Nástroj pro bezpečné zřizování NXP UG10241 MCUXpresso

Informace o dokumentu

Rev. 1 – 30. června 2025

Informace	Obsah
Klíčová slova	Nástroj pro bezpečné zřizování MCUXpresso
Abstraktní	MCUXpresso Secure Provisioning Tool (SEC) je nástroj s grafickým uživatelským rozhraním, který zjednodušuje generování a zřizování bootovatelných spustitelných souborů na platformách NXP MCU. Je postaven na osvědčeném sada nástrojů pro zabezpečení poskytovaná společností NXP a využívající pokročilétagšíři programovacích rozhraní poskytovaných knihovnou BootROM.

Nadview

Tato stručná úvodní příručka poskytuje podrobný návodview které vám pomohou s instalací, konfigurací a zahájením používání
efektivně používat nástroj MCUXpresso Secure Provisioning Tool. Ať už jste v oblasti zabezpečeného spouštění a šifrování nováčkem, nebo chcete integrovat zabezpečené zřizování do svého produkčního procesu, tato příručka vám pomůže rychle začít.
Nástroj MCUXpresso Secure Provisioning Tool (nástroj SEC) je výkonný nástroj vyvinutý společností NXP pro zefektivnění bezpečného zřizování vestavěných zařízení. Tento nástroj, navržený pro podporu široké škály mikrokontrolérů NXP, umožňuje vývojářům konfigurovat bezpečnostní funkce, generovat kryptografické klíče a bezpečně programovat zařízení s minimálním nastavením.

Hardwarové požadavky

• Doporučuje se začít s referenční konstrukční deskou (FRDM/EVK) od společnosti NXP.
• Podrobné požadavky pro spuštění nástroje MCUXpresso Secure Provisioning Tool jsou uvedeny v poznámkách k verzi MCUXpresso Secure Provisioning Tool.

Požadavky na software

Nástroj MCUXpresso Secure Provisioning Tool lze spustit v systémech Windows, Linux nebo MacOS. Podrobné požadavky jsou uvedeny v poznámkách k verzi nástroje MCUXpresso Secure Provisioning Tool.

Instalace a konfigurace nástroje SEC

Instalační programy nástroje MCUXpresso Secure Provisioning Tool jsou k dispozici pro Windows, Linux nebo MacOS a lze je stáhnout z webu NXP Secure Provisioning. webV systémech Windows a MacOS fungují instalační programy jako průvodce, který vás krok za krokem provede procesem instalace. Balíček Debian je k dispozici pro Linux. Podrobnosti o instalaci naleznete v uživatelské příručce k nástroji MCUXpresso Secure Provisioning Tool.

Pomocí nástroje

1. Předpoklady
   Jako vstup pro nástroj použijte binární soubor aplikace (S19, HEX, ELF/AXF nebo BIN) file formát), který funguje na procesoru. Na základě bootovacího zařízení sestavte aplikaci buď pro RAM, nebo pro Flash. Doporučuje se začít s libovolným MCUXpresso SDK, např.ample, který je již předkonfigurován pro správnou adresu. Před použitím nástroje MCUXpresso Secure Provisioning Tool spusťte aplikaci v debuggeru a zkontrolujte, zda funguje podle očekávání.
   Pro desky FRDM a EVK existujíampaplikace poskytované v binární podobě, která obvykle bliká integrovanou LED diodou. Lze jej použít k vyhodnocení funkčnosti nástroje, i když ještě nemáte žádnou konkrétní aplikaci.
   Chcete-li načíst aplikaci do desky, přepněte desku do režimu In-System-Programming (ISP). Podrobnosti o tom, jak to provést, naleznete v dokumentaci k desce nebo v referenční příručce k procesoru.
2. Nový pracovní prostor
   Při prvním spuštění nástroje MCUXpresso Secure Provisioning se zobrazí výzva k vytvoření nového pracovního prostoru, tedy složky se všemi filepotřebné pro váš projekt. Nový pracovní prostor můžete také vytvořit později pomocí příkazu: hlavní menu > File > Nový pracovní prostor.

