kandungan bersembunyi
1 Perisian Alat Penandatanganan Siri STM32MPx
2 Maklumat Produk
3 Arahan Penggunaan Produk
4 Soalan Lazim (FAQ)
5 pengenalan
6 Pasang STM32MP-SignTool
7 Antara muka baris arahan STM32MP-SignTool
7.1 Penyelesaian PKCS#11
8 Sejarah semakan
9 NOTIS PENTING – BACA DENGAN TELITI
10 Dokumen / Sumber
10.1 Rujukan
11 Catatan Berkaitan

Logo Alat Tandatangan

Perisian Alat Penandatanganan Siri STM32MPx

Maklumat Produk

Spesifikasi:

  • Nama Produk: STM32MP-SignTool
  • Versi: UM2543 – Wahyu 4
  • Tarikh Tayangan: Jun 2024

Arahan Penggunaan Produk

Pemasangan:
Untuk memasang STM32MP-SignTool, ikut langkah yang disediakan dalam manual pengguna.

Antara Muka Baris Perintah:
Arahan berikut tersedia apabila menggunakan STM32MP-SignTool daripada baris arahan:

  • –binary-image(-bin), –input(-in)
  • –versi imej (-iv)
  • –kunci peribadi (-prvk)
  • –kunci awam -pubk

Examples:
Rujuk kepada bekasampdi bawah untuk memahami cara menggunakan STM32MP-SignTool dengan berkesan:

  1. Example 1: Pemilihan algoritma lalai dan output file ciptaan.
  2. Example 2: Menandatangani binari file dengan pengepala versi 2 dan berbilang kunci awam.

Mod Kendiri:
Apabila menggunakan STM32MP-SignTool dalam mod Persendirian, ikut langkah berikut:

  1. Masukkan laluan mutlak dahulu.
  2. Berikan maklumat yang diperlukan seperti pemilihan algoritma, versi imej, titik masuk dan alamat muat.

Soalan Lazim (FAQ)

  • Bagaimanakah saya mengesahkan imej output file?
    Anda boleh mengesahkan imej yang dihasilkan dengan menghuraikan output file dan menyemak setiap medan pengepala. Gunakan arahan:  ./STM32MP_SigningTool_CLI.exe -dump /home/user/output.stm32
  • Apakah perbezaan antara versi pengepala untuk ditandatangani?
    Versi pengepala menentukan bilangan kunci awam yang diperlukan untuk pengesahan. Untuk exampOleh itu, pengepala versi 1 memerlukan satu laluan utama untuk produk STM32MP15xx, manakala pengepala versi 2 dan lebih tinggi memerlukan lapan laluan utama untuk yang lain.

pengenalan

  • Perisian alat tandatangan siri STM32MPx (dinamakan STM32MP-SignTool dalam dokumen ini) disepadukan dalam STM32CubeProgrammer (STM32CubeProg).
  • STM32MP-SignTool ialah alat utama yang menjamin platform yang selamat dan memastikan tandatangan imej binari menggunakan kekunci ECC yang dijana oleh perisian STM32MP-KeyGen (rujuk manual pengguna perihalan perisian penjana kunci siri STM32MPx (UM2542) untuk butiran lanjut).
  • Imej binari yang ditandatangani digunakan semasa jujukan but selamat MPU siri STM32MPx yang menyokong rantai but yang dipercayai. Tindakan ini memastikan pengesahan dan semakan integriti imej yang dimuatkan.
  • STM32MP-SignTool menjana imej binari file, kunci awam file, dan kunci peribadi file.
  • Imej binari file mengandungi data binari yang akan diprogramkan untuk peranti.
  • Kunci awam file mengandungi kunci awam ECC dalam format PEM, yang dijana dengan STM32MP-KeyGen.
  • Kunci persendirian file mengandungi kunci persendirian ECC yang disulitkan dalam format PEM, yang dijana dengan STM32MP-KeyGen.
  • Perduaan yang ditandatangani file juga boleh dijana daripada yang telah ditandatangani file dengan kumpulan itu file mod. Dalam kes ini, parameter berikut tidak wajib: titik masuk imej, alamat pemuatan imej dan parameter versi imej.

Pasang STM32MP-SignTool

  • Alat ini dipasang dengan pakej STM32CubeProgrammer (STM32CubeProg). Untuk maklumat lanjut tentang prosedur persediaan, rujuk bahagian 1.2 manual pengguna perihalan perisian STM32CubeProgrammer (UM2237).
  • Perisian ini digunakan pada MPU berasaskan Arm® siri STM32MPx.
    Nota: Arm ialah tanda dagangan berdaftar Arm Limited (atau anak syarikatnya) di AS dan/atau di tempat lain.

