在嵌入式系統(tǒng)安全啟動(dòng)體系中，U-Boot的FIT（Flattened Image Tree）鏡像簽名驗(yàn)證是一道關(guān)鍵防線——它能確保啟動(dòng)鏡像未被篡改、來源可信，而image-sig.c正是實(shí)現(xiàn)這一核心能力的核心文件。本文將從數(shù)據(jù)結(jié)構(gòu)、函數(shù)邏輯、數(shù)據(jù)流程三個(gè)維度，拆解image-sig.c的實(shí)現(xiàn)細(xì)節(jié)，帶你吃透U-Boot鏡像驗(yàn)簽的底層邏輯。

一、背景：為什么需要FIT鏡像簽名驗(yàn)證？

傳統(tǒng)的U-Boot鏡像格式（如uImage）功能單一，難以滿足復(fù)雜場景下的安全需求。FIT鏡像以設(shè)備樹（DTB）為載體，支持多鏡像打包、版本管理、簽名驗(yàn)證等能力，而簽名驗(yàn)證則是安全啟動(dòng)的核心：

?防止鏡像被惡意篡改，保障啟動(dòng)流程可信；

?支持多種哈希/加密算法，適配不同安全等級需求；

?區(qū)分“必需”和“可選”簽名，靈活適配不同場景。

image-sig.c的核心職責(zé)就是：管理驗(yàn)簽所需的算法、解析FIT鏡像的簽名節(jié)點(diǎn)、完成哈希校驗(yàn)與簽名驗(yàn)證，是FIT鏡像安全的守護(hù)者。

二、核心數(shù)據(jù)結(jié)構(gòu)：算法與驗(yàn)簽信息的載體

在分析函數(shù)前，先理解幾個(gè)核心結(jié)構(gòu)體——它們是整個(gè)驗(yàn)簽邏輯的“數(shù)據(jù)骨架”。

1.哈希算法結(jié)構(gòu)體checksum_algo

structchecksum_algo { constchar*name;     // 算法名（sha1/sha256） intchecksum_len;     // 哈希值長度 intder_len;       // DER前綴長度 constuint8_t *der_prefix;// DER編碼前綴（適配ASN.1規(guī)范）  EVP_MD *(*calculate_sign)();// 簽名用哈希計(jì)算函數(shù) int(*calculate)();    // 通用哈希計(jì)算函數(shù)};

作用：封裝SHA1/SHA256兩種哈希算法的核心屬性，關(guān)聯(lián)哈希計(jì)算的具體實(shí)現(xiàn)，是后續(xù)生成/驗(yàn)證哈希值的基礎(chǔ)。

2.加密算法結(jié)構(gòu)體crypto_algo

structcrypto_algo { constchar*name;     // 算法名（rsa2048/rsa4096） intkey_len;       // 密鑰長度（字節(jié)） int(*sign)();      // 簽名函數(shù) int(*add_verify_data)(); // 添加驗(yàn)證數(shù)據(jù) int(*verify)();     // 驗(yàn)簽函數(shù)};

作用：封裝RSA2048/RSA4096兩種非對稱加密算法，關(guān)聯(lián)簽名/驗(yàn)簽的核心邏輯，是驗(yàn)簽的核心執(zhí)行者。

3.填充算法結(jié)構(gòu)體padding_algo

structpadding_algo { constchar*name;     // 填充方式（pkcs-1.5/pss） int(*verify)();     // 填充驗(yàn)證函數(shù)};

作用：適配不同的RSA填充規(guī)范（PKCS1.5是默認(rèn)，PSS更安全），通過配置開關(guān)CONFIG_FIT_ENABLE_RSASSA_PSS_SUPPORT控制是否啟用PSS。

4.驗(yàn)簽上下文image_sign_info

這個(gè)結(jié)構(gòu)體未在代碼中顯式定義，但從函數(shù)參數(shù)能看出其核心作用：承載一次驗(yàn)簽的所有上下文信息，包括：

?算法指針（哈希/加密/填充）；

?FIT鏡像指針、節(jié)點(diǎn)偏移量；

?密鑰名、驗(yàn)證所需的FDT blob；

?必需的密鑰節(jié)點(diǎn)索引。

三、核心函數(shù)解析：從算法查找到驗(yàn)簽落地

image-sig.c的函數(shù)可分為三大類：算法查找、輔助工具、驗(yàn)簽核心，我們逐一拆解。

1.算法查找函數(shù)：匹配字符串與算法實(shí)現(xiàn)

