在STM32上进行加密烧录，主要目的是保护代码不被非法读取或复制。以下是常用的加密方法和详细步骤：

1. 设置读保护（RDP - Read Out Protection）

通过选项字节（Option Bytes）设置RDP级别，防止通过调试接口（如JTAG/SWD）读取Flash内容：

• RDP Level 0：默认无保护（禁用读保护）。
• RDP Level 1：启用读保护（推荐）：
  • 调试接口无法读取Flash。
  • 通过解除保护（降级到Level 0）会触发全片擦除。
• RDP Level 2：永久保护（不可逆）：
  • 永久禁用调试接口，Flash完全不可读。
  • 慎用，一旦设置无法恢复。

操作步骤（使用STM32CubeProgrammer工具）：

1. 连接开发板（ST-Link等）。
2. 打开STM32CubeProgrammer → OB (Option Bytes) 选项卡。
3. 设置 RDP 为 Level 1。
4. 点击 Apply 烧录选项字节。
5. 烧录固件（.bin/.hex文件）。

注意：解除保护需重新烧录并选择Level 0，此时Flash会被自动擦除。

2. 使用芯片唯一ID绑定固件

利用STM32的唯一ID（96位）加密固件，实现一芯片一固件：

• 加密原理：
  • 在程序中添加校验逻辑，验证芯片ID与固件是否匹配。
  • 非法复制到其他芯片时无法运行。
• 操作步骤：
  1. 读取目标芯片的唯一ID（地址：0x1FFF 7A10）。
  2. 编译固件时，将ID哈希值嵌入程序（如作为解密密钥）。
  3. 烧录前对固件加密（例：AES加密，密钥=ID哈希值）。
  4. 运行时程序用自身ID解密关键代码。

工具支持：

• 使用 STM32 Trusted Package Creator：
  • 生成加密固件（支持AES-128/256）。
  • 绑定芯片ID或用户密钥。

3. 启用写保护（WRP - Write Protection）

防止Flash被篡改（配合RDP使用）：

• 在选项字节中设置保护扇区。
• 烧录后，受保护区域无法被擦除/写入。

4. 安全启动（Secure Boot）

适用于支持TrustZone的STM32（如STM32L5、H7）：

1. 将Bootloader置于安全区。
2. 校验应用程序签名，确保固件合法性。
3. 未签名的固件无法运行。

加密烧录完整流程

1. 准备工作：
   • 获取芯片唯一ID（通过ST-Link Utility或程序读取）。
   • 使用工具（如STM32 Trusted Package Creator）加密固件。
2. 烧录加密固件：

   # 使用STM32CubeProgrammer命令行
   STM32_Programmer_CLI -c port=SWD -w encrypted_firmware.bin 0x08000000

3. 设置保护：
   • 通过GUI或命令行设置RDP Level 1。
4. 验证：
   • 尝试读取Flash，确认返回全0或全FF（保护生效）。

注意事项

• RDP Level 2不可逆：设置后芯片将永久锁定，仅能通过系统存储器引导（DFU模式）更新固件。
• 加密密钥管理：妥善保存密钥，避免丢失导致固件无法更新。
• 调试影响：RDP Level 1及以上会禁用调试，开发阶段建议最后启用。

通过以上方法，可有效保护STM32固件的安全性，防止未经授权的访问和复制。