所有的image 都需要通过cert_create工具进行签名

需要被加密的通过 encrypt_fw tool 工具生成加密后的image

然后将生成的文件交给 fip tool 进行打包（明文 + 密文+ 数字证书）

其中那些文件需要被加密：plat/st/common/stm32mp_fconf_io.c中定义可以加密的二进制文件

STM32MP25为例：

plat/st/common/stm32mp_fconf_io.c中指出 允许被加密的内容

• 生成证书：cert create
• encrypt_fw 工具可以用于加密图像
• 然后通过fig 工具进行打包

步骤

使能标志位，构建TF-A BL2

• TF-A BL2 重新编译
  • 如果未处于close状态下，则要加DYN_DISABLE_AUTH = 1
  • Mbedtls 是从github下载的：https://github.com/Mbed-TLS/mbedtls 2.28.1版本
  • 可选择使能 BL31加密 和 BL32 加密

生成签名密钥和证书

生成和配置加密密钥并加密image

STM32MP13 如果生成了EDMK 则不用生成

• EDMK和BOOTROM 加密密钥相同
• OTP 92-95字段中 烧写方式可以用CubeProgrammer 或者 uboot

STM32MP25 专用FIP EDMK用于加密/解密

• FIP-EDMK

  • OTP 260-267字段中

• Nonce

加密操作

• encrypt_fw 工具
  • 加密密钥 EDMK
  • 随机数 Nonce

FIP打包 image

• fip tool 选择 加密image 即可生成 既带签名又带加密