[问答]

怎样去判断boot分区中证书与boot.img是否是匹配的

问答对人有帮助，内容完整，我也想知道答案 0 客户自己移植tina打包流程，反馈使用安全启动后，boot分区校验失败，导致启动不了，关键log如下： [06.319]partinfo: name boot1, start 0xe00, size 0xb400 [06.895]kernel len:10350592, part len:23592960 ++hash compare is not correct++ >>>>>>>hash of file<<<<<<<<<< 5bed1d5c: 98590b3b 3b1116da 174ab29e 30a13e78 ;.Y....;..J.x>.0 5bed1d6c: 60efaf5c 567b8961 38d000dd a2da3783 ..`a.{V...8.7.. >>>>>>>hash in certif<<<<<<<<<< 5c3e2218: dd7f2b61 2343e66f cb2f648c 03c76a71 a+..o.C#.d/.qj.. 5c2e2228: 6a2ee78b f03c1694 43da3873 8474b958 ...j..<.s8.CX.t. bootm - boot application image from memory Usage: bootm [addr [arg ...]] log中hash in file是对boot分区payload部分计算sha256的值；hash in certify表示证书中的记录的sha256值，两个值必须相等。本例中，log提示这两个值不等。可能的原因有很多：有可能是分区数据本身就有问题，也有可能计算sha256时内存中boot.img数据被修改等等。但是，第一步要澄清分区中数据是否存在问题，即判断boot分区中证书与boot.img是否是匹配的。本例中客户自己移植打包过程，容易造成上述问题。 0
2021-12-29 06:08:01　　评论淘帖0 邀请回答您可以邀请以下用户，快速回答问题 × 文小二该类别下有 5 个回答。邀请回答 yqdedli 该类别下有 4 个回答。邀请回答倪love 该类别下有 3 个回答。邀请回答梅利号该类别下有 3 个回答。邀请回答 caosurround 该类别下有 3 个回答。邀请回答 heks 该类别下有 3 个回答。邀请回答 LL-LING宁该类别下有 3 个回答。邀请回答 yu1004402274 该类别下有 3 个回答。邀请回答笑过就走该类别下有 3 个回答。邀请回答 zym123456 该类别下有 3 个回答。邀请回答 hfgdf 该类别下有 3 个回答。邀请回答 hsdfaz 该类别下有 2 个回答。邀请回答广州洋钒该类别下有 2 个回答。邀请回答神之小风该类别下有 2 个回答。邀请回答 emsthe 该类别下有 2 个回答。邀请回答陈博该类别下有 2 个回答。邀请回答小句句63 该类别下有 2 个回答。邀请回答无厘头该类别下有 2 个回答。邀请回答 mingodong 该类别下有 2 个回答。邀请回答 zaichenxi 该类别下有 2 个回答。邀请回答举报刘丽相关推荐 • RK3288 Debian系统boot.img/recovery.img如何修改内核？ 1556 • 刻录IMX8QXP Android镜像问题如何解决？ 577 • 为啥RV1126替换boot.img后无法加载rootfs根文件系统？ 2972 • U-boot的完整启动流程是怎样的？ 1309 • uuu下载imx8qxp mek的Andriod图像失败了怎么解决？ 587 • 请问在内核是否需要增加Kernel的相关信息呢 1301 • 【NanoPi M2试用体验】0521镜像boot分区更改 4071 • 怎样去设置才能点亮lvds屏呢 967 • 怎样去设置STM32的BOOT模式呢 2367 • firefly rk3399开发板替换内核后连不上wifi是何原因？ 1700 1个回答

答案对人有帮助，有参考价值 0 解决办法 Tina安全启动中，boot分区包含boot.img与boot.img的证书。在打包过程中，先将out//boot.img复制到out//image/boot.fex 然后通过dragonsecboot -toc1 dragon_toc.cfg xxx命令对out//boot.fex进行签名，生成证书out//image/toc1/cert/boot.der dragonsecboot -toc1 dragon_toc.cfg ${ROOT_DIR}/keys ${CNF_BASE_FILE} ${ROOT_DIR}/image/version_base.mk 最后通过sigbootimg 命令将证书boot.der附在boot.fex文件后。此时boot.fex中包含了boot.img与其证书。 sigbootimg --image boot.fex --cert toc1/cert/boot.der --output boot_sig.fexboot.fex 与证书boot.der要匹配，如果不匹配就会导致校验不过。可以进行如下验证： ① 执行sha256sum out//boot.img，得到boot.img的sha256值。 ② 将①运算的sha256值与out//image/toc1/cnf/boot.cnf中的usr_cert块进行对比。看是否一样，如果不一样，则表明boot.img与证书不一致，打包流程出现问题，检查下是否有严格按照上述打包流程走。

2021-12-29 14:04:53 评论举报杨晓健