首页 › i.MX RT & i.MX6 & i.MX7 & i.MX8 › 搜了下，官网好像没有提供加密需要的CST工具，而且官网唯一个安全相关的文档还需要FAE获取

eric2013 发表于 2018-5-7 17:24:57

搜了下，官网好像没有提供加密需要的CST工具，而且官网唯一个安全相关的文档还需要FAE获取

官网搜下了下CST，不知道是不是这个，提示已归档的内容不再更新，仅供历史参考，当前这个软件包已经不提供下载了。

https://www.nxp.com/products/no- ... ch=1&sr=1&pageNum=1




static/image/hrline/4.gif

这个文档需要找官方获取：



static/image/hrline/4.gif
好像是这个：       
i.MX High Assurance Boot Reference Code Signing Tool (REV 2.3.3)

alexyzhov 发表于 2018-5-7 17:27:24

加密要签NDA，不过对人没啥要求

unknownuser 发表于 2018-5-7 17:59:57

就是这个，大神厉害，这都能搞到

eric2013 发表于 2018-5-7 18:08:08

unknownuser 发表于 2018-5-7 17:59
就是这个，大神厉害，这都能搞到

另外请教大神下，我按照i.MX MCU Manufacturing User's Guide手册里面说明，生成了下加密文件。我用的bd文件是program_flexspinor_image_hyperflash_encrypt.bd

生成的效果是下面这样的：


而官方的是这样的，不太好理解了：

eric2013 发表于 2018-5-7 18:16:15

alexyzhov 发表于 2018-5-7 17:27
加密要签NDA，不过对人没啥要求

谢谢告知，:handshake

unknownuser 发表于 2018-5-7 18:49:30

本帖最后由 unknownuser 于 2018-5-7 18:51 编辑

eric2013 发表于 2018-5-7 18:08
另外请教大神下，我按照i.MX MCU Manufacturing User's Guide手册里面说明，生成了下加密文件。我用的bd ...
硬件大神，据我所知，HyperFLASH的这个加密是用BEE这个硬件支持的功能来做的，所以加密是在FLASHLOADER这边做的，AES-CTR mode加密，这种支持On-the-fly decryption。而itcm这个是用 AES-CCM模式加密的，这个是在PC这端做的，BootROM 会先把加密数据复制到RAM，然后再用用AES-CCM算法来解密。

eric2013 发表于 2018-5-7 19:58:50

unknownuser 发表于 2018-5-7 18:49
硬件大神，据我所知，HyperFLASH的这个加密是用BEE这个硬件支持的功能来做的，所以加密是在FLASHLOADER这 ...
大神，我这里确认个问题，看了下手册，使用HyperFlash是否还需要生成这个signed认证的文件。这个手册没有一个完成的流程，读起来稍吃力，摸索起来比较耗时间，不知道对应的器件需要那个操作。

eric2013 发表于 2018-5-7 20:18:07

找到一个稍完整的流程，还挺复杂的，需要5道工序

unknownuser 发表于 2018-5-7 20:39:00

eric2013 发表于 2018-5-7 20:18
找到一个稍完整的流程，还挺复杂的，需要5道工序

大神，请问还有哪里不太清楚的，大家共同交流研究:)

eric2013 发表于 2018-5-7 22:21:13

unknownuser 发表于 2018-5-7 20:39
大神，请问还有哪里不太清楚的，大家共同交流研究
:handshake
我从官网下载的这个软件包带的文件不完整，文档里面提示的几个文件没有。
比如下面这个
SRK_1_2_3_4_fuse.bin

unknownuser 发表于 2018-5-8 06:45:44

eric2013 发表于 2018-5-7 22:21
我从官网下载的这个软件包带的文件不完整，文档里面提示的几个文件没有。
比如下面这个
SR ...

大神，这一步涉及具体的证书签名，需要您按照CST安装包里的文档一步一步生成，建议用linux版本的生成，据说windows版本的脚本还有点小小问题，linux上生成后复制到windows下

eric2013 发表于 2018-5-8 09:45:21

unknownuser 发表于 2018-5-8 06:45
大神，这一步涉及具体的证书签名，需要您按照CST安装包里的文档一步一步生成，建议用linux版本的生成，据 ...

非常感谢。
这下麻烦了，这个加密的确不好搞。

unknownuser 发表于 2018-5-8 10:23:09

eric2013 发表于 2018-5-8 09:45
非常感谢。
这下麻烦了，这个加密的确不好搞。

这个的确是有点点复杂，不过只要生成过一次后，剩下的都一样了，生成的key和证书可以复用

eric2013 发表于 2018-5-8 10:43:05

unknownuser 发表于 2018-5-8 10:23
这个的确是有点点复杂，不过只要生成过一次后，剩下的都一样了，生成的key和证书可以复用

:handshake
这个问题，我下午了我再试试，实在搞不定就暂时先搁置下，以后RT熟悉一段时间了再搞。

另外这个问题，大神给看看，昨天晚上无意中发现的
http://www.armbbs.cn/forum.php?mod=viewthread&tid=86549#lastpost

lwplwp2 发表于 2018-5-8 11:45:13

eric2013 发表于 2018-5-8 10:43
这个问题，我下午了我再试试，实在搞不定就暂时先搁置下，以后RT熟悉一段时间了再搞。

另 ...

大神加油，希望大佬下午能试成功，不过要生成那些key文件还真挺麻烦的，需要安装OpenSSL。

armfly 发表于 2018-5-8 22:35:21

看上去很复杂的样子，烧脑细胞。

532791928@qq 发表于 2018-6-13 13:44:21

unknownuser 发表于 2018-5-7 18:49
硬件大神，据我所知，HyperFLASH的这个加密是用BEE这个硬件支持的功能来做的，所以加密是在FLASHLOADER这 ...

大神请教下，nor flash支持on-the-fly所以用BEE来解密，需要配置PRDB，看手册中说到有个PVK，这个key又是用来加密PRDB的和KIB的。PVK存放在efuse中，BEE访问获取后用于解密EKIB得到KIB，DCP获取KIB和EPRDB解密得到PRDB，BEE获取这个PRDB后开始解密Image。但是efuse中没有看到对应存储PVK部分的寄存器啊，求解？
还有一点是，请问怎么配置实现一部分加密，一部分不加密呢？

Henjay724 发表于 2018-12-1 09:16:29

可以试试这个：https://github.com/JayHeng/nxp-sec-boot-ui，希望你们喜欢

查看完整版本: 搜了下，官网好像没有提供加密需要的CST工具，而且官网唯一个安全相关的文档还需要FAE获取