Secure Boot 应用指导

最新推荐文章于 2024-06-06 06:53:20 发布
最新推荐文章于 2024-06-06 06:53:20 发布
阅读量1.2k 收藏 12
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QQproguy/article/details/115946823
版权

声明:以下内容引用自某芯片的应用指导文档

Trusted模式启动用于产品交付给OEM后的阶段,Non-trusted模式仅用于早期的产品开发阶段。启动模式是Trusted模式还是Non-trusted模式由Fuse设置。

Trusted模式的技术背景

Trusted模式提供给用户符合工业标准的数字签名认证技术,运用了SHA256的哈希算法, RSA或者ECDSA加密算法。

Trusted模式的镜像文件

需要加密的固件二进制文件(bin)经过打包工具release.exe,自动添加一个FIP包头,合成新的镜像文件(image)。镜像文件的FIP包头中包含了OEM公钥(OEM’s RSA public decryption key) 和数字签名(signature)。

固件启动流程

如下图所示,分三个阶段介绍固件的数字签名和签名认证过程。

  • 固件的签名过程: 客户通过打包工具release.exe在制作下载包的过程中自动对固件的二进制文件(例如: preboot.bin)采用SHA256算法求出哈希值(Hash),再自动用私钥签名固件的这个Hash,得到固件的数字签名文件。

  • 镜像文件的内部结构: 客户通过打包工具release.exe把固件的二进制文件转化成镜像文件,为镜像文件添加了FIP的头,FIP中保存了OEM的公钥和数字签名。

  • OEM公钥的认证过程: 镜像文件(image)在固件烧写和板子启动的阶段都要进行签名认证。比如:下载包preboot.img, 从image的FIP头中读出OEM的公Secboot使能步骤钥,程序对公钥计算出Hash,并且与fuse中block2区域保存的OEM公钥Hash进行比对。如果两个Hash相同,说明公钥验证通过。如果不相同,说明镜像文件中的公钥验证不通过,退出下载或者启动过程。

  • 镜像文件的签名认证过程: OEM公钥验证通过以后,下载或者启动程序会继续对镜像文件(image)中的固件二进制数据计算出Hash,再用FIP头中的OEM公钥对FIP头中的数字签名做解签得到另一个Hash,如果两个Hash值一致,说明签名认证通过。下载或者启动程序继续下一个流程。如果不相同,说明签名认证不通过,退出下载或者启动过程。
    在这里插入图片描述

