STM32MPx Serisi İmzalama Aracı Yazılımı

Ürün Bilgileri

Özellikler:

• Ürün Adı: STM32MP-İmza Aracı
• Sürüm: UM2543 – Rev 4
• Yayın tarihi: Haziran 2024

Ürün Kullanım Talimatları

Kurulum:
STM32MP-SignTool'u kurmak için kullanıcı kılavuzunda verilen adımları izleyin.

Komut Satırı Arayüzü:
STM32MP-SignTool'u komut satırından kullanırken aşağıdaki komutlar kullanılabilir:

• –ikili-görüntü(-bin), –giriş(-in)
• –görüntü-sürümü (-iv)
• –özel-anahtar (-prvk)
• –genel-anahtar -pubk

ExampŞunlar:
Eskiye bakınampSTM32MP-SignTool'u etkili bir şekilde nasıl kullanacağınızı anlamak için aşağıdakilere bakın:

1. Examp1. bölüm: Varsayılan algoritma seçimi ve çıktısı file yaratılış.
2. Examp2. Bölüm: İkili bir dosyayı imzalama file başlık sürümü 2 ve çoklu ortak anahtarlar ile.

Bağımsız Mod:
STM32MP-SignTool'u Standalone modunda kullanırken şu adımları izleyin:

1. Önce mutlak yolu girin.
2. Algoritma seçimi, görüntü sürümü, giriş noktası ve yükleme adresi gibi gerekli bilgileri sağlayın.

Sıkça Sorulan Sorular (SSS)

• Çıktı görüntüsünü nasıl doğrularım? file?
  Çıktıyı ayrıştırarak ortaya çıkan görüntüyü doğrulayabilirsiniz file ve her başlık alanını kontrol edin. Şu komutu kullanın:  ./STM32MP_SigningTool_CLI.exe -dump /home/user/output.stm32
• İmzalama için başlık versiyonları arasındaki fark nedir?
  Başlık sürümü kimlik doğrulama için gereken genel anahtar sayısını belirler. ÖrneğinampÖrneğin, başlık sürümü 1, STM32MP15xx ürünleri için bir anahtar yolu gerektirirken, başlık sürümü 2 ve üzeri diğerleri için sekiz anahtar yolu gerektirir.

giriiş

• STM32MPx serisi imzalama aracı yazılımı (bu belgede STM32MP-SignTool olarak adlandırılır) STM32CubeProgrammer'a (STM32CubeProg) entegre edilmiştir.
• STM32MP-SignTool, güvenli bir platformu garanti eden ve STM32MP-KeyGen yazılımı tarafından üretilen ECC anahtarlarını kullanarak ikili görüntülerin imzalanmasını sağlayan önemli bir araçtır (daha fazla ayrıntı için STM32MPx serisi anahtar üreteci yazılımı açıklamasının (UM2542) kullanım kılavuzuna bakın).
• İmzalanmış ikili görüntüler, güvenilir bir önyükleme zincirini destekleyen STM32MPx serisi MPU güvenli önyükleme dizisi sırasında kullanılır. Bu eylem, yüklenen görüntülerin kimlik doğrulamasını ve bütünlük kontrolünü sağlar.
• STM32MP-SignTool ikili bir görüntü oluşturur file, bir genel anahtar fileve özel bir anahtar file.
• İkili görüntü file cihaz için programlanacak ikili verileri içerir.
• Genel anahtar file STM32MP-KeyGen ile üretilen PEM formatındaki ECC açık anahtarını içerir.
• Özel anahtar file STM32MP-KeyGen ile üretilen PEM formatında şifrelenmiş ECC özel anahtarını içerir.
• İmzalanmış bir ikili file ayrıca önceden imzalanmış bir belgeden de üretilebilir file parti ile birlikte file mod. Bu durumda, aşağıdaki parametreler zorunlu değildir: görüntü giriş noktası, görüntü yükleme adresi ve görüntü sürüm parametreleri.

STM32MP-SignTool'u yükleyin

• Bu araç STM32CubeProgrammer paketiyle (STM32CubeProg) yüklenir. Kurulum prosedürü hakkında daha fazla bilgi için STM1.2CubeProgrammer yazılım açıklamasının (UM32) 2237 bölümüne bakın.
• Bu yazılım STM32MPx serisi Arm® tabanlı MPU'lar için geçerlidir.
  Not: Arm, Arm Limited'in (veya yan kuruluşlarının) ABD'de ve/veya başka yerlerde tescilli ticari markasıdır.

STM32MP-SignTool komut satırı arayüzü

Aşağıdaki bölümlerde STM32MP-SignTool'un komut satırından nasıl kullanılacağı açıklanmaktadır.

