Uboot FIT验签

最新推荐文章于 2025-10-30 23:13:19 发布
原创 最新推荐文章于 2025-10-30 23:13:19 发布 · 723 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

Uboot FIT验签

fit_image_load
  fit_get_image_type_property--根据image_type获取对应名称。
  fit_image_get_node--如果指定子镜像名称,则直接在FIT里面找到node offset。
  fit_conf_get_node--如果没有指定子镜像名称,则通过configuration加载。如果没有指定configuration,则使用default。
  fit_config_verify--校验configuration。
    fit_config_verify_required_sigs
      fit_config_verify_sig--如果定义了required并且为conf则进行configuration验签。
        fit_config_check_sig
          fit_image_setup_verfify--初始化struct image_sign_info结构体。由checksum_algos和crypto_algos可知,仅支持sha1/sha256+rsa2048/rsa4096组合。由padding_algos可知支持pkcs-1.5/pss两种padding算法。
          fit_image_hash_get_value--获取当前子节点value值,即签名。
          info.crypto->verify--对应verify函数,即rsa_verify()。

            info->checksum->calculate--对应hash_calculate函数。对于验签的哈希,sha1和sha256都是对应此函数。对区域内内容进行哈希计算。
            rsa_verify_with_keynode--获取key-dev类似的公钥节点,然后进行验签。
              fdtdec_get_int--获取rsa,num-bits、rsa,n0-inverse、rsa,exponent、rsa,modulus、rsa,r-squared。
              rsa_verify_key--prop即是RSA public key内容。使用prop对签名进行解密得到hash。
                rsa_mod_exp--使用prop得到的公钥对签名内容进行解密得到pkcs1.5 padding的hash。
                  mod_exp_sw
                    rsa_mod_exp_sw
                padding->verify--可能是padding_pkcs_15_verify()。
                  padding_pkcs_15_verify--先检查padding,然后比较hash是否一致。

