I.MX RT1170加密启动详解(4):OTFAD XIP加密运行代码

已于 2024-03-25 13:37:28 修改
阅读量1k 收藏 4
点赞数 1
文章标签: mcu
于 2023-06-03 13:05:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tilblackout/article/details/130998207
版权

本节将介绍基于AES加密的OTFAD引擎,它可以在不影响AES-128-CTR性能的情况下实时解密数据。OTFAD包括对AES密钥展开机制的完整硬件支持,它可以解密最多4个唯一的AES上下文。每个上下文都有一个用户定义的128位的Image Encryption Key(IEK)、一个64位的计数器和1个64位的内存区域描述符(决定从哪个地址开始用IEK和计数器解密)。OTFAD key blob从image镜像中提取并被OTFAD解密,然后加载到OTFAD相应的寄存器中。

NXP提供了相关加密工具,通过AES密钥包装算法(RFC3394)将KEK(Key Encryption Key)包装为key blob。KEK可以保存在eFuse中(USER_KEY5),也可以由PUF(Physically Unclonable Function)保存。

密钥加密(key scrambling)

密钥加密是可选的特性,需要通过eFuse相关位使能,若没有使能,则KEK将被直接使用。OTFAD将输入的KEK加密,然后用于打开OTFAD key blobs。NXP工具使用KEK(128bit key)、Key sramble(32bit key)和Key sramble align(8bit key)来加密KEK

OTFAD XIP使能过程

在最终生产时,image需要由NXP工具进行签名,然后根据OTFAD上下文结构和KEK加密过后的OTFAD key blob生成加密image。其中IEKKEK都由用户定义,当打开Key scramble功能后,还需要给NXP工具提供key scramblekey scramble align两个输入。

OTFAD key blob保存在image中,它将被KEKscrambled KEK加密(基于RFC3394算法)。KEK必须写到USER_KEY5保险丝中,它是以大端格式保存的。

BootROM使能Encrypted XiP via OTFAD的条件:

  • eFuse的ENCRYPT_XIP_ENGINE (0x970[12])位被置0,表示使用OTFAD引擎
  • BOOT_CFG_1[1]为1 或 eFuse的The ENCRYPT_XIP_EN (0x940[1])为1

在这里插入图片描述
BootROM和Key Manager通过eFuse的设置来安装KEK以初始化OTFAD。OTFAD解析加密的OTFAD key blob然后根据AES上下文结构来初始化解密引擎,这样CPU和eDMA等系统设备可以获得解密后的数据。

  • PUF保存的方式参考AN13250 2.4.5/2.4.6

相关eFuse位

注意

  • 建议在生产时将eFuse中的USER_KEY5_RLOCK(if used)和OTFAD1/2_KEY_SEL_LOCK(保护OTFAD key)置位
  • eFuse的0xC70地址的0x47字使用了纠错码,所以必须同时设置所有需要的位。ENCRYPT_XIP_EN BOOT_CFG1 fuse的一部分,当它被设置的时候,所有的BOOT_CFG都必须对应设置好

在这里插入图片描述

流程总结

OTFAD可以解密包含最多4个AES上下文参数的OTFAD key blob,每个上下文都有一个用户定义的128位的IEK(Image Encryption Key)、一个64位的计数器和一个64位的内存区域描述符(从哪个地址开始用IEK和计数器解密)。OTFAD key blob会被KEK加密,KEK必须以大端格式写到USER_KEY5保险丝中。OTFAD key blob将被写入image相关字段中,然后由OTFAD解密并加载到四内存上下文编程模型寄存器中。

签名后的image还需要进行加密处理,根据OTFAD上下文结构和KEK加密的OTFAD key blob生成加密image。IEKKEK都由用户定义,如果使能了key scramble(KEK变为scramble KEK),还需提供额外的参数。

image由IEK加密,而IEK、计数器和内存区域描述符将被KEK加密为OTFAD key blob并保存在image的后面,用户需要把KEK以大端格式烧写到eFuse的USER_KEY5字段中。上电后,BootROM从eFuse中读取KEK并交给OTFAD,OTFAD解密OTFAD key blob得到IEK后便使用IEK边运行边解密image。

