小猫爪:i.MX RT1050学习笔记21-安全启动5-实现BEE单引擎OTPMK加密

最新推荐文章于 2023-06-01 23:09:43 发布
最新推荐文章于 2023-06-01 23:09:43 发布
阅读量856 收藏 2
点赞数 1
分类专栏: i.MX RT1050学习笔记 文章标签: 嵌入式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Oushuwen/article/details/110228313
版权

小猫爪:i.MX RT1050学习笔记21-安全启动5-实现BEE单引擎OTPMK加密

1 前言

已经介绍了RT的HAB加密,下面我们来实现RT的BEE加密,之前已经介绍过,BEE加密是支持XIP的,还分别单引擎加密和双引擎加密。而且BEE加密可以单独使用,也可以与HAB签名一起使用。BEE加密的秘钥可以使用FUSE中的SW_GP2,也可以使用OTPMK来加密,如果使用OTPMK进行加密,则必须配合HAB签名,因为只有当HAB签名开启的时候,DCP和BEE才能取到OTPMK。

2 准备工作

2.1 下载Flashloader

下载网址:<<Flashloader_i.MX RT1050>>

下载下来解压后,如下图:
在这里插入图片描述
并在Tools文件夹下新建一个文件夹cst备用,如下图:
在这里插入图片描述

2.2 下载CST

下载网址:<<i.MX High Assurance Boot Reference Code Signing Tool>>

下载后,将其解压后,然后将解压的文件全部放入之前的新建文件夹cst中,如下图:
在这里插入图片描述

2.3 安装OpenSSL

在网站https://slproweb.com/products/Win32OpenSSL.html下载openssl的windows安装包,这里我选择是Win64 OpenSSL v1.1.1h Light,如下图:
在这里插入图片描述
下载后,点击安装,然后记住安装路径,接下来将OpenSSL的路径添加至windows环境变量路径,首先右击我的电脑,选择属性,选择改变设置,选择高级,选择环境变量,选择Path,选择编辑,选择新建,添加OpenSSL的安装路径下的bin,比如我添加的路径就是:C:\Program Files\OpenSSL-Win64\bin;最后点击确定。具体示范如下图:

![在这里插入图片描述](https://img-blog.csdnimg.cn/20201118163047183.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L091c2h1d2Vu,size_16,color_FFFFFF,t_70#pic_center

3 实战操作1-OTPMK BEE加密+HAB签名

因为我的板子已经启用了HAB加密,所以现在只能使用加密+签名的方式,所以接下来将介绍采用OTPMK进行XIP加密+HAB签名的方式进行安全启动。

3.1 生成公钥和公钥摘要

具体操作见文章《小猫爪:i.MX RT1050学习笔记19-安全启动3-HAB签名》同名章节。

3.2 生成公钥sb文件

具体操作见文章《小猫爪:i.MX RT1050学习笔记19-安全启动3-HAB签名》同名章节。

3.3 生成具有HAB签名的Flashloader镜像

具体操作见文章《小猫爪:i.MX RT1050学习笔记19-安全启动3-HAB签名》同名章节。

3.4 生成具有HAB签名的镜像sb文件

这一步则是给APP镜像增加CSF部分,也就是增加签名。

在\Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.1\Tools\elftosb\win下新建文件夹app。并将待签名的APP镜像拷贝至app文件夹中(该镜像未加头信息),如下图:
在这里插入图片描述找到Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.2\Tools\bd_file\imx10xx\imx-flexspinor-normal-signed.bd文件,将其复制至之前创建的bd_file文件夹,并修改其中entryPointAddress的参数(因为我的APP链接地址在nor中,所以我使用的是imx-flexspinor-normal-signed.bd文件,大家因根据实际情况修改bd文件,具体操作可参考文章:《小猫爪:i.MX RT1050学习笔记18-安全启动2-elftosb和MfgTool的使用》);

elftosb -f imx -V -c bd_file/imx-flexspinor-normal-signed.bd -o app/ivt_signed_boot_app.bin app/iled_blinky.s19

