ESP32-C3 flash encryption & secure boot

原创 已于 2022-01-26 00:18:24 修改 · 2.9k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#flash

于 2021-12-21 17:47:43 首次发布
本文介绍ESP32-C3芯片如何启用安全启动和闪存加密,包括配置步骤、生成签名密钥、调整分区表地址及手动烧录等关键环节。

本篇文档用来记录同时使能 ESP32-C3 flash 加密以及 secure boot 的流程。
测试环境如下:

  • 硬件: ESP32-C3(revision 3)
  • idf 版本:v4.4-dev-3042-g220590d599

文章目录

未使能前,设备的 efuse 信息

$ esptool.py flash_id                                                                                                                                                                                 
esptool.py v3.2-dev
Found 2 serial ports
Serial port /dev/ttyUSB0
Connecting....
Detecting chip type... ESP32-C3
Chip is ESP32-C3 (revision 3)
Features: Wi-Fi
Crystal is 40MHz
MAC: 7c:df:a1:61:bd:20
Uploading stub...
Running stub...
Stub running...
Manufacturer: 20
Device: 4016
Detected flash size: 4MB
Hard resetting via RTS pin...

$ espefuse.py --chip esp32c3 summary
Connecting....
espefuse.py v3.2-dev
EFUSE_NAME (Block) Description  = [Meaningful Value] [Readable/Writeable] (Hex Value)
----------------------------------------------------------------------------------------
Calibration fuses:
TEMP_SENSOR_CAL (BLOCK2)                           Temperature calibration                            = -15.100000000000001 R/W (0b110010111)
ADC1_MODE0_D2 (BLOCK2)                             ADC1 calibration 1                                 = -208 R/W (0xb4)
ADC1_MODE1_D2 (BLOCK2)                             ADC1 calibration 2                                 = 348 R/W (0x57)
ADC1_MODE2_D2 (BLOCK2)                             ADC1 calibration 3                                 = -16 R/W (0x84)
ADC1_MODE3_D2 (BLOCK2)                             ADC1 calibration 4                                 = 184 R/W (0x2e)
ADC2_MODE0_D2 (BLOCK2)                             ADC2 calibration 5                                 = -200 R/W (0xb2)
ADC2_MODE1_D2 (BLOCK2)                             ADC2 calibration 6                                 = -488 R/W (0xfa)
ADC2_MODE2_D2 (BLOCK2)                             ADC2 calibration 7                                 = -396 R/W (0xe3)
ADC2_MODE3_D2 (BLOCK2)                             ADC2 calibration 8                                 = -12 R/W (0x83)
ADC1_MODE0_D1 (BLOCK2)                             ADC1 calibration 9                                 = 4 R/W (0b000001)
ADC1_MODE1_D1 (BLOCK2)                             ADC1 calibration 10                                = -100 R/W (0b111001)
ADC1_MODE2_D1 (BLOCK2)                             ADC1 calibration 11                                = 100 R/W (0b011001)
ADC1_MODE3_D1 (BLOCK2)                             ADC1 calibration 12                                = 8 R/W (0b000010)
ADC2_MODE0_D1 (BLOCK2)                             ADC2 calibration 13                                = 0 R/W (0b000000)
ADC2_MODE1_D1 (BLOCK2)                             ADC2 calibration 14                                = 0 R/W (0b000000)
ADC2_MODE2_D1 (BLOCK2)                             ADC2 calibration 15                                = 0 R/W (0b000000)
ADC2_MODE3_D1 (BLOCK2)                             ADC2 calibration 16                                = 0 R/W (0b000000)

