NXP imx6ull secureboot HAB签名

原创 已于 2024-04-17 20:37:04 修改 · 1.5k 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #安全架构

于 2024-04-17 20:36:07 首次发布

1 前言

NXP厂商的IMX系列芯片支持secure boot,包括uboot和linux kernel的签名和加密。其提供了HAB工具,方便生成密钥以及使用私钥对uboot和kernel签名的操作。本文对该功能进行介绍和讲解。

2 HAB介绍

i.MX系列应用处理器在芯片上提供了HAB(High Assurance Boot)功能。ROM负责从引导介质加载初始程序映像(U-Boot),而HAB使ROM能够通过使用密码学操作对程序映像进行验证和解密。
此功能在i.MX 50、i.MX 53、i.MX 6、i.MX 7系列和i.MX 8M系列(i.MX 8M、i.MX 8MM、i.MX 8MN、i.MX 8MP设备)中受支持。对于i.MX9x芯片,NXP提供了HAB的升级版AHAB(Adanced High Assurance Boot)来对uboot和kernel签名加密。

2.1 HABv4安全引导架构

HABv4安全引导功能使用数字签名来防止在设备引导序列期间执行未经授权的软件。如果恶意软件控制了引导序列,则可能影响敏感数据、服务和网络。
HAB认证基于使用RSA算法的公钥密码学,在此过程中,镜像数据使用一系列私钥进行离线签名。然后,在i.MX处理器上使用相应的公钥验证签名后的镜像数据。公钥包含在CSF二进制文件中,SRK哈希被编程到SoC efuse中以建立信任链的根。下图说明了安全引导的流程:
安全引导的流程
要编程到引导介质中的U-Boot映像需要正确构造,即必须包含适当的命令序列文件(Command Sequence File, CSF)。
CSF是一个二进制数据结构,由HAB解释以指导认证过程,这是由代码签名工具(CST)生成的。CSF结构包含命令、SRK表、签名和证书。有关CSF的语法和细节可以在CST用户指南中找到,CST工具可在NXP官网上下载。

3 生成PKI Tree

要对uboot或kernel签名,首先需要生成私钥和公钥证书。HAB架构基于公钥基础设施树(Public Key Infrastructure (PKI) tree)。代码签名工具包含一个基于OpenSSL的密钥生成脚本,位于keys/目录下。hab4_pki_tree.sh脚本能够生成一个PKI树,其中包含最多4个超级根密钥(SRK),以及它们的下级IMG和CSF密钥。
以下是生成一个PKI tree的参考:

- Generating 2048-bit PKI tree on CST (starting from v3.1.0):
  $ ./hab4_pki_tree.sh
  ...
  Do you want to use an existing CA key (y/n)?: n
  Do you want to use Elliptic Curve Cryptography (y/n)?: n
  Enter key length in bits for PKI tree: 2048
  Enter PKI tree duration (years): 5
  How many Super Root Keys should be generated? 4
  Do you want the SRK certificates to have the CA flag set? (y/n)?: y

下图为生成的PKI tree结构
在这里插入图片描述
运行脚本后,用户可以在keys/目录下检查私钥,并在crts/目录下找到相应的X.509v3公钥证书。这些文件将在签名和认证过程中使用。

3.1 生成SRK Table和SRK Hash

下一步是根据上述步骤中创建的SRK公钥证书生成SRK表及其相应的SRK表哈希。
在HAB架构中,SRK表包含在CSF二进制文件中,而SRK哈希则被编程到SoC的SRK_HASH[255:0]熔丝中。
在目标设备上,在认证过程中,HAB代码会将SRK表与SoC的SRK_HASH熔丝进行验证,如果验证成功,则建立了信任链的根,并且HAB代码可以继续进行镜像认证。
srktool可用于生成SRK表及其相应的SRK表哈希。

- Generating SRK Table and SRK Hash in Linux 64-bit machines:
  $ ../linux64/bin/srktool -h 4 -t SRK_1_2_3_4_table.bin -e \
	SRK_1_2_3_4_fuse.bin -d sha256 -c \
	SRK1_sha256_2048_65537_v3_ca_crt.pem,\
	SRK2_sha256_2048_65537_v3_ca_crt.pem,\
	SRK3_sha256_2048_65537_v3_ca_crt.pem,\
	SRK4_sha256_2048_65537_v3_ca_crt.pem

SRK_1_2_3_4_table.bin和SRK_1_2_3_4_fuse.bin文件可以在后续步骤中使用。

4 HABv4 secure boot 配置过程

4.1 构建支持安全引导的u-boot-dtb.imx映像

U-Boot提供对安全引导配置的支持,并且提供对ROM向量表显示的HAB API的访问,可以通过选择CONFIG_IMX_HAB选项来启用该支持。
使用此配置构建时,U-Boot提供了额外的HAB函数,例如通过hab_status命令检索HAB状态日志以及支持扩展信任链。
U-Boot还通过将最终镜像正确填充为下一个0xC00地址来对其进行正确的填充,以便CST生成的CSF签名数据可以连接到镜像中。

