ESP32的flash加密过程及实现

最新推荐文章于 2024-08-07 12:03:09 发布
最新推荐文章于 2024-08-07 12:03:09 发布
阅读量7.9k 收藏 35
点赞数 4
分类专栏: 安信可模组 esp32 文章标签: stm32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1140920745/article/details/120009705
版权
本文详细介绍了ESP32的Flash加密过程,包括开发模式和生产模式的加密方法,强调了加密的一次性性质以及加密后的固件烧录变化。在开发模式下,加密可以通过ESP32随机生成的密钥或自定义密钥进行,并通过idf.py脚本配置和烧录。生产模式加密则更为严格,一旦加密,只能通过OTA更新程序。
摘要由CSDN通过智能技术生成

文章目录

前言

       一个项目完成之后,为了防止二次烧录或固件盗版,通常会进行程序加密,就好像STM32的flash写都保护、唯一ID程序加密类似。
       乐鑫给我们提供了flash加密的方案,flash 加密功能用于加密与 ESP32 搭载使用的片外 flash 中的内容。启用 flash 加密功能后,固件会以明文形式烧录,然后在首次启动时将数据进行加密。因此,物理读取 flash 将无法恢复大部分 flash 内容。

一、注意

       请熟读这篇文章再尝试去做加密实验,因为加密是一次性的,可能会导致因为加密使模组变 “软砖”,加密执行之后,将无法使用 flash_download_tool 工具进行固件烧录,你会得到这样的提示:
 
在这里插入图片描述

二、flash加密过程

假设 eFuse 值处于默认状态,且固件的引导加载程序编译为支持 flash 加密,则 flash 加密的具体过程如下:

  • 第一次开机复位时,flash 中的所有数据都是未加密的(明文)。ROM 引导加载程序加载固件引导加载程序。

  • 固件的引导加载程序将读取 FLASH_CRYPT_CNT eFuse 值(0b0000000)。因为该值为 0(偶数位),固件的引导加载程序将配置并启用 flash 加密块,同时将 FLASH_CRYPT_CONFIG eFuse 的值编程为 0xF。

  • 固件的引导加载程序使用 RNG(随机数生成)模块生成 AES-256 位密钥,然后将其写入 flash_encryption eFuse 中。由于 flash_encryption eFuse 已设置编写和读取保护位,将无法通过软件访问密钥。Flash 加密操作完全在硬件中完成,无法通过软件访问密钥。

  • Flash 加密块将加密 flash 的内容(固件的引导加载程序、应用程序、以及标有“加密”标志的分区)。就地加密可能会耗些时间(对于大分区最多需要一分钟)。

  • 固件引导加载程序将在 FLASH_CRYPT_CNT (0b0000001) 中设置第一个可用位来对已加密的 flash 内容进行标记。设置奇数个比特位。

  • 对于 开发模式,固件引导加载程序仅设置 DISABLE_DL_DECRYPTDISABLE_DL_CACHE 的 eFuse 位,以便 UART 引导加载程序重新烧录加密的二进制文件。此外, FLASH_CRYPT_CNT 的 eFuse 位不受写入保护。

  • 对于 发布模式,固件引导加载程序设置 DISABLE_DL_ENCRYPTDISABLE_DL_DECRYPTDISABLE_DL_CACHE 的 eFuse 位为 1,以防止 UART 引导加载程序解密 flash 内容。它还写保护 FLASH_CRYPT_CNT eFuse 位。要修改此行为,请参阅 启用 UART 引导加载程序加密/解密。

  • 重新启动设备以开始执行加密镜像。固件引导加载程序调用 flash 解密块来解密 flash 内容,然后将解密的内容加载到 IRAM 中。
           简而言之就是:加密的程序启动之后,首先会由程序引导进行加密。加密需要时间,加密成功之后,会把FLASH_CRYPT_CNT位从0x0变为1或0xf,最后才开始执行用户程序。

三、加密模式

       Flash加密分两种模式,一个是开发模式、另一个则是生产模式。

3.1 开发模式加密

       既然是加密,那肯定需要密钥,乐鑫也给我们提供了两种密钥的加密或生成方法:

3.1.1 使用ESP32生成的密钥加密

       使用这个加密方法的话,密钥是唯一的,而且不可见。密钥不会被保存到系统文件当中,只会随机生成并烧录到efuse分区。
注意:
       在做加密实验之前,且确保模组没有做任何的加密,加密状态的查询指令为,(PORT为串口的端口号):

espefuse.py -p PORT summary

在这里插入图片描述
       本文将以hello_world例程作为例子进行加密,在hello_world目录下运行:

idf.py menuconfig

执行以下操作:

  • 启动时使能 flash 加密
  • 选择发布模式 (注意一旦选择了发布模式,DISABLE_DL_ENCRYPTDISABLE_DL_DECRYPT eFuse 位将被编程为在 ROM 下载模式下禁用 flash 加密硬件)
  • 选择 UART ROM 下载模式(推荐永久性禁用) (注意该选项仅在 CONFIG_ESP32_REV_MIN 级别设置为 3 时 (ESP32 V3) 可用。)默认选项是保持启用 UART ROM 下载模式,然而建议永久禁用该模式,以减少攻击者可用的选项。
  • 选择适当详细程度的引导加载程序日志
  • 保存配置并退出
    在这里插入图片描述
    然后直接运行:
idf.py flash monitor

加密成功截图:
在这里插入图片描述
然后我们可以看一下:FLASH_CRYPT_CNT
在这里插入图片描述
可以看到,FLASH_CRYPT_CNT的值被置为 1;就表示已经成功加密。

3.1.2 使用自主生成的密钥进行加密

       使用自主生成的密钥其实就是多了烧录密钥这一步,密钥的生成指令:

espsecure.py generate_flash_encryption_key my_flash_encryption_key.bin

我建议把密钥保存到单独的文件当中,防止误删。生成密钥之后,使用以下指令烧录密钥:

espefuse.py --port PORT burn_key flash_encryption my_flash_encryption_key.bin

下一步,就可以根据3.1.1中的配置烧录

3.2 生产模式加密

       使用开发模式,依旧是可以使用idf.py脚本进行烧录,只不过有次数限制,但是可以关闭加密:

espefuse.py burn_efuse FLASH_CRYPT_CNT

但是生产模式的加密烧录是没有重复烧录机会的,通常在量产时才会用,因为这是一次性的,烧录之后只能通过OTA来进行程序升级。它的配置如下:
在这里插入图片描述
直接使用:

idf.py flash monitor

为此,博主的模组就成了“软砖”:
在这里插入图片描述

更多信息请转跳:

https://docs.espressif.com/projects/esp-idf/zh_CN/latest/esp32/security/flash-encryption.html#flash-encryption-status
欢迎关注:安信可科技