Chcete-li vytvořit pracovní prostor, vyplňte následující parametry:

1. Vyberte cestu k pracovnímu prostoru na disku. Doporučuje se vytvořit pro každý projekt novou složku.
2. Připojte zařízení k počítači a vyberte použité připojení, například UART COM port nebo USB. Použití USB připojení umožňuje nástroji automaticky vybrat řadu procesoru.
3. Vyberte procesor buď přímo ze stromové struktury, nebo použijte vyhledávací lištu.
4.  Vyberte cestu k vaší aplikaci jako zdrojovému spustitelnému obrazu.
   Poznámka: Pro desku NXP obsahuje nástroj předkompilovaný SDK např.ampsoubory, které lze vybrat z rozbalovacího seznamu.
5. Chcete-li ověřit proces sestavení a zápisu s vaší aplikací, použijte výchozí profile že kód aplikace je nepodepsaný a prostý (nešifrovaný). Později, až budete mít aplikaci v nástroji otestovanou, můžete vybrat možnost Secure Pro.filea nástroj vygeneruje klíče a předem vygeneruje konfiguraci pro zabezpečené spouštění.
6. Kliknutím na tlačítko Vytvořit vytvořte pracovní prostor.

Grafické uživatelské rozhraní nástroje
Po vytvoření pracovního prostoru se zobrazí hlavní okno nástroje. Hlavní okno obsahuje:

1. hlavní menu
2. panel nástrojů
3. karty „Vytvořit obraz“, „Zápis obrazu“ a „Správa PKI“
4. log view
5. stavový řádek

Jako první krok zkontrolujte, zda konfigurace na panelu nástrojů odpovídá vašim požadavkům. Najdete tam:

1. vybraný procesor (již vybraný v průvodci)
2. připojení k procesoru (již vybrané v průvodci)
3. režim spouštění (již vybraný v průvodci)
4. bootovací paměť
5. životní cyklus (doporučuje se začít s výchozí hodnotou)
6. zřizování důvěryhodnosti (doporučuje se začít s výchozí hodnotou)
7. ladicí sonda (u většiny procesorů ji nebudete potřebovat; může být použita k nastavení stínových registrů používaných místo pojistek) 8 tlačítko pro rychlou opravu

Zkontrolujte připojení
Použijte buď příkaz hlavní nabídky > Cíl > Připojení, nebo klikněte na tlačítko připojení v panelu nástrojů a v dialogovém okně konfigurace připojení vyberte tlačítko Test připojení. Tím se procesor v režimu ISP pingne a zkontroluje se, zda lze připojení navázat. Pokud je připojení úspěšně navázáno, dialogové okno zobrazí detekovaný stav připojeného procesoru.
Pokud připojení nefunguje, zkontrolujte, zda je deska nakonfigurována na režim ISP/SDP, a resetujte ji.

Vytvoření bootovacího obrazu
Pokud vytvoříte pracovní prostor pomocí průvodce, na stránce sestavení by se neměla zobrazit žádná chyba. Chyby se zobrazují červeně a popis problému se zobrazuje v popisku, takže pokud se vyskytnou nějaké chyby, opravte je. Poznámka: Chybu na stránce zápisu ignorujte, bude se zobrazovat, dokud obraz nevytvoříte.
Klikněte na tlačítko Vytvořit obraz pro vytvoření bootovacího obrazu. Průběh se zobrazuje v protokolu. V případě jakéhokoli problému si protokol přečtěte a opravte jej. fileSoubory vygenerované jako součást procesu jsou zobrazeny pod tlačítkem. Nejdůležitější je uveden jako první. Nazývá se skript „build_image“, skript spuštěný během procesu sestavení. Je možné na něj kliknout a zkontrolovat jeho obsah.

Testovací bootovací obraz
Jakmile je bootovací obraz vytvořen, můžete pokračovat na stránku Zápis obrazu a zapsat jej do bootovací paměti. Zkontrolujte, zda nejsou hlášeny žádné chyby, a kliknutím na tlačítko Zápis obrazu spusťte proces. Proces zápisu funguje podobně jako proces sestavení. Provede se předběžná kontrola a pokud se nenajde žádný problém, vygeneruje se zápisový skript. Pokud zápisový skript provede nějaké nevratné změny v procesoru, grafické uživatelské rozhraní zobrazí potvrzovací dialog se seznamem změn. Poté se zápisový skript spustí a podrobnosti se zobrazí v protokolu. view.
Jakmile je aplikace napsána, ověřte, zda se správně spustí (přepněte z režimu ISP do režimu RUN a resetujte ji).

