STM32MPx sērijas parakstīšanas rīka programmatūra

Informācija par produktu

Specifikācijas:

• Produkta nosaukums: STM32MP-SignTool
• Versija: UM2543 — 4. red
• Izdošanas datums: 2024. gada jūnijs

Produkta lietošanas instrukcijas

Uzstādīšana:
Lai instalētu STM32MP-SignTool, izpildiet lietotāja rokasgrāmatā norādītās darbības.

Komandrindas interfeiss:
Izmantojot STM32MP-SignTool no komandrindas, ir pieejamas šādas komandas:

• –binārais attēls(-bin), –input(-in)
• -attēla versija (-iv)
• -privātā atslēga (-prvk)
• -publiskā atslēga -pubk

Exampmazāk:
Skatiet bijušoamptālāk, lai saprastu, kā efektīvi izmantot STM32MP-SignTool:

1. Example 1: Noklusējuma algoritma izvēle un izvade file radīšanu.
2. Example 2: Bināra parakstīšana file ar galvenes versiju 2 un vairākām publiskajām atslēgām.

Savrupais režīms:
Izmantojot STM32MP-SignTool savrupajā režīmā, veiciet šīs darbības:

1. Vispirms ievadiet absolūto ceļu.
2. Sniedziet nepieciešamo informāciju, piemēram, algoritma atlasi, attēla versiju, ieejas punktu un ielādes adresi.

Bieži uzdotie jautājumi (FAQ)

• Kā pārbaudīt izvades attēlu file?
  Jūs varat pārbaudīt iegūto attēlu, parsējot izvadi file un pārbaudot katru galvenes lauku. Izmantojiet komandu:  ./STM32MP_SigningTool_CLI.exe -dump /home/user/output.stm32
• Kāda ir atšķirība starp parakstīšanas galvenes versijām?
  Galvenes versija nosaka autentifikācijai nepieciešamo publisko atslēgu skaitu. Piemēram,ample, galvenes versijai 1 ir nepieciešams viens atslēgas ceļš STM32MP15xx produktiem, savukārt galvenes 2. un jaunākām versijām ir nepieciešami astoņi galvenie ceļi citiem.

Ievads

• STM32MPx sērijas parakstīšanas rīka programmatūra (šajā dokumentā nosaukta STM32MP-SignTool) ir integrēta STM32CubeProgrammer (STM32CubeProg).
• STM32MP-SignTool ir galvenais rīks, kas garantē drošu platformu un nodrošina bināro attēlu parakstīšanu, izmantojot STM32MP-KeyGen programmatūras ģenerētas ECC atslēgas (sīkāku informāciju skatiet lietotāja rokasgrāmatā STM32MPx sērijas atslēgu ģeneratora programmatūras aprakstu (UM2542).
• Parakstītie binārie attēli tiek izmantoti STM32MPx sērijas MPU drošās sāknēšanas secībā, kas atbalsta uzticamu sāknēšanas ķēdi. Šī darbība nodrošina ielādēto attēlu autentifikāciju un integritātes pārbaudi.
• STM32MP-SignTool ģenerē bināru attēlu file, publiskā atslēga fileun privāto atslēgu file.
• Binārais attēls file satur bināros datus, kas jāieprogrammē ierīcei.
• Publiskā atslēga file satur ECC publisko atslēgu PEM formātā, kas ģenerēta ar STM32MP-KeyGen.
• Privātā atslēga file satur šifrētu ECC privāto atslēgu PEM formātā, kas ģenerēta ar STM32MP-KeyGen.
• Parakstīts binārs file var ģenerēt arī no jau parakstīta file ar partiju file režīmā. Šajā gadījumā šādi parametri nav obligāti: attēla ievades punkts, attēla ielādes adrese un attēla versijas parametri.

Instalējiet STM32MP-SignTool

• Šis rīks ir instalēts kopā ar STM32CubeProgrammer pakotni (STM32CubeProg). Papildinformāciju par iestatīšanas procedūru skatiet lietotāja rokasgrāmatas STM1.2CubeProgrammer programmatūras apraksta (UM32) sadaļā 2237.
• Šī programmatūra attiecas uz STM32MPx sērijas Arm® MPU.
  Piezīme: Arm ir reģistrēta uzņēmuma Arm Limited (vai tā meitasuzņēmumu) preču zīme ASV un/vai citur.

STM32MP-SignTool komandrindas interfeiss

Nākamajās sadaļās ir aprakstīts, kā komandrindā izmantot STM32MP-SignTool.

