Jetson Secure Boot 完整解析:PKC、SBK、签名流程与熔丝机制

原创 于 2025-12-09 16:29:58 发布 · 643 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #redis #数据库

2025博客之星年度评选已开启 6.4w人浏览 138人参与

📺 B站视频讲解(Bilibili)https://www.bilibili.com/video/BV1k1C9BYEAB/

📘 《Yocto项目实战教程》京东购买链接Yocto项目实战教程

Jetson Secure Boot 完整解析:PKC、SBK、签名流程与熔丝机制

安全启动(Secure Boot)是现代嵌入式设备构建可信计算环境的核心基础。在 NVIDIA Jetson 平台上,Secure Boot 通过 BootROM、熔丝(Fuses)、公私钥体系(PKC / RSA)、对称密钥加密(SBK / AES)以及分级启动链验证机制构建了一条完整、不可伪造的“可信启动链(Chain of Trust)”。该机制确保设备从上电开始到操作系统 Kernel 启动的全过程中,每一层执行的代码都是经过授权、未被篡改的,从而极大提升系统安全性,防止固件替换、恶意篡改、供应链攻击、OTA 伪造等一系列真实威胁。

本文将完整讲解 Jetson Secure Boot 的核心概念、关键组件、密钥体系、签名与加密流程、熔丝写入机制以及 flash.sh 的安全刷写方式,并结合官方文档对整体体系结构进行系统总结,帮助读者全面理解 Secure Boot 的原理与实际使用方法。本章节结构如下:

在这里插入图片描述

一、Secure Boot 的基本概念与价值

Secure Boot 是一种基于硬件的可信启动机制。其核心目标是:确保自设备上电开始,到最终系统启动完成,整个启动链执行的所有二进制代码均是可信来源、未被篡改、未经替换的授权镜像。

Jetson Secure Boot 的可信根来自两部分:

  1. 硬件 Root of Trust(RoT):写死在 SoC 中、不可修改的 BootROM。
  2. 安全熔丝(Fuses):存储公钥哈希(PKC)、SBK 密钥和其他配置的不能逆向更改的硬件区域。

Secure Boot 价值体现在以下方面:

  • 防止 Bootloader 或 Kernel 被替换为恶意固件。
  • 防止 RootFS、DTB 等被篡改。
  • 确保 OTA 升级包来源可靠。
  • 保护商业知识产权(避免 Bootloader / Kernel 被逆向分析)。
  • 确保 OP-TEE 等安全环境真正基于可信根执行。

在 AI 相关设备(如 Jetson)中,Secure Boot 更具有关键意义,因为攻击者不仅可以替换系统核心组件,还可能篡改 AI 模型文件(engine、onnx)、替换推理逻辑、操控 camera 输入,导致 AI 误判或受控。因此 Secure Boot 是所有量产级 Edge AI 产品的必要防线。

二、Jetson Secure Boot 的整体架构

Jetson Secure Boot 依赖一条严格的启动验证链(Chain of Trust),其结构如下:

  1. BootROM(硬件可信根)

    • 验证 MB1(第一阶段 Bootloader)的签名。

  2. MB1 → MB2

    • MB1 验证 MB2 签名。

  3. MB2 → UEFI(Jetson 使用 UEFI 而非 U-Boot)

    • MB2 验证 UEFI 签名。

  4. UEFI → Kernel / DTB

    • 验证内核镜像、设备树文件。

  5. Kernel → RootFS(可选,如 dm-verity)

    • 验证 RootFS 完整性。

上述流程确保了:每一个阶段只能启动由上一个阶段授权的下一阶段代码。一旦签名验证不通过,系统将进入安全停机模式,拒绝继续启动。

三、PKC 与 SBK:Jetson Secure Boot 的两大核心机制

Jetson Secure Boot 主要涉及两种密钥体系:

1. PKC(Public Key Cryptography)——镜像签名与验证机制

PKC 是 Jetson Secure Boot 的核心,它负责保证启动链中的各个镜像(MB1 / MB2 / UEFI / Kernel / DTB)均来自授权的 OEM。其流程如下:

  1. OEM 生成 RSA 公私钥对。
  2. BootROM 内部的 PKC 引擎使用熔丝中的公钥哈希验证 MB1 镜像。
  3. MB1 再验证 MB2,MB2 验证 UEFI,UEFI 验证 Kernel。

如果任意镜像未经签名、签名无效、被修改,系统将停止启动,确保镜像无法被恶意替换。

PKC 保障的是:

  • 镜像完整性(未被篡改)
  • 镜像来源真实性(来自 OEM)

