secure boot(一)

最新推荐文章于 2025-06-10 09:00:19 发布
原创 最新推荐文章于 2025-06-10 09:00:19 发布 · 1.2w 阅读 · 35 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

0.前言

    本系列讲解的是如何在高通的QCA4020开发板上实现secure boot功能,以及一些相关的概念。

 

1.什么是secure boot

    Secure boot指的是建立用于运行已验证应用程序的可信平台的启动序列。它从一个不可变的序列开始,使用密码验证验证代码的源,从而只执行授权的软件。启动序列将设备置于已知的安全状态,并检测软件的二进制操作和反射攻击。

    secure boot系统向启动过程的每个阶段添加加密检查。此过程在设备执行之前验证所有的安全软件镜像。这个额外的检查阻止了任何未经授权或者恶意修改的软件软件在设备上运行。通过一组硬件保险丝来启用secure boot。对于要执行的代码,它必须由硬件保险丝中标识的的可信实体签名。

 

2.实现secure boot的硬件基础

    QCA402x芯片组包含一次可编程(OTP)熔断器。最初所有的保险丝都是0,。一旦写入(或者吹过),保险丝永久地将状态改变为1.将熔断器从吹改为未吹是不可能的。OTP程序员工具在QCA402x SDK中提供的。这个工具可以基于用户提供的输入来编程secure boot保险丝。启用secure boot功能一定要小心,任何的错误的步骤都有可能使你的板称为砖块。

 

3.编程保险丝的工具

     在QCA4020 SDK中包含OTP编程软件工具,可通过编程选择熔断器来启动设备上的secure boot功能。用户可以选择由工具支持的三个设备配置文件中的一个。

    

