Innihald fela sig
1 STM32MPx Series Signing Tool Hugbúnaður
2 Upplýsingar um vöru
3 Notkunarleiðbeiningar fyrir vöru
4 Algengar spurningar (algengar spurningar)
5 Inngangur
6 Settu upp STM32MP-SignTool
7 STM32MP-SignTool skipanalínuviðmót
7.1 PKCS#11 lausn
8 Endurskoðunarsaga
9 MIKILVÆG TILKYNNING - LESIÐU VARLEGA
10 Skjöl / auðlindir
10.1 Heimildir
11 Tengdar færslur

Signing-Tool-logo

STM32MPx Series Signing Tool Hugbúnaður

Upplýsingar um vöru

Tæknilýsing:

  • Vöruheiti: STM32MP-SignTool
  • Útgáfa: UM2543 – Rev 4
  • Útgáfudagur: júní 2024

Notkunarleiðbeiningar fyrir vöru

Uppsetning:
Til að setja upp STM32MP-SignTool skaltu fylgja skrefunum í notendahandbókinni.

Skipanalínuviðmót:
Eftirfarandi skipanir eru tiltækar þegar STM32MP-SignTool er notað frá skipanalínunni:

  • –tvíundarmynd(-bin), –inntak(-inn)
  • -myndaútgáfa (-iv)
  • -einkalykill (-prvk)
  • –almannalykill -pubk

Examples:
Vísa til fyrrvamplesið hér að neðan til að skilja hvernig á að nota STM32MP-SignTool á áhrifaríkan hátt:

  1. Example 1: Sjálfgefið reiknirit val og framleiðsla file sköpun.
  2. Example 2: Undirritun tvíundir file með hausútgáfu 2 og marga opinbera lykla.

Sjálfstæður hamur:
Þegar þú notar STM32MP-SignTool í sjálfstæðum ham skaltu fylgja þessum skrefum:

  1. Sláðu inn algera slóðina fyrst.
  2. Gefðu nauðsynlegar upplýsingar eins og val á reiknirit, myndútgáfu, inngangspunkt og hleðslufang.

Algengar spurningar (algengar spurningar)

  • Hvernig sannreyna ég úttaksmyndina file?
    Þú getur staðfest myndina sem myndast með því að flokka úttakið file og athuga hvern haus reit. Notaðu skipunina:  ./STM32MP_SigningTool_CLI.exe -dump /home/user/output.stm32
  • Hver er munurinn á hausútgáfum til undirritunar?
    Hausútgáfan ákvarðar fjölda almenningslykla sem þarf til auðkenningar. Til dæmisample, hausútgáfa 1 þarf eina lykilslóð fyrir STM32MP15xx vörur, en hausútgáfa 2 og nýrri krefst átta lykilslóða fyrir aðrar.

Inngangur

  • STM32MPx röð undirritunarverkfærahugbúnaðurinn (sem heitir STM32MP-SignTool í þessu skjali) er samþættur í STM32CubeProgrammer (STM32CubeProg).
  • STM32MP-SignTool er lykiltól sem tryggir öruggan vettvang og tryggir undirritun tvíundirmynda með því að nota ECC lykla sem eru búnir til með STM32MP-KeyGen hugbúnaði (sjá notendahandbók STM32MPx röð lykilframleiðenda hugbúnaðarlýsingu (UM2542) fyrir frekari upplýsingar).
  • Undirrituðu tvöfaldar myndirnar eru notaðar við STM32MPx röð MPU örugga ræsingarröð sem styður trausta ræsikeðju. Þessi aðgerð tryggir auðkenningar- og heilleikaathugun á hlaðnum myndum.
  • STM32MP-SignTool býr til tvöfalda mynd file, opinber lykill file, og einkalykill file.
  • Tvíundarmyndin file inniheldur tvöfalda gögnin sem á að forrita fyrir tækið.
  • Opinberi lykillinn file inniheldur ECC almenningslykil á PEM sniði, búinn til með STM32MP-KeyGen.
  • Einkalykillinn file inniheldur dulkóðaða ECC einkalykilinn á PEM sniði, búinn til með STM32MP-KeyGen.
  • Undirritaður tvöfaldur file er einnig hægt að búa til úr þegar undirrituðu file með lotunni file ham. Í þessu tilviki eru eftirfarandi færibreytur ekki nauðsynlegar: inngöngustaður myndar, vistfang myndhleðslu og færibreytur myndútgáfu.

Settu upp STM32MP-SignTool

  • Þetta tól er sett upp með STM32CubeProgrammer pakkanum (STM32CubeProg). Nánari upplýsingar um uppsetningarferlið er að finna í kafla 1.2 í notendahandbókinni STM32CubeProgrammer hugbúnaðarlýsingu (UM2237).
  • Þessi hugbúnaður á við um STM32MPx röð Arm®-undirstaða MPU.
    Athugið: Arm er skráð vörumerki Arm Limited (eða dótturfélaga þess) í Bandaríkjunum og/eða annars staðar.