Secboot使能步骤

  • 生成私钥和证书
  • 制作烧写OEM公钥的fuse only下载包
  • 烧写fuse only下载包

需要的Root Key和OEM公钥Hash被烧录进Fuse。

  • 重启模块或者下电模块

模块重启以后,Bootrom进入Trusted 模式启用。新的证书开始生效,启动中完成c)的签名认证过程。

  • 镜像签名

release工具对固件文件完成a)数字签名过程,生成b)镜像文件,制作出固件下载包。

  • 固件烧录

烧写镜像文件的过程中必须通过d)签名认证,才能继续烧写过程。

  • 重启模块

Trusted Boot,必须通过d)签名认证,才能继续启动。

vvvanvvv
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Trusted Boot-开源
05-26
Trusted Boot(tboot)是一个开放源代码,内核前/ VMM模块,它使用Intel:registered:Trusted Execution Technology(英特尔:registered:TXT)来执行经过测量和验证的OS内核/ VMM启动。 商业回购:http://hg.code.sf.net/p/tboot/code。
可信启动、安全启动:SGX、TrustZone、SecureEnclave
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
12-18 4367
(最安全的还是在硬件中保护)
Secure Boot(安全启动)
最新发布
qq_53058639的博客
06-06 707
SecureBoot(安全启动)的原理基于链式验证,这是一种确保计算机在启动过程中只加载和执行经过认证的软件的机制。这个过程涉及到硬件、固件和操作系统的多个层面。以下是Secure:Secure Boot使用一组密钥和证书来验证启动过程中的软件。这些密钥通常存储在UEFI固件中,包括一个或多个密钥对(公钥和私钥)。:在启动过程中,UEFI固件会检查启动加载程序(如Windows的引导管理器)的数字签名。这个签名必须由受信任的证书颁发机构(CA)签发,以确保启动加载程序未被篡改。
Trusted BootSecure Boot的区别
小气球归来的博客
01-28 2822
https://www.ibm.com/developerworks/library/l-trusted-boot-openPOWER-trs/index.html Trusted Boot依赖于Secure Boot来建立用于度量的可信根。用于将度量值记录到TPM的元件必须是可信的,因此在任何度量操作开始之前必须验证该元件是可信的。Secure Boot可以帮助您做到这一点。 可信启动和安全启动具有一些共同点,但也有一些区别: Secure Boot在启动过程中会验证固件组件,验证失败则停止启动。
Secure Boot方案介绍及实施流程
07-17
详细阐述了手机的secure boot方案原理及实施办法
痞子衡嵌入式:恩智浦MCU安全加密启动一站式工具nxpSecBoot用户指南
Orbita_wangtao
12-01 1345
  痞子衡嵌入式:恩智浦MCU安全加密启动一站式工具nxpSecBoot用户指南 nxpSecBoot 1 软件概览 1.1 介绍   nxpSecBoot是一个专为NXP MCU安全加密启动而设计的工具,其特性与NXP MCU里BootROM功能相对应,目前主要支持i.MXRT系列MCU芯片,与NXP官方提供的标准安全加密配套工具集(OpenSSL, CST, sdphost, blh...
自动上传运行spring boot项目.zip
12-11
Spring Boot是基于Spring框架的快速开发工具,它内置了大量默认配置,简化了传统的Spring应用的搭建和配置。通过Spring Boot,开发者可以更专注于业务逻辑,而不是基础设施的设置。 自动化部署在现代软件开发中扮演...
redhatenterprise6.1安装指导
12-04
12. **pshell登录与文件传输**: 配置好IP后,你可以在其他机器上使用SSH(Secure Shell)工具如PuTTY连接到新系统,通过`scp`或`sftp`命令传输文件。 总的来说,安装RHEL 6.1需要关注的主要点包括语言选择、分区...
应用手册 SimpleLink中的安全引导:trade_mark: CC13x2 CC26x2无线MCU-综合文档
05-21
**正文** SimpleLink系列是TI(Texas Instruments)公司...《应用手册 Secure boot in SimpleLink™ CC13x2 CC26x2 wireless MCUs.pdf》这份文档将提供详细的指导和实践案例,帮助读者深入理解并实施安全引导流程。
博通公司推出高集成度低功耗交换机控制平面处理器SoC.pdf
09-25
处理器内集成的安全功能非常先进,包括IEEE MAC安全标准(MACSec)、加密引擎、额外的嵌入式ARM协处理器以及安全引导(Secure Boot)功能,确保了网络数据的安全传输和系统启动过程的可靠性。 氮化镓(GaN)功率...
Linux操作系统环境下常见故障的探讨 (1).pdf
09-06
