18.2 镜像签名与验证

最新推荐文章于 2025-07-30 15:16:53 发布
原创 最新推荐文章于 2025-07-30 15:16:53 发布 · 867 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#arm开发 #ATF #trustzone #optee #汇编

目录

在这里插入图片描述

1. 镜像签名机制概述

TF-A的安全启动流程依赖于严格的镜像签名验证机制,确保只有经过授权的固件镜像能够在系统中执行。该机制基于非对称加密技术,主要包含以下关键组件:

  • PKI体系:采用分层证书结构(Root Key → Trusted Key → Content Certificate)
  • 签名算法:支持RSA-PSS、ECDSA等标准算法
  • 哈希算法:SHA-256、SHA-384等
  • 抗重放保护:通过镜像版本号实现
// 典型签名数据结构示例
typedef struct {
    uint32_t version;      // 格式版本号
    uint8_t  hash_algo;    // 哈希算法标识
    uint8_t  sig_algo;     // 签名算法标识
    uint8_t  pub_key[64];  // 公钥信息
    uint8_t  signature[];  // 实际签名值
} tb_fw_sig_t;

2. 签名流程实现

2.1 镜像签名过程

  1. 镜像准备阶段

    • 计算原始镜像的哈希值
    • 添加镜像元数据(版本号、加载地址等)
    • 生成证书链结构

  2. 签名生成阶段

# 典型签名命令示例
openssl dgst -sha256 -sign priv_key.pem \
             -out signature.bin bl2.bin
  1. 镜像打包阶段
    • 将签名与证书链附加到镜像尾部
    • 生成最终的FIP(Firmware Image Package)格式

2.2 关键数据结构

TF-A中签名验证相关的核心数据结构:

// include/tools_share/firmware_image_package.h
typedef struct {
    fip_toc_header_t toc_header;  // 镜像表头
    fip_toc_entry_t  toc_entries; // 镜像条目数组
    uint8_t          cert_data[]; // 证书数据
} fip_t;

3. 验证流程详解

3.1 启动时验证流程

  1. BL1验证BL2

    • 从ROM加载BL2镜像和签名
    • 验证证书链有效性
    • 检查签名与镜像哈希匹配

  2. BL2验证后续镜像

    • 通过Trusted Boot Firmware验证BL31/BL32/BL33
    • 支持多级证书链验证
验证
验证
验证
验证
BL1 ROM
BL2镜像
BL31镜像
BL32镜像
BL33镜像

3.2 关键验证函数

TF-A中的核心验证函数位于drivers/auth目录:

// drivers/auth/auth_mod.c
int auth_verify_img(unsigned int img_id, 
                   const void *img_ptr,
                   size_t img_len) {
    // 1. 获取对应镜像的证书
    // 2. 验证证书链
    // 3. 验证镜像签名
    // 4. 检查版本号防回滚
}

4. 密钥管理方案

4.1 默认密钥配置

TF-A提供以下默认密钥文件:

  • root-RSA-key.pem:根密钥
  • tf_key.pem:TF-A镜像签名密钥
  • ntfw_key.pem:非可信世界镜像密钥

4.2 密钥更新流程

安全密钥更新的关键步骤:

  1. 生成新的密钥对
  2. 将公钥编译进BL1/BL2
  3. 使用新旧双密钥过渡
  4. 验证通过后移除旧密钥
# 密钥生成示例
openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 \
               -out new_key.pem

5. 高级安全特性

5.1 抗量子计算签名

支持基于哈希的签名方案(如XMSS):

// 启用实验性抗量子签名
#define TF_MBEDTLS_USE_XMSS 1

5.2 动态验证策略

可通过编译选项配置的验证策略:

  • TRUSTED_BOARD_BOOT:启用完整验证链
  • MEASURED_BOOT:增加启动度量值
  • COT_DESC:自定义证书链描述

6. 调试与问题排查

常见问题及解决方法:

  1. 签名验证失败

    • 检查镜像工具链版本一致性
    • 确认密钥路径正确性
    • 验证证书链完整性

  2. 性能优化建议

    • 使用硬件加速的加密引擎
    • 优化证书缓存机制
    • 选择适当的密钥长度
# 调试输出示例
NOTICE:  BL1: Booting BL2
VERBOSE: BL1: Loading image id 5
ERROR:   BL1: Failed to load image (-3)

7. 平台移植注意事项

移植时需要实现的平台特定接口:

// 平台密钥存储接口
int plat_get_rotpk_info(void *cookie, void **key_ptr, 
                       unsigned int *key_len);
                        
// 抗回滚计数器接口
int plat_get_nv_ctr(void *cookie, unsigned int *nv_ctr);

8. 未来演进方向

  1. ARMv9-CCA支持:引入领域管理扩展
  2. 动态验证策略:基于运行时策略的验证
  3. 后量子密码学:NIST标准化算法集成
  4. TEE协同验证:与TrustZone协同验证机制

安全建议:生产环境应定期轮换签名密钥,建议每12-24个月更新一次根密钥,并确保旧镜像能够通过安全方式淘汰。

容器镜像签名思考
SHELLCODE_8BIT的博客
04-18 668
解决什么问题 1.镜像在流转中被篡改 2.仓库被攻破,镜像被篡改 3.镜像仓库地址被劫持
【转】ARM Trusted Firmware分析——镜像签名/加密/生成、解析/解密/验签
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-23 2177
生成fip.bin需要做如下工作工作: 编译certificates相关工具cert_create,生成证书。注意证书对应未加密的镜像。 如果需要加密,需要编译enctool工具encrypt_fw,用于对镜像文件进行加密,并加上加密头struct fw_enc_hdr。 fiptool工具生成fip.bin,使用cert_create生成的证书,如加密使用encrypt_fw加密后的镜像,否则使用原始镜像,加上FIP的TOC和Entry等信息。
使用 Cosign 来对极狐GitLab 镜像进行签名
DevOps008的博客
06-06 1345
使用 Cosign 来对极狐GitLab 镜像进行签名
容器镜像签名
SHELLCODE_8BIT的博客
04-18 544
(译)用 Notary 和 OPA 在 Kubernetes 上使用内容签名 - 云+社区 - 腾讯云 如何给 Docker 镜像进行安全签名_运维之美的博客-CSDN博客
容器入门(8) - 镜像签名
多恩斯基的博客
08-12 1627
http://redhatgov.io/workshops/security_container_intro/lab07-signing/
【ubutnu24.04】k8s部署3:重新安装1.31.0并init成功
突围
08-15 887
#!/bin/sh sudo systemctl restart containerd sudo systemctl status containerd
1、Docker入门进阶指南
r7s8t的博客
07-19 61
本博客全面介绍了Docker的入门进阶知识,涵盖容器化技术的优势、基本操作、镜像管理、网络配置、Kubernetes的集成以及容器监控安全等核心主题。同时,还深入探讨了容器编排工具、微服务架构、持续集成部署(CI/CD)等内容,旨在帮助开发者和运维人员掌握分布式应用部署的核心技能。
10、Docker网络配置全解析
lilh34434的博客
07-22 48
本文全面解析了Docker网络配置的核心内容,涵盖了Weave Net、flannel和Docker Network等多种网络方案的部署实现,详细说明了如何在不同环境中配置容器通信。同时,文章还介绍了Docker引擎的管理、远程访问配置、从源代码编译Docker、使用nsenter和runc等底层工具,以及通过docker-py模块Docker API交互的方法。通过这些内容,帮助开发者和运维人员更好地掌握Docker网络架构配置技巧,提升容器化应用的部署管理能力。
1、解锁 Azure 开发潜力:全面指南实践
最新发布
cc789的博客
07-30 26
本博客全面介绍了使用微软Azure进行云开发的多个关键领域,涵盖从基础的Web应用部署、容器化解决方案、无服务器架构,到大数据处理、实时数据分析、存储服务以及高级监控和安全性配置等内容。通过详细的步骤说明、代码示例和架构设计,帮助开发者深入掌握Azure平台的核心功能实践技巧,适用于不同技术栈的开发人员,是提升云开发能力的实用指南。
26、Google Cloud机器学习安全服务全解析
e4f5g6h7的博客
07-11 52
本文详细解析了Google Cloud的机器学习安全服务。机器学习部分涵盖了Vertex AI、AutoML、云TPU以及各种预训练模型(如云语音转文本、文本转语音、自然语言处理、视觉和视频智能API),并介绍了Dialogflow在构建智能对话机器人中的应用。安全服务部分包括云身份管理、资源管理、IAM权限控制、组织策略、服务账户、网络安全(防火墙和负载均衡)、数据加密、渗透测试、行业合规性以及CI/CD流程中的安全保障。文章旨在帮助用户全面了解Google Cloud平台在AI和安全方面的核心功能