Komandas
Pieejamās komandas ir uzskaitītas zemāk:

• –binārais attēls(-bin), –input(-in)
  • Apraksts: binārais attēls file ceļš (.bin paplašinājums)
  • Sintakse: 1 -bin /home/User/binaryFile.bin
  • Sintakse :2 -in /home/User/binaryFile.bin
• -attēla versija (-iv)
  • Apraksts: ievada parakstītā attēla attēla versiju file
  • Sintakse: -iv
• -privātā atslēga (-prvk)
  • Apraksts: privātā atslēga file ceļš (.pem paplašinājums)
  • Sintakse: -prvkfile_ceļš>
  • Example: -prvk ../privateKey.pem
• -publiskā atslēga -pubk
  • Apraksts: publiskā atslēga file ceļi
  • Sintakse: - krogsFile_Ceļš{1..8}>
    • Galvenes v1: izmantojiet tikai vienu atslēgas ceļu STM32MP15xx produktiem
    • Galvenes v2 un jaunākām versijām: citiem izmantojiet astoņus galvenos ceļus
• - parole (-pwd)
  • Apraksts: privātās atslēgas parole (šajā parolē ir jābūt vismaz četrām rakstzīmēm)
  • Example: -pwd azerty
• -slodzes adrese (-la)
  • Apraksts: attēla ielādes adrese
  • Example: -la
• -ieejas punkts (-ep)
  • Apraksts: attēla ievades punkts
  • Example: -ep
• -opciju karogi (-of)
  • Apraksts: attēla opciju karodziņi (noklusējuma vērtība = 0)
  • Example: -no
• -algoritms (-a)
  • Apraksts: norāda vienu no prime256v1 (vērtība 1, noklusējuma vērtība) vai brainpoolP256t1 (vērtība 2)
  • Example: -a <2>
• -izvade (-o)
  • Apraksts: izvade file ceļš. Šis parametrs nav obligāts. Ja nav norādīts, izvade file tiek ģenerēts tajā pašā avotā file ceļš (piemēram,ample, binārais attēls file ir C:\BinārsFile.bin). Parakstīts binārs file ir C:\BinārsFile_Signed.bin.
  • Sintakse: -oFile_Ceļš>
• -tips (-t)
  • Apraksts: binārais tips. Iespējamās vērtības ir ssbl, fsbl, teeh, teed, teex un copro
  • Sintakse: -t
• – kluss (-s)
  Apraksts: netiek parādīts ziņojums par esošās izvades aizstāšanu file
• -palīdzība (-h un -?)
  Apraksts: parāda palīdzību
• – versija (-v)
  Apraksts: parāda rīka versiju
• –enc-dc (-encdc)
  • Apraksts: šifrēšanas atvasināšanas konstante FSBL šifrēšanai [header v2]
  • Sintakse: -encdc
• -enc-taustiņš (-enck)
  • Apraksts: OEM noslēpums file FSBL šifrēšanai [header v2]
  • Sintakse: -enck
• – izgāztuves virsraksts (–dump)
  • Apraksts: parsēt un izmest attēla galveni
  • Sintakse: - izgāztuveFile_Ceļš>
• -galvenes versija (-hv)
  • Apraksts: parakstīšanas galvenes versija, iespējamās vērtības: 1, 2, 2.1, 2.2
  •  Example STM32MP15: -hv 2
  • Example STM32MP25: -hv 2.2
• – nav taustiņu (-nk)
  • Apraksts: pievienojot tukšu galveni bez atslēgas opcijām
  • Paziņojums: ir jāatspējo autentifikācijas opcija ar komandu Option flags.

Examples par STM32MP-SignTool
Nākamais exampparāda, kā izmantot STM32MP-SignTool:

• Examp1 

  
  Ir atlasīts noklusējuma algoritms (prime256v1), un opcijas karoga vērtība ir 0 (noklusējuma vērtība). Parakstīts izvades binārs file (BinārsFile_Signed.bin) tiek izveidots mapē /home/user/

• Examp2

  Šajā gadījumā tiek izvēlēts BrainpoolP256t1 algoritms. Pat ja mape2 un mape3 neeksistē, tās tiek izveidotas. Ar komandu –s, pat ja a file pastāv ar tādu pašu norādīto nosaukumu, tas tiek automātiski aizstāts bez ziņojuma.
• Examp3
  Parakstiet bināru file izmantojot galvenes versiju 2, kas ietver astoņas publiskās atslēgas autentifikācijas plūsmai.
• Examp4
  Parakstiet bināru file izmantojot galvenes versiju 2, kas ietver astoņas publiskās atslēgas autentifikācijai un šifrēšanas plūsmu.
• Examp5
  Pārbaudiet iegūto attēlu, parsējot izvadi file un pārbaudiet katru galvenes lauku.
• Examp6
  Pievienojiet galveni bez paraksta un bez atslēgu izvietošanas.

