برنامج أداة التوقيع من سلسلة STM32MPx

معلومات المنتج

تحديد:

• اسم المنتج:STM32MP-أداة التوقيع
• إصدار: UM2543 - القس 4
• تاريخ الافراج عنه:يونيو 2024

تعليمات استخدام المنتج

تثبيت:
لتثبيت STM32MP-SignTool، اتبع الخطوات الموضحة في دليل المستخدم.

واجهة سطر الأوامر:
تتوفر الأوامر التالية عند استخدام STM32MP-SignTool من سطر الأوامر:

• – صورة ثنائية (-bin)، – إدخال (-in)
• –نسخة الصورة (-iv)
• –المفتاح الخاص (-prvk)
• –المفتاح العام -pubk

Exampليه:
ارجع إلى السابقampلمعرفة كيفية استخدام STM32MP-SignTool بشكل فعال، راجع الفقرات أدناه:

1. Exampالدرس 1: اختيار الخوارزمية الافتراضية وإخراجها file خلق.
2. Exampالدرس 2: التوقيع الثنائي file مع إصدار الرأس 2 ومفاتيح عامة متعددة.

وضع مستقل:
عند استخدام STM32MP-SignTool في الوضع المستقل، اتبع الخطوات التالية:

1. أدخل المسار المطلق أولاً.
2. قم بتوفير المعلومات المطلوبة مثل اختيار الخوارزمية، وإصدار الصورة، ونقطة الدخول، وعنوان التحميل.

الأسئلة الشائعة

• كيف يمكنني التحقق من الصورة الناتجة file?
  يمكنك التحقق من الصورة الناتجة عن طريق تحليل الناتج file والتحقق من كل حقل رأس. استخدم الأمر:  ./STM32MP_SigningTool_CLI.exe -dump /home/user/output.stm32
• ما هو الفرق بين إصدارات الرأس للتوقيع؟
  يحدد إصدار الرأس عدد المفاتيح العامة المطلوبة للمصادقة. على سبيل المثالampيتطلب إصدار الرأس 1 مسار مفتاح واحد لمنتجات STM32MP15xx، بينما يتطلب إصدار الرأس 2 وما فوق ثمانية مسارات مفتاح للآخرين.

مقدمة

• تم دمج برنامج أداة التوقيع من سلسلة STM32MPx (المسمى STM32MP-SignTool في هذه الوثيقة) في STM32CubeProgrammer (STM32CubeProg).
• STM32MP-SignTool هي أداة رئيسية تضمن منصة آمنة وتضمن توقيع الصور الثنائية باستخدام مفاتيح ECC التي تم إنشاؤها بواسطة برنامج STM32MP-KeyGen (راجع وصف برنامج مولد المفاتيح من سلسلة STM32MPx (UM2542) في دليل المستخدم لمزيد من التفاصيل).
• يتم استخدام الصور الثنائية الموقعة أثناء تسلسل التمهيد الآمن لوحدة المعالجة المركزية STM32MPx والذي يدعم سلسلة تمهيد موثوقة. يضمن هذا الإجراء التحقق من صحة الصور المحملة وسلامتها.
• STM32MP-SignTool ينشئ صورة ثنائية file، مفتاح عام file، ومفتاح خاص file.
• الصورة الثنائية file يحتوي على البيانات الثنائية التي سيتم برمجتها للجهاز.
• المفتاح العام file يحتوي على المفتاح العام ECC بتنسيق PEM، والذي تم إنشاؤه باستخدام STM32MP-KeyGen.
• المفتاح الخاص file يحتوي على مفتاح ECC الخاص المشفر بتنسيق PEM، والذي تم إنشاؤه باستخدام STM32MP-KeyGen.
• ثنائي موقّع file يمكن أيضًا إنشاؤها من توقيع موقّع بالفعل file مع الدفعة file الوضع. في هذه الحالة، لا تكون المعلمات التالية إلزامية: نقطة إدخال الصورة، وعنوان تحميل الصورة، ومعلمات إصدار الصورة.

تثبيت STM32MP-SignTool

• تم تثبيت هذه الأداة مع حزمة STM32CubeProgrammer (STM32CubeProg). لمزيد من المعلومات حول إجراء الإعداد، راجع القسم 1.2 من دليل المستخدم لوصف برنامج STM32CubeProgrammer (UM2237).
• ينطبق هذا البرنامج على وحدات المعالجة المركزية القائمة على Arm® من سلسلة STM32MPx.
  ملحوظة: Arm هي علامة تجارية مسجلة لشركة Arm Limited (أو الشركات التابعة لها) في الولايات المتحدة و / أو في أي مكان آخر.

واجهة سطر الأوامر STM32MP-SignTool

تتناول الأقسام التالية كيفية استخدام STM32MP-SignTool من سطر الأوامر.

