SDX12 定制使能secboot方法

news2024/12/23 13:56:16

SDX12 定制使能secboot方法

  • 1. 镜像签名列表
  • 2 证书制作步骤
  • 3. 客制化秘钥证书
  • 4 调试验证

主要介绍SDX12平台定制秘钥使能secboot的具体操作流程和注意事项。

1. 镜像签名列表

如下表所示,表中是软件版本中的所有镜像并标出哪些镜像需要签名。

序号镜像文件是否签名
1appsboot.mbn
2cefs.mbn
3devcfg.mbn
4efs2bak.bin
5NON-HLOS.ubi
6oeminfo.bin
7partition.mbn
8partition_complete_p2K_b128K.mbn
9prog_nand_firehose_9x55.mbn
10rpm.mbn
11sbl1.mbn
12sdxnightjar-boot.img
13sdxnightjar-recovery.img
14sdxnightjar-sysfs.ubi
15sdxnightjar-usrfs.ubi
16tz.mbn

上表中需要签名的镜像中只有modem镜像文件NON-HLOS.ubi和其中的mbn是需要在打包镜像时就要进行签名。下表是modem镜像中需要签名的mbn。

序号镜像文件是否签名
1qdsp6sw.mbn
2mba.mbn
3att_mcfg_sw.mbn
43gpp_row/mcfg_sw.mbn
53gpp_row/lab_test.mbn
6china_ct/mcfg_sw.mbn
7cricket_mcfg_sw.mbn
8firstnet_mcfg_sw.mbn
9na_tmo_mcfg_sw.mbn
10verizon_cmdaless_volte_mcfg_sw.mbn

2 证书制作步骤

  1. 在代码目录sdx12-le-1-0/common/sectools/resources/data_prov_assets/Signing/Local下,新建证书存放目录,例如default。
cd sdx12-le-1-0/common/sectools/resources/data_prov_assets/Signing/Local
mkdir –p default
  1. 将用到的文件opensslroot.cfg、v3_attest.ext、v3.ext从目录sdx12-le-1-0/common/sectools/resources/data_prov_assets/ General_Assets/Signing/openssl拷贝到default目录下。
cp –rf ../../General_Assets/Signing/openssl/opensslroot.cfg default
cp –rf ../../General_Assets/Signing/openssl/ v3_attest.ext default
cp –rf ../../General_Assets/Signing/openssl/ v3.ext default
  1. 从其他证书下拷贝config.xml文件到default目录下,config.xml文件如下所示,其中attest_cert_params字段客户可定制修改。
<METACONFIG>
 <is_mrc>False</is_mrc>
 <root_pre>True</root_pre>
 <attest_ca_pre>True</attest_ca_pre>
 <attest_pre>False</attest_pre>
 <root_cert>qpsa_rootca.cer</root_cert>
 <root_private_key>qpsa_rootca.key</root_private_key>
 <attest_ca_cert>qpsa_attestca.cer</attest_ca_cert>
 <attest_ca_private_key>qpsa_attestca.key</attest_ca_private_key>
 <attest_cert_params>
 C=US
 ST=California
 L=San Diego
 O=SecTools
 CN=SecTools Test User
 </attest_cert_params>
</METACONFIG>
  1. 在default目录下利用以下命令产生证书链
openssl genrsa -out qpsa_rootca.key -3 2048
openssl req -new -key qpsa_rootca.key -x509 -out oem_rootca.crt -subj /C="US"/ST="CA"/L="SANDIEGO"/O="OEM"/OU="General OEM   rootca"/CN="OEM ROOT CA" -days 7300 -set_serial 1 -config opensslroot.cfg -sha256
openssl x509 -in oem_rootca.crt -inform PEM -out qpsa_rootca.cer -outform DER
openssl genrsa -out qpsa_attestca.key -3 2048
openssl req -new -key qpsa_attestca.key -out oem_attestca.csr -subj /C="US"/ST="CA"/L="SANDIEGO"/O="OEM"/OU="General OEM attestation CA"/CN="OEM attestation CA" -days 7300 -config opensslroot.cfg
openssl x509 -req -in oem_attestca.csr -CA oem_rootca.crt -CAkey qpsa_rootca.key -out qpsa_attestca.crt -set_serial 5 -days 7300 -extfile v3.ext
openssl x509 -in qpsa_attestca.crt -inform PEM -out oem_attestca.cer -outform DER
openssl dgst -sha256 qpsa_rootca.cer > sha256rootcert.txt