Savrupais režīms
Palaižot STM32MP-SignTool savrupajā režīmā, vispirms jāievada absolūtais ceļš. Pēc tam apstiprināšanai divreiz tiek pieprasīta parole, kā parādīts attēlā zemāk.

Nākamās darbības ir šādas:

• Izvēlieties vienu no diviem algoritmiem.
• Ievadiet attēla versiju, attēla ievades punktu un attēla ielādes adresi.
• Ievadiet opcijas karoga vērtību.
  Vēl viena izeja file ceļu var norādīt, ja nepieciešams, vai nospiediet taustiņu Enter, lai turpinātu ar esošo.

PKCS#11 risinājums

• Parakstītie binārie attēli tiek izmantoti STM32MP drošās sāknēšanas secības laikā, kas atbalsta uzticamu sāknēšanas ķēdi. Šī darbība nodrošina ielādēto attēlu autentifikāciju un integritātes pārbaudi.
• Klasiskā parakstīšanas komanda pieprasa kā ievadi nodrošināt visas publiskās un privātās atslēgas files. Tie ir tieši pieejami jebkurai personai, kurai ir atļauts veikt parakstīšanas pakalpojumu. Galu galā to var uzskatīt par drošības noplūdi. Ir vairāki risinājumi, kā aizsargāt atslēgas pret jebkādiem mēģinājumiem nozagt atslēgas datus. Šajā kontekstā ir pieņemts PKCS#11 risinājums.
• PKCS#11 API var izmantot, lai apstrādātu un uzglabātu kriptogrāfiskās atslēgas. Šī saskarne nosaka, kā sazināties ar kriptogrāfijas ierīcēm, piemēram, HSM (aparatūras drošības moduļiem) un viedkartēm. Šo ierīču mērķis ir ģenerēt kriptogrāfiskās atslēgas un parakstīt informāciju, neatklājot privātās atslēgas materiālus ārpasaulei.
• Programmatūras lietojumprogrammas var izsaukt API, lai izmantotu šos objektus:
  • Izveidojiet simetriskas/asimetriskas atslēgas
  • Šifrēšana un atšifrēšana
  • Digitālā paraksta aprēķināšana un pārbaude
• PKCS #11 piedāvā lietojumprogrammām kopīgu, loģisku view ierīces, ko sauc par kriptogrāfisko marķieri, un tā piešķir slota ID katram marķierim. Lietojumprogramma identificē marķieri, kuram tā vēlas piekļūt, norādot atbilstošo slota ID.
• STM32SigningTool tiek izmantots, lai pārvaldītu viedkartēs un līdzīgos PKCS#11 drošības marķieros saglabātos galvenos objektus, kur sensitīvas privātās atslēgas nekad neiziet no ierīces.
• STM32SigningTool izmanto saskarni PKCS#11, lai manipulētu un parakstītu ievades bināros failus, pamatojoties uz ECDSA publiskajām/privātajām atslēgām. Šīs atslēgas tiek glabātas drošības marķieros (aparatūrā vai programmatūrā).

Papildu PKCS#11 komandas

• – modulis (-m)
  • Apraksts: norādiet PKCS#11 moduļa/bibliotēkas ceļu ielādei (dll, tātad)
  • Sintakse: -m
• -atslēgas indekss (-ki)
  • -atslēgas indekss (-ki)
  • Apraksts: izmantoto atslēgu indeksu saraksts hex formātā
    Izmantojiet vienu indeksu galvenei v1 un astoņus indeksus galvenei v2 (atdalot ar atstarpi)
  • Sintakse: -ki
• – slota indekss (-si)
  • Apraksts: norādiet izmantojamā slota indeksu (noklusējums 0x0)
  • Sintakse: -si
• –active-keyIndex (-aki)
  • Apraksts: norādiet faktisko aktīvās atslēgas indeksu (noklusējums 0)
  • Sintakse: -aki <hexValue>

PKH/PKTH file paaudzei
Pēc parakstīšanas darbības apstrādes rīks sistemātiski ģenerē PKH files izmantot pēc OTP drošinātāja.

