当前位置: 首页 > ds >正文

ESP32-C3 Secure Boot 使用多个签名 Key

ds 2025/5/1 8:34:29

软件准备:

  • 基于 esp-idf/examples/get-started/hello_world 例程进行测试

硬件准备:

  • ESP32-C3-DevKit board

1. 生成多个 Secure Boot V2 签名 Key

  • Secure Boot Key1
espsecure.py generate_signing_key secure_boot_signing_key.pem --version 2 --scheme rsa3072
  • Secure Boot Key2
espsecure.py generate_signing_key secure_boot_signing_key2.pem --version 2 --scheme rsa3072
  • Secure Boot Key3
espsecure.py generate_signing_key secure_boot_signing_key3.pem --version 2 --scheme rsa3072

在这里插入图片描述

2. 软件配置

  • 增大 partition-table 的偏移地址
    在这里插入图片描述
  • 开启 Secure Boot 配置选项
    在这里插入图片描述

3. 编译获取 bootloader.bin

idf.py bootloader

在这里插入图片描述

但我们需要使用多 Secure Boot key 对 bootloader-unsigned.bin 进行签名,使用如下指令:

espsecure.py sign_data --version 2 --keyfile secure_boot_signing_key.pem secure_boot_signing_key2.pem secure_boot_signing_key3.pem --output signed-bootloader.bin build/bootloader/bootloader-unsigned.bin

在这里插入图片描述

4. 下载被多 key 签名的 signed-bootloader.bin

esptool.py --chip esp32c3 -p COM62 -b 460800 --before=default_reset --after=no_reset --no-stub write_flash --flash_mode dio --flash_freq 80m --flash_size keep 0x0 signed-bootloader.bin

在这里插入图片描述

  • 强制下载 bootloader.bin 使用如下指令:

write_flash 之后增加 --force

esptool.py --chip esp32c3 -p COM62 -b 460800 --before=default_reset --after=no_reset --no-stub write_flash --force --flash_mode dio --flash_freq 80m --flash_size keep 0x0 signed-bootloader.bin

5. 编译获取 app.binpartition-table.bin

idf.py build

在这里插入图片描述

6. 使用如下指令下载 app.binpartition-table.bin

app.bin 只要确保有一个签名 Key 是正确的即可,不需要被多 Key 进行签名,即使使用多 Key 来签名 app.bin,也不会同时验证多个 签名 Key 的摘要。

idf.py -p COM3 flash monitor

7. 查看 efuse 信息可以发现会写入 3 个 secure boot key 的摘要,并使能对应 eFuse 控制位

在这里插入图片描述

之后可以通过软件更改 key 的配置来更改 app.bin 签名的 key

app.bin 只要被任意一个 secure boot key 进行签名,即可正常启动。

在这里插入图片描述
后续更新 Secure Boot Key ,也只需要重新下载 或 OTA 使用新的 Key 签名的 app.bin

esptool.py -p COM62 -b 460800 --before default_reset --after no_reset --chip esp32c3 --no-stub write_flash --flash_mode dio --flash_size keep --flash_freq 80m 0x20000 build\hello_world.bin

【注意】

  • 多个签名 Key 的唯一好处就是可以撤销有风险的 Key
  • 如果需要撤销 Key0Key1Key2 ,可以使用如下指令将对应 eFuse bit1
espefuse.py -p COM62 burn_efuse SECURE_BOOT_KEY_REVOKE0 1

espefuse.py -p COM62 burn_efuse SECURE_BOOT_KEY_REVOKE1 1

espefuse.py -p COM62 burn_efuse SECURE_BOOT_KEY_REVOKE2 1

在这里插入图片描述

  • 注意:一旦 Secure Boot Key 被撤销,将不可再次恢复使用。
http://www.xdnf.cn/news/3396.html

相关文章:

  • FEKO许可管理
  • YOLO11改进-模块-引入跨模态注意力机制CMA 提高多尺度 遮挡
  • 6轴、智能、低功耗惯性测量单元BMI270及其OIS接口
  • 开源 RAG 框架对比:LangChain、Haystack、DSPy 技术选型指南
  • 常用矩阵求导
  • Java父类、子类实例初始化顺序详解
  • 92.一个简单的输入与显示示例 Maui例子 C#例子
  • 论文速读 - 通过提示工程创建全面的合成数据集以支持医疗领域模型训练
  • 【Scrapy】简单项目实战--爬取dangdang图书信息
  • 柯希霍夫积分法偏移成像中数据分布不均匀的处理方法
  • Windows和 macOS 上安装 `nvm` 和 Node.js 16.16.0 的详细教程。
  • 深度解析| 信创浪潮下,传统AD域如何破局?
  • HCIP-security常见名词
  • 软考中级-软件设计师 操作系统(手写笔记)
  • pinia-plugin-persistedstate的使用
  • win11 终端 安装ffmpeg 使用终端Scoop
  • Copilot 上线深度推理智能体 Researcher
  • Android pm命令参考
  • Windows系统下MinerU的CUDA加速配置指南
  • 6.1/Q1,浙江医院用NHANES:膳食中摄入黄酮类化合物有助于延缓生物衰老过程
  • 毫米波通信的技术挑战与解决方案
  • Nginx核心功能02
  • 对js的Date二次封装,继承了原Date的所有方法,增加了自己扩展的方法,可以实现任意时间往前往后推算多少小时、多少天、多少周、多少月;
  • django_rq
  • Unity编辑器扩展之导出项目中所有Script里面的文本内容
  • 《Python实战进阶》No45:性能分析工具 cProfile 与 line_profiler
  • 【SLAM】svo 的深度滤波和 msckf 的后端的点的优化的差异是什么?delayinit和depthfilter之间的差异是什么?
  • 多帧Dicom文件获取ImagePosition、Intercept、Slope、PixelSpacing
  • AndroidStudio生成AAR
  • 网页工具箱 --- 一个强大的浏览器脚本工具