Кіраўніцтва карыстальніка Intel Agilex 7 Device Security

Intel імкнецца да бяспекі прадукту і рэкамендуе карыстальнікам азнаёміцца з прадстаўленымі рэсурсамі па бяспецы прадукту. Гэтыя рэсурсы павінны выкарыстоўвацца на працягу ўсяго тэрміну службы прадукту Intel.

2. Запланаваныя функцыі бяспекі

Наступныя функцыі бяспекі запланаваны для будучага выпуску праграмнага забеспячэння Intel Quartus Prime Pro Edition:

Праверка бяспекі бітавага патоку частковай рэканфігурацыі: дае дадатковую гарантыю таго, што бітавыя патокі частковай рэканфігурацыі (PR) не могуць атрымаць доступ да іншых бітавых патокаў PR-персоны або ўмешвацца ў іх.

Самазабойства прылады для фізічнай барацьбы з Тamper: выконвае ачыстку прылады або адказ абнулення прылады і праграмуе eFuses, каб прадухіліць паўторную канфігурацыю прылады.

3. Даступная ахоўная дакументацыя

У наступнай табліцы пералічана даступная дакументацыя для функцый бяспекі прылад на прыладах Intel FPGA і Structured ASIC:

Назва дакумента	Прызначэнне
Метадалогія бяспекі для карыстальнікаў Intel FPGA і структураваных ASIC Кіраўніцтва	Дакумент верхняга ўзроўню з падрабязным апісаннем функцыі і тэхналогіі бяспекі ў праграмуемых рашэннях Intel прадукты. Дапамагае карыстальнікам выбраць неабходныя функцыі бяспекі выконваць свае мэты бяспекі.
Кіраўніцтва карыстальніка Intel Stratix 10 Device Security	Інструкцыі для карыстальнікаў прылад Intel Stratix 10 па рэалізацыі функцыі бяспекі, вызначаныя з дапамогай метадалогіі бяспекі Кіраўніцтва карыстальніка.
Кіраўніцтва карыстальніка Intel Agilex 7 Device Security	Інструкцыі для карыстальнікаў прылад Intel Agilex 7 па рэалізацыі функцыі бяспекі, вызначаныя з дапамогай метадалогіі бяспекі Кіраўніцтва карыстальніка.
Кіраўніцтва карыстальніка па бяспецы прылады Intel eASIC N5X	Інструкцыі для карыстальнікаў прылад Intel eASIC N5X для ўкаранення функцыі бяспекі, вызначаныя з дапамогай метадалогіі бяспекі Кіраўніцтва карыстальніка.
Крыптаграфічныя службы Intel Agilex 7 і Intel eASIC N5X HPS Кіраўніцтва карыстальніка	Інфармацыя для праграмных інжынераў HPS аб укараненні і выкарыстанне праграмных бібліятэк HPS для доступу да крыптаграфічных паслуг забяспечвае СДМ.
AN-968 Black Key Provisioning Service Кароткае кіраўніцтва	Поўны набор крокаў для наладжвання Black Key Provisioning абслугоўванне.

Часта задаюць пытанні

Пытанне: Якая мэта Кіраўніцтва карыстальніка па метадалогіі бяспекі?

Адказ: У Кіраўніцтве па метадалогіі бяспекі прыводзяцца падрабязныя апісанні функцый і тэхналогій бяспекі ў прадуктах Intel Programmable Solutions. Гэта дапамагае карыстальнікам выбраць неабходныя функцыі бяспекі для дасягнення іх мэтаў бяспекі.

Пытанне: Дзе я магу знайсці Кіраўніцтва карыстальніка Intel Agilex 7 Device Security?

A: Кіраўніцтва карыстальніка Intel Agilex 7 Device Security можна знайсці ў Цэнтры рэсурсаў і дызайну Intel webсайт.

Пытанне: Што такое паслуга Black Key Provisioning?

A: Служба Black Key Provisioning - гэта паслуга, якая забяспечвае поўны набор крокаў для наладжвання ключоў для бяспечных аперацый.

View Fullscreen

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security
Абноўлена для Intel® Quartus® Prime Design Suite: 23.1

Інтэрнэт-версія Адправіць водгук

УГ-20335

683823 2023.05.23

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 2

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 3

683823 | 2023.05.23 Адправіць водгук
1. Intel Agilex® 7

Бяспека прылады завершанаview

Intel® распрацоўвае прылады Intel Agilex® 7 са спецыялізаваным абсталяваннем бяспекі і ўбудаваным праграмным забеспячэннем з магчымасцю наладжвання.
Гэты дакумент змяшчае інструкцыі, якія дапамогуць вам выкарыстоўваць праграмнае забеспячэнне Intel Quartus® Prime Pro Edition для рэалізацыі функцый бяспекі на вашых прыладах Intel Agilex 7.
Акрамя таго, Метадалогія бяспекі для Intel FPGA і Structured ASIC Кіраўніцтва карыстальніка даступна ў Intel Resource & Design Center. У гэтым дакуменце ўтрымліваюцца падрабязныя апісанні функцый бяспекі і тэхналогій, даступных у прадуктах Intel Programmable Solutions, каб дапамагчы вам выбраць функцыі бяспекі, неабходныя для дасягнення вашых мэтаў бяспекі. Звярніцеся ў службу падтрымкі Intel па нумары спасылкі 14014613136, каб атрымаць доступ да метадалогіі бяспекі для Intel FPGA і структураваных ASIC Кіраўніцтва карыстальніка.
Дакумент арганізаваны наступным чынам: · Аўтэнтыфікацыя і аўтарызацыя: дае інструкцыі па стварэнні
ключы аўтэнтыфікацыі і ланцужкі подпісаў, прымяненне дазволаў і адкліканне, падпісванне аб'ектаў і функцыі праграмнай аўтэнтыфікацыі на прыладах Intel Agilex 7. · Шыфраванне бітавага патоку AES: Дае інструкцыі па стварэнні каранёвага ключа AES, шыфраванні бітавых патокаў канфігурацыі і прадастаўленні каранёвага ключа AES для прылад Intel Agilex 7. · Падрыхтоўка прылады: дае інструкцыі па выкарыстанні ўбудаванага праграмнага забеспячэння Intel Quartus Prime Programmer і Secure Device Manager (SDM) для праграмавання функцый бяспекі на прыладах Intel Agilex 7. · Пашыраныя магчымасці: дае інструкцыі па ўключэнні дадатковых функцый бяспекі, уключаючы бяспечную аўтарызацыю адладкі, адладку сістэмы жорсткага працэсара (HPS) і аддаленае абнаўленне сістэмы.
1.1. Прыхільнасць да бяспекі прадукту
Працяглая прыхільнасць Intel бяспецы ніколі не была такой моцнай. Intel настойліва рэкамендуе вам азнаёміцца з нашымі рэсурсамі бяспекі прадукту і планаваць выкарыстоўваць іх на працягу ўсяго тэрміну службы вашага прадукту Intel.
Звязаная інфармацыя · Бяспека прадукту ў Intel · Рэкамендацыі Цэнтра бяспекі прадукту Intel

Карпарацыя Intel. Усе правы ахоўваюцца. Intel, лагатып Intel і іншыя знакі Intel з'яўляюцца гандлёвымі маркамі карпарацыі Intel або яе даччыных кампаній. Intel гарантуе прадукцыйнасць сваёй FPGA і паўправадніковай прадукцыі ў адпаведнасці з бягучымі спецыфікацыямі ў адпаведнасці са стандартнай гарантыяй Intel, але пакідае за сабой права ўносіць змены ў любыя прадукты і паслугі ў любы час без папярэдняга паведамлення. Intel не нясе ніякай адказнасці або абавязацельстваў, якія вынікаюць з прымянення або выкарыстання любой інфармацыі, прадукту або паслугі, апісаных тут, за выключэннем выпадкаў, прама ўзгодненых Intel у пісьмовай форме. Кліентам Intel рэкамендуецца атрымаць апошнюю версію спецыфікацый прылады, перш чым спадзявацца на любую апублікаваную інфармацыю і перад размяшчэннем заказаў на прадукты ці паслугі. *Іншыя назвы і брэнды могуць быць заяўлены як уласнасць іншых.

