build: Default to use TI degenerate key for signing on non-HS devices
[processor-firmware/system-firmware-image-gen.git] / README.md
1 System Firmware (SYSFW) and Configuration Image Generator for AM65x
2 ===================================================================
4 Overview
5 --------
6 This tool is intended to be a simple solution to allow users to create an image
7 tree blob (a.k.a. FIT image) comprising a signed System Firmware image as well
8 as the binary configuration artifacts needed to bring up SYSFW as part of the
9 U-Boot SPL startup. Note that the final SYSFW configuration itself is expected
10 to be performed by the end user by directly modifying different C source files
11 included into this project as needed for an application and board-specific use
12 case. The domain-specific configuration artifacts to be tailored are:
14 * *board-cfg.c* contains the general board configuration
15 * *pm-cfg.c* contains the power management / clock related configuration
16 * *rm-cfg.c* contains the resource management / allocation related configuration
17 * *sec-cfg.c* contains the security configuration
19 The build process consumes a raw (unsigned) SYSFW binary image as released by
20 the SYSFW development team and signs it by adding an X.509 certificate using a
21 random key.
23 The signed SYSFW image as well as the configuration artifacts will then all get
24 build into an ITB blob (FIT image) named **sysfw.itb** ready for consumption by
25 U-Boot SPL.
28 Building SYSFW Image and Configuration Data
29 -------------------------------------------
30 First, ensure you have a current mkimage tool and ARMv7 cross toolchain
31 installed. The SYSFW configuration generator was developed and tested using...
33     $ mkimage -V
34     mkimage version 2013.10
36     $ arm-linux-gnueabihf-gcc --version
37     arm-linux-gnueabihf-gcc (Linaro GCC 7.2-2017.11) 7.2.1 20171011
38     Copyright (C) 2017 Free Software Foundation, Inc.
39     This is free software; see the source for copying conditions.  There is NO
40     warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
42 Also make sure to have a proper unsigned SYSFW image populated at the root of
43 this project, otherwise a version specified in the Makefile via Git commit hash
44 will be downloaded from the TI SYSFW release URL (see download location below).
46 The default SYSFW image consumed by the build process is called
47 **ti-sci-firmware-am65x-gp.bin** however this may be overwritten and customized
48 using the **SYSFW_PATH** make variable. The build process will fail if the
49 image can't be downloaded or no such file is provided.
51 Further note by default the SYSFW image for use with general purpose (GP) devices
52 (as opposed to high security devices) is signed with the TI degenerate key to
53 optimize boot time (less processing time needed by ROM) but can also be signed
54 with a random cryptoraphic key or another user-provided key. This signing behavior
55 is controlled through the **KEY** make variable. Not explicitly setting **KEY**
56 will result in the use of the TI degenerate key. To use a custom key populate the
57 **KEY** variable to point to the key to get used. By clearing the default key
58 setting by passing in **KEY=""** a random key will get generated and used during
59 the build process.
61 In order to download the SYSFW release image (if needed) and build the final
62 **sysfw.itb** for consumption by U-Boot simply perform a make...
64     $ make
66 To extract and show the release version of the SYSFW image being used...
68     $ make sysfw_version
69     SYSFW Version: v2018.08a (Curious Crow)
71 The workspace can be cleaned up by doing...
73     $ make clean
75 To also remove the SYSFW image do this...
77     $ make mrproper
79 Building SYSFW Image for High-Security(HS) devices
80 --------------------------------------------------
81 The process for building and image suitable for use with HS devices is similar
82 to the above process with the following differences:
84 The make commands should be appended with HS=1,
86     $ make HS=1
88 The environment variable **TI_SECURE_DEV_PKG** should be defined to point to
89 the TI Secure Development Tools package.
91 There are two images downloaded and consumed by the build process.
93     * ti-sci-firmware-am65x-hs-enc.bin: Encrypted HS SYSFW image
94     * ti-sci-firmware-am65x-hs-cert.bin: Inner-certificate for HS SYSFW image
96 The inner-certificate is signed by the key provided by the **TI_SECURE_DEV_PKG**
97 path producing an outer-certificate. These images are then appended to produce
98 the final **sysfw.bin** which is bundled with the configuration data exactly as
99 the non-HS version above.
101 Important Notes
102 ---------------
103 There is a strong dependency of the used System Firmware release version and
104 how the board configuration data needs to be structured and/or filled in. Using
105 config data that is not compatible with a given SYSFW release may lead to
106 failures during loading of the data by U-Boot SPL, or failures later downstream
107 in U-Boot or during Linux boot.
109 It is strongly recommended to review System Firmware release documentation in
110 great detail(!) to make sure suitable board configuration is provided. Common
111 pitfalls preventing proper system operation include but are not limited to using
112 an unsuitable or invalid resource management configuration.
115 References
116 ----------
117 * [Latest SYSFW Release Documentation](http://software-dl.ti.com/tisci/esd/latest/)
118 * [Official SYSFW Release Download Location](https://git.ti.com/processor-firmware/ti-linux-firmware/trees/ti-linux-firmware-4.1.y/ti-sysfw)