43. TA镜像文件的签名

OP-TEE 同时被 2 个专栏收录
48 篇文章 33 订阅
54 篇文章 71 订阅

        历经一年多时间的系统整理合补充,《手机安全和可信应用开发指南:TrustZone与OP-TEE技术详解 》一书得以出版,书中详细介绍了TEE以及系统安全中的所有内容,全书按照从硬件到软件,从用户空间到内核空间的顺序对TEE技术详细阐述,读者可从用户空间到TEE内核一步一步了解系统安全的所有内容,同时书中也提供了相关的示例代码,读者可根据自身实际需求开发TA。

为方便和及时的回复读者对书中或者TEE相关的问题的疑惑(每天必看一次),也为了大家能有一个统一的交流平台。我搭建了一个简单的论坛,网址如下:

https://www.huangtengxq.com/discuz/forum.php

关于您的疑问可在“相关技术讨论“”中发帖,我会逐一回复。也欢迎大家发帖,一起讨论TEE相关的一些有意思的feature。共同交流。同时该论坛中也会添加关于移动端虚拟化的相关技术的板块,欢迎各位共同交流学习

 

非常感谢在此期间大家的支持以及各位友人的支持和帮助!!!。 
若觉得书中内容有错误的地方,欢迎大家指出,私信或者在博文中留言联系方式亦可发邮件至:shuaifengyun@126.com,多谢各位了!!!!我会第一时间处理。书中最新的勘误会发布在《手机安全和可信应用开发指南:TrustZone与OP-TEE技术详解》 勘误一文中

  

TA镜像文件的是在OP-TEE工程编译过程中被编译生成,也可以通过单独调用AT目录下的脚本来进行编译,但是前提是OP-TEE工程被完整编译过。编译后会生成原始的TA镜像文件然后使用签名脚本对该文件进行电子签名生成.ta文件,这也就是最终的TA镜像文件。

1. TA镜像文件的编译

  编译TA镜像文件是通过对TA源代码目录中的Makefile文件执行make指令开始,该Makefile文件将会包含optee_os/ta/mk/ta_dev_kit.mk文件,在该文件中会定义各种目标依赖关系和Object,编译完需要的目标和object之后,编译器将会按照optee_os/ta/arch/arm/link.mk文件中的依赖关系链接成xxx.ta文件,其中xxx是该TA的UUID的值,在link.mk中的连接依赖关系如下:

 

$(link-script-pp): $(link-script) $(MAKEFILE_LIST)
	@$(cmd-echo-silent) '  CPP     $@'
	$(q)mkdir -p $(dir $@)
	$(q)$(CPP$(sm)) -Wp,-P,-MT,$@,-MD,$(link-script-dep) \
		$(link-script-cppflags-$(sm)) $< > $@

$(link-out-dir)/$(binary).elf: $(objs) $(libdeps) $(link-script-pp)
	@$(cmd-echo-silent) '  LD      $@'
	$(q)$(LD$(sm)) $(ldargs-$(binary).elf) -o $@

$(link-out-dir)/$(binary).dmp: $(link-out-dir)/$(binary).elf
	@$(cmd-echo-silent) '  OBJDUMP $@'
	$(q)$(OBJDUMP$(sm)) -l -x -d $< > $@

$(link-out-dir)/$(binary).stripped.elf: $(link-out-dir)/$(binary).elf
	@$(cmd-echo-silent) '  OBJCOPY $@'
	$(q)$(OBJCOPY$(sm)) --strip-unneeded $< $@

$(link-out-dir)/$(binary).ta: $(link-out-dir)/$(binary).stripped.elf \
				$(TA_SIGN_KEY)
	@echo '  SIGN    $@'
	$(q)$(SIGN) --key $(TA_SIGN_KEY) --in $< --out $@


  $(link-out-dir)/$(binary).stripped.elf目标会将TA镜像文件中的调试信息给删除然后再次使用,在原始的TA镜像文件的头部有一个ta_head的段,该段中存放的就是该TA的基本信息以及被调用到的入口地址,该段中的内容将会在加载TA进行到OP-TEE时和调用TA执行特定command的时候被使用到。存放在该段中的内容定义在optee_os/ta/arch/arm/user_ta_header.c文件中,其内容如下:

