projects / project / firmware-utils.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: 6c95945) | patch
cros-vbutil: add Chrome OS vboot kernel-signing utility
authorBrian Norris <computersforpeace@gmail.com>
Sun, 16 Jan 2022 05:48:31 +0000 (21:48 -0800)
committerDaniel Golle <daniel@makrotopia.org>
Thu, 27 Jan 2022 13:27:32 +0000 (13:27 +0000)
commit8e7274e02fdc6f2cb61b415d6e5b2e1c7e977aa1
tree4e6ff5be0b7274f413ba44f9a1faf17767388737tree | snapshot
parent6c95945b5de973026dc6f52eb088d0943efa96bbcommit | diff
cros-vbutil: add Chrome OS vboot kernel-signing utility

Chrom{ium,e} OS based devices use a Coreboot+Depthcharge-based firmware,
which verifies and loads a kernel packed in a verified-boot payload. The
verification tooling (both for creating and verifying payloads) is
implemented here:

https://chromium.googlesource.com/chromiumos/platform/vboot_reference

Devices running such bootloaders also tend to support a "developer
mode," where a device can be unlocked to run arbitrary kernel payloads,
using the same verified-boot format plus well-known developer keys. More
information can be found here:

https://chromium.googlesource.com/chromiumos/docs/+/master/developer_mode.md

Rather than build and package the vboot_reference utilities as part of
the base OpenWRT tools, I chose to reimplement just the portion that's
required for signing payloads. I also embed the developer key directly
in the source for convenience, though it's certainly possible to
provide other keys too, if one were to build their own firmware that
accepts it.

This tool is essentially the same as running something like this, using
the Chromium OS tooling:

  vbutil_kernel --pack kernel_partition.bin \
   --keyblock /usr/share/vboot/devkeys/kernel.keyblock \
   --signprivate /usr/share/vboot/devkeys/kernel_data_key.vbprivk \
   --version 1 \
   --vmlinuz kernel.bin \
   --bootloader zero.txt \
   --config commnad_line.txt \
   --arch ${ARCH}

I have also packaged the Chromium OS vboot_reference tooling for the
packages feed, as it can be useful beyond simply creating a bootable
image (e.g., manipulating Chromium OS specific GPT attributes, handling
other NVRAM attributes, vboot packing/unpacking/verifying):
https://github.com/openwrt/packages/pull/12829

The vboot_reference tools are released by Google under a BSD 3-clause
license. I've provided the original license text as well as a GPL-2
notice for my modifications (essentially just borrowing the data
structures and rewriting everything else).

Signed-off-by: Brian Norris <computersforpeace@gmail.com>
CMakeLists.txt diff | blob | history
src/cros-vbutil.c [new file with mode: 0644] blob
OpenWrt firmware image utilities