安全启动 - STM32安全启动架构

发布时间:2023-02-28  

安全需要一个起点。现在我们理解,没有安全启动,设备平台的安全难以得到保证。安全启动要求启动的位置一定是固定在某个地方。那么固定启动位置靠什么保证?必须靠硬件。软件本身的特点,决定了它很容易被修改,即使做了加密和加扰,破解的难度依然比硬件低很多。所以,安全启动一定是靠 STM32 硬件来保证。脱离硬件谈安全启动基本上是不可能的


实现 Root of Trust(信任根)通用的做法是什么呢?一般是,芯片有一个 Bootrom 启动只读存储区。硬件的设计保证,芯片加电启动一定是从这个只读的甚至不可见的 Bootrom 里执行。


事实上,保持安全启动的原则不变,但是实现的方式可以不一样。 对于这个 Bootrom,直接固化在芯片里,会减少灵活性,无法适应 MCU 的广泛应用场景。所以,STM32 采用的是使用 STM32 硬件技术,允许客户在开发过程中形成 Bootrom。形成的 bootrom 具有我们前面所提到的安全启动几个特征:

◎ 启动位置是固定的

◎ 启动顺序是不可修改的

◎ 启动代码或者核心部分对后续代码是不可见的


安全启动的 STM32 软件架构


STM32 SBSFU 是一个层次结构,分为三层,可参考附件中的下图图示。



◇ 第一层是驱动层,包括 BSP 以及 STM32 HAL

◇ 第二层是中间件层,包括 STM32 Cryptolib,以及安全引擎。安全引擎提供了 Secure key storage 安全存储密钥的服务,以及安全进行加解密操作的服务。

◇ 第三层是应用层,包括 SBSFU,以及用户固件。其中,安全启动与安全固件更新部分,保括了安全配置,用户固件加载,以及为用户固件更新所准备的固件烧录功能。


在 STM32 中固定启动位置


我们看一下 SBSFU 的安全部分是如何实现的。复盘一下系统的初始执行过程:系统上电,STM32 MCU 根据 boot0 和 boot1 管脚的配置,再加上软件 boot 寄存器,可以确定系统应该什么地方启动,存在三种可能:

◎ 从系统内存启动 System memory bootloader。

◎ 从用户 Flash 启动

◎ 从SRAM 启动


理论上系统内存可以充当信任根。然而,考虑到系统内存所达到的安全级别和灵活性,我们不希望它从系统内存启动。从 SRAM 启动的话,如果没有信任根的话,那么这个 SRAM 的安全无法得到保证。因此,只有唯一的选择,也就是 STM32 目前的安全设计方案,将系统固定在用户 Flash 启动 。


我们如何将系统固定在用户 Flash 启动?


根据 STM32 手册,需要使用一个叫读保护的功能 RDP。不使用 RDP, 首先 boot pin 是可以重新拉高或者拉低,从而构成不同的配置;其次 JTAG 可以连上去,让 STM32 从 SRAM 启动。


读保护 RDP 要设置成2,才能够确保启动位置不会被修改。 将 RDP 设置成1,是保护 Flash 内容不被读出,并不能将启动顺序固定到用户 Flash。例如, JTAG 依然可以连上 STM32, boot 管脚依然可以重新修改。


所有的 STM32 系列都具备 RDP 功能。唯一需要注意的是 STM32F1 系列,不具备 RDP 级别2这一设置。


有些客户反映,使用 RDP 级别2,会不会造成一些问题,代码错了,系统会不会变化?还有使用 PCROP 保护的算法或者密钥会不会再也无法更新?为解决这些问题,可以采用特别的 STM32 型号,例如:STM32G0。


对于 STM32G0,这种情况下,是要使用一个选项字节功能。该功能被称为唯一启动入口 (Unique Boot entry)。若将该选项字节设置成1,STM32G0 只能从主 Flash 启动。不过,对于安全启动,需要将启动的位置固定这一需求,是可以进一步放松。例如:假如换到其他位置,对于安全相关的链条的影响为0,那么我们也可以认为这个信任的根的保密、完整、可靠目标在一定程度达到了。


例如,我们在不需要 RDP 为2,也可以实现可信的安全固件安装。在安全固件安装中,系统内存提供 RSS 根安全服务,在这个过程中,系统内存充当了信任根。这就是一个RDP 级别1 的信任根。


再例如:如果使用 STM32L4,将堆栈放在 SRAM2 中,那么在 RDP1 的情况下,想通过 JTAG 攻击STM32,例如读 Flash 内容,或者对 Flash 修改基本不可功能。


总结一下,构造安全启动,必然需要设置读保护 RDP, 一般设置成2,在有些情况下也可

以设置成1,这个时候要确保 SRAM1 不包含任何安全敏感信息。


文章来源于:电子工程世界    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>