STM32MPx сериясының қол қою құралы бағдарламалық құралы

Өнім туралы ақпарат

Техникалық сипаттамалар:

• Өнім атауы: STM32MP-SignTool
• Нұсқа: UM2543 – 4-нұсқа
• Шығарылған күні: 2024 жылдың маусымы

Өнімді пайдалану нұсқаулары

Орнату:
STM32MP-SignTool орнату үшін пайдаланушы нұсқаулығында берілген қадамдарды орындаңыз.

Пәрмен жолы интерфейсі:
Келесі пәрмендер STM32MP-SignTool пәрмен жолынан пайдаланған кезде қол жетімді:

• –екілік кескін(-bin), –input(-in)
• – кескін нұсқасы (-iv)
• – жеке кілт (-prvk)
• – ашық кілт – pubk

Examples:
Бұрынғыға сілтеме жасаңызampSTM32MP-SignTool қалай тиімді пайдалану керектігін түсіну үшін төменде қараңыз:

1. Example 1: Әдепкі алгоритмді таңдау және шығару file құру.
2. Example 2: екілік файлға қол қою file тақырыбының 2 нұсқасы және бірнеше ашық кілттері бар.

Дербес режим:
STM32MP-SignTool құралын дербес режимде пайдаланған кезде мына қадамдарды орындаңыз:

1. Алдымен абсолютті жолды енгізіңіз.
2. Алгоритмді таңдау, кескін нұсқасы, кіру нүктесі және жүктеу мекенжайы сияқты қажетті ақпаратты беріңіз.

Жиі қойылатын сұрақтар (ЖҚС)

• Шығарылған кескінді қалай тексеруге болады file?
  Нәтижені талдау арқылы алынған кескінді тексеруге болады file және әрбір тақырып өрісін тексеру. Пәрменді пайдаланыңыз:  ./STM32MP_SigningTool_CLI.exe -dump /home/user/output.stm32
• Қол қоюға арналған тақырып нұсқаларының айырмашылығы неде?
  Тақырып нұсқасы аутентификация үшін қажетті ашық кілттердің санын анықтайды. Мысалыample, тақырыптың 1 нұсқасы STM32MP15xx өнімдері үшін бір негізгі жолды қажет етеді, ал 2 және одан жоғары тақырып нұсқасы басқалары үшін сегіз негізгі жолды қажет етеді.

Кіріспе

• STM32MPx сериялы қол қою құралы бағдарламалық құралы (осы құжатта STM32MP-SignTool деп аталады) STM32CubeProgrammer (STM32CubeProg) ішінде біріктірілген.
• STM32MP-SignTool – қауіпсіз платформаға кепілдік беретін және STM32MP-KeyGen бағдарламалық құралы арқылы жасалған ECC пернелері арқылы екілік кескіндерге қол қоюды қамтамасыз ететін негізгі құрал (толығырақ ақпарат алу үшін STM32MPx сериялы кілт генераторының бағдарламалық құралының сипаттамасын (UM2542) пайдаланушы нұсқаулығын қараңыз).
• Қол қойылған екілік кескіндер сенімді жүктеу тізбегін қолдайтын STM32MPx сериялы MPU қауіпсіз жүктеу реттілігі кезінде пайдаланылады. Бұл әрекет жүктелген кескіндердің аутентификациясы мен тұтастығын тексеруді қамтамасыз етеді.
• STM32MP-SignTool екілік кескінді жасайды file, ашық кілт file, және жеке кілт file.
• Екілік кескін file құрылғы үшін бағдарламаланатын екілік деректерді қамтиды.
• Ашық кілт file STM32MP-KeyGen көмегімен жасалған PEM пішіміндегі ECC ашық кілтін қамтиды.
• Жеке кілт file STM32MP-KeyGen көмегімен жасалған PEM пішіміндегі шифрланған ECC жеке кілтін қамтиды.
• Қол қойылған екілік file қол қойылғаннан да жасалуы мүмкін file партиясымен file режимі. Бұл жағдайда келесі параметрлер міндетті емес: кескінді енгізу нүктесі, кескінді жүктеу мекенжайы және кескін нұсқасының параметрлері.