Co bude dál
Jakmile máte spouštěcí aplikaci funkční, je možné přidat další bezpečnostní konfigurace, napříkladampten:

• zabezpečené spuštění s podepsaným nebo šifrovaným obrazem
• spouštění s dvojitým obrazem
• konfigurace proti převrácení
• konfigurace jednorázově programovatelného (OTP)
• atd

Doporučuje se zkontrolovat aplikaci po každé změně. Pokud se aplikace nespustí, vraťte se zpět a zjistěte, která změna problém způsobuje. Nástroj nabízí různé kontroly, které zabraňují neplatným konfiguracím. Chyby (červená) představují blokující problémy, které zabraňují použití neplatné konfigurace na procesor. Varování (žlutá) představují neobvyklá/nedoporučená nastavení, ale neblokují.
Jakmile je bezpečná konfigurace aplikace dokončena a stabilní, můžete pokračovat ve výrobě. Nástroj dokáže vygenerovat výrobní balíček – ZIP soubor. file se všemi filepotřebné pro výrobu. Ve výrobním zařízení importujte balíček a aplikujte jej (výrobní nástroj umožňuje jeho aplikaci na několik desek současně).

Pracovní postupy specifické pro procesor
Existují některé funkce specifické pro procesor, které je třeba nakonfigurovat. To je důvod, proč je v uživatelské příručce k nástroji MCUXpresso Secure Provisioning Tool, v části „Pracovní postupy specifické pro procesor“, popsán pracovní postup specifický pro procesor, který obsahuje podrobný postup pro konfiguraci různých zabezpečených konfigurací.

Reference

Poznámky k vydání
https://docs.mcuxpresso.nxp.com/secure/latest/release_notes.html Poznámky k verzi nástroje MCUXpresso Secure Provisioning Tool (dokument MCUXSPTRN)

Uživatelská příručka
https://docs.mcuxpresso.nxp.com/secure/latest/01_introduction.html
Uživatelská příručka k nástroji MCUXpresso Secure Provisioning Tool (dokument MCUXSPTUG)

Bezpečné zřizování NXP web
https://nxp.com/mcuxpresso/secure

Komunita, fórum, znalostní báze
https://community.nxp.com/t5/MCUXpresso-Secure-Provisioning/tkb-p/mcux-secure-tool

Historie revizí

ID dokumentu	Datum vydání	Popis
UG10241 v.1	30. června 2025	Počáteční verze.

Právní informace

Definice
Koncept — Stav konceptu na dokumentu označuje, že obsah je stále pod interní revizíview a podléhá formálnímu schválení, které může vyústit
v úpravách nebo doplňcích. NXP Semiconductors neposkytuje žádná prohlášení ani záruky ohledně přesnosti nebo úplnosti informací obsažených v pracovní verzi dokumentu a nenese žádnou odpovědnost za důsledky použití takových informací.

Vyloučení odpovědnosti
Omezená záruka a odpovědnost — Informace v tomto dokumentu jsou považovány za přesné a spolehlivé. Společnost NXP Semiconductors však neposkytuje žádná prohlášení ani záruky, vyjádřené nebo předpokládané, pokud jde o přesnost nebo úplnost takových informací, a nenese žádnou odpovědnost za důsledky použití takových informací. NXP Semiconductors nenese žádnou odpovědnost za obsah tohoto dokumentu, pokud je poskytnut informačním zdrojem mimo NXP Semiconductors.

Společnost NXP Semiconductors v žádném případě nenese odpovědnost za jakékoli nepřímé, náhodné, trestné, zvláštní nebo následné škody (včetně – bez omezení – ušlého zisku, ušlých úspor, přerušení podnikání, nákladů souvisejících s odstraněním nebo výměnou jakýchkoli produktů nebo nákladů na přepracování), ať už nebo takové škody nejsou založeny na protiprávním jednání (včetně nedbalosti), záruce, porušení smlouvy nebo jiné právní teorii.

