Používateľská príručka k softvéru na podpisovanie série STM32MPx

Example 1: Predvolený výber algoritmu a výstup file tvorba.
Example 2: Podpisovanie binárneho súboru file s hlavičkou verzie 2 a viacerými verejnými kľúčmi.

Samostatný režim:
Ak používate nástroj STM32MP-SignTool v samostatnom režime, postupujte takto:

Najprv zadajte absolútnu cestu.
Zadajte požadované informácie, ako je výber algoritmu, verzia obrázka, vstupný bod a adresa načítania.

Často kladené otázky (FAQ)

Ako overím výstupný obrázok file?
Výsledný obrázok môžete overiť analýzou výstupu file a kontrola každého poľa hlavičky. Použite príkaz: ./STM32MP_SigningTool_CLI.exe -dump /home/user/output.stm32
Aký je rozdiel medzi verziami hlavičky na podpisovanie?
Verzia hlavičky určuje počet verejných kľúčov potrebných na autentifikáciu. Napríkladample, hlavička verzie 1 vyžaduje jednu kľúčovú cestu pre produkty STM32MP15xx, zatiaľ čo hlavička verzie 2 a vyššia vyžaduje osem kľúčových ciest pre ostatné.

Úvod

Softvér podpisového nástroja série STM32MPx (v tomto dokumente označený ako STM32MP-SignTool) je integrovaný v STM32CubeProgrammer (STM32CubeProg).
STM32MP-SignTool je kľúčový nástroj, ktorý zaručuje bezpečnú platformu a zaisťuje podpisovanie binárnych obrázkov pomocou kľúčov ECC generovaných softvérom STM32MP-KeyGen (ďalšie podrobnosti nájdete v používateľskej príručke s popisom softvéru generátora kľúčov série STM32MPx (UM2542).

Podpísané binárne obrázky sa používajú počas bezpečnej spúšťacej sekvencie MPU série STM32MPx, ktorá podporuje dôveryhodný reťazec spúšťania. Táto akcia zabezpečuje overenie a kontrolu integrity načítaných obrázkov.
STM32MP-SignTool generuje binárny obraz file, verejný kľúč filea súkromný kľúč file.

Binárny obraz file obsahuje binárne dáta, ktoré sa majú naprogramovať pre zariadenie.
Verejný kľúč file obsahuje verejný kľúč ECC vo formáte PEM, vygenerovaný pomocou STM32MP-KeyGen.

Súkromný kľúč file obsahuje zašifrovaný súkromný kľúč ECC vo formáte PEM vygenerovaný pomocou STM32MP-KeyGen.
Podpísaná binárna sústava file možno vygenerovať aj z už podpísaného file s dávkou file režim. V tomto prípade nie sú povinné nasledujúce parametre: vstupný bod obrázka, adresa načítania obrázka a parametre verzie obrázka.

Nainštalujte STM32MP-SignTool

Tento nástroj sa inštaluje s balíkom STM32CubeProgrammer (STM32CubeProg). Ďalšie informácie o postupe nastavenia nájdete v časti 1.2 používateľskej príručky popis softvéru STM32CubeProgrammer (UM2237).
Tento softvér sa vzťahuje na MPU na báze Arm® série STM32MPx.
Poznámka: Arm je registrovaná ochranná známka spoločnosti Arm Limited (alebo jej dcérskych spoločností) v USA a/alebo inde.

Rozhranie príkazového riadka STM32MP-SignTool

Nasledujúce časti popisujú, ako používať STM32MP-SignTool z príkazového riadka.

