固件安全与加密：Secure Boot与Flash加密烧录的防逆向破解实践

在物联网设备与嵌入式系统领域，固件安全已成为决定产品生死存亡的核心要素。从智能门锁被批量破解到医疗设备固件泄露，攻击者通过物理读取Flash、篡改启动流程等手段，可轻易获取设备控制权。本文将深入解析Secure Boot与Flash加密烧录的协同防护机制，揭示如何构建从启动到运行的完整信任链。

一、Secure Boot：构建硬件级信任根

Secure Boot的核心在于建立一条从芯片掩膜ROM到应用程序的逐级验证链条。以ESP32-S3为例，其启动流程包含四个关键阶段：

BootROM阶段：固化在芯片内部的掩膜ROM首先执行，读取eFuse中预烧录的公钥哈希，验证第一阶段引导程序（BL0）的RSA-2048签名。此阶段硬件不可修改，构成整个信任链的根基。

BL0阶段：通过验证后，BL0初始化基础外设并加载第二阶段引导程序（BL1）。此时若启用Flash加密，BL0会读取eFuse中的加密密钥，配置硬件AES-XTS引擎为后续解密做准备。

BL1阶段：BL1进一步初始化系统时钟、内存等资源，加载并验证主固件镜像。关键代码示例（基于mbedTLS库）：

c

mbedtls_pk_context pk;

mbedtls_pk_parse_public_key(&pk, pub_key, PUB_KEY_LEN);

if (mbedtls_pk_verify(&pk, MBEDTLS_MD_SHA256, hash, 32, signature, SIG_LEN) != 0) {

   secure_boot_abort(); // 签名验证失败，终止启动

}

应用阶段：主固件通过验证后，BL1将控制权移交，系统进入正常运行状态。此时所有从Flash读取的数据均由SPI控制器自动解密，对上层软件完全透明。

二、Flash加密：运行时透明防护

ESP32系列芯片采用独特的"运行时加密写入"机制，其加密流程分为三个阶段：

明文烧录阶段：开发阶段通过esptool.py将未加密固件烧录至Flash。此时数据以明文形式存在，但仅存在于物理介质中，不进入RAM。

首次启动加密：芯片复位后，ROM代码检测eFuse中的FLASH_CRYPT_CNT字段。若为初始值0，则触发硬件加密流程：

生成256位AES密钥（开发模式由工具生成，生产模式由RNG模块生成）

将密钥写入eFuse并设置读写保护位

以16KB为单位并行加密Flash内容

将FLASH_CRYPT_CNT置为1，标记加密状态

运行时透明解密：后续启动时，SPI控制器自动检测FLASH_CRYPT_CNT非零值，对所有读取操作实时解密。JTAG调试接口在此状态下读取Flash将返回乱码，有效防止物理攻击。

三、防逆向破解协同策略

密钥管理：生产模式必须采用芯片内置RNG生成密钥，禁止在构建服务器留存明文密钥。通过eFuse的WRITE_PROT位实现密钥的物理级保护。

防回滚机制：在固件镜像中嵌入单调计数器值，设备启动时验证当前计数器是否大于等于镜像中的值，防止降级攻击。

调试接口锁定：在BL1阶段永久关闭SWD/JTAG接口：

c

// STM32系列示例

LL_FLASH_EnableProgramming();

LL_FLASH_ProgramOptionByteData(0x1FFF7A10, 0x00); // 写入Option Byte

LL_FLASH_LaunchOptionByteLoading(); // 触发加载

运行时完整性校验：主固件定期计算关键代码段的SHA-256哈希值，与预存值比对。发现篡改立即触发安全熔断机制。

四、实战案例：ESP32-S3量产加密

某智能电表厂商采用以下流程实现安全量产：

生成设备唯一密钥：espsecure.py generate_flash_encryption_key key.bin

烧录密钥至eFuse：espefuse.py --port /dev/ttyUSB0 burn_key flash_encryption key.bin

配置安全选项：

ini

[FLASH ENCRYPTION]

flash_encryption_en = True

reserved_burn_times = 1

flash_encryption_use_customer_key_enable = True

烧录加密固件：idf.py flash monitor

该方案实现后，物理读取Flash仅能获取加密数据，且设备无法降级至未加密版本，成功通过IEC 62443-4-2安全认证。

在固件安全领域，没有绝对的防护，只有不断升级的攻防博弈。通过Secure Boot与Flash加密的深度协同，结合严格的密钥管理和运行时防护，可构建多层次的防御体系，显著提升攻击者的逆向成本。随着TPM 2.0和PUF（物理不可克隆函数）等新技术的普及，未来的固件安全防护将迈向更高维度。