Bez ohledu na jakékoli škody, které by zákazníkovi mohly vzniknout z jakéhokoli důvodu, je celková a kumulativní odpovědnost společnosti NXP Semiconductors vůči zákazníkovi za zde popsané produkty omezena v souladu s Obchodními podmínkami komerčního prodeje společnosti NXP Semiconductors.

Právo na změny – Společnost NXP Semiconductors si vyhrazuje právo kdykoli a bez předchozího upozornění provádět změny informací zveřejněných v tomto dokumentu, včetně specifikací a popisů produktů. Tento dokument nahrazuje veškeré informace poskytnuté před jeho zveřejněním.

Vhodnost pro použití — Produkty NXP Semiconductors nejsou navrženy, autorizovány nebo zaručeny tak, aby byly vhodné pro použití v systémech nebo zařízeních pro podporu života, život kritických nebo kritických systémech nebo zařízeních, ani v aplikacích, kde lze důvodně očekávat selhání nebo nesprávnou funkci produktu NXP Semiconductors. způsobit zranění, smrt nebo vážné poškození majetku nebo životního prostředí. Společnost NXP Semiconductors a její dodavatelé nepřijímají žádnou odpovědnost za zahrnutí a/nebo použití produktů NXP Semiconductors v takovém zařízení nebo aplikacích, a proto je takové zahrnutí a/nebo použití na vlastní riziko zákazníka.

Aplikace — Zde popsané aplikace pro kterýkoli z těchto produktů slouží pouze pro ilustrativní účely. NXP Semiconductors neposkytuje žádné prohlášení ani záruku, že takové aplikace budou vhodné pro specifikované použití bez dalšího testování nebo úprav.

Zákazníci jsou zodpovědní za návrh a provoz svých aplikací a produktů s využitím produktů společnosti NXP Semiconductors a společnost NXP Semiconductors nepřebírá žádnou odpovědnost za jakoukoli pomoc s aplikacemi nebo návrhem produktů zákazníka. Je výhradní odpovědností zákazníka určit, zda je produkt společnosti NXP Semiconductors vhodný a se hodí pro jeho plánované aplikace a produkty, jakož i pro plánované použití a použití zákazníkem (zákazníky) třetí strany (zákazníky). Zákazníci by měli zajistit vhodná konstrukční a provozní ochranná opatření, aby minimalizovali rizika spojená s jejich aplikacemi a produkty.

Společnost NXP Semiconductors nepřijímá žádnou odpovědnost za jakékoli selhání, poškození, náklady nebo problém, který je založen na jakékoli slabosti nebo selhání.
v aplikacích nebo produktech zákazníka nebo v aplikaci či použití zákazníkem/zákazníky třetích stran. Zákazník je zodpovědný za provedení veškerého nezbytného testování svých aplikací a produktů s použitím produktů společnosti NXP Semiconductors, aby se zabránilo selhání aplikací a produktů, aplikace či použití zákazníkem/zákazníky třetích stran. Společnost NXP v tomto ohledu nepřebírá žádnou odpovědnost.

Podmínky komerčního prodeje — Produkty NXP Semiconductors se prodávají v souladu se všeobecnými podmínkami komerčního prodeje, jak jsou zveřejněny na https://www.nxp.com/profile/terms, pokud není v platné písemné individuální smlouvě dohodnuto jinak. V případě uzavření individuální smlouvy se použijí pouze podmínky příslušné smlouvy. Společnost NXP Semiconductors tímto výslovně odmítá uplatňování všeobecných obchodních podmínek zákazníka, pokud jde o nákup produktů společnosti NXP Semiconductors zákazníkem.

Kontrola exportu — Tento dokument, stejně jako položky zde popsané, mohou podléhat předpisům o kontrole vývozu. Vývoz může vyžadovat předchozí povolení od příslušných orgánů.

Vhodnost pro použití v neautomobilových produktech — Pokud tento dokument výslovně neuvádí, že tento konkrétní produkt NXP Semiconductors je způsobilý pro automobilový průmysl, není tento produkt vhodný pro použití v automobilech. Není kvalifikován ani testován v souladu s automobilovým testováním nebo aplikačními požadavky. Společnost NXP Semiconductors nenese žádnou odpovědnost za zahrnutí a/nebo použití jiných než automobilových kvalifikovaných produktů v automobilovém vybavení nebo aplikacích.

