如何实现安全启动（Secure Boot）功能？

只看该作者 · 2024-2-29 19:42

如何实现安全启动（Secure Boot）功能，能让系统在启动时进行完整性验证，并且只运行受信任的固件？
有没有具体一点的信息？

只看该作者 · 2024-2-29 21:28

这个没研究过。

只看该作者 · 2024-2-29 21:41

一般会有加密芯片来认证，也可以使用单片机的唯一ID来认证，我觉得都是做授信固件的一种方式之一

只看该作者 · 2024-2-29 22:03

这个怎么加密啊，也没搞懂

只看该作者 · 2024-3-16 15:49

固件需要进行数字签名。这意味着固件的镜像文件需要使用私钥进行签名，以确保其完整性和真实性。通常，这需要在固件开发阶段进行

只看该作者 · 2024-3-16 18:00

将对应的公钥存储在设备内部的安全存储区域中，以便在启动时用于验证固件的签名。

只看该作者 · 2024-3-16 22:00

在启动加载程序中，对固件镜像文件进行数字签名验证。这通常涉及使用存储在设备内部的公钥对固件进行验证，以确保其完整性和真实性。

只看该作者 · 2024-3-17 01:00

根据数字签名验证的结果，决定是否继续启动固件。如果验证通过，则继续启动固件；如果验证失败，则拒绝启动固件或者采取其他安全措施。

只看该作者 · 2024-3-17 03:00

确保私钥和公钥等关键信息存储在设备内部的安全存储区域中，以防止被未经授权的访问

只看该作者 · 2024-3-17 07:00

在STM32等嵌入式系统中，通常可以使用芯片内置的安全模块（如TrustZone等）来实现安全启动功能。此外，一些厂商也提供了相关的安全启动解决方案和示例代码，可以帮助开发人员快速实现安全启动功能。

只看该作者 · 2024-3-17 09:00

需要注意的是，实现安全启动功能需要对数字签名、加密算法、安全存储等方面有一定的了解，同时需要在固件开发和启动加载程序开发阶段进行相应的设计和实现。

只看该作者 · 2024-3-17 11:00

我觉得可以使用读保护估计就可以，这种安全启动没做过

只看该作者 · 2024-3-17 15:00

可以使用唯一ID的方式实现固件加密的

只看该作者 · 2024-3-17 20:00

在启动加载程序（Bootloader）中实现数字签名验证功能。启动加载程序是在设备上电后首先运行的程序，它负责加载和启动操作系统或应用程序。