secure boot (一)fit image

前言

secure boot 和FIT Image是前段时间接触到的，其实早就该总结下了，奈何懒癌犯了，拖了好久才写出来。

之前也有人问我，工作后最大的感受是什么？我的回答是：“快速学习”。

就嵌入式来讲，大多数应届生在校期间可能都没做过完整的项目，仅凭在校期间学习的内容很难胜任公司的要求。

就底层驱动来讲，虽然我之前也学习过韦东山老师的上s3c2440的课程，但是到了公司才发现，这些内容其实都已经过时了。

但并不是说这些内容都没有必要去学习了。在学习的过程中，认为最重要的是培养我们的自学能力。

很多初学者在刚开始学习时，可能就败在了搭建环境上。搭建环境时遇到问题不知道怎么办？

我们日常开发中遇到的90%的问题，在网上都有人遇到过，也有相应的解决办法。学会利用bing，google，stackoverflow等搜索工具是一项很重要的技能。

如果遇到了网上没有的问题怎么办？软件问题要先搞清楚原理，再去看代码逻辑。硬件问题看官方手册。像Linux kernel，ARM等都提供了完善的手册，大部分问题在手册中都有相应说明。

好了，扯远了。下面回归正题。

本文主要介绍了FIT Image起源，制作方法，its的语法结构，bootm 启动FIT Image的方式。

本文这篇文章是对后面介绍的secure boot做铺垫。ARMv8 secure boot一种实现的方式就是利用了FIT Image的特性。

zImage，uImage， Legacy uImage 和 FIT uImage

内核经过编译后，会生成一个elf的可执行程序，叫vmlinux，这个就是原始的未经任何处理加工的原版内核elf文件。不过，最终烧写在嵌入式设备上的并不是这个文件。而是经过objcopy工具加工后的专门用于烧录的镜像格式Image。

原则上Image就可以直接被烧录到Flash上进行启动执行，但linux的内核开发者觉得Image还是太大了，因此对Image进行了压缩，并且在Image压缩后的文件的前端附加了一部分解压缩代码，构成了一个压缩格式的镜像文件就叫zImage。

解压的时候，通过zImage镜像头部的解压缩代码进行自解压，然后执行解压出来的内核镜像。

Uboot要正确启动Linux内核，就需要知道内核的一些信息，比如镜像的类型（kernel image，dtb，ramdisk image），镜像在内存的位置，镜像的链接地址，镜像文件是否有压缩等等。

Uboot为了拿到这些信息，发明了一种内核格式叫uImage，也叫Legacy uImage。uImage是由zImage加工得到的，uboot中有一个工具mkimage，该工具会给zImage加一个64字节的header，将启动内核所需的信息存储在header中。uboot启动后，从header中读取所需的信息，按照指示，进行相应的动作即可。

header格式可以参考：include/image.h。mkimage源码在tools/mkimage

FIT image的来源

有了Legacy uImage后，为什么又搞出来一个FIT uImage呢？

在Linus Torvalds 看来，内核中arch/arm/mach-xxx充斥着大量的垃圾代码。因为内核并不关心板级细节，比如板上的platform设备、resource、i2c_board_info、spi_board_info等等。大家有兴趣可以看下s3c2410的板级目录，代码量在数万行。

因此，ARM社区引入了Device Tree，使用Device Tree后，许多硬件的细节可以直接透过它传递给Linux，而不再需要在kernel中进行大量的冗余编码。

为了更好的支持单个固件的通用性，Uboot也需要对这种uImage固件进行支持。FIT uImage中加入多个dtb文件和ramdisk文件，当然如果需要的话，同样可以支持多个kernel文件。

内核中的FDT全程为flattened device tree，FIT全称叫flattened image tree。FIT利用了Device Tree Source files（DTS）的语法，生成的Image文件也和dtb文件类似（称作itb）。

这样的目的就是能够使同一个uImage能够在Uboot中选择特定的kernel/dtb和ramdisk进行启动了，达成一个uImage可以通用多个板型的目的。

制作FIT Image

制作FIT Image需要用到两个工具，mkimage和的dtc。dtc要导入到环境变量$PATH中，mkimage会调用dtc。

mkimage的输入为 image source file,它定义了启动过程中image的各种属性，扩展名为.its。its只是描述了Image的属性，实际的Image data 是在uImage中，具体路径由its指定。

如下是kernel 的its文件,后面会介绍各项内容的含义。

/*

 * Simple U-Boot uImage source file containing a single kernel

 */

/dts-v1/;

/ {

	description = "Simple image with single Linux kernel";

	#address-cells = <1>;

	images {

		kernel@1 {

			description = "Vanilla Linux kernel";

			data = /incbin/("./vmlinux.bin.gz");	# Image data 具体路径

			type = "kernel";

			arch = "ppc";

			os = "linux";

			compression = "gzip";

			load = <00000000>;

			entry = <00000000>;

			hash@1 {

				algo = "crc32";

			};

			hash@2 {

				algo = "sha1";

			};

		};

	};

	configurations {

		default = "config@1";

		config@1 {

			description = "Boot Linux kernel";

			kernel = "kernel@1";

		};

	};

};

mkimage的输出是一个后缀为.itb的二进制文件，包含了所有需要的数据（kernel，dtb，ramdisk）。itb文件制作好之后，就可以直接加载到嵌入式设备上，通过bootm命令启动。

总结下制作FIT Image的4个必要文件：

mkimage，
dtc
its（image source file (*.its)）
image data file(s)。

its语法结构

uImage Tree 的根节点结构

/ o image-tree

    |- description = "image description"

    |- timestamp = <12399321>

    |- #address-cells = <1>

    |

    o images

    | |

    | o image@1 {...}

    | o image@2 {...}

    | ...

    |

    o configurations

      |- default = "conf@1"

      |

      o conf@1 {...}

      o conf@2 {...}

      ...

description：描述uImage的文本。
timestamp：修改Image镜像的时间，由mkimage工具自动生成。在security boot中，timestamp不同也会被认为是不同的Image。
images：子镜像，如kernel Image，ramdisk Image。
configurations：配置项节点，可以将不同类型的二进制文件，根据不同的场景，组合起来，形成一个个的配置项。u-boot在boot的时候，以配置项为单位加载、执行，这样就可以根据不同的场景，方便的选择不同的配置。

'/images' node

该节点中描述了Image镜像必要的信息.

 o image@1

   |- description = "component sub-image description"

   |- data = /incbin/("path/to/data/file.bin")

   |- type = "sub-image type name"

   |- arch = "ARCH name"

   |- os = "OS name"

   |- compression = "compression name"

   |- load = <00000000>

   |- entry = <00000000>

   |

   o hash@1 {...}

   o hash@2 {...}

   ...

description：子镜像的文本描述，可以随便写。
type：子镜像的类型，比如standalone，kernel，ramdisk，firmware等等。
data：包含该节点二进制文件的路径。
compression：压缩方式，比如none，gzip，bzip2。
os：操作系统的名称，如solaris，uboot，qnx等。
arch：平台架构，如arm，mips，i386等。
entry：二进制文件入口地址，即链接地址。
load：二进制文件的加载位置。
hash@1：镜像使用的校验算法，如sha256，crc32等。

Hash nodes

o hash@1

  |- algo = "hash or checksum algorithm name"

  |- value = [hash or checksum value]

algo：算法名称，如crc32，md5，sha256等。
value：算法校验值，即algo计算后的数值。

'/configurations' node

o configurations

  |- default = "default configuration sub-node unit name"

  |

  o config@1 {...}

  o config@2 {...}

  ...

default：默认的子节点的配置
config@1: 该配置具体使用那些kernel Image，ramdisk Image等。

Configuration nodes

o config@1

  |- description = "configuration description"

  |- kernel = "kernel sub-node unit name"

  |- ramdisk = "ramdisk sub-node unit name"

  |- fdt = "fdt sub-node unit-name" [, "fdt overlay sub-node unit-name", ...]