Komutlar
Kullanılabilir komutlar aşağıda listelenmiştir:

• –ikili-görüntü(-bin), –giriş(-in)
  • Tanım: ikili görüntü file yol (.bin uzantısı)
  • Sözdizimi: 1 -bin /home/Kullanıcı/ikiliFile.çöp kutusu
  • Sözdizimi :2 -in /home/Kullanıcı/ikiliFile.çöp kutusu
• –görüntü-sürümü (-iv)
  • Tanım: imzalı görüntünün görüntü versiyonunu girer file
  • Sözdizimi: -iv
• –özel-anahtar (-prvk)
  • Tanım: özel anahtar file yol (.pem uzantısı)
  • Sözdizimi: -prvkfile_yol>
  • Examptarih: -prvk ../özelAnahtar.pem
• –genel-anahtar -pubk
  • Tanım: genel anahtar file yollar
  • Sözdizimi: -pubFile_Yol{1..8}>
    • Başlık v1 için: STM32MP15xx ürünleri için yalnızca bir anahtar yolu kullanın
    • Başlık v2 ve üzeri için: diğerleri için sekiz anahtar yolu kullanın
• –şifre (-şifre)
  • Tanım: özel anahtarın şifresi (bu şifre en az dört karakter içermelidir)
  • Examptarih: -şifre azerty
• –yükleme adresi (-la)
  • Tanım: görüntü yükleme adresi
  • Examptarih: -la
• –giriş noktası (-ep)
  • Tanım: görüntü giriş noktası
  • Examptarih: -b
• –seçenek-bayrakları (-of)
  • Tanım: görüntü seçeneği bayrakları (varsayılan değer = 0)
  • Examptarih: -ile ilgili
• –algoritma (-a)
  • Tanım: prime256v1 (değer 1, varsayılan) veya brainpoolP256t1 (değer 2) değerlerinden birini belirtir
  • Examptarih: -bir <2>
• –çıktı (-o)
  • Tanım: çıktı file yol. Bu parametre isteğe bağlıdır. Belirtilmezse, çıktı file aynı kaynaktan üretilir file yol (örneğinample, ikili görüntü file C:\Binary'dirFile.bin). İmzalanmış ikili file C:\Binary'dirFile_İmzalandı.bin.
  • Sözdizimi: -OFile_Yol>
• –tür (-t)
  • Tanım: ikili tip. Olası değerler ssbl, fsbl, teeh, teed, teex ve copro'dur
  • Sözdizimi: -T
• –sessiz (-s)
  Tanım: mevcut bir çıktıyı değiştirmek için hiçbir mesaj görüntülenmiyor file
• –help (-h ve -?)
  Tanım: yardım gösterir
• –sürüm (-v)
  Tanım: araç sürümünü görüntüler
• –enc-dc (-encdc)
  • Tanım: FSBL şifrelemesi için şifreleme türetme sabiti [başlık v2]
  • Sözdizimi: -encdc
• –enc-anahtar (-enck)
  • Tanım: OEM sırrı file FSBL şifrelemesi için [başlık v2]
  • Sözdizimi: -enck
• –dump-başlığı (–dump)
  • Tanım: resim başlığını ayrıştır ve dök
  • Sözdizimi: -çöplükFile_Yol>
• –başlık-sürümü (-hv)
  • Tanım: imzalama başlığı sürümü, olası değerler: 1, 2, 2.1, 2.2
  •  Example STM32MP15 için: -hv 2
  • Example STM32MP25 için: -hv 2.2
• –anahtar yok (-nk)
  • Tanım: anahtar seçenekleri olmadan boş başlık ekleme
  • Fark etme: Option flags komutuyla kimlik doğrulama seçeneğini devre dışı bırakmanız gerekiyor.

ExampSTM32MP-SignTool için les
Aşağıdaki örnekampSTM32MP-SignTool'un nasıl kullanılacağını gösterelim:

• Examp1'ye kadar 

  
  Varsayılan algoritma (prime256v1) seçilidir ve seçenek bayrağı değeri 0'dır (varsayılan değer). İmzalanmış çıktı ikilisi file (İkiliFile_Signed.bin) /home/user/ klasöründe oluşturulur
• Examp2'ye kadar

  Bu durumda BrainpoolP256t1 algoritması seçilir. Folder2 ve Folder3 mevcut olmasa bile, bunlar oluşturulur. –s komutuyla, bir file Aynı belirtilen isimle mevcutsa, herhangi bir mesaj olmadan otomatik olarak değiştirilir.