驗(yàn)簽的第一步是“識別算法”——從FIT鏡像節(jié)點(diǎn)的屬性字符串（如sha256,rsa2048）中，匹配到對應(yīng)的算法結(jié)構(gòu)體。

（1）image_get_checksum_algo：查找哈希算法

structchecksum_algo *image_get_checksum_algo(constchar*full_name);

?輸入：完整算法名（如sha256,rsa2048）；

?邏輯：遍歷checksum_algos數(shù)組，匹配前綴（如sha256）且后續(xù)字符為逗號，返回對應(yīng)的哈希算法結(jié)構(gòu)體；

?輸出：匹配到的checksum_algo指針（NULL表示未匹配）。

（2）image_get_crypto_algo：查找加密算法

structcrypto_algo *image_get_crypto_algo(constchar*full_name);

?輸入：完整算法名（如sha256,rsa2048）；

?邏輯：先截取逗號后的字符串（如rsa2048），再遍歷crypto_algos數(shù)組匹配算法名；

?輸出：匹配到的crypto_algo指針（NULL表示未匹配）。

（3）image_get_padding_algo：查找填充算法

structpadding_algo *image_get_padding_algo(constchar*name);

?輸入：填充算法名（如pkcs-1.5）；

?邏輯：遍歷padding_algos數(shù)組匹配名稱；

?輸出：匹配到的padding_algo指針（NULL表示未匹配）。

2.輔助工具函數(shù)：FDT區(qū)域到鏡像區(qū)域的轉(zhuǎn)換

structimage_region *fit_region_make_list(constvoid*fit, structfdt_region *fdt_regions,intcount, structimage_region *region);

?核心作用：將FDT（設(shè)備樹）格式的區(qū)域信息，轉(zhuǎn)換為U-Boot鏡像驗(yàn)簽所需的image_region結(jié)構(gòu)體；

?關(guān)鍵細(xì)節(jié)：

a.非SPL構(gòu)建：自動(dòng)調(diào)用calloc分配內(nèi)存（SPL為節(jié)省代碼量，要求調(diào)用者提前分配）；

b.填充image_region的data（鏡像數(shù)據(jù)指針）和size（數(shù)據(jù)長度）；

c.輸出調(diào)試信息（偏移量、大?。奖阏{(diào)試哈希區(qū)域。

3.驗(yàn)簽核心函數(shù)：從初始化到最終驗(yàn)證

驗(yàn)簽邏輯是層層封裝的，從“單節(jié)點(diǎn)驗(yàn)簽”到“批量驗(yàn)簽”，再到“配置節(jié)點(diǎn)驗(yàn)簽”，形成完整的驗(yàn)證鏈路。

（1）fit_image_setup_verify：驗(yàn)簽前的初始化

staticintfit_image_setup_verify(structimage_sign_info *info, constvoid*fit,intnoffset,intrequired_keynode, char**err_msgp);

?核心職責(zé)：為驗(yàn)簽做準(zhǔn)備，填充image_sign_info上下文；

?執(zhí)行流程：

a.從FIT節(jié)點(diǎn)獲取哈希算法名、填充方式（默認(rèn)PKCS1.5）；

b.初始化info結(jié)構(gòu)體：密鑰名、FIT鏡像指針、節(jié)點(diǎn)偏移量；

c.調(diào)用算法查找函數(shù)，綁定哈希/加密/填充算法；

d.校驗(yàn)算法是否有效，無效則返回錯(cuò)誤信息。

（2）fit_image_check_sig：單個(gè)簽名節(jié)點(diǎn)的驗(yàn)簽

intfit_image_check_sig(constvoid*fit,intnoffset,constvoid*data, size_tsize,intrequired_keynode,char**err_msgp);

?核心職責(zé)：驗(yàn)證單個(gè)簽名節(jié)點(diǎn)的有效性；

?執(zhí)行流程：

a.調(diào)用fit_image_setup_verify初始化上下文；

b.從FIT節(jié)點(diǎn)讀取預(yù)計(jì)算的哈希值（fit_value）；

c.構(gòu)造鏡像區(qū)域（image_region），包含待驗(yàn)證數(shù)據(jù)的指針和長度；

d.調(diào)用加密算法的verify函數(shù)，驗(yàn)證哈希值與簽名是否匹配；

e.返回驗(yàn)證結(jié)果（0成功，-1失?。?。

（3）fit_image_verify_sig：遍歷鏡像節(jié)點(diǎn)的簽名子節(jié)點(diǎn)

staticintfit_image_verify_sig(constvoid*fit,intimage_noffset, constchar*data,size_tsize,constvoid*sig_blob, intsig_offset);