2. SBK(Secure Boot Key)——镜像对称加密机制

SBK 是一个 128-bit AES 对称加密密钥,用来对部分敏感启动组件(如 Bootloader 二进制)进行加密,防止被逆向分析。SBK 不负责验证来源,而负责加密防护

  • 防止 Bootloader 被 dump 和逆向。
  • 防止攻击者修改密文镜像后重新打包。

在实际 Secure Boot 部署中,PKC 是必须启用的核心功能,SBK 是可选但强烈建议启用的额外防护。

四、Jetson Secure Boot 的前置准备流程

要在 Jetson 上启用 Secure Boot,需要按以下顺序准备工具、密钥与配置:

  1. 安装 NVIDIA Secure Boot 软件包
  2. 生成 RSA 密钥对(用于 PKC)
  3. 准备 SBK(128-bit AES 密钥)
  4. 准备 KEK 密钥(用于 UEFI 的签名管理)
  5. 生成 Fuse 配置文件(熔丝写入配置)
  6. 使用 odmfuse.sh 根据 Fuse 文件烧录熔丝(不可逆)
  7. 使用 flash.sh 搭配 -u -v 选项刷写安全镜像

下面将逐项展开说明。

五、步骤一:安装 Secure Boot 软件包

Jetson 的安全启动工具集包含在 NVIDIA 发布的 L4T(Linux for Tegra)工具链中,通常位于:

Linux_for_Tegra/bootloader/

该目录包含:

  • 镜像签名脚本
  • 熔丝配置模板
  • SBK、PKC 相关工具
  • odmfuse.sh(熔丝写入工具)
  • flash.sh(刷写工具)

安装 Secure Boot 包后即可使用所有安全相关的脚本与工具。

六、步骤二:生成 RSA PKC 密钥对

PKC 使用 RSA-2048 或 RSA-3072。生成 RSA 密钥:

openssl genrsa -out rsa_priv.pem 2048
openssl rsa -in rsa_priv.pem -pubout -out rsa_pub.pem

随后需通过 NVIDIA 工具生成公钥哈希,并写入 Fuse 配置文件。BootROM 在启动时会将 MB1 的签名与熔丝中的公钥哈希比对。

七、步骤三:准备 SBK 密钥

SBK 是 128-bit AES 对称密钥,格式如下:

0123456789ABCDEFFEDCBA9876543210

SBK 用于对 Bootloader 镜像进行加密。SBK 同样会加入 Fuse 配置文件,在 odmfuse.sh 烧录时写入安全熔丝区。

八、步骤四:准备 KEK 密钥

KEK(Key Encryption Key)用于 UEFI Secure Boot 管理证书链。当 UEFI 验证 Kernel 和引导配置时,需要 KEK 来管理签名证书。其作用包括:

  • 管理 db、dbx(允许与禁止的签名列表)
  • 控制 UEFI 层的签名验证行为

KEK 也是 Secure Boot 的链路之一。

九、步骤五:准备 Fuse 配置文件

NVIDIA 提供模板文件:

Linux_for_Tegra/bootloader/fuseblob.xml

该文件描述:

  • PKC 公钥哈希
  • SBK 密钥
  • KEK 密钥
  • Secure Boot 开关位

修改完成后将作为 odmfuse.sh 的输入文件。

十、步骤六:使用 odmfuse.sh 烧录熔丝

熔丝(Fuses)是一次性可编程区域,一旦烧录将无法恢复。在 Jetson 上运行:

sudo ./odmfuse.sh -i fuseblob.xml

该操作会:

  1. 将 PKC 公钥哈希写入熔丝
  2. 将 SBK 写入熔丝
  3. 设置 Secure Boot 使能位

此步骤是整个 Secure Boot 过程中唯一不可逆的步骤。一旦烧录错误,设备可能永远无法恢复,因此必须在量产流程中严格校验。

十一、步骤七:使用 flash.sh 刷写签名镜像

最后一步是使用 flash.sh 刷写已经签名并加密的启动镜像:

sudo ./flash.sh -u rsa_priv.pem -v sbk.key jetson-agx-orin-devkit mmcblk0p1

其中:

  • -u 指定用于签名的私钥(用于 PKC)
  • -v 指定 SBK(用于镜像解密)

flash.sh 会:

  1. 将 MB1、MB2、UEFI、Kernel 等镜像进行签名
  2. 使用 SBK 进行加密(可选)
  3. 将准备好的镜像刷入 eMMC/SSD

此时设备已正式启用 Secure Boot。

十二、Secure Boot 启动时的完整验证流程

当设备上电后,启动链按以下方式工作:

  1. BootROM 读取熔丝 → PKC 公钥哈希
  2. BootROM 验证 MB1(签名 + 完整性)
  3. MB1 解密 & 验证 MB2
  4. MB2 验证 UEFI
  5. UEFI 验证 Kernel、DTB
  6. Kernel(可选)验证 Root

📺 B站视频讲解(Bilibili)https://www.bilibili.com/video/BV1k1C9BYEAB/

📘 《Yocto项目实战教程》京东购买链接Yocto项目实战教程

Jetsonnano B01 笔记2:GPIO库-Pycharm远程调试-点灯
NULL指向我的博客
09-08 3220
今日继续我的Jetsonnano 学习之路,今日主要学习使用Pycharm远程调试Jetsonnano以及驱动使用Jetsonnano的GPIO库,最终尝试使用jetson点亮第一个LED。
Jetsonnano B01 笔记4:UART 通信配置及编程
NULL指向我的博客
09-09 2842
今日继续我的Jetsonnano学习之路,今日学习使用Jetson硬件驱动之UART串口通信:
Jetson Secure Boot全链路讲解:从eFUSE到Kernel的可信启动实战
Interview_TC的博客
11-06 844
Secure Boot(安全启动)是让设备从上电那一刻起,只能运行“被信任的镜像”。启动链被篡改(假 Bootloader、假 Kernel)恶意固件被植入(未经授权系统)未签名的驱动或模块注入公钥/私钥签名验证 + eFUSE 硬件锁定。层级是否需要签名谁验证保护范围是否要改内核Bootloader✅ 必须签BootROM启动链❌Kernel 镜像✅ 必须签Bootloader启动完整性❌模块 (.ko)✅ 建议签Kernel运行完整性✅场景推荐方案。
Jetson Bootloader 深度解析:EDK2 架构启动机制
Interview_TC的博客
10-15 1227
本文深入解析了NVIDIA Jetson设备中基于EDK2框架的Bootloader启动机制。文章首先介绍了EDK2的模块化架构和统一接口特性,重点分析了Jetson平台特有的PlatformBootManagerLib等核心模块。随后详细阐述了Bootloader的完整启动流程,包括芯片初始化、平台初始化、信息显示等关键阶段。针对定制化需求,文章提供了屏蔽进度条和文本显示的具体实现方法,只需修改PlatformBootManagerWaitCallback函数即可仅保留Logo显示。最后总结了常见问题解决
Jetson AGX Orin Secure Boot 全面解析:原理、流程实战指南
最新发布
Interview_TC的博客
12-08 549
摘要: NVIDIA Jetson平台在开发阶段常用JetPack(Ubuntu)系统,但其臃肿的桌面组件、不可控的升级机制及缺乏裁剪能力使其不适合量产。Buildroot虽轻量,但Jetson闭源驱动生态不兼容,无法支持CUDA等核心功能。Yocto作为官方支持的方案(meta-tegra),提供高度可控的系统构建、可重现的镜像生成、安全增强及长期维护能力,是Jetson产品化的唯一合理选择,尤其适用于工业相机、机器人等高安全、长生命周期场景。学习Yocto需结合实战,参考《Yocto项目实战教程》可加
Jetson Secure Boot 全面实战:原理、价值、风险落地步骤(以 AGX Orin 为例)
Interview_TC的博客
11-06 1079
本文全面解析Jetson AGX Orin Secure Boot的实现路径,从原理分析到实操落地,涵盖以下关键内容: 必要性分析:详细阐述了Secure Boot如何防御恶意固件、未授权模块等安全威胁,以及合规性要求 技术实现方案:对比了NVIDIA SoC级Secure Boot和UEFI Secure Boot两条技术路线,推荐前者作为量产基础 内核配置要点:列出模块签名、Lockdown等核心安全特性的内核配置项 实施步骤:提供从密钥生成、镜像签名到eFUSE烧录的全流程指导,强调测试验证的重要性
Jetsonnano B01 笔记8:屏幕分辨率的调整
NULL指向我的博客
09-25 2166
最近我的jetson 被学弟借用学习了一阵子,他在一顿捯饬后,成功将我的屏幕分辨率改成了一个阴间的水平,十分影响操作学习。
Jetson 启动流程解析 —— 对比 NXP i.MX 系列的核心理解
Interview_TC的博客
08-27 1029
本文对比分析了NVIDIA JetsonNXP i.MX系列的启动流程Jetson采用多阶段启动,包含PSC ROM、MB1/MB2、UEFI等环节,安全机制完善,逐步向PC服务器式标准化发展;i.MX则保持传统嵌入式设计,遵循ROM→SPL→U-Boot→Linux的经典路径,更强调定制灵活性。核心差异在于:Jetson偏向通用计算的标准化启动,而i.MX注重嵌入式场景的定制化。两者在安全验证、协处理器参等方面也各有特色,体现了不同SoC的设计理念。
