为了保证代码签名私钥的安全,我想配置并使用 yubikey 对图像进行签名(第二阶段引导加载程序/OTA 应用程序)。签名图像和创建所需签名块的说明假定私钥可在签名服务器上访问。通过使用 HSM (yubikey),私钥将是可访问的,因此不会被泄露。
是否可以按原样使用 espsecure 来支持这一点?如果不能可以延长吗?这是一个好主意吗?
2023-3-2 15:49:35
安全启动版本 2 使用基于 RSA-3072 的应用程序签名方案。YubiKey 仅支持 RSA-2048,因此不能用于应用程序签名。不过,就 ESP32-C2 而言,安全启动版本 2 使用基于 ECDSA-192/256 的签名方案,YubiKey 支持该方案。
安全启动版本 2 使用基于 RSA-3072 的应用程序签名方案。YubiKey 仅支持 RSA-2048,因此不能用于应用程序签名。不过,就 ESP32-C2 而言,安全启动版本 2 使用基于 ECDSA-192/256 的签名方案,YubiKey 支持该方案。
举报
