鲲鹏社区首页
中文
注册
开发者
支持
积分兑换 NEW
我要评分
获取效率
正确性
完整性
易理解
提交关闭
在线提单
论坛求助

用户固件完整性保护

开启用户固件完整性保护

编程框架采用RSA-4096非对称加密算法实现固件完整性保护(目前仅支持SHA-256 RSA-4096),通过数字签名验证机制确保固件镜像的完整性。

本功能默认情况下关闭,推荐开启完整性保护,如果不开启可能会导致用户固件处于风险之中。

  1. 在烧录固件前,完成开启用户固件完整性保护前准备。请参见固件完整性保护文件准备
    • 客户根证书公钥(1024Byte,含模数n和指数e的拼接,n和e需要转换为512Byte,不足部分补0,n值和e值采用大端序存储)。
    • 经私钥签名的用户固件。
  2. 开启用户固件完整性保护能力。

    命令详情,请参见《华为SP900 DPU卡 用户指南》中“开启用户固件完整性保护”。

    hinicadm3 integrity -i hinic0 -t enable -p pubkey.bin -f Hinic3_flash.bin

    打印信息如下所示,即为开启成功。

    Start to update firmware. 
Run gray_npu_ver is empty. Version check succeed. 
The running version can be hot upgraded to the target version. 
Please do not remove driver or network device. 
Loading.... 
Firmware update start: 2025-04-27 15:15:31 
[>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>] [100%][\]
Firmware update finish: 2025-04-27 15:16:16 
Firmware update time used: 45s 
Loading firmware image succeed. 
Do not operate the device during the hot upgrade. 
Single NPU firmware is activing. Please waiting... 
Set update hot active successful! 
Fw integrity protection enabled.

关闭用户固件完整性保护

  1. 运行环境默认禁用固件完整性验证功能。
  2. 如果开发者已经开启用户固件完整性保护开关,需准备以下安全凭证。可参考固件完整性保护文件准备
    • 已导入设备的客户根证书公钥(1024Byte,含模数n和指数e的拼接,n和e需要转换为512Byte,不足部分补0,n值和e值采用大端序存储)。
    • 使用私钥对公钥的签名后的文件(512Byte签名数据)。
  3. 执行以下命令,关闭用户固件完整性保护能力。
    hinicadm3 integrity -i hinic0 -t disable -p pubkey.bin -s sig.bin

    打印信息如下所示,即为关闭成功。

    Fw integrity protection disabled. Security risk: System will accept unsigned firmware.

更换客户根

  1. 准备用户固件完整性保护的证书需要的文件。请参见固件完整性保护文件准备
    • 当前使用的旧有效根公钥(1024Byte,含模数n和指数e的拼接,n和e需要转换为512Byte,不足部分补0,n值和e值采用大端序存储)
    • 当前使用的旧私钥对新公钥签名后的签名文件(512Byte)
    • 新根证书公钥(1024Byte,含模数n和指数e的拼接,n和e需要转换为512Byte,不足部分补0,n值和e值采用大端序存储)
    • 新私钥签发的用户固件
  2. 执行以下命令,更换用户固件完整性保护所使用的客户根证书。
    hinicadm3 integrity -i hinic0 -t update -p pubkey.bin -s sig.bin -n newpubkey.bin -f Hinic3_flash.bin

    打印信息如下所示,即为更换成功。

    Start to update firmware. 
Version check succeed. 
The running version can be hot upgraded to the target version. 
Please do not remove driver or network device. 
Loading... 
Firmware update start: 2025-04-27 15:17:34 
[>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>] [100%][\]
Firmware update finish: 2025-04-27 15:18:15 
Firmware update time used: 41s Loading firmware image succeed. 
Do not operate the device during the hot upgrade. 
Single NPU firmware is activing. Please waiting... 
Set update hot active successful! 
Root public key updated.
父主题: 安全管理