i.MX系列芯片Yocto secure boot镜像签名

最新推荐文章于 2025-03-17 14:04:07 发布
最新推荐文章于 2025-03-17 14:04:07 发布
阅读量1.2k 收藏 15
点赞数 19
分类专栏: Yocto 文章标签: 数据库 笔记 linux arm开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40734815/article/details/138270832
版权

1 前言

安全引导是一种行业标准,用于确保设备引导一个受信任的原始设备制造商软件。NXP i.MX设备通过使用OEM受信任的根密钥来支持信任链(RoT)。通常,安全引导机制 (secure boot) 涉及对Bootloater和操作系统OS内核映像的签名和认证。
签名方法涉及通过分析构建日志确定需要签名的boot image部分,然后使用代码签名工具 (Code Signing Tool) 进行签名。这种方法通常是手动的,容易出错,可能导致签名/认证失败,最终可能导致引导失败。为了消除这种错误,NXP设计并提供了一种自动化方法,该方法分析输入的引导映像并使用CST进行签名。
作为NXP安全参考设计的一部分,NXP BSP发布包含了一个meta-nxp-security-reference-design/meta-secure-boot Yocto meta layer,支持i.MX引导映像签名自动化。本文主要介绍如何导入该layer并根据自己的配置实现自动化镜像签名的方法。

2 工具

2.1 Code Signing Tool

Code Signing TOOL 目前NXP提供的最新版为cst-3.4.0。该工具包含了用于生成密钥公钥的脚本,生成公钥hash和fuse的工具和进行代码签名的工具。如何使用该工具可参考博文使用CST进行secure boot。默认情况下,NXP CST签名工具使用i.MX 8/8x/8ULP/9系列设备的ECC P256-SHA256类型作为标准密钥,以及i.MX 6/7/8M系列设备的RSA 2048-SHA256类型作为标准密钥。这些密钥应该在CST的下载位置中提供。请参考CST包中的CST用户指南以生成密钥、证书、SRK表/熔丝,并获取更多信息。

2.2 NXP CST Signer

NXP创建的NXP CST Signer工具分析输入的NXP BSP映像,提取需要签名的映像的偏移量和大小,并为CST准备相应的命令序列文件CSF以进行签名。此工具作为meta layer的一部分用于支持映像签名。
NXP CST Signer工具具有以下特性:

  • 支持签名i.MX 6/7/8M系列设备的HAB和i.MX 8/8x/8ULP/9系列设备的AHAB映像。
  • 分析输入映像以签署IVT/FIT/容器格式的映像。
  • 从输入映像中提取偏移量和大小,并构造CSF。
  • CST签名器存储库中包含默认配置文件,填充了与要使用的密钥、证书和标志相关的基本信息,适用于HAB和AHAB设备。

