STM32MPx Serje Iffirmar Għodda Software

Informazzjoni dwar il-Prodott

Speċifikazzjonijiet:

• Isem tal-Prodott: STM32MP-SignTool
• Verżjoni: UM2543 – Rev 4
• Data ta' Rilaxx: Ġunju 2024

Istruzzjonijiet għall-Użu tal-Prodott

Installazzjoni:
Biex tinstalla STM32MP-SignTool, segwi l-passi pprovduti fil-manwal tal-utent.

Interface tal-Linja tal-Kmand:
Il-kmandi li ġejjin huma disponibbli meta tuża STM32MP-SignTool mil-linja tal-kmand:

• –immaġni-binarja(-bin), –input(-in)
• –verżjoni-immaġni (-iv)
• –private-key (-prvk)
• –public-key -pubk

Examples:
Irreferi għall-examples hawn taħt biex tifhem kif tuża STM32MP-SignTool b'mod effettiv:

1. Example 1: Għażla u output ta 'algoritmu default file ħolqien.
2. Example 2: Iffirmar ta' binarju file bil-verżjoni header 2 u ċwievet pubbliċi multipli.

Modalità waħedha:
Meta tuża STM32MP-SignTool fil-modalità Standalone, segwi dawn il-passi:

1. Daħħal it-triq assoluta l-ewwel.
2. Ipprovdi l-informazzjoni meħtieġa bħall-għażla tal-algoritmu, il-verżjoni tal-immaġni, il-punt tad-dħul, u l-indirizz tat-tagħbija.

Mistoqsijiet Frekwenti (FAQ)

• Kif nivverifika l-immaġni tal-ħruġ file?
  Tista' tivverifika l-immaġini li tirriżulta billi teżamina l-output file u l-iċċekkjar ta 'kull qasam header. Uża l-kmand:  ./STM32MP_SigningTool_CLI.exe -dump /home/user/output.stm32
• X'inhi d-differenza bejn il-verżjonijiet tal-header għall-iffirmar?
  Il-verżjoni header tiddetermina n-numru ta 'ċwievet pubbliċi meħtieġa għall-awtentikazzjoni. Per example, il-verżjoni header 1 teħtieġ mogħdija ewlenija waħda għall-prodotti STM32MP15xx, filwaqt li l-verżjoni header 2 u akbar jeħtieġu tmien mogħdijiet ewlenin għal oħrajn.

Introduzzjoni

• Is-softwer tal-għodda tal-iffirmar tas-serje STM32MPx (imsemmi STM32MP-SignTool f'dan id-dokument) huwa integrat fl-STM32CubeProgrammer (STM32CubeProg).
• STM32MP-SignTool hija għodda ewlenija li tiggarantixxi pjattaforma sigura u tiżgura l-iffirmar ta 'immaġini binarji bl-użu ta' ċwievet ECC ġġenerati mis-softwer STM32MP-KeyGen (irreferi għall-manwal tal-utent STM32MPx serje tas-softwer tal-ġeneratur taċ-ċavetta deskrizzjoni (UM2542) għal aktar dettalji).
• L-immaġini binarji ffirmati huma użati matul is-serje STM32MPx MPU sekwenza boot sigura li tappoġġja katina boot fdata. Din l-azzjoni tiżgura awtentikazzjoni u kontroll tal-integrità tal-immaġini mgħobbija.
• STM32MP-SignTool jiġġenera immaġni binarja file, ċavetta pubblika file, u ċavetta privata file.
• L-immaġni binarja file fih id-dejta binarja li trid tiġi pprogrammata għall-apparat.
• Iċ-ċavetta pubblika file fih iċ-ċavetta pubblika ECC f'format PEM, iġġenerat b'STM32MP-KeyGen.
• Iċ-ċavetta privata file fih iċ-ċavetta privata ECC encrypted f'format PEM, iġġenerat b'STM32MP-KeyGen.
• Binarju ffirmat file jistgħu wkoll jiġu ġġenerati minn diġà ffirmat file mal-lott file mod. F'dan il-każ, il-parametri li ġejjin mhumiex obbligatorji: il-punt tad-dħul tal-immaġni, l-indirizz tat-tagħbija tal-immaġni, u l-parametri tal-verżjoni tal-immaġni.

