DevTrends Logo

Как не окирпичить устройство при обновлении прошивки

01 Jun, 2026
1,916 🔱 929 👥 70

Представьте ситуацию: вы выпустили партию умных датчиков, они разъехались по клиентам, и тут вы находите критический баг в стеке протокола. Нужно срочно обновляться по воздуху (OTA). Но что произойдет, если в момент записи новой прошивки пропадет питание? Или если злоумышленник подсунет вашему устройству модифицированный бинарник? Без надежного фундамента в виде загрузчика такие приключения обычно заканчиваются отзывом оборудования или дорогостоящим выездом инженера на объект.

Для решения этих проблем существует MCUboot. Это не просто какой-то самописный скрипт, а зрелый стандарт де-факто для 32-битных микроконтроллеров, который берет на себя всю грязную работу по проверке подписей и безопасному переключению между версиями софта.

Что это такое и зачем оно в вашем проекте

MCUboot — это защищенный загрузчик (secure bootloader), который изначально разрабатывали для операционных систем Apache Mynewt и Zephyr, но со временем он стал самостоятельным игроком. Сейчас его поддерживают почти все популярные RTOS и вендоры железа: от ESP32 до чипов Infineon и STM32.

Главная задача проекта — гарантировать, что в микроконтроллере будет исполняться только проверенный, подписанный и целостный код. Если вы работаете с интернетом вещей (IoT), вопрос безопасности стоит на первом месте. MCUboot избавляет от необходимости изобретать велосипед с криптографией и разметкой флеш-памяти.

Чем хорош MCUboot в деле

В проекте реализовано несколько механизмов, которые делают жизнь эмбеддед-разработчика спокойнее.

Реклама

Безопасный откат (Rollback)

Это, пожалуй, самая полезная фича. MCUboot умеет работать в режиме «тестового запуска». Вы загружаете новую прошивку, устройство перезагружается, и если новое приложение не подтвердит свою работоспособность (не «скажет» загрузчику, что всё ок), то при следующей перезагрузке MCUboot автоматически вернет старую рабочую версию. Это спасает от ситуации, когда обновление окирпичивает девайс из-за ошибки в логике инициализации.

Проверка подписей

Загрузчик поддерживает проверку образов с помощью цифровых подписей (ECDSA, RSA, Ed25519). Вы подписываете бинарник на своем компьютере или сервере сборки, а загрузчик проверяет его перед запуском. Если байты были изменены или подпись не совпадает, код просто не запустится.

Управление флеш-памятью

Проект диктует определенную структуру разделов: обычно это primary slot (где живет текущая прошивка) и secondary slot (куда скачивается обновление). MCUboot сам занимается перемещением данных между ними, умеет делать своп (swap) разделов и проверять целостность данных после копирования.

Инструментарий и интеграция

В репозитории лежит отличная утилита на Python — imgtool. Она нужна для подготовки образов: добавления заголовков, управления версиями и, собственно, подписи.

Пример того, как выглядит создание подписанного образа:

python3 scripts/imgtool.py sign \
    --key my_private_key.pem \
    --header-size 32 \
    --align 8 \
    --version 1.2.3 \
    --slot-size 0x20000 \
    build/zephyr/zephyr.bin \
    signed_image.bin

Интересно, что проект включает в себя симулятор (sim). Это позволяет тестировать логику работы загрузчика и сценарии обновления прямо на компьютере, не терзая лишний раз флеш-память реального контроллера.

Техническая сторона вопроса

MCUboot написан на C и спроектирован так, чтобы занимать минимум места. Он не зависит от конкретной ОС напрямую, а использует слои абстракции (HAL) для взаимодействия с железом.

Основные компоненты:

  • bootutil: ядро загрузчика, где живет вся логика принятия решений.
  • boot_serial: поддержка обновления через последовательный порт (UART), если вам нужно прошивать устройство по кабелю, но через защищенный протокол.
  • порты под разные платформы: в папке boot/ лежат готовые реализации для Zephyr, Mynewt, NuttX, Espressif и других.

Кому стоит присмотреться

Если вы делаете устройство, которое будет обновляться удаленно, MCUboot — это база. Он особенно хорош в связке с Zephyr RTOS, где интеграция бесшовная.

Стоит учитывать, что внедрение такого загрузчика требует понимания того, как устроена память вашего МК. Вам придется выделить место под сам загрузчик (обычно первые 16-64 КБ) и поделить оставшееся место на два равных слота под прошивки. Если памяти в обрез (например, всего 128 КБ флеша), использовать схему со свопом будет накладно.

В остальном это мощный, проверенный временем инструмент, который поддерживается огромным сообществом профессионалов. Если безопасность и надежность обновлений для вас не пустой звук, загляните в документацию в папке docs — там расписаны нюансы под каждую архитектуру.

#software #iot #device #bootloader #device-management #upgrade #microcontrollers
Проект на GitHub