最后,建议使用MXUXpresso Secure Provisioning工具来实现这个加密,还可以烧录eFuse相关位,生成烧录eFuse和镜像的脚本。当然对于实际产品来说,肯定要有个BootLoader,在这种情况下,最好还是自己使用image_enc.exe来加密,如果不同固件的IEK改变的话,还需更新BootLoader中0x00~0x100处的OTFAD Key Blob。

tilblackout
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NXP i.MX RT1052实现SPI FLASH XIP【支持RT105X系列控制器_库函数驱动】.zip
05-19
NXP i.MX RT1052驱动程序,库函数驱动。 支持RT105X系列控制器编译和运行。 项目代码可顺利编译运行~
I.MX RT1170加密启动详解(1):加密Boot镜像组成
主要分享硬件、嵌入式软件部分知识
05-29 973
包含FlexSPI控制器配置的参数,BootROM中将用低频的时钟和可靠的参数对Flash进行初始化,用户可以将适合自己Flash的FlexSPI配置(主要是LUT表格)按照指定格式放在此字段,BootROM会根据这个字段的配置重新初始化Flash。在这个镜像头中,有一部分的信息是用来给程序加密启动的。本文对加密镜像头中的加密部分做了一个简单的介绍,但没有深入进行介绍,不过没关系,我们只要知道在镜像头中有一些有关加密的字段,每个字段的具体含义在后续介绍了各个不同加密方式后再回来看就会恍然大悟。
i.MX RT1170处理器系统安全
pslyunhai3255的博客
02-19 713
i.MX RT1170跨界MCU以1GHz的速度刷新了记录。该突破性系列结合了卓越的计算能力、多种媒体功能以及实时功能,易于使用。双核i.MX RT1170采用主频达1GHz的Cortex®-M7内核和主频达400MHz的Arm Cortex-M4,同时提供一流的安全保障。i.MX RT1170 MCU支持宽温度范围,适用于消费电子、工业和汽车市场。
痞子衡嵌入式:FlexSPI复位方式不当会导致i.MXRT系列下OTFAD加密启动失败
痞子衡嵌入式
03-04 531
  大家好,我是痞子衡,是正经搞技术的痞子。今天痞子衡给大家分享的是FlexSPI复位方式不当会导致i.MXRT系列下OTFAD加密启动失败问题。   本篇是《系统时钟配置不当会导致i.MXRT1xxx系列下OTFAD加密启动失败》 的后续篇,我们为i.MXRT1010解决了OTFAD时钟配置限制问题后,加密的App就一定能正常跑了吗?其实并不一定,如果你的App跟IAP有关(即会调用Flex...
加密算法的软硬件实现区别研究实例
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-23 447
先来给大家科普下DCP模块,DCP是Data Co-Processor的简称,从名字上看是个通用数据协处理器。在i.MXRT1060 Security Reference Manual中有一张系统整体安全架构简图,这个简图中标出了DCP模块的主要功能 :CRC-32算法、AES算法、Hash算法、类DMA数据搬移。看到DCP支持的功能,你就能明白其模块命名的由来了。
RT600之OTFAD
weixin_30642305的博客
11-07 513
目录 BD file解析 OTFAD key使用PUF管理 OTFAD使用master key管理 OTFAD(On the fly decryption)是针对QSPI flash的一个解密模块。板子上电后,OTFAD自动解密。 OTFAD加密使用SB命令完成,SB的操作请参见...
MXIE浏览器试用手记(转)
cuemes08808的博客
04-17 268
MXIE浏览器试用手记(转)   笔者的一个好友今天从QQ上发过来一条消息,推荐给笔者一款带有P2P功能的浏览器:MXIE,由于最近浏览器市场闹的沸沸扬扬,不时有带有新功能的新品出现,所以笔者马上打开到其官方主页, 看到了这款名...
i.MX RT1170 Secure Boot
akegui的博客
01-22 985
概述 介绍如何使用 RT1170 芯片的 High Assurance Boot (HAB) 功能实现 Secure Boot 功能。 本文包含 HAB 组件的功能介绍,以及简单使用步骤。 HAB 组件介绍(参考《IMXRT1170RM》sec 7.5&10.12) 由 Boot ROM 所提供的高可靠性引导功能 High-Assurance Boot (HAB),主要功能是在引导过程中检测并阻止非授权程序运行。 HAB 使用以下两种方式实现安全引导: 使用数字签名的方式验证程序权限。 在片外对程序
NXP i.MX RT1052实现SPI FLASH XIP【支持RT105X系列控制器_寄存器库驱动】.zip
05-17
NXP i.MX RT1052驱动程序,寄存器库驱动。 支持RT105X系列控制器编译和运行。 项目代码可顺利编译运行~
I.MXRT105X从外部SPI FLASH启动V1.2.2
07-09
