0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

使用SFI在STM32上实施安全固件安装

星星科技指导员 来源:意法半导体 作者:意法半导体 2022-05-11 15:49 次阅读

Secure Thingz 是 IAR Systems Group 旗下公司,也是ST 合作伙伴计划的成员,最近宣布了一种使用与我们的安全固件安装 (SFI)兼容的 IAR Embedded Workbench 和 STM32 MCU 来实施其安全部署解决方案的简单方法。更准确地说,该解决方案是Embedded Trust 和 C-Trust安全开发工具的一部分。它目前可与STM32H7配合使用,并将支持STM32L5微控制器等。该解决方案与众不同,因为它只是作为 IAR Embedded Workbench 的扩展。因此,即使是没有资源或专业知识来创建自定义解决方案的团队也可以享受安全的环境。我们还举办了一场3 月 18 日与 Secure Thingz 举行的网络研讨会,帮助工程师了解和实施这项技术。因此,我们认为深入了解 Secure Thingz 为此次活动提供的服务非常重要。

保护引导加载程序变得越来越必要

保护知识产权是公司本身的根本,它可以保护用户免受黑客攻击。传统上,OEM 加载加密应用程序,该应用程序只能由 MCU 及其引导加载程序解密。但是,引导加载程序本身并未加密,这可能会使设备受到攻击。安全固件安装通过启用加密引导加载程序来补救这种情况。 例如,对 STM32 MCU 进行编程的 OEM 会将开发人员的整个加密环境推送到内部闪存上。得益于一系列优化、身份验证、完整性检查和保证机密性的措施,ST 的安全固件安装 (SFI) 将安全地解密和安装代码。随着公司对安全问题越来越敏感,保护固件编程正在成为许多行业的事实标准。

ST 的 SFI 是名为 STM32Trust 的更大计划的一部分。后者将安全启动、SFI 和安全固件更新等安全功能集于一身。因此,开发人员可以找到软件、文档等的中央资源中心。因此,希望实施自定义解决方案的团队将找到示例代码、密码库等。然而,尽管有 STM32Trust 这样的举措,但并不是每个开发人员都有时间了解这些工具的工作原理。有些人确实欢迎更直接和预配置的安装。例如,许多初创公司有共同的安全需求,但手头的专家很少。因此,Secure Thingz 直接从 IAR Embedded Workbench 提供 Secure Deploy,以帮助开发人员节省时间和资源。因此,让我们看看开发人员如何利用这个解决方案。

保护 Thingz 和 IAR

嵌入式信任和 C-Trust

寻找交钥匙解决方案的开发人员必须经常在严格的限制下工作。如果团队没有时间和资源来定制他们的安全上下文实施,他们也没有时间使用无数的软件解决方案。因此,Secure Thingz 的吸引力在于它能够在 IAR Embedded Workbench 中提供一切。开发人员可以通过在 Embedded Trust 和 C-Trust 中使用 IDE 的扩展工具,立即开始他们的安全工作流程。Embedded Trust支持从安全上下文生成到安全包生产的完整工作流程,包括安全启动管理器创建和应用程序开发。C-信托通过专注于整个产品开发周期的应用阶段和原型设计,提供嵌入式信任功能的子集。

安全生产包和安全桌面配置器

上述所有开发工具都将帮助生成一个现成的安全启动管理器 (SBM),STM32 MCU 在启动时启动该管理器。SBM 将固件提交给一系列控制和验证。如果所有测试都清除,则应用程序启动。因此,鉴于引导管理器的敏感性,开发人员可以将其放入安全生产包中,这是一个发送到生产设施的加密容器。此外,Secure Thingz 和 IAR Systems 提供Secure Deploy 平台,该平台可导入 Secure Production Package 并在生产过程中安全保存。Secure Thingz 还提供Secure Desktop Provisioner (SPD) 工具。 它由操作员 UI 控制,用于桌面原型设计和有限的生产运行。OEM 还可以将 Secure Deploy 集成到全自动量产机器中,而无需运行专用的用户界面。两种实现都使用相同的安全生产包,并在编程(供应)期间与目标设备交互。

保护 Thingz 和 STM32

使用 SFI 在 STM32 上安全部署

在某些情况下,开发人员可能会发现实施安全启动管理器很困难。Secure Thingz 处理所有固有的复杂性,以极大地促进开发。例如,ST 合作伙伴使用 STM32 SFI 机制将 SBM 和应用程序传输到目标 MCU 中的安全存储区。然而,整个过程发生在幕后,只需要开发人员点击几下。在 C-Trust 中,用户只需在 Secure Boot Manager 配置期间勾选复选框即可选择 STM32 Secure Firmware Installation (SFI)。同样,在 IAR Embedded Workbench 中创建和加密用于生产的包需要几个步骤。

实施安全固件安装变得更加简单。工程师不再需要额外的工具,从而大大简化了他们的工作流程。安全配置支持 STM32 SFI 的设备所需的所有信息都包含在安全生产包中。因此,在生产环境中使用 STM32 的 SFI 不需要操作员或自动化机器的额外说明。