ISO 9001:2015 зарэгістраваны

1. Бяспека прылады Intel Agilex® 7 завершанаview 683823 | 2023.05.23

1.2. Запланаваныя функцыі бяспекі

Функцыі, згаданыя ў гэтым раздзеле, запланаваны для будучага выпуску праграмнага забеспячэння Intel Quartus Prime Pro Edition.

Заўвага:

Інфармацыя ў гэтым раздзеле з'яўляецца папярэдняй.

1.2.1. Праверка бяспекі бітавага патоку частковай рэканфігурацыі
Праверка бяспекі бітавага патоку частковай рэканфігурацыі (PR) дапамагае забяспечыць дадатковую гарантыю таго, што бітавыя патокі PR-персоны не могуць атрымаць доступ да іншых бітавых патокаў PR-персоны або ўмешвацца ў іх.

1.2.2. Самазабойства прылады для фізічнай барацьбы з Тamper
Самаліквідацыя прылады выконвае ачыстку прылады або рэакцыю абнулення прылады і дадаткова праграмуе eFuses, каб прадухіліць паўторную канфігурацыю прылады.

1.3. Даступная ахоўная дакументацыя

У наступнай табліцы пералічана даступная дакументацыя для функцый бяспекі прылады на прыладах Intel FPGA і Structured ASIC:

Табліца 1.

Даступная дакументацыя па бяспецы прылады

Назва дакумента
Метадалогія бяспекі для Intel FPGA і структураваных ASIC Кіраўніцтва карыстальніка

Прызначэнне
Дакумент верхняга ўзроўню, які змяшчае падрабязныя апісанні функцый і тэхналогій бяспекі ў Праграмуемых рашэннях Intel. Прызначаецца, каб дапамагчы вам выбраць функцыі бяспекі, неабходныя для дасягнення вашых мэтаў бяспекі.

Ідэнтыфікатар дакумента 721596

Кіраўніцтва карыстальніка Intel Stratix 10 Device Security
Кіраўніцтва карыстальніка Intel Agilex 7 Device Security

Для карыстальнікаў прылад Intel Stratix 10 гэта кіраўніцтва змяшчае інструкцыі па выкарыстанні праграмнага забеспячэння Intel Quartus Prime Pro Edition для рэалізацыі функцый бяспекі, вызначаных з дапамогай Кіраўніцтва карыстальніка па метадалогіі бяспекі.
Для карыстальнікаў прылад Intel Agilex 7 гэта кіраўніцтва змяшчае інструкцыі па выкарыстанні праграмнага забеспячэння Intel Quartus Prime Pro Edition для рэалізацыі функцый бяспекі, вызначаных з дапамогай Кіраўніцтва карыстальніка па метадалогіі бяспекі.

683642 683823

Кіраўніцтва карыстальніка па бяспецы прылады Intel eASIC N5X

Для карыстальнікаў прылад Intel eASIC N5X гэта кіраўніцтва змяшчае інструкцыі па выкарыстанні праграмнага забеспячэння Intel Quartus Prime Pro Edition для рэалізацыі функцый бяспекі, вызначаных з дапамогай Кіраўніцтва карыстальніка па метадалогіі бяспекі.

626836

Кіраўніцтва карыстальніка Intel Agilex 7 і Intel eASIC N5X HPS Cryptographic Services

У гэтым кіраўніцтве змяшчаецца інфармацыя, якая дапаможа інжынерам-праграмістам HPS ва ўкараненні і выкарыстанні праграмных бібліятэк HPS для доступу да крыптаграфічных паслуг, якія прадстаўляюцца SDM.

713026

AN-968 Black Key Provisioning Service Кароткае кіраўніцтва

Гэта кіраўніцтва змяшчае поўны набор крокаў для наладжвання службы Black Key Provisioning.

739071

Размяшчэнне Intel Resource і
Цэнтр дызайну
Intel.com
Intel.com
Цэнтр рэсурсаў і дызайну Intel
Цэнтр рэсурсаў і дызайну Intel
Цэнтр рэсурсаў і дызайну Intel

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 5

683823 | 2023.05.23 Адправіць водгук

Аўтэнтыфікацыя і аўтарызацыя

Каб уключыць функцыі аўтэнтыфікацыі прылады Intel Agilex 7, вы пачынаеце з выкарыстання праграмнага забеспячэння Intel Quartus Prime Pro Edition і звязаных з ім інструментаў для стварэння ланцужка подпісаў. Ланцужок подпісаў складаецца з каранёвага ключа, аднаго або некалькіх ключоў подпісу і адпаведных аўтарызацый. Вы прымяняеце ланцужок подпісаў да свайго праекта Intel Quartus Prime Pro Edition і скампіляванага праграмавання fileс. Скарыстайцеся інструкцыямі ў раздзеле "Прадастаўленне прылад", каб запраграмаваць свой каранёвы ключ на прылады Intel Agilex 7.
Звязаная інфармацыя
Падрыхтоўка прылады на старонцы 25

2.1. Стварэнне ланцужка подпісаў
Вы можаце выкарыстоўваць інструмент quartus_sign або эталонную рэалізацыю agilex_sign.py для выканання аперацый з ланцужком подпісаў. У гэтым дакуменце прадугледжана выпрampз выкарыстаннем знака_кварта.
Каб выкарыстоўваць эталонную рэалізацыю, вы замяняеце выклік інтэрпрэтатара Python, які ўваходзіць у камплект праграмнага забеспячэння Intel Quartus Prime, і прапускаеце опцыю –family=agilex; усе астатнія варыянты эквівалентныя. Напрыкладample, каманда quartus_sign, якую можна знайсці далей у гэтым раздзеле
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky можна пераўтварыць у эквівалентны выклік эталоннай рэалізацыі наступным чынам
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Праграмнае забеспячэнне Intel Quartus Prime Pro Edition уключае інструменты quartus_sign, pgm_py і agilex_sign.py. Вы можаце выкарыстоўваць інструмент каманднай абалонкі Nios® II, які аўтаматычна ўсталёўвае адпаведныя зменныя асяроддзя для доступу да інструментаў.

Выконвайце гэтым інструкцыям, каб выклікаць камандную абалонку Nios II. 1. Адкрыйце камандную абалонку Nios II.

Варыянт Windows
Linux

Апісанне
У меню «Пуск» навядзіце курсор на Праграмы Intel FPGA Nios II EDS і націсніце Nios II Камандная абалонка.
У каманднай абалонцы зменіце на /nios2eds і выканайце наступную каманду:
./nios2_command_shell.sh

Былыampфайлы ў гэтым раздзеле мяркуюць ланцужок подпісаў і бітавы паток канфігурацыі files знаходзяцца ў бягучым працоўным каталогу. Калі вы вырашылі прытрымлівацца эксampключ дзе files захоўваюцца на file сістэме, тыя эксampLes прыняць ключ fileз'яўляюцца

