1793834_ja-JP

cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 

1793834_ja-JP

1793834_ja-JP

HSM付きCST3.4.0

こんにちは、


私は最新の CST-3.4.0 を使用しており、サードパーティの HSM で CST-3.4.0 を試してみたいと思っています。openssl.cnfを以下のように設定しました。

openssl_conf = openssl_init
[openssl_init]
エンジン = エンジンセクション
[エンジンセクション]
pkcs11 = pkcs11_セクション
[pkcs11_セクション]
#OpenSC からコンパイルされた OpenSSL PKCS11 へのパス - libp11
動的パス = /usr/lib/x86_64-linux-gnu/engines-1.1/libpkcs11.so
モジュールパス = /ホーム/jbhaijy/digicert/smtools-Linux-x64/smpkcs11.SO

HSM 経由でイメージに署名するために -b pkcs11 オプションを使用して CST を実行しましたが、以下のエラーが発生します。

./cst --verbose -b pkcs11 -i dev_spl.csf -o dev_spl.bin
SRKをインストールする
CSFKをインストールする
証明書が見つかりません。
ファイル pkcs11 の公開鍵証明書が無効です:model=DigiCert%20PKCS%2311;manufacturer=DigiCert;serial=SS0123456789;token=Virtual%20PKCS%2311%20Token;id=%36%34%33%39%61%63%61%32%2D%35%36%61%30%2D%34%64%64%63%2D%39%36%30%39%2D%65%62%64%39%31%63%36%33%65%33%62%39;object=imx6-hab-csf2-key-test;type=private


ここで問題を特定するのを手伝ってください。

サポートありがとうございます。


Re: CST3.4.0 with HSM

私は AHAB で imx93 用の Digicert を使用して署名を実行しようとしています。

os_cntr_signed.bin と imx-boot-imx93-var-som-aski-sd.bin-flash_singleboot_gdet の両方に署名できますが、~/cst-4.0.0/linux64/bin/ahab_image_verifier を使用して検証しようとすると、矛盾した結果が返されます。

次のようにすると: ahab_image_verifier os_cntr_signed.bin 0 0 次のように出力されます

署名ブロック:
バージョン: 0
長さ: 2648バイト
タグ: 0x90
証明書オフセット: 0x0
SRKテーブル/配列オフセット: 0x10
SRKテーブル:
タグ: 0xD7
長さ: 2112バイト
バージョン: 66
SRKレコード:
タグ: 0xE1
長さ: 527バイト
署名アルゴリズム: RSA
ハッシュアルゴリズム: SHA2_384
キーサイズ/曲線: RSA4096
SRK旗:CA旗
弾性率(N):
.....
署名の検証に失敗しました

実行中に: ahab_image_verifier imx-boot-imx93-var-som-aski-sd.bin-flash_singleboot_gdet0 0 結果は次の通りです:

署名ブロック:
バージョン: 0
長さ: 400バイト
タグ: 0x90
証明書オフセット: 0x0
SRKテーブル/配列オフセット: 0x10
SRKテーブル:
タグ: 0xD7
長さ: 308バイト
バージョン: 66
SRKレコード:
タグ: 0xE1
長さ: 76バイト
署名アルゴリズム: ECDSA
ハッシュアルゴリズム: SHA2_256
キーサイズ/カーブ: PRIME256V1
SRKフラグ: なし
X座標: ....
Y座標: ...

......

署名検証に成功しました


cst-signerへの入力として同じcsf.cfgを使用したため、cstの.csfでは同じSRKテーブルとDigicertトークンが使用されています。ファイル

誰かヒントを持っていますか?この質問もここに投稿しました

Re: CST3.4.0 with HSM

https://www.nxp.com/search?keyword=IMX_CST_TOOLからダウンロードできます。
この CST ツールはデフォルトで HSM をサポートしていますが、HSM から署名されたイメージを取得するには CSF を構成する必要があります。

詳細については、このツールのドキュメントを参照してください。

Re: CST3.4.0 with HSM

こんにちは@jbhaijy さん、HSM で最新の CST を取得するにはどうすればいいですか。最新のものが見つかりません。

Re: CST3.4.0 with HSM

こんにちは@jbhaijyさん

openssl.cnf ファイルに次の変更を加えてみてはいかがでしょうか?

openssl_conf = openssl_def

[openssl_def]
engines = engine_section


[engine_section]
pkcs11 = pkcs11_section


[pkcs11_section]
engine_id = pkcs11
#Path to the Compiled OpenSSL PKCS11 from OpenSC - libp11
dynamic_path = /usr/lib/x86_64-linux-gnu/engines-1.1/libpkcs11.so
MODULE_PATH = /home/jbhaijy/digicert/smtools-linux-x64/smpkcs11.so
init = 0


問題が解決したかどうかお知らせください。

よろしくお願いします、
ヘクター。

Re: CST3.4.0 with HSM

こんにちは@hector_delgado

AN12812 に記載されている手順に従いました。SoftHSM の代わりにサードパーティの HSM を使用しています。

考えられる理由は何ですか?


よろしくお願いいたします。

jbhaijy

Re: CST3.4.0 with HSM

こんにちは@jbhaijyさん

ハードウェア セキュリティ モジュールを使用したコード署名ツールの使用に関するアプリケーション ノート ( https://www.nxp.com/webapp/Download?colCode=AN12812&location=null ) のすべての手順を実行しましたか?

古いガイドではありますが、現在の CST リリースにも適用されると思います。

これが役に立ったかどうかお知らせください。

よろしくお願いします、
ヘクター。

Re: CST3.4.0 with HSM

@hector_delgado

返信ありがとうございます。
i.MX6 と i.MX8 の両方に CST 署名ソリューションを導入したいと考えています。どちらもカスタムボードです。Ubuntu-22.04 VMを実行しています。

Re: CST3.4.0 with HSM

こんにちは@jbhaijyさん

お元気でお過ごしでしょうか?

どの i.MX を使用していますか?これはカスタム ボードですか、それとも当社の EVK の 1 つですか?また、ホスト環境で使用している Linux のディストリビューションとバージョンは何ですか?

よろしくお願いします、
ヘクター。

Tags (1)
No ratings
Version history
Last update:
‎11-21-2025 02:06 AM
Updated by: