Raspberry Pi开源固件(rpi-open-firmware)启动流程与安全启动机制深度解析

引言

Raspberry Pi作为一款广受欢迎的单板计算机，其启动流程和安全机制一直是开发者关注的焦点。本文将深入剖析基于rpi-open-firmware项目的启动流程各阶段实现细节，并详细解读其安全启动机制，帮助开发者全面理解Raspberry Pi的底层启动原理。

启动流程详解

Raspberry Pi的启动过程分为四个主要阶段，每个阶段都有特定的职责和实现选项。

阶段0：Mask ROM

这是芯片上电后最先执行的不可修改代码，固化在芯片内部ROM中。

不同型号的实现差异：

1. Pi0-Pi2版本：

   • 默认支持从SD卡FAT32分区加载bootcode.bin
   • 支持通过rpiboot协议从USB设备模式接收bootcode.bin
   • 可选支持NAND闪存、SPI闪存和I2C从模式

2. Pi3版本：

   • 在Pi0-Pi2基础上增加USB主机模式支持
   • 可从USB存储设备或通过板载USB网卡使用TFTP协议加载bootcode.bin

3. BCM2711版本：

   • 仅支持三种启动方式：
     • 从SD卡FAT32分区加载recovery.bin（支持GPT和MBR分区表）
     • 从SPI闪存启动
     • 通过rpiboot协议启动

阶段1：bootcode.bin/recovery.bin

这个阶段主要负责内存初始化和加载下一阶段代码。

VC4架构(Pi0-Pi3)实现选项：

1. 闭源bootcode.bin
2. rpi-open-firmware提供的bootcode.bin（包含完整的阶段1和阶段3引导程序，跳过阶段2）
3. lk-overlay的bootcode.bin目标（提供模块化选项，包括内存初始化和加载阶段2）

BCM2711架构实现选项：

1. 闭源recovery.bin（专用于重新刷写SPI芯片）
2. 存储在SPI闪存中的闭源bootcode.bin（负责内存初始化和加载阶段2）
3. lk-overlay的recovery.bin目标（模块化选项，但无内存初始化功能，限制使用128KB L2缓存）

阶段2：start.elf/start4.elf

此阶段提供主要的运行时服务，并加载ARM核心的执行代码。

VC4架构选项：

1. 闭源start.elf及其变体
2. 闭源msd.elf（使设备模拟为USB大容量存储设备）
3. lk-overlay的.elf目标（模块化选项，包括初始化2D子系统和NTSC输出）

BCM2711架构选项：

1. 闭源start4.elf及其变体
2. 闭源msd4.elf（功能与早期版本的msd.elf相同）
3. lk-overlay的BCM2711 .elf目标（更多模块化选项，但尚未支持ARM核心启动）

阶段3：kernel.img

这是最终在ARM核心上运行的代码，可以是操作系统内核或引导加载程序。

VC4架构选项：

1. U-Boot（目前依赖闭源start.elf）
2. RPi3专用引导加载程序（依赖闭源start.elf）
3. rpi-open-firmware的ARM32引导程序（支持Pi0-Pi3）
4. lk-overlay的ARM32引导程序（目前仅支持Pi2）

安全启动机制

Raspberry Pi提供了多种安全启动验证机制，不同型号支持的技术有所差异。

HMAC-SHA1签名验证

支持型号：Pi0-Pi3和BCM2711 B0版本

实现原理：

• 使用20字节RAM密钥与16字节OTP（一次性可编程）密钥进行XOR运算
• Pi0-Pi3要求签名存储在单独的bootcode.sig文件中
• BCM2711 B0版本直接将20字节签名附加到recovery.bin文件末尾

RSA签名验证

支持型号：BCM2711 B1和C0版本

特点：

• 新增RSA支持（具体实现尚待深入研究）
• 闭源bootcode.bin由Broadcom密钥对签名，然后使用用户选择的密钥对验证其他组件
• 用户密钥对的SHA256哈希可烧录到OTP中进行锁定
• 用户公钥必须存储在SPI闪存中

签名启动配置

1. 基本签名启动（SIGNED_BOOT=1）：

   • 仅需boot.img和boot.sig文件

2. OTP启用签名：

   • 无需设置SIGNED_BOOT=1
   • 必须对bootconf.txt和bootconf.sig进行签名
   • 同时需要boot.img和boot.sig

注意事项：BCM2711的阶段2start4.elf不需要支持签名验证，因为阶段1会将验证后的boot.img作为RAM磁盘传递给阶段2。

技术选型建议

对于开发者而言，在选择启动方案时需要考虑以下因素：

1. 硬件兼容性：不同型号的Raspberry Pi支持的启动选项和安全特性存在差异
2. 安全需求：对启动安全要求高的场景应优先考虑支持RSA验证的新型号
3. 开发灵活性：开源方案如rpi-open-firmware和lk-overlay提供更多定制可能
4. 性能考量：某些实现可能限制可用内存或功能

通过深入理解这些启动流程和安全机制，开发者可以更好地定制和优化自己的Raspberry Pi系统，满足特定的应用需求和安全标准。