ISO 9001:2015 зарэгістраваны

2. Аўтэнтыфікацыя і аўтарызацыя 683823 | 2023.05.23
знаходзіцца ў бягучым працоўным каталогу. Вы можаце выбраць, якія каталогі выкарыстоўваць, і інструменты падтрымкі аднолькавыя file шляхі. Калі вы вырашылі пакінуць ключ files на file сістэмы, вы павінны старанна кіраваць дазволамі доступу да тых files.
Intel рэкамендуе выкарыстоўваць даступны ў продажы апаратны модуль бяспекі (HSM) для захоўвання крыптаграфічных ключоў і выканання крыптаграфічных аперацый. Інструмент quartus_sign і эталонная рэалізацыя ўключаюць у сябе інтэрфейс праграмнага праграмавання (API) стандарту крыптаграфіі з адкрытым ключом #11 (PKCS #11) для ўзаемадзеяння з HSM падчас выканання аперацый з ланцужком подпісаў. Даведачная рэалізацыя agilex_sign.py уключае анатацыю інтэрфейсу, а таксама exampінтэрфейс для SoftHSM.
Вы можаце выкарыстоўваць гэтыя прыкладыample інтэрфейсы для рэалізацыі інтэрфейсу да вашага HSM. Звярніцеся да дакументацыі ад пастаўшчыка HSM для атрымання дадатковай інфармацыі аб укараненні інтэрфейсу і эксплуатацыі вашага HSM.
SoftHSM - гэта праграмная рэалізацыя агульнай крыптаграфічнай прылады з інтэрфейсам PKCS #11, якая стала даступнай праектам OpenDNSSEC®. Вы можаце знайсці дадатковую інфармацыю, у тым ліку інструкцыі па загрузцы, зборцы і ўсталёўцы OpenHSM, у праекце OpenDNSSEC. Былыampфайлы ў гэтым раздзеле выкарыстоўваюць SoftHSM версіі 2.6.1. Былыampфайлы ў гэтым раздзеле дадаткова выкарыстоўваюць утыліту pkcs11-tool ад OpenSC для выканання дадатковых аперацый PKCS #11 з маркерам SoftHSM. Вы можаце знайсці дадатковую інфармацыю, у тым ліку інструкцыі па загрузцы, зборцы і ўсталёўцы pkcs11tool з OpenSC.
Звязаная інфармацыя
· Праект OpenDNSSEC Падпісчык зоны на аснове палітыкі для аўтаматызацыі працэсу адсочвання ключоў DNSSEC.
· SoftHSM Інфармацыя аб рэалізацыі крыптаграфічнага сховішча, даступнага праз інтэрфейс PKCS #11.
· OpenSC Прадастаўляе набор бібліятэк і ўтыліт, здольных працаваць са смарт-картамі.
2.1.1. Стварэнне пар ключоў аўтэнтыфікацыі на лакальным узроўні File сістэма
Вы выкарыстоўваеце інструмент quartus_sign для стварэння пар ключоў аўтэнтыфікацыі на лакальным file сістэма з выкарыстаннем інструментальных аперацый make_private_pem і make_public_pem. Спачатку вы ствараеце прыватны ключ з дапамогай аперацыі make_private_pem. Вы вызначаеце эліптычную крывую для выкарыстання, прыватны ключ fileімя і, магчыма, абараняць прыватны ключ парольнай фразай. Intel рэкамендуе выкарыстоўваць крывую secp384r1 і прытрымлівацца лепшых галіновых практык для стварэння надзейнай выпадковай фразы-пароля для ўсіх закрытых ключоў fileс. Intel таксама рэкамендуе абмежаваць file сістэмныя дазволы на прыватны ключ .pem files для чытання толькі ўладальнікам. Вы атрымліваеце адкрыты ключ з закрытага ключа з дапамогай аперацыі make_public_pem. Карысна назваць ключ .pem files апісальна. Гэты дакумент выкарыстоўвае канвенцыю _ .pem у наступным прыкладзеampлес.
1. У каманднай абалонцы Nios II запусціце наступную каманду, каб стварыць прыватны ключ. Прыватны ключ, паказаны ніжэй, выкарыстоўваецца ў якасці каранёвага ключа ў наступных версіях exampфайлы, якія ствараюць ланцужок подпісаў. Прылады Intel Agilex 7 падтрымліваюць некалькі каранёвых ключоў, таму вы

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 7

2. Аўтэнтыфікацыя і аўтарызацыя 683823 | 2023.05.23

паўтарыце гэты крок, каб стварыць неабходную колькасць каранёвых ключоў. напрыкладampУсе файлы ў гэтым дакуменце спасылаюцца на першы каранёвы ключ, хоць вы можаце будаваць ланцужкі подпісаў падобным чынам з любым каранёвым ключом.

Варыянт з кодавай фразай

Апісанне
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Увядзіце парольную фразу, калі будзе прапанавана зрабіць гэта.

Без ключавой фразы

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Выканайце наступную каманду, каб стварыць адкрыты ключ з выкарыстаннем закрытага ключа, згенераванага на папярэднім этапе. Вам не трэба абараняць канфідэнцыяльнасць адкрытага ключа.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Запусціце каманды яшчэ раз, каб стварыць пару ключоў, якая выкарыстоўваецца ў якасці ключа подпісу дызайну ў ланцужку подпісу.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Стварэнне пар ключоў аўтэнтыфікацыі ў SoftHSM
SoftHSM exampфайлы ў гэтым раздзеле з'яўляюцца самазгоднымі. Пэўныя параметры залежаць ад вашай устаноўкі SoftHSM і ініцыялізацыі токена ў SoftHSM.
Інструмент quartus_sign залежыць ад бібліятэкі API PKCS #11 з вашага HSM.
БылыampУ гэтым раздзеле мяркуецца, што бібліятэка SoftHSM усталявана ў адно з наступных месцаў: · /usr/local/lib/softhsm2.so у Linux · C:SoftHSM2libsofthsm2.dll у 32-бітнай версіі Windows · C:SoftHSM2libsofthsm2-x64 .dll у 64-разраднай версіі Windows.
Ініцыялізуйце токен у SoftHSM з дапамогай інструмента softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Параметры опцыі, у прыватнасці, этыкетка токена і пін-код токена - гэта прыкладampякія выкарыстоўваюцца ў гэтай главе. Intel рэкамендуе вам прытрымлівацца інструкцый пастаўшчыка HSM па стварэнні і кіраванні маркерамі і ключамі.
Вы ствараеце пары ключоў аўтэнтыфікацыі з дапамогай утыліты pkcs11-tool для ўзаемадзеяння з маркерам у SoftHSM. Замест таго, каб яўна спасылацца на прыватны і адкрыты ключ .pem fileз у file сістэма прamples, вы спасылаецеся на пару ключоў па яе цэтліку, і інструмент аўтаматычна выбірае адпаведны ключ.

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 8

Адправіць водгук

2. Аўтэнтыфікацыя і аўтарызацыя 683823 | 2023.05.23

Выканайце наступныя каманды, каб стварыць пару ключоў, якая выкарыстоўваецца ў якасці каранёвага ключа ў далейшым examples, а таксама пара ключоў, якая выкарыстоўваецца ў якасці ключа подпісу дызайну ў ланцужку подпісу:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

Заўвага:

Параметр ID на гэтым этапе павінен быць унікальным для кожнага ключа, але ён выкарыстоўваецца толькі HSM. Гэты параметр ідэнтыфікатара не звязаны з ідэнтыфікатарам адмены ключа, прызначаным у ланцужку подпісу.

2.1.3. Стварэнне каранёвага запісу ланцужка подпісаў
Пераўтварыце каранёвы адкрыты ключ у каранёвы запіс ланцужка подпісаў, які захоўваецца на лакальным file сістэма ў фармаце ключа Intel Quartus Prime (.qky). file, з аперацыяй make_root. Паўтарыце гэты крок для кожнага каранёвага ключа, які вы ствараеце.
Выканайце наступную каманду, каб стварыць ланцужок подпісаў з каранёвым запісам, выкарыстоўваючы каранёвы адкрыты ключ з file сістэма:
quartus_sign –family=agilex –operation=make_root –key_type=уладальнік root0_public.pem root0.qky
Выканайце наступную каманду, каб стварыць ланцужок подпісаў з каранёвым запісам, выкарыстоўваючы каранёвы ключ з маркера SoftHSM, створанага ў папярэднім раздзеле:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so ” root0 root0.qky

2.1.4. Стварэнне запісу адкрытага ключа ланцужка подпісаў
Стварыце новы запіс адкрытага ключа для ланцужка подпісаў з дапамогай аперацыі append_key. Вы вызначаеце папярэдні ланцужок подпісаў, прыватны ключ для апошняга запісу ў папярэднім ланцужку подпісаў, адкрыты ключ наступнага ўзроўню, дазволы і ідэнтыфікатар адмены, якія вы прызначаеце адкрытаму ключу наступнага ўзроўню, і новы ланцужок подпісаў file.
Звярніце ўвагу, што бібліятэка softHSM недаступная пры ўсталёўцы Quartus і замест гэтага яе трэба ўсталёўваць асобна. Для атрымання дадатковай інфармацыі аб softHSM звярніцеся да раздзела "Стварэнне ланцужка подпісаў" вышэй.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 9