随着Linux系统的广泛应用,系统管理员需要具备快速解决操作系统故障的能力。文章中列举了一些典型的问题及其解决方案。 首先,文章提到了急救盘组(bootroot盘组)的使用。急救盘组是一个独立启动和运行Linux操作...
EC20 R2.0&EC20; R2.1 QuecOpen.zip
11-08
移远EC20 R2.0 R2.1的OPEN linux sdk包 EC20 R2.0&EC20; R2.1 QuecOpen.zip
系统安装时识别(读取)不到优盘(U盘)的解决方案
Liu_GuoXing的博客
03-15 8332
随着计算机的普及,有越来越多的人开始尝试自己解决系统安装问题,比较常见的方法有原厂ISO镜像安装、PE启动盘安装等,均需借助优盘(U盘),很多时候会遇到F12界面不识别优盘的问题,更换优盘也是无效,(比较懂电脑的朋友可能知道是bios的secure boot的问题,但无法更改)本文分享上述问题的解决方案。 注:作者使用的是联想的ideacenter机型,其它机型或品牌操作方法大同小异
浅析安全启动(Secure Boot)附带EFUSE解析
qq_45763093的博客
06-21 9525
https://bbs.pediy.com/thread-260399.htm 所有支持 Secure Boot 的 CPU 都会有一块很小的一次性编程储存模块,我们称之为 FUSE 或者 eFUSE,因为它的工作原理跟现实中的保险丝类似:CPU 在出厂后,这块 eFUSE 空间内所有的比特都是 1,如果向一个比特烧写 0,就会彻底烧死这个比特,再也无法改变它的值,也就是再也回不去 1 了。 一般 eFUSE 的大小在 1KB 左右,OEM 从 CPU 厂家购买了芯片,组装了产品后,一般都要焼写 eFUSE
第七课:BootRom的烧录
smartvxworks的博客
02-16 946
VxWorks6.9开发详细讲解
secure boot 基本概念和框架
m0_54090930的博客
04-03 2016
secure boot是指确保在一个平台上运行的程序的完整性的过程或机制。secure boot会在固件应用程序之间建立一种信任关系。在启用secure boot功能后,未经签名的固件或程序将不能运行在该设备上。通过这种方式,可以保护操作系统免受恶意攻击。secure boot一般使用公钥/私钥来验证固件应用程序的签名是否合法。消息摘要算法消息摘要又称为数字摘要。它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash加密函数对消息进行作用而产生。
kvm tboot和libvirt的安装
weixin_34250434的博客
12-28 311
参考:http://www.ibm.com/developerworks/cn/aix/systemmaga/8/New_Way_Secure_Cloud/index.html(tboot) https://en.wikipedia.org/wiki/Trusted_Execution_Technology(txt技术)tboot简介: 为什么会使用到这种技术请参考第一个链接...
2. ATF(ARM Trusted firmware)启动---bl1
热门推荐
shuaifengyun的专栏
05-18 1万+
历经一年多时间的系统整理合补充,《手机安全和可信应用开发指南:TrustZone与OP-TEE技术详解》一书得以出版,书中详细介绍了TEE以及系统安全中的所有内容,全书按照从硬件到软件,从用户空间到内核空间的顺序对TEE技术详细阐述,读者可从用户空间到TEE内核一步一步了解系统安全的所有内容,同时书中也提供了相关的示例代码,读者可根据自身实际需求开发TA。目前该书已在天猫、京东、当当同步...
近三个月,已发生五起重大的内部攻击安全事件
Secboot的博客
07-13 1051
近日,Ponemon Institute发布了一份《2018年全球组织内部威胁成本报告》。该报告显示,64%的企业信息泄漏都是由员工和承包商的疏忽导致的,而外部攻击者和内鬼造成的安全事件比例则为23%。综合来看,无论是内鬼、非恶意员工,还是承包商和黑客造成的信息泄漏,超过80%的比例都是利用了特权用户的访问权限。今年截止到目前,由内部威胁导致的安全事件同样频发,下面让我们来看一下,今年已经发生的几...
Secure_2.1_Configuration_SOP__English_MT8167.0.pdf
08-21
MTK平台Android 安全中secure boot 详细配置 本文档介绍如何启用 security2.1。这些配置默认为关闭,客户需要根据本文档打开安全性本文档适用于在手机上使用security2.1。当前 LY MTK使用 的security2.1 MT6799 / MT6763和更高版本的平台。MT6570 / MT6750 / MT6755 / MT6757 / MT6797 使用security2.0。mt6735和MT6580使用security1.1。 缩写 USBDL USB 下载 DA下载代理(同时参考DA_BR和DA_PL) BR引导ROM MT6xxx MTK的Andr

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值