uboot验签kernel的实现

已于 2023-12-28 15:04:42 修改
阅读量1.1k 收藏 23
点赞数 15
分类专栏: uboot 文章标签: openwrt
于 2023-12-26 18:57:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40837318/article/details/135226196
版权

1、前言

本文介绍uboot启动linux内核时,开启对kernel的签名认证功能,防止kernel和device tree被任意修改。

2、fitimage简介

fitimage本质上是dtb类型的结构,可用于打包不同的数据到一个文件中。
我们知道uboot启动kernel时可以使用bootm命令,bootm启动fitimage可以使用如下命令:

bootm <fitimage address>

这样做也是为了方便SecureBoot的实现,方便对kernel,system.dtb,rootfs进行RSA签名和认证。

fitimage组成示意图
如何制作fitImage以及fitImage的结构的详细的介绍可以参考如下文档:
《u-boot FIT image介绍》提供了详细的结构解析,以及如何制作的命令。

fitimage格式支持存储镜像的hash值,并且在加载镜像时会校验hash值。这可以保护镜像免受破坏,但是,它并不能保护镜像不被替换。

而如果对hash值使用私钥签名,在加载镜像时使用公钥验签则可以保护镜像不被替换。

3、secure boot 基本概念和框架

  • 3.1、secure boot签名的大致流程:

    • 计算镜像的hash值
    • 利用私钥对hash值签名
    • 签名结果存在FIT Image 中。

  • 3.2、secure boot验签的大致流程:

    • 读取FIT Image
    • 获得pubkey
    • 从FIT Image 提取签名
    • 计算镜像的hash
    • 使用公钥验签获得hash值,与计算得到的hash值进行对比

签名是由mkimage工具完成的,验签由uboot完成。
在这里插入图片描述

  • 3.3、签名算法

    原则上讲,任何合适的算法都可以用来签名和验签。在uboot中,目前只支持一类算法:SHA&RSA。

    RSA 算法使用提前准备好的公钥就可以完成验签,验签相关的代码量也很少。在验签时,RSA只是在FDT中提取必要的数据进行校验。

    当然也可以在uboot中添加合适的算法,如果有其他签名算法(如DSA),可以直接替换rsa.c,并在image-sig.c中添加对应算法即可。

4、制作fitimage

  • 4.1、创建images.ids文件,如下:
/dts-v1/;
/{
   
	description = "kernel image with one or more FDT blobs";
	#address-cells = <1>;

	images {
   
		kernel_1 {
   
			description = "Linux kernel";
			data = /incbin/("./zImage");
			type = "kernel";
			arch = "arm64";
			os = "linux";
			compression = "lzma";
			load = <0x90100000>;
			entry = <0x90100000>;
			hash-1 {
   
				algo = "crc32";
			};
			hash-2 {
   
				algo = "sha1";
			};
			signature {
   
				algo = "sha1,rsa2048";
				key-name-hint = "dev";
			};
		};
		fdt_1{
   
			description = "e2000d demo board";
			data = /incbin/("./e2000-openwrt.dtb");
			type = "flat_dt";
			arch = "arm64";
			compression = "none";
			load = <0x90000000>;
			hash-1 {
   
