NXP i.MX6 & i.MX7 系列安全启动：HAB实现指南

"CST_UG.pdf - NXP的Code Signing Tool用户指南，版本3.2.0，关于在imx6和imx7系列芯片上使用HAB（Hardware Abstraction Layer for Boot）实现安全启动的详细步骤" 这篇文档是NXP公司针对其微处理器系列，特别是imx6和imx7，提供的Code-Signing Tool用户指南，用于实现基于HAB的安全启动流程。HAB是一种硬件抽象层，旨在确保设备在启动时加载经过验证的固件，以提高系统的安全性。 **关于本书** - **受众**：主要是面向软件开发者、系统集成商以及对安全启动过程感兴趣的人员。 - **范围**：专注于介绍如何使用CST（Code-Signing Tool）来生成必要的密钥和证书，以支持imx6和imx7系列芯片的HAB安全启动。 - **组织结构**：涵盖了工具的介绍、安装、密钥和证书生成等关键步骤，以及相关的参考资料。 - **修订历史**：文档的版本号为3.2.0，更新日期为2019年4月，记录了该指南的更新历程。 **1. 引言** - **代码签名组件**：分为安全组件和CST两部分。 - **安全组件**：包括安全组件API，用于确保固件的安全加载。 - **CST**：代码签名工具，是实现HAB安全启动的核心工具，用于生成和管理密钥及证书。 **2. 安装** - **CST包内容和安装**：提供了在Linux和Windows系统上的系统需求和安装指南。 - **Linux系统要求**：列出运行CST所需的Linux环境配置。 - **Windows系统要求**：同样，指明了Windows环境下的硬件和软件要求。 - **解压文件**：解释了如何解压缩下载的CST包。 **3. 密钥和证书生成** - **生成HAB4密钥和证书**：详细介绍了HAB4密钥和证书的创建过程，包括： - **HAB4 PKI树**：描述了HAB4的公钥基础设施层次结构。 - **运行hab4_pki_tree脚本示例**：提供了创建HAB4 PKI树的实战指导。 - **生成HAB4 SRK表格和Efuse Hash**：阐述如何生成安全根密钥(SRK)表格和 Efuse散列值，用于存储在硬件中。 - **编程SRK Hash值到Efuses**：解释如何将SRK散列值烧录到Efuses中，以实现硬件保护。 - **向HAB4 PKI树添加密钥**：介绍了如何将新的密钥集成到已建立的HAB4 PKI树中。 - **生成A-HAB密钥和证书**：类似于HAB4，这部分讲解了A-HAB的密钥和证书生成，包括其PKI树结构和实际操作步骤。 这些内容为开发者提供了一个全面的指导，帮助他们在imx6和imx7系列平台上实现基于HAB的可靠安全启动，确保固件的完整性和安全性。通过使用CST，可以有效地管理和保护设备的启动流程，防止未经授权的代码执行。