Config fuses:
DIS_ICACHE (BLOCK0)                                Disables ICache                                    = False R/W (0b0)
DIS_DOWNLOAD_ICACHE (BLOCK0)                       Disables Icache when SoC is in Download mode       = False R/W (0b0)
DIS_FORCE_DOWNLOAD (BLOCK0)                        Disables forcing chip into Download mode           = False R/W (0b0)
DIS_CAN (BLOCK0)                                   Disables the TWAI Controller hardware              = False R/W (0b0)
VDD_SPI_AS_GPIO (BLOCK0)                           Set this bit to vdd spi pin function as gpio       = False R/W (0b0)
BTLC_GPIO_ENABLE (BLOCK0)                          Enable btlc gpio                                   = 0 R/W (0b00)
POWERGLITCH_EN (BLOCK0)                            Set this bit to enable power glitch function       = False R/W (0b0)
POWER_GLITCH_DSENSE (BLOCK0)                       Sample delay configuration of power glitch         = 0 R/W (0b00)
DIS_LEGACY_SPI_BOOT (BLOCK0)                       Disables Legacy SPI boot mode                      = False R/W (0b0)
UART_PRINT_CHANNEL (BLOCK0)                        Selects the default UART for printing boot msg     = UART0 R/W (0b0)
UART_PRINT_CONTROL (BLOCK0)                        Sets the default UART boot message output mode     = Enabled R/W (0b00)
FORCE_SEND_RESUME (BLOCK0)                         Force ROM code to send a resume command during SPI = False R/W (0b0)
                                                    bootduring SPI boot                              
BLOCK_USR_DATA (BLOCK3)                            User data                                         
   = 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 R/W 

Efuse fuses:
WR_DIS (BLOCK0)                                    Disables programming of individual eFuses          = 0 R/W (0x00000000)
RD_DIS (BLOCK0)                                    Disables software reading from BLOCK4-10           = 0 R/W (0b0000000)

Flash Config fuses:
FLASH_TPUW (BLOCK0)                                Configures flash startup delay after SoC power-up, = 0 R/W (0x0)
                                                    unit is (ms/2). When the value is 15, delay is 7.
                                                   5 ms                                              
FLASH_ECC_MODE (BLOCK0)                            Set this bit to set flsah ecc mode.               
   = flash ecc 16to18 byte mode R/W (0b0)
FLASH_TYPE (BLOCK0)                                Selects SPI flash type                             = 4 data lines R/W (0b0)
FLASH_PAGE_SIZE (BLOCK0)                           Flash page size                                    = 0 R/W (0b00)
FLASH_ECC_EN (BLOCK0)                              Enable ECC for flash boot                          = False R/W (0b0)

Identity fuses:
SECURE_VERSION (BLOCK0)                            Secure version (used by ESP-IDF anti-rollback feat = 0 R/W (0x0000)
                                                   ure)                                              
MAC (BLOCK1)                                       Factory MAC Address                               
   = 7c:df:a1:61:bd:20 (OK) R/W 
WAFER_VERSION (BLOCK1)                             WAFER version                                      = 3 R/W (0b011)
PKG_VERSION (BLOCK1)                               Package version                                    = ESP32-C3 R/W (0b000)
BLOCK1_VERSION (BLOCK1)                            BLOCK1 efuse version                               = 4 R/W (0b100)
OPTIONAL_UNIQUE_ID (BLOCK2)                        Optional unique 128-bit ID                        
   = a6 22 f8 ea 75 8e 71 7c ac d6 4c 9c b5 13 80 11 R/W 
BLOCK2_VERSION (BLOCK2)                            Version of BLOCK2                                  = With calibration R/W (0b001)
CUSTOM_MAC (BLOCK3)                                Custom MAC Address                                
   = 00:00:00:00:00:00 (OK) R/W 

