rk3568安全启动功能实践

已于 2025-05-07 09:31:05 修改
阅读量1k 收藏 19
点赞数 8
文章标签: 安全 linux
于 2025-04-30 15:49:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30896803/article/details/147632728
版权

        本文主要讲述笔者在rk3568芯片上开发安全启动功能实践的流程。其中主要参考瑞芯微官方文档《Rockchip_Developer_Guide_Secure_Boot_for_UBoot_Next_Dev_CN.pdf》。文档中描述逻辑不是很清晰而且和当前瑞芯微的sdk中安全启动的流程匹配度不高。本文就不再对瑞芯微官方文档的内容进行赘述,读者可以先查看官方文件后再阅读本文章。

        所谓的安全验证引导流程分为安全性校验与完整性校验。安全性校验是加密公钥的校验,流程为从安全存储(OTP & efuse)中读取公钥 hash,与计算的公钥 hash 对比,是否一致,然后公钥用于解密固件hash。完整性校验为校验固件的完整性,流程为从存储里加载固件,计算固件的hash与解密出来的hash对比是否一致。

1、使用什么方案?

        Linux 系统中,提供了新旧2种Secure Boot方案,FIT和AVB方案,效果是一样的,两种方案不可混用,各个芯片具体选用那种方案,请参考产品版本。

  从上面的图中可知RK356X kernel校验方式为FIT,安全分区为OTP。AVB和FIT的差异以及EFUSE和OTP的差异在瑞芯微官方文档中有详细描述这里不再赘述,只是希望读者不要使用错误的方案。在配置时设置RK_SECUREBOOT_FIT=y ,不要配置RK_SECUREBOOT_AVB=y,因为rk3568芯片不支持AVB方案。

        FIT(flattened image tree)是U-Boot⽀持的⼀种新固件类型的引导⽅案,⽀持任意多个image打包和校验。FIT使⽤its(image source file)⽂件描述image信息,最后通过mkimage⼯具⽣成itb(flattened image tree blob)镜像。its⽂件使⽤DTS的语法规则,⾮常灵活,可以直接使⽤libfdt 库和相关⼯具。同时自带一套全新的安全检验方式。

2、对uboot进行签名

2.1、生成密钥对

        在对镜像进行签名之前,需要生成秘钥对,该秘钥对用于对镜像签名使用,私钥签名,公钥验签。层层验签流程如下:bootrom对loader进行验签,验签通过则运行loader。loader再对uboot进行验签,验签通过则运行uboot。uboot再对kernel验签,验签通过则运行kernel。bootrom对loader验签时,先要判断存放在OTP区公钥的hash值(需要提前烧录hash值到OTP区,后面部分有相关内容描述)和loader中存放的公钥计算出来的hash值是否相等,相等则表明公钥没有被篡改。注意公钥是可以对外开放的,私钥千万不要泄露

        U-Boot工程下执行如下三条命令可以生成签名用的RSA密钥对。通常情况下只需要生成一次,此后都用这对密钥签名和验证固件,请妥善保管。

        第一步:放key的目录:keys

        mkdir -p keys

        第二步:使用RK的"rk_sign_tool"工具生成RSA2048的私钥privateKey.pem和publicKey.pem,分别更名存放为:keys/dev.key和keys/dev.pubkey。命令为:

        ../rkbin/tools/rk_sign_tool kk --bits 2048 --out .

        ln -s privateKey.pem keys/dev.key

        ln -s publicKey.pem keys/dev.pubkey

        第三步:使用-x509和私钥生成一个自签名证书:keys/dev.crt (效果本质等同于公钥)

        openssl req -batch -new -x509 -key keys/dev.key -out keys/dev.crt

注意:上述的"keys"、"dev.key"、"dev.crt" 、"dev.pubkey"名字都不可变。因为这些名字已经在its

文件中静态定义,如果改变则会打包失败。

        当然上面的步骤可以通过 build.sh security-createkeys命令来实现。

2.2、uboot配置

        U-Boot的defconfig打开如下配置:

        CONFIG_FIT_SIGNATURE=y

        CONFIG_SPL_FIT_SIGNATURE=y

2.3、buildroot的配置

        在瑞芯微sdk目录下执行 make menuconfig->Security feature (secureboot, encryption, verity, etc.)  来进行安全启动相关配置的配置,配置了这些内容后,编译SDK时会自动对uboot和kernel进行签名。

        如果想这些配置一开始就生效,可以在 SDK所在目录的device/rockchip/rk3566_rk3568/rockchip_rk3568_evb1_ddr4_v10_defconfig 中添加fit相关的配置(rockchip_rk3568_evb1_ddr4_v10_defconfig 是笔者当前系统使用的配置,读者需要根据自己编译SDK时选择的配置项修改对应的配置文件):

RK_UBOOT_SPL=y

RK_SECURITY=y

#

# Security check method (system-verity) needs squashfs rootfs type

#

RK_SECUREBOOT_METHOD="fit"

