Uboot 验签linux kernel

最新推荐文章于 2024-04-23 22:02:26 发布
最新推荐文章于 2024-04-23 22:02:26 发布
阅读量592 收藏 2
点赞数
分类专栏: linux 文章标签: linux 单片机 stm32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dhy5261302/article/details/129361142
版权
  • 参考:
  1. U-boot/doc/uImage.FIT/signature.txt  说明文档 
  • 以下是我的总结:

 

 

1. 目录结构

2. 生成证书密钥对:

openssl genpkey -algorithm RSA -out dev.key -pkeyopt rsa_keygen_bits:2048 -pkeyopt rsa_keygen_pubexp:65537

openssl req -batch -new -x509 -key dev.key -out dev.crt

存放路径 ~/dev/keys/

3. 在linux目录创建its文件

4. 签名指令,生成包含image dtb 签名内容的fit文件。

$mkimage -f ../linux/sign-images.its -k ~/dev/keys -r sign-image
下图可以看出签名信息包含在了fit文件中。

5. 创建uboot dts,用于手动或者uboot验签

创建arch/arm/dts/stm32mp15-verified-boot.dts文件,指定系统启动时u-boot验签用到的算法、验签设备名称等:

/dts-v1/;

/ {

    model = "stm32mp15 image public key";

    compatible = "xxx,yyy";

    signature {

        key-dev {

            required = "conf-1";  //此处的名字必须要跟../linux/sign-images.its中的保持一致

            algo = "sha1,rsa2048";

            key-name-hint = "dev";

        };

}; 

编译设备树文件:

dtc stm32mp15-verified-boot.dts -O dtb -o stm32mp15-verified-boot.dtb

6. 手动验签fit

执行fit_check_sign命令在本地验证fit签名:

$fit_check_sign -f sign-image.fit -k ../linux/stm32mp15-verified-boot.dtb

7. Uboot验签fit

接着修改u-boot配置,启动对验签功能的支持:

make stm32mp151_defconfig

make menuconfig

  CONFIG_OF_CONTROL=y //default on

    CONFIG_DM=y //default on

    CONFIG_FIT=y //default on

// CONFIG_FIT_SIGNATURE=y

Enable signature verification of FIT uImages

    CONFIG_OF_SEPARATE=y

//CONFIG_DEFAULT_DEVICE_TREE=<dts-filename>

CONFIG_DEFAULT_DEVICE_TREE="xxx-yyy"//verified-boot

horsen_duan
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[uboot] uboot启动kernel篇(一)——Legacy-uImage & FIT-uImage
ooonebook的博客
12-06 2万+
一、uImage编译kernel之后,会生成Image或者压缩过的zImage。但是这两种镜像的格式并没有办法提供给uboot的足够的信息来进行load、jump或者验证操作等等。因此,uboot提供了mkimage工具,来将kernel制作为uboot可以识别的格式,将生成的文件称之为uImage。 uboot支持两种类型的uImage。 Legacy-uImage FIT-uImage
uboot验签kernel的实现
个人学习记录
12-26 1104
本文介绍uboot启动linux内核时,开启对kernel的签名认证功能,防止kernel和device tree被任意修改。fitimage本质上是dtb类型的结构,可用于打包不同的数据到一个文件中。这样做也是为了方便SecureBoot的实现,方便对kernel,system.dtb,rootfs进行RSA签名和认证。《u-boot FIT image介绍》提供了详细的结构解析,以及如何制作的命令。fitimage格式支持存储镜像的hash值,并且在加载镜像时会校验hash值。
Uboot FIT验签
最新发布
swh547的博客
04-23 107
【代码】Uboot FIT验签
u-boot验签kernel的签名生成过程
李老板的移动安全杂货铺
10-20 3249
相关背景 linux系统本身支持对kernel文件的签名验签功能,即通过its文件配置相关签名信息,在u-boot中开启相关配置,即可实现启动过程中ubootkernel验签功能。不过需要注意的是,这种原生的实现仅支持bootm的启动方式,如果你的uboot使用booti启动kernel,则需要自行实现对kernel的签名验签。 本文简单介绍带签名信息的kernel二进制文件的生成方式,以及u-boot验签功能开启的重要步骤。 工作目录的结构 ~/dev/verify-boot$ tree -
linux secure boot(安全启动)下为内核模块签名
西京刀客
02-02 6189
从 UEFI 到 OS,再从 OS 到 driver,这是一条信任链,只有被已经在 UEFI 里注册过的 key 签名的驱动,才是可信的。除了 UEFI 出厂时由 vendor 设置的 key,我们还可以在后续的使用过程中自行添加(称为 “enroll”),其依据的原理大致是:既然都能够操作 UEFI 了,那该用户添加的 key 应该是可被信赖的。
uboot引导kernel - 3 ->uboot给内核传参详解
hzgdiyer的专栏
10-21 5403
uboot中执行theKernel函数后,kernel正式启动。如下函数,我们发现有3个参数。 1. 参数 0; 2. 参数machid; 如下code 中获取machid, gd是个全局变量. 2.1 bi_arch_number是board_info中的一个元素,含义是:开发板的机器码。所谓机器码就是uboot给这个开发板定义的一个唯一编号。 2.2 机器码的主要作用就是在uboot和...
ubootFIT功能
qq_39525606的博客
11-03 2241
某大佬的解释,特别清晰: u-boot FIT image介绍1. 前言 Linux kernel在ARM架构中引入device tree(全称是flattened device tree,后续将会以FDT代称)的时候[1],其实怀揣了一....http://www.wowotech.net/u-boot/fit_image_overview.htmlgit上对于FIT的说明文档: doc/uImage.FIT/source_file_format.txthttps://github.com/wowot
基于zynqmp的uboot移植与kernel移植教程(非petalinux开发方式).pdf
01-15
基于 zynqmp 的 uboot 移植与 kernel 移植教程(非petalinux 开发方式),在xilinx官方github的uboot源码和kernel源码的基础上进行移植,编译,在自定义板卡上亲测可用。
uboot-linux-kernel_nfs_raspberrypifs.tar.xz
01-26
uboot-linux-kernel_nfs_raspberrypifs.tar.xz
ubootkernel移植手册
06-11
交叉开发环境下,移植ubootkernel到arm开发板的实验手册
iMX6从ubootlinux启动完成一直保持LOGO不变
10-11
u-boot启动后会运行液晶初始化程序并显示启动LOGO,但进入linux系统之后,又重新初始化一次,而且ubootlinux定义的显存地址也不一致,导致会有短暂的白屏闪烁。此补丁解决从ubootlinux启动完成一直保持LOGO不变...