2. Аўтэнтыфікацыя і аўтарызацыя 683823 | 2023.05.23
У залежнасці ад выкарыстання ключоў на file сістэме або ў HSM, вы выкарыстоўваеце адзін з наступных прыкладаўample каманды для дадання адкрытага ключа design0_sign да каранёвага ланцужка подпісаў, створанага ў папярэднім раздзеле:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Вы можаце паўтарыць аперацыю append_key яшчэ два разы для максімум трох запісаў адкрытага ключа паміж каранёвым запісам і запісам блока загалоўка ў любой адной ланцужку подпісаў.
Наступны выпрample мяркуе, што вы стварылі іншы адкрыты ключ аўтэнтыфікацыі з такімі ж дазволамі і прызначаным ідэнтыфікатарам адмены 1 пад назвай design1_sign_public.pem, і дадаеце гэты ключ да ланцужка подпісаў з папярэдняга exampль:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Прылады Intel Agilex 7 уключаюць дадатковы лічыльнік адмены ключа для палягчэння выкарыстання ключа, які можа перыядычна мяняцца на працягу ўсяго тэрміну службы дадзенай прылады. Вы можаце выбраць гэты лічыльнік адмены ключа, змяніўшы аргумент опцыі –cancel на pts:pts_value.
2.2. Падпісанне бітавага патоку канфігурацыі
Прылады Intel Agilex 7 падтрымліваюць лічыльнікі Security Version Number (SVN), якія дазваляюць адклікаць аўтарызацыю аб'екта без адмены ключа. Вы прызначаеце лічыльнік SVN і адпаведнае значэнне лічыльніка SVN падчас падпісання любога аб'екта, напрыклад раздзела бітавага патоку, прашыўкі .zip file, або кампактны сертыфікат. Вы прызначаеце лічыльнік SVN і значэнне SVN з дапамогай опцыі –cancel і svn_counter:svn_value у якасці аргумента. Дапушчальныя значэнні svn_counter: svnA, svnB, svnC і svnD. svn_value - гэта цэлае лік у дыяпазоне [0,63].

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 10

Адправіць водгук

2. Аўтэнтыфікацыя і аўтарызацыя 683823 | 2023.05.23
2.2.1. Квартавы ключ File Заданне
Вы вызначаеце ланцужок подпісаў у сваім праграмным праекце Intel Quartus Prime, каб уключыць функцыю аўтэнтыфікацыі для гэтага дызайну. У меню "Прызначэнні" выберыце "Прылада", "Прылада і PIN-код", "Бяспека", "Ключ Quartus". File, затым перайдзіце да ланцужка подпісаў .qky file вы стварылі, каб падпісаць гэты дызайн.
Малюнак 1. Уключыць наладу бітавага патоку канфігурацыі

Акрамя таго, вы можаце дадаць наступны аператар прысваення ў налады Intel Quartus Prime file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
Каб стварыць .sof file з раней скампіляванага дызайну, які ўключае гэты параметр, у меню «Апрацоўка» выберыце «Запусціць» «Запусціць асэмблер». Новы выхад .sof file уключае ў сябе прызначэнні для ўключэння аўтэнтыфікацыі з прадастаўленай ланцужком подпісаў.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 11

2. Аўтэнтыфікацыя і аўтарызацыя 683823 | 2023.05.23
2.2.2. Сумеснае падпісанне прашыўкі SDM
Вы выкарыстоўваеце інструмент quartus_sign, каб здабываць, падпісваць і ўсталёўваць адпаведную прашыўку SDM .zip file. Сумесна падпісанае ўбудаванае праграмнае забеспячэнне затым уключаецца ў праграмаванне file генератар пры пераўтварэнні .sof file у бітавы паток канфігурацыі .rbf file. Вы выкарыстоўваеце наступныя каманды, каб стварыць новы ланцужок подпісаў і падпісаць прашыўку SDM.
1. Стварыце новую пару ключоў подпісу.
а. Стварыце новую пару ключоў подпісу на file сістэма:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
б. Стварыце новую пару ключоў подпісу ў HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. Стварыце новы ланцужок подпісаў, які змяшчае новы адкрыты ключ:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Скапіруйце прашыўку .zip file з каталога ўстаноўкі праграмнага забеспячэння Intel Quartus Prime Pro Edition ( /devices/programmer/firmware/ agilex.zip) у бягучы працоўны каталог.
quartus_sign –family=agilex –get_firmware=.
4. Падпішыце прашыўку .zip file. Інструмент аўтаматычна распакуе .zip file і асобна падпісвае ўсе прашыўкі .cmf files, затым аднаўляе .zip file для выкарыстання інструментамі ў наступных раздзелах:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 12

Адправіць водгук

2. Аўтэнтыфікацыя і аўтарызацыя 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Бітавы паток канфігурацыі падпісання з дапамогай каманды quartus_sign
Каб падпісаць бітавы паток канфігурацыі з дапамогай каманды quartus_sign, вы спачатку пераўтворыце .sof file у беззнакавы двайковы файл file (.rbf) фармат. Пры жаданні вы можаце ўказаць сумесна падпісанае ўбудаванае праграмнае забеспячэнне з дапамогай параметра fw_source падчас этапу пераўтварэння.
Вы можаце стварыць непадпісаны неапрацаваны бітавы паток у фармаце .rbf з дапамогай наступнай каманды:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Выканайце адну з наступных каманд, каб падпісаць бітавы паток з дапамогай інструмента quartus_sign у залежнасці ад размяшчэння вашых ключоў:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Вы можаце канвертаваць падпісаны .rbf files у іншы бітавы паток канфігурацыі file фарматы.
Напрыкладample, калі вы выкарыстоўваеце прайгравальнік Jam* Standard Test and Programming Language (STAPL) для праграмавання бітавага патоку праз JTAG, вы выкарыстоўваеце наступную каманду для пераўтварэння .rbf file у фармат .jam, які патрабуецца Jam STAPL Player:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Частковая рэканфігурацыя Multi-Authority Support

Прылады Intel Agilex 7 падтрымліваюць шматканфігурацыйную аўтэнтыфікацыю з частковай рэканфігурацыяй, калі ўладальнік прылады стварае і падпісвае статычны бітавы паток, а асобны ўладальнік PR стварае і падпісвае бітавыя патокі PR-персоны. Прылады Intel Agilex 7 рэалізуюць падтрымку некалькіх паўнамоцтваў шляхам прызначэння першых слотаў каранёвага ключа аўтэнтыфікацыі ўладальніку прылады або статычнага бітавага патоку і прызначэння канчатковага слота каранёвага ключа аўтэнтыфікацыі ўладальніку бітавага патоку з частковай рэканфігурацыяй.
Калі функцыя аўтэнтыфікацыі ўключана, усе выявы PR-персон павінны быць падпісаны, у тым ліку ўкладзеныя выявы PR-персон. Выявы PR-персон могуць быць падпісаны альбо ўладальнікам прылады, альбо ўладальнікам PR; аднак бітавыя патокі статычнай вобласці павінны быць падпісаны ўладальнікам прылады.

Заўвага:

Частковае пераналадкаванне статычнага і асабістага бітавага шыфравання пры ўключанай падтрымцы некалькіх аўтарытэтаў плануецца ў наступным выпуску.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 13

2. Аўтэнтыфікацыя і аўтарызацыя 683823 | 2023.05.23

Малюнак 2.

Рэалізацыя падтрымкі некалькіх паўнамоцтваў з частковай рэканфігурацыяй патрабуе некалькіх этапаў:
1. Уладальнік прылады або статычнага бітавага патоку генеруе адзін або некалькі каранёвых ключоў аўтэнтыфікацыі, як апісана ў Стварэнне пар ключоў аўтэнтыфікацыі ў SoftHSM на старонцы 8, дзе параметр –key_type мае значэнне owner.
2. Уладальнік бітавага патоку частковай рэканфігурацыі стварае каранёвы ключ аўтэнтыфікацыі, але змяняе значэнне параметра –key_type на secondary_owner.
3. Уладальнікі дызайну як статычнага бітавага патоку, так і дызайну з частковай рэканфігурацыяй гарантуюць, што сцяжок Уключыць падтрымку некалькіх паўнамоцтваў уключаны на ўкладцы "Прылада прызначэнняў", "Прылада і параметры PIN", "Бяспека".
Intel Quartus Prime Enable Multi-Authority Option Settings

4. Уладальнікі дызайну статычнага бітавага патоку і частковай рэканфігурацыі ствараюць ланцужкі подпісаў на аснове сваіх адпаведных каранёвых ключоў, як апісана ў Стварэнне ланцужка подпісаў на старонцы 6.
5. Уладальнікі як статычнага бітавага патоку, так і дызайну з частковай рэканфігурацыяй пераўтвараюць свае скампіляваныя праекты ў фармат .rbf files і падпішыце .rbf files.
6. Уладальнік прылады або статычнага бітавага патоку стварае і падпісвае кампактны сертыфікат аўтарызацыі праграмы адкрытага ключа PR.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 14