  |- fpga = "fpga sub-node unit-name"

  |- loadables = "loadables sub-node unit-name"

description：该配置的名称。
kernel：镜像类型为kernel的单元的名称。
ramdisk：镜像类型为ramdisk的单元的名称。
fdt：镜像类型为fdt的单元的名称。
loadables：额外的可加载的二进制文件的列表，U-Boot将在给定的起始地址加载每个二进制文件。

举例

如下是一个有多种kernels, ramdisks and FDT blobs镜像多套配置的its文件。它包含了3种配置，每种配置使用了不同的kernel、ramdisk和fdt，默认配置项由“default”指定，当然也可以在运行时指定。

/*

 * U-Boot uImage source file with multiple kernels, ramdisks and FDT blobs

 */

/dts-v1/;

/ {

	description = "Various kernels, ramdisks and FDT blobs";

	#address-cells = <1>;

	images {

		kernel@1 {

			description = "vanilla-2.6.23";

			data = /incbin/("./vmlinux.bin.gz");

			type = "kernel";

			arch = "ppc";

			os = "linux";

			compression = "gzip";

			load = <00000000>;

			entry = <00000000>;

			hash@1 {

				algo = "md5";

			};

			hash@2 {

				algo = "sha1";

			};

		};

		kernel@2 {

			description = "2.6.23-denx";

			data = /incbin/("./2.6.23-denx.bin.gz");

			type = "kernel";

			arch = "ppc";

			os = "linux";

			compression = "gzip";

			load = <00000000>;

			entry = <00000000>;

			hash@1 {

				algo = "sha1";

			};

		};

		kernel@3 {

			description = "2.4.25-denx";

			data = /incbin/("./2.4.25-denx.bin.gz");

			type = "kernel";

			arch = "ppc";

			os = "linux";

			compression = "gzip";

			load = <00000000>;

			entry = <00000000>;

			hash@1 {

				algo = "md5";

			};

		};

		ramdisk@1 {

			description = "eldk-4.2-ramdisk";

			data = /incbin/("./eldk-4.2-ramdisk");

			type = "ramdisk";

			arch = "ppc";

			os = "linux";

			compression = "gzip";

			load = <00000000>;

			entry = <00000000>;

			hash@1 {

				algo = "sha1";

			};

		};

		ramdisk@2 {

			description = "eldk-3.1-ramdisk";

			data = /incbin/("./eldk-3.1-ramdisk");

			type = "ramdisk";

			arch = "ppc";

			os = "linux";

			compression = "gzip";

			load = <00000000>;

			entry = <00000000>;

			hash@1 {

				algo = "crc32";

			};

		};

		fdt@1 {

			description = "tqm5200-fdt";

			data = /incbin/("./tqm5200.dtb");

			type = "flat_dt";

			arch = "ppc";

			compression = "none";

			hash@1 {

				algo = "crc32";

			};

		};

		fdt@2 {

			description = "tqm5200s-fdt";

			data = /incbin/("./tqm5200s.dtb");

			type = "flat_dt";

			arch = "ppc";

			compression = "none";

			load = <00700000>;

			hash@1 {

				algo = "sha1";

			};

		};

	};

	configurations {

		default = "config@1";

		config@1 {

			description = "tqm5200 vanilla-2.6.23 configuration";

			kernel = "kernel@1";

			ramdisk = "ramdisk@1";

			fdt = "fdt@1";

		};

		config@2 {

			description = "tqm5200s denx-2.6.23 configuration";

			kernel = "kernel@2";

			ramdisk = "ramdisk@1";

			fdt = "fdt@2";

		};

		config@3 {

			description = "tqm5200s denx-2.4.25 configuration";

			kernel = "kernel@3";

			ramdisk = "ramdisk@2";

		};

	};

};

FIT Image的编译和启动

在服务器上，可以使用mkimage工具制作 FIT Image。

如下是kernel_fdt.its，下面将使用该文件制作itb。

/*

 * Simple U-Boot uImage source file containing a single kernel and FDT blob

 */

/dts-v1/;