STM32MP-SignTool орнатыңыз

• Бұл құрал STM32CubeProgrammer бумасымен (STM32CubeProg) орнатылған. Орнату процедурасы туралы қосымша ақпаратты STM1.2CubeProgrammer бағдарламалық құралының сипаттамасы (UM32) пайдаланушы нұсқаулығының 2237 бөлімін қараңыз.
• Бұл бағдарламалық құрал STM32MPx сериялы Arm® негізіндегі MPU құрылғыларына қолданылады.
  Ескерту: Arm - бұл АҚШ -тағы және/немесе басқа елдердегі Arm Limited (немесе оның еншілес ұйымдарының) тіркелген сауда белгісі.

STM32MP-SignTool пәрмен жолы интерфейсі

Келесі бөлімдер пәрмен жолынан STM32MP-SignTool пайдалану жолын сипаттайды.

Командалар
Қол жетімді пәрмендер төменде берілген:

• –екілік кескін(-bin), –input(-in)
  • Сипаттама: екілік кескін file жол (.bin кеңейтімі)
  • Синтаксис: 1 -bin /home/User/binaryFile.bin
  • Синтаксис :2 -in /home/User/binaryFile.bin
• – кескін нұсқасы (-iv)
  • Сипаттама: қол қойылған кескіннің кескін нұсқасын енгізеді file
  • Синтаксис: -iv
• – жеке кілт (-prvk)
  • Сипаттама: жеке кілт file жол (.pem кеңейтімі)
  • Синтаксис: -првкfile_жол>
  • Exampле: -prvk ../privateKey.pem
• – ашық кілт – pubk
  • Сипаттама: ашық кілт file жолдар
  • Синтаксис: - пабкFile_Жол{1..8}>
    • v1 тақырыбы үшін: STM32MP15xx өнімдері үшін бір ғана негізгі жолды пайдаланыңыз
    • v2 және одан жоғары тақырып үшін: басқалар үшін сегіз негізгі жолды пайдаланыңыз
• –пароль (-pwd)
  • Сипаттама: жеке кілттің құпия сөзі (бұл құпия сөз кемінде төрт таңбадан тұруы керек)
  • Exampле: -pwd azerty
• –жүктеме адресі (-la)
  • Сипаттама: суретті жүктеу мекенжайы
  • Exampле: -ла
• – кіріс нүктесі (-ep)
  • Сипаттама: кескінді енгізу нүктесі
  • Exampле: -ep
• – опция жалаушалары (-of)
  • Сипаттама: сурет опциясының жалаушалары (әдепкі мән = 0)
  • Exampле: -ның
• –алгоритм (-a)
  • Сипаттама: prime256v1 (1-мән, әдепкі) немесе brainpoolP256t1 (2-мән) бірін көрсетеді
  • Exampле: -a <2>
• –шығару (-o)
  • Сипаттама: шығару file жол. Бұл параметр міндетті емес. Егер көрсетілмесе, шығыс file бір көзде жасалады file жол (мысалы,ample, екілік кескін file C:\ Binary болып табыладыFile.bin). Қол қойылған екілік file C:\ Binary болып табыладыFile_Signed.bin.
  • Синтаксис: -оFile_Жол>
• –түрі (-t)
  • Сипаттама: екілік түрі. Мүмкін мәндер: ssbl, fsbl, teeh, teed, teex және copro
  • Синтаксис: -т
• –үнсіз (-лар)
  Сипаттама: бұрыннан бар шығысты ауыстыру үшін хабар көрсетілмейді file
• – көмек (-h және -?)
  Сипаттама: көмек көрсетеді
• –нұсқа (-v)
  Сипаттама: құрал нұсқасын көрсетеді
• –enc-dc (-encdc)
  • Сипаттама: FSBL шифрлауы үшін шифрлау туындысының тұрақтысы [тақырып v2]
  • Синтаксис: -encdc
• –enc-кілт (-enck)
  • Сипаттама: OEM құпиясы file FSBL шифрлауы үшін [v2 тақырыбы]
  • Синтаксис: -енк
• –дамп-тақырып (–дамп)
  • Сипаттама: сурет тақырыбын талдау және тастау
  • Синтаксис: -қоқысFile_Жол>
• – тақырып нұсқасы (-hv)
  • Сипаттама: қол қою тақырыбы нұсқасы, мүмкін мәндер: 1, 2, 2.1, 2.2
  •  Example STM32MP15 үшін: -hv 2
  • Example STM32MP25 үшін: -hv 2.2
• – пернелер жоқ (-nk)
  • Сипаттама: негізгі опцияларсыз бос тақырыпты қосу
  • Ескерту: Option flags пәрменімен аутентификация опциясын өшіру қажет.