最后这个命令生成的哈希值在后面会用到。

上述命令中/C、/ST、/L、/O、/OU、/CN等字段客户可定制修改。

NOTE:生成的key要保存好,使能secure boot后,需使用同样的key值对镜像签名才能烧录。

  1. 配置哈希值,制作sec.dat
    修改目录sdx12-le-1-0/common/sectools/config/9x50下的9x50_fuseblower_USER.xml,修改内容如下。
<entry ignore="false">
            <description>contains the OEM public key hash as set by OEM</description>
            <name>root_cert_hash</name>
             <value>fd745b708f70ebf1c3e684ef429b0d39e14ceabb9f6c85c69e1c6ebe2157a6ab</value>
</entry>
注:这个值保存在步骤4提供的sha256rootcert.txt中。
        <entry ignore="true">
            <description>SHA256 signed root cert to generate root hash</description>
            <name>root_cert_file</name>
            <value>./../../resources/data_prov_assets/Signing/Local/default/qpsa_rootca.cer</value>
        </entry>
注:需修改为提供的qpsa_rootca.cer的实际路径。
        <entry ignore="false">
            <description>PK Hash is in Fuse for SEC_BOOT1 : Apps</description>
            <name>SEC_BOOT1_PK_Hash_in_Fuse</name>
            <value>true</value>
        </entry>
        <entry ignore="false">
            <description>PK Hash is in Fuse for SEC_BOOT2 : MBA</description>
            <name>SEC_BOOT2_PK_Hash_in_Fuse</name>
            <value>true</value>
        </entry>
        <entry ignore="false">
            <description>PK Hash is in Fuse for SEC_BOOT3 : MPSS</description>
            <name>SEC_BOOT3_PK_Hash_in_Fuse</name>
            <value>true</value>
        </entry>
        <entry ignore="false">
            <description>The OEM hardware ID</description>
            <name>oem_hw_id</name>
            <value>0x0000</value>
        </entry>
        <entry ignore="false">
            <description>The OEM product ID</description>
            <name>oem_product_id</name>
            <value>0x0000</value>
        </entry>
  • oem_hw_id和oem_product_id默认是0x0000,客户可根据实际情况修改。

修改目录sdx12-le-1-0/common/sectools/config/9x50下的,修改内容如下。

<selected_cert_config>default</selected_cert_config>
        <msm_part>0x001890E1</msm_part>
        <oem_id>0x0000</oem_id>
        <model_id>0x0000</model_id>
        <debug>nop</debug>
  • selected_cert_config字段需要配置为证书所在目录的目录全名。

  • msm_part的值需利用手册读出JTAG_ID的地址进而读出该寄存器的值,SX12 JTAG ID: 0X001890E1

  • oem_id和model_id的值需和9x50_fuseblower_USER.xml中保持一致

在sdx12-le-1-0/common/sectools目录下执行以下命令生成sec.dat

python sectools.py fuseblower -p 9x50 -g -d

客户可根据上述步骤定制修改生成证书和对应的sec.dat

3. 客制化秘钥证书

如果签名证书是第三方制作,需要第三方提供秘钥证书给到本地,本地在编译版本时使用第三方提供的秘钥进行签名,保证给第三方的版本镜像签名和客户保持一致,防止镜像签名不一致导致使能secboot后模组无法启动板子废弃。

第三方提供秘钥后需要编译版本与第三方进行调试验证,保证使能secboot后模块能正常启动和工作。

例如第三方提供秘钥证书如下图。
在这里插入图片描述

将第三方提供的证书文件替换到X12基线代码的sdx12-le-1-0/common/sectools/resources/data_prov_assets/Signing/Local/OEM-KEYS目录下,编译的软件版本中签名的镜像就使用的是第三方提供的秘钥。在编译完成后可查看sdx12-le-1-0/common/sectools/oem_sec_images目录下的SecImage_log.txt文件,确认该文件中无ERROR信息,搜索signature,确认所有的镜像签名都是有效的。

