التمهيد الآمن في i.MX6

التمهيد الآمن في i.MX6

• كيفية حماية البرامج الثابتة من الانتحال في المنتج ؛
• كيفية حماية البرامج من النسخ.

المقدمة

• مستوى التطبيق النهائي
• مستوى نظام التشغيل
• مستوى برنامج Bootloader

أبسط الأمثلة: يتصل برنامجك المثبت على Linux عبر بروتوكول UART (على سبيل المثال ، من خلال / dev / ttyACM0) باستخدام متحكم دقيق. يستخدم المهاجم الذي يمكنه الوصول إلى النظام نفس مورد UART ويكرر الحزم المرسلة عشوائيًا. أو ، على سبيل المثال ، إذا كان السائق مدمجًا في النواة ، فإن المهاجم يعيد تجميع النواة عن طريق إعادة كتابة كود سائق UART بطريقة أخرى. التطبيق النهائي لا يعرف ما يحدث.

ما هو التمهيد الآمن ولماذا هو مطلوب؟

• الإقلاع الآمن
• تحميل مشفر.

يحاول التمهيد الآمن التأكد من أن محمل الإقلاع يبدأ من منتجك مع النواة التي قمت بتحميلها فيه.

• إذا لم يتم تنشيط HAB ، فسيستمر تشغيل البرنامج الثابت. هذا يعني أنه بدون إضافة. طرق الحماية سيتم تشغيل البرنامج الثابت الخاص بك على نسخة من المنتج. لمنع حدوث ذلك ، يجب على أداة تحميل التشغيل تنشيط HAB بشكل مستقل عند بدء التشغيل. ولكن بعد ذلك عن طريق إدخال محرك أقراص USB محمول في منتج آخر ونسيان وميض المفتاح العام ، يمكنك التخلص من المعالج.
• عند الوصول إلى ذاكرة المعالج ، يمكنك نسخ المفتاح العمومي ، وهذا يكفي لنسخ المنتج.

التنفيذ

cd ${CST_PATH}/release/keys
echo ${serial} > serial //8 ,     
echo ${password} >  key_pass.txt //   ,     
echo ${password} >>  key_pass.txt //
./hab4_pki_tree.sh //     
Do you want to use an existing CA key (y/n)?: n 
Do you want to use Elliptic Curve Cryptography (y/n)?: n
Enter key length in bits for PKI tree: 4096
Enter PKI tree duration (years): 10
How many Super Root Keys should be generated? 4
Do you want the SRK certificates to have the CA flag set? (y/n)?: y
 ../linux64/bin/srktool -h 4 -t SRK_1_2_3_4_table.bin -e SRK_1_2_3_4_fuse.bin \
 -d sha256 -c ./SRK1_sha256_4096_65537_v3_ca_crt.pem,\
./SRK2_sha256_4096_65537_v3_ca_crt.pem,./SRK3_sha256_4096_65537_v3_ca_crt.pem,\
./SRK4_sha256_4096_65537_v3_ca_crt.pem -f 1

cd ${CST_PATH}/release/linux64/bin
./var-u-boot_fuse_commands.sh 
fuse prog 3 0 0xFFFFFFFF //   uboot.
fuse prog 3 1 0xFFFFFFFF //     
fuse prog 3 2 0xFFFFFFFF //       .
fuse prog 3 3 0xFFFFFFFF //  -   .
fuse prog 3 4 0xFFFFFFFF //      .
fuse prog 3 5 0xFFFFFFFF //
fuse prog 3 6 0xFFFFFFFF  //
fuse prog 3 7 0xFFFFFFFF //

CONFIG_SECURE_BOOT=y
CONFIG_SYS_FSL_HAS_SEC=y 
#define CONFIG_SYS_FSL_SEC_COMPAT    4 /* HAB version */
#define CONFIG_FSL_CAAM
#define CONFIG_CMD_DEKBLOB
#define CONFIG_SYS_FSL_SEC_LE
#define CONFIG_FAT_WRITE

• u-boot-ivt.img
• u-boot-ivt.img.log
• SPL
• SPL.log

Image Name:   U-Boot 2019 //  U-boot
Created:      XXXXXX
Image Type:   ARM U-Boot Firmware with HABv4 IVT (uncompressed)
Data Size:    339904 Bytes = 331.94 KiB = 0.32 MiB
Load Address: 17800000
Entry Point:  00000000
HAB Blocks:   0x177fffc0   0x0000   0x00051020

Image Type:   Freescale IMX Boot Image //  SPL
Image Ver:    2 (i.MX53/6/7 compatible)
Mode:         DCD
Data Size:    61440 Bytes = 60.00 KiB = 0.06 MiB
Load Address: 00907420
Entry Point:  00908000
HAB Blocks:   00907400 00000000 0000cc00
DCD Blocks:   00910000 0000002c 00000004

cd ${CST_PATH}/release/linux64/bin
./cst --o u-boot_csf.bin --i u-boot.csf
cat u-boot-ivt.img u-boot_csf.bin > u-boot_signed.img

cd ${CST_PATH}/release/linux64/bin
SOC=mx6 ./var-som_sign_image.sh SPL u-boot-ivt.img

dd if=SPL_signed of=${DEVICE(/dev/sd*)} bs=1K seek=1; sync
dd if=u-boot-ivt.img_signed of=${DEVICE(/dev/sd*)} bs=1K seek=69; sync

hab_status
HAB Configuration: 0xf0, HAB State: 0x66
No HAB Events Found!

fuse prog 0 6 0x2

استنتاج

مرجع