Innihald fela sig
1 ST Microelectronics STM32 Signing Tool Hugbúnaður
2 Inngangur
3 Settu upp STM32-SignTool
4 STM32-SignTool skipanalínuviðmót
5 Examples fyrir STM32-SignTool
6 Algengar spurningar
7 Skjöl / auðlindir
7.1 Heimildir

ST Microelectronics STM32 Signing Tool Hugbúnaður

Inngangur

STM32 undirskriftartólhugbúnaðurinn (sem heitir STM32-SignTool í þessu skjali) er samþættur í STM32CubeProgrammer (STM32CubeProg). STM32-SignTool er lykiltól sem tryggir öruggan vettvang og tryggir undirritun tvíundarmynda með því að nota ECC lykla sem eru búnir til með STM32-KeyGen hugbúnaði (sjá notendahandbók STM32 lykilframleiðanda hugbúnaðarlýsingu (UM2542) fyrir frekari upplýsingar). Undirrituðu tvíundarmyndirnar eru notaðar við STM32 örugga ræsingarröðina sem styður trausta ræsikeðju. Þessi aðgerð tryggir auðkenningar- og heilleikaathugun á hlaðnum myndum. STM32-SignTool býr til tvíundarmynd file, opinber lykill file, og einkalykill file. Tvíundarmyndin file inniheldur tvöfalda gögnin sem á að forrita fyrir tækið. Opinberi lykillinn file inniheldur ECC almenningslykil á PEM sniði, búinn til með STM32-KeyGen. Einkalykillinn file inniheldur dulkóðaða ECC einkalykilinn á PEM sniði, búinn til með STM32-KeyGen. Undirritaður tvöfaldur file er einnig hægt að búa til úr þegar undirrituðu file með lotunni file ham. Í þessu tilviki eru eftirfarandi færibreytur ekki nauðsynlegar: inngöngustaður myndar, vistfang myndhleðslu og færibreytur myndútgáfu. Þetta skjal á við um vörurnar sem taldar eru upp í töflunni hér að neðan.

Tafla 1. Viðeigandi vörur

Vörutegund Hlutanúmer eða vörulína
Örstýring STM32N6 röð
Örgjörvi STM32MP1 og STM32MP2 röð

Í eftirfarandi köflum vísar STM32 til vörunnar sem taldar eru upp í töflunni hér að ofan, nema annað sé tekið fram.

Settu upp STM32-SignTool

Þetta tól er sett upp með STM32CubeProgrammer pakkanum (STM32CubeProg). Nánari upplýsingar um uppsetningarferlið er að finna í kafla 1.2 í notendahandbókinni fyrir STM32CubeProgrammer hugbúnaðinn (UM2237). Þessi hugbúnaður styður STM32 vörur sem byggja á Arm® Cortex® örgjörvanum.

Athugið: Arm er skráð vörumerki Arm Limited (eða dótturfélaga þess) í Bandaríkjunum og/eða annars staðar.

STM32-SignTool skipanalínuviðmót

Eftirfarandi hlutar lýsa því hvernig á að nota STM32-SignTool frá skipanalínunni.

Skipanir

Tiltækar skipanir eru taldar upp hér að neðan:

  • –tvíundarmynd(-bin), –inntak(-inn)
    • Lýsing: tvíundarmynd file slóð (.bin ending)
    • Setningafræði: 1 -bin /home/Notandi/binaryFile.bin
    • Setningafræði: 2 -í /heim/Notandi/binaryFile.bin
  • -myndaútgáfa (-iv)
    • Lýsing: færir inn myndútgáfu undirritaðrar myndar file
    • Setningafræði: -iv
  • -einkalykill (-prvk)
    • Lýsing: einkalykill file slóð (.pem ending)
    • Setningafræði: -prvkfile_slóð>
    • Example: -prvk ../privateKey.pem
  • –almannalykill -pubk
    • Lýsing: opinber lykill file brautir
    • Setningafræði: -pubkFile_Slóð{1..8}>
      • Fyrir haus v1: notaðu aðeins eina lykilslóð fyrir STM32MP15xx vörur
      • Fyrir haus v2 og nýrri: notaðu átta lykilleiðir fyrir aðra
  • –lykilorð (-pwd)
    • Lýsing: lykilorð einkalykilsins (þetta lykilorð verður að innihalda að minnsta kosti fjóra stafi)
    • Example: -pwd azerty
    • • –load-vistfang (-la)
    • Lýsing: vefslóð myndar
    • Example: -la
  • -innkomustaður (-ep)
    • Lýsing: myndarupptökustaður
    • Example: -ep
  • –valkostur-fánar (-af)
    • Lýsing: merki um myndvalkosti (sjálfgefið gildi = 0)
    • Example: -af
  • -reiknirit (-a)
    • Lýsing: tilgreinir annað hvort prime256v1 (gildi 1, sjálfgefið) eða brainpoolP256t1 (gildi 2)
    • Example: -a <2>
  • –úttak (-o)
    • Lýsing: úttak file leið. Þessi færibreyta er valfrjáls. Ef ekki tilgreint, framleiðsla file er myndað við sama uppsprettu file slóð (tdample, tvíundarmyndin file er C:\BinaryFile.bin). Undirritaður tvöfaldur file er C:\BinaryFile_Signuð.bin.
    • Setningafræði: -oFile_Slóð>
  • –gerð (-t)
    • Lýsing: tvíundaskrá. Möguleg gildi eru ssbl, fsbl, teeh, teed, teex og copro.
    • Setningafræði: -t
  • –hljóður (-s)
    • Lýsing: engin skilaboð birtast um að skipta út núverandi úttaki file
  • –hjálp (-h og -?)
    • Lýsing: sýnir hjálp
  • –útgáfa (-v)
    • Lýsing: sýnir útgáfu tólsins
  • –enc-dc (-encdc)
    • Lýsing: dulkóðunarafleiðslustuðull fyrir FSBL dulkóðun [hausútgáfa v2]
    • Setningafræði: -encdc
  • –enc-lykill (-enck)
    • Lýsing: Leyndarmál OEM file fyrir FSBL dulkóðun [haus v2]
    • Setningafræði: -enck
  • –dump-haus (–dump)
    • Lýsing: greining og úrvinnslu myndhauss
    • Setningafræði: -dumpFile_Slóð>
  • –hausútgáfa (-hv)
    • Lýsing: útgáfa undirritunarhauss, möguleg gildi: 1, 2, 2.1, 2.2 og 2.3
    • Example fyrir STM32MP15xx: -hv 2
    • Example fyrir STM32MP25xx: -hv 2.2
    • Example fyrir STM32N6xxx: -hv 2.3
  • -engir lyklar (-nk)
    • Lýsing: bætir við tómum haus án lykilvalkosta
    • Athugið: þarf að slökkva á auðkenningarvalkostinum með skipuninni option flags

Examples fyrir STM32-SignTool

Eftirfarandi frvamples sýnir hvernig á að nota STM32-SignTool:

Example 1

-bin /home/Notandi/TvöfaldurFile.bin –pubk /home/user/publicKey.pem –prvk /home/user/privateKey.pem –iv 5 –pwd azerty –la 0x20000000 –ep 0x08000000 Sjálfgefin reiknirit (prime256v1) er valið og gildi valmöguleikans er 0 (sjálfgefið gildi). Undirritað tvíundarúttak file (TvöfaldurFile_Signed.bin) er búið til í /home/user/ möppunni

Example 2

-bin /home/User/Folder1/BinaryFile.bin –pubk /home/user/publicKey.pem –prvk /home/user/privateKey.pem –iv 5 –pwd azerty –s –la 0x20000000 –ep 0x08000000 –a 2 –o /home/user/Folder2/Folder3/signedFile.bin Reiknirit BrainpoolP256t1 er valið í þessu tilfelli. Jafnvel þótt Mappa2 og Mappa3 séu ekki til, eru þær búnar til. Með –s skipuninni, jafnvel þótt a file er til með sama tilgreinda nafni, er því sjálfkrafa skipt út án nokkurra skilaboða.

Example 3

Skrifaðu undir tvöfalda file með hausútgáfu 2 sem inniheldur átta opinbera lykla fyrir auðkenningarflæðið.