Адправіць водгук

2. Аўтэнтыфікацыя і аўтарызацыя 683823 | 2023.05.23

7. Уладальнік прылады або статычнага бітавага патоку забяспечвае свае хэшы каранёвага ключа аўтэнтыфікацыі на прыладзе, затым праграмуе кампактны сертыфікат аўтарызацыі праграмы адкрытага ключа PR і, нарэшце, забяспечвае частковы рэканфігурацыйны каранёвы ключ уладальніка бітавага патоку на прыладзе. Гэты працэс забеспячэння апісваецца ў раздзеле "Забеспячэнне прылады".
8. Прылада Intel Agilex 7 настроена са статычнай вобласцю .rbf file.
9. Прылада Intel Agilex 7 часткова пераканфігуравана з дызайнам асобы .rbf file.
Звязаная інфармацыя
· Стварэнне ланцужка подпісаў на старонцы 6
· Стварэнне пар ключоў аўтэнтыфікацыі ў SoftHSM на старонцы 8
· Падрыхтоўка прылады на старонцы 25

2.2.5. Праверка ланцужкоў подпісаў бітавага патоку канфігурацыі
Пасля стварэння ланцужкоў подпісаў і падпісаных бітавых патокаў вы можаце пераканацца, што падпісаны бітавы паток правільна канфігуруе прыладу, запраграмаваную з дадзеным каранёвым ключом. Спачатку вы выкарыстоўваеце аперацыю fuse_info каманды quartus_sign, каб надрукаваць хэш каранёвага адкрытага ключа ў тэкст file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Затым вы выкарыстоўваеце параметр check_integrity каманды quartus_pfg, каб праверыць ланцужок подпісаў у кожным раздзеле падпісанага бітавага патоку ў фармаце .rbf. Параметр check_integrity друкуе наступную інфармацыю:
· Статус агульнай праверкі цэласнасці бітавага патоку
· Змест кожнага запісу ў кожнай ланцужку подпісаў, далучанай да кожнага раздзела ў бітавым патоку .rbf file,
· Чаканае значэнне засцерагальніка для хэша каранёвага адкрытага ключа для кожнай ланцужкі подпісаў.
Значэнне з вываду fuse_info павінна адпавядаць радкам Fuse у вывадзе check_integrity.
quartus_pfg –праверка_цэласнасці signed_bitstream.rbf

Вось былыampфайл вываду каманды check_integrity:

Інфармацыя: Каманда: quartus_pfg –check_integrity signed_bitstream.rbf Статус цэласнасці: OK

Раздзел

Тып: CMF

Дэскрыптар подпісу…

Ланцужок подпісаў №0 (запісы: -1, зрушэнне: 96)

Запіс №0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Стварыць ключ...

Крывая: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Стварыць ключ...

Крывая: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 15

2. Аўтэнтыфікацыя і аўтарызацыя 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Запіс №1

Стварыць ключ...

Крывая: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Запіс №2. Дазвол на звязку ключоў: SIGN_CODE. Звязка ключоў можа быць адменена па ID: 3. Ланцужок подпісаў №1 (запісы: -1, зрушэнне: 648)

Запіс №0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Стварыць ключ...

Крывая: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Стварыць ключ...

Крывая: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Запіс №1

Стварыць ключ...

Крывая: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Запіс №2

Стварыць ключ...

Крывая: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Запіс №3 Дазвол бірулькі: SIGN_CODE бірулька можа быць адменена ідэнтыфікатарам: 15 Ланцужок подпісаў №2 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў №3 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў №4 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў №5 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў №6 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў №7 (запісы: -1, зрушэнне: 0)

Тып раздзела: Дэскрыптар подпісу IO … Ланцужок подпісу №0 (запісы: -1, зрушэнне: 96)

Запіс №0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Стварыць ключ...

Крывая: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 16

Адправіць водгук

2. Аўтэнтыфікацыя і аўтарызацыя 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Стварыць ключ...

Крывая: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Запіс №1

Стварыць ключ...

Крывая: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Запіс №2

Стварыць ключ...

Крывая: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Запіс № 3 Дазвол бірулькі: SIGN_CORE Звязка ключоў можа быць адменены ідэнтыфікатарам: 15 Ланцужок подпісаў № 1 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў № 2 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў № 3 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў №4 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў №5 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў №6 (запісы: -1, зрушэнне: 0) Подпіс ланцуг №7 (запісы: -1, зрушэнне: 0)

Раздзел

Тып: HPS

Дэскрыптар подпісу…

Ланцужок подпісаў №0 (запісы: -1, зрушэнне: 96)

Запіс №0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Стварыць ключ...

Крывая: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Стварыць ключ...

Крывая: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Запіс №1

Стварыць ключ...

Крывая: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Запіс №2

Стварыць ключ...

Крывая: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 17

2. Аўтэнтыфікацыя і аўтарызацыя 683823 | 2023.05.23

Запіс №3 Дазвол бірулькі: SIGN_HPS бірулька можа быць адменена ідэнтыфікатарам: 15 Ланцужок подпісаў №1 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў №2 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў №3 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў №4 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў №5 (запісы: -1, зрушэнне: 0) Ланцужок подпісаў №6 (запісы: -1, зрушэнне: 0) Подпіс ланцуг №7 (запісы: -1, зрушэнне: 0)

Тып раздзела: Дэскрыптар подпісу CORE … Ланцужок подпісаў №0 (запісы: -1, зрушэнне: 96)

Запіс №0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Стварыць ключ...

Крывая: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Стварыць ключ...

Крывая: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Запіс №1

Стварыць ключ...

Крывая: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Запіс №2

Стварыць ключ...

Крывая: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 18

Адправіць водгук

683823 | 2023.05.23 Адправіць водгук

Шыфраванне бітавага патоку AES

Шыфраванне бітавага патоку Advanced Encryption Standard (AES) - гэта функцыя, якая дазваляе ўладальніку прылады абараняць канфідэнцыяльнасць інтэлектуальнай уласнасці ў бітавым патоку канфігурацыі.
Каб дапамагчы абараніць канфідэнцыяльнасць ключоў, шыфраванне бітавага патоку канфігурацыі выкарыстоўвае ланцужок ключоў AES. Гэтыя ключы выкарыстоўваюцца для шыфравання дадзеных уладальніка ў бітавым патоку канфігурацыі, дзе першы прамежкавы ключ шыфруецца каранёвым ключом AES.

3.1. Стварэнне каранёвага ключа AES

Вы можаце выкарыстоўваць інструмент quartus_encrypt або даведачную рэалізацыю stratix10_encrypt.py для стварэння каранёвага ключа AES у фармаце праграмнага ключа шыфравання Intel Quartus Prime (.qek). file.

Заўвага:

Stratix10_encrypt.py file выкарыстоўваецца для прылад Intel Stratix® 10 і Intel Agilex 7.

Пры жаданні вы можаце ўказаць базавы ключ, які выкарыстоўваецца для атрымання каранёвага ключа AES і ключа вывядзення ключа, непасрэднае значэнне для каранёвага ключа AES, колькасць прамежкавых ключоў і максімальнае выкарыстанне прамежкавага ключа.

Вы павінны ўказаць сямейства прылад, вывесці .qek file месцазнаходжанне і парольную фразу, калі будзе прапанавана.
Выканайце наступную каманду, каб згенераваць каранёвы ключ AES з выкарыстаннем выпадковых даных для базавага ключа і значэнняў па змаўчанні для колькасці прамежкавых ключоў і максімальнага выкарыстання ключа.
Каб выкарыстоўваць эталонную рэалізацыю, вы замяняеце выклік інтэрпрэтатара Python, які ўваходзіць у камплект праграмнага забеспячэння Intel Quartus Prime, і прапускаеце опцыю –family=agilex; усе астатнія варыянты эквівалентныя. Напрыкладample, каманда quartus_encrypt, знойдзеная далей у раздзеле

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

можна пераўтварыць у эквівалентны выклік эталоннай рэалізацыі наступным чынам pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Налады шыфравання Quartus
Каб уключыць шыфраванне бітавага патоку для распрацоўкі, вы павінны ўказаць адпаведныя параметры з дапамогай панэлі «Прылада прылад прызначэнняў» і «Параметры PIN». Вы выбіраеце сцяжок Уключыць шыфраванне бітавага патоку канфігурацыі і жаданае месца захоўвання ключа шыфравання з выпадальнага меню.