AVB之镜像签名验证签名详解
楼中望月
12-23 7295
文章目录1.签名流程1.1 镜像签名1.2 镜像的内容2.验证镜像的hash和signature签名2.1 计算hash2.2 验证签名 1.签名流程 我们以一下空的dtbo.img镜像为例,进行说明 1.1 镜像签名 调用external/avb/avbtool.py脚本的add_hash_footer 函数 @build/core/Makefile # dtbo image INSTALLED_DTBOIMAGE_TARGET := $(PRODUCT_OUT)/dtbo.img $(INSTALL
镜像签名安全研究
SHELLCODE_8BIT的博客
04-26 1484
在 Kubernetes 上使用策略对部署行为进行限制,仅允许运行有签名镜像。 我们希望借助本文,让读者了解到如何在 Kubernetes 中使用可信镜像,其中依赖两个著名的 CNCF 开源项目:Notary 和 OPA。主要思路是使用 OPA 策略来定义自己的内容限制策略。 主要内容如下: 完成示例的先决条件 Notary 和镜像信任的基本概念 在 Kubernetes 上安装 Kubernetes OPA 和 Admission Control 的基本概念 在 Kubernetes .
探索Docker Notary:安全的镜像签名验证工具
Innocence_0的博客
07-14 1430
Docker Notary是Docker生态系统中的重要组件,它构建在Framework)之上,用于确保Docker镜像的安全性和完整性。Notary允许开发者对Docker镜像进行签名,并且让终端用户能够验证这些镜像未经篡改。这样,用户就可以信任他们拉取并运行的镜像是来自预期的源头,且未被第三方恶意修改。DockerNotary为容器安全带来了重要的提升,无论是对于开发者还是用户,都是值得信赖的工具。
OpenShift 4 - 为集群配置镜像签名功能,只能运行被签名的本地镜像
多恩斯基的博客
11-13 3495
《OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.8环境中验证 文章目录配置签名环境安装镜像签名的Operator为集群指定签名用的 sigstore测试验证使用未签名镜像运行为签名镜像对本地镜像签名参考 本文先安装镜像签名 Operator,然后将 docker.io 的镜像导入到 OpenShift 本地,在强制 docker.io 的镜像必须签名。最后使用对来 docker.io 的本地进行签名并运行。 配置签名环境 安装镜像签名的Operator 执行命令下
4.3 启动镜像格式签名机制
baron-周贺贺-代码改变世界ctw
07-11 873
【代码】4.3 启动镜像格式签名机制。
linux代码签名,浅谈Linux容器和镜像签名(示例代码)
weixin_35436076的博客
05-12 360
导读从根本上说,几乎所有的主要软件,即使是开源软件,都是在基于镜像的容器技术出现之前设计的。这意味着把软件放到容器中相当于是一次平台移植。这也意味着一些程序可以很容易就迁移,而另一些就更困难。我大约在三年半前开展基于镜像的容器相关工作。到目前为止,我已经容器化了大量应用。我了解到什么是现实情况,什么是迷信。今天,我想简要介绍一下 Linux 容器是如何设计的,以及谈谈镜像签名。Linux 容器是如...
Docker基础命令-镜像管理(高级镜像操作、构建镜像、安全扫描签名镜像分发协作)
weixin_43298211的博客
05-29 576
深入管理Docker镜像不仅涉及到基本的拉取、构建和推送操作,还包括了高级的构建优化、安全扫描、版本控制以及高效的合作模式。掌握Docker的核心命令是使用Docker的关键,这些命令涵盖了镜像管理、容器操作、网络配置、数据卷管理等多个方面。:部署并使用私有Docker Registry,如Harbor或Nexus,以管理组织内部的镜像。:对于私有仓库,可以使用Docker Content Trust为镜像签名,确保镜像的来源可信。:选择轻量级的基础镜像,如Alpine Linux,以减小最终镜像的体积。
云安全镜像签名cosign原理分析
SHELLCODE_8BIT的博客
06-07 2797
签名签名校验
ANSYS Fluent 18.2 用户理论指南大全
- 这个标题表明我们正在讨论的是ANSYS Fluent版本18.2相关的官方指南。ANSYS Fluent是业界广泛使用的一款先进的计算流体动力学(CFD)软件,它用于模拟流体流动和热传递。 - 该指南是帮助用户和理论研究者学习和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Arm精选

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值