2024.11.22 学习打卡

2024-11-23 打卡

2024-11-24 打卡

学习

2.2.1 MP13x SecureBootROM原理

C/F系列才有安全启动

BootROM->FSBL

Device Life Cycle

OPEN state

• 此状态即使验证失败也会进入下一步

CLOSED state

• 身份验证是强制性的

RMA state

• 此时ROM的代码都被禁用

和15x的区别

• 可以自带签名的同时还带加密
• FSBL身份验证密钥可以使用多达8个签名

在13x的ROM加密加速器

• ROM代码使用HASH、PKA、CRYP和SAES加密加速器
• HASH执行SHA256
• PKA执行ECDSA签名
• CRYP或SAES 用于FSBL的AES解密

校验过程

加载的头TF-A 包含了加解密的信息（签名的公钥版本等信息），boot会读取头验证ECDSA 公钥，如果被加密了也会使用头中的解密方式进行处理

上位机操作

生成密钥对

可以一次性生成8组密钥，也就是8组 公钥私钥，然后生成哈希表TKHTH文件，需要写入芯片中的OTP 24-31字段中

OTP

如果需要加密，EDMK需要存在 OTP的92-95中

生成头信息

选择其中一种密钥进行处理，生成Image,BootRom会先验证公钥合法性，然后进行Image签名的验证，然后再进行解密的操作，而且也有版本防回滚的机制

八组密钥

如果其中一个密钥泄露，则使用高索引的密钥，旧的密钥则被吊销

今日学习

2024.11.24 学习打卡

MP1和MP2安全启动

生成用于身份验证和加密的密钥

• KeyGen 工具

  • 生成8个密钥对
  • 以及对应的哈希表 需要烧写到OTP中

• KeyGen 工具参数

  • 可以指定对应的算法

• 同时也可以通过交互方式进行生成文件

在芯片中烧录公钥哈希表和加密的哈希表

• 公钥哈希 存储在 OTP 24-31中

• EDMK 存在 OTP 92-95中

• 烧录方式：

  • STM32CubeProgrammer

• 事先烧录TSV FlashLayout,然后使用工具进行烧录

• u-boot

• 将PKHTH 的哈希表放在STM32MP13x 头中

  • 将哈希文件 .bin 放在 bootfs分区中
  • 启动板子并在U boot 停止 选择 PKHTH
  • 在DDR加载公钥哈希文件 读取并验证内容，然后写入OTP

• EDMK同理

• 安全密钥配置

通过对加载的固件进行签名和加密

• Image

  • 可以只签名

• 使用 STM32MP_SigningTool_CLI 命令

• -of 0x80000001

• 或者 签名+加密

• -of 0x80000003

• 头将会更新相关内容

在引导设备上刷写二进制文件

进入安全锁定状态

通过bootROM 强制执行FSBL的安全引导检查

OTP_CFG0[3] = 1 和 OTP_CFG0[5] = 1

2024-11-25 打卡

2024.11.25 学习打卡