MCUBoot: how to use an individual signature key (instead of default MCUBoot key)?

RE: MCUBoot: how to use an individual signature key (instead of default MCUBoot key)?

dejans — Fri, 15 Sep 2023 17:10:51 GMT

Hi,

It is great to hear that you found the solution which is the most convenient for you.

Best regards,
Dejan

RE: MCUBoot: how to use an individual signature key (instead of default MCUBoot key)?

Marko W — Fri, 15 Sep 2023 13:16:21 GMT

Hallo,
ich arbeite mit Sven am selben Projekt und habe die Dokumentation „ Hinzufügen einer benutzerdefinierten Signaturschlüsseldatei “ getestet.

Ich habe jetzt im Projekt einen Ordner „child_image“ erstellt (parallel zu „src“) und darin eine Datei „mcuboot.conf“ erstellt mit (CONFIG_BOOT_SIGNATURE_KEY_FILE aus prj.conf oder Overlay entfernt):

CONFIG_BOOT_SIGNATURE_KEY_FILE="<absolute Path to Project>/bitsz_ble_basic.pem"

Das Kompilieren funktionierte ohne Vorwarnung zum Signieren von Schlüsseln. Ein Update klappt auch damit. Das Problem ist nun, dass ich einen vollständigen Pfad angeben muss, was bei der Arbeit im Team mit SVN/GIT nicht praktikabel ist.

Allerdings, wenn ich benutze

CONFIG_BOOT_SIGNATURE_KEY_FILE="bitsz_ble_basic.pem"

es kommt zum:

MCUBoot bootloader key file: D:/Nordic/v2.4.2/bootloader/mcuboot/bitsz_ble_basic.pem Using default MCUBoot key, it should not be used for production.

Es wird der Standardpfad von Zephyr/MCUBoot kombiniert mit Ihrer eigenen Datei verwendet, die Datei sollte sich jedoch im Projektordner befinden (aufgrund der Projektverwaltung über SVN/GIT).

In der Zwischenzeit habe ich den Hinweis im Code von https://github.com/hellesvik-nordic/samples_for_nrf_connect_sdk/blob/main/bootloader_samples/keys_and_signatures/mcuboot_smp_custom_key/CMakeLists.txt gefunden:

set(mcuboot_CONFIG_BOOT_SIGNATURE_KEY_FILE \"${CMAKE_CURRENT_SOURCE_DIR}/bitsz_ble_basic.pem\")

Das funktioniert super und vor allem ohne einen absoluten Pfad!

RE: MCUBoot: how to use an individual signature key (instead of default MCUBoot key)?

dejans — Thu, 14 Sep 2023 11:46:17 GMT

Hi,

Documentation provides information on how to add a custom signature key file. As mentioned in the similar section for immutable bootloader there are 2 options available when specifying path to the pem file - relative and absolute path to the key. Probably the simplest way would be to use absolute path. You should be able to properly reference the key by putting the pem key file inside child_image\mcuboot folder.and referencing it using absolute path in CONFIG_BOOT_SIGNATURE_KEY_FILE config option which should be put in mcuboot's prj.conf file.

You can get more information from the following discussions - signing firmware with custom key, MCUboot enabled apps and flash methods and MCUboot signing images.

Best regards,
Dejan

RE: MCUBoot: how to use an individual signature key (instead of default MCUBoot key)?

Mike Austin (LPI) — Wed, 13 Sep 2023 21:42:47 GMT

I've got this working on a similar set up to yours (I'm still on v2.2.0 of NCS though).

I put this in my mcuboot.conf file:

CONFIG_BOOT_SIGNATURE_KEY_FILE="C:/Nordic/PUBLIC_PRIVATE_KEYS/"my_pem_file.pem"

C:/Nordic/PUBLIC_PRIVATE_KEYS is obviously where I store the key files and my_pem_file.pem is the actual file

Are you making the changes in the mcuboot.conf file, or the proj.conf file?

Cheers,

Mike