STM32MP-SignTool skipanalínuviðmót

Eftirfarandi hlutar lýsa því hvernig á að nota STM32MP-SignTool frá skipanalínunni.

Skipanir
Tiltækar skipanir eru taldar upp hér að neðan:

  • –tvíundarmynd(-bin), –inntak(-inn)
    • Lýsing: tvíundarmynd file slóð (.bin ending)
    • Setningafræði: 1 -bin /home/Notandi/tvíundirFile.bin
    • Setningafræði :2 -í /heimili/Notandi/tvíundirFile.bin
  • -myndaútgáfa (-iv)
    • Lýsing: fer inn í myndútgáfu undirritaðrar myndar file
    • Setningafræði: -iv
  • -einkalykill (-prvk)
    • Lýsing: einkalykill file slóð (.pem ending)
    • Setningafræði: -prvkfile_slóð>
    • Example: -prvk ../privateKey.pem
  • –almannalykill -pubk
    • Lýsing: opinber lykill file brautir
    • Setningafræði: -pöbbFile_Slóð{1..8}>
      • Fyrir haus v1: notaðu aðeins eina lykilslóð fyrir STM32MP15xx vörur
      • Fyrir haus v2 og nýrri: notaðu átta lykilleiðir fyrir aðra
  • –lykilorð (-pwd)
    • Lýsing: lykilorð einkalykils (þetta lykilorð verður að innihalda að minnsta kosti fjóra stafi)
    • Example: -pwd azerty
  • –hlaða heimilisfang (-la)
    • Lýsing: heimilisfang fyrir hleðslu myndar
    • Example: -la
  • -innkomustaður (-ep)
    • Lýsing: innkomustaður myndar
    • Example: -ep
  • –valkostur-fánar (-af)
    • Lýsing: myndavalfánar (sjálfgefið gildi = 0)
    • Example: -af
  • -reiknirit (-a)
    • Lýsing: tilgreinir eitt af prime256v1 (gildi 1, sjálfgefið) eða brainpoolP256t1 (gildi 2)
    • Example: -a <2>
  • –úttak (-o)
    • Lýsing: framleiðsla file leið. Þessi færibreyta er valfrjáls. Ef ekki tilgreint, framleiðsla file er myndaður á sama uppruna file slóð (tdample, tvíundarmyndin file er C:\BinaryFile.bin). Undirritaður tvöfaldur file er C:\BinaryFile_Signuð.bin.
    • Setningafræði: -oFile_Slóð>
  • –gerð (-t)
    • Lýsing: tvöfaldur gerð. Möguleg gildi eru ssbl, fsbl, teeh, teed, teex og copro
    • Setningafræði: -t
  • –hljóður (-s)
    Lýsing: engin skilaboð birt til að skipta um núverandi úttak file
  • –hjálp (-h og -?)
    Lýsing:     sýnir hjálp
  • –útgáfa (-v)
    Lýsing: sýnir verkfæraútgáfuna
  • –enc-dc (-encdc)
    • Lýsing: dulkóðunarafleiðingarfasti fyrir FSBL dulkóðun [haus v2]
    • Setningafræði: -encdc
  • –enc-lykill (-enck)
    • Lýsing: OEM leyndarmál file fyrir FSBL dulkóðun [haus v2]
    • Setningafræði: -enck
  • –dump-haus (–dump)
    • Lýsing: þátta og henda myndhaus
    • Setningafræði: -sorphaugurFile_Slóð>
  • –hausútgáfa (-hv)
    • Lýsing: undirskriftarhaus útgáfa, möguleg gildi: 1, 2, 2.1, 2.2
    •  Example fyrir STM32MP15: -hv 2
    • Example fyrir STM32MP25: -hv 2.2
  • -engir lyklar (-nk)
    • Lýsing: bætir við tómum haus án lykilvalkosta
    • Tilkynning: þarf að slökkva á auðkenningarvalkosti með Option flags skipuninni.

Examples fyrir STM32MP-SignTool
Eftirfarandi frvamples sýnir hvernig á að nota STM32MP-SignTool:

  • Example 1 

    STM32MPx-Series-Signing-Tool-Software-mynd-1
    Sjálfgefið reiknirit (prime256v1) er valið og valkostur fánagildi er 0 (sjálfgefið gildi). Undirritaður tvöfaldur útgangur file (TvöfaldurFile_Signed.bin) er búið til í /home/user/ möppunni

  • Example 2STM32MPx-Series-Signing-Tool-Software-mynd-2

    BrainpoolP256t1 reikniritið er valið í þessu tilfelli. Jafnvel þótt Folder2 og Folder3 séu ekki til, þá eru þær búnar til. Með –s skipuninni, jafnvel þótt a file er til með sama tilgreinda nafni, er því sjálfkrafa skipt út án nokkurra skilaboða.