ExampSTM32MP-SignTool үшін les
Келесі эксamples STM32MP-SignTool пайдалану жолын көрсетеді:

• Example 1 

  
  Әдепкі алгоритм (prime256v1) таңдалды және опция жалаушасының мәні 0 (әдепкі мән) болады. Қол қойылған шығыс екілік file (екілікFile_Signed.bin) /home/user/ қалтасында жасалады

• Example 2

  Бұл жағдайда BrainpoolP256t1 алгоритмі таңдалады. Folder2 және Folder3 жоқ болса да, олар жасалады. –s пәрменімен, тіпті егер а file көрсетілген атаумен бар болса, ол ешқандай хабарламасыз автоматты түрде ауыстырылады.
• Example 3
  Екілік жүйеге қол қою file аутентификация ағыны үшін сегіз ашық кілтті қамтитын тақырыптың 2 нұсқасын пайдалану.
• Example 4
  Екілік жүйеге қол қою file аутентификацияға арналған сегіз ашық кілтті және шифрлау ағынын қамтитын тақырыптың 2 нұсқасын пайдалану.
• Example 5
  Шығаруды талдау арқылы алынған кескінді тексеріңіз file және әрбір тақырып өрісін тексеріңіз.
• Example 6
  Қол қоюсыз және кілттерді қолданбай тақырыпты қосыңыз.

Дербес режим
STM32MP-SignTool бағдарламасын дербес режимде орындаған кезде алдымен абсолютті жолды енгізу керек. Содан кейін төмендегі суретте көрсетілгендей растау үшін құпия сөз екі рет сұралады.

Келесі қадамдар келесідей:

• Екі алгоритмнің бірін таңдаңыз.
• Кескін нұсқасын, кескін енгізу нүктесін және кескінді жүктеу мекенжайын енгізіңіз.
• Опция жалаушасының мәнін енгізіңіз.
  Тағы бір шығу file қажет болса жолды көрсетуге болады немесе бар жолды жалғастыру үшін enter пернесін басыңыз.

