步骤

• 生成签名和加密的密钥

  • 生成8对密钥
  • 使用其一进行签名
  • 生成公钥哈希表的哈希值
  • 加密密钥(可选)，感觉有点像对公钥再次上锁
  • KeyGen 工具

• STM32MP_KeyGen_CLI.exe -abs ./ -pwd <pw1> <pw2> <pw3> <pw4> <pw5> <pw6> <pw7> <pw8> -n 8

• 选项

  • ECC算法 256v1/256t1
  • 加密私钥的私钥加密算法 128/256
  • 二进制生成加密密钥

• 在芯片中提供公钥哈希表和加密主密钥的哈希值

  • 由于MP25 有M核和A核，所以可以选择不同核进行安全启动，默认是使用同一套密钥
  • 如果使用不同密钥则要烧录两组Key

• FSBL-A PKHTH OTP 144-151

• FSBL-A EDMK OTP 364-367

• FSBL-M PKHTH OTP 152-159

• FSBL-M EDMK OTP 360-363

• 烧录方式：

• STM32CubeProgrammer

  • 需要一个最小Boot去运行才行 VST

• Uboot

  • 用到Stm32 key命令
  • stm32key select OEM-KEY1 /(OEM-KEY2)
  • stm32key select EDMK1 /(EDMK2)

• SSP 产线方式

• 对固件进行签名和加密(可选)

• 只签名

  • STM32MP_SigningTool_CLI -bin 被签名的文件 -pubk 对应八组密钥文件 -prvk 当前使用哪个 -pwd 对当前的密钥的私钥 -t -iv 版本 -of 0x80000001 -hv 2.2 选择是否要加密 -o 输出的文件

• 签名+加密

  • STM32MP_SigningTool_CLI -bin 被签名的文件 -pubk 对应八组密钥文件 -prvk 当前使用哪个 -pwd 对当前的密钥的私钥 -t -iv 版本 -of **0x80000003 -encdc <derivconst>-enck** -hv 2.2 选择是否要加密 -o 输出的文件

• 刷写二进制文件

• 对设备进行锁定

  • OTP有lock 和非lock状态，当OTP没有lock时，值为0的位依旧可以变成1