SDX12 定制使能secboot方法

最新推荐文章于 2023-11-28 19:48:43 发布
最新推荐文章于 2023-11-28 19:48:43 发布
阅读量1.1k 收藏 21
点赞数 33
文章标签: 后端 经验分享 iot 物联网 linux 5G 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42139745/article/details/134650290
版权

SDX12 定制使能secboot方法


主要介绍SDX12平台定制秘钥使能secboot的具体操作流程和注意事项。

1. 镜像签名列表

如下表所示,表中是软件版本中的所有镜像并标出哪些镜像需要签名。

序号镜像文件是否签名
1appsboot.mbn
2cefs.mbn
3devcfg.mbn
4efs2bak.bin
5NON-HLOS.ubi
6oeminfo.bin
7partition.mbn
8partition_complete_p2K_b128K.mbn
9prog_nand_firehose_9x55.mbn
10rpm.mbn
11sbl1.mbn
12sdxnightjar-boot.img
13sdxnightjar-recovery.img
14sdxnightjar-sysfs.ubi
15sdxnightjar-usrfs.ubi
16tz.mbn

上表中需要签名的镜像中只有modem镜像文件NON-HLOS.ubi和其中的mbn是需要在打包镜像时就要进行签名。下表是modem镜像中需要签名的mbn。

序号镜像文件是否签名
1qdsp6sw.mbn
2mba.mbn
3att_mcfg_sw.mbn
43gpp_row/mcfg_sw.mbn
53gpp_row/lab_test.mbn
6china_ct/mcfg_sw.mbn
7cricket_mcfg_sw.mbn
8firstnet_mcfg_sw.mbn
9na_tmo_mcfg_sw.mbn
10verizon_cmdaless_volte_mcfg_sw.mbn

2 证书制作步骤

  1. 在代码目录sdx12-le-1-0/common/sectools/resources/data_prov_assets/Signing/Local下,新建证书存放目录,例如default。
cd sdx12-le-1-0/common/sectools/resources/data_prov_assets/Signing/Local
mkdir –p default
  1. 将用到的文件opensslroot.cfg、v3_attest.ext、v3.ext从目录sdx12-le-1-0/common/sectools/resources/data_prov_assets/ General_Assets/Signing/openssl拷贝到default目录下。
cp –rf ../../General_Assets/Signing/openssl/opensslroot.cfg default
cp –rf ../../General_Assets/Signing/openssl/ v3_attest.ext default
cp –rf ../../General_Assets/Signing/openssl/ v3.ext default
  1. 从其他证书下拷贝config.xml文件到default目录下,config.xml文件如下所示,其中attest_cert_params字段客户可定制修改。
<METACONFIG>
 <is_mrc>False</is_mrc>
 <root_pre>True</root_pre>
 <attest_ca_pre>True</attest_ca_pre>
 <attest_pre>False</attest_pre>
 <root_cert>qpsa_rootca.cer</root_cert>
 <root_private_key>qpsa_rootca.key</root_private_key>
 <attest_ca_cert>qpsa_attestca.cer</attest_ca_cert>
 <attest_ca_private_key>qpsa_attestca.key</attest_ca_private_key>
 <attest_cert_params>
 C=US
 ST=California
 L=San Diego
 O=SecTools
 CN=SecTools Test User
 </attest_cert_params>
</METACONFIG>
  1. 在default目录下利用以下命令产生证书链
openssl genrsa -out qpsa_rootca.key -3 2048
openssl req -new -key qpsa_rootca.key -x509 -out oem_rootca.crt -subj /C="US"/ST="CA"/L="SANDIEGO"/O="OEM"/OU="General OEM   rootca"/CN="OEM ROOT CA" -days 7300 -set_serial 1 -config opensslroot.cfg -sha256
openssl x509 -in oem_rootca.crt -inform PEM -out qpsa_rootca.cer -outform DER
openssl genrsa -out qpsa_attestca.key -3 2048
openssl req -new -key qpsa_attestca.key -out oem_attestca.csr -subj /C="US"/ST="CA"/L="SANDIEGO"/O="OEM"/OU="General OEM attestation CA"/CN="OEM attestation CA" -days 7300 -config opensslroot.cfg
openssl x509 -req -in oem_attestca.csr -CA oem_rootca.crt -CAkey qpsa_rootca.key -out qpsa_attestca.crt -set_serial 5 -days 7300 -extfile v3.ext
openssl x509 -in qpsa_attestca.crt -inform PEM -out oem_attestca.cer -outform DER
openssl dgst -sha256 qpsa_rootca.cer > sha256rootcert.txt