PKCS#11 шешімі

• Қол қойылған екілік кескіндер сенімді жүктеу тізбегін қолдайтын STM32MP қауіпсіз жүктеу реттілігі кезінде пайдаланылады. Бұл әрекет жүктелген кескіндердің аутентификациясы мен тұтастығын тексеруді қамтамасыз етеді.
• Классикалық қол қою пәрмені барлық ашық және жеке кілттердің кіріс ретінде қамтамасыз етілуін сұрайды fileс. Оларға қол қою қызметін орындауға рұқсат етілген кез келген адам тікелей қол жеткізе алады. Сайып келгенде, бұл қауіпсіздіктің ағып кетуі деп санауға болады. Кілттерді негізгі деректерді ұрлау әрекеттерінен қорғаудың бірнеше шешімдері бар. Осы тұрғыда PKCS#11 шешімі қабылданды.
• PKCS#11 API криптографиялық кілттерді өңдеу және сақтау үшін пайдаланылуы мүмкін. Бұл интерфейс HSM (аппараттық қауіпсіздік модульдері) және смарт карталар сияқты криптографиялық құрылғылармен байланысу жолын анықтайды. Бұл құрылғылардың мақсаты криптографиялық кілттерді генерациялау және құпия кілтті материалды сыртқы әлемге көрсетпей ақпаратқа қол қою болып табылады.
• Бағдарламалық құрал қолданбалары мына нысандарды пайдалану үшін API шақыра алады:
  • Симметриялық/ассиметриялық кілттерді жасаңыз
  • Шифрлау және шифрды шешу
  • Сандық қолтаңбаны есептеу және тексеру
• PKCS №11 қолданбаларға жалпы, логикалық ұсынады view құрылғының криптографиялық таңбалауышы деп аталады және ол әрбір токенге ұяшық идентификаторын тағайындайды. Қолданба сәйкес ұяшық идентификаторын көрсету арқылы қатынасқысы келетін таңбалауышты анықтайды.
• STM32SigningTool смарт карталарда және ұқсас PKCS#11 қауіпсіздік таңбалауыштарында сақталған негізгі нысандарды басқару үшін пайдаланылады, мұнда сезімтал жеке кілттер құрылғыдан ешқашан шықпайды.
• STM32SigningTool ECDSA жалпы/жеке кілттеріне негізделген кіріс екілік файлдарын басқару және қол қою үшін PKCS#11 интерфейсін пайдаланады. Бұл кілттер қауіпсіздік белгілерінде (аппараттық немесе бағдарламалық құрал) сақталады.

Қосымша PKCS#11 пәрмендері

• –модуль (-м)
  • Сипаттама: PKCS#11 модулін/жүктеу үшін кітапхана жолын көрсетіңіз (dll, сондықтан)
  • Синтаксис:-m
• –кілт-индекс (-ki)
  • –кілт-индекс (-ki)
  • Сипаттама: он алтылық пішімдегі пайдаланылған кілттер индекстерінің тізімі
    v1 тақырыбы үшін бір индексті және v2 тақырыбы үшін сегіз индексті пайдаланыңыз (бос орынмен бөлінген)
  • Синтаксис: -ки
• –слот индексі (-si)
  • Сипаттама: пайдаланылатын ұяшықтың индексін көрсетіңіз (әдепкі 0x0)
  • Синтаксис:-si
• –active-keyIndex (-aki)
  • Сипаттама: нақты белсенді кілт индексін көрсетіңіз (әдепкі 0)
  • Синтаксис: -aki < hexValue >

PKH/PKTH file ұрпақ
Қол қою операциясын өңдегеннен кейін құрал жүйелі түрде PKH жасайды files OTP сақтандырғышы үшін кейін пайдалануға арналған.

• PKH file v0 тақырыбы үшін pkcsHashPublicKey1x{active_key_index}.bin деп аталды
• PKTH file v2 тақырыбы үшін pkcsPublicKeysHashHashes.bin деп аталады

Examples
Құрал енгізуге қол қоя алады files пәрмен жолындағы ең аз айырмашылықпен v1 тақырыбы мен v2 тақырыбы үшін.

• Тақырып v1 

  

• Тақырып v2 

  

  • Пәрмен жолындағы қате немесе құралдың сәйкес келетін негізгі нысандарды анықтай алмауы қате туралы хабардың көрсетілуіне себеп болады. Бұл мәселенің көзін көрсетеді.
  • SigningTool тек алдын ала конфигурацияланған HSM файлдарын пайдалана алады және ол жаңа қауіпсіздік нысандарын басқаруға немесе жасауға арналмаған. Сондықтан қолайлы ортаны орнату үшін тегін бағдарламалық құралды орнату қажет. Содан кейін кілттер жасалуы мүмкін және объектілер туралы ақпарат алынады.

