实现H7-TOOL脱机烧录ECDSA数字签名算法对目标芯片做UID签名（2026-02-28）

eric2013

ECDSA是基于椭圆曲线密码学的数字签名算法，用于验证数据的真实性和完整性。它比传统的RSA更安全且密钥更短。我们这里直接对芯片UID进行签名，将签名作为"芯片证书"。
首先是实现H7-TOOL脱机烧录的ECDSA签名私钥公钥生成，签名和校验LUA函数注册，之后就可以应用到脱机烧录了。

实现机制
1、使用H7-TOOL的硬件随机数生成公钥和私钥，当然也可以自己提供，均支持



2、脱机烧录时读取芯片UID → 计算哈希值 → 生成签名 → 带签名的UID和公钥 → 脱机烧录存储到芯片
（1）选择对应的算法



（2）高级脚本里面，添加公钥和私钥，私钥仅存储于TOOL端，公钥是供芯片端校验签名使用的



3、芯片端运行相同的算法，通过公钥和签名验证是否通过校验。

（1）烧录一个带签名校验的固件到目标芯片



（2）方便观察现象，芯片端做了个RTT打印，验证通过

eric2013

UID签名相当于身份证，烧录到这个芯片里面的固件仅可以在这个芯片里面使用，芯片级软硬件绑定

qgyhd1234

配合h7 tool的脱机烧录、烧录计数、远程管理和emmc加密功能，可以非常方便的把h7 tool交给代工厂去生产烧录

eric2013

优化了下函数，方便调用。

eric2013

最终版

本周更新对应的LUA API教程和UID签名教程

[Lua] 纯文本查看 复制代码

local s = ""
local Private_KeySize = 32
local Public_KeySize = 64
local Private_Key = {}
local Public_Key = {}

local re
local uid = {}
local x = {}
local sign = {}

-- 返回私钥, 公钥和成功状态
Private_Key, Public_Key, re = cmox_ecdsa_keyGen()
if(re == 1) then
    print("cmox_ecdsa_keyGen success")
else
    print("cmox_ecdsa_keyGen fail")
end
----------------打印私钥----------------------------
Private_KeySize = #Private_Key
print("Private_KeySize = ", Private_KeySize)
s = "Private_Key = {\n"
for i=1, Private_KeySize, 1 do                                
    s =s..string.format("0x%02x", Private_Key[i])..","
    if i % 16 == 0 then
        s = s.."\n"
    end                                
end
s =s.."}\n"
print(s) 

---------------打印公钥-----------------------------
Public_KeySize = #Public_Key
print("Public_KeySize = ", Public_KeySize)
s = "Public_Key = {\n"
for i=1, Public_KeySize, 1 do                                
    s =s..string.format("0x%02x", Public_Key[i])..","
    if i % 16 == 0 then
        s = s.."\n"
    end                                
end
s =s.."}\n"
print(s) 

---------------读取UID----------------------------
re, uid = pg_read_uid(0x1FF1E800)  -- 这里是读取的STM32H7的UID地址，其他芯片需要修改地址
if(re == 1) then
    print("pg_read_uid success")
else
    print("pg_read_uid fail")
    uid = {0,1,2,3, 4,5,6,7, 8,9,10,11} -- 随意定义一个，用于测试
end

for i = 1, #uid do
   x[i] = string.byte(uid, i)
end

---------------求签名----------------------------
sign, re = cmox_ecdsa_sign(Private_Key, Private_KeySize, x, #uid)

if(re == 1) then
    print("cmox_ecdsa_sign success")
    print("SignSize = ", #sign)
    s = "Sign = {\n"
    for i=1, #sign, 1 do                                
        s =s..string.format("0x%02x", sign[i])..","
        if i % 16 == 0 then
            s = s.."\n"
        end                                
    end
    s =s.."}\n"
    print(s) 
else
    print("cmox_ecdsa_sign fail")
end

---------------验证签名----------------------------
re = cmox_ecdsa_verify(Public_Key, Public_KeySize, x, #uid, sign, #sign)
if(re == 1) then
    print("cmox_ecdsa_verify success")
else
    print("cmox_ecdsa_verify fail")
end