Installa STM32MP-SignTool

• Din l-għodda hija installata mal-pakkett STM32CubeProgrammer (STM32CubeProg). Għal aktar informazzjoni dwar il-proċedura ta' twaqqif, irreferi għat-taqsima 1.2 tad-deskrizzjoni tas-softwer tal-manwal tal-utent STM32CubeProgrammer (UM2237).
• Dan is-softwer japplika għas-serje STM32MPx Arm® bbażati fuq MPUs.
  Nota: Arm hija trademark reġistrata ta' Arm Limited (jew is-sussidjarji tagħha) fl-Istati Uniti u/jew xi mkien ieħor.

STM32MP-SignTool interface tal-linja tal-kmand

Is-sezzjonijiet li ġejjin jiddeskrivu kif tuża STM32MP-SignTool mil-linja tal-kmand.

Kmandi
Il-kmandi disponibbli huma elenkati hawn taħt:

• –immaġni-binarja(-bin), –input(-in)
  • Deskrizzjoni: immaġni binarja file mogħdija (estensjoni .bin)
  • Sintassi: 1 -bin /home/Utent/binarjuFile.bin
  • Sintassi :2 -in /home/Utent/binaryFile.bin
• –verżjoni-immaġni (-iv)
  • Deskrizzjoni: jidħol fil-verżjoni tal-immaġni tal-immaġni ffirmata file
  • Sintassi: -iv
• –private-key (-prvk)
  • Deskrizzjoni: ċavetta privata file mogħdija (.pem estensjoni)
  • Sintassi: -prvkfile_path>
  • Example: -prvk ../privateKey.pem
• –public-key -pubk
  • Deskrizzjoni: ċavetta pubblika file mogħdijiet
  • Sintassi: -pubkFile_Path{1..8}>
    • Għall-header v1: uża passaġġ ewlieni wieħed biss għall-prodotti STM32MP15xx
    • Għall-header v2 u akbar: uża tmien mogħdijiet ewlenin għal oħrajn
• – password (-pwd)
  • Deskrizzjoni: password taċ-ċavetta privata (din il-password għandu jkun fiha mill-inqas erba' karattri)
  • Example: -pwd azerty
• –load-indirizz (-la)
  • Deskrizzjoni: indirizz tat-tagħbija tal-immaġni
  • Example: -la
• –punt tad-dħul (-ep)
  • Deskrizzjoni: punt tad-dħul tal-immaġni
  • Example: -ep
• –bnadar-għażla (-of)
  • Deskrizzjoni: Bnadar tal-għażla tal-immaġni (valur default = 0)
  • Example: -ta'
• –algoritmu (-a)
  • Deskrizzjoni: jispeċifika wieħed mill-prime256v1 (valur 1, default) jew brainpoolP256t1 (valur 2)
  • Example: -a <2>
• –output (-o)
  • Deskrizzjoni: output file mogħdija. Dan il-parametru huwa fakultattiv. Jekk mhux speċifikat, l-output file hija ġġenerata fl-istess sors file mogħdija (eżample, l-immaġni binarja file huwa C:\BinarjuFile.bin). Il-binarju ffirmat file huwa C:\BinarjuFile_Firmat.bin.
  • Sintassi: -oFile_Path>
• –tip (-t)
  • Deskrizzjoni: tip binarju. Valuri possibbli huma ssbl, fsbl, teeh, teed, teex u copro
  • Sintassi: -t
• –siekta (-s)
  Deskrizzjoni: ebda messaġġ muri għas-sostituzzjoni ta 'output eżistenti file
• –għajnuna (-h u -?)
  Deskrizzjoni: juri għajnuna
• –verżjoni (-v)
  Deskrizzjoni: juri l-verżjoni tal-għodda
• –enc-dc (-encdc)
  • Deskrizzjoni: kostanti tad-derivazzjoni tal-kriptaġġ għall-kodifikazzjoni FSBL [header v2]
  • Sintassi: -encdc
• –enc-key (-enck)
  • Deskrizzjoni: sigriet OEM file għall-encryption FSBL [header v2]
  • Sintassi: -enck
• –dump-header (–dump)
  • Deskrizzjoni: parse u dump header tal-immaġni
  • Sintassi: -dumpFile_Path>
• –header-version (-hv)
  • Deskrizzjoni: verżjoni header iffirmar, valuri possibbli: 1, 2, 2.1, 2.2
  •  Example għal STM32MP15: -hv 2
  • Example għal STM32MP25: -hv 2.2
• –no-keys (-nk)
  • Deskrizzjoni: żżid header vojt mingħajr għażliet ewlenin
  • Avviż: jeħtieġ li tiddiżattiva l-għażla ta 'awtentikazzjoni bil-kmand tal-bnadar tal-Għażla.