Antara muka baris arahan STM32MP-SignTool

Bahagian berikut menerangkan cara menggunakan STM32MP-SignTool daripada baris arahan.

Perintah
Perintah yang tersedia disenaraikan di bawah:

  • –binary-image(-bin), –input(-in)
    • Penerangan: imej binari file laluan (sambungan .bin)
    • Sintaks: 1 -bin /home/User/binaryFile.bin
    • Sintaks :2 -dalam /home/User/binaryFile.bin
  • –versi imej (-iv)
    • Penerangan: memasuki versi imej imej yang ditandatangani file
    • Sintaks: -iv
  • –kunci peribadi (-prvk)
    • Penerangan: kunci peribadi file laluan (sambungan.pem)
    • Sintaks: -prvkfile_path>
    • Example: -prvk ../privateKey.pem
  • –kunci awam -pubk
    • Penerangan: kunci awam file laluan
    • Sintaks: -pubkFile_Laluan{1..8}>
      • Untuk pengepala v1: gunakan hanya satu laluan utama untuk produk STM32MP15xx
      • Untuk pengepala v2 dan lebih besar: gunakan lapan laluan utama untuk yang lain
  • –kata laluan (-pwd)
    • Penerangan: kata laluan kunci persendirian (kata laluan ini mesti mengandungi sekurang-kurangnya empat aksara)
    • Example: -pwd azerty
  • –alamat muat (-la)
    • Penerangan: alamat muat gambar
    • Example: -la
  • –titik masuk (-ep)
    • Penerangan: titik masuk imej
    • Example: -ep
  • –pilihan-bendera (-daripada)
    • Penerangan: bendera pilihan imej (nilai lalai = 0)
    • Example: -daripada
  • –algoritma (-a)
    • Penerangan: menentukan salah satu prime256v1 (nilai 1, lalai) atau brainpoolP256t1 (nilai 2)
    • Example: -a <2>
  • –output (-o)
    • Penerangan: keluaran file laluan. Parameter ini adalah pilihan. Jika tidak dinyatakan, output file dihasilkan pada sumber yang sama file laluan (contohnyaample, imej binari file ialah C:\BinaryFile.bin). Perduaan yang ditandatangani file ialah C:\BinaryFile_Tandatangan.bin.
    • Sintaks: -oFile_Laluan>
  • –jenis (-t)
    • Penerangan: jenis binari. Nilai yang mungkin ialah ssbl, fsbl, teeh, teed, teex dan copro
    • Sintaks: -t
  • –senyap (-s)
    Penerangan: tiada mesej dipaparkan untuk menggantikan output sedia ada file
  • –bantuan (-h dan -?)
    Penerangan:     menunjukkan pertolongan
  • –versi (-v)
    Penerangan: memaparkan versi alat
  • –enc-dc (-encdc)
    • Penerangan: pemalar terbitan penyulitan untuk penyulitan FSBL [header v2]
    • Sintaks: -encdc
  • –enc-key (-enck)
    • Penerangan: Rahsia OEM file untuk penyulitan FSBL [header v2]
    • Sintaks: -enck
  • –dump-header (–dump)
    • Penerangan: parse dan buang pengepala imej
    • Sintaks: -buangFile_Laluan>
  • –header-versi (-hv)
    • Penerangan: versi pengepala menandatangani, nilai yang mungkin: 1, 2, 2.1, 2.2
    •  Example untuk STM32MP15: -hv 2
    • Example untuk STM32MP25: -hv 2.2
  • –tiada kunci (-nk)
    • Penerangan: menambah pengepala kosong tanpa pilihan utama
    • Notis: perlu melumpuhkan pilihan pengesahan dengan arahan bendera Pilihan.

Examples untuk STM32MP-SignTool
Ex berikutampLes menunjukkan cara menggunakan STM32MP-SignTool:

  • Examppada 1 

    STM32MPx-Series-Signing-Tool-Software-fig-1
    Algoritma lalai (prime256v1) dipilih dan nilai bendera pilihan ialah 0 (nilai lalai). Perduaan keluaran yang ditandatangani file (PerduaanFile_Signed.bin) dicipta dalam folder /home/user/

  • Examppada 2STM32MPx-Series-Signing-Tool-Software-fig-2

    Algoritma BrainpoolP256t1 dipilih dalam kes ini. Walaupun Folder2 dan Folder3 tidak wujud, ia dicipta. Dengan arahan –s, walaupun a file wujud dengan nama yang dinyatakan sama, ia digantikan secara automatik tanpa sebarang mesej.

