乐鑫 SoC 支持使用外部 HSM 进行安全签名

于 2023-04-06 11:28:13 发布
阅读量326 收藏 1
点赞数
文章标签: 乐鑫科技 乐鑫 SoC 外部 HSM 签名验证 设备安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/espressif/article/details/129985510
版权

乐鑫 ESP32 系列芯片均采用安全启动机制,确保只有可信任固件能够在 flash 中运行。然而,这种机制要求小心管理签名密钥,即签名密钥必须由签名实体以安全的方式生成和存储。

外部 (硬件安全模块)是一种专门用于保护和管理密钥的加密设备。它还可以提供专业的加密服务,如明文加密、数字签名等。现在,许多云服务都提供使用基于云 HSM 的解决方案

外部 HSM 签名

Espsecure.py: 使用外部 HSM 进行签名 
Espsecure.py: 使用外部 HSM 进行签名 

 


外部 HSM 提供了一个基于 PKCS #11 标准的加密接口,可实现对固件进行签名及其他功能。通过 PKCS #11 接口还可以获得远程的 HSM 云服务。

  • Espsecure.py 脚本(Esptool 工程的一部分)已经集成了标准 PKCS #11 接口,可与任何外部 HSM 设备兼容,对ESP32 固件进行签名。
  • 请注意,如上图所示,要使用 HSM 模式,需要在 Espsecure.py 配置中提供供应商特定的 PKCS #11 库的路径。
  • 初始支持使用 RSA-PSS 3072 或 ESDSA NISTP256 算法根据我们的 Secure Boot V2 机制生成已签名的应用程序。

使用 YubiKey 进行签名

我们将使用 YubiKey 5 系列作为外部 HSM 演示如何签名。

安装

有关 YubiKey 主机工具和 PKCS #11 库的详细配置可在 此处 查看。

注意:以下配置是在 Ubuntu 22.10 上进行的。

          # 安装 esptool 4.5 及 HSM 依赖项
          pip install esptool[hsm]==4.5.dev3
          # 安装工具和 PKCS#11 接口库
          sudo apt install yubico-piv-tool ykcs11
          # 在 9c(数字签名)域中生成 ECC P256 私钥
          yubico-piv-tool -a generate -s 9c -A ECCP256

HSM 配置文件

以下是我们要提供给 espsecure.py 的 HSM 配置文件。

           $ cat hsm_cfg.ini
           # 基于 YubiKey 的外部 HSM 配置文件
           [hsm_config]
          # PKCS11 共享对象/库
          pkcs11_lib = /usr/lib/x86_64-linux-gnu/libykcs11.so
          # HSM 登录凭证(YubiKey 默认 PIN 码)
          credentials = 123456
          # 要使用的域(YubiKey 默认域)
          slot = 0
          # 用于存储私钥的对象的标签(默认)
          label = Private key for Digital Signature
          # 用于存储相应公钥的对象的标签(默认)
          label_pubkey = Public key for Digital Signature

请注意,libykcs11.so 路径应替换为您系统里的安装路径。

生成签名

运行以下命令,使用 hsm_cfg.ini 文件里的配置对固件进行签名。

          $ espsecure.py sign_data --version 2 --hsm --hsm-config hsm_cfg.ini --output signed.bin unsigned.bin 

          espsecure.py v4.5-dev
          Trying to establish a session with the HSM.
          Session creation successful with HSM slot 0.
          Trying to extract public key from the HSM.
          Got public key with label Public key for Digital Signature.
          Connection closed successfully
          Trying to establish a session with the HSM.
          Session creation successful with HSM slot 0.
          Got private key metadata with label Private key for Digital Signature.
          Signing payload using the HSM.
          Signature generation successful.
          Connection closed successfully
          Pre-calculated signatures found
          1 signing key(s) found.
          Signed 65536 bytes of data from unsigned.bin. Signature sector now has 1 signature blocks.

验证签名

出于完整性考虑,我们可以使用外部 HSM 提供的公钥来验证签名。

          $ espsecure.py verify_signature --version 2 --hsm --hsm-config hsm_cfg.ini signed.bin 

          espsecure.py v4.5-dev
          Trying to establish a session with the HSM.
          Session creation successful with HSM slot 0.
          Trying to extract public key from the HSM.
          Got public key with label Public key for Digital Signature.
          Connection closed successfully
          Signature block 0 is valid (ECDSA).
          Signature block 0 verification successful using the supplied key (ECDSA).