Examples għal STM32MP-SignTool
L-eżamples juru kif tuża STM32MP-SignTool:

• Example 1 

  
  L-algoritmu default (prime256v1) jintgħażel u l-valur tal-marka tal-għażla huwa 0 (valur default). Il-binarju tal-output iffirmat file (BinarjuFile_Signed.bin) hija maħluqa fil-folder /home/user/

• Example 2

  L-algoritmu BrainpoolP256t1 jintgħażel f'dan il-każ. Anke jekk Folder2 u Folder3 ma jeżistux, huma maħluqa. Bil-kmand –s, anke jekk a file jeżisti bl-istess isem speċifikat, huwa awtomatikament sostitwit mingħajr ebda messaġġ.
• Example 3
  Iffirma binarju file bl-użu ta 'header verżjoni 2 li tinkludi tmien ċwievet pubbliċi għall-fluss ta' awtentikazzjoni.
• Example 4
  Iffirma binarju file bl-użu ta 'header verżjoni 2 li tinkludi tmien ċwievet pubbliċi għall-awtentikazzjoni flimkien mal-fluss ta' encryption.
• Example 5
  Ivverifika l-immaġni riżultata billi teżamina l-output file u iċċekkja kull qasam header.
• Example 6
  Żid header mingħajr ma tiffirma u mingħajr ma tuża ċwievet.

Modalità waħedha
Meta tesegwixxi STM32MP-SignTool fil-modalità Standalone, l-ewwel trid tiddaħħal mogħdija assoluta. Imbagħad tintalab password darbtejn għall-konferma, kif muri fil-figura hawn taħt.

Il-passi li jmiss huma dawn li ġejjin:

• Agħżel wieħed miż-żewġ algoritmi.
• Daħħal il-verżjoni tal-immaġni, il-punt tad-dħul tal-immaġni, u l-indirizz tat-tagħbija tal-immaġni.
• Daħħal il-valur tal-marka tal-għażla.
  Output ieħor file triq tista 'tiġi speċifikata jekk meħtieġ, jew agħfas enter biex tkompli ma' dik eżistenti.

