Hi, professionals ! 

私はimx93でセキュアブートを行っています。私はYoctoをmeta-nxp-security-reference-design / meta-secure-bootメタレイヤーとともに使用しており、署名されたubootとカーネルコンテナをコンパイルするための i.MX ブートイメージ署名の自動化をサポートしています。

初めて、ahab ドキュメントを参照して ecc sha384 キーを生成し、署名された uboot とカーネル コンテナを取得しました。ファーストボードにフラッシュしてahab_status走らせると成功

2回目は、RSA-2048 SHA256キーを生成しましたが、他のすべての手順は1回目と同じです。署名されたubootとカーネルをセカンドボードにフラッシュしてahab_statusを実行すると、失敗しました。

0x0287f7d6
IPC = MU APD (0x2)
CMD = ELE_OEM_CNTN_AUTH_REQ (0x87)
IND = ELE_BAD_CONTAINER_FAILURE_IND (0xF7)
STA = ELE_SUCCESS_IND (0xD6)

なぜrsaキーで機能しないのか、そして障害の表示はどういう意味なのか、本当に混乱していますか?imx93とahabはECCとRSAの両方をサポートしていると思いますが、私は本当に同じ手順に従いますが、キータイプが異なるだけです。

私はあなたのサポートと助けを得ることを非常に熱望しています!よろしくお願いします!

結局、Jacky-Chengと同じエラーになりました...
このステートメントはどこにありますか?IMX93RMとSRMでは見つけることができませんでした。
UG10106の表4を参照していますか?

こんにちは@Harvey021私はドキュメントをフォローしてメタセキュアブートを含むイメージをコンパイルしましたが、以前は「core-image-selinux-imx93-11x11-lpddr4x-curiosity.rootfs.wic.zst」を使用してフラッシュしていましたが、フラッシュに使用できるイメージを教えてください。

よろしくお願いいたします
ブラティ

こんにちは@Jacky-Cheng、実際には私もyoctoでimx93を使用しており、93の署名および暗号化されたAHABイメージのセキュアブートが欲しいのですが i.MX、これに全く新しいので、何度も試みた後に行うことができませんでした。私がしたことは、私のソースにレイヤーを追加したことです、そしてその後、私はどのように生成されたか、キーがどのように生成されたか、local.confに追加する必要があるconfのように混乱しています、そしてすべて、手順を提供するためにこれについて私を助けてください!


ありがとう&よろしく
ブラティ

これは正しいです、eleデバイスを備えたRSAはありません。

この問題は解決されました。IMX93リファレンスマニュアルに書かれているように、rsa-pssとeccキーはサポートしていますが、rsaキーはサポートしていないため、imx93がrsaタイプのキーをサポートしていないことは明らかです。

Hi

AHABはRSAキーをサポートする必要があります。「 10.9.2 署名付きイメージを準備するための前提条件」のセクションのステートメント全体を確認します。私の理解では、Signer Toolは、デフォルトでは、署名にi.MX93デバイスのECCタイプのキーを使用します。申し訳ございませんが、今のところテストを受けることはできません。

RSAキーを使用しながらテストを行うことはできますか?ここで述べたように、「注:(オプション) CSTの場所でcsf_hab4.cfgおよび/またはcsf_ahab.cfgを作成し、優先キータイプを入力して、優先PKIツリーを使用します。デフォルトの設定ファイルは、Yocto ビルドの CST Signer 作業ディレクトリにあります。

よろしくお願いします。

Harvey

Hi, 

< 10.9.2 署名付きイメージを準備するための前提条件 」に記載されているように 、「デフォルトでは、NXP CST Signer Toolは i.MX 8/8x/8ULP/9ファミリに ECC P256-SHA256 タイプの標準キーを使用します」のような原因が考えられます>

よろしくお願いします。

Harvey