4.2 使能secure boot support

第一步是生成支持上述HAB功能的U-Boot镜像,可以通过将CONFIG_IMX_HAB添加到构建配置中来实现:

- Defconfig:
  CONFIG_IMX_HAB=y
- Kconfig:
  ARM architecture -> Support i.MX HAB features

4.3 生成CSF描述文件

CSF包含了HAB在安全引导期间执行的所有命令。这些命令指示HAB对镜像的哪些内存区域进行验证,安装哪些密钥,使用哪些密钥等。有关构建CSF文件的更多信息,请参阅CST包的doc目录中的CST用户指南。
CSF示例可在doc/imx/habv4/csf_examples/目录下找到。
在U-Boot构建后,包含“Authenticate Data”参数的构建日志可用。以下是针对mx7dsabresd_defconfig目标的示例日志:

- mkimage build log:
  $ cat u-boot-dtb.imx.log

  Image Type:   Freescale IMX Boot Image
  Image Ver:    2 (i.MX53/6/7 compatible)
  Mode:         DCD
  Data Size:    667648 Bytes =
最低0.47元/天 解锁文章

200万优质内容无限畅学
CLLCLccl
关注
linux secure boot(安全启动)下为内核模块签名
dzqxwzoe的博客
02-27 1777
Boot的中文名叫安全启动,它的作用就是利用预置的公钥密码,验证主板上加载的操作系统或者驱动程序,是否受信任。从 UEFI 到 OS,再从 OS 到 driver,这是一条信任链,只有被已经在 UEFI 里注册过的 key 签名的驱动,才是可信的。在 UEFI 的规范中定义了一项名为「Secure Boot」的协议,Secure Boot 只允许载入有数字签名的 EFI 驱动和启动程序。思路:解决此问题的最简单方法是在UEFI(BIOS)设置中禁用安全启动,这样内核也不检查模块的签名了,
imx rt 系列的HAB Code-Signing Tool 简介
lwplwp2的博客
07-07 2148
1.简述  CST能够让制造商为其包含NXP处理器的产品签署或加密软件。结合NXP处理器中包含的高保证引导(HAB)特性,CST可以用来确保只有验证过的可靠的软件才能在最终产品上运行。名词解释: HAB:High Assurance Boot 高保障引导 Code-Signing Tool:代码签名工具组成: nxp处理器引导rom中的HAB库 HAB CST1.2 HAB 库  HAB库是nxp...
正点原子imx6ullUBOOT顶层Makefile学习笔记
weixin_46199479的博客
03-22 1888
跟据正点原子的linux开发板手册与视频学习了uboot的顶层makefile工作流程。 一、准备阶段 $(MAKE) -C subdir:调用subdir目录下的makefile文件,make支持递归调用。 ifeq ("$(origin V)", "command line") KBUILD_VERBOSE = $(V) endif ifndef KBUILD_VERBOSE KBUILD_VERBOSE = 0 endif ifeq ($(KBUILD_VERBOSE),1) q
基于 NXP iMX8MM 测试 Secure Boot 功能
toradexsh的博客
04-25 1402
f). 需要注意的是由于Kernel阶段的Secure Boot相关认证和加载都是基于U-Boot命令行来实现的, 因此如果要让这个启动机制更加安全可靠,则要让U-Boot保持在上述安全启动路径,而不能通过其他启动介质或者脚本来启动而绕开Secure Boot,比如Toradex U-Boot默认是使能Distro Boot功能的,可以自动扫描外设介质的启动脚本,那么这个功能就需要关闭掉,类似这样的U-Boot定制化和启动路径固化可以参考如下文章,本文不做具体测试。
secure boot 签名和验签流程
weixin_42884925的博客
11-03 555
secure boot 签名和验签流程
痞子衡嵌入式:恩智浦MCU安全加密启动一站式工具nxpSecBoot用户指南
Orbita_wangtao
12-01 1705
  痞子衡嵌入式:恩智浦MCU安全加密启动一站式工具nxpSecBoot用户指南 nxpSecBoot 1 软件概览 1.1 介绍   nxpSecBoot是一个专为NXP MCU安全加密启动而设计的工具,其特性与NXP MCU里BootROM功能相对应,目前主要支持i.MXRT系列MCU芯片,与NXP官方提供的标准安全加密配套工具集(OpenSSL, CST, sdphost, blh...
NXP i.MX8M secure boot流程
Muggle的博客
11-02 2857