PKCS#11 soluzzjoni

• L-immaġini binarji ffirmati jintużaw matul is-sekwenza tal-boot sigura STM32MP li tappoġġja katina tal-boot fdata. Din l-azzjoni tiżgura awtentikazzjoni u kontroll tal-integrità tal-immaġini mgħobbija.
• Il-kmand tal-iffirmar klassiku jitlob li ċ-ċwievet pubbliċi u privati ​​kollha jiġu pprovduti bħala input files. Dawn huma direttament aċċessibbli minn kull persuna li hija permessa tesegwixxi s-servizz tal-iffirmar. Fl-aħħar mill-aħħar, dan jista 'jitqies bħala tnixxija ta' sigurtà. Hemm diversi soluzzjonijiet biex jipproteġu ċ-ċwievet kontra kwalunkwe tentattiv biex tisraq id-dejta taċ-ċwievet. F'dan il-kuntest, is-soluzzjoni PKCS#11 ġiet adottata.
• L-API PKCS#11 tista' tintuża biex timmaniġġja u taħżen ċwievet kriptografiċi. Din l-interface tispeċifika kif tikkomunika ma 'apparat kriptografiku bħal HSMs (moduli tas-sigurtà tal-ħardwer) u smartcards. L-iskop ta 'dawn l-apparati huwa li jiġġeneraw ċwievet kriptografiċi u jiffirmaw informazzjoni mingħajr ma jiżvelaw materjal ta' ċavetta privata lid-dinja ta 'barra.
• L-applikazzjonijiet tas-softwer jistgħu jsejħu l-API biex jużaw dawn l-oġġetti għal:
  • Iġġenera ċwievet simetriċi/assimetriċi
  • Encryption u decryption
  • Kompjuter u verifika tal-firma diġitali
• PKCS #11 jippreżenta lill-applikazzjonijiet komuni, loġiku view tal-apparat li jissejjaħ token kriptografiku u jassenja slot ID għal kull token. Applikazzjoni tidentifika t-token li trid taċċessa billi tispeċifika l-ID tas-slot xieraq.
• L-STM32SigningTool jintuża biex jimmaniġġja l-oġġetti ewlenin maħżuna fuq smartcards u tokens tas-sigurtà simili PKCS#11 fejn ċwievet privati ​​sensittivi qatt ma jħallu l-apparat.
• L-STM32SigningTool juża l-interface PKCS#11 biex jimmanipula u jiffirma binarji ta' input ibbażati fuq ċwievet pubbliċi/privati ​​ECDSA. Dawn iċ-ċwievet huma maħżuna f'tokens tas-sigurtà (ħardwer jew software).

Kmandi addizzjonali PKCS#11

• –modulu (-m)
  • Deskrizzjoni: speċifika modulu PKCS#11/mogħdija tal-Librerija biex tgħabbi (dll, allura)
  • Sintassi:-m
• –key-index (-ki)
  • –key-index (-ki)
  • Deskrizzjoni: lista ta' indiċi ta' ċwievet użati f'format hex
    Uża indiċi wieħed għall-header v1 u tmien indiċi għall-header v2 (separati bi spazju)
  • Sintassi: -ki
• –slot-index (-si)
  • Deskrizzjoni: speċifika l-indiċi tas-slot li se tuża (default 0x0)
  • Sintassi:-si
• –active-keyIndex (-aki)
  • Deskrizzjoni: speċifika l-indiċi taċ-ċavetta attiva attwali (default 0)
  • Sintassi: -aki < hexValue >

PKH/PKTH file ġenerazzjoni
Wara l-ipproċessar tal-operazzjoni tal-iffirmar, l-għodda tiġġenera sistematikament il-PKH files għall-użu wara għall-fjus OTP.

• PKH file jismu pkcsHashPublicKey0x{active_key_index}.bin għall-header v1
• PKTH file jismu pkcsPublicKeysHashHashes.bin għall-header v2

Examples
L-għodda tista 'tiffirma input files kemm għall-header v1 kif ukoll għall-header v2, b'differenza minima fil-linja tal-kmand.

• Header v1 

  

• Header v2 

  

  • Żball fuq il-linja tal-kmand, jew inkapaċità tal-għodda li tidentifika l-oġġetti ewlenin li jaqblu, tikkawża messaġġ ta 'żball li jintwera. Dan jindika s-sors tal-problema.
  • Is-SigningTool huwa kapaċi biss juża HSMs prekonfigurati, u mhuwiex iddisinjat biex jimmaniġġja jew joħloq oġġetti ta' sigurtà ġodda. Għalhekk, huwa meħtieġ li jiġi installat softwer b'xejn biex jitwaqqaf ambjent xieraq. Iċ-ċwievet imbagħad jistgħu jiġu ġġenerati, u tinkiseb informazzjoni dwar oġġetti.