小小河神纠结多
关注
专栏目录
ESP32 官方文档(八)Flash 加密
InfiniteYuan
09-02 6859
Flash 加密 Flash 加密功能用于加密 ESP32 连接的 SPI Flash 的内容。 启用 Flash 加密后,SPI Flash 的物理读取不足以恢复大多数 Flash 内容。 Flash 加密与安全启动功能分开,您可以使用 Flash 加密而无需启用安全启动。 但是,我们建议将这两种功能一起用于安全的环境。 在没有安全启动的情况下,需要执行其他配置以确保 Flash 加密的有...
ESP32 Secure Boot和Flash加密
一个人要像一支队伍
01-21 7732
ESP32的代码是存在外部Flash中,如果不加密,很容易被窃取代码。 ESP32的secure boot和flash加密是两个功能,但是要配合一起使用,其加密效果才好。 一、初次加密。 这里只写可重复烧写的加密方式,其加密步骤如下: 1、进入menuconfig配置secure boot和flash加密。 make menuconfig 这里Secure bootloader mode选择Reflashable。配置后要与下图完全一致。 2、生成私钥,即pem文件。 pyth.
基于 ESP32-C3 开启 Flash 加密和安全启动并进行 OTA 测试
最新发布
dzqxwzoe的博客
08-07 805
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
乐鑫科技推出基于 ESP32-C3 的 Wi-Fi 单火线智能开关方案
乐鑫 Espressif
11-11 5515
伴随着物联网的蓬勃发展,智能家居成为备受瞩目的新兴领域,越来越多智能产品进入消费市场并受到了广大用户的青睐,用于控制设备状态的传统机械开关也面临智能化升级。乐鑫科技推出基于 ESP32-C3 的 Wi-Fi 单火线智能开关方案。用户无需改线、无需配置网关,即可将传统机械单火线开关升级为智能单火线开关,构建功耗低、Wi-Fi 性能卓越、安全可靠的智能开关。 赋能传统开关快速实现智能升级 目前,市场上的智能开关大多是零火线开关,而大部分家庭装修中的开关布线却只有一条火线。如果要将传统机械开关替换为智能开关,
ESP32S3】使用 Flash 下载工具完成 Flash 加密功能
ESP 技术分享,推动万物互联
04-29 1114
【应用笔记】基于 ESP32-S3 使用 Flash 下载工具完成 Flash 加密的全部流程
esp32 flash加密介绍
weixin_42942530的博客
01-13 4792
flash 加密指南 ##esp32安全介绍 esp32有两个重要的功能,安全启动(secure boot) flash加密flash encryption) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qC9IU09r-1578903983262)(https://miro.medium.com/max/651/1*V21pBvviI9wthV__3cm6Pg...
esp32学习之路6——flash加密
weixin_48213877的博客
06-19 4209
在esp-idf中复制出(/esp/esp-idf/examples/security/flash_encryption)demo文件,详细加密描述参考乐鑫文档Flash加密在开发过程中,可使用 ESP32 内部生成的密钥或外部主机生成的密钥进行 flash 加密。 在开发模式下不会阻止修改和读取加密flash 内容。在做加密实验之前,且确保模组没有做任何的加密,要检查您ESP32 设备上是否启用了 flash 加密,请执行以下操作之一: (1)将应用示例 security/flash_encrypti
ESP32-S3 V5.0.2 flash 手动生成密钥加密 _By星年(已验证)
qq_18070087的博客
06-16 835
(4)加密镜像并烧录(根据idf.py build编译后信息,修改文件路径、文件名、烧录地址及生成文件名)环境 ESP32-S3 ESP_IDF V5.0.2 手动生成密钥加密。三、关闭加密和解密已加密镜像(关闭解密只有1次机会)(3)烧录密钥到设备(修改端口号)(只能烧录一次)(1)AES-128(256 位密钥)(2)AES-256(512 位密钥)(2)工程加密配置及串口配置安全模式。1.查看是否加密:(修改端口号)(5)烧录加密bin。
esp32 micropython 加密_ESP32 MicroPython教程:使用SHA-256
weixin_39541693的博客
12-03 663
本micropython 教程的目的是解释如何在esp32上使用 sha-256 算法与 micropython 一起使用该模块。介绍本 micropython 教程的目的是解释如何在esp32上使用 SHA-256 算法与 micropython 一起使用该模块。我们将使用一个来自 hashlib的模块(https://github.com/micropython/micropython-lib...
esp32 flash加密过程
07-15
ESP32Flash加密过程如下: 1. 首先,使用ESP-IDF工具链编译项目,并生成可执行文件或固件。 2. 在生成的可执行文件或固件上,使用ESP-IDF提供的工具 esptool.py 进行分区表的生成和烧录。分区表是一个描述Flash...
目前比较不错的flash加密工具
04-17
目前比较不错的flash加密工具,能输出为swf与exe的格式,而且可以进行压缩
ESP32 仿STM32原子哥程序处理外部Flash
01-10
仿STM32 访问外部SPI Flash程序,在ESP32中使用外部SPI Flash。 只有.c文件,懂得就够了。后面还有其他版本
esp32-1.0.3.zip
12-25
ESP32芯片内置双核32位Tensilica LX6微处理器,主频高达240MHz,具有高达4MB的SPI Flash和520KB的SRAM。其硬件加速器支持加密、哈希运算、JPEG编码/解码以及硬件I/O操作,能有效提高处理效率。 2. ESP32 SDK与开发...
ESP32S3 datasheet 中文版
12-08
ESP32-S3 是一款低功耗的 MCU 系统级芯片 (SoC),支持 2.4 GHz Wi-Fi 和低功耗蓝牙 (Bluetooth LE) 双模无线通信。芯片集成了高性能的 Xtensa 32 位 LX7 双核处理器、超低功耗协处理器、Wi-Fi 基带、蓝牙基带、RF ...
esp32 flash加密流程
05-24
ESP32Flash加密流程如下: 1. 生成密钥:使用AES-256算法生成一个256位的密钥(Key),这个密钥用于加密和解密Flash存储区中的数据。 2. 加密Flash存储区:将需要加密Flash存储区(比如bootloader、firmware等...
GITHUB上的一些DevSecOps
qq_44005305的博客
01-31 212
最近一直在完善自己的扫描器和攻击链,所以也一直在GITHUB上看自动化的一些知识,脑壳痛看起来比较优秀的如下,本人只推荐哈DefectDojoDefectDojo 是一个安全编排和平台。DefectDojo 允许您管理您的应用程序安全程序,维护 产品和应用信息、分类漏洞和 将结果推送到 JIRA 和 Slack 等系统。DefectDojo 丰富并 使用许多启发式算法来优化漏洞数据,这些算法 随着您使用该平台的次数越多越好。github;搭建好的运行截图如下。
如何对 ESP32 设备的明文固件使用固定秘钥进行手动加密
ESP 技术分享,推动万物互联
06-10 4731
ESP32 量产加密烧录固件流程
HTTPS和SSL/TL加密ESP32/ESP8266介绍
ICMRCHIP的博客
02-22 2664
在本教程中,我们将了解通常称为 HTTPS 的安全超文本传输协议,以及使用 ESP32 和 ESP8266 开发板的 SSL/TLS 加密。本指南包括对 HTTPS 和 SSL/TLS 加密的描述、使用它的原因、SSL/TLS 加密的工作原理、使用 HTTPS 通过网络通信以及最终使用 ESP32/ESP8266 开发板生成 HTTPS 请求。让我们开始吧!
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值