./STM32_SigningTool_CLI.exe -bin /home/user/input.bin -pubk publicKey00.pem publicKey01.pem publicKey02.pem publicKey03.pem publicKey04.pem publicKey05.pem publicKey06.pem publicKeyp07.kpem publicKeyp00.kpem privateKeyp0. azerty -t fsbl -iv 00000000x0 -la 20000000x0 -ep 08000000x0 -af 80000001x32 -o /home/user/output.stmXNUMX

Example 4

Skrifaðu undir tvöfalda file með hausútgáfu 2 sem inniheldur átta opinbera lykla fyrir auðkenningu auk dulkóðunarflæðis.

./STM32_SigningTool_CLI.exe -bin /home/user/input.bin -pubk publicKey00.pem publicKey01.pem publicKey02.pem publicKey03.pem publicKey04.pem publicKey05.pem publicKey06.pem publicKeyp07.pem publicKeyp00.pem publicKeyp0.pem 00000000x0 -pwd azerty -la 20000000x0 -ep 08000000x0 -t fsbl -af 00000003x0 -encdc 25205x0f32e -enck /home/user/OEM_SECRET/userm /put

Example 5

Staðfestu myndina sem myndast með því að flokka úttakið file og athugaðu hvert hausreit. ./STM32_SigningTool_CLI.exe -dump /home/user/output.stm32

Example 6

Bæta við haus án þess að undirrita og án þess að dreifa lyklum. STM32_SigningTool_CLI.exe -in input.bin -nk -of 0x0 -iv 1 -hv 2.2 -o output.stm32

Sjálfstæður háttur

Þegar STM32-SignTool er keyrt í sjálfstæðum ham verður að slá inn algera slóð fyrst. Síðan er beðið um lykilorð tvisvar til staðfestingar eins og sést á myndinni hér að neðan.

Mynd 1. STM32-SignTool í sjálfstæðum ham

Næstu skref eru eftirfarandi:

  • Veldu einn af tveimur reikniritunum.
  • Sláðu inn myndútgáfu, inngöngustað myndar og vistfang myndhleðslu.
  • Sláðu inn valmöguleikafánagildi.

Önnur framleiðsla file Hægt er að tilgreina slóð ef þörf krefur, eða ýttu á enter til að halda áfram með þann sem fyrir er.

PKCS#11 lausn
Undirrituðu tvíundarmyndirnar eru notaðar við örugga ræsingarröð STM32 sem styður trausta ræsikeðju.
Þessi aðgerð tryggir sannvottun og áreiðanleikaprófun á innhlaðnum myndum.
Klassíska undirskriftarskipunin biður um að allir opinberir og einkalyklar séu gefnir upp sem inntak fileÞetta eru
aðgengilegur beint af hverjum þeim sem hefur leyfi til að framkvæma undirritunarþjónustuna. Að lokum má líta svo á að þetta sé
að vera öryggisleki. Það eru nokkrar lausnir til að vernda lykla gegn tilraunum til að stela lykilgögnum. Í þessu
Í þessu samhengi hefur lausnin PKCS#11 verið tekin upp.
Hægt er að nota PKCS#11 API-ið til að meðhöndla og geyma dulritunarlykla. Þetta viðmót tilgreinir hvernig á að...
eiga samskipti við dulritunartæki eins og HSM (öryggiseiningar vélbúnaðar) og snjallkort.
Tilgangur þessara tækja er að búa til dulritunarlykla og undirrita upplýsingar án þess að afhjúpa einkalykilinn.
efni til umheimsins.
Hugbúnaðarforrit geta hringt í API til að nota þessa hluti fyrir:
• Búa til samhverfa/ósamhverfa lykla
• Dulkóðun og afkóðun
• Útreikningur og staðfesting á stafrænni undirskrift
PKCS #11 kynnir fyrir forritum algengt, rökrétt view tækisins sem kallast dulritunarmerki og það
úthlutar raufarkenni fyrir hvert tákn. Forrit auðkennir táknið sem það vill fá aðgang að með því að tilgreina
viðeigandi raufarauðkenni.
STM32SigningTool er notað til að stjórna lykilhlutum sem eru geymdir á snjallkortum og svipuðum PKCS#11 öryggiskerfum.
Tákn þar sem viðkvæmir einkalyklar yfirgefa aldrei tækið.
STM32SigningTool notar PKCS#11 viðmótið til að vinna með og undirrita inntaksskrár byggðar á ECDSA.
opinberir/einkalyklar. Þessir lyklar eru geymdir í öryggislyklum (vélbúnaði eða hugbúnaði).

