I.MX RT1170加密启动详解(2):HAB认证原理

已于 2023-06-02 21:23:05 修改
阅读量1k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: RT1170 文章标签: mcu
于 2023-05-30 23:32:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tilblackout/article/details/130959328
HAB认证基于RSA或ECDSA算法,确保芯片在上电后通过公钥验证加密镜像的完整性。正常启动模式生成多个SRKs和密钥,而快速启动模式提高启动速度但降低签名稳健性。设备可撤销SRK以应对安全威胁。在关闭模式下,BootROM执行认证流程,通过CSF和IMG验证确保授权软件运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1 基础

HAB认证是基于RSA或ECDSA算法的公钥密码学,它用一系列的私钥对image进行加密,然后BootROM在上电后用对应的公钥验证加密的镜像是否被修改。这个密钥结构就是PKI(Public Key Infrastructure)树

(1)normal boot mode

它可以生成最多四个SRKs(Super Root Keys)、相应的CSF和IMG密钥,其中CSF密钥用来给CSF字段签名,IMG密钥用来给APP和数据进行签名。
在这里插入图片描述
(2)fast boot mode

它可以使用SRK直接验证CSF和镜像数据,而不需要使用CSF和IMG密钥。这种方式提高了系统的启动时间,但是签名的鲁棒性降低,如果对启动时间要求不高,则建议使用normal boot模式。
在这里插入图片描述
支持HAB的设备可以撤回SRKs,只有一个SRK可以通过安装的SRK CSF命令在启动时被选择。当一个或多个SRK泄露时,需要撤销SRK。RT1176中最多4个SRK revoke fuse位映射到SRK表索引,可以通过将eFuse中的SRK_REVOKE[3:0]对应的bit置1来撤销SRK。

芯片中HAB有以下安全特性:

  • HAB初始化SNVS安全监控状态机,HAB必须安全启动才有权限访问SNVS选择的CAAM主密钥
  • HAB从OCOTP_CTRL读取根公钥指纹、撤销掩码和安全配置
  • HAB将使用CAAM来加速下面的加密操作:
    • ECC和AES被CAAM加速
    • RSA由HAB软件管理
    • SHA被HAB软件管理或CAAM加速(取决于CSF字段)

2 使能过程

下图显示了证书生成流程以及HAB启用过程,HAB在一个签名的image中最多支持4个SRKs。

  • 基于PKI树的公钥、私钥和证书可以通过NXP提供的工具生成

为了使能信任根,公钥被SHA-256哈希算法提炼成SRK表和SRKH(SRK Hash)。其中SRKH需要写入eFuse对应的位中(见下表)。SRK表保存在image中的CSF字段,可以用CST提供的工具SRKTool生成SRK表,它需要生成的X.509公钥证书作为给SRKs的输入,然后就可以生产SRK表和SRKH。要完成HAB使能过程,需要将eFuse中的SEC_CONFIG[1]位置1来将security模式设置为CLOSED模式。

当设备进入CLOSED模式后,只有由私钥之一签名的授权软件才能运行,包括Flashloader。镜像将使用SHA-256生成一个hash,然后交给RSA或ECDSA数字签名算法处理;CSF将使用Elftosb、CST和BD文件进行签名。
在这里插入图片描述在这里插入图片描述

3 Boot flow

当设备处于CLOSED模式后,在每次复位的时候BootROM都会执行认证过程。

(1)从eFuse中获取SRKH,然后对CSF字段的SRK table做sha256得到SRKH,二者比较,如果匹配,则信任根建立

(2)CSF和IMG公用证书通过SRK table中的SRK验证,HAB库使用对应的公钥解密签名,然后将解密后的hash与通过实际镜像采用sha256计算出的hash进行比较

