固件安全启动实现：AES与RSA在Flash加密及签名验证中的应用

固件安全启动实现：AES与RSA在Flash加密及签名验证中的应用

在物联网设备面临不断升级的安全风险背景下，固件安全启动作为确保系统可信运行的关键环节，受到广泛重视。本文以STM32H7系列微控制器为实例，剖析基于AES-256加密与RSA-2048数字签名的安全启动流程，并结合示例代码说明核心实现步骤。

安全启动的系统架构

安全启动通常由三个阶段构成，每一阶段承担不同的验证与加载任务，以确保整个引导过程的完整性与可信度。

• BootROM阶段：微控制器内部的只读存储器对一级引导加载程序（BL1）执行签名验证，确保其来源可靠。
• BL1阶段：解析并校验二级引导程序（BL2）的AES加密密钥，为后续解密操作做好准备。
• BL2阶段：在验证通过后，对应用固件进行解密并完成程序跳转执行。

Flash加密的实现方案

AES加密流程

在固件打包阶段，使用OpenSSL工具链生成256位AES密钥并执行加密处理，确保数据在存储和传输过程中保持保密。

• openssl rand -hex 32 > aes_key.bin：生成256位随机密钥。
• openssl enc -aes-256-cbc -in app.bin -out app.enc -K $(cat aes_key.bin) -iv $(openssl rand -hex 16 | head -c 16) -nopad：采用AES-CBC模式完成固件加密。

MCU侧的解密操作

在BL2阶段，通过STM32H7内置的硬件加速模块执行固件解密。以下为使用HAL库的代码示例：

void AES_Decrypt_Firmware(uint8_t *encrypted_fw, uint8_t *decrypted_fw, uint32_t size) {    AES_HandleTypeDef haes;    haes.Instance = AES;    haes.Init.DataType = AES_DATATYPE_8B;    haes.Init.KeySize = AES_KEYSIZE_256B;    haes.Init.pKey = (uint8_t *)AES_KEY;    HAL_AES_Init(&haes);    for (uint32_t i = 0; i < size; i += 16) {        HAL_AES_Decrypt(&haes, encrypted_fw + i, 16, decrypted_fw + i, HAL_MAX_DELAY);    }}

签名验证机制详解

固件签名生成

通过RSA-2048算法对固件的哈希值进行数字签名，确保其不可篡改。具体命令如下：

• openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits:2048：生成RSA私钥。
• openssl rsa -in private_key.pem -pubout -out public_key.pem：导出公钥。
• openssl dgst -sha256 -sign private_key.pem -out signature.bin app.bin：计算哈希并生成签名。

MCU侧的签名验证

在BL1阶段加载BL2前，需验证其数字签名。以下为基于Mbed TLS库的验证代码片段：

int Verify_Firmware_Signature(uint8_t *firmware, uint32_t size, uint8_t *signature) {    uint8_t hash[32];    uint8_t public_key[256] = { /* 从安全区域读取的公钥 */ };    // 计算SHA256哈希    mbedtls_rsa_context rsa;    mbedtls_rsa_init(&rsa, MBEDTLS_RSA_PKCS_V15, 0);    mbedtls_rsa_import_raw(&rsa, public_key, 256, NULL, 0, NULL, 0, NULL, 0);    int ret = mbedtls_rsa_pkcs1_verify(&rsa, NULL, NULL, MBEDTLS_MD_SHA256, 32, hash, signature);    mbedtls_rsa_free(&rsa);    return (ret == 0) ? 1 : 0;}

提升系统安全性的附加策略

为增强系统安全性，可采取以下措施：

• 密钥保护机制：AES密钥存储于MCU的OTP（一次性可编程）区域，RSA私钥则由HSM（硬件安全模块）生成且不导出。
• 版本回滚防护：在固件头中嵌入版本字段，BL1阶段对版本号进行判断，防止非法固件回滚。
• 调试接口禁用：通过设置熔丝位，永久禁用JTAG/SWD调试接口，防止物理篡改。

实际应用中的性能与安全表现

在某智能电表项目中部署上述安全机制后，测试结果如下：

• 固件加密耗时：约2.3毫秒（主频480MHz）。
• 签名验证耗时：15毫秒（RSA-2048）。
• 有效防御了包括固件回滚、中间人替换和内存窥探在内的多种攻击。

未来发展方向

随着后量子密码学（PQC）标准的逐步成熟，推荐在系统中逐步引入如CRYSTALS-Kyber等抗量子算法。同时，结合可信执行环境（TEE）构建多层安全架构，以应对复杂多变的安全挑战。