在这里插入图片描述
在这里插入图片描述

4 调试验证

在制作秘钥证书时会生成对应的sec.dat文件。

  1. 烧录已经签名的软件版本,保证可以开机。
  2. 使用fastboot将sec.dat下载到sec分区。
  3. 下载完成后模块正常开机,则表示签名成功。
  4. 进入fastboot 模式下用fastboot getvar secure获取返回状态。签名成功状态如下图。
    在这里插入图片描述
  5. 或者查看开机串口log中secboot使能是否OK
    在这里插入图片描述
  6. 使能secboot后验证基本功能是否OK

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1259089.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

数塔问题【java】

[实验题目3] 使用动态规划法解决数塔问题。 问题描述&#xff1a;从数塔的顶层出发&#xff0c;在每一个结点可以选择向左走或向右走&#xff0c;一直走到最底层&#xff0c;要求找出一条路径&#xff0c;使得路径上的数值和最大。 一个示例&#xff1a; 核心思想&#xff1…

高清gif表情包怎么做?这个方法赶快学起来

在现在这个快节奏的互联网时代&#xff0c;人们在观看视频、图片等也不满足于传统的长视频、长图了。开始流行起来gif动图&#xff0c;将视频、图片等做成有动态效果的图片&#xff0c;通过一张图片传递丰富的信息。接下来&#xff0c;给大家分享一款制作gif图在线&#xff08;…

棕榈酰三肽-5——抑制肌肤炎症,紧致滋润肌肤

棕榈酰三肽-5 皮肤老化简介 皮肤的自然老化导致细胞外基质蛋白&#xff08;例如胶原蛋白、纤连蛋白、弹性蛋白和层粘连蛋白&#xff09;的产生减少和降解增加。细胞外基质除了提供结构支持外&#xff0c;还影响细胞行为&#xff0c;例如分化和增殖。这些功能是通过细胞外基质蛋…

科技与教育:未来教育的新趋势

在21世纪&#xff0c;科技的快速发展正在深刻地改变教育行业。从在线学习平台到虚拟现实教室&#xff0c;科技为教育带来了革命性的变化。本文将探讨科技如何影响现代教育&#xff0c;并预测未来教育的发展趋势。 一、科技在教育中的应用 在线学习平台&#xff1a;通过平台如C…

PCB板的固螺丝孔连接电阻电容有什么好处

PCB板的固螺丝孔连接电阻电容有什么好处 并联高压电容和大电阻作用好处个人经历看法 并联高压电容和大电阻 我们经常会看到一些系统设计中将PCB板的地(GND)与金属外壳(EGND)之间通常使用一个高压电容C1&#xff08;1~100nF/2KV&#xff09;并联一个大电阻R1&#xff08;1M&…

XmlRPC协议详解(一款不支持原生异步请求的协议)

XmlRPC协议详解 文章目录 XmlRPC协议详解什么是RPC&#xff1f;什么是XmlRPC&#xff1f;XmlRPC详解请求示例响应示例错误响应示例参数的数据类型 结束语 什么是RPC&#xff1f; RPC&#xff08;远程过程调用&#xff09;是一种用于实现分布式系统中不同进程或不同计算机之间通…

AIGC系列之:Variational Auto Encoder-VAE模块

目录 1.VAE 概述 2.概率分布 3.损失函数 4.重参数技巧 5.维度对 VAE 的影响 6.损失函数对VAE的影响 7.总结 VAE原始https://arxiv.org/abs/1312.6114 论文解读&#xff1a;https://mp.weixin.qq.com/MzI1MjQ2O 1.VAE 概述 变分自动编码器&#xff08;Variational auto…

常见草本植物(贵州省):023金茅、白茅、黄茅、蒲公英、地果、蕨、铁芒萁

摘要&#xff1a;本专栏树种介绍图片来源于PPBC中国植物图像库&#xff08;下附网址&#xff09;&#xff0c;本文整理仅做交流学习使用&#xff0c;同时便于查找&#xff0c;如有侵权请联系删除。 图片网址&#xff1a;PPBC中国植物图像库——最大的植物分类图片库 一、金茅 …

Zabbix 6.0 详细基础介绍

目录 一、如何选择自己的运维监控平台 1.1 常用的开源运维监控工具 1.1.1 Cacti 1.1.2 Nagios 1.1.3 Ganglia 1.1.4 Centreon 1.1.5 Grafana 1.1.6 Prometheus 1.1.7 Zabbix 1.2 监控工具选型经验 1.2.1 中小企业传统监控选择 Zabbix 1.2.2 云原生监控选择 Prometh…