(3)如果所有的步骤都通过,则main应用程序将启动,否则将进入Secured Serial Downlaoder(SDP)模式

在这里插入图片描述

i.MX6裸机开发(1):环境搭建
lishing6的博客
08-16 944
本书讲解的例程全部采用2.2版本SDK的库文件,以下内容请大家打开“SDK_2.2_MCIM6ULL_EBF6ULL”的SDK包配合阅读,如下所示。为提高系统的稳定性,处理器会被分成多种工作模式,不同工作模式的权限不同。Cortex-M3或者M4内核的 的芯片分为特权模式和非特权模式,特权模式下CPU完全控制芯片而非特权模式下不能操作某些特殊 的寄存器。i.MX 6U作为一款应用处理器,将CPU工作模式进一步细分,支持九种工作模式下表所示。表 处理器工作模式处理器模式编码特权等级。
I.MX RT1170加密启动详解(1)加密Boot镜像组成
主要分享嵌入式软件、人工智能部分知识
05-29 1243
包含FlexSPI控制器配置的参数,BootROM中将用低频的时钟和可靠的参数对Flash进行初始化,用户可以将适合自己Flash的FlexSPI配置(主要是LUT表格)按照指定格式放在此字段,BootROM会根据这个字段的配置重新初始化Flash。在这个镜像头中,有一部分的信息是用来给程序加密启动的。本文对加密镜像头中的加密部分做了一个简单的介绍,但没有深入进行介绍,不过没关系,我们只要知道在镜像头中有一些有关加密的字段,每个字段的具体含义在后续介绍了各个不同加密方式后再回来看就会恍然大悟。
I.MX RT1170启动详解:Boot配置、Bootable image头的组成
主要分享嵌入式软件、人工智能部分知识
05-28 3875
每次上电的时候都将执行里面的代码,它完成了对于特定引脚上的FlexSPI、SEMC和SDHC接口的初始化,并从这些接口连接到的Flash和RAM中引导程序启动。是NXP提供的一个软件,可以用来生成Bootable image,当然还有一些其它的功能,比如生成可以与Flashloader能识别的指定协议的镜像文件,可以实现修改eFuse、烧录Flash、AES固件加密等功能。其中镜像的绝对起始地址为0x30000000,程序镜像的大小为0x1000000(实际保存的是Flash的大小)
I.MX6U 启动方式详解
贾贾的博客
06-18 383
  I.MX6U 支持多种启动方式以及启动设备,比如可以从 SD/EMMC、 NAND Flash、 QSPI Flash等启动。用户可以根据实际情况,选择合适的启动设备。 启动方式选择   BOOT 的处理过程是发生在 I.MX6U 芯片上电以后,芯片会根据 BOOT_MODE[1:0]的设置来选择 BOOT 方式。BOOT_MODE[1:0]的值是可以改变的,有两种方式,一种是改写 eFUSE(熔丝),一种是修改相应的 GPIO 高低电平。第一种修改 eFUSE 的方式只能修改一次,后面就不能再修改了,
I.MX RT1170加密启动详解(3)HAB加密启动原理
主要分享嵌入式软件、人工智能部分知识
06-01 871
上一节使用对镜像进行签名认证,这可以防止镜像被篡改。但我们还是希望Flash中的程序不会被别人看到,所以这就需要加密启动了。
iMX8 secure boot AHAB调试
a1028732302的专栏
06-22 763
iMX8 secure boot AHAB调试
NXP imx6ull secureboot HAB签名
qq_40734815的博客
04-17 1466
i.MX系列应用处理器在芯片上提供了HAB(High Assurance Boot)功能。ROM负责从引导介质加载初始程序映像(U-Boot),而HAB使ROM能够通过使用密码学操作对程序映像进行验证和解密。此功能在i.MX 50、i.MX 53、i.MX 6、i.MX 7系列和i.MX 8M系列(i.MX 8M、i.MX 8MM、i.MX 8MN、i.MX 8MP设备)中受支持。
i.MX RT1050安全启动实践:HAB签名与加密教程
标题中提到的“小猫爪:RT1050学习笔记配套资料3”和描述中的“小猫爪:i.MX RT1050学习笔记20-安全启动4-实现HAB签名和HAB加密”指向了学习资料的主要内容,即围绕NXP(恩智浦)公司的i.MX RT1050处理器进行的笔记...
NXP RT-THREAD 2019 培训课程-NXP i.MX RT系列跨界处理器-教程与笔记习题
05-19
在开始详细介绍NXP RT-THREAD 2019培训课程的相关知识点前,需要指出的是,该课程主要针对NXP i.MX RT系列跨界处理器以及RT-Thread操作系统在该处理器上的应用。以下内容将详细介绍i.MX RT系列处理器的特点、RT-...
i.MX_Linux_User's_Guide.pdf
03-07
本篇用户指南针对的是i.MX系列处理器平台的Linux操作系统,具体来说是i.MX6和i.MX7双核处理器的相关开发与部署指南。该文档详细介绍了如何构建和安装i.MX Linux® OS BSP(Board Support Package,板级支持包),...
NXP i.MX6 & i.MX7 系列安全启动HAB实现指南
