我正在为我的设备进行软件更新。该镜像是带有RSA签名的FIT镜像。我的u-boot可以在启动之前验证它。
我想知道linux用户空间中是否有一个工具可以进行相同的验证。基本上,我运行 Linux 的设备会下载 FIT 映像,在将其写入闪存之前对其进行验证。验证步骤是我没有的。
我想我可以签署整个 FIT 映像,但这有点浪费,因为我的 FIT 中已经有 RSA 签名。
谢谢!
答案1
我想我有答案了。 U-Boot 有一个名为“fit_check_sign”的工具。
如果您使用 buildroot,则大致流程如下:
- 为您的目标包含包“uboot-tools”。
- 为包启用 FIT 和 FIT_SIGNATURE 选项。
- 构建系统。
- 在 ..../output/build/uboot-tools-*/tools 中,有“fit_check_sign”。将其复制到目标。您可以在构建后脚本中执行此操作。
从目标运行以下命令进行验证:
./fit_check_sign -f your_fit_image -k uboot_dtb_file_containing_public_key