Príkazy
Dostupné príkazy sú uvedené nižšie:

–binary-image(-bin), –input(-in)
- Popis: binárny obraz file cesta (prípona .bin)
- Syntax: 1 -bin /home/User/binaryFile.bin
- Syntax :2 -in /home/User/binaryFile.bin
–verzia obrázka (-iv)
- Popis: zadá verziu obrázka podpísaného obrázka file
- Syntax: -iv
–súkromný kľúč (-prvk)
- Popis: súkromný kľúč file cesta (prípona .pem)
- Syntax: -prvkfile_cesta>
- Example: -prvk ../privateKey.pem
–verejný-kľúč -pubk
- Popis: verejný kľúč file cesty
- Syntax: -pubkFile_Cesta{1..8}>
  - Pre hlavičku v1: použite iba jednu kľúčovú cestu pre produkty STM32MP15xx
  - Pre hlavičku v2 a vyššie: pre ostatné použite osem kľúčových ciest
-heslo (-pwd)
- Popis: heslo súkromného kľúča (toto heslo musí obsahovať aspoň štyri znaky)
- Example: -pwd azerty
– adresa nakládky (-la)
- Popis: adresa načítania obrázka
- Example: -la
–vstupný bod (-ep)
- Popis: vstupný bod obrazu
- Example: -ep
–príznaky-opcie (-of)
- Popis: príznaky možnosti obrázka (predvolená hodnota = 0)
- Example: -z
–algoritmus (-a)
- Popis: určuje jeden z prime256v1 (hodnota 1, predvolená hodnota) alebo brainpoolP256t1 (hodnota 2)
- Example: -a <2>
-výstup (-o)
- Popis: výstup file cesta. Tento parameter je voliteľný. Ak nie je uvedené, výstup file sa generuje v rovnakom zdroji file cesta (naprample, binárny obraz file je C:\BinaryFile.bin). Podpísaná binárna sústava file je C:\BinaryFile_Signed.bin.
- Syntax: -oFile_Cesta>
-typ (-t)
- Popis: binárny typ. Možné hodnoty sú ssbl, fsbl, teeh, teed, teex a copro
- Syntax: -t
-tichý (-s)
Popis: nezobrazí sa žiadna správa na nahradenie existujúceho výstupu file
-pomoc (-h a -?)
Popis: ukazuje pomoc

-verzia (-v)
Popis: zobrazí verziu nástroja
–enc-dc (-encdc)
- Popis: derivačná konštanta šifrovania pre šifrovanie FSBL [hlavička v2]
- Syntax: -encdc
–enc-key (-enck)
- Popis: OEM tajomstvo file pre šifrovanie FSBL [header v2]
- Syntax: -enck
–dump-header (–dump)
- Popis: analyzovať a vypísať hlavičku obrázka
- Syntax: -skládkaFile_Cesta>
–header-version (-hv)
- Popis: verzia podpisovej hlavičky, možné hodnoty: 1, 2, 2.1, 2.2
- Example pre STM32MP15: -hv 2
- Example pre STM32MP25: -hv 2.2
– bez kľúčov (-nk)
- Popis: pridanie prázdnej hlavičky bez kľúčových možností
- Upozornenie: musíte vypnúť možnosť autentifikácie pomocou príkazu Option flags.

Exampsúbory pre STM32MP-SignTool
Nasledujúce exampsúbory ukazujú, ako používať STM32MP-SignTool:

Example 1

Je vybratý predvolený algoritmus (prime256v1) a hodnota príznaku voľby je 0 (predvolená hodnota). Binárny výstup so znamienkom file (BinárneFile_Signed.bin) sa vytvorí v priečinku /home/user/
Example 2
V tomto prípade je zvolený algoritmus BrainpoolP256t1. Aj keď Priečinok2 a Priečinok3 neexistujú, sú vytvorené. S príkazom –s, aj keď a file existuje s rovnakým zadaným názvom, automaticky sa nahradí bez akejkoľvek správy.
Example 3
Podpíšte binárne číslo file pomocou hlavičky verzie 2, ktorá obsahuje osem verejných kľúčov pre tok autentifikácie.
Example 4
Podpíšte binárne číslo file pomocou hlavičky verzie 2, ktorá obsahuje osem verejných kľúčov na autentifikáciu plus tok šifrovania.

Example 5
Overte výsledný obrázok analýzou výstupu file a skontrolujte každé pole hlavičky.
Example 6
Pridajte hlavičku bez podpisovania a bez nasadenia kľúčov.