• PKH file ar nosaukumu pkcsHashPublicKey0x{active_key_index}.bin galvenei v1
• PKTH file ar nosaukumu pkcsPublicKeysHashHashes.bin galvenei v2

Examples
Rīks var parakstīt ievadi files gan galvenei v1, gan galvenei v2, ar minimālu atšķirību komandrindā.

• Galvenes v1 

  

• Galvenes v2 

  

  • Kļūda komandrindā vai rīka nespēja identificēt atbilstošos galvenos objektus izraisa kļūdas ziņojuma rādīšanu. Tas norāda problēmas avotu.
  • SigningTool var izmantot tikai iepriekš konfigurētus HSM, un tas nav paredzēts jaunu drošības objektu pārvaldībai vai izveidei. Tāpēc ir nepieciešams instalēt bezmaksas programmatūru, lai iestatītu piemērotu vidi. Pēc tam var ģenerēt atslēgas un iegūt informāciju par objektiem.

Kļūda, piemampmazāk:

• Nederīgs slota indekss
• Nezināms atslēgas objekts, kas minēts komandā –key-index
  Rīks apstrādā objektus secīgi. Ja tā nevar identificēt atbilstošos atslēgas objektus pirmajā mēģinājumā, parakstīšanas darbība aptur procesu. Pēc tam tiek parādīts kļūdas ziņojums, kas norāda problēmas avotu.

Pārskatīšanas vēsture

Datums	Versija	Izmaiņas
14. gada 2019. februāris	1	Sākotnējā izlaišana.
26. gada 2021. novembris	2	Atjaunināts: • 2.1. sadaļa: komandas • 2.2. sadaļa: Piemamples par STM32MP-SignTool • Pievienota 2.4. sadaļa: PKCS#11 risinājums
27-jūnijs-2022	3	Atjaunināta 2.1. sadaļa: komandas
26-jūnijs-2024	4	Aizstāts visā dokumentā: • STM32MP1 sērija pēc STM32MPx sērijas • STM32MP1-SignTool no STM32MP-SignTool • STM32MP1-KeyGen no STM32MP-KeyGen Atjaunināts -publiskās atslēgas -pubk un pievienots -header-version (-hv) un -no-keys (- nk) sadaļā 2.1: Komandas. 6. sadaļā pievienots “2.2. piemērs”: Piemamples par STM32MP-SignTool.

SVARĪGS PAZIŅOJUMS – UZMANĪGI IZLASIET

• STMicroelectronics NV un tā meitasuzņēmumi (“ST”) patur tiesības jebkurā laikā bez brīdinājuma veikt izmaiņas, labojumus, uzlabojumus, modifikācijas un uzlabojumus ST izstrādājumos un/vai šajā dokumentā. Pirms pasūtījuma veikšanas pircējiem jāiegūst jaunākā atbilstošā informācija par ST produktiem. ST produkti tiek pārdoti saskaņā ar ST pārdošanas noteikumiem un nosacījumiem, kas ir spēkā pasūtījuma apstiprināšanas brīdī.
• Pircēji ir pilnībā atbildīgi par ST produktu izvēli, izvēli un lietošanu, un ST neuzņemas nekādu atbildību par palīdzību pielietošanā vai pircēja produktu dizainu.
• ST šeit nepiešķir nekādas tiešas vai netiešas licences jebkādām intelektuālā īpašuma tiesībām.
• ST produktu tālākpārdošana ar noteikumiem, kas atšķiras no šeit norādītās informācijas, anulē jebkādu ST piešķirto garantiju šādam produktam.
• ST un ST logotips ir ST preču zīmes. Papildinformāciju par ST preču zīmēm skatiet vietnē www.st.com/trademarks. Visi pārējie produktu vai pakalpojumu nosaukumi ir to attiecīgo īpašnieku īpašums.
• Informācija šajā dokumentā aizstāj un aizstāj informāciju, kas iepriekš sniegta jebkurās iepriekšējās šī dokumenta versijās.
  © 2024 STMicroelectronics – visas tiesības paturētas

Dokumenti / Resursi

ST STM32MPx sērijas parakstīšanas rīka programmatūra [pdfLietotāja rokasgrāmata STM32MPx sērijas parakstīšanas rīka programmatūra, STM32MPx sērija, parakstīšanas rīka programmatūra, rīku programmatūra, programmatūra

Atsauces

• Lietotāja rokasgrāmata