ISO 9001:2015 зарэгістраваны

Малюнак 3. Налады шыфравання Intel Quartus Prime

3. Шыфраванне бітавага патоку AES 683823 | 2023.05.23

Акрамя таго, вы можаце дадаць наступны аператар прысваення ў налады Intel Quartus Prime file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM на set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Калі вы хочаце ўключыць дадатковыя меры па змякчэнні наступстваў атакі па бакавых каналах, вы можаце ўключыць выпадальнае меню Каэфіцыент абнаўлення шыфравання і сцяжок Уключыць скремблирование.

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 20

Адправіць водгук

3. Шыфраванне бітавага патоку AES 683823 | 2023.05.23

Адпаведныя змены ў .qsf:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING на set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Шыфраванне бітавага патоку канфігурацыі
Вы шыфруеце бітавы паток канфігурацыі перад падпісаннем бітавага патоку. Праграмаванне Intel Quartus Prime File Генератар можа аўтаматычна шыфраваць і падпісваць бітавы паток канфігурацыі з дапамогай графічнага інтэрфейсу карыстальніка або каманднага радка.
Пры жаданні вы можаце стварыць часткова зашыфраваны бітавы паток для выкарыстання з інструментамі quartus_encrypt і quartus_sign або эквівалентамі эталоннай рэалізацыі.

3.3.1. Канфігурацыя Шыфраванне бітавага патоку з дапамогай праграмавання File Генератар графічнага інтэрфейсу
Вы можаце выкарыстоўваць Праграмаванне File Генератар для шыфравання і подпісу выявы ўладальніка.

Малюнак 4.

1. На Intel Quartus Prime File у меню абярыце Праграмаванне File Генератар. 2. На выхадзе Files укладкі, пакажыце выхад file тып для вашай канфігурацыі
схема.
Выхад File Спецыфікацыя

Вывад схемы канфігурацыі file укладка
Выхад file тыпу

3. На ўваходзе Files, націсніце «Дадаць бітавы паток» і перайдзіце да файла .sof. 4. Каб задаць параметры шыфравання і аўтэнтыфікацыі, абярыце .sof і націсніце
Уласцівасці. а. Уключыце «Уключыць інструмент подпісу». б. Для закрытага ключа file абярыце прыватны ключ подпісу .pem file. в. Уключыце «Завяршыць шыфраванне».

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 21

3. Шыфраванне бітавага патоку AES 683823 | 2023.05.23

Малюнак 5.

d. Для ключа шыфравання file, выберыце свой AES .qek file. Увод (.sof) File Уласцівасці для аўтэнтыфікацыі і шыфравання

Уключыць аўтэнтыфікацыю. Укажыце прыватны каранёвы .pem
Уключыць шыфраванне Укажыце ключ шыфравання
5. Для стварэння падпісанага і зашыфраванага бітавага патоку на ўваходзе Fileна ўкладцы, націсніце Стварыць. З'явяцца дыялогавыя вокны з паролем, каб вы маглі ўвесці пароль для ключа AES .qek file і падпісанне прыватнага ключа .pem file. Праграмаванне file генератар стварае зашыфраваны і падпісаны выхад_file.rbf.
3.3.2. Канфігурацыя Шыфраванне бітавага патоку з дапамогай праграмавання File Інтэрфейс каманднага радка генератара
Стварыце зашыфраваны і падпісаны бітавы паток канфігурацыі ў фармаце .rbf з дапамогай інтэрфейсу каманднага радка quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o подпіс=ON -o pem_file=design0_sign_private.pem
Вы можаце пераўтварыць зашыфраваны і падпісаны бітавы паток канфігурацыі ў фармаце .rbf у іншы бітавы паток канфігурацыі file фарматы.
3.3.3. Генерацыя бітавага патоку часткова зашыфраванай канфігурацыі з дапамогай інтэрфейсу каманднага радка
Вы можаце стварыць часткова зашыфраванае праграмаванне file каб завяршыць шыфраванне і падпісаць малюнак пазней. Стварыце часткова зашыфраванае праграмаванне file у фармаце .rbf з інтэрфейсам каманднага радка quartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 22

Адправіць водгук

3. Шыфраванне бітавага патоку AES 683823 | 2023.05.23
Вы выкарыстоўваеце інструмент каманднага радка quartus_encrypt для завяршэння шыфравання бітавага патоку:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Вы выкарыстоўваеце інструмент каманднага радка quartus_sign для падпісання зашыфраванага бітавага патоку канфігурацыі:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Шыфраванне бітавага патоку частковай рэканфігурацыі
Вы можаце ўключыць шыфраванне бітавага патоку на некаторых канструкцыях Intel Agilex 7 FPGA, якія выкарыстоўваюць частковую рэканфігурацыю.
Праекты частковай рэканфігурацыі з выкарыстаннем іерархічнай частковай рэканфігурацыі (HPR) або частковай рэканфігурацыі статычнага абнаўлення (SUPR) не падтрымліваюць шыфраванне бітавага патоку. Калі ваш дызайн змяшчае некалькі рэгіёнаў PR, вы павінны зашыфраваць усе персоны.
Каб уключыць шыфраванне бітавага патоку з частковай рэканфігурацыяй, выконвайце тую ж працэдуру ва ўсіх версіях дызайну. 1. На Intel Quartus Prime File у меню выберыце Прылада прысваення Прылада
і Параметры PIN Бяспека. 2. Выберыце жаданае месца захоўвання ключа шыфравання.
Малюнак 6. Налада шыфравання бітавага патоку частковай рэканфігурацыі

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 23

3. Шыфраванне бітавага патоку AES 683823 | 2023.05.23
Акрамя таго, вы можаце дадаць наступны аператар прысваення ў наладах Quartus Prime file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION на
Пасля кампіляцыі базавага дызайну і змяненняў праграмнае забеспячэнне стварае a.soffile і адзін або больш.pmsffiles, якія прадстаўляюць персон. 3. Стварэнне зашыфраваных і падпісаных праграм files from.sof і.pmsf files падобным чынам да канструкцый без уключанай частковай рэканфігурацыі. 4. Пераўтварыце скампіляваны persona.pmsf file у часткова зашыфраваны.rbf file:
quartus_pfg -c -o finalize_encryption_later=ВКЛ -o sign_later=ВКЛ encryption_enabled_persona1.pmsf persona1.rbf
5. Завяршыце шыфраванне бітавага патоку з дапамогай інструмента каманднага радка quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Падпішыце зашыфраваны бітавы паток канфігурацыі з дапамогай інструмента каманднага радка quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 24

