【esp32】secure boot (安全启动)配置

最新推荐文章于 2024-08-09 09:30:13 发布
最新推荐文章于 2024-08-09 09:30:13 发布
阅读量914 收藏 15
点赞数 21
分类专栏: ESP32 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45880295/article/details/141028993
版权

简介

Secure Boot,即安全启动,是一种确保在一个平台上运行的程序的完整性的过程或机制。它的主要作用是在固件和应用程序之间建立一种信任关系,从而保护操作系统免受恶意攻击。

工作原理

签名验证:Secure Boot使用公钥/私钥对来验证固件和应用程序的签名是否合法。在设备启动时,Secure Boot会检查固件的签名,如果签名验证失败,则固件将无法加载。
信任链建立:Secure Boot通过建立一个从启动加载程序(如BIOS或UEFI)到操作系统内核的信任链来确保整个启动过程的安全性。每个阶段的固件都必须通过签名验证才能进入下一个阶段。

esp32 配置 secure boot

  1. idf.py menuconfig 打开 secure boot 相关配置
    在这里插入图片描述

💥 测试阶段建议UART ROM download mode (UART ROM download mode (Enabled (not recommended))) 设置为 UART ROM download mode 防止造成不可逆的后果。

  1. 准备签名文件
    1. espsecure.py generate_signing_key --version 2 --scheme rsa3072 secure_boot_signing_key.pem 生成密钥文件
  2. idf.py build 编译 查看编译结果会生成加密和未加密的固件
  3. 将编译产生的 bootloader 、partition_table、 app image 烧录进设备中即可。