  • Example 3
    Skrifaðu undir tvöfalda file með hausútgáfu 2 sem inniheldur átta opinbera lykla fyrir auðkenningarflæðið.STM32MPx-Series-Signing-Tool-Software-mynd-3
  • Example 4
    Skrifaðu undir tvöfalda file með hausútgáfu 2 sem inniheldur átta opinbera lykla fyrir auðkenningu auk dulkóðunarflæðis.STM32MPx-Series-Signing-Tool-Software-mynd-4
  • Example 5
    Staðfestu myndina sem myndast með því að flokka úttakið file og athugaðu hvern haus reit.STM32MPx-Series-Signing-Tool-Software-mynd-5
  • Example 6
    Bættu við haus án þess að undirrita og án þess að nota lykla.STM32MPx-Series-Signing-Tool-Software-mynd-6

Sjálfstæður háttur
Þegar STM32MP-SignTool er keyrt í sjálfstæðum ham verður að slá inn algera slóð fyrst. Síðan er beðið um lykilorð tvisvar til staðfestingar eins og sést á myndinni hér að neðan.

STM32MPx-Series-Signing-Tool-Software-mynd-7

Næstu skref eru eftirfarandi:

  • Veldu einn af tveimur reikniritunum.
  • Sláðu inn myndútgáfu, inngöngustað myndar og vistfang myndhleðslu.
  • Sláðu inn valmöguleikafánagildi.
    Önnur framleiðsla file Hægt er að tilgreina slóð ef þörf krefur, eða ýttu á enter til að halda áfram með þann sem fyrir er.
PKCS#11 lausn
  • Undirrituðu tvöfaldar myndirnar eru notaðar við STM32MP örugga ræsingarröð sem styður trausta ræsikeðju. Þessi aðgerð tryggir auðkenningar- og heilleikaathugun á hlaðnum myndum.
  • Klassíska undirskriftarskipunin biður um að allir opinberir og einkalyklar séu gefnir upp sem inntak files. Þetta er beint aðgengilegt fyrir alla sem hafa leyfi til að framkvæma undirritunarþjónustuna. Að lokum má líta á þetta sem öryggisleka. Það eru nokkrar lausnir til að vernda lykla gegn öllum tilraunum til að stela lykilgögnum. Í þessu samhengi hefur PKCS#11 lausnin verið tekin upp.
  • PKCS#11 API er hægt að nota til að meðhöndla og geyma dulmálslykla. Þetta viðmót tilgreinir hvernig á að eiga samskipti við dulritunartæki eins og HSM (vélbúnaðaröryggiseiningar) og snjallkort. Tilgangur þessara tækja er að búa til dulmálslykla og undirrita upplýsingar án þess að afhjúpa einkalyklaefni fyrir umheiminum.
  • Hugbúnaðarforrit geta hringt í API til að nota þessa hluti fyrir:
    • Búðu til samhverfa/ósamhverfa lykla
    • Dulkóðun og afkóðun
    • Að reikna út og sannreyna stafrænu undirskriftina
  • PKCS #11 kynnir fyrir forritum algengt, rökrétt view tækisins sem er kallað dulmálslykil og það úthlutar raufaauðkenni fyrir hvert tákn. Forrit auðkennir táknið sem það vill fá aðgang að með því að tilgreina viðeigandi auðkenni rifa.
  • STM32SigningTool er notað til að stjórna lykilhlutum sem geymdir eru á snjallkortum og svipuðum PKCS#11 öryggistáknum þar sem viðkvæmir einkalyklar fara aldrei úr tækinu.
  • STM32SigningTool notar PKCS#11 viðmótið til að vinna með og undirrita innsláttartvíundir byggða á ECDSA opinberum/einka lyklum. Þessir lyklar eru geymdir í öryggistáknum (vélbúnaði eða hugbúnaði).

Viðbótar PKCS#11 skipanir

  • –eining (-m)
    • Lýsing: tilgreindu PKCS#11 einingu/bókasafnsslóð til að hlaða (dll, svo)
    • Setningafræði:-m
  • –lyklavísitala (-ki)
    • –lyklavísitala (-ki)
    • Lýsing: listi yfir notaða lyklavísitölur á hex sniði
      Notaðu eina vísitölu fyrir haus v1 og átta vísitölur fyrir haus v2 (aðskilin með bili)
    • Setningafræði: -ki
  • -rafavísitala (-si)
    • Lýsing: tilgreindu vísitöluna fyrir raufina sem á að nota (sjálfgefið 0x0)
    • Setningafræði:-si
  • –active-keyIndex (-aki)
    • Lýsing: tilgreindu raunverulega virka lykilvísitöluna (sjálfgefið 0)
    • Setningafræði: -aki < hexValue >

PKH/PKTH file kynslóð
Eftir vinnslu undirritunaraðgerðarinnar býr tólið kerfisbundið til PKH files til að nota eftir fyrir OTP öryggi.