?核心職責(zé)：遍歷鏡像節(jié)點(diǎn)下的所有簽名子節(jié)點(diǎn)（以sig-開頭），批量驗(yàn)簽；

?執(zhí)行流程：

a.遍歷FIT鏡像節(jié)點(diǎn)的所有子節(jié)點(diǎn)，篩選出簽名節(jié)點(diǎn)；

b.對每個(gè)簽名節(jié)點(diǎn)調(diào)用fit_image_check_sig驗(yàn)簽；

c.只要有一個(gè)簽名驗(yàn)證通過，標(biāo)記verified=1并返回成功；

d.若遍歷出錯(cuò)（如FDT結(jié)構(gòu)損壞），返回錯(cuò)誤信息。

（4）fit_image_verify_required_sigs：驗(yàn)證“必需”的簽名

intfit_image_verify_required_sigs(constvoid*fit,intimage_noffset, constchar*data,size_tsize,constvoid*sig_blob, int*no_sigsp);

?核心職責(zé)：只驗(yàn)證標(biāo)記為“required=image”的簽名節(jié)點(diǎn)（這類簽名必須通過，否則啟動(dòng)失敗）；

?執(zhí)行流程：

a.查找簽名blob中的sig節(jié)點(diǎn)；

b.遍歷子節(jié)點(diǎn)，篩選出required="image"的節(jié)點(diǎn)；

c.調(diào)用fit_image_verify_sig驗(yàn)證，失敗則直接返回錯(cuò)誤；

d.統(tǒng)計(jì)驗(yàn)證通過的數(shù)量，更新no_sigsp（標(biāo)記是否有簽名）。

（5）fit_config_check_sig：配置節(jié)點(diǎn)的驗(yàn)簽（進(jìn)階）

intfit_config_check_sig(constvoid*fit,intnoffset,intrequired_keynode, char**err_msgp);

?核心場景：驗(yàn)證FIT鏡像的配置節(jié)點(diǎn)（而非鏡像數(shù)據(jù)），防止配置被篡改；

?特殊邏輯：

a.解析hashed-nodes屬性：獲取需要哈希的子節(jié)點(diǎn)列表；

b.校驗(yàn)節(jié)點(diǎn)數(shù)量（不超過IMAGE_MAX_HASHED_NODES=100），防止棧溢出；

c.調(diào)用fdt_find_regions：查找所有需要哈希的FDT區(qū)域；

d.處理hashed-strings屬性：將字符串區(qū)域加入哈希列表；

e.轉(zhuǎn)換為image_region后調(diào)用驗(yàn)簽函數(shù)，完成配置驗(yàn)證；

f.適配硬件加密：如RK的SPL+Secure OTP，驗(yàn)簽后燒錄密鑰哈希。

（6）配置節(jié)點(diǎn)驗(yàn)簽的封裝函數(shù)

fit_config_verify_sig/fit_config_verify_required_sigs/fit_config_verify是對fit_config_check_sig的封裝，邏輯與鏡像節(jié)點(diǎn)驗(yàn)簽類似：遍歷配置節(jié)點(diǎn)的簽名子節(jié)點(diǎn)→驗(yàn)證“required=conf”的簽名→返回最終結(jié)果。

4.特殊場景：回滾保護(hù)

代碼末尾的fit_read_otp_rollback_index/fit_rollback_index_verify是“回滾保護(hù)”的弱實(shí)現(xiàn)：

?讀取OTP中的回滾索引，防止攻擊者降級到舊版本（有安全漏洞的版本）；

?采用__weak修飾，支持廠商自定義實(shí)現(xiàn)（如基于硬件OTP的索引校驗(yàn)）。

四、數(shù)據(jù)處理全流程：從觸發(fā)驗(yàn)簽到驗(yàn)證完成

我們以“鏡像節(jié)點(diǎn)驗(yàn)簽”為例，梳理完整的數(shù)據(jù)走向，流程圖如下：

流程圖核心說明：驗(yàn)簽流程層層封裝、逐步遞進(jìn)，優(yōu)先驗(yàn)證“必需簽名”，確保啟動(dòng)安全性；單個(gè)簽名節(jié)點(diǎn)驗(yàn)證需完成算法綁定、哈希讀取、匹配校驗(yàn)三大核心步驟，任一環(huán)節(jié)失敗則啟動(dòng)終止。