Адправіць водгук

683823 | 2023.05.23 Адправіць водгук

Забеспячэнне прылады

Першапачатковае забеспячэнне функцый бяспекі падтрымліваецца толькі ў прашыўцы забеспячэння SDM. Выкарыстоўвайце праграміст Intel Quartus Prime Programmer, каб загрузіць убудаванае праграмнае забеспячэнне SDM і выканаць аперацыі забеспячэння.
Вы можаце выкарыстоўваць любы тып JTAG спампуйце кабель для падлучэння Quartus Programmer да прылады Intel Agilex 7 для выканання аперацый забеспячэння.
4.1. Выкарыстанне прашыўкі SDM Provision
Intel Quartus Prime Programmer аўтаматычна стварае і загружае заводскі дапаможны вобраз, калі вы выбіраеце аперацыю ініцыялізацыі і каманду для праграмавання чагосьці іншага, чым бітавы паток канфігурацыі.
У залежнасці ад указанай каманды праграмавання, заводскі вобраз дапаможніка можа быць аднаго з двух тыпаў:
· Дапаможны вобраз забеспячэння – складаецца з аднаго раздзела бітавага патоку, які змяшчае ўбудаванае праграмнае забеспячэнне забеспячэння SDM.
· Дапаможны вобраз QSPI–складаецца з двух раздзелаў бітавага патоку, адзін змяшчае асноўнае ўбудаванае праграмнае забеспячэнне SDM і адзін раздзел уводу/вываду.
Вы можаце стварыць заводскі дапаможны вобраз file загрузіць у прыладу перад выкананнем любой каманды праграмавання. Пасля праграмавання хэша каранёвага ключа аўтэнтыфікацыі вы павінны стварыць і падпісаць фабрычны дапаможны вобраз QSPI па змаўчанні з-за ўключанага раздзела ўводу-вываду. Калі вы дадаткова запраграмуеце наладу бяспекі ўбудаванага праграмнага забеспячэння з сумеснай подпісам eFuse, вы павінны стварыць дапаможныя вобразы забеспячэння і QSPI па змаўчанні з дапамогай убудаванага ПЗ, падпісанага разам. Вы можаце выкарыстоўваць сумесна падпісаны заводскі вобраз дапаможніка па змаўчанні на непадрыхтаваным прыладзе, паколькі непадрыхтаванае прылада ігнаруе ланцужкі подпісаў не-Intel праз убудаванае праграмнае забеспячэнне SDM. Звярніцеся да Выкарыстанне фабрычнага дапаможнага вобраза QSPI па змаўчанні на ўласных прыладах на старонцы 26 для атрымання дадатковай інфармацыі аб стварэнні, падпісанні і выкарыстанні заводскага дапаможнага вобраза QSPI.
Завадскі дапаможны вобраз забеспячэння па змаўчанні выконвае дзеянне забеспячэння, напрыклад, праграмаванне хэша каранёвага ключа аўтэнтыфікацыі, засцерагальнікі налад бяспекі, рэгістрацыю PUF або падрыхтоўку чорнага ключа. Вы карыстаецеся праграмаваннем Intel Quartus Prime File Інструмент каманднага радка генератара для стварэння дапаможнага вобраза забеспячэння з указаннем параметру helper_image, імя вашага дапаможнага_прылада, падтыпу дапаможнага вобраза забеспячэння і, магчыма, сумесна падпісанага .zip прашыўкі file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Запраграмуйце дапаможны вобраз з дапамогай інструмента Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” – прымусова

ISO 9001:2015 зарэгістраваны

4. Падрыхтоўка прылады 683823 | 2023.05.23

Заўвага:

Вы можаце апусціць аперацыю ініцыялізацыі з каманд, у тым ліку exampфайлы, прадстаўленыя ў гэтым раздзеле, альбо пасля праграмавання выявы дапаможніка забеспячэння, альбо пасля выкарыстання каманды, якая змяшчае аперацыю ініцыялізацыі.

4.2. Выкарыстанне фабрычнага дапаможнага малюнка QSPI па змаўчанні на ўласных прыладах
Праграміст Intel Quartus Prime аўтаматычна стварае і загружае стандартны дапаможны вобраз QSPI, калі вы выбіраеце аперацыю ініцыялізацыі для праграмавання флэш-памяці QSPI file. Пасля праграмавання хэша каранёвага ключа аўтэнтыфікацыі вы павінны стварыць і падпісаць фабрычны дапаможны вобраз QSPI па змаўчанні і асобна запраграмаваць падпісаны заводскі дапаможны вобраз QSPI перад праграмаваннем флэш-памяці QSPI. 1. Вы выкарыстоўваеце Intel Quartus Prime Programming File Інструмент каманднага радка генератар
стварыце дапаможны вобраз QSPI, указаўшы опцыю helper_image, тып дапаможнай_прылады, падтып дапаможнага відарыса QSPI і, неабавязкова, .zip прашыўкі з супадпісам file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Вы падпісваеце фабрычны дапаможны вобраз QSPI па змаўчанні:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Вы можаце выкарыстоўваць любое праграмаванне флэш-памяці QSPI file фармат. Наступны выпрampвыкарыстоўваць бітавы паток канфігурацыі, ператвораны ў .jic file фармат:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o прылада=MT25QU128 -o flash_loader=AGFB014R24A -o рэжым=ASX4
4. Вы праграмуеце падпісаны дапаможны вобраз з дапамогай інструмента Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” – прымусова
5. Вы запраграмуеце выяву .jic для ўспышкі з дапамогай інструмента Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”

4.3. Прадастаўленне каранёвага ключа аўтэнтыфікацыі
Каб запраграмаваць хэшы каранёвага ключа ўладальніка на фізічныя засцерагальнікі, спачатку трэба загрузіць убудаванае праграмнае забеспячэнне, потым запраграмаваць хэшы каранёвага ключа ўладальніка, а затым неадкладна выканаць скід пры ўключэнні. Скід налад пры ўключэнні харчавання не патрабуецца, калі праграмаванне хэшаў каранёвага ключа на віртуальныя засцерагальнікі.

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 26

Адправіць водгук

4. Падрыхтоўка прылады 683823 | 2023.05.23
Каб запраграмаваць хэшы каранёвага ключа аўтэнтыфікацыі, вы запраграмуеце дапаможны вобраз убудаванага праграмнага забеспячэння і выканаеце адну з наступных каманд, каб запраграмаваць каранёвы ключ .qky files.
// Для фізічных (энерганезалежных) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –незалежны_ключ
// Для віртуальных (нестабільных) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky”
4.3.1. Праграмаванне каранёвага ключа з некалькімі органамі частковай рэканфігурацыі
Пасля прадастаўлення каранёвых ключоў уладальніка бітавага патоку прылады або статычнай вобласці вы зноў загружаеце дапаможны вобраз прадастаўлення прылады, праграмуеце падпісаны кампактны сертыфікат аўтарызацыі праграмы адкрытага ключа PR, а затым прадастаўляеце каранёвы ключ уладальніка бітавага патоку асобы PR.
// Для фізічных (энерганезалежных) eFuses quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –незалежны_ключ
// Для віртуальных (нестабільных) eFuses quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Засцерагальнікі ідэнтыфікатара адмены ключа праграмавання
Пачынаючы з праграмнага забеспячэння Intel Quartus Prime Pro Edition версіі 21.1, праграмаванне засцерагальнікаў Intel і ідэнтыфікатара адмены ключа ўладальніка патрабуе выкарыстання падпісанага кампактнага сертыфіката. Вы можаце падпісаць кампактны сертыфікат ідэнтыфікатара адмены ключа з дапамогай ланцужка подпісаў, які мае дазволы на подпіс раздзела FPGA. Вы ствараеце кампактны сертыфікат з праграмаваннем file Генератар інструмента каманднага радка. Вы падпісваеце непадпісаны сертыфікат з дапамогай інструмента quartus_sign або эталоннай рэалізацыі.
Прылады Intel Agilex 7 падтрымліваюць асобныя банкі ідэнтыфікатараў адмены ключа ўладальніка для кожнага каранёвага ключа. Калі кампактны сертыфікат ідэнтыфікатара адмены ключа ўладальніка запраграмаваны ў FPGA Intel Agilex 7, SDM вызначае, які каранёвы ключ падпісаў кампактны сертыфікат, і перагарае засцерагальнік ідэнтыфікатара адмены ключа, які адпавядае гэтаму каранёваму ключу.
Наступны выпрamples стварыць сертыфікат адмены ключа Intel для ідэнтыфікатара ключа Intel 7. Вы можаце замяніць 7 адпаведным ідэнтыфікатарам адмены ключа Intel ад 0-31.
Выканайце наступную каманду, каб стварыць кампактны сертыфікат адмены ключа Intel без подпісу:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Выканайце адну з наступных каманд, каб падпісаць непадпісаны кампактны сертыфікат ідэнтыфікатара адмены ключа Intel:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 27

4. Падрыхтоўка прылады 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Выканайце наступную каманду, каб стварыць кампактны сертыфікат адмены ключа ўладальніка без подпісу:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Выканайце адну з наступных каманд, каб падпісаць кампактны сертыфікат ідэнтыфікатара адмены ключа ўладальніка без подпісу:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Пасля таго, як вы стварылі кампактны сертыфікат ідэнтыфікатара адмены ключа з подпісам, вы выкарыстоўваеце Intel Quartus Prime Programmer, каб запраграмаваць кампактны сертыфікат на прыладу праз JTAG.
//Для фізічных (энерганезалежных) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –незалежны_ключ
//Для віртуальных (незалежных) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
Вы можаце дадаткова адправіць кампактны сертыфікат у SDM з дапамогай інтэрфейсу паштовай скрыні FPGA або HPS.
4.5. Адмена каранёвых ключоў
Прылады Intel Agilex 7 дазваляюць адмяняць хэшы каранёвага ключа, калі прысутнічае іншы нескасаваны хэш каранёвага ключа. Вы адмяняеце хэш каранёвага ключа, спачатку наладзіўшы ў прыладзе дызайн, ланцужок подпісаў якога ўкаранёны ў іншы хэш каранёвага ключа, а потым запраграмуеце кампактны сертыфікат адмены хэша каранёвага ключа з подпісам. Вы павінны падпісаць кампактны сертыфікат адмены хэша каранёвага ключа ланцужком подпісаў, укаранёным у каранёвым ключы, які трэба ануляваць.
Выканайце наступную каманду, каб стварыць кампактны сертыфікат адмены хэша каранёвага ключа без подпісу:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 28

Адправіць водгук

4. Падрыхтоўка прылады 683823 | 2023.05.23

Выканайце адну з наступных каманд, каб падпісаць кампактны сертыфікат адмены хэша каранёвага ключа без подпісу:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Вы можаце запраграмаваць кампактны сертыфікат адмены хэша каранёвага ключа праз JTAG, FPGA або паштовыя скрыні HPS.