这样就会在app文件夹下生成带有签名的且还有头信息的镜像文件。如下图:
在这里插入图片描述拷贝Flashloader_RT1050_1.1\Tools\bd_file\imx10xx\program_flexspinor_image_hyperflash.bd文件至\Flashloader_RT1050_1.1\Tools\elftosb\win\bd_file文件夹中(因为我使用的板子上的flash是hyperflash,所以我选择的bd文件是program_flexspinor_image_hyperflash.bd,大家需根据实际情况自己选择),打开编辑最后一句:

load fuse 0x00002000 > 0x06;
/*因为我们采取的是单引擎BEE加密,所以我们只需要修改FUSE中
的BEE_KEY0_SEL就行,修改其的加密私钥为OTPMK*/

输入以下命令生成sb文件(这一步主要是给镜像添加EKB和PRDB信息,还有为Flashloader下达脚本运行,使Flashloader完成对镜像的加密工作,并下载镜像至FLASH中,默认使用BEE引擎0作为加密引擎):

elftosb -f kinetis -V -c bd_file/program_flexspinor_image_hyperflash_encrypt.bd -o app/boot_image.sb app/ivt_signed_boot_app_nopadding.bin

操作结果如下图:
在这里插入图片描述
在app文件夹下生成的boot_image.sb就是我们需要烧写的启动文件,里面包含了启动配置以及镜像,留着备用。

3.5 烧写文件

注意:FUSE一旦烧写,将无法改变,烧写一定要慎重,烧写完私钥文件一定要保存好。)

①将之前生成的具有签名的flashloader镜像,公钥摘要的sb文件以及具有签名的镜像sb文件拷贝至文件夹***\Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.1\Tools\mfgtools-rel\Profiles\MXRT105X\OS Firmware中,如下图:
在这里插入图片描述
②编辑文件Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.1\Tools\mfgtools-rel\cfg.ini,修改其中的name值,如下:

.........
.........

[LIST]

name = MXRT105X-SecureBoot

③使BOOT_CFG=0x01,进入Serial Download模式,然后连接PC与芯片。

④进入文件夹***\Flashloader_i.MXRT1050_GA\Flashloader_RT1050_1.1\Tools\mfgtools-rel下,双击打开MfgTool2.exe。
在这里插入图片描述
点击Start下载。
在这里插入图片描述
点击Stop按钮,这样程序就下载完成了,切换RT1050使其从FLASH启动,并且还需要使BOOT_CFG[1] = 1激活XIP加密启动。

使用NXP MCUBootUtility工具读取FLASH中的内容,如下:
在这里插入图片描述
可以看到在偏移0x400处出现了EKIB0,在偏移0x400出现了PRDB0。

因为FUSE的某一位只能被烧写一次,对于用户自定义key加密的方式在这里我就不一一赘述了,后面有机会再和大家分享,谢谢。

推荐大家使用NXP MCUBootUtility这个软件,可以一键实现上面所有的步骤,不要太爽哦。下载链接为https://github.com/JayHeng/NXP-MCUBootUtility

