烧录

在这里插入图片描述

  • 烧录 被签名的 bootloader.bin固件,可在当前工程目录下,使用 idf.py bootloader-flash 指令来烧录 被签名的 bootloader.bin 固件。如下:

在这里插入图片描述

  • 固件烧录后会在第一次启动运行时完成 secure boot 签名,对 eFuse 写入 secure boot 签名 key 以及 secure boot 控制位,参见如下启动日志:

在这里插入图片描述

  • 未设置安全下载模式可使用 espefuse.py summary 指令查看 eFuse 信息,可以发现,Secure Boot 被使能,且 eFuse 中写入了 secure boot 签名 key ,如下:
    在这里插入图片描述

  • 设置了安全下载模式可使用 esptool.py --no-stub get_security_info 指令查看 eFuse 中的安全 信息,如下:

在这里插入图片描述

在这里插入图片描述

  • Key_Purposes:(9,0,0,0,0,0,12) 第一个 eFsue block 为 9 ,说明这里已经有一个 secure boot 的 digest 烧录到 eFuse 了

4、对新的 app.bin 使用指定 key 进行签名

  • OTA 更新时固件时,需要对新的 app.bin 使用 secure boot 签名 key (secure_boot_signing_key.pem)进行签名,使用 hello_world.bin 进行测试,使用如下指令:
espsecure.py sign_data --version 2 --keyfile secure_boot_signing_key.pem --output SIGNED_hello_world.bin hello_world.bin

在这里插入图片描述

  • secure_boot_signing_key.pem 为 key 文件
  • SIGNED_hello_world.bin 为自定义名称的 被签名的后生成的 app.bin
  • hello_world.bin 为原始未被签名的 app.bin