RK_SECUREBOOT_FIT=y

# RK_SECUREBOOT_AVB is not set

RK_SECURITY_OPTEE_STORAGE="rpmb"

RK_SECURITY_OPTEE_STORAGE_RPMB=y

# RK_SECURITY_OPTEE_STORAGE_SECURITY is not set

RK_SECURITY_CHECK_METHOD="base"

RK_SECURITY_CHECK_BASE=y

# RK_SECURITY_CHECK_SYSTEM_ENCRYPTION is not set

# RK_SECURITY_BURN_KEY is not set

3、对kernle进行签名

        在kernel内核配置文件rockchip_linux_defconfig文件中添加如下配置:

CONFIG_BLK_DEV_DM=y

CONFIG_DM_CRYPT=y

CONFIG_BLK_DEV_CRYPTOLOOP=y

CONFIG_DM_VERITY=y

        将optee设备树配置信息添加到rk3568.dtsi设备树中

optee: optee {

        compatible = "linaro,optee-tz";

        method = "smc";

        status = "okay";

};

        内核开启CONFIG_DM_VERITY=y的情况下,parameter-buildroot-fit.txt分区配置脚本中GROW_ALIGN: 1必须设置为1.具体可以查看SDK中的check-grow-align.sh 脚本,该脚本存在如下程序进行检查:

# DM_VERITY存在且非空并并且GROW_ALIGN_VAL值为1,则exit 0

if [ "$DM_VERITY" -a "$GROW_ALIGN_VAL" = "1" ]; then

        # DM verity + grow align

        exit 0

fi

        不配置的话,编译时也会报错提醒,根据提示信息修改即可。感兴趣的同学可以通读这个脚本。

4、验证

        注意,我们还没有烧录公钥的hash值到OTP区。执行SDK的全编译,将编译后的固件烧录到设备中。公钥hash是否烧写,只会影响Maskrom是否校验loader,且烧录后,无法撤销。loader验证uboot以及后续验证流程还是一致的。因此,调试阶段建议先不用burn-key-hash。

进行验证,关键打印信息如下:
Trying fit image at 0x4000 sector
## Verified-boot: 0
sha256,rsa2048:dev## Verified-boot: 0

## Checking atf-1 0x00040000 (gzip @0x00240000) ... sha256(ee9d731c06...) + sha256(b5946ac63d...) + OK
## Checking uboot 0x00a00000 (gzip @0x00c00000) ... sha256(49f841525c...) + sha256(30f02600a8...) + OK
## Checking fdt 0x00b53b50 ... sha256(f133b1d7de...) + OK
## Checking atf-2 0xfdcc1000 ... sha256(b8dca786b4...) + OK
## Checking atf-3 0x0006b000 ... sha256(2f91089eb7...) + OK
## Checking atf-4 0xfdcce000 ... sha256(86ef885748...) + OK
## Checking atf-5 0xfdcd0000 ... sha256(0b2b146c60...) + OK
## Checking atf-6 0x00069000 ... sha256(a9a1e63bef...) + OK
## Checking optee 0x08400000 (gzip @0x08600000) ... sha256(8f745f9f51...) + sha256(ac96eda7b3...) + OK
Jumping to U-Boot(0x00a00000) via ARM Trusted Firmware(0x00040000)
Total: 174.537/261.748 ms

......
## Loading kernel from FIT Image at 7925ce00 ...
   Using 'conf' configuration
optee api revision: 2.0
find partition m