Viðbótar PKCS#11 skipanir

  • –eining (-m)
    • Lýsing: tilgreindu slóð fyrir PKCS#11 einingu/bókasafn til að hlaða inn (dll, svo framvegis)
    • Setningafræði:-m
    • • –lykill-vísitala (-ki)
  • –lyklavísitala (-ki)
    • Lýsing: listi yfir notaða lyklavísitölur í sextánda sniði
      • Notaðu eina vísitölu fyrir haus v1 og átta vísitölur fyrir haus v2 (aðskilin með bili)
    • Setningafræði: -ki
  • -rafavísitala (-si)
    • Lýsing: tilgreinið vísitölu raufarinnar sem á að nota (sjálfgefið gildi 0x0)
    • Setningafræði: -si
  • –rafa–auðkenni (-síðu)
    • Lýsing: tilgreindu auðkenni raufarinnar sem á að nota (valfrjálst, í tugabrots- eða sextándakerfisformi)
    • Setningafræði:-sid
      • Ef valkosturinn –slot-identifier er notaður samtímis –slot-index, athugar tólið hvort þessi uppsetning passi við sömu rauf. Auðkennið endurspeglar vísitöluna sem nefnd var; annars kemur upp villa.
      • Það er hægt að nota –slot-identifier án þess að nefna –slot-index. Tólið leitar kerfisbundið í raufarvísitölunni.
  • –active-keyIndex (-aki)
    • Lýsing: tilgreinið raunverulegan virkan lykilvísitölu (sjálfgefið gildi 0)
    • Setningafræði: -aki < sexhyrningsgildi>

PKH/PKTH file kynslóð

Eftir vinnslu undirritunaraðgerðarinnar býr tólið kerfisbundið til PKH files til að nota eftir fyrir OTP öryggi.

  • PKH file heitir pkcsHashPublicKey0x{active_key_index}.bin fyrir haus v1
  • PKTH file heitir pkcsPublicKeysHashHashes.bin fyrir haus v2

Examples

Tólið getur skrifað undir inntak files fyrir bæði haus v1 og haus v2, með lágmarks mun á skipanalínunni.

  • Haus v1
    -bin inntak.bin -iv -pwd -la -þáttur -t -af –
    -lykill-vísitala -aki 0 ​​–eining –rifavísitala -o úttak.stm32
  • Haus v2
    -bin inntak.bin -iv -pwd -la -þáttur -t -af – -lykill-vísitala -aki –eining –rifavísitala -o úttak.stm0

Villa í skipanalínunni, eða vanhæfni tólsins til að bera kennsl á lykilhluti sem passa, veldur því að villuboð birtast. Þetta gefur til kynna upptök vandans. SigningTool getur aðeins notað forstillta HSM og er ekki hannað til að stjórna eða búa til nýja öryggishluti. Þess vegna er nauðsynlegt að setja upp ókeypis hugbúnað til að setja upp viðeigandi umhverfi. Þá er hægt að búa til lyklana og fá upplýsingar um hluti.

Rauf auðkenni valkostur:

  • -bin input.bin –type fsbl -hv 1 –key-index 0x40 -aki 0 ​​–module softhsm2.dll –password prg-dev -ep 0x2ffe4000 -s -si 0 -sid 0x51a53ad8 -la 0x2ffc2500 -iv 0 -of 0x80000000 -o output.stm32

Villa tdamples:

  • Ógild rifavísitala

Mynd 2. HSM TOKEN_NOT_RECOGNIZED
Óþekktur lykilhlutur sem nefndur er í –key-index skipun

Mynd 3. HSM OBJECT_HANDLE_INVALID

Tólið meðhöndlar hlutina í röð. Ef það getur ekki borið kennsl á samsvarandi lykilhluti í fyrstu tilraun, stöðvar undirritunaraðgerðin ferlið. Þá birtast villuboð til að gefa til kynna upptök vandamálsins.