Samostatný režim
Pri spustení STM32MP-SignTool v samostatnom režime je potrebné najprv zadať absolútnu cestu. Potom sa na potvrdenie dvakrát požaduje heslo, ako je znázornené na obrázku nižšie.

Ďalšie kroky sú nasledovné:

Vyberte jeden z dvoch algoritmov.

Zadajte verziu obrázka, vstupný bod obrázka a adresu načítania obrázka.
Zadajte hodnotu príznaku možnosti.
Ďalší výstup file V prípade potreby je možné zadať cestu alebo stlačením klávesu Enter pokračovať v existujúcej.

PKCS#11 riešenie

Podpísané binárne obrazy sa používajú počas sekvencie bezpečného zavádzania STM32MP, ktorá podporuje dôveryhodný reťazec zavádzania. Táto akcia zabezpečuje overenie a kontrolu integrity načítaných obrázkov.

Klasický príkaz na podpis vyžaduje, aby sa ako vstup poskytli všetky verejné a súkromné kľúče files. Tieto sú priamo prístupné každej osobe, ktorá má povolené vykonávať službu podpisovania. V konečnom dôsledku to možno považovať za bezpečnostný únik. Existuje niekoľko riešení na ochranu kľúčov pred akýmikoľvek pokusmi o krádež údajov kľúča. V tejto súvislosti bolo prijaté riešenie PKCS#11.
Rozhranie PKCS#11 API možno použiť na manipuláciu a ukladanie kryptografických kľúčov. Toto rozhranie špecifikuje spôsob komunikácie s kryptografickými zariadeniami, ako sú HSM (hardvérové bezpečnostné moduly) a čipové karty. Účelom týchto zariadení je generovať kryptografické kľúče a podpisovať informácie bez odhalenia materiálu so súkromným kľúčom vonkajšiemu svetu.
Softvérové aplikácie môžu volať API na použitie týchto objektov na:
- Generujte symetrické/asymetrické kľúče
- Šifrovanie a dešifrovanie
- Výpočet a overenie digitálneho podpisu

PKCS #11 predstavuje pre aplikácie bežné, logické view zariadenia, ktoré sa nazýva kryptografický token, a každému tokenu priraďuje ID slotu. Aplikácia identifikuje token, ku ktorému chce pristupovať, zadaním príslušného ID slotu.
Nástroj STM32SigningTool sa používa na správu kľúčových objektov uložených na čipových kartách a podobných bezpečnostných tokenoch PKCS#11, kde citlivé súkromné kľúče nikdy neopustia zariadenie.
Nástroj STM32SigningTool používa rozhranie PKCS#11 na manipuláciu a podpisovanie vstupných binárnych súborov na základe verejných/súkromných kľúčov ECDSA. Tieto kľúče sú uložené v bezpečnostných tokenoch (hardvér alebo softvér).

Ďalšie príkazy PKCS#11

–modul (-m)
- Popis: zadajte cestu k modulu/knižnici PKCS#11, ktorá sa má načítať (dll, takže)
- Syntax: -m
–index kľúča (-ki)
- –index kľúča (-ki)
- Popis: zoznam indexov použitých kľúčov v hexadecimálnom formáte
  Použite jeden index pre hlavičku v1 a osem indexov pre hlavičku v2 (oddelené medzerou)
- Syntax: -ki
–slot-index (-si)
- Popis: zadajte index slotu, ktorý sa má použiť (predvolené 0x0)
- Syntax: -si
–active-keyIndex (-aki)
- Popis: zadajte skutočný aktívny index kľúča (predvolená hodnota 0)
- Syntax: -aki < hexValue >

PKH/PKTH file generácie
Po spracovaní operácie podpisu nástroj systematicky generuje PKH files použiť po pre poistku OTP.