最低0.47元/天 解锁文章
Amelio_Ming
关注
RK3568实战项目(三)--uboot开发
文艺小少年的博客
02-07 169
这节来讲解一下3568 SDK uboot中支持的各类功能
RK3568实战项目(五)--uboot进阶开发
文艺小少年的博客
02-09 122
本文接着来将uboot中的一些进阶功能,主要以镜像结构与安全启动为主
OpenHarmony实战:瑞芯微RK3568移植案例
m0_64420071的博客
04-08 4208
本文章是基于瑞芯微RK3568芯片的DAYU200开发板
Rockchip - uboot启动流程
最新发布
5266的博客
03-17 800
我们在项目工作中对Uboot启动流程熟悉后,会非常有帮助,例如:工作中再做一些关于secure boot、loader模式下做一些操作、启动阶段拉高电平操作外设等。
ubuntu 16.04 启用root用户方法
qijitao的专栏
01-26 4418
1、使用:sudo passwd root设置root的密码,如下图所示: 2、使用su root来测试是否可以进入root用户,如果出现#说明已经设置root用户的密码成功,如下图所示: 3、进入到/usr/share/lightdm/lightdm.conf.d/目录,使用gedit 50-unity-greeter.conf &命令打开50-unity-g
瑞芯微开发工具AndroidTools/RKDevTool使用方法记录
热门推荐
quququuquq的博客
01-17 3万+
瑞芯微开发工具使用方法记录
【android12-linux-5.1】【ST芯片】【RK3588】【LSM6DSR】HAL移植
花花的笔记
09-05 1186
RK3588主板搭载Android12操作系统,内核是Linux5.10,使用ST的六轴传感器LSM6DSR芯片。LSM6DSR是一款加速度和角速度(陀螺仪)六轴传感器,还内置了一个温度传感器。该芯片可以选择I2C,SPI通讯,还有可编程终端,可以后置摄像头等设备,功能是很强大的(感兴趣的可以去看数据手册)。该芯片原厂公开了input和iio两种驱动,我这边选用的是iio驱动。
鸿蒙OpenHarmony【标准系统编译】 (基于RK3568开发板)
m0_62167422的博客
04-24 1761
鸿蒙—作为国家主力推送的国产操作系统。部分的高校已经取消了安卓课程,从而开设鸿蒙课程;企业纷纷跟进启动了鸿蒙研发。并且鸿蒙是完全具备无与伦比的机遇和潜力的;预计到年底将有 5,000 款的应用完成原生鸿蒙开发,未来将会支持 50 万款的应用。那么这么多的应用需要开发,也就意味着需要有更多的鸿蒙人才。鸿蒙开发工程师也将会迎来爆发式的增长,学习鸿蒙势在必行!
自制RK3588板卡调试,解决启动卡死问题
anhuihbo的专栏
10-22 3151
自制RK3588板卡调试,解决启动卡死问题。使用RK SDK内核,进行裁剪后,启动正常。
[RK3568] AMP架构
l00102795的博客
07-19 5120
RT-Thread,全称是Real Time-Thread,顾名思义,它是一个嵌入式实时多线程操作系统, 基本属性之一是支持多任务,允许多个任务同时运行并不意味着处理器在同一时刻真地执行了多个任务。事实上,一个处理器核心在某一时刻只能运行一个任务,由于每次对一个任务的执行时间很短、 任务与任务之间通过任务调度器进行非常快速地切换(调度器根据优先级决定此刻该执行的任务), 给人造成多个任务在一个时刻同时运行的错觉。
RK刷机AndroidTool_Release_v2.35.zip
10-17
用于瑞芯微RK3288芯片刷机使用,可以单独备份每个模块img文件。也可以单独刷入单独模块或者完整img固件包
rk3568, can(3)-----canfd与can2.0
weixin_44767571的博客
11-19 229
2011年,开始CAN FD协议的开发,2015年ISO11898-1进行了修订,将CAN FD加入其中。BRS:表示位速率转换,该位隐性时,速率可变(即 BSR 到 CRC 使用转换速率传输),该位为显性时,以正常的 CAN-FD 总线速率传输(恒定速率);2、 如果以前的节点是 canfd 的, 现在使用 can 协议,这样是可以的。3、 canfd 的收发器于控制器, 与can 的收发器与控制器也是不一样的。1 、 如果以前的节点是 can 的,现在使用 canfd 这样是不行的。
RK3568内置MCU开发介绍之一
chenchen00000000的博客
11-30 2200
本文介绍RK3568内置的MCU的开发流程,首先介绍MCU程序的构建方法,然后介绍MCU核心与ARM CORTEX A55 AP核心之间的mailbox通信。
RK3588 RKISP Tuner工具使用
Kylan
06-12 3502
RK ISP Tuning工具环境搭建使用
RK3568上C++编程,使用ISP进行图像处理
Taylor_0522的博客
02-14 539
RK3568上进行C++编程并利用ISP(Image Signal Processor)进行图像处理时,通常需要结合Rockchip提供的Linux驱动框架和用户空间库。通过以上步骤,你可以在RK3568上实现高效的C++ ISP编程。建议从V4L2捕获开始,逐步集成ISP参数调节和硬件加速功能
RK3568开发笔记-socketCan编程
flypig has a dream!
10-24 3709
CAN是ControllerArea Network(控制器局域网)的缩写。CAN通信协议在1986年由德国电气商博世公司所开发,主要面向汽车的通信系统。现已是ISO国际标准化的串行通信协议。根据不同的距离、不同的网络,可配置不同的速度,最高速度为1MBit/s。can总线协议的内容相对来说比较多,在此不做详细介绍,本文主要介绍socket can的使用方法。
RK3568平台开发系列讲解(HAL层篇)分析HAL module架构
内核笔记
07-01 3167
Android硬件抽象层(HAL) JNI向上提供本地函数,向下加载HAL文件并调用HAL的函数。 HAL负责访问驱动程序执行硬件 实质:使用dlopen来加载动态库 hw_get_module(“led”) 1、模块名==>文件名 2、加载 一. 在Android内核源代码工程中编写硬件驱动程序。 二. 在Android系统中增加C可执行程序来访问硬...
[RK3399][Android7.1] Uboot 固件生成方式
Kris Fei's blog
12-05 6103
Uboot: v2017.02 Board: Firefly-RK3399 RK Uboot有两种类型的固件生成方式。 一种是uboot作为first level bootloader,那么uboot就只有一个bin文件,例如rk3288平台的就是RK3288UbootLoader_V2.30.10.bin 另外一种是uboot作为second level bootloader,那么ub...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值