V případě, že zákazník použije produkt pro návrh a použití v automobilových aplikacích podle automobilových specifikací a norem, zákazník (a) použije produkt bez záruky NXP Semiconductors na produkt pro takové automobilové aplikace, použití a specifikace a ( b) kdykoli zákazník použije produkt pro automobilové aplikace nad rámec specifikací NXP Semiconductors, takové použití bude výhradně na vlastní riziko zákazníka a (c) zákazník plně odškodní společnost NXP Semiconductors za jakoukoli odpovědnost, škody nebo neúspěšné nároky na produkt vyplývající z návrhu a použití zákazníka. produkt pro automobilové aplikace nad rámec standardní záruky NXP Semiconductors a specifikace produktu NXP Semiconductors.

HTML publikace — HTML verze tohoto dokumentu, pokud je k dispozici, je poskytnuta jako laskavost. Definitivní informace jsou obsaženy v příslušném dokumentu ve formátu PDF. Pokud existuje nesrovnalost mezi dokumentem HTML a dokumentem PDF, má prioritu dokument PDF.

Překlady — Neanglická (přeložená) verze dokumentu, včetně právních informací v tomto dokumentu, je pouze orientační. V případě jakéhokoli rozporu mezi přeloženou a anglickou verzí má přednost anglická verze.

Zabezpečení — Zákazník bere na vědomí, že všechny produkty NXP mohou být vystaveny neidentifikovaným zranitelnostem nebo mohou podporovat zavedené bezpečnostní standardy či specifikace se známými omezeními. Zákazník je zodpovědný za návrh a provoz svých aplikací a produktů po celou dobu jejich životního cyklu, aby se snížil dopad těchto zranitelností na aplikace a produkty zákazníka. Odpovědnost zákazníka se vztahuje i na další otevřené a/nebo proprietární technologie podporované produkty NXP pro použití v aplikacích zákazníka. Společnost NXP nepřebírá žádnou odpovědnost za jakoukoli zranitelnost.

Zákazníci by měli pravidelně kontrolovat bezpečnostní aktualizace od NXP a náležitě je sledovat.

Zákazník si vybere produkty s bezpečnostními prvky, které nejlépe splňují pravidla, předpisy a normy zamýšlené aplikace, a učiní konečná rozhodnutí o designu svých produktů. Je výhradně odpovědný za dodržování všech právních, regulačních a bezpečnostních požadavků týkajících se jeho produktů, bez ohledu na jakékoli informace nebo podporu, které může společnost NXP poskytnout.

NXP má tým pro reakci na bezpečnostní incidenty produktu (PSIRT) (dostupný na adrese PSIRT@nxp.com), která spravuje vyšetřování, hlášení a uvolňování řešení bezpečnostních zranitelností produktů NXP.

NXP BV — NXP BV není provozní společností a nedistribuuje ani neprodává produkty.

ochranné známky

Oznámení: Všechny odkazované značky, názvy produktů, názvy služeb a ochranné známky jsou majetkem příslušných vlastníků.

NXP — slovo a logo jsou ochranné známky společnosti NXP BV

Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
© 2025 NXP BV Všechna práva vyhrazena.
UG10241

Uvědomte si prosím, že důležitá upozornění týkající se tohoto dokumentu a zde popsaných produktů byla zahrnuta v části „Právní informace“.

© 2025 NXP BV
Další informace naleznete na adrese: https://www.nxp.com

Všechna práva vyhrazena.
Datum vydání: 30. června 2025
Identifikátor dokumentu: UG10241

Dokumenty / zdroje

Nástroj pro bezpečné zřizování NXP UG10241 MCUXpresso [pdfUživatelská příručka UG10241, UG10241 Nástroj pro bezpečné zřizování MCUXpresso, UG10241, Nástroj pro bezpečné zřizování MCUXpresso, Nástroj pro bezpečné zřizování, Nástroj pro zřizování, Nástroj

Reference

• Uživatelská příručka