導入編

セキュアブートの実装は uboot-imx のガイドに準拠しています。 詳しい仕様は以下を参照してください。 取得したソースツリー内にドキュメントがあります。

製品マニュアルを参考に作業をしてください。

mkswu は SWUpdate に対応したアップデートファイルを生成するツールです。 開発環境である ATDE にインストールされています。

あらかじめ、mkswu を用いて生成した initial_setup.swu を Armadillo にインストールする必要があります。 詳しくは製品マニュアルをご参照ください。

	セキュアブート有効化に対応する mkswu は 4.0-1 以上になります。

	SWU イメージの暗号化 SWU イメージはデフォルト設定では暗号化されません。 通信路は TLS で守られても、ファイルで保管されているときには平文なので SWU イメージ内にある機密情報が漏洩する可能性があります。 SWU イメージに漏洩すると問題のある情報資産を含めるときには必ず暗号化するべきです。 initial_setup.swu を作成するときに SWU イメージを暗号化する設定を行うことができます。 詳しくは製品マニュアルをご参照ください。 Armadillo-900：「initial_setup.swu 初回生成時の各種設定」 Armadillo-IoT ゲートウェイ A9E：「initial_setup.swu 初回生成時の各種設定」

バージョンの確認方法は以下のとおりです。

[ATDE ~]$ dpkg -l mkswu
ii  mkswu        7.6.2-1

以下のURLから「ブートローダー ソース（u-boot等）」を取得してください。

取得したアーカイブ内にセキュアブートの有効化およびストレージ暗号化に必要なスクリプトが含まれています。

	本書作成時点で利用したパッケージは以下のとおりです。 imx-boot-2023.04-at5.tar.gz

ブートローダーのソースコードのアーカイブを展開します。 以降、このアーカイブをホームディレクトリに展開した想定で説明します。

[ATDE ~]$ tar xaf imx-boot-[VERSION].tar.gz 
[ATDE ~]$ cd imx-boot-[VERSION] 

imx-boot-[VERSION] に存在する secureboot.sh というスクリプトを用いてセキュアブートの有効化及びストレージの暗号化を行います。

以降の作業で使用する secureboot.sh のオプションは次のとおりです。

以下のように、imx-boot-[VERSION] 上で secureboot.sh の setup オプションを実行してください。

[ATDE ~/imx-boot-[VERSION]]$ ./secureboot.sh setup
imx-code-signing-tool package is needed to setup secureboot.
Install imx-code-signing-tool? [Y/n] 
...省略
OK: Linking /home/atmark/secureboot_a900/build-rootfs to /home/atmark/secureboot_a900/build-rootfs-[VERSION]
OK: Linking /home/atmark/secureboot_a900/imx-boot to /home/atmark/imx-boot-[VERSION]
Setup /home/atmark/secureboot_a900 successfully. Run './secureboot.sh build' next. 

imx-boot-[VERSION] ディレクトリと同じ階層に secureboot_a900 ディレクトリが作成されます。

デフォルトでは、secureboot_a900 ディレクトリ内は以下の構成になっています。

secureboot_a900
├── build-rootfs -> /home/atmark/secureboot_a900/build-rootfs-[VERSION] 
├── build-rootfs-[VERSION] 
├── cst 
├── imx-boot -> /home/atmark/imx-boot-[VERSION] 
├── out 
├── secureboot.conf 
├── secureboot.sh -> /home/atmark/imx-boot-[VERSION]/secureboot.sh 
└── swu 
└── tmp 

CST(Code Signing Tool)はNXPからソースコードをダウンロードしたものを使用することも可能です。 https://www.nxp.com/search?keyword=IMX_CST_TOOL_NEW 既にダウンロードしたCSTを使用している場合は、secureboot_a900/secureboot.confを以下のように修正してください。 以下では、ダウンロードしてきた CST（ cst-[VERSION] ）をホームディレクトリに配置していることを想定しています。 [ATDE ~]$ tar xaf IMX_CST_TOOL_NEW.tgz [ATDE ~]$ ls cst-[VERSION] :(省略) [ATDE ~]$ cat ../secureboot_a900/secureboot.conf :(省略) # CST directory where signing keys are kept. Keep preciously! #CST="$SCRIPT_DIR/cst" CST="/home/atmark/cst-[VERSION]" :(省略) 図3.4 ダウンロードした IMX_CST_TOOL_NEW を使用する ダウンロードしたCSTのアーカイブを展開します。 展開したCSTディレクトリを絶対パスでCST変数に指定してください。

以上で環境構築は完了です。

secureboot.conf はセキュアブートイメージ生成スクリプト secureboot.sh の設定ファイルです。以下はコンフィグの一部です。

LINUX_DTB_OVERLAYS_PREAPPLY=(
        armadillo_iotg_a9e.dtbo
        armadillo_iotg_a9e-sim7672.dtbo
)

secureboot.sh の build を実行します。

この時に使用できるオプション引数は以下の通りです。

例えば、Armadillo-IoT ゲートウェイ A9E の場合、at-dtweb（Device Tree をカスタマイズするツール）を利用して dtbo ファイルを作成できます。 その dtbo ファイルを使用する場合は以下のように指定してください。

ここでは、作成した dtbo ファイル（ armadillo-iotg-a9e-at-dtweb.dtbo ）をホームディレクトリに配置したとします。

[ATDE ~/imx-boot-[VERSION]]$ ./secureboot.sh build \
    --dtbo /home/atmark/armadillo_iotg_a9e-at-dtweb.dtbo

	at-dtweb についての説明は製品マニュアルをご参照ください。 Armadillo-IoT ゲートウェイ A9E：「Device Treeをカスタマイズする」