执行过程

  1. 编译 bootloader image 时发现 menuconfig 中使能了 secure boot,于是根据 menuconfig 中指定的公钥/秘钥文件路径将公钥编译到 bootloader image 中,bootloader 被编译成支持 secure boot
  2. 编译 partition table 和 app images 时使用秘钥计算出签名,将签名编译到相应的二进制文件中
  3. 芯片第一次 boot 时,软件 bootloader 根据以下步骤使能 secure boot:
    硬件产生一个 secure boot key,将这个 key 保存在 efuse 中,利用这个 key、一个随机数 IV 和 bootloader image 计算出 secure digest,secure digest 与随机数 IV 保存在 flash 的 0x0 地址,用于在后续 boot 时验证 bootloader image 是否被篡改,若 menuconfig 中选择了禁止 JTAG 中断和 ROM BASIC 中断,bootloader 会将 efuse 中的一些标志位设置为禁止这些中断(强烈建议禁止这些中断)bootloader 通过烧写 efuse 中的 ABS_DONE_0 永久使能 secure boot。
  4. 芯片在后面的 boot 中,ROM bootloader 发现 efuse 中的 ABS_DONE_0 被烧写,于是从 flash 的地址 0x0 读取第一次 boot 时保存的 secure digest 和随机数 IV,硬件使用 efuse 中的 secure boot key 、随机数 IV 与当前的 bootloader image 计算当前的 secure digest,若与 flash 中的 secure digest 不同,则 boot 不会继续,否则就执行软件 bootloader。
  5. 软件 bootloader 使用 bootloader image 中保存的公钥对 flash 中的 partition table 和 app images 签字进行验证,验证成功之后才会 boot 到 app 代码中。
亿码归一码
关注
  • 21
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ESP32 Secure boot 与 Flash encryption 过程前后部分问题整理
Zombie's blog
09-27 1113
此篇博客用来整理 ESP32 Secure boot 与 Flash encryption 过程前后部分问题的解决方法。 1. secure boot 后重新烧录程序发现无法正常进入 bootloader 对应 log 如下: csum err:0x9a!=0x5f ets_main.c 371 ets Jun 8 2016 00:22:57 rst:0x10 (RTCWDT_RTC_RESET),boot:0x13 (SPI_FAST_FLASH_BOOT) configsip: 0, SPIWP:0x
EFI启动管理器rEFInd
12-29
此外,rEFInd还支持Secure Boot安全启动功能,确保只有经过验证的固件和操作系统才能启动。 在日常使用中,可能遇到的问题包括启动项丢失、启动顺序错误等。这些问题通常可以通过重新扫描启动项、更新rEFInd配置...
ESP32-Secure Boot 安全方案
热门推荐
乐鑫 Espressif
02-24 1万+
Secure Boot 功能概述 方案概述 Secure Boot 的目的是保证芯片只运行用户指定的程序,芯片每次启动时都会验证从 flash 中加载的 partition table 和 app images 是否是用户指定的 Secure Boot 中采用 ECDSA 签名算法对 partition table 和 app images 进行签名和验证,ECDSA 签名算法使用公钥/...
ESP32 Secure Boot和Flash加密
一个人要像一支队伍
01-21 7514
ESP32的代码是存在外部Flash中,如果不加密,很容易被窃取代码。 ESP32secure boot和flash加密是两个功能,但是要配合一起使用,其加密效果才好。 一、初次加密。 这里只写可重复烧写的加密方式,其加密步骤如下: 1、进入menuconfig配置secure boot和flash加密。 make menuconfig 这里Secure bootloader mode选择Reflashable。配置后要与下图完全一致。 2、生成私钥,即pem文件。 pyth.
ESP32-S3 使用指定 key 来进行 secure boot 签名并进行 OTA 测试
ESP 技术分享,推动万物互联
06-08 1796
1. 生成指定 secure boot 签名 key 2. 软件开启 secure boot 配置 3. 烧录被签名的固件 4. 对新的 app.bin 使用指定 key 进行签名 5. 对已经签名的 app.bin 进行 OTA 测试
ESP32 ECO3 手动启用 Secure Boot V2 与 flash 加密流程
ESP 技术分享,推动万物互联
02-02 5387
本篇文档用来说明 ESP32(eco3) 芯片同时使能 Secure Boot V2 和 flash 加密的操作流程,其中,flash 加密使用发布模式(Release Mode),使用主机生成的密钥对数据进行加密。 文章目录1. 测试环境1. 未使能前查询 efuse2. 通过 menuconfig 配置使能2.1 将 ESP32 芯片版本设置为 revision 32.2 调整分区表偏移量2.3 安全特征配置3. 测试流程3.1 secure boot v2 秘钥生成与烧录3.2 flash 加密秘钥生
虚拟机Secure Boot安全启动
faxiang1230的专栏
05-16 9740