• Examp3'ye kadar
  İkili bir kodu imzala file Kimlik doğrulama akışı için sekiz adet genel anahtar içeren başlık sürüm 2'yi kullanarak.
• Examp4'ye kadar
  İkili bir kodu imzala file Kimlik doğrulama ve şifreleme akışı için sekiz adet genel anahtar içeren başlık sürüm 2'yi kullanıyoruz.
• Examp5'ye kadar
  Çıktıyı ayrıştırarak ortaya çıkan görüntüyü doğrulayın file ve her başlık alanını kontrol edin.
• Examp6'ye kadar
  İmzalama yapmadan ve anahtarları dağıtmadan bir başlık ekleyin.

Bağımsız mod
STM32MP-SignTool'u Standalone modunda çalıştırırken, önce mutlak bir yol girilmelidir. Daha sonra, aşağıdaki şekilde gösterildiği gibi, onay için iki kez parola istenir.

Bundan sonraki adımlar şu şekildedir:

• İki algoritmadan birini seçin.
• Görüntü sürümünü, görüntü giriş noktasını ve görüntü yükleme adresini girin.
• Seçenek bayrağı değerini girin.
  Başka bir çıktı file Gerekirse yol belirtilebilir veya mevcut olanla devam etmek için enter'a basılabilir.

PKCS#11 çözümü

• İmzalanmış ikili görüntüler, güvenilir bir önyükleme zincirini destekleyen STM32MP güvenli önyükleme dizisi sırasında kullanılır. Bu eylem, yüklenen görüntülerin kimlik doğrulamasını ve bütünlük kontrolünü sağlar.
• Klasik imzalama komutu, tüm genel ve özel anahtarların girdi olarak sağlanmasını ister files. Bunlara, imzalama hizmetini yürütme yetkisi olan herhangi bir kişi tarafından doğrudan erişilebilir. Sonuç olarak, bu bir güvenlik sızıntısı olarak düşünülebilir. Anahtarları, anahtar verilerini çalma girişimlerine karşı korumak için çeşitli çözümler vardır. Bu bağlamda, PKCS#11 çözümü benimsenmiştir.
• PKCS#11 API, kriptografik anahtarları işlemek ve depolamak için kullanılabilir. Bu arayüz, HSM'ler (donanım güvenlik modülleri) ve akıllı kartlar gibi kriptografik cihazlarla nasıl iletişim kurulacağını belirtir. Bu cihazların amacı, özel anahtar materyalini dış dünyaya ifşa etmeden kriptografik anahtarlar üretmek ve bilgileri imzalamaktır.
• Yazılım uygulamaları bu nesneleri kullanmak için API'yi çağırabilir:
  • Simetrik/asimetrik anahtarlar üret
  • Şifreleme ve şifre çözme
  • Dijital imzanın hesaplanması ve doğrulanması
• PKCS #11 uygulamalara ortak, mantıksal bir çözüm sunar view kriptografik belirteç olarak adlandırılan aygıtın ve her belirtece bir yuva kimliği atar. Bir uygulama, uygun yuva kimliğini belirterek erişmek istediği belirteci tanımlar.
• STM32SigningTool, hassas özel anahtarların asla cihazdan çıkmadığı akıllı kartlarda ve benzeri PKCS#11 güvenlik belirteçlerinde saklanan anahtar nesnelerini yönetmek için kullanılır.
• STM32SigningTool, ECDSA genel/özel anahtarlarına dayalı giriş ikili dosyalarını işlemek ve imzalamak için PKCS#11 arayüzünü kullanır. Bu anahtarlar güvenlik belirteçlerinde (donanım veya yazılım) saklanır.

Ek PKCS#11 komutları

• –modül (-m)
  • Tanım: yüklenecek bir PKCS#11 modülü/Kütüphane yolu belirtin (dll, yani)
  • Sözdizimi:-m
• –anahtar-indeksi (-ki)
  • –anahtar-indeksi (-ki)
  • Tanım: kullanılan anahtarların onaltılık biçimdeki dizinlerinin listesi
    Başlık v1 için bir dizin ve başlık v2 için sekiz dizin kullanın (boşlukla ayrılmış)
  • Sözdizimi: -ki
• –slot-indeksi (-si)
  • Tanım: kullanılacak yuvanın dizinini belirtin (varsayılan 0x0)
  • Sözdizimi:-si
• –aktif-anahtarIndeksi (-aki)
  • Tanım: gerçek etkin anahtar dizinini belirtin (varsayılan 0)
  • Sözdizimi: -aki < hexDeğeri >

PKH/PKTH file nesil
İmzalama işleminin işlenmesinden sonra araç sistematik olarak PKH'yi üretir fileOTP sigortasından sonra kullanılacak s.