1.啟動(dòng)觸發(fā)驗(yàn)簽 → 傳入FIT鏡像指針、鏡像節(jié)點(diǎn)偏移量2.調(diào)用fit_image_verify_required_sigs → 篩選required=image的簽名節(jié)點(diǎn)3.調(diào)用fit_image_verify_sig → 遍歷鏡像節(jié)點(diǎn)下的sig-*子節(jié)點(diǎn)4. 對每個(gè)sig節(jié)點(diǎn)調(diào)用fit_image_check_sig： a. fit_image_setup_verify → 解析算法名→匹配哈希/加密/填充算法 b. 讀取FIT節(jié)點(diǎn)中的哈希值（fit_value） c. 構(gòu)造image_region（待驗(yàn)證數(shù)據(jù)的指針+長度） d. 調(diào)用crypto_algo->verify → 驗(yàn)證哈希值與簽名匹配5.驗(yàn)證通過→返回0；驗(yàn)證失敗→輸出錯(cuò)誤信息→返回-16.所有required簽名驗(yàn)證通過→啟動(dòng)鏡像；否則→啟動(dòng)失敗

配置節(jié)點(diǎn)驗(yàn)簽的流程類似，核心差異是：哈希區(qū)域從“鏡像數(shù)據(jù)”變?yōu)椤芭渲霉?jié)點(diǎn)的子節(jié)點(diǎn)+字符串區(qū)域”。

五、代碼設(shè)計(jì)的亮點(diǎn)與擴(kuò)展思路

1.設(shè)計(jì)亮點(diǎn)

?模塊化：算法與驗(yàn)簽邏輯解耦，新增算法只需修改checksum_algos/crypto_algos數(shù)組；

?可配置：通過宏開關(guān)（如CONFIG_FIT_ENABLE_RSASSA_PSS_SUPPORT）控制功能，適配不同場景；

?內(nèi)存適配：區(qū)分SPL/非SPL構(gòu)建，兼顧代碼量和易用性；

?調(diào)試友好：輸出詳細(xì)的調(diào)試信息（哈希區(qū)域、算法名），方便問題定位。

2.擴(kuò)展思路

?新增哈希算法（如SHA512）：在checksum_algos數(shù)組中添加新項(xiàng)，實(shí)現(xiàn)對應(yīng)的哈希計(jì)算函數(shù)；

?支持ECDSA加密：擴(kuò)展crypto_algos結(jié)構(gòu)體，添加ECDSA的簽名/驗(yàn)簽函數(shù)；

?強(qiáng)化回滾保護(hù)：基于硬件OTP實(shí)現(xiàn)強(qiáng)校驗(yàn)，替換默認(rèn)的__weak函數(shù)；

?適配TEE：結(jié)合OP-TEE（代碼中已引入OpteeClientInterface.h），將驗(yàn)簽邏輯移到安全世界執(zhí)行。

六、總結(jié)

image-sig.c是U-Boot FIT鏡像安全的核心，它以“算法抽象+流程封裝”的方式，實(shí)現(xiàn)了哈希計(jì)算、簽名驗(yàn)證、配置校驗(yàn)的完整邏輯。理解這份代碼，不僅能掌握U-Boot安全啟動(dòng)的底層原理，也能為嵌入式系統(tǒng)的安全加固提供思路——比如如何設(shè)計(jì)可擴(kuò)展的驗(yàn)簽框架、如何適配不同的硬件安全特性。

在實(shí)際開發(fā)中，廠商通常會(huì)基于這份代碼做定制化：比如適配自研的硬件加密模塊、強(qiáng)化回滾保護(hù)、新增國密算法（SM2/SM3）等。而掌握核心邏輯后，這些定制化開發(fā)都會(huì)變得清晰可落地。

最后，安全啟動(dòng)的核心是“全鏈路可信”，image-sig.c只是其中一環(huán)，還需要結(jié)合鏡像加密、OTP燒錄、硬件隔離等技術(shù)，才能構(gòu)建真正的安全啟動(dòng)體系。

審核編輯 黃宇