END

小猫爪
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
系统安全基石IP-OTPC(一):什么是OTP
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
08-21 388
今天和大家一起学习的是OTPC,既然在学习,我们就肯定要知道我们为什么要学习?因为我们是研究安全的,在安全启动的过程中,我们一直在说一个信任根的概念-ROT,我们知道这个根是放在BootRom或者Bias中去实现的。进一步我们知道安全必须是和硬件配合起来才能保证ROT的可信,才能建立整个启动链路信任机制,那在安全启动我们到底依赖了哪些硬件,脑子里肯定想起了ARM Core的TrustZone架构,不知道有没没想起之前我分享的TRNG、AES这些逻辑IP。
痞子衡嵌入式:恩智浦i.MX RT1xxx系列MCU启动那些事(13.A)- LPSPI NOR启动时间(RT1170)...
痞子衡嵌入式
08-04 753
  大家好,我是痞子衡,是正经搞技术的痞子。今天痞子衡给大家介绍的是恩智浦i.MX RT1170 1bit SPI NOR恢复启动时间。   本篇是i.MXRT1170启动时间评测第三弹了,前两篇分别给大家评测了Raw NAND启动时间(基于A0芯片的EVK)、Serial NOR启动时间(基于B0芯片和EVB),今天痞子衡拿到了B0芯片配套的EVK (Rev.C),其实i.MXRT1...
痞子衡嵌入式:开启NXP-MCUBootUtility工具的BEE加密功能 - image_enc
weixin_34216196的博客
12-28 191
为了便于大家快速验证软件BEE加密功能,特将用于BEE加密的image_enc工具上传至百度网盘,仅用作个人学习用途,违者后果自负。 -- 链接: https://pan.baidu.com/s/1fa0_HhtBktv69FnX1a2UlQ -- 提取码: v4wq 使用方法:将下载到的压缩包image_enc.zip解压后将其所有文件拷贝到 \NXP-MCUBootUtilit...
IMX启动方式【OneNote笔记
Bourbno的博客
04-19 177
猫爪:i.MX RT1050学习笔记17-安全启动1-简介
Oushuwen的博客
11-17 1044
猫爪:i.MX RT1050学习笔记17-安全启动1-简介1 前言2 加密和解密,数字签名2.1 加密和解密2.2 数字签名3 RT1050安全简介3.1 HAB签名认证3.2 HAB签名认证与HAB加密3.3 引擎/ 双引擎 BEE加密END 1 前言 这段时间准备开始学习RT1050安全启动系列,在简了解了一下RT的安全机制后,突然意识到这相比之前的文章专题复杂了很多,接下来可能要花好几篇文章来将RT1050安全启动专题记录下来了,让我们慢慢的开始吧。 2 加密和解密,数字签名 首先让我们简
I.MX RT1170加密启动详解(3):HAB加密启动原理
主要分享硬件、嵌入式软件部分知识
06-01 668
上一节使用对镜像进行签名认证,这可以防止镜像被篡改。但我们还是希望Flash中的程序不会被别人看到,所以这就需要加密启动了。
可信启动安全启动:SGX、TrustZone、SecureEnclave
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
12-18 4398
(最安全的还是在硬件中保护)
猫爪RT1050学习笔记配套资料4
11-27
在本文中,我们将深入探讨小猫爪RT1050学习笔记系列,特别是关于"安全启动"和"BEE引擎OTPMK加密"的主题。i.MX RT1050是一款高性能、实时的微处理器,由恩智浦半导体公司(NXP Semiconductors)开发,广泛应用于...
猫爪RT1050学习笔记配套资料2
11-27
猫爪RT1050学习笔记系列主要聚焦于NXP i.MX RT1050跨界处理器的应用与开发,其中第19篇重点讲解了安全启动(Secure Boot)的第三部分——如何实现硬件认证架构(Hardware Authenticated Boot, HAB)签名。...
猫爪RT1050学习笔记配套资料3
11-27
总的来说,小猫爪的这篇学习笔记详细介绍了如何利用NXP i.MX RT1050的HAB功能来确保固件的安全启动。这对于开发者来说是一份宝贵的学习资源,因为它涵盖了实际操作中的关键步骤,有助于增强嵌入式系统的安全性。通过...
猫爪RT1050学习笔记配套资料1
11-27
在"小猫爪:i.MX RT1050学习笔记18-安全启动2-elftosb和MfgTool”的主题中,我们将会深入探讨如何使用elftosb工具和MfgTool来实现安全启动的过程。 首先,elftosb是NXP提供的一个二进制转换工具,它用于将ELF...
猫爪插件1.0.16.cat-catch.crx
最新发布
03-04
支持360浏览器安装的版本
痞子衡嵌入式:恩智浦MCU安全加密启动一站式工具NXP-MCUBootUtility用户指南
weixin_34117522的博客
11-30 1332
NXP MCU Boot Utility English | 中文 1 软件概览 1.1 介绍   NXP-MCUBootUtility是一个专为NXP MCU安全加密启动而设计的工具,其特性与NXP MCU里BootROM功能相对应,目前主要支持i.MXRT系列MCU芯片,与NXP官方的标准安全加密配套工具集(OpenSSL, CST, sdphost, blhost, elftosb,...