详细可参考官方Github NXP CST Signer Tool

3 构建secure boot的Yocto配置

本节介绍根据官方手册的方法进行Yocto构建

3.1 Yocto配置

  1. 设置Yocto构建环境和配置
repo init -u https://github.com/nxp-imx/imx-manifest -b imx-linux-mickledore -m imx-6.1.55-2.2.0_security-reference-design.xml
repo sync
DISTRO=<DISTRO> MACHINE=<MACHINE> source imx-setup-release.s
最低0.47元/天 解锁文章
【转】ARM Trusted Firmware分析——镜像签名/加密/生成、解析/解密/验签
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-23 1992
生成fip.bin需要做如下工作工作: 编译certificates相关工具cert_create,生成证书。注意证书对应未加密的镜像。 如果需要加密,需要编译enctool工具encrypt_fw,用于对镜像文件进行加密,并加上加密头struct fw_enc_hdr。 fiptool工具生成fip.bin,使用cert_create生成的证书,如加密使用encrypt_fw加密后的镜像,否则使用原始镜像,加上FIP的TOC和Entry等信息。
MT6735 8.1 Secure Boot 签名
我其实什么都不会
08-10 1524
本文介绍了如何为MT6735 8.1的Secure Boot 2.0进行签名
痞子衡嵌入式:恩智浦MCU安全加密启动一站式工具nxpSecBoot用户指南
Orbita_wangtao
12-01 1643
  痞子衡嵌入式:恩智浦MCU安全加密启动一站式工具nxpSecBoot用户指南 nxpSecBoot 1 软件概览 1.1 介绍   nxpSecBoot是一个专为NXP MCU安全加密启动而设计的工具,其特性与NXP MCU里BootROM功能相对应,目前主要支持i.MXRT系列MCU芯片,与NXP官方提供的标准安全加密配套工具集(OpenSSL, CST, sdphost, blh...
痞子衡嵌入式:了解主从系统中i.MXRT系列MCU从主处理器接收App数据包超时机制
fenfenfen520a的博客
03-09 47
大家好,我是痞子衡,是正经搞技术的痞子。今天痞子衡给大家介绍的是主从系统中i.MXRT系列MCU从主处理器接收App数据包超时机制。 在痞子衡旧文 《RT四位数Boot模式》 里的 1.2.1 Serial Downloader 模式、《RT三位数Boot模式》 里的 1.2.2 Serial Bo
AVB之镜像签名及验证签名详解
楼中望月
12-23 6885
文章目录1.签名流程1.1 镜像签名1.2 镜像的内容2.验证镜像的hash和signature签名2.1 计算hash2.2 验证签名 1.签名流程 我们以一下空的dtbo.img镜像为例,进行说明 1.1 镜像签名 调用external/avb/avbtool.py脚本的add_hash_footer 函数 @build/core/Makefile # dtbo image INSTALLED_DTBOIMAGE_TARGET := $(PRODUCT_OUT)/dtbo.img $(INSTALL
java接口签名(Signature)实现方案续
aipiannian6725的博客
12-26 1283
一、前言   由于之前写过的一片文章 (java接口签名(Signature)实现方案)收获了很多好评,此次来说一下另一种简单粗暴的签名方案。相对于之前的签名方案,对body、paramenter、path variable的获取都做了简化的处理。也就是说这种方式针所有数据进行了签名,并不能指定某些数据进行签名。 二、签名规则   1、线下分配appid和appsecret,针对...
yocto怎么开发
weixin_35750483的博客
01-02 224
Yocto是一个开源项目,它提供了一个框架,帮助用户创建自己的嵌入式Linux发行版。在开发Yocto项目时,通常需要使用如下步骤: 安装必要的软件工具,包括Git、Python和OpenEmbedded-Core(OE-Core)工具链。 下载Yocto项目的源代码和元数据。元数据是描述嵌入式Linux发行版的文件,包括软件包、配置文件和系统映像文件。 创建一个新的OE-Core环境,并将...
基于 NXP iMX8MM 测试 Secure Boot 功能
toradexsh的博客
04-25 1283
f). 需要注意的是由于Kernel阶段的Secure Boot相关认证和加载都是基于U-Boot命令行来实现的, 因此如果要让这个启动机制更加安全可靠,则要让U-Boot保持在上述安全启动路径,而不能通过其他启动介质或者脚本来启动而绕开Secure Boot,比如Toradex U-Boot默认是使能Distro Boot功能的,可以自动扫描外设介质的启动脚本,那么这个功能就需要关闭掉,类似这样的U-Boot定制化和启动路径固化可以参考如下文章,本文不做具体测试。
yocto IMX8
最新发布
03-22
NXP 的 i.MX8 处理器系列因其高性能和低功耗特性而受到广泛关注,在开发基于此平台的应用程序时,通常会依赖于 Yocto 提供的支持。 #### 创建并初始化工作环境 为了配置适用于 i.MX8 的 Yocto 构建环境,需按照以下...