ubootlinux logo显示不间断 补丁
06-26
imx6 从ubootlinux logo显示不间断 补丁,解决闪屏问题
Linux下使用.sig文件验证签名
嫉妒的虚荣
06-27 507
将 libunwind-1.70.tar.gz 和 libunwind-1.70.tar.gz.sig 放在同一路径下。使用gpg进行验证,此时输出如注释所示(no public key)
Linux内核编译——Uboot
笑傲江湖
04-18 7867
    1、概述            最近在做linux内核移植,内核是编译好了,只是内核导进EMMC后启动不了,移植卡在Starting kernel ...所以有必要把启动梳理一遍,看卡在那个地方。    2、Uboot介绍            U-Boot是Das U-Boot的简称,其含义是Universal Boot Loader,是遵循GPL条款的开放源码项目。一开始德国DENX软...
如何在linux上打开fit文件,linux-kernelLinux:使用U-Boot和Flat Image Tree(FIT)启动参数...
weixin_39793638的博客
05-06 491
我正在尝试使用自己的U-Boot构建来在Jetson TK1板上启动Linux.当我们推动验证启动时,我使用平面图像树(统一内核映像,设备树blob,…)来描述我的系统. U-Boot可以加载ITB文件并尝试启动内核,但系统会在此消息后挂起.我假设这是因为没有引导参数传递给内核(原始启动添加了参数的加载)但我对如何将参数传递给内核有点傻眼.我尝试设置bootargs环境变量,但这并没有改变这种情况...
secure boot(三)secure boot的签名和验签方案
嵌入式与Linux那些事的博客
09-21 3708
FIT 格式支持存储镜像的hash值,并且在加载镜像时会校验hash值。这可以保护镜像免受破坏,但是,它并不能保护镜像不被替换。而如果对hash值使用私钥签名,在加载镜像时使用公钥验签则可以保护镜像不被替换。因此,公钥必须保存在一个绝对安全的地方。接下来的内容要求大家了解一些密码学的内容,之前也介绍过一些,可以看这篇文章secure boot (一)FIT Imagesecure boot (二)基本概念和框架计算镜像的hash值利用私钥对hash值签名签名结果存在FIT Image 中。
uboot FIT
weixin_44705391的博客
02-04 189
文章目录前言1. 前言 1. http://www.wowotech.net/u-boot/fit_image_overview.html https://harmonyhu.com/2018/07/01/uboot-ITS/ http://www.wowotech.net/sort/u-boot https://www.itmangoto.cn/2018/05/18/arm-uboot-fit-img/ https://blog.csdn.net/ooonebook/article/details/
ubootFIT-uImage
kunkliu的博客
04-06 2620
一、uImage 编译kernel之后,会生成Image或者压缩过的zImage。但是这两种镜像的格式并没有办法提供给uboot的足够的信息来进行load、jump或者验证操作等等。因此,uboot提供了mkimage工具,来将kernel制作为uboot可以识别的格式,将生成的文件称之为uImage。 uboot支持两种类型的uImage。 Legacy-uImage 在kernel镜像的基础上,加上64Byte的信息提供给uboot使用。 FIT-uIma...
uboot移植 Linux
09-12
对于U-Boot移植Linux的问题,我可以给你一些简要的指导。以下是大致的步骤: 1. 获取U-Boot源代码:从U-Boot官方网站(https://www.denx.de/wiki/U-Boot)下载适用于你的目标板的U-Boot源代码。 2. 配置U-Boot:根据你的目标板的处理器架构和配置要求,进入U-Boot源代码目录,执行`make <board_name>_config`命令进行配置。这将生成对应的配置文件。 3. 编译U-Boot:执行`make`命令来编译U-Boot。这将生成一个可执行的U-Boot二进制文件。 4. 获取Linux内核源代码:从Linux内核官方网站(https://www.kernel.org)下载适用于你的目标板的Linux内核源代码。 5. 配置Linux内核:进入Linux内核源代码目录,执行`make <board_name>_defconfig`命令进行配置。这将生成对应的配置文件。 6. 自定义内核配置(可选):根据你的需求,可以通过执行`make menuconfig`命令来进行更详细的内核配置。 7. 编译Linux内核:执行`make`命令来编译Linux内核。这将生成一个可引导的内核镜像文件。 8. 将U-BootLinux内核烧录到目标板:使用烧录工具,将U-Boot二进制文件烧录到目标板的启动设备上。然后,将编译好的Linux内核镜像文件烧录到适当的位置。 9. 配置U-Boot引导参数:在U-Boot中设置适当的引导参数,以便正确启动Linux内核。 10. 启动目标板:重启目标板,并观察控制台输出以确保U-Boot能够成功引导Linux内核。 这些是大致的步骤,具体的细节可能因为目标板的不同而有所变化。在实际移植过程中,你可能还需要进行一些其他的配置和调试。建议参考U-BootLinux内核的官方文档以获取更详细的指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

horsen_duan

你的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值