最后这个命令生成的哈希值在后面会用到。

上述命令中/C、/ST、/L、/O、/OU、/CN等字段客户可定制修改。

NOTE:生成的key要保存好,使能secure boot后,需使用同样的key值对镜像签名才能烧录。

  1. 配置哈希值,制作sec.dat
    修改目录sdx12-le-1-0/common/sectools/config/9x50下的9x50_fuseblower_USER.xml,修改内容如下。
<entry ignore="false">
            <description>contains the OEM public key hash as set by OEM</description>
            <name>root_cert_hash</name>
             <value>fd745b708f70ebf1c3e684ef429b0d39e14ceabb9f6c85c69e1c6ebe2157a6ab</value>
</entry>
注:这个值保存在步骤4提供的sha256rootcert.txt中。
        <entry ignore="true">
            <description>SHA256 signed root cert to generate root hash</description>
            <name>root_cert_file</name>
            <value>./../../resources/data_prov_assets/Signing/Local/default/qpsa_rootca.cer</value>
        </entry>
注:需修改为提供的qpsa_rootca.cer的实际路径。
        <entry ignore="false">
            <description>PK Hash is in Fuse for SEC_BOOT1 : Apps</description>
            <name>SEC_BOOT1_PK_Hash_in_Fuse</name>
            <value>true</value>
        </entry>
        <entry ignore="false">
            <description>PK Hash is in Fuse for SEC_BOOT2 : MBA</description>
            <name>SEC_BOOT2_PK_Hash_in_Fuse</name>
            <value>true</value>
        </entry>
        <entry ignore="false">
            <description>PK Hash is in Fuse for SEC_BOOT3 : MPSS</description>
            <name>SEC_BOOT3_PK_Hash_in_Fuse</name>
            <value>true</value>
        </entry>
        <entry ignore="false">
            <description>The OEM hardware ID</description>
            <name>oem_hw_id</name>
            <value>0x0000</value>
        </entry>
        <entry ignore="false">
            <description>The OEM product ID</description>
            <name>oem_product_id</name>
            <value>0x0000</value>
        </entry>
  • oem_hw_id和oem_product_id默认是0x0000,客户可根据实际情况修改。

修改目录sdx12-le-1-0/common/sectools/config/9x50下的,修改内容如下。

<selected_cert_config>default</selected_cert_config>
        <msm_part>0x001890E1</msm_part>
        <oem_id>0x0000</oem_id>
        <model_id>0x0000</model_id>
        <debug>nop</debug>

  • selected_cert_config字段需要配置为证书所在目录的目录全名。

  • msm_part的值需利用手册读出JTAG_ID的地址进而读出该寄存器的值,SX12 JTAG ID: 0X001890E1

  • oem_id和model_id的值需和9x50_fuseblower_USER.xml中保持一致

在sdx12-le-1-0/common/sectools目录下执行以下命令生成sec.dat

python sectools.py fuseblower -p 9x50 -g -d

客户可根据上述步骤定制修改生成证书和对应的sec.dat

3. 客制化秘钥证书

如果签名证书是第三方制作,需要第三方提供秘钥证书给到本地,本地在编译版本时使用第三方提供的秘钥进行签名,保证给第三方的版本镜像签名和客户保持一致,防止镜像签名不一致导致使能secboot后模组无法启动板子废弃。

第三方提供秘钥后需要编译版本与第三方进行调试验证,保证使能secboot后模块能正常启动和工作。

例如第三方提供秘钥证书如下图。
在这里插入图片描述

将第三方提供的证书文件替换到X12基线代码的sdx12-le-1-0/common/sectools/resources/data_prov_assets/Signing/Local/OEM-KEYS目录下,编译的软件版本中签名的镜像就使用的是第三方提供的秘钥。在编译完成后可查看sdx12-le-1-0/common/sectools/oem_sec_images目录下的SecImage_log.txt文件,确认该文件中无ERROR信息,搜索signature,确认所有的镜像签名都是有效的。