概述 Secure Boot 作为 UEFI 的一个选项,它可以被设置为开启或关闭。 Secure Boot 所需要的公钥证书被保存在计算机的主板的 FLASH 里面,FLASH 里面保存着 PK , KEK, db, dbx 的证书链。下面我们在虚拟机中使能Secure Boot功能,可以在虚拟机中实验,这样比较安全。 工具 以下工具是必不可少的: openssl efitools sbsigntools 在有些系统上 efitools 和 sbsigntools 无法直接获取,请从源码包编译,其中ef
ESP32 ECO V3】使用 Flash 下载工具完成 Secure Boot V2 功能
ESP 技术分享,推动万物互联
04-02 1270
【应用笔记】基于 Flash 下载工具完成 Secure Boot V2 的全部流程
[Secure boot]ESP32 -Secure Boot 安全方案
weixin_34248705的博客
06-19 881
转自:https://blog.csdn.net/espressif/article/details/79362094 Secure Boot 功能概述 方案概述 Secure Boot 的目的是保证芯片只运行用户指定的程序,芯片每次启动时都会验证从 flash 中加载的 partition table 和 app images 是否是用户指定的 Secure Boot 中采用 ECDSA 签名...
[加密]ESP32 -Secure Boot 安全方案
anxuan3201的博客
06-19 1566
转自:https://blog.csdn.net/espressif/article/details/79362094 Secure Boot 功能概述 方案概述 Secure Boot 的目的是保证芯片只运行用户指定的程序,芯片每次启动时都会验证从 flash 中加载的 partition table 和 app images 是否是用户指定的 Secure Boot 中采...
esp_manual_esp32_
10-03
7. **硬件安全特性**:集成的Trusted Execution Environment (TEE) 和Secure Boot功能,确保了代码和数据的安全性,防止未授权访问。 8. **编程环境**:支持MicroPython、C/C++、Arduino等多种编程语言,提供了便捷...
UEFI、GPT、UEFI_boot_以及UEFI_boot_WIN7&8的安装.docx
02-16
3. **更好的安全特性**:UEFI 提供了 Secure Boot安全启动)等功能,可以在操作系统加载之前验证系统固件和操作系统,防止恶意软件的加载。 #### 二、GPT 分区表概述 **GPT**(GUID Partition Table,全局唯一...
Ubuntu21.10的efi引导文件
12-09
5. **shimx64.efi**:在某些UEFI系统中,特别是那些具有Secure Boot功能的系统,需要一个名为“安全启动中间件”(Shim)的组件来绕过Secure Boot的限制。Shim允许非Microsoft签名的EFI程序(如GRUB)在Secure Boot...
grub2_uefi
10-12
- **Secure Boot**:UEFI 的安全启动特性确保只有经过认证的固件和操作系统可以加载,增加了系统安全性。 3. **GRUB2与UEFI的集成** - **EFI系统分区**:在UEFI系统上,GRUB2需要安装在EFI系统分区(ESP)中,...
深入探讨安全验证:OAuth2.0、Cookie与Session、JWT令牌、SSO与开放授权平台设计
最新发布
努力的小雨,一个阳光向上的博客不仅仅给你知识更希望带给你快乐
08-09 869
CSRF(Cross-Site Request Forgery)攻击是一种利用受害者在已经认证的状态下执行非意愿操作的攻击方式。攻击者通过诱使受害者访问恶意网站或点击恶意链接,来执行未经授权的操作,例如修改密码、进行转账等,简单来说就是,由于cookie是在浏览器共享的,所以一旦设置了cookie,那么当你打开另一个tab页的时候,也会携带过去,那么其他站点就可以使用cookie进行攻击,具体如下:比如:当你在浏览器中打开银行A的网页并成功登录后,你想要进行转账操作。
水域救援设备,保护水域安全_鼎跃安全
ShenZhenDingYue的博客
08-06 295
当然,水域安全问题不仅需要水域救援人员和设备的保障,还需要我们每个人进行水域安全知识的学习和培训,严格遵守当地的水域安全管理条例,在进行水域活动时,尽量结伴而行,保持联系。这些水域安全设备能够为我们水域活动提供保障,也可以提供水域救援的效率,降低安全风险,保障生命安全。与此同时,随着水域经济的蓬勃发展,各类水上及水下娱乐活动日益丰富多样,从刺激的冲浪、潜水到悠闲的划船、垂钓,无一不吸引着四面八方的游客纷至沓来,享受水上乐趣。绳子具有浮力,方便在水面使用,用于远距离救援,将绳子抛给落水者。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1414
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
兼顾智能安全,医疗电子与AI如何打通?
bigbit_LiLi的博客
08-07 894
虽然目前光子计数技术仍在开发的过程中,但我们有理由相信,在不久后的将来,随着技术的进一步发展和应用拓展,光子计数有望在全球范围内得到更广泛的应用,为人类健康事业的发展做出更大的贡献。安森美耕耘医疗行业已经有三十多年的历史,例如在专业助听器的产品化落地中,安森美解决方案集成了多核处理器、先进的音频处理算法、低功耗蓝牙模块和丰富外围接口的系列核心产品,能够实现卓越的音质、长电池寿命和无线连接功能,帮助助听器制造商打造出高质量、智能化的助听器产品,显著提升用户的听觉体验。未来,医疗电子控制器肯定会国产化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值