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • mcu
    mcu
    +关注

    关注

    146

    文章

    17141

    浏览量

    351101
  • 嵌入式
    +关注

    关注

    5082

    文章

    19117

    浏览量

    304981
  • STM32
    +关注

    关注

    2270

    文章

    10897

    浏览量

    355866
收藏 人收藏

    评论

    相关推荐

    AirPods如何进行固件更新

    确保充电盒有足够的电量。 将AirPods充电盒与iPhone、iPad或Mac等设备连接,并确保这些设备已经安装了最新的操作系统。 检查固件版本 : iPhone或iPad,打开
    的头像 发表于 12-05 14:59 331次阅读

    macOS Sierra安装Pro Tools 10

    macOS Sierra 安装 Pro Tools 10 
    发表于 11-25 14:48 0次下载

    电气安装中通过负载箱实现最大效率和安全

    安全性,电气设备的安装和调试过程中,可能会涉及到高压、大电流等高风险因素。如果操作不当,可能会导致设备的损坏,甚至可能引发火灾、触电等安全事故。通过使用负载箱,可以将高压、大电流等
    发表于 11-20 15:24

    MSP430 MCU的USB现场固件更新

    电子发烧友网站提供《MSP430 MCU的USB现场固件更新.pdf》资料免费下载
    发表于 10-18 09:27 0次下载
    MSP430 MCU<b class='flag-5'>上</b>的USB现场<b class='flag-5'>固件</b>更新

    MSP MCUs的安全现场固件更新

    电子发烧友网站提供《MSP MCUs的安全现场固件更新.pdf》资料免费下载
    发表于 10-09 09:21 0次下载
    MSP MCUs的<b class='flag-5'>安全</b>现场<b class='flag-5'>固件</b>更新

    浅谈SOC片系统LoRa-STM32WLE5数据安全防御机制

    LoRa-STM32WLE5 SoC模块不仅仅是一个具备出色通信能力的无线模块,更是一个集成了多重安全机制的高效SoC解决方案。通过AES硬件加密、PCROP读写保护、MPU内存管理等技术的结合,它为物联网设备提供了全方位的安全
    的头像 发表于 09-06 17:37 518次阅读
    浅谈SOC片<b class='flag-5'>上</b>系统LoRa-<b class='flag-5'>STM32</b>WLE5数据<b class='flag-5'>安全</b>防御机制

    MSPM0实时固件更新(LFU)引导加载程序实施

    电子发烧友网站提供《MSPM0实时固件更新(LFU)引导加载程序实施.pdf》资料免费下载
    发表于 08-29 09:58 0次下载
    MSPM0实时<b class='flag-5'>固件</b>更新(LFU)引导加载程序<b class='flag-5'>实施</b>

    移植stm32h745 + Laird(lwb+)时,却停止安装固件,为什么?

    当我移植 stm32h745 + Laird(lwb+)时,却停止安装固件。 我认为蓝牙传感器无法启动 hello_sensor_application_init(); 但 nucleo-745zi-q + Lwb(434
    发表于 05-23 08:30

    STM32L010为什么找不到固件库?

    KEILC 中需要设置设备型号,需要下载pack固件包。 STM32L0系列的固件stm32L011 后面多有
    发表于 04-23 06:02

    stm32cube更新后无法安装固件包的原因?

    stm32cube更新后无法安装固件
    发表于 04-17 07:42

    请问STM32MP157可以安装ROS吗?

    请问一下,STM32MP157可以安装ROS吗?
    发表于 03-26 06:50

    AMD GPU如何安装和配置triton?

    最近在整理python-based的benchmark代码,反过来NV的GPU又把Triton装了一遍,发现Triton的github repo已经给出了对应的llvm的commit id以及对应的编译细节,然后跟着走了一遍,也顺利的
    的头像 发表于 02-22 17:04 2367次阅读
    <b class='flag-5'>在</b>AMD GPU<b class='flag-5'>上</b>如何<b class='flag-5'>安装</b>和配置triton?

    如何让CYUSBlinux闪存固件

    不起作用。 我能知道其他支持 linux 中刷新固件的应用程序吗,或者如何让 CYUSB linux 闪存固件。 发行商 ID:Ub
    发表于 02-22 06:23

    tl-wda5532re固件升级

    升级。 第一步:检查固件版本 进行固件升级之前,我们首先需要检查当前设备固件版本。这可以帮助我们确定是否需要升级以及选择正确的升级文件
    的头像 发表于 01-04 10:40 855次阅读

    记录RocketMQcentos7安装过程

    本文记录RocketMQcentos7安装过程,没有技术的探讨,仅仅是安装记录,以作备忘。
    的头像 发表于 01-02 11:41 1600次阅读
    记录RocketMQ<b class='flag-5'>在</b>centos7<b class='flag-5'>上</b>的<b class='flag-5'>安装</b>过程