ESP32-S3 使用指定 key 来进行 secure boot 签名并进行 OTA 测试

企业开发 2023-06-24 23:32:11 阅读次数: 0

文档说明

测试准备:

  • 硬件准备:ESP32-S3 开发板或模组
  • 软件准备:esp-idf v5.0 版本 SDK

测试步骤:

  • 生成指定 secure boot 签名 key
  • 软件开启 secure boot 配置
  • 烧录被签名的固件
  • 对新的 app.bin 使用指定 key 进行签名
  • 对已经签名的 app.bin 进行 OTA 测试

1、生成指定 secure boot 签名 key

  • 可使用 esptool 工具,运行如下指令生成指定secure boot 签名 key
espsecure.py generate_signing_key secure_boot_signing_key.pem --version 2
  • secure_boot_signing_key.pem 为生成的(自定义名称)的 key file 文件
  • --version 2 为选择 secure boot V2 版本

在这里插入图片描述

openssl genrsa -out my_secure_boot_signing_key.pem 3072

在这里插入图片描述

2、软件开启 secure boot 配置

  • 使能 secure boot 功能的软件配置
  • 将 key 文件放到当前工程目录下,并使用指定 key 进行签名
  • 同时,注意 UART ROM download mode 配置选项的设置,若需要运行重烧固件,可按照如下进行设置

idf.py menuconfig —> Security features —> UART ROM download mode

在这里插入图片描述

3、 烧录被签名的固件

  • 由于 Secure boot 是对二级 bootloader 进行签名,因此编译生成的被签名的 bootloader.bin 将增大,需要调整默认 partition table 偏移地址

idf.py menuconfig —> Partition Table
在这里插入图片描述

  • 使用 idf.py build 指令编译当前工程,编译完成后会生成已经签名的 bootloader.bin 和 app.bin ,以及未被签名的 bootloader-unsigned.bin 和 app-unsigned.bin ,如下:

在这里插入图片描述

在这里插入图片描述

  • 注意编译完成后,直接使用 idf.py flash 指令烧录固件不会烧录被签名的 bootloader.bin,只会烧录 partition-table.binota_data_initial.bin 以及 被签名的 blink.bin ,需要自行对 被签名的 bootloader.bin 进行烧录

在这里插入图片描述

  • 烧录 被签名的 bootloader.bin固件,可在当前工程目录下,使用 idf.py bootloader-flash 指令来烧录 被签名的 bootloader.bin 固件。如下:

在这里插入图片描述

  • 固件烧录后会在第一次启动运行时完成 secure boot 签名,对 eFuse 写入 secure boot 签名 key 以及 secure boot 控制位,参见如下启动日志:

在这里插入图片描述

  • 未设置安全下载模式可使用 espefuse.py summary 指令查看 eFuse 信息,可以发现,Secure Boot 被使能,且 eFuse 中写入了 secure boot 签名 key ,如下:
    在这里插入图片描述

  • 设置了安全下载模式可使用 esptool.py --no-stub get_security_info 指令查看 eFuse 中的安全 信息,如下:

在这里插入图片描述

在这里插入图片描述

  • Key_Purposes:(9,0,0,0,0,0,12) 第一个 eFsue block 为 9 ,说明这里已经有一个 secure boot 的 digest 烧录到 eFuse 了

4、对新的 app.bin 使用指定 key 进行签名

  • OTA 更新时固件时,需要对新的 app.bin 使用 secure boot 签名 key (secure_boot_signing_key.pem)进行签名,使用 hello_world.bin 进行测试,使用如下指令:
espsecure.py sign_data --version 2 --keyfile secure_boot_signing_key.pem --output SIGNED_hello_world.bin hello_world.bin

在这里插入图片描述

  • secure_boot_signing_key.pem 为 key 文件
  • SIGNED_hello_world.bin 为自定义名称的 被签名的后生成的 app.bin
  • hello_world.bin 为原始未被签名的 app.bin

5 、对已经签名的 SIGNED_hello_world.bin 进行 OTA 测试

猜你喜欢

转载自blog.csdn.net/Marchtwentytwo/article/details/131108003
今日推荐
Linus “吃狗粮”最积极!
开源日报 | Winamp播放器即将开源;生成式AI之战升级第二轮;Linus“吃狗粮”最积极;AI进入泡沫前期;吴泳铭为阿里云带来了什么?
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
周排行
SVN服务端安装在阿里云
实战 | 相机标定
webpack核心概念
note20——》只要肯低头吃苦,人生就会有救
PAT甲级 1062 Talent and Virtue (25 分)排序
NG Toolset开发笔记--5GNR Resource Grid(26)
如何对待上司
oracle命令
第9章 STL迭代器
logstash使用es映射模板
每日归档
更多
2024-05-20(36)
2024-05-19(0)
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022