NXP RT1020/1050 程序加密
tangziwei123的博客
09-24 1300
本文档旨在说明如何对NXPRT1020系列1050系列芯片进行加密,并烧写到外部flash中。最近受托研究RT1020系列的外部flash程序加密的问题,看了不少文档,总算是弄得差不多了,现将结果整理如下: 关于原理部分我就不介绍了,大家可以我看的原理简介是这个文章: https://blog.csdn.net/jack909633117/article/details/89305577 这里我主要介绍如何操作,可选的软件很多,我选的是MCUXpresso Secure Provisioning ,可
NXP BootLoader对应软件简说明及blhost命令说明
yilonglucky
07-09 2164
接触到Kinetis系列芯片,想使用下内置的BootLoader功能,发现官方有现成pc端控制软件blhost,所以尝试着跑着运行下。 但是这个软件只针对特定系列的chip,我分析原因是,这个pc应用程序只能通过发送98 66 98来识别有反应的芯片,没反应的就不支持。 另外发现有一个KinetisFlashTool兼容性好一点,可以发送98 66 98和5A A6来尝试连接BootLoader。 总结如下: blhost: 缺点:命令行使用,只支持对98 66 98有反馈的芯片 优点:开放,.
53
wubaoyu123的博客
11-24 905
博客园Logo 首页 新闻 博问 专区 闪存 班级 代码改变世界 搜索 注册 登录 痞子衡嵌入式 定期分享程序设计、嵌入式开发、应用方案解析、嵌入式前沿热点新闻等相关文章 版权声明: 所有文章均为痞子衡原创,转载必须标明出处 博客园 首页 新随笔 联系 订阅 管理 随笔 - 199 文章 - 0 评论 - 329 痞子衡嵌入式:揭秘i.MXRT600的ISP模式下用J-Link连接后PC总是停在0x1c04a的原因(Debug Mailbox) 大家好,我是痞子衡,是正经搞技术的痞子。今天痞子衡给大家介
i.MXRT1061 RT1020 RT1050系列外置Flash多种加密方法
jack909633117的博客
04-15 4769
原文链接:https://www.forlinx.com/zixun/307.htm 一、背景 NXP宣布推出i.MX RT系列处理器,内核基于 Arm-Cortex M7,运行主频高达600MHz,3020的coremark跑分,令人咋舌。i.MX RT1020/1050/1060系列MCU没有片内FLASH,从而可以让用户根据实际需要灵活搭配不同容量、不同厂家的外置FLA...
猫爪:i.MX RT1050学习笔记18-安全启动2-elftosb和MfgTool(sdphost,blhost)的使用
Oushuwen的博客
11-24 5760
猫爪:i.MX RT1050学习笔记18-安全启动2-相关工具的使用1 前言2 准备工作2.1 下载Flashloader2.2 准备镜像3 具体操作3.1 生成启动sb文件3.2 烧写 1 前言 在介绍RT1050的相关加密操作之前,我们先来介绍一下一些工具的使用。 2 准备工作 2.1 下载Flashloader 下载网址:<<Flashloader_i.MX RT1050>> 下载下来解压后,如下图: 并在Tools文件夹下新建一个文件夹cst备用,如下图: 2.2 准备
S32K3 I2C配置
08-25
对于S32K3系列的I2C配置,可以参考S32K3的官方示例和使用文档。在S32K3系列中,I2C是一种常用的串行通信协议,常用于连接微控制器和外部设备,如传感器和存储器等。通过I2C总线,可以实现多个设备之间的通信。 你可以先了解S32K3系列的特点和资源,然后深入学习各个外设模块的使用,包括I2C。可以查阅S32K3系列的官方文档和示例,这些资料可以帮助你了解I2C在S32K3系列中的配置和使用方法。可以参考S32 Design Studio开发环境的使用文档,了解如何在该开发环境中进行I2C的配置和编程。 此外,还可以参考S32K3系列的MCAL配置示例,特别是与I2C相关的示例,以便更好地理解I2C的配置和使用。通过努力学习I2C的相关知识和S32K3系列的MCAL配置示例,你可以掌握S32K3系列的I2C配置。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [【S32K 学习笔记】S32K3介绍](https://blog.csdn.net/weixin_44712171/article/details/124190407)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [小猫爪:S32K3学习笔记02-S32K3之FlexCAN](https://blog.csdn.net/Oushuwen/article/details/120311785)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小猫爪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值