下冰雹 · 2022年01月04日

全志R329如何判断Tina安全启动boot分区证书与boot分区数据是匹配与否?

请问全志R329如何判断Tina安全启动boot分区证书与boot分区数据是匹配与否?

1 个回答 得票排序 · 时间排序
极术小姐姐 · 2022年01月04日
本回答来源全志R329如何判断Tina安全启动boot分区证书与boot分区数据是匹配与否?

问题描述
客户自己移植Tina打包流程,反馈使用安全启动后,boot分区校验失败,导致启动不了,关键log如下:


[06.319]partinfo: name boot1, start 0xe00, size 0xb400
[06.895]kernel len:10350592, part len:23592960
**++hash compare is not correct++**
**>>>>>>>hash of file<<<<<<<<<<**
5bed1d5c: 98590b3b 3b1116da 174ab29e 30a13e78    ;.Y....;..J.x>.0
5bed1d6c: 60efaf5c 567b8961 38d000dd a2da3783    \..`a.{V...8.7..
**>>>>>>>hash in certif<<<<<<<<<<**
5c3e2218: dd7f2b61 2343e66f cb2f648c 03c76a71    a+..o.C#.d/.qj..
5c2e2228: 6a2ee78b f03c1694 43da3873 8474b958    ...j..<.s8.CX.t.
bootm - boot application image from memory

Usage:
bootm [addr [arg ...]]

问题分析

log中hash in file是对boot分区payload部分计算sha256的值;hash in certify表示证书中的记录的sha256值,两个值必须相等。

本例中,log提示这两个值不等。可能的原因有很多:有可能是分区数据本身就有问题,也有可能计算sha256时内存中boot.img数据被修改等等。

但是,第一步要澄清分区中数据是否存在问题,即判断boot分区中证书与boot.img是否是匹配的。

本例中客户自己移植打包过程,容易造成上述问题。

解决办法

Tina安全启动中,boot分区包含boot.img与boot.img的证书。

在打包过程中,先将out/<platform>/boot.img复制到out/<platform>/image/boot.fex

然后通过dragonsecboot -toc1 dragon_toc.cfg xxx命令对out/<platform>/boot.fex进行签名,生成证书out/<platform>/image/toc1/cert/boot.der

dragonsecboot -toc1 dragon_toc.cfg ${ROOT_DIR}/keys ${CNF_BASE_FILE} ${ROOT_DIR}/image/version_base.mk
最后通过sigbootimg 命令将证书boot.der附在boot.fex文件后。此时boot.fex中包含了boot.img与其证书。

sigbootimg --image boot.fex --cert toc1/cert/boot.der --output boot_sig.fex
boot.fex与证书boot.der要匹配,如果不匹配就会导致校验不过。

可以进行如下验证:

① 执行sha256sum out/<platform>/boot.img,得到boot.img的sha256值。
② 将①运算的sha256值与out/<platform>/image/toc1/cnf/boot.cnf中的usr_cert块进行对比。看是否一样,如果不一样,则表明boot.img与证书不一致,打包流程出现问题,检查下是否有严格按照上述打包流程走。

你的回答
关注数
2
收藏数
0
浏览数
3598
极术小姐姐 最狂的风与最静的海
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息