
这是安全启动的最后一步,U-Boot启动Kernel,对应第一篇的这张图![]() 一.启动方式说明及要求 % @: U* n; @9 OU-Boot启动Kernel有很多种方法,如果要实现安全启动,那就要使用“FIT image”的这个方法(FIT = Flattened uLmage Tree),来实现在加载的同时还能完成校验的功能 FIT image是用一个树状结构来描述整个image的样子,这个image其实里面包含了很多小的image和配置信息,每个image都有hash,这样就可以加载一个小image,校验他的hash,然后再加载下一个。。。。。。这样就实现了加载的同时还能完成校验的功能 刚才说了,启动Kernel有很多种方法,因此要实现安全启动,还有一些很重要的事情要做,例如: * c8 t j6 [- A. e6 }# r+ J1 r1.关闭U-Boot的cmd和console ' W% ]$ M4 u2 J7 y" g: h+ R6 z2 N2.关闭其他启动方式,只允许以FIT的方式启动 ; x1 ?# w1 ~% ` K' Q# D...... & U4 N4 ~( ~2 \/ C& C. ^5 \2 ]9 v9 x 下图是ST给出的一些建议 # \9 l1 R# H; @ Q$ b![]() * g& |9 g/ _% h6 L 二.第一步:生成秘钥 / |9 z2 N% R) q. y: E! P( H和以前的一样,首先要生成秘钥对,使用U-Boot校验带签名的FIT使用的加密方法为RSA。在PC上使用软件生成秘钥及证书等等信息,可以使用openssl(很可惜,ST提供的KeyGEN只能提供ECC秘钥,没法使用) ![]() " {0 F) [8 O$ O; i % c4 a# a6 \ [ 三.第二步:签名固件 0 t0 J: L* v- n* T' G使用生成的PV Key对FIT image进行签名 ![]() 签名后,FIT中会增加签名信息,后续就需要使用这个签名信息说校验 0 a5 Y/ o% E$ y- V0 @ 在PC上对FIT image签名时使用的命令是mkimage,最终打包生成的带签名的FIT image如下图所示 ![]() 同时mkimage命令还可以实现把PB Key插到U-Boot的设备树中 ![]() 签名也是很灵活的 方案1:可以把所有image和hash进行一个签名,到底使用那个image由配置文件决定。(推荐用这个方案) 方案2:也可以每个image独立进行签名 四.第三步:U-Boot device tree 生成的PB Key需要加到U-Boot的device tree中 ![]() 9 p% _* h0 } `' G% [' a3 c$ E, _ 四.第四步:验证 ! C( C6 M+ U# C当我在U-Boot下要启动kernel时会有一些步骤 4.1 读取FIT中的配置文件,拿到FIT的整个结构及签名. Q2 {+ g# V7 ~0 }( R6 q! q 4.2会使用在刚才存在设备树中的PB Key对FIT中的内容做一个RSA计算(具体是打包计算还是一个一个计算,取决于你第二步中选择哪种方式),得到的结果和签名做对比,以此判定image是否被篡改。如果不一致,就不会启动kernel1 \3 h+ F1 s+ z8 V. N3 q; j0 m' k 4.3 当上一步成功后,会计算每个要使用的image的hash和FIT image中的做对比,看看每个image的hash是否正确,任一不对,kernel也不会启动 ![]() ' A3 {5 Q" y; G+ S, T+ t 五.总结 我只是简单的学习了一些安全启动的相关内容,挑了一些重点的学习了一下,其实学习的还是比较浅的,这相关内容还可以有很多可以深入学习的,wiki、文档都没有仔细看过,只是简单的学习一些皮毛 ST能专门录制一系列关于MPU安全启动的视频,我还是很感动的,相比我们看文档自学,通过视频讲述的方式,我们可以快速获取知识,ST的老师讲的也是非常好,PPT很简洁,结构清晰。 最后我还有一些小建议,关于实操部分希望后续可以出一些更详细的指导文档或者视频教程(之前学习nano edge ai时就有这样的视频),这样我们回头可以拿着板子看视频实际动手操作一下,就不会走弯路 |
《STM32MPU安全启动》学**结
《STM32MPU安全启动》学习笔记5.2如何使能Uboot校验
《STM32MPU安全启动》学习笔记5.1 UBoot 的校验
《STM32MPU安全启动》学习笔记4.2使能M安全启动功能
《STM32MPU安全启动》学习笔记4.1 STM32MP1和STM32MP2 M核启动
《STM32MPU安全启动》学习笔记3.3使能TF-A带加密的功能 13/25系列
《STM32MPU安全启动》学习笔记使能TF-A身份验证STM32MP13/15
《STM32MPU安全启动》③TF-A BL2启动U-Boot与OP-TEE
《STM32MPU安全启动》②MP15从BootRom启动FSBL(TF-A BL2)
《STM32MPU安全启动》①信任根、信任链及MP15启动流程