/ {

	description = "Simple image with single Linux kernel and FDT blob";

	#address-cells = <1>;

	images {

		kernel@1 {

			description = "Vanilla Linux kernel";

			data = /incbin/("./vmlinux.bin.gz");

			type = "kernel";

			arch = "ppc";

			os = "linux";

			compression = "gzip";

			load = <00000000>;

			entry = <00000000>;

			hash@1 {

				algo = "crc32";

			};

			hash@2 {

				algo = "sha1";

			};

		};

		fdt@1 {

			description = "Flattened Device Tree blob";

			data = /incbin/("./target.dtb");

			type = "flat_dt";

			arch = "ppc";

			compression = "none";

			hash@1 {

				algo = "crc32";

			};

			hash@2 {

				algo = "sha1";

			};

		};

	};

	configurations {

		default = "conf@1";

		conf@1 {

			description = "Boot Linux kernel with FDT blob";

			kernel = "kernel@1";

			fdt = "fdt@1";

		};

	};

};

$ mkimage -f kernel_fdt.its kernel_fdt.itb

DTC: dts->dtb  on file "kernel_fdt.its"

$

$ mkimage -l kernel_fdt.itb

FIT description: Simple image with single Linux kernel and FDT blob

Created:	 Tue Mar 11 16:29:22 2008

 Image 0 (kernel@1)

  Description:	Vanilla Linux kernel

  Type:		Kernel Image

  Compression:	gzip compressed

  Data Size:	1092037 Bytes = 1066.44 kB = 1.04 MB

  Architecture: PowerPC

  OS:		Linux

  Load Address: 0x00000000

  Entry Point:	0x00000000

  Hash algo:	crc32

  Hash value:	2c0cc807

  Hash algo:	sha1

  Hash value:	264b59935470e42c418744f83935d44cdf59a3bb

 Image 1 (fdt@1)

  Description:	Flattened Device Tree blob

  Type:		Flat Device Tree

  Compression:	uncompressed

  Data Size:	16384 Bytes = 16.00 kB = 0.02 MB

  Architecture: PowerPC

  Hash algo:	crc32

  Hash value:	0d655d71

  Hash algo:	sha1

  Hash value:	25ab4e15cd4b8a5144610394560d9c318ce52def

 Default Configuration: 'conf@1'

 Configuration 0 (conf@1)

  Description:	Boot Linux kernel with FDT blob

  Kernel:	kernel@1

  FDT:		fdt@1

在当前目录下就可以找到kernel_fdt.itb，itb文件就可以加载到设备上启动。

> tftp 900000 /path/to/tftp/location/kernel_fdt.itb

Using FEC device

TFTP from server 192.168.1.1; our IP address is 192.168.160.5

Filename '/path/to/tftp/location/kernel_fdt.itb'.

Load address: 0x900000

Loading: #################################################################

	 ###########

done

Bytes transferred = 1109776 (10ef10 hex)

=> iminfo

## Checking Image at 00900000 ...

   FIT image found

   FIT description: Simple image with single Linux kernel and FDT blob

   Created:	    2008-03-11	15:29:22 UTC

    Image 0 (kernel@1)

     Description:  Vanilla Linux kernel

     Type:	   Kernel Image

     Compression:  gzip compressed

     Data Start:   0x009000ec

     Data Size:    1092037 Bytes =  1 MB

     Architecture: PowerPC

     OS:	   Linux

     Load Address: 0x00000000

     Entry Point:  0x00000000

     Hash algo:    crc32

     Hash value:   2c0cc807

     Hash algo:    sha1

     Hash value:   264b59935470e42c418744f83935d44cdf59a3bb

    Image 1 (fdt@1)

     Description:  Flattened Device Tree blob

     Type:	   Flat Device Tree

     Compression:  uncompressed

     Data Start:   0x00a0abdc

     Data Size:    16384 Bytes = 16 kB

     Architecture: PowerPC

     Hash algo:    crc32

     Hash value:   0d655d71

     Hash algo:    sha1

     Hash value:   25ab4e15cd4b8a5144610394560d9c318ce52def

    Default Configuration: 'conf@1'

