Merge tag 'fixes-for-rmk' of git://git.kernel.org/pub/scm/linux/kernel/git/arm/arm...
[platform/adaptation/renesas_rcar/renesas_kernel.git] / scripts / sign-file
1 #!/bin/sh
2 #
3 # Sign a module file using the given key.
4 #
5 # Format: sign-file <key> <x509> <src-file> <dst-file>
6 #
7
8 scripts=`dirname $0`
9
10 CONFIG_MODULE_SIG_SHA512=y
11 if [ -r .config ]
12 then
13     . ./.config
14 fi
15
16 key="$1"
17 x509="$2"
18 src="$3"
19 dst="$4"
20
21 if [ ! -r "$key" ]
22 then
23     echo "Can't read private key" >&2
24     exit 2
25 fi
26
27 if [ ! -r "$x509" ]
28 then
29     echo "Can't read X.509 certificate" >&2
30     exit 2
31 fi
32 if [ ! -r "$x509.signer" ]
33 then
34     echo "Can't read Signer name" >&2
35     exit 2;
36 fi
37 if [ ! -r "$x509.keyid" ]
38 then
39     echo "Can't read Key identifier" >&2
40     exit 2;
41 fi
42
43 #
44 # Signature parameters
45 #
46 algo=1          # Public-key crypto algorithm: RSA
47 hash=           # Digest algorithm
48 id_type=1       # Identifier type: X.509
49
50 #
51 # Digest the data
52 #
53 dgst=
54 if [ "$CONFIG_MODULE_SIG_SHA1" = "y" ]
55 then
56     prologue="0x30, 0x21, 0x30, 0x09, 0x06, 0x05, 0x2B, 0x0E, 0x03, 0x02, 0x1A, 0x05, 0x00, 0x04, 0x14"
57     dgst=-sha1
58     hash=2
59 elif [ "$CONFIG_MODULE_SIG_SHA224" = "y" ]
60 then
61     prologue="0x30, 0x2d, 0x30, 0x0d, 0x06, 0x09, 0x60, 0x86, 0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x04, 0x05, 0x00, 0x04, 0x1C"
62     dgst=-sha224
63     hash=7
64 elif [ "$CONFIG_MODULE_SIG_SHA256" = "y" ]
65 then
66     prologue="0x30, 0x31, 0x30, 0x0d, 0x06, 0x09, 0x60, 0x86, 0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x01, 0x05, 0x00, 0x04, 0x20"
67     dgst=-sha256
68     hash=4
69 elif [ "$CONFIG_MODULE_SIG_SHA384" = "y" ]
70 then
71     prologue="0x30, 0x41, 0x30, 0x0d, 0x06, 0x09, 0x60, 0x86, 0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x02, 0x05, 0x00, 0x04, 0x30"
72     dgst=-sha384
73     hash=5
74 elif [ "$CONFIG_MODULE_SIG_SHA512" = "y" ]
75 then
76     prologue="0x30, 0x51, 0x30, 0x0d, 0x06, 0x09, 0x60, 0x86, 0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x03, 0x05, 0x00, 0x04, 0x40"
77     dgst=-sha512
78     hash=6
79 else
80     echo "$0: Can't determine hash algorithm" >&2
81     exit 2
82 fi
83
84 (
85 perl -e "binmode STDOUT; print pack(\"C*\", $prologue)" || exit $?
86 openssl dgst $dgst -binary $src || exit $?
87 ) >$src.dig || exit $?
88
89 #
90 # Generate the binary signature, which will be just the integer that comprises
91 # the signature with no metadata attached.
92 #
93 openssl rsautl -sign -inkey $key -keyform PEM -in $src.dig -out $src.sig || exit $?
94 signerlen=`stat -c %s $x509.signer`
95 keyidlen=`stat -c %s $x509.keyid`
96 siglen=`stat -c %s $src.sig`
97
98 #
99 # Build the signed binary
100 #
101 (
102     cat $src || exit $?
103     echo '~Module signature appended~' || exit $?
104     cat $x509.signer $x509.keyid || exit $?
105
106     # Preface each signature integer with a 2-byte BE length
107     perl -e "binmode STDOUT; print pack(\"n\", $siglen)" || exit $?
108     cat $src.sig || exit $?
109
110     # Generate the information block
111     perl -e "binmode STDOUT; print pack(\"CCCCCxxxN\", $algo, $hash, $id_type, $signerlen, $keyidlen, $siglen + 2)" || exit $?
112 ) >$dst~ || exit $?
113
114 # Permit in-place signing
115 mv $dst~ $dst || exit $?