• PKH file v0 başlığı için pkcsHashPublicKey1x{active_key_index}.bin adlı
• PKTH file v2 başlığı için pkcsPublicKeysHashHashes.bin adı verildi

Examples
Araç, girdiyi imzalayabilir fileHem v1 hem de v2 başlığı için s, komut satırında çok az farkla.

• Başlık v1 

  

• Başlık v2 

  

  • Komut satırındaki bir hata veya aracın eşleşen anahtar nesneleri tanımlayamaması, bir hata mesajının görüntülenmesine neden olur. Bu, sorunun kaynağını gösterir.
  • SigningTool yalnızca önceden yapılandırılmış HSM'leri kullanabilir ve yeni güvenlik nesnelerini yönetmek veya oluşturmak için tasarlanmamıştır. Bu nedenle, uygun bir ortam kurmak için ücretsiz yazılım yüklemek gerekir. Daha sonra anahtarlar üretilebilir ve nesneler hakkında bilgi edinilebilir.

Hata eskiampŞunlar:

• Geçersiz yuva dizini
• –key-index komutunda belirtilen bilinmeyen anahtar nesnesi
  Araç nesneleri sıralı olarak işler. İlk denemede eşleşen anahtar nesneleri tanımlayamazsa, imzalama işlemi işlemi durdurur. Daha sonra sorunun kaynağını belirtmek için bir hata mesajı görüntülenir.

Revizyon geçmişi

Tarih	Sürüm	Değişiklikler
14-Şub-2019	1	İlk sürüm.
26-Kas-2021	2	Güncellendi: • Bölüm 2.1: Komutlar • Bölüm 2.2: Örn.ampSTM32MP-SignTool için les • Bölüm 2.4 eklendi: PKCS#11 çözümü
27-Haz-2022	3	Güncellenen Bölüm 2.1: Komutlar
26-Haz-2024	4	Tüm belgede değiştirildi: • STM32MP1 serisi STM32MPx serisinden • STM32MP-SignTool tarafından STM1MP32-SignTool • STM32MP1-KeyGen STM32MP-KeyGen tarafından Bölüm 2.1: Komutlar'da –public-key -pubk güncellendi ve –header-version (-hv) ve –no-keys (-nk) eklendi. Bölüm 6'ye “Örnek 2.2” eklendi: Örn.ampSTM32MP-SignTool için dosyalar.

ÖNEMLİ UYARI – DİKKATLİCE OKUYUN

• STMicroelectronics NV ve bağlı şirketleri ("ST"), ST ürünlerine ve/veya bu belgeye herhangi bir zamanda bildirimde bulunmaksızın değişiklik, düzeltme, geliştirme, modifikasyon ve iyileştirme yapma hakkını saklı tutar. Alıcılar, sipariş vermeden önce ST ürünleriyle ilgili en son ilgili bilgileri edinmelidir. ST ürünleri, sipariş onayı sırasında yürürlükte olan ST'nin satış şartları ve koşullarına uygun olarak satılır.
• Alıcılar, ST ürünlerinin seçimi, seçimi ve kullanımı konusunda münhasıran sorumludur ve ST, uygulama yardımı veya alıcıların ürünlerinin tasarımı konusunda hiçbir sorumluluk kabul etmez.
• ST tarafından burada herhangi bir fikri mülkiyet hakkına ilişkin açık veya örtük hiçbir lisans verilmemektedir.
• ST ürünlerinin burada belirtilen bilgilerden farklı hükümlerle yeniden satışı, ST tarafından söz konusu ürün için verilen her türlü garantiyi geçersiz kılar.
• ST ve ST logosu, ST'nin ticari markalarıdır. ST ticari markaları hakkında ek bilgi için www.st.com/trademarks adresine bakın. Diğer tüm ürün veya hizmet adları ilgili sahiplerinin mülkiyetindedir.
• Bu belgedeki bilgiler, bu belgenin önceki sürümlerinde sağlanan bilgilerin yerini alır ve bu bilgilerin yerine geçer.
  © 2024 STMicroelectronics – Tüm hakları saklıdır

Belgeler / Kaynaklar

ST STM32MPx Serisi İmzalama Aracı Yazılımı [pdf] Kullanıcı Kılavuzu STM32MPx Serisi İmzalama Aracı Yazılımı, STM32MPx Serisi, İmzalama Aracı Yazılımı, Araç Yazılımı, Yazılım

Referanslar

• Kullanıcı Kılavuzu