什么是STM32Trust？ST最新发布了一种支持STM32的SMI技术

只看该作者 · 2020-3-7 12:31

转载自ST社区：http://www.stmcu.org.cn/module/forum/thread-622206-1-1.html

[size=0.83em]11.png (60.64 KB, 下载次数: 3)
下载附件

[color=rgb(153, 153, 153) !important]2019-10-28 12:52 上传

学习STM32的朋友，多少都听过STM32Trust，但有许多人却不知道STM32Trust究竟是什么。

本文就带你认识STM32Trust，以及最新在STM32H7上支持的一种SMI技术。

只看该作者 · 2020-3-7 12:32

一、总述STM32Trust

STM32Trust官方网址(复制网址粘贴到外部浏览器）：
https://www.st.com/content/st_com/en/stm32trust.html

STM32Trust是一套STM32解决方案，提供完整的代码保护和执行保护工具套件，如下图：

只看该作者 · 2020-3-7 12:32

1.代码保护

STM32Trust.CodeProtection一套解决方案，以确保烧写STM32时，客户代码的机密性和完整性。
某些STM32 单片机型号已嵌入硬件安全保护功能，还额外实现了篡改检测、防火墙代码隔离机制和Arm TrustZone®技术，来保护最敏感的代码。

代码保护方案支持的STM32列表：

几个概念：
①SBSFU：Secure Boot and Secure Firmware Update，安全启动和安全固件更新。
②CRYPTOLIB：cryptographic firmware library，加密固件库。
③SFI：Secure Firmware Installation，安全固件安装解决方案。

只看该作者 · 2020-3-7 12:33

2.执行保护
设备成为商业产品就易成为受攻击的目标，需要对信息安全攻击具有免疫力。因而需要采取信息安全防护措施，以确保固件IP受到保护，机密凭证和数据受应用程序保护，而不会被破坏。
执行保护方案支持的STM32列表：

只看该作者 · 2020-3-7 12:34

二、STM32Trust代码保护

在上面可以看得出来，官方针对STM32做了多种代码保护方案，这里挑选几个进行讲述。

代码保护包含：
X-CUBE-SBSFU解决方案
X-CUBE-CRYPTOLIB解决方案
SFI安全固件安装解决方案
STM32CubeProgrammer
STM32HSM
FASTROM编程服务

只看该作者 · 2020-3-7 12:34

1.X-CUBE-SBSFU解决方案
SBSFU：Secure Boot and Secure Firmware Update，安全启动和安全固件更新。
网址：
https://www.st.com/en/embedded-software/x-cube-sbsfu.html

X-CUBE-SBSFU安全启动和安全固件更新解决方案允许使用新固件版本更新STM32微控制器内置程序，增加新功能并纠正潜在问题。更新过程以安全的方式执行，以防止未经授权的更新和对机密设备上数据的访问。

只看该作者 · 2020-3-7 12:35

SBSFU主要体现安全启动和安全固件更新：
安全启动是不可变的代码，通常在系统重置后执行，该代码检查STM32静态保护，激活STM32运行时保护，然后在每次执行之前验证用户应用程序代码的真实性和完整性，以确保无效或恶意代码无法运行。
安全固件更新应用程序通过具有Ymodem协议的UART接口接收固件映像，检查其真实性，并在安装代码之前检查代码的完整性。

只看该作者 · 2020-3-7 12:36

SBSFU主要特征：
①安全启动已在执行之前检查固件映像。
②具有防回滚和部分映像更新功能的安全固件更新，用于无线或本地固件映像更新。
③通过PKCS＃11 API提供加密服务的安全密钥管理服务。
④独立的STM32系统解决方案示例，展示了STM32保护的最佳用法，可保护资产免遭未经授权的外部或内部访问。
⑤结合STM32和STSAFE-A100系统解决方案示例，展示了用于安全身份验证服务和安全数据存储的硬件安全元素保护。

只看该作者 · 2020-3-7 12:36

2.X-CUBE-CRYPTOLIB解决方案

CRYPTOLIB：cryptographic firmware library，加密固件库。
网址：
https://www.st.com/en/embedded-software/x-cube-cryptolib.html

STM32加密库软件包（X-CUBE-CRYPTOLIB）基于STM32Cube体系结构软件包，并包括一组基于固件实现的加密算法，可以在所有STM32微控制器中使用。

