LPC55Sxx安全启动的漏洞

eefocus_3865170

感觉LPC55Sxx安全启动存在安全漏洞，请帮忙澄清一下：


看到LPC55Sxx的安全启动文档里面，这样写：ROM会使用image 里面存放的证书里面的 公钥来 校验Image。 这里有个问题，证书本身的验证是一个问题：
    芯片里面没有可信的根证书。

   当前证书的可以是由任何人发起的。攻击者在获取到用户的完整的安全image后，可以把证书里面的公钥换成自己的，然后用自己的私钥重新签名，这样就可以骗过ROM程序。

阅读全文

eefocus_3865170

NXP 的技术支持，能不能帮忙解释一下

NXP管管

eefocus_3865170 发表于 2022-8-9 19:56
NXP 的技术支持，能不能帮忙解释一下

稍等哈

eefocus_3865170

顺便问一个问题：
各种文档里面提到一个Secure boot KEK code，还有一个SBKEK （Secure Binary Key Encryption Key）
这两个是同一个KEY 吗？

az158

你改了证书之后根本烧不到芯片里面，怎么骗过ROM程序

az158

有哪些文档提到 Secure boot KEK code 了，我去看看

eefocus_3865170

az158 发表于 2022-8-11 11:32
有哪些文档提到 Secure boot KEK code 了，我去看看

User manual 里面就有。
Page 150

eefocus_3865170

az158 发表于 2022-8-11 11:22
你改了证书之后根本烧不到芯片里面，怎么骗过ROM程序

目前我的理解：
ROM 程序使用Image里面自带的证书里面的 公钥去校验Image自身。
但是对于这个证书的要求是自签，等于说是ROM 默认为这个证书就是安全的，并没有对证书的验证。那么这个证书 看起来也没有啥必要了，等于是直接把公钥放在那了。

因为这个image （包括公钥）本身是放在flash都可以修改，可以用自己的密钥对对image签名，然后连带公钥， image的签名都可以同时改了（当然也可以改image），ROM 就可被骗过了。这样就没有防篡改的功能了。
————————
既然有了PUF，可以在产线烧录的时候，将公钥设置到puf里面，这样公钥就不可能被修改了，这样image就被保护了。

eefocus_3865170

eefocus_3865170 发表于 2022-8-11 17:03
目前我的理解：
ROM 程序使用Image里面自带的证书里面的 公钥去校验Image自身。
但是对于这个证书的要求 ...

你提到的不能烧录到芯片里面，这个烧录的过程好像是SBKEY在起到保护作用。因为SBKEK是烧录的时候预存进芯片了。是不是可以在烧录的时候重新存进去SBKEY （secure binary Key ）

az158

eefocus_3865170 发表于 2022-8-11 17:03
目前我的理解：
ROM 程序使用Image里面自带的证书里面的 公钥去校验Image自身。
但是对于这个证书的要求 ...

并没有，RoT 公钥的 SHA-256 哈希值（RKTH）是放在CMPA区域，一旦写入SHA 256 摘要 就会把RKTH区域锁定，无法修改。
复位第一步就是验证CMPA区域，所以改不了。