Jtag Config fuses:
JTAG_SEL_ENABLE (BLOCK0)
最低0.47元/天 解锁文章
Espressif 系列:ESP32-C3 系列_(2).ESP32-C3硬件架构
2401_87715305的博客
01-14 1517
ESP32-C3 是一款功能强大、低功耗的 Wi-Fi 和 Bluetooth LE 双模 SoC。它基于 RISC-V 架构,集成了多种外设和通信接口,使其在物联网应用中表现出色。本节详细介绍了 ESP32-C3 的核心处理器、存储器、外设和通信接口,以及其安全特性。通过这些硬件特性,开发者可以构建各种高效、安全的物联网设备。希望本文档对您了解 ESP32-C3 的硬件架构有所帮助。如果您有任何疑问或需要进一步的帮助,请参考 Espressif Systems 的官方文档和开发指南。
Espressif 系列:ESP32-C3 系列_(8).ESP32-C3安全特性
2401_87715305的博客
01-15 993
Flash 加密是将存储在 Flash 中的数据进行加密,以防止数据在传输过程中被窃取。ESP32-C3 支持 128 位 AES 加密,可以对整个 Flash 进行加密。安全存储是指在 MCU 中存储敏感数据时,确保数据的完整性和保密性。ESP32-C3 提供了多种安全存储机制,包括使用 Flash 加密和 NVS(非易失存储器)分区。安全网络连接是指在 MCU 与外部网络进行通信时,确保数据的完整性和保密性。ESP32-C3 支持多种安全网络协议,包括 TLS/SSL 和 HTTPS。
esp32secure boot (安全启动)配置
weixin_45880295的博客
08-08 2732
Secure Boot,即安全启动,是一种确保在一个平台上运行的程序的完整性的过程或机制。它的主要作用是在固件和应用程序之间建立一种信任关系,从而保护操作系统免受恶意攻击。
时区跳变问题分析
qq_21911097的博客
12-02 391
时区跳变问题
小智音箱SPI Flash存储管理基于ESP32-C3
最新发布
weixin_30205153的博客
11-09 619
本文深入解析基于ESP32-C3的小智音箱如何高效管理SPI Flash,涵盖分区表设计、A/B OTA机制、NVS配置存储及SPIFFS文件系统应用,结合硬件特性实现稳定可靠的嵌入式存储方案。
ESP-IDF:配置SPIRAM为扩展RAM的方法
katerdaisy的博客
02-07 2746
ESP-IDF:Support for external, SPI-connected RAM ESP32配置SPIRAM为扩展RAM的方法。
esp32 IDF框架开发经常遇到的问题
藤一泓的博客
03-28 3298
目的 在基于IDF框架开发时,经常遇到很多问题,查了很多资料也找不到解决方法,所以开设了这个话题,我将不定期的讲收录到的问题,写入好文章中。 问题1 esp32重启问题 结语 欢迎大家评论区留下你遇到的问题,我看到你的评论后将会第一时间回复,如果有大佬路过也欢迎来一起讨论解决问题 ...
GITHUB上的一些DevSecOps
qq_44005305的博客
01-31 769
最近一直在完善自己的扫描器和攻击链,所以也一直在GITHUB上看自动化的一些知识,脑壳痛看起来比较优秀的如下,本人只推荐哈DefectDojoDefectDojo 是一个安全编排和平台。DefectDojo 允许您管理您的应用程序安全程序,维护 产品和应用信息、分类漏洞和 将结果推送到 JIRA 和 Slack 等系统。DefectDojo 丰富并 使用许多启发式算法来优化漏洞数据,这些算法 随着您使用该平台的次数越多越好。github;搭建好的运行截图如下。
ESP32 Secure BootFlash加密
一个人要像一支队伍
01-21 9128
ESP32的代码是存在外部Flash中,如果不加密,很容易被窃取代码。 ESP32secure bootflash加密是两个功能,但是要配合一起使用,其加密效果才好。 一、初次加密。 这里只写可重复烧写的加密方式,其加密步骤如下: 1、进入menuconfig配置secure bootflash加密。 make menuconfig 这里Secure bootloader mode选择Reflashable。配置后要与下图完全一致。 2、生成私钥,即pem文件。 pyth.
通过 QEMU 试用 ESP32-C3 的安全功能
shengyin714959的博客
07-26 303