jetson xavier nx上 bash: trtexec: command not found
Max_ZhangJF的博客
10-26 5348
jetson xavier nx 上已经安装了 tensorRT,但是 trtexec 时显示上面的错误,出现这个问题是因为,我们需要把tensorrt目录下的bin文件添加到环境变量里。 解决方案: vim ~/.bashrc 按 i 进入输入模式,在最后一行添加: export PATH=/usr/src/tensorrt/bin:$PATH 按下esc,:wq! 退出即可。最后: source ~/.bashrc 即可。 ...
精选资源
jetson-nano-image:为NVIDIA jetson nano板创建自己的图像
01-31
标题 "jetson-nano-image:为NVIDIA jetson nano板创建自己的图像" 指向的是一个项目,目的是教你如何自定义NVIDIA Jetson Nano开发板的操作系统映像。NVIDIA Jetson Nano是一款低功耗、高性能的嵌入式AI开发平台,...
精选资源
jetson-tx2-pytorch:在Nvidia Jetson TX1TX2上安装PyTorch
05-11
在NVIDIA Jetson TX1 / TX2上安装PyTorch 是一个新的深度学习框架,可以在Jetson TX1和TX2板上很好地运行。 它安装起来相对简单快捷。 TensorFlow不同,它不需要外部交换分区即可在TX1上构建。 尽管TX2具有足够...
edgyR容器:edgyR容器:适用于NVIDIA:registered:Jetson:trade_mark:R开发人员的Docker映像
02-24
edgyR容器:面向NVIDIA:registered:Jetson:trade_mark:R开发人员的Docker映像 更新-2021-02-12 我正在暂停此项目的增强功能一段时间。 我将继续更新R,RStudio服务器,Miniforge以及edgyr映像和安装程序上所有其他...
精选资源
使用Jetson推理进行人类检测:使用Jetson推理进行对象检测
02-12
使用Jetson推论进行人类检测 Jetson推理是NVIDIA Jetson Nano / TX1 / TX2 / Xavier NX / AGX Xavier的实时DNN视觉库。 对于人类检测,我们可以使用某些模型,例如pednet,multiped,SSD MobileNet-V1,SSD ...
精选资源
EMMC的U盘镜像Jetson-Boot-USB.tar.gz
03-10
烧录EMMC引导文件 解压命令: tar xzvf Jetson_Boot_USB.tar.gz 切换到这个目录: cd Jetson_Boot_USB/ 烧录引导文件 sudo ./flash.sh -r jetson-nano-devkit-emmc mmcblk0p1
Java SE——12.异常(≠错误)《干货笔记》
要努力去发光,而不是被照亮~
12-08 1098
Java SE——12.异常(≠错误)《干货笔记》
基于Java旅游信息推荐系统(源码+数据库+文档)
JIngJaneIL的博客
12-08 545
本文介绍了基于SpringBoot+Vue的旅游信息推荐系统和学生成绩管理系统开发项目。系统采用前后端分离架构,后端使用SpringBoot框架简化企业级开发,前端采用Vue.js实现响应式界面,数据库选用MySQL。文章详细说明了系统设计原则、技术选型理由,并提供了代码示例和测试案例。项目包含完整功能演示视频,所有源码经过验证可正常运行。同时提供最新计算机毕业设计选题参考,文末附有源码获取方式。系统适用于大学生项目实战开发,具有模块化设计、安全性强等特点。
MVP改成MVVM模式
u014035162的专栏
12-05 872
面将登录示例改造成(基于 Android Jetpack 的 ViewModel + LiveData + DataBinding),核心是抛弃 Presenter 中间层,通过 ViewModel 管理数据和业务逻辑,LiveData 实现数据驱动 UI,DataBinding 简化视图数据的绑定。
零基础学JAVA--Day41(IO文件流+IO流原理+InputStream+OutputStream)
Dxxyyyy的博客
12-05 956
文件在程序中是以流的形式来操作的流:数据在数据源(文件)和程序(内存)之间经历的路径输入流:数据从数据源(文件)到程序(内存)的路径输出流:数据从程序(内存)到数据源(文件)的路径。
蓝桥杯20534爆破 java
2302_80219214的博客
12-02 1065
我们可以用Prim 算法,该算法的核心是从一个起点开始,逐步将距离当前连通集合最近的节点加入集合,最终形成最小生成树。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值