  • PKH file heitir pkcsHashPublicKey0x{active_key_index}.bin fyrir haus v1
  • PKTH file heitir pkcsPublicKeysHashHashes.bin fyrir haus v2

Examples
Tólið getur skrifað undir inntak files fyrir bæði haus v1 og haus v2, með lágmarks mun á skipanalínunni.

  • Haus v1 

    STM32MPx-Series-Signing-Tool-Software-mynd-8

  • Haus v2 

    STM32MPx-Series-Signing-Tool-Software-mynd-9

    • Villa á skipanalínunni, eða vanhæfni tólsins til að bera kennsl á lykilhluti sem passa, veldur því að villuboð birtast. Þetta gefur til kynna upptök vandans.
    • SigningTool er aðeins fær um að nota forstillta HSM og það er ekki hannað til að stjórna eða búa til nýja öryggishluti. Því er nauðsynlegt að setja upp ókeypis hugbúnað til að setja upp viðeigandi umhverfi. Síðan er hægt að búa til lyklana og fá upplýsingar um hluti.

Villa tdamples:

  • Ógild rifavísitalaSTM32MPx-Series-Signing-Tool-Software-mynd-10
  • Óþekktur lykilhlutur sem nefndur er í –key-index skipunSTM32MPx-Series-Signing-Tool-Software-mynd-11
    Tólið meðhöndlar hlutina í röð. Ef það getur ekki borið kennsl á samsvarandi lykilhluti í fyrstu tilraun, stöðvar undirritunaraðgerðin ferlið. Þá birtast villuboð til að gefa til kynna upptök vandamálsins.

Endurskoðunarsaga

Dagsetning Útgáfa Breytingar
14-febrúar-2019 1 Upphafleg útgáfa.
 

 

26-nóv-2021

  

 

2

 Uppfært:

• Hluti 2.1: Skipanir

• Kafli 2.2: Dæmiamples fyrir STM32MP-SignTool

• Hluti 2.4 bætt við: PKCS#11 lausn
27-júní-2022 3 Uppfærður hluti 2.1: Skipanir
 

 

 

26-júní-2024

  

 

 

4

 Skipt út í öllu skjalinu:

• STM32MP1 röð með STM32MPx röð

• STM32MP1-SignTool með STM32MP-SignTool

• STM32MP1-KeyGen með STM32MP-KeyGen

Uppfært –public-key -pubk og bætt við –header-útgáfu (-hv) og –no-keys (- nk) í kafla 2.1: Skipanir.

Bætt við „dæmi 6“ í kafla 2.2: Dæmiamples fyrir STM32MP-SignTool.

MIKILVÆG TILKYNNING - LESIÐU VARLEGA

  • STMicroelectronics NV og dótturfélög þess („ST“) áskilja sér rétt til að gera breytingar, leiðréttingar, endurbætur, breytingar og endurbætur á ST vörum og/eða þessu skjali hvenær sem er án fyrirvara. Kaupendur ættu að fá nýjustu viðeigandi upplýsingar um ST vörur áður en þeir leggja inn pantanir. ST vörur eru seldar í samræmi við söluskilmála ST sem eru í gildi þegar pöntun er staðfest.
  • Kaupendur bera einir ábyrgð á vali, vali og notkun ST vara og ST tekur enga ábyrgð á umsóknaraðstoð eða hönnun vöru kaupenda.
  • Ekkert leyfi, óbeint eða óbeint, til nokkurs hugverkaréttar er veitt af ST hér.
  • Endursala á ST vörum með öðrum ákvæðum en upplýsingarnar sem settar eru fram hér ógilda alla ábyrgð sem ST veitir fyrir slíka vöru.
  • ST og ST merkið eru vörumerki ST. Frekari upplýsingar um ST vörumerki er að finna á www.st.com/trademarks. Öll önnur vöru- eða þjónustuheiti eru eign viðkomandi eigenda.
  • Upplýsingar í þessu skjali koma í stað og koma í stað upplýsinga sem áður hafa verið gefnar í fyrri útgáfum þessa skjals.
    © 2024 STMicroelectronics – Allur réttur áskilinn

Skjöl / auðlindir

ST STM32MPx Series Signing Tool Hugbúnaður [pdfNotendahandbók
STM32MPx Series Signing Tool Software, STM32MPx Series, Signing Tool Software, Tool Software, Software

Heimildir

Tengdar færslur

Skildu eftir athugasemd

Netfangið þitt verður ekki birt. Nauðsynlegir reitir eru merktir *