使用预编程的 eFuse文件必然会改进模拟器对于此类用例的用户体验,我们也在努力提供支持。上述配置的前提是安全启动密钥 secure_boot_signing_key.pem 已事先生成, flash加密密钥将由设备(esp32c3)生成,用于生成 NVS 加密密钥的 HMAC 密钥(如 hmac_key.bin)已事先烧写至 eFuse KEY_BLOCK3 中。乐鑫使用 QEMU,开发了基于 RISC-V 的 ESP32-C3 的系统级仿真器,最新版本已支持 ESP32-C3 的所有安全功能。
四博智联ESP32-C3模组适配电工照明小家电
同时提供完善的安全机制,包括安全启动(Secure Boot)、Flash加密(Flash Encryption)、AES硬件加解密引擎等,保障用户隐私数据不被窃取或篡改,符合智能家居产品的安全合规要求。 值得一提的是,压缩包中的文件...
ESP32-C3 手动启用 Secure Boot V2 与 Flash 加密流程
ESP 技术分享,推动万物互联
08-21 4019
1. 手动生成秘钥 2. 手动加密固件并写入加密固件 3. 手动写 Efuse 开启 Flash 加密和安全启动
ESP32 快速入门(十一):Secure BootFlash encryption 的介绍与实践
Zombie's blog
05-27 2051
此篇博客为 ESP32 Secure BootESP32 Flash encryption 的介绍与实践。 1 ESP32 Secure Boot 1.1 ESP32 Secure Boot 功能概述 Secure Boot 的目的是保证芯片只运行用户指定的程序,芯片每次启动时都会验证从 flash 中加载的 partition table 和 app images 是否是用户指定的 Secure Boot 中采用 ECDSA 签名算法对 partition table 和 app images 进
gmailc2:一款基于Google SMTP的完全无法检测的C2服务器
qq_53058639的博客
07-24 1680
1、持久化;2、支持Shell访问;3、查看系统信息;4、…
基于 ESP32-C3 开启 Flash 加密的 Development 模式和安全启动并进行 OTA 测试
ESP 技术分享,推动万物互联
01-02 4299
【应用笔记】基于 ESP32-C3 开启 Flash 加密和安全启动并进行 OTA 测试
ESP32-S2安全启动和flash加密的量产工具与方法,附上工具链接
katerdaisy的博客
11-29 1187
生成安全启动密钥:.\espsecure.exe generate_signing_key --version 2 secure_boot_signing_key.pem。烧录密钥:./espefuse.exe -p COM497 burn_key BLOCK_KEY1 key.bin XTS_AES_128_KEY。生成密钥:./espsecure.exe generate_flash_encryption_key key.bin。
ESP32开发阶段启用 Secure BootFlash encryption
tiantangmoke的博客
08-09 650
Secure BootFlash encryption
最新【ESP32S3】使用 Flash 下载工具完成 “ Flash 加密 Release 模式 + Secure Boot V2 + NVS 加密功能 “
ESP 技术分享,推动万物互联
05-10 3781
ESP32S3】开启 Flash 加密 + Secure Boot V2 + NVS 加密功能
ESP32-Secure Boot 安全方案
热门推荐
乐鑫 Espressif
02-24 1万+
Secure Boot 功能概述 方案概述 Secure Boot 的目的是保证芯片只运行用户指定的程序,芯片每次启动时都会验证从 flash 中加载的 partition table 和 app images 是否是用户指定的 Secure Boot 中采用 ECDSA 签名算法对 partition table 和 app images 进行签名和验证,ECDSA 签名算法使用公钥/...
this chp is esp32-c3 not esp32
04-17
然而具体到 ESP32-S3 的情况,则其 flash encryption key 及 secure boot public key digest 仅限于某些固定区块如 BLOCK_KEY0 至 BLOCK_KEY4 范围内存放[^3]。虽然这里提到的信息针对 S3 版本,但从侧面反映出相比...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值