5 、对已经签名的 SIGNED_hello_world.bin 进行 OTA 测试

25March
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ESP32-C3模组上跑通OTA升级(4)
phmatthaus的专栏
05-23 718
ESP32-C3模组上跑通OTA升级(4)
esp32-ota-update-mqtt
05-02
通过MQTT启动ESP32 OTA更新 此源允许通过MQTT触发ESP OTA更新。 您只需提供主机名/ binfile,ESP就会解析URL。 之后,更新将自动开始。 目前,这仅在端口80上有效! 触发更新的示例MQTT消息(不要向主机名添加任何...
图文手把手教程--ESP32 OTA空中升级(阿里云物联网平台)
felix_tao的博客
08-24 7491
1)使用ota_example_mqtt例程,通过阿里云物联网平台,进行OTA升级。 2)将例程编译成两个版本,版本1.0.0下载至ESP32开发板,版本2.0.0上传至阿里云物联网平台。
最新【ESP32S3使用 Flash 下载工具完成 “ Flash 加密 + Secure Boot V2 + NVS 加密功能 “
ESP 技术分享,推动万物互联
05-10 1080
ESP32S3】开启 Flash 加密 + Secure Boot V2 + NVS 加密功能
ESP32日记003】EPS32S3使用自身WiFi热点,用于OTA升级的代码实现
linyongui的博客
05-13 553
最近客户突然新增一个本地OTA需求,要求能实现让用户通过手机按需对设备进行程序更新,经评估后,考虑直接使用芯片自带的WiFi功能,以实现上电后,5分钟内开启WiFi热点,用于进行OTA升级,具体实现代码如下:
esp-who配置与编译流程分析 - esp32-s3-eye
生活需要深度
03-20 1333
book@100ask:~/esp/esp-who/examples/motion_detection/lcd$ idf.py set-target esp32s3 Adding "set-target"'s dependency "fullclean" to list of commands with default set of options. Executing action: fullclean Build directory '/home/book/esp/esp-who/examples/mo
ESP32-S3 V5.0.2 flash 手动生成密钥加密 _By星年(已验证)
qq_18070087的博客
06-16 696
(4)加密镜像并烧录(根据idf.py build编译后信息,修改文件路径、文件名、烧录地址及生成文件名)环境 ESP32-S3 ESP_IDF V5.0.2 手动生成密钥加密。三、关闭加密和解密已加密镜像(关闭解密只有1次机会)(3)烧录密钥到设备(修改端口号)(只能烧录一次)(1)AES-128(256 位密钥)(2)AES-256(512 位密钥)(2)工程加密配置及串口配置安全模式。1.查看是否加密:(修改端口号)(5)烧录加密bin。
ESP32 ECO V3】使用 Flash 下载工具完成 Secure Boot V2 功能
ESP 技术分享,推动万物互联
04-02 1229
【应用笔记】基于 Flash 下载工具完成 Secure Boot V2 的全部流程
用原生API app_update + bin加密的方式在Web中对ESP32进行OTA
最新发布
weixin_45775305的博客
06-11 354
此博客不讲解OTA的原理,旨在使用原生API app_update + web server + bin加密的方式进行本地OTA演示,可应用在某些不能联外网的环境中,并可防止生产文件外泄
ESP32S3使用 Flash 下载工具完成 Flash 加密功能
ESP 技术分享,推动万物互联
04-29 752
【应用笔记】基于 ESP32-S3 使用 Flash 下载工具完成 Flash 加密的全部流程
ESP32-OTA.zip 学习ESP32串口ota样例程序
11-05
本文将深入探讨ESP32的串口Over-the-Air (OTA)更新技术,通过分析提供的"ESP32_OTA.zip"学习资料,包括"linux_ota_dome.zip"、"ESP32-UART-OTA"和"LINUX-UART"等文件,来理解如何实现ESP32的固件更新。 1. **什么是...
esp-ota-server:ESP8266 ESP32 HTTP OTA服务器
02-05
ESP-OTA-服务器非常简单的OTA固件服务器,适用于内置和 。 主要目的是提供固件文件并传递MD5哈希值-以验证闪存。 选项: -s --bind监听地址(默认值:8092 ) -d --data-dir数据存储位置。 <data>/<project>/<file> ...
esp32芯片平台的http-web-ota的demo程序源码
08-18
该demo程序源码,实现在esp32平台上的http web ota升级功能,通过该功能可以实现esp32通过wifi方式的ota升级功能,可以将该demo移植到自己的工程中,从而实现后期的ota更新固件的功能,非常方便
使用Arduino+IDE进行ESP32-CAM视频流和人脸识别.docx
11-20
使用ESP32-CAM进行视频流和人脸识别时,首先需要一个Arduino IDE环境。Arduino IDE提供了一个友好的编程平台,支持对ESP32系列芯片的编程。要开始项目,你需要安装Arduino IDE和ESP32插件。在IDE中,你可以找到...
esp32-1.0.6.zip
08-30
ESP32是一款高性能、低功耗的32位微控制器,专为IoT(物联网)应用设计。它集成了Wi-Fi、蓝牙(包括经典蓝牙和BLE低功耗蓝牙)以及各种传感器,使得开发者能够轻松创建无线连接的智能设备。本离线下载包“esp32-...
xtensa-esp32-elf-gcc8_4_0-esp-2021r2-linux-amd64.tar.gz
11-11
在基于ESP32的项目中,开发者需要一个合适的工具链来编译、链接和调试代码,这就是XTENSA ESP32-ELF-GCC工具链的作用。本文将详细介绍XTENSA ESP32-Elf-GCC8_4_0-esp-2021r2-linux-amd64.tar.gz这一压缩包的内容及其...
ESP32 simple_ota_example
07-31
ESP32 simple_ota_example是基于ESP32微控制器的固件在线更新(Over-the-Air, OTA)示例项目,适用于Windows 10操作系统,并使用Visual Studio Code (VSCODE)作为集成开发环境,结合ESP-IDF工具链进行开发。...
ESP-IDF (ESP32, ESP32-S, ESP32-C, ESP32-H)怎么用
05-25
ESP-IDF是一个开源的开发框架,专门用于编写ESP32芯片的应用程序。如果您想要使用ESP-IDF来开发ESP32应用程序,您需要按照以下步骤操作: 1. 首先,您需要安装ESP-IDF开发环境。可以在ESP-IDF官网上找到详细的安装指南。安装完毕后,您需要配置环境变量和路径,使其能够正常工作。 2. 在安装完毕后,您需要选择您的开发板型号,并将其与ESP-IDF环境进行配置。ESP-IDF支持多种ESP32型号,包括ESP32ESP32-S、ESP32-C和ESP32-H。您需要根据您的实际开发板型号进行配置。 3. 在配置完毕后,您可以使用ESP-IDF提供的开发工具来编写、编译和调试应用程序。ESP-IDF提供了一个命令行工具集,包括编译器、调试器、烧录工具等。您可以使用这些工具来完成开发流程。 4. 最后,您需要将应用程序烧录到ESP32芯片中。ESP-IDF提供了多种烧录方式,包括串口烧录、OTA烧录、JTAG烧录等。您可以选择最适合您的烧录方式来完成烧录过程。 需要注意的是,ESP-IDF开发需要一定的编程经验和硬件知识。如果您是初学者,建议您先学习一些基本的编程知识和ESP32硬件知识,再开始使用ESP-IDF进行开发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值