				algo = "crc32";
			};
			hash-2 {
   
				algo = "sha1";
			};
			signature {
   
				algo = "sha1,rsa2048";
				key-name-hint = "dev";
			}</
最低0.47元/天 解锁文章
zhang-ge
关注
  • 15
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
u-boot验签kernel名生成过程
李老板的移动安全杂货铺
10-20 3257
相关背景 linux系统本身支持对kernel文件的验签功能,即通过its文件配置相关名信息,在u-boot中开启相关配置,即可实现启动过程中ubootkernel验签功能。不过需要注意的是,这种原生的实现仅支持bootm的启动方式,如果你的uboot使用booti启动kernel,则需要自行实现kernel验签。 本文简单介绍带名信息的kernel二进制文件的生成方式,以及u-boot验签功能开启的重要步骤。 工作目录的结构 ~/dev/verify-boot$ tree -
U-boot FIT名验证
最新发布
swh547的博客
04-28 798
对FIT中的镜像进行哈希处理使用私钥对哈希值进行名,生成名将生成的名存储在FIT中。
Uboot 验签linux kernel
03-06 594
uboot如何验签linux kernel
Uboot FIT验签
swh547的博客
04-23 113
【代码】Uboot FIT验签
uboot引导kernel - 3 ->uboot给内核传参详解
hzgdiyer的专栏
10-21 5407
uboot中执行theKernel函数后,kernel正式启动。如下函数,我们发现有3个参数。 1. 参数 0; 2. 参数machid; 如下code 中获取machid, gd是个全局变量. 2.1 bi_arch_number是board_info中的一个元素,含义是:开发板的机器码。所谓机器码就是uboot给这个开发板定义的一个唯一编号。 2.2 机器码的主要作用就是在uboot和...
[41]_uboot启动内核过程和最终宿命
宅学
06-19 429
       uboot找到了可支持启动的内核镜像,并不是立马去启动它。为什么不能立马去启动它呢?因为整个内核镜像并不仅仅是内核的有效信息,还有有关内核描述的相关信息,因此先找到内核镜像的启动入口才是关键,下面是详细的过程:void do_bootm_linux (cmd_tbl_t *cmdtp, int flag, int argc, char *argv[], bootm_he...
uboot如何启动内核
积跬步,以致远
10-17 1142
第一步:将内核搬移到DDR中; 第二步:校验内核格式、CRC等; 第三步:准备传参; 第四步:跳转执行内核。
uboot验证内核镜像是否有效
500
05-23 3192
校验流程这块也不算复杂,后面整理好了之后,一并上传。 下面是u-boot的实验log: zImage的校验方式zImage的第37-40个字节存放这zImage的 “魔数” 依据 : 路径 : uboot/common/cmd_bootm.c 函数 : do_bootm( ) ;#ifdef CONFIG_ZIMAGE_BOOT
secure boot(三)secure boot名和验签方案
2301_78914168的博客
06-29 1154
例如,也可以使用相同的名镜像创建一个FIT image,但是,其配置已经被改变,从而可以选择不同的镜像去加载(混合式匹配攻击)。要完成对镜像的名,就必须使用私钥。从bootrom到kernel为止的安全启动,统一使用一把RSA公钥完成安全校验,并且当前这级的RSA Key已经作为自身固件的一部分,由前一级loader完成了安全校验,从而保证了Key的安全。因此,为了解决这个问题,除了给镜像名外,我们可以把配置选项也名,每个镜像都有自己的名,在给配置选项名时,把镜像的hash值也包含进去。
ubootkernel移植手册
06-11
交叉开发环境下,移植ubootkernel到arm开发板的实验手册
RK解决linux下system分区过大名失败工具
04-10
rk平台system分区过大时,linux下 SecureBoot名会出现失败情况,附件解决
ubootkernel之间机器码和环境变量的传递.doc
03-30
ubootkernel之间机器码和环境变量的传递 在嵌入式系统中,ubootkernel之间的机器码和环境变量的传递是一个非常重要的过程。下面,我们将详细介绍ubootkernel之间机器码和环境变量的传递。 一、机器码的传递 ...
烧写uboot/kernel
11-06
本文介绍了在嵌入式系统中烧写uboot/bootloader/kernel 的一般方法,以及如果uboot或者内核出现错误, 引导失败等情况时如何重新烧写uboot/kernel.
基于zynqmp的uboot移植与kernel移植教程(非petalinux开发方式).pdf
01-15
基于 zynqmp 的 uboot 移植与 kernel 移植教程(非petalinux 开发方式),在xilinx官方github的uboot源码和kernel源码的基础上进行移植,编译,在自定义板卡上亲测可用。
在Linux运行期间升级Linux系统(Uboot+kernel+Rootfs) v1.0
05-06
介绍了如何实现在线升级linux系统,即ubootkernel,rootfs, 以及相关的前提知识和准备工作 目录 1. 正文之前 3 1.1. 此文目的 3 1.2. 一点说明 3 2. 嵌入式系统中,如何在Linux运行的时候去升级Linux系统 4 2.1. ...
使用 RSA 算法进行加解密,名和验签
简简单单Onlinezuozuo
03-17 1021
文章目录使用 RSA 算法进行加解密,名和验签1、简介2、引入依赖3、生成公私钥对4、进行名和验签5、进行加密和解密6、运行一下7、完整代码 使用 RSA 算法进行加解密,名和验签 1、简介 RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的 是一种非对称加密算法 2、引入依赖 <depe
RSA加密解密算法原理以及实现_rsa简介及源码实现(1),自学编程找工作
m0_58846287的博客
04-15 1060
从古至今,如何用最有效的加密手段保护信息的安全性使之不被窃取、篡改或者破坏都是人们在信息传播中普遍关注的重大问题。最古老的文件加密手段莫过于对称加密,什么是对称加密,打个比方,有一个商人需要给合作伙伴送一批贵重的货物,他便将货物放在一个设置好密码的箱子中,这个密码只有商人知道,同时他又将设置好的密码提前告知合作伙伴,货物送达后,合作伙伴便可以用被告知的密码打开箱子取出货物。即用一种方法加密, 用同一种方法解密, 即为对称加密。
RSA加密算法浅析
zhenqian52的博客
03-16 699
一、简介 RSA是最流行的非对称加密算法之一。也被称为公钥加密。 RSA是非对称的,也就是用来加密的密钥和用来解密的密钥不是同一个。【敌人怎么破解?】 RSA作为一种非对称的加密算法,其中很重要的一特点是当数据在网络中传输时,用来加密数据的密钥并不需要也和数据一起传送。因此,这就减少了密钥泄露的可能性。 RSA在不允许加密方解密数据时也很有用,加密的一方使用一个密钥,称为公钥,...
ubootkernel传参
04-02
在u-boot中,可以使用以下命令设置内核启动参数: ``` setenv bootargs console=ttyS0,115200 root=/dev/mmcblk0p1 rootwait rw ``` 这将设置内核启动参数为:使用串口0作为控制台,挂载mmcblk0p1作为根文件系统,等待根文件系统挂载完成后以读写模式启动。 在启动内核时,u-boot会将bootargs变量传递到内核中。内核可以通过解析此变量来获取启动参数。例如,在Linux内核中,可以使用以下函数获取启动参数: ```c extern char *command_line; static int __init setup_command_line(char *str) { command_line = str; return 0; } early_param("cmdline", setup_command_line); ``` 在这个例子中,`command_line`变量将保存传递给内核的启动参数。`setup_command_line`函数将在内核启动时被调用,将传递给内核的启动参数保存到`command_line`变量中。`early_param`宏将`setup_command_line`函数注册为早期参数处理函数,在内核启动时被调用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值