Endurskoðunarsaga

Tafla 2. Endurskoðunarferill skjala

Dagsetning Útgáfa Breytingar
14-febrúar-2019 1 Upphafleg útgáfa.
 

 

26-nóv-2021

  

 

2

 Uppfært:

• Kafli 2.1: Skipanir

• Kafli 2.2: Dæmiamples fyrir STM32-SignTool

• Bætt við kafla 2.4: PKCS#11 lausn
27-júní-2022 3 Uppfærður hluti 2.1: Skipanir
 

 

 

26-júní-2024

  

 

 

4

 Skipt út í öllu skjalinu:

• STM32MP1 serían eftir STM32MPx serían

• STM32MP1-SignTool frá STM32MP-SignTool

• STM32MP1-KeyGen frá STM32MP-KeyGen

Uppfært –public-key -pubk og bætt við –header-útgáfu (-hv) og –no-keys (- nk) í kafla 2.1: Skipanir.

Bætti við „Til dæmis“ample 6“ í kafla 2.2: Dæmiamples fyrir STM32-SignTool.
 

 

 

14-nóv-2024

  

 

 

5

 Bætt við:

• STM32N6 serían fyrir viðeigandi vörur Skipt út í öllu skjalinu:

• STM32MP frá STM32

Uppfært:

• Kafli 2.1: Skipanir
 

06-mars-2025

  

6

 Uppfært:

• Kafli 2.4.1: Viðbótar PKCS#11 skipanir

• Kafli 2.4.3: Dæmiamples

MIKILVÆG TILKYNNING - LESIÐU VARLEGA

STMicroelectronics NV og dótturfélög þess („ST“) áskilja sér rétt til að gera breytingar, leiðréttingar, endurbætur, lagfæringar og úrbætur á STproducts og/eða þessu skjali hvenær sem er án fyrirvara. Kaupendur ættu að afla sér nýjustu upplýsinga um ST vörur áður en þeir leggja inn pantanir. ST vörur eru seldar samkvæmt söluskilmálum ST sem eru í gildi þegar pöntun er staðfest. Kaupendur bera einir ábyrgð á vali, notkun og notkun á ST vörum og ST ber enga ábyrgð á aðstoð við notkun eða hönnun á vörum kaupenda. ST veitir hér ekkert leyfi, hvorki beint né óbeint, til neins hugverkaréttar. Endursala á ST vörum með ákvæðum sem eru frábrugðin þeim upplýsingum sem hér eru settar fram skal ógilda alla ábyrgð sem ST veitir fyrir slíka vöru. ST og ST merkið eru vörumerki ST. Fyrir frekari upplýsingar um ST vörumerki, sjá www.st.com/trademarks. Öll önnur vöru- eða þjónustuheiti eru eign viðkomandi eigenda. Upplýsingar í þessu skjali koma í stað upplýsinga sem áður voru veittar í fyrri útgáfum af þessu skjali.

© 2025 STMicroelectronics – Allur réttur áskilinn

Algengar spurningar

  • Sp.: Hvað geri ég ef ég lendi í villum við notkun STM32-SignTool?
    • A: Athugaðu skipunarsetningafræðina, vertu viss um að allar nauðsynlegar breytur séu rétt gefnar upp og vísaðu til notendahandbókarinnar til að fá ráð um úrræðaleit.
  • Sp.: Get ég notað STM32-SignTool á mismunandi stýrikerfum?
    • A: STM32-SignTool er hannað til að virka á tilteknum stýrikerfum. Vísað er til hugbúnaðarforskriftanna til að fá upplýsingar um samhæfni.

Skjöl / auðlindir

ST Microelectronics STM32 Signing Tool Hugbúnaður [pdfNotendahandbók
STM32N6 röð, STM32MP1, STM32MP2 röð, STM32 Signing Tool Software, STM32, Signing Tool Software, Tool Software, Hugbúnaður

Heimildir

Skildu eftir athugasemd

Netfangið þitt verður ekki birt. Nauðsynlegir reitir eru merktir *