一个设备配置文件在熔断器被编程之后定义设备的状态,有三种支持的设备配置文件。

    开发配置文件:配置保险丝的最小数量。所有的debug功能都将被打开。所有相关的OTP 读/写区域都可被访问。这个配置文件应该被用于初步开发和bringup。

    产品测试配置文件:类似于使用JTAG调试启用的产品配置文件

    产品配置文件:设计用于生成就绪的设备。相关的OTP读/写区域被锁定,所有的JTAG调试被禁用。

    一旦一个配置文件被编程到一个设备上,它就不可被修改了。因此,如果一个设备使用开发配置文件进行编程,它不能被升级到产品测试配置文件或者产品配置文件。

canyudeguang
关注
android安全启动验证链
鹅鹅鹅的博客
01-30 3755
启动验证链
高通Secure boot版本开启dump
u012492340的专栏
11-05 2198
开启 secureboot版本打开debug权限 SDM450.LA.3.2.1/common/sectools/config/sdm450/sdm450_secimage.xml @@ -36,7 +36,7 @@ <msm_part>0x0009A0E1</msm_part> <oem_id>0x0000</oem...
文搞懂Secure Boot (安全启动)
yuchengjie1988的博客
01-28 1万+
如果SBL被黑客替换,黑客可以在自己的SBL中不去校验FBL,从而替换掉FBL,在非法的FBL中不对APP进行校验,从而替换掉APP,由此可见信任根(上面例子中的SBL)在安全启动过程中的重要性。TDA4的软件系统包含的软件组件不止上面提到的SBL、FBL及APP,还有主域A72运行的软件(Linux或QNX),主域R5F核运行的软件,以及DSP核(C66, C71等),这些软件镜像的校验过程和上面描述的是样的。如果对文中的任何内容有任何建议请不吝赐教,如果想看到更多相关的感兴趣的内容,也欢迎私信联系。
Secure Boot(安全启动)
u013434525的博客
03-01 5042
如果在这个模式下清除了密钥,那么原有的密钥通常无法恢复,因为它们是存储在UEFI固件的非易失性存储区域中的,旦清除,就无法通过正常的UEFI界面恢复。Secure Boot(安全启动)的原理基于链式验证,这是种确保计算机在启动过程中只加载和执行经过认证的软件的机制。:在启动过程中,UEFI固件会使用存储的私钥来验证启动文件(如启动加载程序)的签名。:旦验证通过,UEFI固件会将控制权交给启动加载程序,启动加载程序接着会验证操作系统内核和其他关键组件的签名,确保整个启动过程的安全性。
BIOS中的‌Secure Boot(安全启动)
叶澜╭的博客
06-10 3997
‌启用/关闭方法‌:进入BIOS的Security或Boot菜单,调整Secure Boot Control为Enabled(启用)或Disabled(关闭),部分设备需选择OS Type(如Windows UEFI mode或Other OS)。‌密钥与证书管理‌:UEFI固件存储受信任的公钥证书,用于验证启动加载程序(如Windows Boot Manager)的签名,签名需由可信证书颁发机构(CA)签发。‌操作系统安装‌:安装程序会将公钥嵌入硬盘的UEFI分区,私钥存储于固件,确保后续启动验证。
Secure Boot
y97523的专栏
07-18 3124
前言:自由软件基金会的呼吁   在2012年将近结束的时候,自由软件基金会(FSF)发出呼吁,要求人们继续支持反Secure Boot垄断,希望签名者能达到5万人。我觉得,这个呼吁很重要。如果我们不支持,未来就无法自由地使用硬件、安装自己想要的软件。   这绝非危言耸听。而且,由于这个事件直接与Windows 8操作系统有关,因此意味着切已经迫在眉睫了。下面,谈谈这到底怎么回事。如果你想要自
MTK secure boot.pdf
03-23
Secure Boot是启动加载程序(bootloader)合法性验证的种机制。它确保在系统启动(System-on-Chip,即SoC启动)时,只有经过授权的bootloader二进制文件才能被执行。这机制的实现是由SoC的Rom Code完成的,因此...
Secure Boot以及软件-硬件实现方案
12-04
然后,在第boot时,软件bootloader会启用SecureBoot,生成个摘要并将其与随机数IV起保存到flash的指定位置;在后续的启动过程中,ROM bootloader会使用efuse中的secure boot key和随机数IV来计算当前...
MTK secure boot2020.zip
08-15
MTK Secure Boot 2020 是针对MT8735平台的个安全启动技术文档,主要探讨了如何在MTK平台上实现更为严密的系统启动流程,以增强设备的安全性。安全启动是现代智能设备中个至关重要的环节,它确保设备在开机时运行...
MTK Secure Boot V1.1.pdf
12-03
文档作者分享的MT8163 Secure Boot v1.1流程是个对遇到的问题进行诊断和解决的实际案例,对于遇到相似问题的开发者来说,具有定的指导意义。 总结来说,MTK Secure Boot V1.1主要涉及到安全启动的密钥生成、...
Secure Boot方案介绍及实施流程
07-17
综上所述,Secure Boot 技术通过确保设备在启动过程中的每个环节都得到安全验证,有效提升了移动设备的整体安全性。通过对关键组件进行数字签名以及实施严格的验证流程,可以有效防止恶意代码的入侵,保护用户的...
secure boot 是什么
void的博客
11-29 1万+
secure boot 是什么 secure boot,中文叫安全启动。是电脑行业成员共同开发的种安全机制。 用于确保电脑只能启动原装系统。如果电脑重装了其他系统,那么这个系统是启动不了的。说白了,就是垄断。 所以安装完其他系统,必须关闭 secure boot,新系统才能启动 二、如何关闭 secure boot
secure boot
weixin_45764334的博客
03-11 1637
【UEFI实战】Secure Boot
热门推荐
jiangwei0512的博客
03-29 1万+
【UEFI实战】Secure Boot
Enable Secure boot on software
ESP 技术分享,推动万物互联
08-25 804
Enable Secure Boot on software
Security Boot secure Boot的介绍
Big_Body
12-22 2165
secure Boot的介绍和安全启动流程检测
浅析安全启动(Secure Boot
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
11-03 2298
安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力,来达到保护产品的商业机密、知识产权等厂家权益的目的。当然,厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私,防止恶意软件修改系统软硬件等等。不过不论如何,随着 ARM 架构的广泛授权,基于 TrustZone 的 Secure Boot 也越来越普遍了。
secureboot
最新发布
06-30
### Secure Boot 是什么? Secure Boot种固件级别的安全特性,通常由设备的 BIOS 或 UEFI 固件实现。其主要目的是在系统启动过程中验证每个阶段的代码完整性,从而防止恶意软件或未经授权的内核加载。Secure Boot 通过公钥/私钥机制验证签名是否合法,确保只有经过数字签名的可信代码才能被执行[^2]。它从固件级别开始,逐步验证引导加载程序、操作系统内核等组件,建立个信任链,以确保整个启动过程的安全性[^3]。 ### 如何启用 Secure BootSecure Boot 的启用通常涉及以下几个步骤: 1. **进入固件设置界面(BIOS/UEFI)**:在计算机启动时按下指定键(如 F2、Del 或 Esc),进入 BIOS/UEFI 设置界面。 2. **查找 Secure Boot 设置选项**:在“Security”或“Boot”菜单中找到“Secure Boot”相关选项。 3. **启用 Secure Boot**:将 Secure Boot 状态更改为“Enabled”。 4. **保存并退出**:保存更改并重启系统,Secure Boot 即可生效。 某些系统可能还提供“Setup Mode”、“Audit Mode”和“User Mode”等不同模式,用于管理密钥配置和策略控制[^1]。 ### 如何配置 Secure BootSecure Boot 的具体配置取决于平台和固件支持情况,以下是通用流程及 ESP32 的特定配置示例: #### 通用 PC 平台(如 Windows 或 Ubuntu) - **添加/删除信任密钥**: - 在 UEFI 设置中,可以导入自定义的签名密钥(PK、KEK、db、dbx)来允许或阻止特定引导程序加载。 - 例如,在 Linux 中使用 `sbsigntools` 对引导程序进行签名,并通过 `efibootmgr` 工具管理 EFI 启动项。 - **处理 Secure Boot 引导链验证失败问题**: - 若在安装 VMware 或 Ubuntu 时遇到 Secure Boot 验证失败,可以选择关闭 Secure Boot,或者使用已签名的引导程序(如 Shim)来兼容 Secure Boot 策略[^1]。 #### ESP32 平台(使用 ESP-IDF) ESP32 支持 Secure Boot v1 和 v2,可通过以下方式配置: ```bash idf.py menuconfig ``` 进入配置菜单后,选择: - `Security Features` —> `Enable Secure Boot in bootloader` —> 选择 Secure Boot 版本(v1 或 v2) - 可选:启用 Flash 加密(Flash Encryption) 配置完成后编译并烧录项目: ```bash idf.py build idf.py flash ``` 系统会在首次启动时生成签名并锁定 eFuse,后续启动将自动验证固件签名[^3]。 ### 注意事项 - 启用 Secure Boot 后,未签名的操作系统或引导程序将无法加载。 - 某些 Linux 发行版需要 Shim 来兼容 Secure Boot。 - ESP32 上旦启用 Secure Boot,部分 eFuse 将被永久写入,不可逆,请谨慎操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值