快速排序算法,这么写打败95%的程序员

1960年&#xff0c;英国计算机科学家霍尔提出了一种高效的排序算法——快速排序。其核心思想是选定一个基准元素&#xff0c;将需排序的数组分割成两部分。其中一部分都比基准元素小&#xff0c;另一部分都比基准元素大。接着对这两部分分别进行快速排序&#xff0c;最后通过递…

大导演王晶进军短剧,小程序短剧质量再上一层,短剧小程序的

在2023年11月26号&#xff0c;大导演王晶在横店进行开机仪式&#xff0c;短剧《亿万傻儿子》开拍&#xff0c;该短剧题材为都市、男频。 目前短剧是比较热门&#xff0c;大导演王晶拍摄短剧可谓是将短剧的质量提高一个层次。 侧面反映了短剧已经是非常广泛了。后续发展就是哪家…

Python基础语法之学习数据转换

Python基础语法之学习数据转换 一、代码二、效果 一、代码 #数字转换成字符串 num_str str(11) print(type(num_str))#字符串转整数 numint("11") print(type(num),num)#浮点数转整数 float_num int(11.1) print(type(float_num),float_num)#整数转浮点数 num_flo…

【问题总结】Cache的有效位和修改位有什么区别?

以下是大神的理解&#xff1a; ref:https://blog.csdn.net/weixin_45415929/article/details/128152542 有效位&#xff1a;表示一个块是否在Cache中。&#xff08;eg&#xff1a;当电脑开机时&#xff0c;Cache一定是空的&#xff0c;因此有效位是0。&#xff09; 修改位&…

10.索引

一.索引简介 索引用于快速找出在某个列中有一特定值的行。 不使用索引&#xff0c;MySQL必须从第1条记录开始读完整个表&#xff0c;直到找出相关的行。表越大&#xff0c;查询数据所花费的时间越多。 如果表中查询的列有一个索引&#xff0c;MySQL能快速到达某个位置去搜寻…

C#-基础及扩展合集(持续更新)

一、基础 Ⅰ 关键字 1、record record&#xff08;记录&#xff09;&#xff0c;编译器会在后台创建一个类。支持类似于结构的值定义&#xff0c;但被实现为一个类&#xff0c;方便创建不可变类型&#xff0c;成员在初始化后不能再被改变 &#xff08;C#9新增&#xff09; …

Python中的datetime库

1. datetime datetime是Python中用于处理日期和时间的类&#xff0c;它包含在datetime模块中。使用datetime类&#xff0c;我们可以创建表示特定日期和时间的对象&#xff0c;以及进行日期和时间的计算和操作。 from datetime import datetime, timedelta# 获取当前日期和时间…

ATA-7030高压放大器在等离子体实验中的应用有哪些

高压放大器在等离子体实验中有多种重要应用。等离子体是一种带电粒子与电中性粒子混合的物质&#xff0c;其具有多种独特的物理性质&#xff0c;因此在许多领域具有广泛的应用&#xff0c;例如聚变能源、等离子体医学、材料加工等。下面安泰电子将介绍高压放大器在等离子体实验…

简易selenium自动化测试框架(Python)

&#x1f4e2;专注于分享软件测试干货内容&#xff0c;欢迎点赞 &#x1f44d; 收藏 ⭐留言 &#x1f4dd; 如有错误敬请指正&#xff01;&#x1f4e2;交流讨论&#xff1a;欢迎加入我们一起学习&#xff01;&#x1f4e2;资源分享&#xff1a;耗时200小时精选的「软件测试」资…

AIGC系列之:CLIP和OpenCLIP

目录 模型背景 CLIP模型介绍 相关资料 原理和方法 Image Encoder Text Encoder 对比学习 预训练 Zero Shot预测 优势和劣势 总结 OpenClip模型介绍 相关资料 原理 结果 用法 模型总结 模型背景 Stable Diffusion主要由三个核心模块组成&#xff1a; Text Enc…

聊聊如何进行代码混淆加固

​ 聊聊如何进行代码混淆 前言什么是代码混淆代码混淆&#xff0c;是指将计算机程序的代码&#xff0c;转换成一种功能上等价&#xff0c;但是难于阅读和理解的形式的行为。 代码混淆常见手段1、名称混淆 将有意义的类&#xff0c;字段、方法名称更改为无意义的字符串。生成…