もしくは、secureboot_a900/secureboot.conf でも使用する dtbo ファイルを指定できます。 例えば、以下のように設定します。

[ATDE ~/imx-boot-[VERSION]]$ code ~/secureboot_a900/secureboot.conf

::(省略)
LINUX_DTB_OVERLAYS_PREAPPLY=(
    armadillo_iotg_a9e.dtbo
    armadillo_iotg_a9e-sim7672.dtbo
)
::(省略)

secureboot.conf で dtbo ファイルを指定した場合は、imx-boot-[VERSION] ディレクトリで以下のように build を実行してください。

[ATDE ~/imx-boot-[VERSION]]$ ./secureboot.sh build
Logging build outputs to /home/atmark/secureboot_a900/tmp/build.log

::(省略)

Welcome to NXP firmware-imx-8.11.bin

You need to read and accept the EULA before you can continue. 

::(省略)

Do you accept the EULA you just read? (y/N) y 

::(省略)

Created /home/atmark/secureboot_a900/out/imx-boot_armadillo-900.signed

Signing linux image...
Created /home/atmark/secureboot_a900/out/Image.signed

Building initrd for mmc (first time is slow)
Signing linux image (mmc)...
Created /home/atmark/secureboot_a900/out/Image.signed-mmc

Building 1_write_srk_install_kernel.swu...
Enter pass phrase for /home/atmark/mkswu/swupdate.key: 
Building 2_secureboot_close.swu...
Enter pass phrase for /home/atmark/mkswu/swupdate.key:
Building 3_disk_encryption.swu...
Enter pass phrase for /home/atmark/mkswu/swupdate.key:


Please install SWU images in the following order:
 - /home/atmark/secureboot_a900/swu/1_write_srk_install_kernel.swu 
 - /home/atmark/secureboot_a900/swu/2_secureboot_close.swu
 - /home/atmark/secureboot_a900/swu/3_disk_encryption.swu

ビルド後に以下の SWU イメージが作られていることをご確認ください。

[ATDE ~/imx-boot-[VERSION]]$ ls ../secureboot_a900/swu/
1_write_srk_install_kernel.swu  2_secureboot_close.swu  3_disk_encryption.swu

これらの SWU イメージを Armadillo にインストールすることでセキュアブートの有効化および Armadillo Base OS が保存されている rootfs パーティションの暗号化を実現できます。

	secureboot.sh build を実行して生成された鍵（cst/keys）は今後も利用するものです。 壊れにくい、セキュアなストレージにコピーしておくことをお勧めします。

参考までに上記の３つの SWU イメージが生成されるまでの流れを以降に示します。

図3.8 1_write_srk_install_kernel.swu を生成するまでの流れ

図3.9 2_secureboot_close.swu を生成するまでの流れ

図3.10 3_disk_encryption.swu を生成するまでの流れ

secureboot.sh build によって作成された SWU イメージは以下になります。

生成された SWU イメージを以下の順に Armadillo にインストールしてください。

SWU イメージのインストール方法については製品マニュアルをご参照ください。

[armadillo ~]# device-info -f secureboot
secureboot configured (not enforced) 

U-Boot SPL [VERSION]
Normal Boot
: (省略)

Authenticate OS container at 0x80400000 
Booting from mmc ...
Can't set block device
## Loading kernel from FIT Image at 98000000 ...
   Using 'armadillo' configuration
   Trying 'kernel' kernel subimage
     Description:  linux kernel
     Created:      2025-06-10   5:25:20 UTC
     Type:         Kernel Image
     Compression:  zstd compressed
     Data Start:   0x980000cc
     Data Size:    10421516 Bytes = 9.9 MiB
     Architecture: AArch64
     OS:           Linux
     Load Address: 0x85800000
     Entry Point:  0x85800000
   Verifying Hash Integrity ... OK
:(省略)

Starting kernel ... 

:(省略)

[armadillo ~]# device-info -f secureboot
secureboot configured

3.3.2.3. 3_disk_encryption.swu のインストール

3_disk_encryption.swu を Armadillo にインストールすることで、Armadillo Base OS が保存されている rootfs パーティションが暗号化されます。

	他のパーティション（log やコンテナやアプリケーションが保存されている appfs）は SWU によって暗号化できませんので、そちらも暗号化したい場合は 4章量産編 の手順が完了した後にインストールして有効化してください。

以下、3_disk_encryption.swu が Armadillo に正常にインストールされた場合の確認方法を以下に示します。

:(省略)

Starting kernel ...

:(省略)

Welcome to Alpine Linux 3.21
Kernel 5.10.237-0-at on an aarch64 (/dev/ttyLP0)

armadillo login: root 
Password:
Welcome to Alpine!

The Alpine Wiki contains a large amount of how-to guides and general
information about administrating Alpine systems.
See <http://wiki.alpinelinux.org/>.


Please note this system is READ-ONLY with a read-write overlayfs,
after updating password make sure to save new password with
# persist_file /etc/shadow

You can change this message by editing /etc/motd.
Last update on Mon Feb 17 11:26:14 JST 2025, updated:
  extra_os.secureboot_init: 2 -> 3
  boot_linux: 1 -> 3
armadillo:~# lsblk 
NAME          MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINTS
mmcblk0       179:0    0   3.6G  0 disk
├─mmcblk0p1   179:1    0   301M  0 part
│ └─rootfs_0  252:0    0   300M  0 crypt /live/rootfs 

:(省略)

図3.14 3_disk_encryption.swu をインストールした後の確認方法

	root にログインします。
	lsblk コマンドを実行します。
	/live/rootfs に crypt の表記があり、rootfs が暗号化されていることを確認できます。