只看该作者 · 2020-3-7 12:37

3.SFI安全固件安装解决方案

SFI：Secure Firmware Installation，安全固件安装解决方案。
SFI安全固件安装解决方案可用于STM32L4和STM32H7单片机，并且很快将扩展到其他STM32平台，为设备的首次编程提供保护。
该解决方案提供一套完整的工具集，包含用于加密OEM二进制文件的软件（Trusted Package Creator），用于安全烧写STM32的软件（CUBE Programmer），以及用于将OEM机密凭证安全地交付给芯片烧录厂家的STM32HSM。

只看该作者 · 2020-3-7 12:37

4.STM32CubeProgrammer

这是一个大家熟知的对STM32编程的免费工具，包含STM32TrustedPackage Creator工具，通过该工具可以为支持SFI功能的STM32生成SFI和SMI加密映像。
SFI映像的格式是由ST定义的固件加密格式，它使用AES算法将Elf、Hex、Bin或Srec格式的固件转换为SFI格式的加密和认证固件。
SFI映像由一个头部区域和多个其他区域组成，这些区域通常为连续固件区域，最后一个区域为配置区域，其中包含SFI完成时需要设置的选项字节值。
我之前也写过相关**：关于STM32CubeProgrammer的内容

只看该作者 · 2020-3-7 12:38

5.STM32HSM

STM32HSM-V1硬件安全模块（HSM）用于确保STM32产品的编程安全，并避免在合同制造商的住所制造假冒产品。

SFI功能允许将客户固件安全地加载到嵌入了安全引导程序的STM32产品中。
定义固件加密密钥并对其固件进行加密后，原始设备制造商（OEM）将加密密钥存储到一个或多个STM32HSM-V1 HSM，并使用STM32CubeProgrammer和STM32 Trusted PackageCreator设置授权的SFI操作数（计数器值）软件工具。合同制造商必须利用STM32HSM-V1 HSM将加密的固件加载到STM32设备：每个HSM仅允许OEM定义数量的编程操作，然后不可撤销地将其停用。

只看该作者 · 2020-3-7 12:38

STM32HSM-V1主要特征：
①正版固件标识（固件标识符）
②识别具有安全固件安装（SFI）功能的STM32产品
③管理与支持的STM32产品关联的ST公钥
④使用客户定义的固件加密密钥生成许可证
⑤安全计数器，可生成预定义数量的许可证
⑥直接支持STM32CubeProgrammer软件（STM32CubeProg），包括STM32 Trusted PackageCreator工具。

只看该作者 · 2020-3-7 12:39

6.FASTROM编程服务
FASTROM：Factory Advanced Service Technique ReadOnly Memory。
什么意思？MCU出厂时就把程序给你写进去。
MCU是预编程了客户代码和选项字节的Flash工艺MCU器件，FASTROM MCU可提高大批量(10,000+)编程效率，相比ROM，具有交期更短、并允许对器件重新编程的优势。

只看该作者 · 2020-3-7 12:39

三、STM32Trust执行保护

STM32Trust.ExecutionProtection是一组STM32功能，用于确保所有者代码运行期的适当隔离、正确执行和易用性，以保证所收集数据的机密性和真实性。STM32提供不同的架构和隔离方案用于实现执行保护。

执行保护包含：
调试
安全启动
MPU
双核架构
TrustZone
防火墙

执行保护的内容不难理解，下面引用官方的内容。

只看该作者 · 2020-3-7 12:40

1.调试
通过调试端口可从外部访问所有设备资源。调试端口用于应用程序开发，是攻击者对设备进行攻击时可能会最先利用的薄弱环节。为确保用户代码的机密性和真实性，应锁定STM32调试功能。

只看该作者 · 2020-3-7 12:41

2.安全启动

如X-CUBE-SBSFU软件包中所示，安全启动在每次复位时执行，检查STM32平台配置的完整性，并验证每个嵌入式固件的签名，以确保其真实性。

只看该作者 · 2020-3-7 12:42

3.MPU

存储器保护单元机制可保护进程，防止不同进程间的相互访问，并允许这些进程独立运行。MPU所带来的软件隔离效果可确保各个进程彼此之间的代码和数据安全性。STM32提供受多种操作系统支持的MPU解决方案。

只看该作者 · 2020-3-7 12:42

4.双核架构

双核架构允许两个应用程序在同一MCU设备中同时运行，两者通过内核ID隔离。

只看该作者 · 2020-3-7 12:43

5.TrustZone

TrustZone是一套完整的硬件机制，用来定义和隔离两个主要的应用程序区：一个是所谓的可信区（用于保护关键应用程序及其相关资源），另一个是不可信区，运行主应用程序。