文档

更多关于使用 HSM 进行安全签名的说明可参阅 Esptool 文档


请注意,此功能将在 Esptool v4.5 release 版本中提供。目前,您可以在 Esptool dev 版本中调用 pip install esptool[hsm]==4.5.dev3 先行试用。

如您有任何问题或反馈,欢迎随时联系我们

乐鑫科技 Espressif
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
乐鑫 ESP RainMaker® 系列文章
10-18 438
​乐鑫科技 (688018.SH) 的 ESP RainMaker 为构建物联网生态提供了一个完整的云解决方案,打通了底层硬件(芯片和模组)、软件生态(ESP-IDF 物联网操作系统、Matter、语音助手、HMI 等)、云后端(基于 AWS 搭建)、移动端 APP、设备管理看板全链路,建立了一套开放、灵活、可私有部署的云基础设施。客户无需额外开发与维护,就能够便捷地基于 ESP RainMaker 现有资源构建物联网产品,以较低的投资成本、较少的研发投入、较短的时间探索产品多样性,并实现迭代。
博客
乐鑫 ESP-Mesh-Lite:轻松覆盖更大范围,连接更多设备
09-08 950
创新性的 Wi-Fi Mesh 组网方案,使设备数量和覆盖区域不再受路由器容量和位置限制。
博客
抢先体验|乐鑫推出 ESP32-S3-BOX-3 新一代开源 AIoT 开发套件
08-25 6827
打造新项目原型或构建复杂物联网系统的绝佳工具。欢迎前往乐鑫淘宝店铺购买!
博客
乐鑫 Matter 系列文章
01-12 4385
随着人们对智能家居互联协议 Matter 的热情日益高涨,乐鑫工程师推出 Matter 系列博客,从多方面介绍并讨论 Matter 协议。
博客
通过 QEMU 试用 ESP32-C3 的安全功能
04-25 728
ESP32-C3 系列芯片支持可信启动、flash 加密、安全存储等多种安全功能,还有专用外设来支持 HMAC 和数字签名等用例。这些功能所需的私钥和配置大多存储在 ESP32-C3 的 eFuse 存储器中。启用安全功能时需要谨慎,因为使用到的 eFuse 存储器是一次性可编程存储器,烧写过程不可逆,安全功能最好先在试验场(比如模拟器)中测试,然后再转移到真实硬件上。本文讨论了如何在 QEMU(模拟器)中试用 ESP32-C3 中的不同安全功能。
博客
乐鑫科技收购创新硬件公司 M5Stack 控股权
04-22 415
这一战略举措对于物联网和嵌入式系统领域的两家公司来说都是一个重要的里程碑,也契合了乐鑫和 M5Stack 共同推动 AIoT 技术民主化的愿景。
博客
乐鑫发布 ESP32-H4:支持 802.15.4 和 Bluetooth 5.4 (LE) 的低功耗 SoC
04-11 921
ESP32-H4 在功耗、连接性能和内存扩展能力方面显著升级,可满足市场对低功耗无线设备日益增长的需求。芯片对最新 Bluetooth 5.4 (LE) 的支持也标志着乐鑫在自研低功耗蓝牙芯片领域的重大技术突破,将带来更丰富的应用可能性。
博客
乐鑫将携创新技术方案亮相嵌入式展 Embedded World 2024!
04-02 565
详解高性能 ESP32-P4,现场体验 ESP32-C5 和 ESP32-C61的 Wi-Fi 6 特性,更有丰富的私有云、Matter、HMI 和语音方案。
博客
3 月 4 日-5 月 3 日|2024 乐鑫全球开发者大会演讲征集中!
03-04 246
DevCon24 将是您展现专业知识的绝佳机会!欢迎提交您的提案,加入我们,共创科技的未来。
博客
【USB 方案研讨会回顾】|探索 USB 方案在 ESP32 系列芯片的应用
03-01 265
本研讨会聚焦于 USB 在乐鑫 ESP32 系列芯片中的创新应用。乐鑫技术专家以 USB 的标准和定义为切入点,就乐鑫 USB 外设及方案进行了详细的介绍,并展示了部分乐鑫 USB 方案 Demo 的功能与应用。如果您希望了解更多乐鑫 USB 方案的技术特点和应用领域,欢迎观看研讨会的视频回放了解详情。
博客
书籍推荐|《使用 ESP32 开发物联网项目(第二版)》
02-29 527
​随着物联网技术的迅猛发展,ESP32 因其强大的功能而备受物联网开发者的青睐。在此背景下,资深物联网专家 Vedat Ozan Oner 撰写的《使用 ESP32 开发物联网项目(第二版)》,为开发者提供了全面且深入的指南读物。
