[问答]

如何使用CST签署二进制文件并使用HSM而不是srk.pri/pub本地文件？

问答对人有帮助，内容完整，我也想知道答案 0 对于目标 LS1043AE，我可以使用 NXP CST 工具对 ATF 和 U-Boot 进行签名，以获得安全的引导信任链。这个工具 CST 依赖于 ATF 源代码树根目录下的 srk.pri 和 srk.pub 本地文件来签署二进制文件。我想使用由 PKCS#11 访问的我公司的 HSM，以避免公开这些文件（并在其中生成它们）。这可能吗？我可以使用实现 PKCS#11 的引擎并使用 CST 标志 OPENSSL_INC_PATH 和 OPENSSL_LIB_PATH 构建一个特殊版本的 OpenSSL，但是如何告诉 CST 使用 PKCS#11 而不是本地文件 srk.pri ？ 0
2023-6-5 10:43:37　　评论淘帖0 邀请回答您可以邀请以下用户，快速回答问题 × chm5 该类别下有 36 个回答。邀请回答 wang21cj 该类别下有 33 个回答。邀请回答新星之火12138 该类别下有 29 个回答。邀请回答 hgimtk 该类别下有 24 个回答。邀请回答 heks 该类别下有 22 个回答。邀请回答 gdfffa 该类别下有 22 个回答。邀请回答 fdhsfagd 该类别下有 21 个回答。邀请回答 xiaolu511 该类别下有 21 个回答。邀请回答 lifei639156 该类别下有 21 个回答。邀请回答秦小姐9048 该类别下有 21 个回答。邀请回答艾玛该类别下有 20 个回答。邀请回答 JasonXiong 该类别下有 20 个回答。邀请回答英雄孤寂该类别下有 20 个回答。邀请回答 dahairenlyy 该类别下有 19 个回答。邀请回答 fhbding 该类别下有 19 个回答。邀请回答 kevinvind 该类别下有 19 个回答。邀请回答 HCPcry 该类别下有 19 个回答。邀请回答自我清欢该类别下有 19 个回答。邀请回答 testd27 该类别下有 19 个回答。邀请回答小组店小二该类别下有 19 个回答。邀请回答举报刘军相关推荐 • 为什么程序要变为HEX文件导入单片机而不是二进制文件？ 334 • 如何读取二进制文件，IAR怎么输出二进制BIN文件 2928 • 关于Labview中二进制文件的读写 13262 • Labview图像二进制转换问题 9254 • 如何将二进制文件转换为声音文件 8886 • 如何进行DDR校准并寻找LPDDR4校准二进制文件？ 548 • 从BSP 1.2.0到2.0.0有什么变化需要使用单独的二进制文件呢？ 269 • 有没有人知道如何在CubeIDE上检查最终二进制文件的大小？ 250 • labview存储二进制文件问题 3015 • 请教各位，怎么读取二进制DAT文件，数据说明在附件中 3014 1个回答

答案对人有帮助，有参考价值 0 实际上，您可以使用 CST 的 -key和-cert标志来使用通过 PKCS#11 访问的 HSM。这些标志允许您指定要使用的密钥和证书，这些密钥和证书可以在 HSM 中存储，并且不需要本地的 srk.pri 和 srk.pub 文件。下面是使用 HSM 进行签名的一个例子： cst --no-caam-keys --key pkcs11 engine:pkcs11:id= --cert pkcs11 engine:pkcs11:id= --o signed.bin unsigned.bin 在这个例子中，--key 和 --cert 标志指定了要在 HSM 中使用的密钥和证书的 ID，并将其作为 PKCS#11 引擎加载。请注意，使用 PKCS#11 引擎需要构建特殊版本的 OpenSSL，以便 CST 能够使用它。您可以通过设置 OPENSSL_INC_PATH 和 OPENSSL_LIB_PATH 来将编译器路径设置为 PKCS#11 引擎所需的路径，然后使用从 OpenSSL 源代码编译的 CST 来进行签名。希望这可以帮助您实现使用 HSM 进行 CST 签名。

2024-3-29 15:34:17 评论举报 477289