\I.MXRT105X从外部SPI FLASH启动V1.2.2\FIRMWARE │ I.MXRT105x从外部SPI Flash启动v1.2.2.pdf │ system_MIMXRT1052.c │ ├─IAR linker files │ MIMXRT1052xxxxx_flexspi_code_sdram_data.icf │ MIMXRT1052...
嵌入式Linux快速启动XIP应用.pdf
09-06
嵌入式Linux快速启动XIP应用.pdf
14.3(FromXcode_12.3_beta_xip).zip
11-20
xcode真机调试文件14.3 DeviceSupport iOS 14.3 真机调试文件 位置/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport
痞子衡嵌入式:开启NXP-MCUBootUtility工具的BEE/OTFAD加密功能 - image_enc
痞子衡嵌入式
12-28 422
软件v1.x仅支持BEE加密: 为了便于大家快速验证软件BEE加密功能,特将用于BEE加密的image_enc工具上传至百度网盘,仅用作个人学习用途,违者后果自负。 -- 链接: https://pan.baidu.com/s/1fa0_HhtBktv69FnX1a2UlQ -- 提取码: v4wq 使用方法:将下载到的压缩包image_enc.zip解压后将其所有文...
痞子衡嵌入式:恩智浦MCU安全加密启动一站式工具NXP-MCUBootUtility用户指南
weixin_34117522的博客
11-30 1287
NXP MCU Boot Utility English | 中文 1 软件概览 1.1 介绍   NXP-MCUBootUtility是一个专为NXP MCU安全加密启动而设计的工具,其特性与NXP MCU里BootROM功能相对应,目前主要支持i.MXRT系列MCU芯片,与NXP官方的标准安全加密配套工具集(OpenSSL, CST, sdphost, blhost, elftosb,...
痞子衡嵌入式:MCUBootUtility v2.0来袭,i.MXRT1010哪里跑
痞子衡嵌入式
09-30 501
--   恩智浦半导体从2017年10月开始正式推出业内首款跨界处理器—i.MX RT系列,如今距离该系列第一款i.MXRT1050发布已过去近2年,i.MX RT系列在行业里应用越来越广泛,i.MX RT系列家族成员也越来越壮大。为了进一步满足不同行业的需求,恩智浦近期推出了i.MX RT系列又一款新品,主打极致性价比,LQFP80小巧封装,主频高达500MHz,售价却不到1美金,它究...
STM32H7高性能MCU系列 STM32H7A3NGH6 32-bit RISC内核
Mandy_mjd的博客
11-05 2396
STM32H7A3NGH6是基于高性能Arm Cortex-M7的32位MCU,工作频率高达400MHz。
406_智能小区管家服务系统的设计与实现-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
毕业设计+项目编程实战+基于BS架构的ASP.NET的新闻管理系统(含程序源代码+毕业设计文档)
06-02
前言……………………………………………………………………………….2 第1章 ASP简介…………………………………………………………….…..1 1.1ASP的特点………………………………………………………….1 1.2ASP的优势………………………………………………………….2 1.3 ASP与HTML……………………………………………………….3 1.4 ASP的内置对象……………………………………………………..4 1.4.1 Request对象………………………………………………….4 1.4.2 Response对象………………………………………………..4 第2章 为什么要开发一个新闻发布系统…………………………………………….6 第3章 Access数据库……………………………………………………………8 3.1 数据库概念………………………………………………………….8 3.2 Access数据库特点………………………………………………….8 3.3
prompt_toolkit-3.0.27.tar.gz
最新发布
06-02
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
C语言怎么将xip代码放到内存执行
02-01
1. 在代码中包含头文件 "xip.h"。 2. 使用以下函数从 XIP 区域中加载代码: ``` void *xip_load(const void *xip_addr, size_t size); ``` 这个函数会将 XIP 区域的代码拷贝到内存中,并返回指向内存中代码的指针。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tilblackout

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值