 

 

 

 

const struct ta_head ta_head __section(".ta_head") = {
	.uuid = TA_UUID,	//TA的UUID值
	.stack_size = TA_STACK_SIZE + TA_FRAMEWORK_STACK_SIZE,	//TA运行栈大小
	.flags = TA_FLAG_USER_MODE | TA_FLAGS,	//该TA运行flag表示该TA将运行在用户红箭
#ifdef __ILP32__
	/*
	 * This workaround is neded on 32-bit because it seems we can't
	 * initialize a 64-bit integer from the address of a function.
	 */
	.entry.ptr32 = { .lo = (uint32_t)__utee_entry },
#else
	.entry.ptr64 = (uint64_t)__utee_entry,	//定义该TA的入口函数 
#endif
};

 

2. 对TA镜像文件的签名

 

  生成原始的TA镜像文件之后将会对该进行文件进行签名生成最终的xxx.ta文件,该文件会被保存在REE的文件系统中。对原始TA镜像文件的签名是通过调用调用optee_os/scripts/sign.py文件使用optee_os/keys目录下的RSA2048的 私钥default_ta.pem来完成,当该TA需要被正式release的时候需要使用自有的私钥替换掉该。sign.py文件的内容如下

 

#!/usr/bin/env python
#解析输入参数的函数
def get_args():
from argparse import ArgumentParser
parser = ArgumentParser()
parser.add_argument('--key', required=True, help='Name of key file')
parser.add_argument('--in', required=True, dest='inf', \
		help='Name of in file')
parser.add_argument('--out', required=True, help='Name of out file')
return parser.parse_args()
#脚本的入口函数
def main():
	#导入各种依赖python库
from Crypto.Signature import PKCS1_v1_5
from Crypto.Hash import SHA256
from Crypto.PublicKey import RSA
import struct
#解析输入参数
args = get_args()
#打开输入的RSA key并读取该key的内容存放到key变量中
f = open(args.key, 'rb')
key = RSA.importKey(f.read())
f.close()
#打开原始的TA镜像文件并读取该文件中的内容保存到img变量中
f = open(args.inf, 'rb')
img = f.read()
f.close()
#创建爱你RSA签名结构体和sha256运算结构体
signer = PKCS1_v1_5.new(key)
h = SHA256.new()
digest_len = h.digest_size	#设定SHA256计算的输出结果长度
sig_len = len(signer.sign(h))	#设定签名长度
img_size = len(img)	#获取原始进行文件内容的长度
magic = 0x4f545348	# magic值
img_type = 0		# TA类型代号
algo = 0x70004830	# TEE_ALG_RSASSA_PKCS1_V1_5_SHA256(TA中验签对应的算法ID)
#将magic, img_type, img_size, algo, digese等信息按照一定的格式转成后存放在shdr变量中
shdr = struct.pack('<IIIIHH', \
		magic, img_type, img_size, algo, digest_len, sig_len)
	#将shdr变量和TA原始镜像文件的内容填充到SH256结构体数据区域中
h.update(shdr)
h.update(img)
#对h的摘要使用输入的私钥做RSA2048签名生成signature
sig = signer.sign(h)
#并将shdr, shdr+img的SHA结果,signature,原始TA镜像文件内容写入到输出文件
f = open(args.out, 'wb')
f.write(shdr)
f.write(h.digest())
f.write(sig)
f.write(img)
f.close()
if __name__ == "__main__":
main()

签名完成之后TA镜像文件中的内容示意图如下:

签名后的TA镜像文件在被加载到OP-TEE的内存中之前OP-TEE会使用signature对该镜像文件进行合法性检查,而TA中的ta_head段中的内容将会在open session操作的时候被使用到,主要告知系统如何调用到TA中的open session, invoke command, closesession等操作

 

 

 

  • 1
    点赞
  • 4
    评论
  • 2
    收藏
  • 打赏
    打赏
  • 扫一扫,分享海报

©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页

打赏作者

漂流的猴子

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值