الأوامر
الأوامر المتاحة مدرجة أدناه:

• – صورة ثنائية (-bin)، – إدخال (-in)
  • وصف: صورة ثنائية file المسار (امتداد .bin)
  • بناء الجملة: 1 -bin /home/User/binaryFile.سلة المهملات
  • بناء الجملة :2 - في /home/User/binaryFile.سلة المهملات
• –نسخة الصورة (-iv)
  • وصف: يدخل نسخة الصورة من الصورة الموقعة file
  • بناء الجملة: -رابعاً
• –المفتاح الخاص (-prvk)
  • وصف: مفتاح خاص file المسار (امتداد .pem)
  • بناء الجملة: -بركfile_path>
  • Exampعلى: -prvk ../privateKey.pem
• –المفتاح العام -pubk
  • وصف: المفتاح العام file المسارات
  • بناء الجملة: -بابكFile_المسار{1..8}>
    • بالنسبة للرأس v1: استخدم مسار مفتاح واحد فقط لمنتجات STM32MP15xx
    • بالنسبة لرأس الصفحة v2 وما فوق: استخدم ثمانية مسارات رئيسية للآخرين
• –كلمة المرور (-pwd)
  • وصف: كلمة المرور للمفتاح الخاص (يجب أن تحتوي هذه الكلمة على أربعة أحرف على الأقل)
  • Exampعلى: -pwd أزيرتي
• –عنوان التحميل (-la)
  • وصف: عنوان تحميل الصورة
  • Exampعلى: -لا
• –نقطة الدخول (-ep)
  • وصف: نقطة دخول الصورة
  • Exampعلى: -حلقة
• –option-flags (-of)
  • وصف: أعلام خيار الصورة (القيمة الافتراضية = 0)
  • Exampعلى: -ل
• –الخوارزمية (-أ)
  • وصف: يحدد أحد prime256v1 (القيمة 1، الافتراضية) أو brainpoolP256t1 (القيمة 2)
  • Exampعلى: -أ <2>
• –الإخراج (-o)
  • وصف: الناتج file المسار. هذه المعلمة اختيارية. إذا لم يتم تحديدها، فسيتم عرض الإخراج file يتم إنشاؤه في نفس المصدر file المسار (على سبيل المثالampالصورة الثنائية file هل هو C:\BinaryFile.bin). الملف الثنائي الموقّع file هل هو C:\BinaryFile_وقع.bin.
  • بناء الجملة: -وFile_المسار>
• –النوع (-t)
  • وصف: النوع الثنائي. القيم الممكنة هي ssbl وfsbl وteeh وteed وteex وcopro
  • بناء الجملة: -t
• –صامت (-س)
  وصف: لم يتم عرض أي رسالة لاستبدال الناتج الحالي file
• –مساعدة (-h و-؟)
  وصف: يظهر المساعدة
• –الإصدار (-v)
  وصف: يعرض إصدار الأداة
• –enc-dc (-encdc)
  • وصف: ثابت اشتقاق التشفير لتشفير FSBL [الرأس v2]
  • بناء الجملة: -إن سي دي سي
• –enc-key (-enck)
  • وصف: سر OEM file لتشفير FSBL [الرأس v2]
  • بناء الجملة: -إنك
• –dump-header (–dump)
  • وصف: تحليل وتفريغ رأس الصورة
  • بناء الجملة: -أحمقFile_المسار>
• –إصدار الرأس (-hv)
  • وصف: توقيع إصدار الرأس، القيم الممكنة: 1، 2، 2.1، 2.2
  •  Example لـ STM32MP15: -hv 2
  • Example لـ STM32MP25: -hv 2.2
• –لا مفاتيح (-nk)
  • وصف: إضافة رأس فارغ بدون خيارات المفاتيح
  • يلاحظ: يجب تعطيل خيار المصادقة باستخدام أمر أعلام الخيار.

Exampملفات لـ STM32MP-SignTool
المثال التاليampفيما يلي عرض لكيفية استخدام STM32MP-SignTool:

• Exampليه 1 

  
  تم تحديد الخوارزمية الافتراضية (prime256v1) وقيمة علم الخيار هي 0 (القيمة الافتراضية). يتم عرض ملف الإخراج الثنائي الموقع file (ثنائيFileيتم إنشاء _Signed.bin) في المجلد /home/user/

• Exampليه 2

  يتم اختيار خوارزمية BrainpoolP256t1 في هذه الحالة. حتى إذا لم يكن المجلد 2 والمجلد 3 موجودين، فسيتم إنشاؤهما. باستخدام الأمر –s، حتى إذا كان file إذا كان موجودًا بنفس الاسم المحدد، فسيتم استبداله تلقائيًا دون أي رسالة.
• Exampليه 3
  توقيع ثنائي file استخدام إصدار الرأس 2 الذي يتضمن ثمانية مفاتيح عامة لتدفق المصادقة.
• Exampليه 4
  توقيع ثنائي file استخدام إصدار الرأس 2 الذي يتضمن ثمانية مفاتيح عامة للمصادقة بالإضافة إلى تدفق التشفير.
• Exampليه 5
  التحقق من الصورة الناتجة عن طريق تحليل الناتج file وتحقق من كل حقل رأس.
• Exampليه 6
  أضف رأسًا بدون توقيع وبدون نشر المفاتيح.

الوضع المستقل
عند تشغيل STM32MP-SignTool في الوضع المستقل، يجب إدخال مسار مطلق أولاً. ثم يتم طلب كلمة مرور مرتين للتأكيد، كما هو موضح في الشكل أدناه.

والخطوات التالية هي التالية:

• اختر واحدة من الخوارزميتين.
• أدخل إصدار الصورة ونقطة إدخال الصورة وعنوان تحميل الصورة.
• أدخل قيمة علم الخيار.
  مخرج آخر file يمكن تحديد المسار إذا لزم الأمر، أو الضغط على Enter للمتابعة بالمسار الموجود.

حل PKCS#11

• يتم استخدام الصور الثنائية الموقعة أثناء تسلسل التمهيد الآمن STM32MP الذي يدعم سلسلة تمهيد موثوقة. يضمن هذا الإجراء التحقق من صحة الصور المحملة وسلامتها.
• يطلب أمر التوقيع الكلاسيكي توفير جميع المفاتيح العامة والخاصة كمدخلات fileيمكن لأي شخص مسموح له بتنفيذ خدمة التوقيع الوصول إليها بشكل مباشر. وفي النهاية، يمكن اعتبار ذلك بمثابة تسرب أمني. هناك العديد من الحلول لحماية المفاتيح ضد أي محاولات لسرقة بيانات المفتاح. وفي هذا السياق، تم اعتماد حل PKCS#11.
• يمكن استخدام واجهة برمجة التطبيقات PKCS#11 للتعامل مع المفاتيح التشفيرية وتخزينها. تحدد هذه الواجهة كيفية الاتصال بأجهزة التشفير مثل وحدات الأمان المادية (HSMs) والبطاقات الذكية. الغرض من هذه الأجهزة هو إنشاء مفاتيح تشفير وتوقيع المعلومات دون الكشف عن مادة المفتاح الخاص للعالم الخارجي.
• يمكن لتطبيقات البرامج استدعاء واجهة برمجة التطبيقات لاستخدام هذه الكائنات من أجل:
  • إنشاء مفاتيح متماثلة/غير متماثلة
  • التشفير وفك التشفير
  • حساب والتحقق من التوقيع الرقمي
• يقدم PKCS #11 للتطبيقات مفهومًا مشتركًا ومنطقيًا view الجهاز الذي يسمى رمز التشفير ويقوم بتعيين معرف فتحة لكل رمز. يحدد التطبيق الرمز الذي يريد الوصول إليه من خلال تحديد معرف الفتحة المناسب.
• يتم استخدام STM32SigningTool لإدارة الكائنات الرئيسية المخزنة على البطاقات الذكية ورموز الأمان PKCS#11 المماثلة حيث لا تترك المفاتيح الخاصة الحساسة الجهاز أبدًا.
• تستخدم أداة STM32SigningTool واجهة PKCS#11 لمعالجة وتوقيع الثنائيات المدخلة استنادًا إلى مفاتيح ECDSA العامة/الخاصة. يتم تخزين هذه المفاتيح في رموز أمان (أجهزة أو برامج).

أوامر PKCS#11 الإضافية

• -وحدة (-م)
  • وصف: تحديد مسار وحدة/مكتبة PKCS#11 للتحميل (dll، وما إلى ذلك)
  • بناء الجملة:-m
• – مؤشر المفتاح (-ki)
  • – مؤشر المفتاح (-ki)
  • وصف: قائمة مفاتيح الفهرس المستخدمة بتنسيق سداسي عشري
    استخدم فهرسًا واحدًا لرأس الصفحة v1 وثمانية فهرس لرأس الصفحة v2 (مفصولة بمسافة)
  • بناء الجملة: -كي
• – مؤشر الفتحة (-si)
  • وصف: تحديد مؤشر الفتحة المراد استخدامها (الافتراضي 0x0)
  • بناء الجملة:-si
• –active-keyIndex (-aki)
  • وصف: تحديد مؤشر المفتاح النشط الفعلي (الافتراضي 0)
  • بناء الجملة: -aki <قيمة سداسية عشرية>

PKH/PKTH file جيل
بعد معالجة عملية التوقيع، تقوم الأداة بإنشاء PKH بشكل منهجي files لاستخدامها بعد فتيل OTP.

