[Nedo]

Buongiorno a tutti, spero che qualcuno riesca a darmi un aiuto nel risolvere una questione su cui sto rimbalzando ormai da un po' di tempo.
Il mio obiettivo è quello di configurare il pi4 con boot sicuro, ovvero in modo che possa fare il boot solo con immagine firmata.
Dove sono arrivato: ho generato la coppa di chiavi, ho aggiornato l'eeprom partendo da una versione pulita, inserendoci la configurazione di boot e la PubKey. Questi i passaggi:
(bootconf.txt)

Codice:

SIGNED_BOOT=1

rpi-eeprom-config --config bootconf.txt --pubkey public.pem --out pieeprom.upd pieeprom-2026-02-06.bin

sudo rpi-eeprom-update -d -f ./pieeprom.upd

A questo punto il sistema funziona, nel senso che riesco solo a fare il boot solo con una immagine firmata correttamente (boot.img + boot.sig).
Il punto è che non riesco a rendere permanente questa modifica, "bruciando" l'hash nei registri OTP. La documentazione dice di creare un config.txt con:
[all]

Codice:

program_pubkey=1

Il problema è che:
- facendo il boot da SD ottengo una schermata rossa, non capisco quale sia il problema (e in realtà non capisco nemmeno bene cosa mettere esattamente sulla SD..)
- direttamente dal PI4: credo sia pericoloso andare a scrivere direttamente sull'OTP, non ho provato
- con rpiboot: una volta abilitato il SIGNED_BOOT non riesco più a mandare in PI4 in recovery mode, quindi dal pc host non lo "vedo" più..
Qualcuno è riuscito in questa operazione?