こんにちは、
私は最新の CST-3.4.0 を使用しており、サードパーティの HSM で CST-3.4.0 を試してみたいと思っています。openssl.cnfを以下のように設定しました。
openssl_conf = openssl_init
[openssl_init]
エンジン = エンジンセクション
[エンジンセクション]
pkcs11 = pkcs11_セクション
[pkcs11_セクション]
#OpenSC からコンパイルされた OpenSSL PKCS11 へのパス - libp11
動的パス = /usr/lib/x86_64-linux-gnu/engines-1.1/libpkcs11.so
モジュールパス = /ホーム/jbhaijy/digicert/smtools-Linux-x64/smpkcs11.SO
HSM 経由でイメージに署名するために -b pkcs11 オプションを使用して CST を実行しましたが、以下のエラーが発生します。
./cst --verbose -b pkcs11 -i dev_spl.csf -o dev_spl.bin
SRKをインストールする
CSFKをインストールする
証明書が見つかりません。
ファイル pkcs11 の公開鍵証明書が無効です:model=DigiCert%20PKCS%2311;manufacturer=DigiCert;serial=SS0123456789;token=Virtual%20PKCS%2311%20Token;id=%36%34%33%39%61%63%61%32%2D%35%36%61%30%2D%34%64%64%63%2D%39%36%30%39%2D%65%62%64%39%31%63%36%33%65%33%62%39;object=imx6-hab-csf2-key-test;type=private
ここで問題を特定するのを手伝ってください。
サポートありがとうございます。
私は AHAB で imx93 用の Digicert を使用して署名を実行しようとしています。
os_cntr_signed.bin と imx-boot-imx93-var-som-aski-sd.bin-flash_singleboot_gdet の両方に署名できますが、~/cst-4.0.0/linux64/bin/ahab_image_verifier を使用して検証しようとすると、矛盾した結果が返されます。
次のようにすると: ahab_image_verifier os_cntr_signed.bin 0 0 次のように出力されます
署名ブロック:
バージョン: 0
長さ: 2648バイト
タグ: 0x90
証明書オフセット: 0x0
SRKテーブル/配列オフセット: 0x10
SRKテーブル:
タグ: 0xD7
長さ: 2112バイト
バージョン: 66
SRKレコード:
タグ: 0xE1
長さ: 527バイト
署名アルゴリズム: RSA
ハッシュアルゴリズム: SHA2_384
キーサイズ/曲線: RSA4096
SRK旗:CA旗
弾性率(N):
.....
署名の検証に失敗しました
実行中に: ahab_image_verifier imx-boot-imx93-var-som-aski-sd.bin-flash_singleboot_gdet0 0 結果は次の通りです:
署名ブロック:
バージョン: 0
長さ: 400バイト
タグ: 0x90
証明書オフセット: 0x0
SRKテーブル/配列オフセット: 0x10
SRKテーブル:
タグ: 0xD7
長さ: 308バイト
バージョン: 66
SRKレコード:
タグ: 0xE1
長さ: 76バイト
署名アルゴリズム: ECDSA
ハッシュアルゴリズム: SHA2_256
キーサイズ/カーブ: PRIME256V1
SRKフラグ: なし
X座標: ....
Y座標: ...
......
署名検証に成功しました
cst-signerへの入力として同じcsf.cfgを使用したため、cstの.csfでは同じSRKテーブルとDigicertトークンが使用されています。ファイル
誰かヒントを持っていますか?この質問もここに投稿しました
https://www.nxp.com/search?keyword=IMX_CST_TOOLからダウンロードできます。
この CST ツールはデフォルトで HSM をサポートしていますが、HSM から署名されたイメージを取得するには CSF を構成する必要があります。
詳細については、このツールのドキュメントを参照してください。
こんにちは@jbhaijy さん、HSM で最新の CST を取得するにはどうすればいいですか。最新のものが見つかりません。
こんにちは@jbhaijyさん、
openssl.cnf ファイルに次の変更を加えてみてはいかがでしょうか?
openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
pkcs11 = pkcs11_section
[pkcs11_section]
engine_id = pkcs11
#Path to the Compiled OpenSSL PKCS11 from OpenSC - libp11
dynamic_path = /usr/lib/x86_64-linux-gnu/engines-1.1/libpkcs11.so
MODULE_PATH = /home/jbhaijy/digicert/smtools-linux-x64/smpkcs11.so
init = 0
問題が解決したかどうかお知らせください。
よろしくお願いします、
ヘクター。
こんにちは@hector_delgado
AN12812 に記載されている手順に従いました。SoftHSM の代わりにサードパーティの HSM を使用しています。
考えられる理由は何ですか?
よろしくお願いいたします。
jbhaijy
こんにちは@jbhaijyさん、
ハードウェア セキュリティ モジュールを使用したコード署名ツールの使用に関するアプリケーション ノート ( https://www.nxp.com/webapp/Download?colCode=AN12812&location=null ) のすべての手順を実行しましたか?
古いガイドではありますが、現在の CST リリースにも適用されると思います。
これが役に立ったかどうかお知らせください。
よろしくお願いします、
ヘクター。
返信ありがとうございます。
i.MX6 と i.MX8 の両方に CST 署名ソリューションを導入したいと考えています。どちらもカスタムボードです。Ubuntu-22.04 VMを実行しています。
こんにちは@jbhaijyさん、
お元気でお過ごしでしょうか?
どの i.MX を使用していますか?これはカスタム ボードですか、それとも当社の EVK の 1 つですか?また、ホスト環境で使用している Linux のディストリビューションとバージョンは何ですか?
よろしくお願いします、
ヘクター。