U-boot FIT签名验证

最新推荐文章于 2024-05-20 16:40:58 发布
最新推荐文章于 2024-05-20 16:40:58 发布
阅读量742 收藏 6
点赞数 37
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swh547/article/details/138287687
版权

U-boot FIT签名验证

参考

https://source.denx.de/u-boot/u-boot/-/blob/v2020.01/doc/uImage.FIT/signature.txt?ref_type=tags

简介

签名流程

  • 对FIT中的镜像进行哈希处理
  • 使用私钥对哈希值进行签名,生成签名
  • 将生成的签名存储在FIT中

验签的流程

  • 读取FIT
  • 获取公钥
  • 从FIT中提取签名
  • 对FIT中的镜像进行哈希处理
  • 使用公钥验证从FIT中提取的签名是否与哈希值匹配

FIT镜像创建流程

its和itb

its(image tree source)是创建

加密签名过程分析

环境准备

openssl安装(3.0.7)

下载源码:https://github.com/openssl/openssl/tree/openssl-3.0.7
cd 源码目录
mkdir build install
cd build
…/config --prefix=xxx/install
make
make install

mkimage安装

mkimage是uboot下面的一个工具,用来将zImage制作成uImage,制作内核启动镜像(给zImage镜像添加64字节的头信息成uImage);
mkimage的源码在"uboot/tool"目录下,在编译uboot时默认会编译出mkimage工具;
注意需要在LD_LIBRARY_PATH中添加openssl的动态库路径

创建RSA密钥及其证书

//通过openssl创建RSA2048的私钥:
openssl genpkey -algorithm RSA -out dev.key  -pkeyopt rsa_keygen_bits:2048 -pkeyopt rsa_keygen_pubexp:65537
/**

genpkey:这是OpenSSL命令行工具的一部分,用于生成新的私钥和公钥(密钥对)。

algorithm RSA:指定生成密钥对时使用的算法,这里是RSA算法。

out dev.key:指定生成的密钥的输出文件名为dev.key,生成的私钥和公钥将保存在这个文件中。

pkeyopt rsa_keygen_bits:2048:这是一个选项,指定了RSA密钥对中的模数(modulus,一般理解为密钥的长度)的位数。在此示例中,密钥长度为2048位。密钥长度越长,加密强度通常越高,但也会带来更大的计算开销。

pkeyopt rsa_keygen_pubexp:65537:这是另一个选项,指定了RSA密钥生成过程中使用的公钥指数。65537是一个常见的公钥指数选择,因为它是一个较小的质数,且适用于加密和解密的效率。

**/
//或者使用如下命令创建:
openssl genrsa -out dev.key 2048
//然后创建RSA2048私钥的X509证书:
openssl req -batch -new -x509 -key dev.key -out dev.crt
/**

req:这是 OpenSSL 命令行工具的一部分,用于处理证书签名请求(CSR)和相关操作。

batch:这是一个选项,表示在执行期间不需要用户干预。它将使命令自动化,确保不需要用户输入任何附加信息。

new:这是一个选项,表示创建一个新的证书请求(CSR)。

x509:这是一个选项,表示生成自签名的 X.509 证书。

key dev.key:这个参数指定了生成证书请求时使用的私钥文件 dev.key,该私钥将与新生成的证书相关联。

out dev.crt:这个参数指定了生成的证书文件的输出位置和名称,这里的 dev.crt 将是生成的自签名 X.509 证书的输出文件。

**/

//见dev.key的公钥提取出来并显示
openssl rsa -in keys/dev.key -pubout

uboot验签流程分析

Maxwell47
关注
  • 37
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
U-Boot源码解析龙芯版
11-10
基于龙芯2K1000LA开发板的U-boot源码解析。
添加自己的u-boot命令
04-16
初学者可以学习一下,很有用的资源,里面的讲解也很好,可以作为入门者来看的
secure boot(三)secure boot的签名验签方案
嵌入式与Linux那些事的博客
09-21 3627
FIT 格式支持存储镜像的hash值,并且在加载镜像时会校验hash值。这可以保护镜像免受破坏,但是,它并不能保护镜像不被替换。而如果对hash值使用私钥签名,在加载镜像时使用公钥验签则可以保护镜像不被替换。因此,公钥必须保存在一个绝对安全的地方。接下来的内容要求大家了解一些密码学的内容,之前也介绍过一些,可以看这篇文章secure boot (一)FIT Imagesecure boot (二)基本概念和框架计算镜像的hash值利用私钥对hash值签名签名结果存在FIT Image 中。
u-boot验签kernel的签名生成过程
李老板的移动安全杂货铺
10-20 3091
相关背景 linux系统本身支持对kernel文件的签名验签功能,即通过its文件配置相关签名信息,在u-boot中开启相关配置,即可实现启动过程中uboot对kernel的验签功能。不过需要注意的是,这种原生的实现仅支持bootm的启动方式,如果你的uboot使用booti启动kernel,则需要自行实现对kernel的签名验签。 本文简单介绍带签名信息的kernel二进制文件的生成方式,以及u-boot验签功能开启的重要步骤。 工作目录的结构 ~/dev/verify-boot$ tree -
uboot的FIT功能
qq_39525606的博客
11-03 2171
某大佬的解释,特别清晰: u-boot FIT image介绍1. 前言 Linux kernel在ARM架构中引入device tree(全称是flattened device tree,后续将会以FDT代称)的时候[1],其实怀揣了一....http://www.wowotech.net/u-boot/fit_image_overview.htmlgit上对于FIT的说明文档: doc/uImage.FIT/source_file_format.txthttps://github.com/wowot
[u-boot 2020.07] README
u012849539的博客
07-11 1735
挖坑,难填!摘要:状态:在哪里获得帮助:在哪里获取源代码:我们来自哪里:名称和拼写:版本控制:目录层次结构:软件配置:处理器架构和板类型的选择:沙盒环境(Sandbox):Board 初始化流程:1. start.S2. lowlevel_init()3. board_init_f()4. board_init_r()配置选项:ARM平台总线类型(CCI): # SPDX-License-Identifier: GPL-2.0+ # # © Copyright 2000 - 2013 # Wolfgang
使用U-Boot的mkimage制作FIT镜像或给镜像加协议头
kunkliu的博客
04-06 2850
1.环境信息:   Version Info:U-Boot 2016.092.0+g199df35 (Nov 20 2016 - 12:55:17 +0800)   ARCH:arm   CPU:Freescale LS1020 Serial   Cross Compiler: arm-linux-gnueabihf- 2.制作镜像:  FIT镜像制作示例,FIT是内核、设备树、文件系统合并成一个文件的一种镜像,并且一个FIT镜像里边可能包含了很多个内核、设备树、文件系统等; <1>.
LWN:U-Boot的最新状态!
Linux News搬运工
08-07 925
关注了就能看到更多这么棒的文章哦~A status update for U-BootBy Jake EdgeJuly 26, 2023EOSSChatGPT assisted translationhttps://lwn.net/Articles/938769/U-Boot(universal boot loader)在嵌入式 Linux 领域有广泛使用。在 2023 年嵌入式开源峰会(EOSS...
Uboot 验签linux kernel
03-06 560
uboot如何验签linux kernel
[uboot] uboot启动kernel篇(一)——Legacy-uImage & FIT-uImage
chenpuo的博客
01-13 749
转载自https://blog.csdn.net/ooonebook/article/details/53495002 一、uImage 编译kernel之后,会生成Image或者压缩过的zImage。但是这两种镜像的格式并没有办法提供给uboot的足够的信息来进行load、jump或者验证操作等等。因此,uboot提供了mkimage工具,来将kernel制作为uboot可以识别的格...
u-boot软件工具包
11-06
u-boot-1.0.0.tar.bz2~u-boot-1.3.4.tar.bz2 u-boot-2008.10.tar.bz2~u-boot-2019.10.tar.bz2 u-boot-2010.03.tar.bz2 u-boot-2020.01.tar.bz2 u-boot-2020.04.tar.bz2 u-boot-2020.07.tar.bz2 u-boot-2020.10.tar....
U-Boot集合[2015-04-27 更新]
06-01
移除更新 U-Boot 时对于 U-Boot 大小为 64KB 整数倍的检查 (用作更新 Breed 的过渡) [2015-04-18 更新] 修复 AR934X DDR1 内存上使用不稳定,容易导致不停重启的问题 修复 QCA953X 内存频率有小数,且容易导致...
U-Boot-2020.01自述文件中文翻译版.txt
02-11
从官方U-Boot-2020.01源码中的README翻译而来,部分语句综合参考了百度翻译和Google翻译的结果。并修饰了排版。
Linux知识点笔记
exercise_smile的博客
05-16 852
Linux 主要的发行版(release):Ubuntu(乌班图)、 RedHat(红帽)、 CentOS、 Debain[蝶变]、 Fedora、 SuSE、 OpenSUSE [示意图]在 linux 中的每个用户必须属于一个组, 不能独立于组外。在 linux 中每个文件 有所有者、 所在组、 其它组的概念。ls -l 中显示的内容如下:0-9 位说明:第 0 位确定文件类型(d, - , l , c , b)l 是链接, 相当于 windows 的快捷方式。
Linux “如何添加用户/组和修改用户/组”
最新发布
y2162484776的博客
05-20 366
我们首先要知道Linux中用户时必须的吗!???用户是标识计算机的资源归属的。
Linux 三十六章
一怀明月的博客
05-17 982
信号量 sem_init sem_destroy sem_wait sem_post 基于环形队列的CP问题 环形队列的生产者消费者模型 线程池 localtime时间戳转化 mkdir系统调用 bind绑定成员函数 懒汉饿汉单例模式 懒汉模式: 饿汉模式: 懒汉和饿汉相同点: 线程池源码实现
操作系统 实验13 批处理操作接口3:引用与命令替换
m0_63093530的博客
05-14 151
结果:第一个和第三个命令是错的,第二个和第四个命令是对的。echo "这是命令替换形式1...$date1"echo "$sv ++++加上另一些字符!2、输出字符串“China's panda”命令:echo China\'s panda。6、将命令date执行结果赋予变量date1。7、将命令date执行结果赋予变量date2。1、输出字符串“$Dollar”命令:echo \$Dollar。命令:date2=$(date)命令:date1=`date`
Windows、Linux添加路由
刘某的博客
05-20 177
路由添加、修改、删除的基本命令

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值