  • Examppada 3
    Tandatangani binari file menggunakan pengepala versi 2 yang merangkumi lapan kunci awam untuk aliran pengesahan.STM32MPx-Series-Signing-Tool-Software-fig-3
  • Examppada 4
    Tandatangani binari file menggunakan pengepala versi 2 yang merangkumi lapan kunci awam untuk pengesahan serta aliran penyulitan.STM32MPx-Series-Signing-Tool-Software-fig-4
  • Examppada 5
    Sahkan imej yang dihasilkan dengan menghuraikan output file dan semak setiap medan pengepala.STM32MPx-Series-Signing-Tool-Software-fig-5
  • Examppada 6
    Tambahkan pengepala tanpa menandatangani dan tanpa menggunakan kunci.STM32MPx-Series-Signing-Tool-Software-fig-6

Mod kendiri
Apabila melaksanakan STM32MP-SignTool dalam mod Persendirian, laluan mutlak mesti dimasukkan terlebih dahulu. Kata laluan kemudian diminta dua kali untuk pengesahan, seperti yang ditunjukkan dalam rajah di bawah.

STM32MPx-Series-Signing-Tool-Software-fig-7

Langkah-langkah seterusnya adalah seperti berikut:

  • Pilih salah satu daripada dua algoritma.
  • Masukkan versi imej, titik masuk imej dan alamat pemuatan imej.
  • Masukkan nilai bendera pilihan.
    Keluaran lain file laluan boleh ditentukan jika perlu, atau tekan enter untuk meneruskan dengan yang sedia ada.
Penyelesaian PKCS#11
  • Imej binari yang ditandatangani digunakan semasa urutan but selamat STM32MP yang menyokong rantai but yang dipercayai. Tindakan ini memastikan pengesahan dan semakan integriti imej yang dimuatkan.
  • Perintah tandatangan klasik meminta semua kunci awam dan peribadi disediakan sebagai input files. Ini boleh diakses secara langsung oleh mana-mana orang yang dibenarkan untuk melaksanakan perkhidmatan menandatangani. Akhirnya, ini boleh dianggap sebagai kebocoran keselamatan. Terdapat beberapa penyelesaian untuk melindungi kunci daripada sebarang percubaan untuk mencuri data utama. Dalam konteks ini, penyelesaian PKCS#11 telah diterima pakai.
  • API PKCS#11 boleh digunakan untuk mengendalikan dan menyimpan kunci kriptografi. Antara muka ini menentukan cara berkomunikasi dengan peranti kriptografi seperti HSM (modul keselamatan perkakasan) dan kad pintar. Tujuan peranti ini adalah untuk menjana kunci kriptografi dan menandatangani maklumat tanpa mendedahkan bahan kunci persendirian kepada dunia luar.
  • Aplikasi perisian boleh memanggil API untuk menggunakan objek ini untuk:
    • Hasilkan kekunci simetri/asimetri
    • Penyulitan dan penyahsulitan
    • Mengira dan mengesahkan tandatangan digital
  • PKCS #11 membentangkan kepada aplikasi yang biasa, logik view daripada peranti yang dipanggil token kriptografi dan ia memberikan ID slot kepada setiap token. Aplikasi mengenal pasti token yang ingin diakses dengan menyatakan ID slot yang sesuai.
  • STM32SigningTool digunakan untuk mengurus objek utama yang disimpan pada kad pintar dan token keselamatan PKCS#11 yang serupa di mana kunci persendirian yang sensitif tidak pernah meninggalkan peranti.
  • STM32SigningTool menggunakan antara muka PKCS#11 untuk memanipulasi dan menandatangani perduaan input berdasarkan kunci awam/peribadi ECDSA. Kekunci ini disimpan dalam token keselamatan (perkakasan atau perisian).

Perintah PKCS#11 tambahan

  • –modul (-m)
    • Penerangan: tentukan modul/laluan Pustaka PKCS#11 untuk dimuatkan (dll, jadi)
    • Sintaks:-m
  • –indeks kunci (-ki)
    • –indeks kunci (-ki)
    • Penerangan: senarai indeks kunci terpakai dalam format hex
      Gunakan satu indeks untuk pengepala v1 dan lapan indeks untuk pengepala v2 (dipisahkan oleh ruang)
    • Sintaks: -ki
  • –slot-index (-si)
    • Penerangan: tentukan indeks slot untuk digunakan (lalai 0x0)
    • Sintaks:-si
  • –active-keyIndex (-aki)
    • Penerangan: nyatakan indeks kunci aktif sebenar (lalai 0)
    • Sintaks: -aki < hexValue >

PKH/PKTH file generasi
Selepas pemprosesan operasi menandatangani, alat ini secara sistematik menjana PKH files untuk digunakan selepas fius OTP.

