こんにちは、NXPサポートの皆様、
私はHABv4 (CST 4.0.1)を搭載したRT1176ボードを使用しています。現在、イメージは SRK1 を使用して署名されていますが、代わりに SRK2 を使用するように切り替える必要があります。(SRK1 を取り消す前に、SRK2 でイメージをテストしようとしています)
現在の CSF ファイルには次の内容が含まれています。
[SRKをインストール]
ファイル = "..\..\crts\SRK_1_2_3_4_table.bin"
ソースインデックス = 0
[CSFKをインストール]
ファイル = "CSF1_1_sha256_secp256r1_v3_usr_crt.pem"
[CSFの認証]
[インストールキー]
検証インデックス = 0
ターゲットインデックス = 2
ファイル = "IMG1_1_sha256_secp256r1_v3_usr_crt.pem"
[データの認証]
検証指数 = 2
エンジン = CAAM
エンジン構成 = 0
ブロック = 0x80000000 0x0 0x8000 "BOOT.bin"
説明していただけますか:
SRK1 から SRK2 に変更する最も簡単な方法は何ですか?
CSF ファイルにどのような変更を加える必要がありますか?
[Install SRK]のソースインデックスを 0から1に変更するだけでよいですか?
ご協力ありがとうございます。
変更してみました
[SRKをインストール]
ファイル = "SRK_1_2_3_4_table.bin"
ソースインデックス = 1
[CSFKをインストール]
ファイル = "CSF2_1_sha256_secp256r1_v3_usr_crt.pem"
[インストールキー]
検証インデックス = 0
ターゲットインデックス = 2
ファイル = "IMG2_1_sha256_secp256r1_v3_usr_crt.pem"
最終的にはSRK 2を使用する予定ですが、これらのイベント情報が発生します
こんにちは、
はい、SRK1 の使用から SRK2 に変更する最も簡単な方法は、CSF ファイルの [Install SRK] セクションにあるソース インデックス パラメータを 0 から 1 に変更することです。
現在の CSF ファイル内:
「」
[SRKをインストール]
ファイル = "..\..\crts\SRK_1_2_3_4_table.bin"
ソースインデックス = 0
「」
これを次のように変更する必要があります。
「」
[SRKをインストール]
ファイル = "..\..\crts\SRK_1_2_3_4_table.bin"
ソースインデックス = 1
「」
ソース インデックス パラメータは、SRK テーブル内のどのキーが使用されるかを決定します。インデックス 0 は SRK1 に対応し、インデックス 1 は SRK2 に対応します。
また、CSF ファイル内の CSF1 と IMG1 の代わりに、CSF2 と IMG2 の適切な証明書ファイルを参照する必要があります。次のファイルを置き換えます。
- 「CSF1_1_sha256_secp256r1_v3_usr_crt.pem」と「CSF2_1_sha256_secp256r1_v3_usr_crt.pem」
- 「IMG1_1_sha256_secp256r1_v3_usr_crt.pem」と「IMG2_1_sha256_secp256r1_v3_usr_crt.pem」
この方法により、SRK1 を永久に取り消す前に SRK2 を使用してテストすることができます。
よろしくお願いします。
@Bio 前回のご説明ありがとうございます。
ファームウェア アップデート中のセキュリティ ロジックと SRK 移行プロセスに関して重要なフォローアップがあります。
現在のシナリオ: 通常のブート: デバイスは SRK1 (インデックス 0) を使用してブートします。信頼チェーンが完全に確立されています: ROM -> ブートローダー (SRK1) -> アプリケーション (SRK1)。
ファームウェアの更新: システムが SRK1 の信頼の下で実行されている間に、SRK2 (インデックス 1) で署名された新しい完全なイメージ (BS + App) を SDRAM にダウンロードします。
検証: 現在実行中のブートローダは、hab_rvt.authenticate_image() を呼び出して、SDRAM 内の新しいイメージを検証します。
私の質問は次のとおりです:
1. ランタイム SRK 切り替えについて: 最初のブートに SRK1 が使用された場合でも、HAB ライブラリで、同じ電源サイクル内でソース インデックス = 1 (SRK2) の新しい [Install SRK] コマンドの実行が許可されることを確認できますか?
2. 同じサイクルでの失効について: この更新プロセス中に、SRK1 を失効させ (SRK_REVOKE eFuse を書き込むことによって)、次に SRK2 をインストールして、新しい RAM イメージの検証を実行するという操作をすべて同じ電源サイクル内で実行することは可能でしょうか?ありがとう
助けてください、何でも助かります
ありがとうございます。