    Configuration 0 (conf@1)

     Description:  Boot Linux kernel with FDT blob

     Kernel:	   kernel@1

     FDT:	   fdt@1

=> bootm

## Booting kernel from FIT Image at 00900000 ...

   Using 'conf@1' configuration

   Trying 'kernel@1' kernel subimage

     Description:  Vanilla Linux kernel

     Type:	   Kernel Image

     Compression:  gzip compressed

     Data Start:   0x009000ec

     Data Size:    1092037 Bytes =  1 MB

     Architecture: PowerPC

     OS:	   Linux

     Load Address: 0x00000000

     Entry Point:  0x00000000

     Hash algo:    crc32

     Hash value:   2c0cc807

     Hash algo:    sha1

     Hash value:   264b59935470e42c418744f83935d44cdf59a3bb

   Verifying Hash Integrity ... crc32+ sha1+ OK

   Uncompressing Kernel Image ... OK

## Flattened Device Tree from FIT Image at 00900000

   Using 'conf@1' configuration

   Trying 'fdt@1' FDT blob subimage

     Description:  Flattened Device Tree blob

     Type:	   Flat Device Tree

     Compression:  uncompressed

     Data Start:   0x00a0abdc

     Data Size:    16384 Bytes = 16 kB

     Architecture: PowerPC

     Hash algo:    crc32

     Hash value:   0d655d71

     Hash algo:    sha1

     Hash value:   25ab4e15cd4b8a5144610394560d9c318ce52def

   Verifying Hash Integrity ... crc32+ sha1+ OK

   Booting using the fdt blob at 0xa0abdc

   Loading Device Tree to 007fc000, end 007fffff ... OK

[    0.000000] Using lite5200 machine description

[    0.000000] Linux version 2.6.24-rc6-gaebecdfc (m8@hekate) (gcc version 4.0.0 (DENX ELDK 4.1 4.0.0)) #1 Sat Jan 12 15:38:48 CET 2008

bootm启动不同的配置

对于FIT Image，bootm有多种启动方式。

1. bootm <addr1>

2. bootm [<addr1>]:<subimg1>

3. bootm [<addr1>]#<conf>[#<extra-conf[#...]]

4. bootm [<addr1>]:<subimg1> [<addr2>]:<subimg2>

5. bootm [<addr1>]:<subimg1> [<addr2>]:<subimg2> [<addr3>]:<subimg3>

6. bootm [<addr1>]:<subimg1> [<addr2>]:<subimg2> <addr3>

7. bootm [<addr1>]:<subimg1> -			  [<addr3>]:<subimg3>

8. bootm [<addr1>]:<subimg1> -			  <addr3>

对于有多种镜像，多套配置的itb，都是以configurations 中default 指定的配置启动。

bootm 200000

也可以手动指定使用那套配置

bootm 200000#cfg@1

也可以手动搭配不同的镜像节点启动

bootm 200000:kernel@1 800000:ramdisk@2

bootm 200000:kernel@1 800000:ramdisk@1 800000:fdt@1

bootm 200000:kernel@2 200000:ramdisk@2 600000

bootm 200000:kernel@2 - 200000:fdt@1

如果bootm的时候不指定地址，则会使用CONFIG_SYS_LOAD_ADDR配置的地址。

总结

本文对FIT Image作了简单的介绍，更详细的内容可以参考官方文档。后面有时间会动手制作一个FIT Image在板子上跑下。

FIT Image可以兼容于多种板子，而无需重新进行编译烧写。对于有多个kernel节点或者fdt节点等等，兼容性更强。同时，可以有多种configurations，来对kernel、fdt、ramdisk来进行组合。

本文参考

https://www.elecfans.com/emb/20190402899374.html

http://www.wowotech.net/u-boot/fit_image_overview.html

howto.txt

command_syntax_extensions.txt

source_file_format.txt