在这里插入图片描述
在这里插入图片描述

4 调试验证

在制作秘钥证书时会生成对应的sec.dat文件。

  1. 烧录已经签名的软件版本,保证可以开机。
  2. 使用fastboot将sec.dat下载到sec分区。
  3. 下载完成后模块正常开机,则表示签名成功。
  4. 进入fastboot 模式下用fastboot getvar secure获取返回状态。签名成功状态如下图。
    在这里插入图片描述
  5. 或者查看开机串口log中secboot使能是否OK
    在这里插入图片描述
  6. 使能secboot后验证基本功能是否OK
四儿家的小祖宗
关注
  • 33
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WM_W60X_SECBOOT功能简述_V1.2.pdf
03-12
SecBoot功能简介,官方文档
痞子衡嵌入式:恩智浦MCU安全加密启动一站式工具nxpSecBoot用户指南
Orbita_wangtao
12-01 1345
  痞子衡嵌入式:恩智浦MCU安全加密启动一站式工具nxpSecBoot用户指南 nxpSecBoot 1 软件概览 1.1 介绍   nxpSecBoot是一个专为NXP MCU安全加密启动而设计的工具,其特性与NXP MCU里BootROM功能相对应,目前主要支持i.MXRT系列MCU芯片,与NXP官方提供的标准安全加密配套工具集(OpenSSL, CST, sdphost, blh...
Secure Boot(一)MDM9x45,MDM9x50,SDX12,SDX20和SDX50M上使能Secure Boot
qq_42723832的博客
07-25 504
Secure Boot(一) 主要讲如何在实战中使能高通平台中的secure boot功能。本片文章适合不想深入了解secure boot功能,只想完成enable secure boot工作的嵌入式软件开发工程师。后续Secure Boot(二)中会讲SecureBoot原理以及使能secure boot之后的一些常见问题。
Secure Boot方案介绍及实施流程
07-17
详细阐述了手机的secure boot方案原理及实施办法
浅析安全启动(Secure Boot)附带EFUSE解析
qq_45763093的博客
06-21 9525
https://bbs.pediy.com/thread-260399.htm 所有支持 Secure Boot 的 CPU 都会有一块很小的一次性编程储存模块,我们称之为 FUSE 或者 eFUSE,因为它的工作原理跟现实中的保险丝类似:CPU 在出厂后,这块 eFUSE 空间内所有的比特都是 1,如果向一个比特烧写 0,就会彻底烧死这个比特,再也无法改变它的值,也就是再也回不去 1 了。 一般 eFUSE 的大小在 1KB 左右,OEM 从 CPU 厂家购买了芯片,组装了产品后,一般都要焼写 eFUSE
适用于高通5G IOT X55平台、高通SDX12平台的Iperf应用,调试优化数据上下行速率
12-02
高通作为全球领先的无线科技创新者,提供了多种高性能的芯片平台,如5G IoT X55平台和SDX系列,其中SDX55和SDX12是为5G网络设计的调制解调器芯片。Iperf是一款广泛使用的网络性能测试工具,它能够帮助开发者和工程师...
Xilinx SDx 2018 license 亲测可用
01-03
Xilinx SDx 2018 license 亲测可用,可以用于2018版本的SDSOC开发环境激活。
基于FPGA的SDX总线与Wishbone总线接口设计
08-08
总之,基于FPGA的SDX与Wishbone总线接口设计是解决机载信息采集系统需求的一种有效方法。通过这种接口设计,系统可以实现高效、可靠的数据管理,同时降低硬件成本。这一设计不仅体现了FPGA在定制化系统设计中的优势...
12SDX101-2 民用建筑电气设计计算及示例
09-10
12SDX101-2 民用建筑电气设计计算及示例
secure boot(二)
canyudeguang的博客
11-03 8359
0.前言     本文的目的是为了根据一个实例来讲解在QCA4020开发板上如何启用secure boot 功能。   1.通过OTP 编程工具使能secure boot     为了设置OTP保险丝,我们需要使用QCA4020 SDK中包含的OTP编程工具。 (1)编辑位于target\quartz\mfg\OTP\tools\下的配置文件otp_config.xml,如下所示: ...
高通平台整个签名NON-HLOS.bin脚本.zip
09-23
高通平台整个签名NON-HLOS.bin使用的脚本,以及command命令。
高通Secure Boot调试流程记录
热门推荐
涛声依旧的专栏
03-23 2万+
参考文档KBA-161109181347-how_to_enable_secure_boot_step_by_step.pdf。 1.新建临时目录tmp:    mkdir tmp    cd tmp 2.复制opensslroot.cfg和v3.ext到tmp目录:    cp ~/work/M1503-6.0.1-01610/LINUX/android/vendor/qcom/p
