Как подписать конфигурации в образе FIT с помощью внешнего инструмента ⇐ Linux

[Anonymous]

В процессе сборки с использованием Buildroot создается весь образ FIT. Конфигурации в образах FIT должны быть подписаны, а затем проверены с использованием открытых ключей в U-Boot во время загрузки.
Подписать конфигурации с использованием закрытого ключа довольно легко, узел подписи может быть добавлено в ИТС:

Код: Выделить всё

configurations {
default = "kernel_dtb";

kernel_dtb {
description = "Linux kernel and FDT blob";
kernel = "kernel";
fdt = "base_fdt";
signature {
algo = "sha256,ecdsa256";
key-name-hint = "sign-key";
sign-images = "kernel", "fdt";
};
};
};

Затем подпись генерируется на основе файла ключа подписи.
Но проблема заключается в том, как подписать раздел конфигурации в случае, если , когда у нас нет закрытых ключей и нам нужно использовать внешний инструмент, обеспечивающий функцию подписи?
Я имею в виду - мы можем передать двоичный файл, а затем получить подпись для этих данных.< /p>
Как действовать?
Я рассматриваю два подхода, но не уверен, осуществимы ли они:

• Используя дамп-образ, можно получить двоичный файл из образа .itb. Затем мы сможем сгенерировать для него подпись.
  Вопрос: Есть ли способ поместить эту подпись обратно в изображение .itb?
• В процессе сборки перед созданием .itb можно сгенерировать подписи для каждого объекта, который будет передан в FIT, но:< /p>
  Вопрос: Есть ли способ указать подпись, которая должна быть прикреплена к каждой конфигурации, вместо того, чтобы генерировать ее с использованием закрытых ключей?

Общий вопрос: А может быть, это нужно сделать совсем по-другому? Если да, то как?
Спасибо за вашу помощь.

Подробнее здесь: https://stackoverflow.com/questions/791 ... ernal-tool