• بي كيه اتش file تم تسمية pkcsHashPublicKey0x{active_key_index}.bin لرأس الإصدار 1
• بكث file تم تسمية pkcsPublicKeysHashHashes.bin لرأس الإصدار 2

Exampليه
يمكن للأداة توقيع الإدخال files لكل من الرأس v1 والرأس v2، مع اختلاف بسيط في سطر الأوامر.

• رأس الصفحة الإصدار 1 

  

• رأس الصفحة الإصدار 2 

  

  • يؤدي حدوث خطأ في سطر الأوامر أو عدم قدرة الأداة على تحديد الكائنات الرئيسية المطابقة إلى ظهور رسالة خطأ. يشير هذا إلى مصدر المشكلة.
  • لا يمكن لأداة SigningTool سوى استخدام أجهزة HSM المهيأة مسبقًا، وهي غير مصممة لإدارة أو إنشاء كائنات أمان جديدة. لذلك، من الضروري تثبيت برنامج مجاني لإعداد بيئة مناسبة. ومن ثم يمكن إنشاء المفاتيح والحصول على معلومات حول الكائنات.

على سبيل المثال خطأampليه:

• مؤشر الفتحة غير صالح
• كائن مفتاح غير معروف تم ذكره في الأمر –key-index
  تعالج الأداة الكائنات بشكل متسلسل. إذا لم تتمكن من تحديد الكائنات الرئيسية المطابقة في المحاولة الأولى، فإن عملية التوقيع توقف العملية. ثم يتم عرض رسالة خطأ للإشارة إلى مصدر المشكلة.

تاريخ المراجعة

تاريخ	إصدار	التغييرات
14-فبراير-2019	1	الإصدار الأولي.
26 نوفمبر 2021	2	تم التحديث: • القسم 2.1: الأوامر • القسم 2.2: السابقampملفات لـ STM32MP-SignTool • تمت إضافة القسم 2.4: حل PKCS#11
27 يونيو 2022	3	تم تحديث القسم 2.1: الأوامر
26 يونيو 2024	4	تم استبداله في المستند بأكمله: • سلسلة STM32MP1 من سلسلة STM32MPx • STM32MP1-SignTool بواسطة STM32MP-SignTool • STM32MP1-KeyGen بواسطة STM32MP-KeyGen تم تحديث –public-key -pubk وإضافة –header-version (-hv) و –no-keys (- nk) في القسم 2.1: الأوامر. تمت إضافة "المثال 6" في القسم 2.2: المثالampالملفات الخاصة بـ STM32MP-SignTool.

إشعار هام – اقرأ بعناية

• تحتفظ شركة STMicroelectronics NV والشركات التابعة لها ("ST") بالحق في إجراء تغييرات وتصحيحات وتعزيزات وتعديلات وتحسينات على منتجات ST و/أو هذه الوثيقة في أي وقت دون إشعار. يجب على المشترين الحصول على أحدث المعلومات ذات الصلة بمنتجات ST قبل تقديم الطلبات. تُباع منتجات ST وفقًا لشروط وأحكام البيع الخاصة بشركة ST السارية وقت إقرار الطلب.
• يعتبر المشترون مسؤولين بشكل كامل عن اختيار منتجات ST واختيارها واستخدامها، ولا تتحمل شركة ST أي مسؤولية عن مساعدة التطبيق أو تصميم منتجات المشترين.
• لا يتم منح أي ترخيص، صريحًا أو ضمنيًا، لأي حق من حقوق الملكية الفكرية من قبل شركة ST هنا.
• إن إعادة بيع منتجات ST بأحكام مختلفة عن المعلومات الواردة هنا يؤدي إلى إبطال أي ضمان تمنحه شركة ST لهذا المنتج.
• ST وشعار ST هما علامتان تجاريتان لشركة ST. للحصول على معلومات إضافية حول العلامات التجارية لشركة ST ، راجع www.st.com/trademarks. جميع أسماء المنتجات أو الخدمات الأخرى مملوكة لأصحابها المعنيين.
• تحل المعلومات الواردة في هذه الوثيقة محل المعلومات المقدمة مسبقًا في أي إصدارات سابقة من هذه الوثيقة.
  © 2024 STMicroelectronics – جميع الحقوق محفوظة

المستندات / الموارد

برنامج أداة التوقيع من سلسلة ST STM32MPx [بي دي اف] دليل المستخدم برنامج أداة التوقيع من سلسلة STM32MPx، سلسلة STM32MPx، برنامج أداة التوقيع، برنامج الأدوات، البرنامج

مراجع

• دليل المستخدم