Secure Boot 应用指导
博客
04-21 1237
Trusted模式启动用于产品交付给OEM后的阶段,Non-trusted模式仅用于早期的产品开发阶段。启动模式是Trusted模式还是Non-trusted模式由Fuse设置。 Trusted模式的技术背景 Trusted模式提供给用户符合工业标准的数字签名认证技术,运用了SHA256的哈希算法, RSA或者ECDSA加密算法。 Trusted模式的镜像文件 需要加密的固件二进制文件(bin)经过打包工具release.exe,自动添加一个FIP包头,合成新的镜像文件(image)。镜像文件的FIP包头中
有关ubi文件格式的解压
andylao62的专栏
02-26 9357
http://www.at91.com/linux4sam/bin/view/Linux4SAM/SDCardBootNotice How to extract the files of pre-compiled demo (UBI, JFFS2), and copy them to SD card's ext2/4 partition? To do this, mount the ubi
浅谈高通平台NON-HLOS.bin文件生成和镜像加载过程
yxw0609131056的博客
08-27 1万+
      声明:本文只用于个人学习交流,若不慎造成侵权,请及时联系我,立即予以改正        NON-HLOS.bin文件是BP侧的一个镜像,最终被烧写到modem分区,但最近研究发现,其不仅仅包含modem镜像,它还包含ADSP镜像、Wcnss镜像、Venus镜像、Widevine镜像,还有一些安全相关的镜像。AP侧Init进程解析init.rc时,会通过kernel PIL驱动程序加载...
高通MDM平台-分区表
shawn的博客
11-08 5472
最近想要回顾下之前的一些东西,记录下一些简单但细碎的东西,本章简单从分区表入手随便写写 分区表文件在common\config\partition_nand.xml <partition> <name length="16" type="string">0:boot</name>//分区名 <size_kb length="4"...
Non-HLOS端的gpio如何在AP端使用
极创it的博客
06-03 928
Some GPIOs is designed for Non-HLOS side, but don't use them default, some customers want to use them at AP side SM8150, SM6150
【开源技术随笔】003 - 部分镜像解包命令介绍:NON-HLOS、super.img
|~~~热爱生活、努力学习的小伙汁~~~|
11-28 992
【开源技术随笔】003 - 部分镜像解包命令介绍:NON-HLOS、super.img
深度解读 | 从特斯拉内鬼事件,分析Gartner对企业信息安全建设的建议
Secboot的博客
06-28 1004
上周,特斯拉CEO伊隆·马斯克在发给全体员工的邮件中表示,特斯拉已经遭到内鬼攻击,公司的生产因此受到广泛而严重的破坏。据悉,这名员工不仅通过虚假用户名登录特斯拉的MOS制造操作系统并修改了其中的代码,而且还将大量高度敏感的数据传输给了未知的第三方。事件分析有媒体猜测,该员工的动机可能是没有得到晋升机会,也可能是受到第三方的贿赂。不管其动机是什么,从信息安全角度来讲,这都是一起典型的由内部威胁导致的...
高通sdx12:usb眼图调优
最新发布
01-22
高通SDX12是一种移动芯片平台,支持最新的USB连接技术。在使用USB连接设备时,为了达到更高的数据传输效率和稳定性,可以进行USB眼图调优。 USB眼图是通过观察USB信号的时域波形来评估数据传输的质量。当接收端正确接收到数据时,眼图的开口足够大,表示数据传输质量良好;反之,如果眼图的开口较小,可能导致数据传输错误或丢失。 要进行USB眼图调优,可以采取以下措施: 1. 保持良好的信号完整性:使用高质量的USB连接线和连接器,尽量减少信号的损耗和失真。确保信号线不过长,避免干扰和干扰。 2. 优化供电环境:提供稳定的供电电源,减少功率波动和干扰。使用优质的电源适配器或电池供电,避免共地和干扰。 3. 适当调整传输速率:根据设备和系统的性能要求,选择适当的USB传输速率。较高的传输速率可能导致数据传输质量下降,因此在保证速度的同时,需要权衡信号质量。 4. 确保正确的数据编码和解码:在设备端和主机端使用正确的数据编码和解码协议,以确保数据传输的正确性和一致性。 5. 消除干扰源:降低共地干扰和电磁干扰对USB信号的影响。确保设备和连接线远离其他电磁辐射源,如无线电设备、电源适配器等。 总之,通过技术手段优化USB眼图,可以提高USB连接的数据传输效能和稳定性,提升设备的整体性能和用户体验。高通SDX12作为一种先进的移动芯片平台,可为USB连接提供高质量的信号和传输效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

四儿家的小祖宗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值