PKH file s názvom pkcsHashPublicKey0x{active_key_index}.bin pre hlavičku v1
PKTH file s názvom pkcsPublicKeysHashHashes.bin pre hlavičku v2

Examples
Nástroj môže podpísať vstup files pre hlavičku v1 aj hlavičku v2, s minimálnym rozdielom v príkazovom riadku.

Hlavička v1
Hlavička v2
- Chyba v príkazovom riadku alebo neschopnosť nástroja identifikovať kľúčové objekty, ktoré sa zhodujú, spôsobí zobrazenie chybového hlásenia. To naznačuje zdroj problému.
- SigningTool dokáže používať iba predkonfigurované HSM a nie je určený na správu alebo vytváranie nových bezpečnostných objektov. Pre nastavenie vhodného prostredia je preto potrebné nainštalovať bezplatný softvér. Potom je možné vygenerovať kľúče a získať informácie o objektoch.

Chyba napramples:

Neplatný index priestoru
Neznámy objekt kľúča, ktorý je uvedený v príkaze –key-index
Nástroj spracováva objekty postupne. Ak nedokáže identifikovať zhodné kľúčové objekty na prvý pokus, operácia podpisu zastaví proces. Potom sa zobrazí chybové hlásenie označujúce zdroj problému.

História revízií

Dátum	Verzia	Zmeny
14. februára 2019	1	Prvotné uvoľnenie.
26. novembra-2021	2	Aktualizované: • Časť 2.1: Príkazy • Časť 2.2: Prampsúbory pre STM32MP-SignTool • Pridaná časť 2.4: Riešenie PKCS#11
27-jún-2022	3	Aktualizovaná časť 2.1: Príkazy
26-jún-2024	4	Nahradené v celom dokumente: • Séria STM32MP1 od série STM32MPx • STM32MP1-SignTool od STM32MP-SignTool • STM32MP1-KeyGen od STM32MP-KeyGen Aktualizované –public-key –pubk a pridané –header-version (-hv) a –no-keys (- nk) v časti 2.1: Príkazy. Pridaný „Príklad 6“ v časti 2.2: Príkladampsúbory pre STM32MP-SignTool.

DÔLEŽITÉ UPOZORNENIE – POZORNE ČÍTAJTE

STMicroelectronics NV a jej dcérske spoločnosti (“ST”) si vyhradzujú právo vykonávať zmeny, opravy, vylepšenia, úpravy a vylepšenia produktov ST a/alebo tohto dokumentu kedykoľvek bez upozornenia. Kupujúci by mali pred zadaním objednávky získať najnovšie relevantné informácie o produktoch ST. Produkty ST sa predávajú v súlade s obchodnými podmienkami ST platnými v čase potvrdenia objednávky.
Kupujúci sú výhradne zodpovední za výber, výber a používanie produktov ST a ST nepreberá žiadnu zodpovednosť za pomoc pri aplikácii alebo dizajn produktov kupujúcich.
Spoločnosť ST tu neudeľuje žiadnu licenciu, výslovnú ani implicitnú, na akékoľvek právo duševného vlastníctva.

Opätovný predaj produktov ST s ustanoveniami odlišnými od informácií uvedených v tomto dokumente ruší akúkoľvek záruku poskytnutú spoločnosťou ST na takýto produkt.
ST a logo ST sú ochranné známky spoločnosti ST. Ďalšie informácie o ochranných známkach ST nájdete na stránke www.st.com/trademarks. Všetky ostatné názvy produktov alebo služieb sú majetkom ich príslušných vlastníkov.
Informácie v tomto dokumente nahrádzajú a nahrádzajú informácie predtým uvedené v akýchkoľvek predchádzajúcich verziách tohto dokumentu.
© 2024 STMicroelectronics – Všetky práva vyhradené

Dokumenty / zdroje

Softvér na podpisovanie série ST STM32MPx [pdfPoužívateľská príručka
STM32MPx Series Signing Tool Software, STM32MPx Series, Signing Tool Software, Tool Software, Software

Referencie

Používateľská príručka

Softvér STM32MPx Series Signing Tool

Informácie o produkte

Návod na použitie produktu