                    padding_pkcs_15_verify--检查padding是否符合pkcs1.5规范。
                    ->memcmp--将计算得到的hash值和对签名进行解密的得到的hash进行比较,一致则通过。
  fit_image_select
    fit_image_print--打印FIT镜像的详细信息。
    fit_image_verify--验证镜像的一致性。
      fit_image_get_data_and_size
      fit_image_verify_with_data
        fit_image_verify_required_sigs--处理FIT中signature节点,进行验签。
          fit_image_verify_sig
            fit_image_check_sig
              fit_image_setup_verify
              fit_image_hash_get_value
              info.crypto->verify--对应crypto_algo的verify函数,比如rsa_verify。
        fit_image_check_hash--处理FIT中hash节点。计算hash值,并和从FIT中获取的hash进行比较。
          fit_image_hash_get_algo--获取哈希算法名称。
          fit_image_hash_get_value--获取hash值。
          calculate_hash--计算hash值,。
        fit_image_check_sig--类似于fit_config_check_sig()。
  fit_image_get_data_and_size--获取当前镜像的buf地址和size大小。
  fit_image_get_load--获取当前镜像的load地址。
  image_decomp--如果镜像需要解压,则调用image_decomp将输入数据data解压到load地址。
  memcpy--如果load和当前data地址不一致,则需要memcpy一次。
Maxwell47
关注
基于rk356x u-boot版本功能分析及编译相关(二)
steel0205的专栏
10-27 184
u-boot编译脚本分析(二)
secure boot(三)secure boot的名和方案
嵌入式与Linux那些事的博客
09-21 4640
FIT 格式支持存储镜像的hash值,并且在加载镜像时会校hash值。这可以保护镜像免受破坏,但是,它并不能保护镜像不被替换。而如果对hash值使用私钥名,在加载镜像时使用公钥则可以保护镜像不被替换。因此,公钥必须保存在一个绝对安全的地方。接下来的内容要求大家了解一些密码学的内容,之前也介绍过一些,可以看这篇文章secure boot (一)FIT Imagesecure boot (二)基本概念和框架计算镜像的hash值利用私钥对hash值名结果存在FIT Image 中。
ubootkernel的实现
个人学习记录
12-26 1971
本文介绍uboot启动linux内核时,开启对kernel的名认证功能,防止kernel和device tree被任意修改。fitimage本质上是dtb类型的结构,可用于打包不同的数据到一个文件中。这样做也是为了方便SecureBoot的实现,方便对kernel,system.dtb,rootfs进行RSA名和认证。《u-boot FIT image介绍》提供了详细的结构解析,以及如何制作的命令。fitimage格式支持存储镜像的hash值,并且在加载镜像时会校hash值。
UBOOTFIT(Flattend Image Tree)文件说明
hnhxd2022的博客
10-30 290
FIT(Flattend Image Tree) similar to FDT refer to (uboot --> doc/uImage.FIT/*.txt) 默认使用两个工具:mkimage和dtc Here's a graphical overview of the image creation and booting process: image source file mkimage + dtc transfer to target +
ubootFIT功能
qq_39525606的博客
11-03 3003
某大佬的解释,特别清晰: u-boot FIT image介绍1. 前言 Linux kernel在ARM架构中引入device tree(全称是flattened device tree,后续将会以FDT代称)的时候[1],其实怀揣了一....http://www.wowotech.net/u-boot/fit_image_overview.htmlgit上对于FIT的说明文档: doc/uImage.FIT/source_file_format.txthttps://github.com/wowot
u-boot FIT image介绍
AiFool的博客
02-01 1488
Linux kernel在ARM架构中引入device tree(全称是flattened device tree,后续将会以FDT代称)的时候[1],其实怀揣了一个Unify Kernel的梦想----同一个Image,可以支持多个不同的平台。
U-boot FIT
swh547的博客
04-28 1489
FIT中的镜像进行哈希处理使用私钥对哈希值进行名,生成名将生成的名存储在FIT中。
Uboot linux kernel
03-06 1060
uboot如何linux kernel
基于FIT对镜像/配置进行名和uboot启动 为什么需要名】
最新发布
10-31
首先,用户的问题是:“基于FIT对镜像/配置进行名和uboot启动,为什么需要名?”这是在讨论U-Boot中的FIT(Flattened Image Tree)名机制。 关键点: - **FIT**:一种描述启动镜像、配置等的格式。 - **...
我现在的需求是,在uboot下,读取tf内的固件包,并对固件包的数据进行RSA,我该如何实现,请给我完整的实现方法,包括,公钥如何存储在设备树中
09-27
我们正在处理一个关于在U-Boot中读取TF卡固件包并进行RSA的问题,同时需要了解公钥在设备树中的存储方法。 根据引用,我们知道: - 引用[3]提到了U-Boot的启动过以及如何拼接生成最终的U-Boot镜像,其中涉及...
双镜像机制
Suvine的专栏
11-19 1735
目录 1、 背景... 2 2、 原理... 2 3、 MTD分区信息... 3 4、 启动流图... 4 5、 U-boot配置方法... 4 6、 代码实现... 5 7、 扩展思考... 8 背景 嵌入式设备升级过中由于外部因素(如断电、强行中断等)导致新固件firmware未完整写入flash从而导致系统不能正常启动,有没有一种恢复方法来避免此种情况的发生?-双镜像机制...
uboot FIT
weixin_44705391的博客
02-04 362
文章目录前言1. 前言 1. http://www.wowotech.net/u-boot/fit_image_overview.html https://harmonyhu.com/2018/07/01/uboot-ITS/ http://www.wowotech.net/sort/u-boot https://www.itmangoto.cn/2018/05/18/arm-uboot-fit-img/ https://blog.youkuaiyun.com/ooonebook/article/details/
u-bootkernel的名生成过
李老板的移动安全杂货铺
10-20 4694
相关背景 linux系统本身支持对kernel文件的功能,即通过its文件配置相关名信息,在u-boot中开启相关配置,即可实现启动过uboot对kernel的功能。不过需要注意的是,这种原生的实现仅支持bootm的启动方式,如果你的uboot使用booti启动kernel,则需要自行实现对kernel的。 本文简单介绍带名信息的kernel二进制文件的生成方式,以及u-boot功能开启的重要步骤。 工作目录的结构 ~/dev/verify-boot$ tree -
ubootFIT-uImage
kunkliu的博客
04-06 3762
一、uImage 编译kernel之后,会生成Image或者压缩过的zImage。但是这两种镜像的格式并没有办法提供给uboot的足够的信息来进行load、jump或者证操作等等。因此,uboot提供了mkimage工具,来将kernel制作为uboot可以识别的格式,将生成的文件称之为uImage。 uboot支持两种类型的uImage。 Legacy-uImage 在kernel镜像的基础上,加上64Byte的信息提供给uboot使用。 FIT-uIma...
U-Boot FIT Image
wo___fu的博客
12-04 1494
FIT 镜像一般都是把 data 嵌入到 FIT 结构内部,U-Boot 的 SPL 使用外部 data,也可以使用 data-offset 属性的存在性判断镜像类型。data-size 属性在两种情况下都会存在,但是 data-offset 和 data-position 属性只会存在一个。但是镜像数据也可以存储在 FIT 外部,通过 data-position 或者 data-offset 和 data-size 描述镜像信息,使得 FIT 结构变小。
AP6010 uboot模式FIT升级FAT实录
weixin_34315665的博客
02-19 1192
前段时间因为突然停电AP6010变成了砖,让华为的保修之后,发现被修改成了原始版本FIT,可是公司都是用FAT,看了华为的操作手册后,开始自己升级。1 关闭电脑的防火墙!!!我期间有一天找不到问题所在,就是因为笔记本的防火墙2 下载好新的FAT镜像文件,可以去华为的官网下载。需要注册产品,不如无法下载镜像。2 安装TFTP服务器,并配置好目录。在这里我使用的是cisco实室...
uboot FIT 文件
02-28
### 关于 U-Boot FIT 文件 #### 创建 FIT 文件 FIT (Flattened Image Tree) 是一种灵活的映像格式,用于描述多个二进制组件及其属性。为了创建 FIT 文件,通常需要准备一个配置脚本(通常是 YAML 或 FDT 格式),该文件定义了要打包到最终镜像中的各个组成部分。 对于基于 ARM 架构的操作系统启动而言,这可能涉及到 kernel、device tree blob (dtb),以及 root filesystem 的路径和参数设置[^2]。具体来说: 1. 准备好所需的内核 (`zImage` or `uImage`) 和设备树 Blob (`.dtb`) 2. 编写 `.its` 脚本来指定这些资源的位置和其他元数据 3. 利用 mkimage 工具来构建实际的 FIT 映像文件 ```bash mkimage -f my-image.its my-image.fit ``` 此命令会读取名为 `my-image.its` 的输入模板并生成相应的 FIT 文件 `my-image.fit`[^1]。 #### 使用 FIT 文件 一旦有了 FIT 文件之后,在 U-Boot 中加载和引导的过相对简单。假设已经通过 TFTP 或者其他方式获取到了 FIT 文件,则可以在 U-Boot 提示符下执行如下操作: ```bash tftpboot ${loadaddr} my-image.fit setenv fdt_high 0xffffffffffffffff fdt addr ${fdt_addr_r} fit_image_load simplefb console=ttyS0,115200n8 earlycon=uart8250,mmio32,0xff670000 bootm ${loadaddr}#${conf_id} ``` 上述序列展示了如何从网络服务器下载 FIT 文件,并将其作为目标系统的启动源之一。注意这里的 `${conf_id}` 应当被替换为具体的配置 ID 值,它对应着 FIT 文件内部所定义的不同启动选项之一[^3]。 #### 解决常见问题 针对 FIT 文件可能出现的一些典型挑战有: - **证失败**:如果启用了安全特性如 FIT 证功能,那么任何试图篡改 FIT 结构的行为都会触发错误提示。确保所有参与方都遵循相同的安全策略是非常重要的;同时也要意识到即使存在有效的数字名也不能绝对防止某些形式的攻击向量,比如回滚或混搭攻击[^4]。 - **不兼容硬件平台**:不同 SoC 平台之间可能存在细微差异,特别是在处理内存布局方面。务必确认使用的 device tree 符合当前处理器的要求。 - **缺少必要的环境变量**:U-Boot 启动过中依赖一系列预设好的环境变量来进行正确解析 FIT 文件内的信息。检查是否有遗漏的关键项未被适当初始化。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值