IM6Q yocto平台 uboot v2014.04_3.14.28_1.0.0_ga编译和调试
srf1986的专栏
10-05 3292
针对已搭建好的 IM6Q yocto平台进行uboot编译,我买的开发板是天嵌的E9开发板,不是为了做广告,主要是比较下,感觉这个开发板还比较便宜,而且发现别人写的博客,参考地址:http://blog.csdn.net/girlkoo?viewmode=contents,我的移植也是参考这个地址,我先按照这位博主移植了uboot-v2013.04_3.10.17_ga,然后,按照官方手册和之前的
学习Linux嵌入式
03-19
- Secure Boot实现 - DM-verity配置 3. **性能调优**: ```shell $ perf stat -e cycles,instructions,cache-misses ./app ``` ### 五、学习资源 1. **经典书籍**: - 《Linux设备驱动程序》 - 《构建...
【转】NXP MCU Boot Utility
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-23 710
NXP-MCUBootUtility是一个专为NXP MCU安全加密启动而设计的工具,其特性与NXP MCU里BootROM功能相对应,目前主要支持i.MXRT系列MCU芯片,与NXP官方的标准安全加密配套工具集(OpenSSL, CST, sdphost, blhost, elftosb, BD, MfgTool2)相比,NXP-MCUBootUtility是一个真正的一站式工具,一个工具包含NXP官方所有加密配套工具的功能,并且是全图形用户界面操作。
嵌入式Linux--i.MX6UL的内存映射和启动流程
似水流年
03-22 2506
文章目录一、i.MX6UL的内存映射二、i.MX6UL的启动流程1、检查CPU的ID2、检查复位状态3、检查启动方式4、加载程序镜像5、校验镜像6、跳转到镜像去执行三、ARM工作模式与内核寄存器1、ARM工作模式简介2、ARM内核寄存器(1)CPSR和SPSRM[4:0]模式位:T[5]和J[24]指令状态位:A[8]、I[7]、F[6]屏蔽位:E[9],字节顺序位:(2)APSR 一、i.MX6UL的内存映射  i.MX6UL是32位的MPU,因此它的最大内存是4GB;i.MX6UL外设寄存器以及内存被映
Yocto - 使用Yocto开发嵌入式Linux系统_09 深入了解BitBake元数据
guoqx的专栏
10-13 1032
在本书的这一部分,我们已经知道了如何生成图像和软件包,以及如何使用软件包源--基本上,这就是我们简单使用 Poky 所必须知道的一切。它们是最常用的元数据,因为它们为配方定义了变量和任务。图 8.27 中的第 1 行指示 BitBake 使用 inherit autotools.bbclass,提供了默认任务,这些任务在大多数基于 Autoconf- 或 Automake 的项目中运行良好。但是,C 的值只有在使用时才赋值,然后设置为 newValue,因为 A 的值已在第 3 行设置。
NXP i.MX8系列平台开发讲解 - 1.3 i.MX8M 官方介绍
hywelstar的嵌入式软件开发笔记
02-20 967
i.MX 8M系列应用处理器基于Arm® Cortex®-A53和Cortex-M4内核,具有先进的音频、语音和视频 处理功能,适用于从消费类家用音频到工业楼宇自动化及移动计算机等广泛应用。• 支持高品质视频,提供全4K UltraHD分辨率和HDR (Dolby Vision、HDR10和HLG)• 提供高水平的专业音频保真度,具有20多个音频通道,每个通道384KHz• DSD512音频功能• 适用于无风扇运行,散热系统成本低,电池使用寿命较长• 灵活的存储器选项。
iMX8 secure boot AHAB调试
a1028732302的专栏
06-22 742
iMX8 secure boot AHAB调试
NXP IMX系列】UBOOT 板载IO时钟移植配置
wanggeege的博客
12-07 1555
i.MX BSP Porting Guide Chapter 2 Configuring the IOMUX Controller 板载IO 配置与CCM初始化
Yocto Project开发(三):OpenEmbedded构建系统
简单IoT
05-02 6317
Poky是Yocto项目的参考发行版,它包含 OpenEmbedded构建系统((BitBake和 OpenEmbedded-Core)以及一组元数据,可帮助您开始构建自己的发行版。 Bitbake是类似Make的构建引擎,但是又有着显著的差异: BitBake根据提供的构建任务的元数据执行任务。 BitBake包括一个fetcher库,用于从各种位置获取源代码,例如本地文件,源代码控制系统或网...
Yocto项目简介:嵌入式Linux开发的强大工具
kanhao100的博客
03-17 1029
Yocto项目不是一个Linux发行版,而是一个开源协作项目,旨在为开发者提供工具和流程,用于创建定制化的嵌入式Linux发行版。它由Linux基金会主持,得到了众多硬件厂商、软件公司和开源社区的支持。# 创建自定义脚本 mkdir -p project-spec/meta-user/recipes-apps/autostart/files cat > project-spec/meta-user/recipes-apps/autostart/files/autostart.sh << EOF。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值