全志科技
直播中

刘丽

7年用户 1235经验值
私信 关注
[问答]

怎样去判断boot分区中证书与boot.img是否是匹配的

  • 客户自己移植tina打包流程,反馈使用安全启动后,boot分区校验失败,导致启动不了,关键log如下:
  • [06.319]partinfo: name boot1, start 0xe00, size 0xb400
  • [06.895]kernel len:10350592, part len:23592960
  • **++hash compare is not correct++**
  • **>>>>>>>hash of file<<<<<<<<<<**
  • 5bed1d5c: 98590b3b 3b1116da 174ab29e 30a13e78    ;.Y....;..J.x>.0
  • 5bed1d6c: 60efaf5c 567b8961 38d000dd a2da3783    ..`a.{V...8.7..
  • **>>>>>>>hash in certif<<<<<<<<<<**
  • 5c3e2218: dd7f2b61 2343e66f cb2f648c 03c76a71    a+..o.C#.d/.qj..
  • 5c2e2228: 6a2ee78b f03c1694 43da3873 8474b958    ...j..<.s8.CX.t.
  • bootm - boot application image from memory
  • Usage:
  • bootm [addr [arg ...]]
  • log中hash in file是对boot分区payload部分计算sha256的值;hash in certify表示证书中的记录的sha256值,两个值必须相等。
    本例中,log提示这两个值不等。可能的原因有很多:有可能是分区数据本身就有问题,也有可能计算sha256时内存中boot.img数据被修改等等。
    但是,第一步要澄清分区中数据是否存在问题,即判断boot分区中证书与boot.img是否是匹配的。
    本例中客户自己移植打包过程,容易造成上述问题。

回帖(1)

杨晓健

2021-12-29 14:04:53
解决办法
Tina安全启动中,boot分区包含boot.img与boot.img的证书。
在打包过程中,先将out//boot.img复制到out//image/boot.fex
然后通过dragonsecboot -toc1 dragon_toc.cfg xxx命令对out//boot.fex进行签名,生成证书out//image/toc1/cert/boot.der

dragonsecboot -toc1 dragon_toc.cfg ${ROOT_DIR}/keys ${CNF_BASE_FILE} ${ROOT_DIR}/image/version_base.mk
最后通过sigbootimg 命令将证书boot.der附在boot.fex文件后。此时boot.fex中包含了boot.img与其证书。

sigbootimg --image boot.fex --cert toc1/cert/boot.der --output boot_sig.fexboot.fex


与证书boot.der要匹配,如果不匹配就会导致校验不过。
可以进行如下验证:
① 执行sha256sum out//boot.img,得到boot.img的sha256值。
② 将①运算的sha256值与out//image/toc1/cnf/boot.cnf中的usr_cert块进行对比。看是否一样,如果不一样,则表明boot.img与证书不一致,打包流程出现问题,检查下是否有严格按照上述打包流程走。
举报

更多回帖

1 0 0

相关问答

Boot 数据 移植
发帖
电子发烧友APP
|投诉反馈|电子发烧友网
© 2021 bbs.elecfans.com
湘ICP备2023018690号
×
20
完善资料,
赚取积分