本文简单总结了一下aarch64的启动流程,内容简单。 i.MX8M系列bootloader镜像flash.bin所需的文件: - U-Boot: u-boot-nodtb.bin u-boot-spl.bin U-Boot DTB file (e.g. fsl-imx8mq-evk.dtb) - ATF image: bl31.bin - DDR firmware: lpddr4_pmu_train_1d_dmem.bin lpddr4_pmu_train_1d_imem.b.
linux 内核签名
qq_40227064的博客
04-28 4849
linux 驱动签名linux内核驱动安全机制
NXP官网IMX6ULL EVK原理图和PCB源文件
02-07
NXP IMX6ULL EVK简介】 NXP IMX6ULL EVK(Evaluation Kit)是恩智浦半导体推出的一款基于i.MX6 UltraLite(简称IMX6ULL)处理器的开发板,专为嵌入式应用设计。该开发板为开发者提供了评估和测试IMX6ULL芯片功能...
nxp imx6ull MCIMX6ULL官方开发板Cadence allegro设计硬件原理图+PCB+BOM文件.zip
04-02
标题中的“nxp imx6ull MCIMX6ULL官方开发板Cadence allegro设计硬件原理图+PCB+BOM文件”表明这是一个基于NXP i.MX6ULL处理器的开发板设计资料,其中包含了使用Cadence Allegro软件进行的硬件设计。Cadence Allegro...
imx6 快速启动手册
11-17
很好的介绍了怎样提高开机速率的方法, 采用代码优化的形式,分布介绍
IMX6启动方式总结。
01-28
IMX6 CPU启动阶段总结,重点分析boot0 boot1模式的选择,以及efuse启动优点。
imx6ull数据手册
11-05
imx6ull数据手册》是一份详细的文档集,涵盖了NXP公司生产的i.MX6ULL微处理器的各种技术规格和应用指南。这份手册是工程师在设计、开发和调试基于i.MX6ULL芯片的硬件系统时的重要参考资料。下面将详细阐述其中包含...
NXP IMX6ULL EVK官方评估版原理图,pcb,bom,等NXP官方资料
04-22
NXP IMX6ULL EVK官方评估版是NXP半导体公司推出的一款基于ARM Cortex-A7内核的嵌入式微处理器开发板。该评估套件主要用于开发者和工程师进行产品设计和原型验证,提供了完整的硬件资源和软件支持,帮助用户快速理解...
i.MX 系列CPU HAB漏洞SecureBoot漏洞
mengxp的博客
03-18 668
https://blog.quarkslab.com/vulnerabilities-in-high-assurance-boot-of-nxp-imx-microprocessors.html
痞子衡嵌入式:恩智浦MCU安全加密启动一站式工具NXP-MCUBootUtility用户指南
weixin_34117522的博客
11-30 1546
NXP MCU Boot Utility English | 中文 1 软件概览 1.1 介绍   NXP-MCUBootUtility是一个专为NXP MCU安全加密启动而设计的工具,其特性与NXP MCU里BootROM功能相对应,目前主要支持i.MXRT系列MCU芯片,与NXP官方的标准安全加密配套工具集(OpenSSL, CST, sdphost, blhost, elftosb,...
Armv8的安全启动
最新发布
认真搞搞汽车MCU
11-01 2132
在之前文章里,我们详细描述了TC3xx 、RH850、NXPS32K3的安全启动流程,而在车控类ECU中,我们也基本按照这个流程去设计代码,同时兼顾主机厂对启动时间和安全性的要求,但是最近在移植某国产HSM IP的固件代码时,被其安全启动流程一些概念搞得云里雾里,例如OPTEE、TF-A、RMM,SPE等等;在Cortex-R52逐渐在区域控制器大放异彩的今天,梳理下基于Armv8的安全启动,理清这些概念,是对自己的视野拓展。
汽车信息安全 -- 再谈车规MCU的安全启动
认真搞搞汽车MCU
09-29 4943
今天接着这篇文章深究另一个重要功能-- 安全启动。该文章的前提是假设有工具能够Dump出所有Flash数据(包含HSM),意味着逆向整个Code就不再那么困难(虽然个人对这个假设还是存疑:毕竟理论上HSM在防篡改上至少可以提供篡改抵抗和篡改留凭这两项基础功能的一个)。而以目前我们常见的安全启动方式,大都将HSM作为信任锚,由HSM来保证Host侧所有运行软件授信,探测在运行时Host侧软件是否被篡改。因此,我们首先回顾一下目前市面上常见的HSM固件的安全启动流程。
i.MX6ULL 启动方式
OnlyLove_的博客
11-01 2007
主要参照《iMX6ULL参考手册》中第5章:Fusemap 和第8章:Chapter 8 System Boot(系统启动)。 一、概述 启动过程从开机复位开始,硬件复位逻辑单元芯片片上引导ROM开始执行。 片上引导ROM代码使用内部寄存器BOOT_MODE[1:0]的状态以及各种 eFUSEs 和或 GPIO 设置的状态来确定设备的引导流行为。 片上ROM的主要特点包括: 支持从各种启动设备启动 串行下载支持(USB OTG和UART) 设备配置数据(DCD)和插件 基于数字签名和加密的高保证引导(HA
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值