昨天文章《最近STM32CubeMX、IDE、Programmer都更新了些什么内容》讲述了ST最近在这些工具上的动作。 今天讲述的内容是STM32生态中，STM32Trust下面的一部分内容。 （本文参考应用笔记文档：AN5054） 一、回顾STM32Trust什么是STM32Trust？ STM32Trust是一套STM32解决方案，提供完整的代码保护和执行保护工具套件，如下图：

今天讲述的就是代码保护中，使用STM32TrustedPackageCreator生成SFI和SMI加密固件。 STM32Trust官方网址：

www.st.com/stm32trust

二、基础介绍

SFI：Secure Firmware Installation，安全固件安装解决方案。

SMI：Secure Module Install，安全模块安装。

OEM：Original Equipment Manufacturer，原始设备制造商（或原厂）；

SFI格式是由ST公司创建的固件加密格式，它使用带有128位密钥的AES-GCM算法将固件(Elf、Hex、Bin或Srec格式)转换为SFI格式的加密和认证固件。

SMI格式是ST公司创建的一种格式，旨在保护合作伙伴的软件(软件模块和库)。

三、安装STM32Trust生成器

STM32TrustedPackageCreator安全包生成器工具属于STM32CubeProgrammer编程工具中的一部分（附加的工具）。

所以，在安装STM32CubeProgrammer工具时，集成有STM32TrustedPackageCreator这个工具，只是默认不安装，需要手动勾选。

打开STM32TrustedPackageCreator工具，在主界面你就会看到一些我们之前说的SFI、SMI、HSM内容。

四、SFI固件生成过程

主要过程如下框图，由原厂固件、随机数、密钥，经过STM32TrustedPackageCreator工具加密成SFI格式固件。

生成过程生产主要过程见下图：

在执行AES-GCM加密一个区域之前，我们计算初始化向量(IV)为:

IV = nonce + Area Index

该工具将固件映像划分为几个加密的部分，这些部分对应于不同的内存区域。

这些附加到相应描述符(由工具生成的未加密的描述性头部)的加密部分称为区域。

这些领域分不同的类型:

F：固件区域(输入固件中的常规段) M：模块区域(用于SFI-SMI组合图像生成，对应于来自SMI模块的输入) C：配置区域(用于选择字节配置) P：表示“暂停”区域 R：回复区域

区域“P”和“R”并不代表真正的固件区域，而是在SFI映像被分割成几个部分时创建的，这是在SFI映像的全局大小超过用户在创建SFI映像期间预定义的允许RAM大小时的情况。

下面RAM大小和CT地址输入用于SFI：

P和R区域与常规SFI区域：

此生成过程的最终输出是单个文件，该文件是经过加密和验证的SMI格式固件。SFI格式布局如下：

当SFI图像在生成过程中被分割时，“P”和“R”区域出现在SFI图像布局中，如图下图所示：

五、SMI固件生成过程

SMI同样是一种加密固件，只是这里面加密的是针对模块和库。

SMI加密过程和SFI有点类似，如下图：

生成过程生产主要过程见下图：

AES-GCM加密使用以下输入:

•128位AES加密密钥

•输入nonce作为初始化向量(IV)

•作为附加身份验证数据的安全版本(AAD)

在创建SMI映像文件之前，对SMI映像有效性进行PCROP检查:

•PCROP部分必须在Flash字(256位)上对齐，否则将显示警告

•该区域的大小必须至少为2个Flash单词(512位)，否则将显示警告

•该部分必须在Flash单词边界(256位单词)上结束，否则将显示警告

•如果紧随PCROP部分之后的部分的起始地址与PCROP部分的最后一个Flash单词重叠(在执行PCROP对齐约束之后)，则生成失败并出现错误消息。

如果一切正常，在指定的路径下创建两个输出:

•SMI图像

•Lib数据

SMI格式布局如下：