Żball examples:

• Indiċi ta' slot invalidu
• Oġġett ewlieni mhux magħruf li jissemma fil-kmand –key-index
  L-għodda tittratta l-oġġetti b'mod sekwenzjali. Jekk ma tistax tidentifika l-oġġetti ewlenin li jaqblu mal-ewwel prova, l-operazzjoni tal-iffirmar twaqqaf il-proċess. Imbagħad jintwera messaġġ ta 'żball biex jindika s-sors tal-problema.

Storja tar-reviżjoni

Data	Verżjoni	Bidliet
14-Frar-2019	1	Rilaxx inizjali.
26-Nov-2021	2	Aġġornat: • Taqsima 2.1: Kmandi • Taqsima 2.2: Eżamples għal STM32MP-SignTool • Miżjud Taqsima 2.4: Soluzzjoni PKCS#11
27-Ġunju-2022	3	Aġġornata Taqsima 2.1: Kmandi
26-Ġunju-2024	4	Mibdul fid-dokument kollu: • Serje STM32MP1 minn serje STM32MPx • STM32MP1-SignTool minn STM32MP-SignTool • STM32MP1-KeyGen minn STM32MP-KeyGen Aġġornata –public-key -pubk u miżjuda –header-version (-hv) u –no-keys (- nk) fit-Taqsima 2.1: Kmandi. Miżjud “Eżempju 6” fit-Taqsima 2.2: Eżamples għal STM32MP-SignTool.

AVVIŻ IMPORTANTI - AQRA B'attenzjoni

• STMicroelectronics NV u s-sussidjarji tagħha (“ST”) jirriżervaw id-dritt li jagħmlu bidliet, korrezzjonijiet, titjib, modifiki, u titjib għall-prodotti ST u/jew għal dan id-dokument fi kwalunkwe ħin mingħajr avviż. Ix-xerrejja għandhom jiksbu l-aħħar informazzjoni rilevanti dwar il-prodotti ST qabel ma jagħmlu ordnijiet. Il-prodotti ST jinbiegħu skont it-termini u l-kundizzjonijiet tal-bejgħ ta' ST fis-seħħ fil-ħin tar-rikonoxximent tal-ordni.
• Ix-xerrejja huma unikament responsabbli għall-għażla, l-għażla u l-użu tal-prodotti ST u ST ma jassumi l-ebda responsabbiltà għall-assistenza tal-applikazzjoni jew id-disinn tal-prodotti tax-xerrejja.
• L-ebda liċenzja, espressa jew impliċita, għal xi dritt ta' proprjetà intellettwali ma tingħata minn ST hawnhekk.
• Il-bejgħ mill-ġdid ta' prodotti ST b'dispożizzjonijiet differenti mill-informazzjoni stipulata hawnhekk għandu jħassar kwalunkwe garanzija mogħtija minn ST għal tali prodott.
• ST u l-logo ST huma trademarks ta' ST. Għal informazzjoni addizzjonali dwar it-trademarks ST, irreferi għal www.st.com/trademarks. L-ismijiet l-oħra kollha tal-prodott jew tas-servizz huma proprjetà tas-sidien rispettivi tagħhom.
• L-informazzjoni f'dan id-dokument tieħu post u tissostitwixxi l-informazzjoni pprovduta qabel fi kwalunkwe verżjoni preċedenti ta' dan id-dokument.
  © 2024 STMicroelectronics – Id-drittijiet kollha riżervati

Dokumenti / Riżorsi

Softwer tal-Għodda tal-Iffirmar tas-Serje ST STM32MPx [pdfManwal tal-Utent STM32MPx Serje Iffirmar Għodda Software, STM32MPx Serje, Iffirmar Għodda Software, Għodda Software, Software

Referenzi

• Manwal għall-Utent