matter智能家居网关模块蓝牙wifi芯片Flash加密与Secure Boot方案关系,Flash 加密方案主要用于保护存储在设备端 Flash 上的数据机密性,matter智能家居网关模块蓝牙wifi芯片Secure Boot 方案主要用于保护设备端使用的固件数据合法性。在量产中同时使用量产模式的 Flash 加密方案和硬 SecureBoot 方案将大程度地提高设备的安全性能。我们可以在编译固件时同时使用 Flash 加密方案和 Secure Boot 方案。
App Signing Scheme (RSA)-->
[*] Enable hardware Secure Boot in bootloader (READ DOCS FIRST)
Select secure boot version (Enable Secure Boot version 2)--->
[*]Sign binaries during build
(secure_boot_signing_key.pm)Secure boot private signing key
[]Allow potentially insecure options (NEW)
[*]Enable flash encryption on boot (READ DOCS FIRST)
Enable usage mode (Release)--->
[*]Check Flash Encryption enabled on app startup (NEW)
UART ROM download mode (UART ROM download mode (Permanently disabled
在编译固件是通过 menuconfig 同时启用 Flash 加密方案和 Secure Boot 方案
此外,在使用matter智能家居网关模块蓝牙wifi芯片Flash 加密方案和 Secure Boot 方案时,应该注意以下几点,以增强设备的安全性能:
(1) 为不同的设备端配置不同的 Flash 加密的密钥。
(2)通过menuconfig --> Security features,将UART ROM download mode 切换为 Secure mode 或者 disabled mode,将 UART 下载模式切换为安全模式或者关闭下载模式。
(3)保护签名的私钥存储在私密的位置,既不能丢失私钥,也不能泄露私钥的内容,并且仅在安全的主机上进行签名。若导出了 Flash 加密方案的密钥,则同样地将保护 Flash 加密方案的密钥存储在私密的位置。
使用量产工具批量使用 Flash 加密方案与 Secure Boot 方案
在Linux 开发环境中,有一些脚本工具,如 esptool.py、espsecure.py,可用于配置安全功能的一些参数或者烧录固件数据。详细阅读这些脚本工具的使用说明有助于我们更加灵活地使用安全功能。
在Windows 环境下,通过 Flash 下载工具 (下载链接为 https://www.espressif.com/zh-hans/support/download/other-tools)可以方便地批量烧录固件数据,并使用matter智能家居网关模块蓝牙wifi芯片Secure Boot 方案和 Flash 加密方案。在 Flash 下载工具的目录中打开 configure/esp32c3/security,可以在该文件内配置 Secure Boot 方案和 Flash 加密方案的相关选项。
注意:若首次打开该目录时无 security 文件,则可以关闭软件后再次打开,此时就可以看到该文件了。
security 文件中安全功能相关参数的默认配置如下:
1.[ISECURE BOOT]
2.secure boot en = False
3.
4.[FLASH ENCRYPTIONJ
5.flash encryption en = Ealse
6.reserved burn times = 0
7.
8.
9.[ENCRYPTION KEYS SAVE]
10.keys save enable = False
11.encrypt_keys enable = False
12.encrypt_keys_aeskey_path
13.
14.[IDISABLE FUNC]
15.jtag disable = False
16. dl encrypt disable = False
17.dl decrypt disable = False
18. dl cache_disable = False
更多的说明请参考 Flash 下载工具的使用说明手册。
注意:在量产时需要设备端使用matter智能家居网关模块蓝牙wifi芯片Flash 加密方案和 Secure Boot 方案,请使用标准且稳定的供电电源,否则可能破坏设备端,导致不可逆的损坏。
在智能照明系统中使用 Flash 加密方案与 Secure Boot 方案
与其他章节不同,Flash 加密方案和 Secure Boot 方案几乎是“开箱即用”的,几乎不需要添加任何代码,只需要在 menuconfig 菜单里选择对应的选项就可以开启对应的功能。在智能照明系统中,我们建议同时使用matter智能家居网关模块蓝牙wifi芯片Flash 加密方案、NVS 加密方案和硬 Secure Boot 方案,从而大程度地增强设备的安全性。