"CST_UG.pdf - NXP的Code Signing Tool用户指南,版本3.2.0,关于在imx6和imx7系列芯片上使用HAB(Hardware Abstraction Layer for Boot)实现安全启动的详细步骤" 这篇文档是NXP公司针对其微处理器系列,特别是imx...
hab 通信
最新发布
lei7143的专栏
02-24 602
那么分配一个vcid,然后再发起一个分配请求到back-end.back-end收到请求后,也会给自己分配一个vcid,这样俩端分别保存有自己的vcid和对端的vcid。不同服务的physical channel不同,比如摄像头服务有专门的physical channel,硬编解码服务也有专门的物理channel;1、驱动里面通过创建一个内核线程,调用habmm_socket_open 获取MM_MISC_RTC_CONN_ID 对应的handle(vcID)用户层实现hab 接口。驱动层实现hab接口。
小猫爪:i.MX RT1050学习笔记19-安全启动3-实现HAB签名
Oushuwen的博客
11-26 1056
小猫爪:i.MX RT1050学习笔记18-安全启动2-HAB签名1 前言2 准备工作2.1 下载CST2.2 下载Flashloader2.3 安装MinGW2.4 安装OpenSSL3 具体步骤3.1 生成公钥和公钥摘要 1 前言 前面对RT1050的安全启动做了一个简单的介绍,接下来就尝试一下最基础的安全启动机制-HAB签名,该种方式是最初级的安全模式,即仅对image进行签名认证,一般用于对产品安全性要求较高的场合。签名认证主要是对image合法性进行校验,检测image是否被异常破坏或篡改,如果检
基于NXP iMX8测试Secure Boot功能部署
toradexsh的博客
08-30 1722
由于NXP从iMX8/iMX8x处理器开始引入了SCU/SECO等底层控制模块来进行包含启动管理等多项底层初始化功能,因此对于Secure Boot功能支持,也同样升级为Advanced High Assurance Boot (AHAB)特性来配合,以区别于iMX6/iMX8MM/iMX8MP处理器所使用的HABv4特性;AHABHABv4都是基于公共密钥加密(Public Key Cryptography)和数字签名(Digital Signature)技术来实现Secure Boot的...
i.MX RT1170处理器系统安全
pslyunhai3255的博客
02-19 1135
i.MX RT1170跨界MCU以1GHz的速度刷新了记录。该突破性系列结合了卓越的计算能力、多种媒体功能以及实时功能,易于使用。双核i.MX RT1170采用主频达1GHz的Cortex®-M7内核和主频达400MHz的Arm Cortex-M4,同时提供一流的安全保障。i.MX RT1170 MCU支持宽温度范围,适用于消费电子、工业和汽车市场。
I.MX RT1170加密启动详解(4):OTFAD XIP加密运行代码
主要分享嵌入式软件、人工智能部分知识
06-03 1417
OTFAD可以解密包含最多4个AES上下文参数的,每个上下文都有一个用户定义的128位的IEK(Image Encryption Key)、一个64位的计数器和一个64位的内存区域描述符(从哪个地址开始用IEK和计数器解密)。会被KEK加密,KEK必须以大端格式写到USER_KEY5保险丝中。将被写入image相关字段中,然后由OTFAD解密并加载到四内存上下文编程模型寄存器中。签名后的image还需要进行加密处理,根据OTFAD上下文结构和KEK加密的生成加密image。IEK和KEK。
i.MX RT1170 Secure Boot
akegui的博客
01-22 1267
概述 介绍如何使用 RT1170 芯片的 High Assurance Boot (HAB) 功能实现 Secure Boot 功能。 本文包含 HAB 组件的功能介绍,以及简单使用步骤。 HAB 组件介绍(参考《IMXRT1170RM》sec 7.5&10.12) 由 Boot ROM 所提供的高可靠性引导功能 High-Assurance Boot (HAB),主要功能是在引导过程中检测并阻止非授权程序运行。 HAB 使用以下两种方式实现安全引导: 使用数字签名的方式验证程序权限。 在片外对程序
[实践篇]13.13 再来梳理一下HAB的设计原理
从0到1,突破自己
10-25 6337
HAB全称为Hypervisor Abstraction,即硬件抽象,主要用于提供对HOST OS硬件资源的访问。
NXP RT1176()——二级BootLoader开发(安全引导加载程序SBL)
口袋里的跳跳糖
05-15 943
本文Windows下开发:编译方法(以下三种选其一即可): (4)FLASH换型号(5)SDRAM暂时没开(6)其他均默认 上面就是界面话修改源码,开关一些宏定义,代码确定了就可以编译了。这里使用MDK编译。(1)工程创建 还是这个终端,键入命令scons --ide=mdk5 : 这样这个目录 sbl/target/evkmimxrt1170/mdk/ 就生成了工程文件: 打开sbl.uvprojx就是。(2)安装pack MDK安装
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tilblackout

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值