Қате, мысалыamples:

• Жарамсыз ұяшық индексі
• –key-index пәрменінде айтылған белгісіз негізгі нысан
  Құрал нысандарды ретімен өңдейді. Егер ол бірінші әрекетте сәйкес келетін негізгі нысандарды анықтай алмаса, қол қою әрекеті процесті тоқтатады. Содан кейін мәселенің көзін көрсету үшін қате туралы хабар көрсетіледі.

Қайта қарау тарихы

Күн	Нұсқа	Өзгерістер
14 ақпан 2019 ж	1	Бастапқы шығарылым.
26 қараша 2021 ж	2	Жаңартылған: • 2.1-бөлім: Пәрмендер • 2.2-бөлім: МысampSTM32MP-SignTool үшін les • 2.4 бөлімі қосылды: PKCS#11 шешімі
27-2022 маусым	3	Жаңартылған 2.1 бөлімі: Пәрмендер
26-2024 маусым	4	Бүкіл құжатта ауыстырылды: • STM32MPx сериясы бойынша STM1MP32 сериясы • STM32MP1-SignTool арқылы STM32MP-SignTool • STM32MP1-KeyGen арқылы STM32MP-KeyGen Жаңартылған –қоғамдық кілт -pubk және 2.1-бөлімдегі –тақырып-нұсқасы (-hv) және –жоқ-кілттері (- nk) қосылды: Пәрмендер. 6-бөлімде «2.2-мысал» қосылды: МысampSTM32MP-SignTool үшін.

МАҢЫЗДЫ ЕСКЕРТПЕ – МҰҚИЯТ ОҚЫҢЫЗ

• STMicroelectronics NV және оның еншілес компаниялары («СТ») ST өнімдеріне және/немесе осы құжатқа кез келген уақытта ескертусіз өзгерістер, түзетулер, жақсартулар, өзгертулер және жақсартулар енгізу құқығын өзіне қалдырады. Сатып алушылар тапсырыс бергенге дейін СТ өнімдері туралы соңғы ақпаратты алуы керек. СТ өнімдері тапсырысты растау кезінде қолданыстағы СТ сату шарттарына сәйкес сатылады.
• Сатып алушылар СТ өнімдерін таңдауға, таңдауға және пайдалануға жауапты және СТ қолданбаға көмек көрсету немесе сатып алушылардың өнімдерінің дизайны үшін жауапкершілік көтермейді.
• Осы құжатта ST компаниясы зияткерлік меншік құқығына тікелей немесе жанама түрде ешқандай лицензия бермейді.
• Осы құжатта баяндалған ақпараттан өзгеше ережелері бар СТ өнімдерін қайта сату СТ осындай өнімге берген кез келген кепілдікті жояды.
• ST және ST логотипі ST сауда белгілері болып табылады. ST сауда белгілері туралы қосымша ақпаратты www.st.com/trademarks сайтынан қараңыз. Барлық басқа өнім немесе қызмет атаулары олардың тиісті иелерінің меншігі болып табылады.
• Осы құжаттағы ақпарат осы құжаттың кез келген алдыңғы нұсқаларында бұрын берілген ақпаратты ауыстырады және ауыстырады.
  © 2024 STMicroelectronics – Барлық құқықтар қорғалған

Құжаттар / Ресурстар

ST STM32MPx сериясының қол қою құралының бағдарламалық құралы [pdf] Пайдаланушы нұсқаулығы STM32MPx сериясы қол қою құралының бағдарламалық құралы, STM32MPx сериясы, қол қою құралының бағдарламалық құралы, құралдың бағдарламалық құралы, бағдарламалық құрал

Анықтамалар

• Пайдаланушы нұсқаулығы