  • PKH file bernama pkcsHashPublicKey0x{active_key_index}.bin untuk pengepala v1
  • PKTH file dinamakan pkcsPublicKeysHashHashes.bin untuk pengepala v2

Examples
Alat ini boleh menandatangani input files untuk kedua-dua pengepala v1 dan pengepala v2, dengan perbezaan minimum dalam baris arahan.

  • Pengepala v1 

    STM32MPx-Series-Signing-Tool-Software-fig-8

  • Pengepala v2 

    STM32MPx-Series-Signing-Tool-Software-fig-9

    • Ralat pada baris arahan, atau ketidakupayaan alat untuk mengenal pasti objek utama yang sepadan, menyebabkan mesej ralat dipaparkan. Ini menunjukkan punca masalah.
    • SigningTool hanya boleh menggunakan HSM yang diprakonfigurasikan dan ia tidak direka untuk mengurus atau mencipta objek keselamatan baharu. Oleh itu, adalah perlu untuk memasang perisian percuma untuk menyediakan persekitaran yang sesuai. Kekunci kemudiannya boleh dijana, dan maklumat tentang objek diperoleh.

Ralat bekasamples:

  • Indeks slot tidak sahSTM32MPx-Series-Signing-Tool-Software-fig-10
  • Objek kunci tidak diketahui yang disebut dalam perintah –key-indexSTM32MPx-Series-Signing-Tool-Software-fig-11
    Alat ini merawat objek secara berurutan. Jika ia tidak dapat mengenal pasti objek utama yang sepadan pada percubaan pertama, operasi menandatangani menghentikan proses. Mesej ralat kemudiannya dipaparkan untuk menunjukkan punca masalah.

Sejarah semakan

tarikh Versi Perubahan
14-Feb-2019 1 Keluaran awal.
 

 

26-Nov-2021

  

 

2

 Dikemas kini:

• Bahagian 2.1: Perintah

• Bahagian 2.2: Cthamples untuk STM32MP-SignTool

• Bahagian 2.4 Ditambah: Penyelesaian PKCS#11
27-Jun-2022 3 Bahagian 2.1 yang dikemas kini: Perintah
 

 

 

26-Jun-2024

  

 

 

4

 Digantikan dalam keseluruhan dokumen:

• Siri STM32MP1 oleh siri STM32MPx

• STM32MP1-SignTool oleh STM32MP-SignTool

• STM32MP1-KeyGen oleh STM32MP-KeyGen

Dikemas kini –public-key -pubk dan ditambah –header-version (-hv) dan –no-keys (- nk) dalam Bahagian 2.1: Arahan.

Ditambah "Contoh 6" dalam Bahagian 2.2: Cthamples untuk STM32MP-SignTool.

NOTIS PENTING – BACA DENGAN TELITI

  • STMicroelectronics NV dan anak syarikatnya (“ST”) berhak untuk membuat perubahan, pembetulan, penambahbaikan, pengubahsuaian dan penambahbaikan pada produk ST dan/atau pada dokumen ini pada bila-bila masa tanpa notis. Pembeli hendaklah mendapatkan maklumat terkini berkaitan produk ST sebelum membuat pesanan. Produk ST dijual menurut terma dan syarat jualan ST yang ada pada masa penerimaan pesanan.
  • Pembeli bertanggungjawab sepenuhnya untuk pilihan, pemilihan dan penggunaan produk ST dan ST tidak bertanggungjawab untuk bantuan permohonan atau reka bentuk produk pembeli.
  • Tiada lesen, nyata atau tersirat, kepada mana-mana hak harta intelek diberikan oleh ST di sini.
  • Jualan semula produk ST dengan peruntukan yang berbeza daripada maklumat yang dinyatakan di sini akan membatalkan sebarang waranti yang diberikan oleh ST untuk produk tersebut.
  • ST dan logo ST ialah tanda dagangan ST. Untuk maklumat tambahan tentang tanda dagangan ST, rujuk www.st.com/trademarks. Semua nama produk atau perkhidmatan lain adalah hak milik pemilik masing-masing.
  • Maklumat dalam dokumen ini menggantikan dan menggantikan maklumat yang dibekalkan sebelum ini dalam mana-mana versi terdahulu dokumen ini.
    © 2024 STMicroelectronics – Hak cipta terpelihara

Dokumen / Sumber

Perisian Alat Penandatanganan Siri ST STM32MPx [pdf] Manual Pengguna
Perisian Alat Tandatangan Siri STM32MPx, Siri STM32MPx, Perisian Alat Tandatangan, Perisian Alat, Perisian

Rujukan

Catatan Berkaitan

Tinggalkan komen

Alamat e-mel anda tidak akan diterbitkan. Medan yang diperlukan ditanda *