博客
线上研讨会|乐鑫 USB 方案赋能设备畅连、数据速递
02-21 918
乐鑫科技 (688018.SH) 宣布推出一系列,旨在为用户提供方便快捷的设备互连和数据传输方式。方案基于乐鑫 SoC(ESP32-S、ESP32-C、ESP32-P 系列),充分利用其标配外设之一 USB,通过支持 USB 2.0 OTG (On-The-Go) 或 USB-Serial-JTAG 接口,满足用户对主机 (Host) 和设备 (Device) 两种模式的多样需求。USB 2.0 OTG 技术使设备可以在主机和设备模式之间自由切换,实现了灵活而高效的连接方式;
博客
Arduino 推出基于乐鑫 ESP32-S3 的 STEM 教育机器人
02-01 805
Arduino Alvik 是基于乐鑫 ESP32-S3 开发,能够在 MicroPython 运行的一款功能丰富的小型机器人,适用于教育等领域。
博客
乐鑫与 Elektor 杂志合作推出特刊,聚焦 AIoT 创新
01-31 596
由乐鑫领衔编辑的 Elektor 杂志特刊已于近期出版,涵盖丰富的乐鑫项目和教程,旨在激发读者的创新灵感。
博客
Wi-Fi 6 超值畅享|乐鑫发布 ESP32-C61 SoC
01-08 1008
ESP32-C61 集成 2.4 GHz Wi-Fi 6 和 Bluetooth 5 (LE),支持 Matter,具备优化的外设、强化的连接性能和更大的存储选项,将在性能方面带来显著提升。
博客
CES 2024 倒计时|乐鑫多款 SoC 首度揭秘,丰富 AIoT 方案等你解锁!
12-29 539
乐鑫科技 (688018.SH) 将携多款全新芯片 (ESP32-P4, ESP32-H4, ESP32-C61, ESP32-C5)、乐鑫 Wi-Fi 6 技术、新一代开源 AIoT 开发套件 ESP32-S3-BOX-3、ESP RainMaker 私有云方案、全面的 Matter 互联方案、HMI 和语音方案等重磅亮相 CES 2024,为客户快速构建行业领先且富有竞争力的物联网方案提供全面、专业的支持。这也意味着乐鑫以创新的前沿半导体技术和卓越的产品性能,赢得了全球市场的认可。
博客
基于 ESP32-S3 的 Walter 开发板
12-08 382
该项目是用 KiCad EDA 创建的,同时也完全开源,方便您获取所有硬件文件。此开发板是您使用 ESP32-S3 作为主 MCU,开启 LTE-M、NB-IoT 和 GNSS 应用的绝佳选择。推出了一款基于乐鑫 ESP32-S3 且拥有 5G LTE 连接功能的新型开源开发套件。目前该开发板支持 Arduino 和 ESP-IDF,您可以尝试不同的示例,例如 HTTP、CoAP、MQTT 等。|Walter 是一款基于 ESP32-S3 且拥有 5G LTE 连接功能的新型开源开发套件。
博客
ESP Multi-Room Music 方案:支持音频实时同步播放 实现音乐互联共享
11-28 607
ESP Multi-Room Music 方案使用乐鑫自研的基于 Wi-Fi 局域网的音频同步播放技术,支持音频设备间低延时自动校准,打造影院级立体声环绕系统。
博客
乐鑫推出 ESP ZeroCode ExL 模组
11-27 184
乐鑫推出 ESP ZeroCode ExL 模组,由 AWS IoT ExpressLink 提供支持,可简化用户构建兼容 Matter 的云连接设备。为简化 Matter 设备的开发,乐鑫在年初。ESP ZeroCode 模组非常适合一些简单设备进行 Matter 连接,例如照明设备、开关、插座、百叶窗控制器以及传感器等。您可以使用 ESP ZeroCode 控制台来配置、评估和订购 ESP ZeroCode 模组。
博客
乐鑫发布 Arduino ESP32 v3.0.0
11-16 485
乐鑫宣布发布 Arduino ESP32 新版本 v3.0.0,该版本使用最新的 ESP-IDF v5.1,并新增对 ESP32-C6 和 ESP32-H2 的支持。2021 年 9 月,乐鑫发布了 Arduino ESP32 v2.0.0,开始支持 ESP32-S2 和 ESP32-C3,稍后发布的版本也增加了对 ESP32-S3 的支持。v2.0.0 版本意义非凡,对社区生态来说是一个重要的里程碑。不仅因为支持了新的 SoC,还因为项目就此迈入了新的时代。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值