在嵌入式Linux開發(fā)中，固件簽名是保障設(shè)備安全的關(guān)鍵環(huán)節(jié)——它能有效防止惡意固件篡改、非法刷入，從源頭筑牢設(shè)備的系統(tǒng)安全防線。最近在RK3588平臺(tái)（Linux6.1內(nèi)核）上實(shí)操固件簽名時(shí)，踩了不少官方文檔的坑，經(jīng)過反復(fù)調(diào)試終于打通全流程。今天就把這份實(shí)戰(zhàn)經(jīng)驗(yàn)整理成保姆級(jí)教程，從配置到問題排查，一步步帶大家搞定RK3588的固件簽名！

一、核心原理速覽

固件簽名的核心邏輯是通過非對(duì)稱加密（RSA2048）驗(yàn)證固件完整性：

1.生成RSA密鑰對(duì)（私鑰用于簽名，公鑰用于驗(yàn)簽）；

2.給uboot、kernel打包生成的boot.img添加數(shù)字簽名；

3.設(shè)備啟動(dòng)時(shí)，uboot通過內(nèi)置的公鑰驗(yàn)證boot.img簽名合法性，只有驗(yàn)證通過才會(huì)加載kernel。

本次實(shí)操基于RK3588開發(fā)板+Linux6.1內(nèi)核+uboot官方源碼，全程圍繞「配置-密鑰-簽名-驗(yàn)證」四大環(huán)節(jié)展開。

二、前期準(zhǔn)備

1.已編譯完成的uboot源碼（rk3588_defconfig配置）；

2.已編譯生成的kernel鏡像（boot.img）；

3.RK官方工具鏈（含rk_sign_tool）；

4.OpenSSL工具（用于生成自簽名證書）；

5.開發(fā)環(huán)境：Ubuntu 20.04 LTS（其他Linux發(fā)行版同理）。

三、分步實(shí)操指南

第一步：uboot配置開啟簽名功能

首先需要在uboot中啟用FIT鏡像簽名支持，修改配置文件：

1.進(jìn)入uboot源碼根目錄，編輯配置文件：

vim u-boot/configs/rk3588_defconfig

2.在文件末尾添加以下兩行配置，開啟uboot和SPL的簽名功能：

CONFIG_FIT_SIGNATURE=yCONFIG_SPL_FIT_SIGNATURE=y

3.保存退出后，重新編譯uboot確保配置生效（若已編譯過，可直接執(zhí)行后續(xù)步驟，簽名時(shí)會(huì)自動(dòng)應(yīng)用配置）。

第二步：生成RSA密鑰對(duì)與自簽名證書

這一步是坑最多的地方！官方文檔的指令存在路徑和文件名錯(cuò)誤，以下是驗(yàn)證通過的正確流程：

1.創(chuàng)建密鑰存儲(chǔ)目錄

在uboot源碼根目錄下創(chuàng)建keys文件夾，用于存放密鑰和證書：

mkdir-pkeys

2.生成RSA2048密鑰對(duì)

使用RK官方工具rk_sign_tool生成私鑰（private_key.pem）和公鑰（public_key.pem），執(zhí)行命令：

../rkbin/tools/rk_sign_tool kk--bits2048--out.

?注意：rk_sign_tool的路徑需根據(jù)你的實(shí)際目錄調(diào)整（通常在rkbin/tools下）；

?執(zhí)行成功后，會(huì)在uboot根目錄生成private_key.pem（私鑰）和public_key.pem（公鑰）。

3.建立密鑰軟鏈接（關(guān)鍵步驟）

官方文檔的鏈接指令會(huì)導(dǎo)致文件找不到，正確做法是進(jìn)入keys目錄建立軟鏈接，確保簽名工具能識(shí)別密鑰：

cdkeysln-s ../public_key.pem dev.pubkey # 公鑰鏈接ln-s ../private_key.pem dev.key  # 私鑰鏈接cd..

?為什么要做軟鏈接？因?yàn)楹灻ぞ吣J(rèn)讀取keys目錄下名為dev.key（私鑰）和dev.pubkey（公鑰）的文件，直接鏈接避免修改工具配置。

4.生成自簽名證書

使用OpenSSL生成x509格式自簽名證書（本質(zhì)等同于公鑰，用于設(shè)備端驗(yàn)簽）：

openssl req -batch -new -x509 -key keys/dev.key -out keys/dev.crt

?參數(shù)說明：

?-batch：自動(dòng)填充信息，無需手動(dòng)輸入；

?-new -x509：生成自簽名證書；

?-key：指定私鑰路徑；

?-out：輸出證書路徑。

5.驗(yàn)證密鑰文件

執(zhí)行以下命令查看keys目錄下的文件，確保3個(gè)文件都存在：

lskeys/

正確輸出應(yīng)為：dev.key（私鑰鏈接）、dev.pubkey（公鑰鏈接）、dev.crt（自簽名證書）。

第三步：固件簽名與打包

1.準(zhǔn)備boot.img

將kernel編譯生成的boot.img復(fù)制到uboot源碼根目錄（與keys文件夾同級(jí)）：

cp/path/to/kernel/boot.img ./ # 替換為你的boot.img實(shí)際路徑

2.執(zhí)行簽名命令

在uboot源碼根目錄下執(zhí)行簽名指令，支持兩種模式：

模式1：僅簽名（不燒錄公鑰到OTP）

適合開發(fā)測試階段，無需修改設(shè)備OTP：

./make.shrk3588--spl-new--boot_imgboot.img

模式2：簽名+燒錄公鑰哈希到OTP

./make.shrk3588--spl-new--boot_imgboot.img--burn-key-hash

適合量產(chǎn)階段，公鑰哈希寫入OTP后，設(shè)備僅認(rèn)可該密鑰簽名的固件：

3.驗(yàn)證簽名結(jié)果

簽名成功后，終端會(huì)輸出以下提示，同時(shí)生成已簽名的鏡像文件：

********sign_tool ver1.42********privatekeyiskeys/dev.keypublickeyiskeys/dev.pubkeyloading key ok.Image(signed,version=0):uboot.img(FITwithuboot,trust...)isreadyImage(signed,version=0):boot.img(FITwithkernel,fdt,resource...)isreadyImage(signed):rk3588_spl_Loader_v1.18.113.bin(withspl, ddr...)isready

?已簽名的boot.img會(huì)覆蓋原文件，無需手動(dòng)替換；

?若需保留原未簽名鏡像，建議先備份。

4.重新打包固件

最后執(zhí)行sdk根目錄的打包腳本，生成最終可燒錄的完整固件：

./build.sh updateimg

打包完成后，會(huì)在輸出目錄生成包含簽名信息的完整固件（如update.img）。

四、常見問題排查（避坑指南）

問題1：創(chuàng)建軟鏈接時(shí)提示「文件已存在」

?原因：之前執(zhí)行過錯(cuò)誤指令，殘留了無效鏈接；

?解決：刪除keys目錄下的殘留文件，重新創(chuàng)建鏈接：

rm-rf keys/* # 清空keys目錄cdkeysln-s ../public_key.pem dev.pubkeyln-s ../private_key.pem dev.keycd..

問題2：生成證書時(shí)提示「Can't open keys/dev.key for reading」

?原因：軟鏈接路徑錯(cuò)誤，導(dǎo)致OpenSSL找不到私鑰；

?解決：必須在keys目錄下創(chuàng)建軟鏈接，且鏈接路徑為../private_key.pem（相對(duì)路徑不能錯(cuò)）。

問題3：簽名后啟動(dòng)停留在loader階段，提示「Failed to verify required signature」

?原因：uboot未加載公鑰，或簽名時(shí)使用的私鑰與驗(yàn)簽公鑰不匹配；

?解決：

a.確認(rèn)uboot配置中已開啟CONFIG_FIT_SIGNATURE=y；

b.重新生成密鑰對(duì)和證書，確保簽名時(shí)使用的是keys目錄下的dev.key；

c.燒錄已簽名的boot.img（而非未簽名的原文件）。

問題4：簽名工具提示「load key failed」

?原因：密鑰文件名錯(cuò)誤（必須是dev.key和dev.pubkey）；

?解決：檢查keys目錄下的文件命名，確保軟鏈接名稱正確。

五、驗(yàn)證簽名有效性

1.將打包后的完整固件（update.img）通過RK燒錄工具燒錄到開發(fā)板；

2.開機(jī)查看串口日志，若出現(xiàn)以下信息，說明簽名驗(yàn)證通過：

conf:sha256,rsa2048:dev-ok.Verifysignature'key-dev'success

3.設(shè)備正常進(jìn)入kernel啟動(dòng)流程，最終進(jìn)入系統(tǒng)，說明固件簽名生效！

六、總結(jié)

RK3588的固件簽名核心是「配置-密鑰-簽名」三步走，關(guān)鍵避坑點(diǎn)在于：

1.正確配置uboot的簽名開關(guān)；

2.嚴(yán)格按照路徑和文件名生成密鑰與鏈接；

3.確保簽名后的boot.img被正確打包進(jìn)固件。

通過固件簽名，我們能有效防止惡意篡改固件導(dǎo)致的安全風(fēng)險(xiǎn)，尤其適合量產(chǎn)階段的設(shè)備安全管控。如果在實(shí)操中遇到其他問題，歡迎在評(píng)論區(qū)留言交流～后續(xù)還會(huì)分享更多RK3588的實(shí)戰(zhàn)教程，記得點(diǎn)贊關(guān)注不迷路！