4.6. Праграмаванне лічыльнікаў засцерагальнікаў
Вы абнаўляеце нумар версіі бяспекі (SVN) і псеўда час Stamp (PTS) сустрэчныя засцерагальнікі з выкарыстаннем падпісаных кампактных сертыфікатаў.

Заўвага:

SDM адсочвае мінімальнае значэнне лічыльніка, якое назіраецца падчас дадзенай канфігурацыі, і не прымае сертыфікаты павелічэння лічыльніка, калі значэнне лічыльніка меншае за мінімальнае значэнне. Вы павінны абнавіць усе аб'екты, прызначаныя лічыльніку, і пераналадзіць прыладу перад праграмаваннем кампактнага сертыфіката прырашчэння лічыльніка.

Выканайце адну з наступных каманд, якая адпавядае сертыфікату прырашчэння лічыльніка, які вы хочаце стварыць.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o лічыльнік=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o лічыльнік=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o лічыльнік=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o лічыльнік=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o лічыльнік=<-1:63> unsigned_svnD.ccert

Значэнне лічыльніка, роўнае 1, стварае сертыфікат аўтарызацыі прырашчэння лічыльніка. Праграмаванне кампактнага сертыфіката аўтарызацыі прырашчэння лічыльніка дазваляе праграмаваць дадатковыя непадпісаныя сертыфікаты прырашчэння лічыльніка для абнаўлення адпаведнага лічыльніка. Вы выкарыстоўваеце інструмент quartus_sign для падпісання сустрэчных кампактных сертыфікатаў падобным чынам да кампактных сертыфікатаў ідэнтыфікатара адмены ключа.
Вы можаце запраграмаваць кампактны сертыфікат адмены хэша каранёвага ключа праз JTAG, FPGA або паштовыя скрыні HPS.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 29

4. Падрыхтоўка прылады 683823 | 2023.05.23

4.7. Прадастаўленне каранёвага ключа службы бяспечнага аб'екта дадзеных
Вы выкарыстоўваеце Intel Quartus Prime Programmer для забеспячэння каранёвага ключа Secure Data Object Service (SDOS). Праграміст аўтаматычна загружае дапаможны вобраз прашыўкі для забеспячэння каранёвага ключа SDOS.
quartus_pgm c 1 мджtag –service_root_key –non_volatile_key

4.8. Налада бяспекі Забеспячэнне засцерагальніка
Выкарыстоўвайце Intel Quartus Prime Programmer, каб праверыць засцерагальнікі налад бяспекі прылады і запісаць іх у тэкставы файл .fuse file наступным чынам:
quartus_pgm -c 1 -mjtag -o “ei;праграмаванне_file.засцерагальнік;AGFB014R24B”

Параметры · i: Праграміст загружае дапаможны вобраз прашыўкі забеспячэння на прыладу. · e: Праграміст счытвае засцерагальнік з прылады і захоўвае яго ў .fuse file.

.засцерагальнік file змяшчае спіс пар імя-значэнне. Значэнне паказвае, ці перагарэў засцерагальнік, ці змесціва поля засцерагальніка.

Наступны выпрample паказвае фармат .fuse file:

# Прашыўка з сумесным подпісам

= «Не падарваны»

# Device Permit Kill

= «Не падарваны»

# Прылада не абаронена

= «Не падарваны»

# Адключыць адладку HPS

= «Не падарваны»

# Адключыць рэгістрацыю PUF з унутраным ідэнтыфікатарам

= «Не падарваны»

# Адключыць JTAG

= «Не падарваны»

# Адключыць ключ шыфравання ў PUF

= «Не падарваны»

# Адключыць ключ шыфравання ўладальніка ў BBRAM = «Не ўздута»

# Адключыце ключ шыфравання ўладальніка ў eFuses = «Не ўзарваўся»

# Адключыць хэш адкрытага ключа каранёвага ўладальніка 0

= «Не падарваны»

# Адключыць хэш адкрытага ключа каранёвага ўладальніка 1

= «Не падарваны»

# Адключыць хэш адкрытага ключа каранёвага ўладальніка 2

= «Не падарваны»

# Адключыць віртуальныя eFuse

= «Не падарваны»

# Прымусова перавесці такт SDM на ўнутраны асцылятар = «Не перагараецца»

# Прымусовае абнаўленне ключа шыфравання

= «Не падарваны»

# Яўная адмена ключа Intel

= «0»

# Блакіроўка бяспекі eFuses

= «Не падарваны»

# Праграма ключа шыфравання ўладальніка зроблена

= «Не падарваны»

# Запуск праграмы ключа шыфравання ўладальніка

= «Не падарваны»

# Яўная адмена ключа ўладальніка 0

= “”

# Яўная адмена ключа ўладальніка 1

= “”

# Яўная адмена ключа ўладальніка 2

= “”

# Засцерагальнікі ўладальніка

«0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Хэш адкрытага ключа каранёвага ўладальніка 0

«0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Хэш адкрытага ключа каранёвага ўладальніка 1

«0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Хэш адкрытага ключа каранёвага ўладальніка 2

«0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Памер адкрытага каранёвага ключа ўладальніка

= «Няма»

# Лічыльнік PTS

= «0»

# База лічыльніка PTS

= «0»

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 30

Адправіць водгук

4. Падрыхтоўка прылады 683823 | 2023.05.23

# Затрымка запуску QSPI # Лічыльнік RMA # SDMIO0 з'яўляецца I2C # Лічыльнік SVN A # Лічыльнік SVN B # Лічыльнік SVN C # Лічыльнік SVN D

= “10 мс” = “0” = “Не прадзьмухваецца” = “0” = “0” = “0” = “0”

Змяніць .fuse file каб усталяваць патрэбныя засцерагальнікі налад бяспекі. Радок, які пачынаецца з #, разглядаецца як радок каментарыя. Каб запраграмаваць засцерагальнік налад бяспекі, выдаліце першы # і ўсталюйце значэнне «Перагарэў». Напрыкладample, каб уключыць засцерагальнік налад бяспекі сумесна падпісанай прашыўкі, змяніце першы радок засцерагальніка file да наступнага:
Прашыўка з сумесным подпісам = «Падарвана»

Вы таксама можаце прызначыць і запраграмаваць засцерагальнікі ўладальніка ў залежнасці ад вашых патрабаванняў.
Вы можаце выкарыстоўваць наступную каманду, каб выканаць пустую праверку, запраграмаваць і праверыць адкрыты адкрыты ключ уладальніка:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

Параметры · i: Загружае дапаможны вобраз прашыўкі забеспячэння на прыладу. · b: Выконвае пустую праверку, каб пераканацца, што засцерагальнікі не патрэбныя наладкі бяспекі
ужо ўзарваўся. · p: Праграмуе засцерагальнік. · v: Правярае запраграмаваны ключ на прыладзе.
Пасля праграмавання .qky file, вы можаце азнаёміцца з інфармацыяй аб засцерагальніку, праверыўшы інфармацыю аб засцерагальніку яшчэ раз, каб пераканацца, што і хэш адкрытага ключа ўладальніка, і памер адкрытага ключа ўладальніка маюць ненулявыя значэнні.
У той час як наступныя палі недаступныя для запісу праз .fuse file метад, яны ўключаюцца падчас вываду аперацыі агляду для праверкі: · Прылада не бяспечная · Прылада дазваляе знішчыць · Адключыць хэш адкрытага ключа ўладальніка 0 · Адключыць хэш 1 каранёвага ключа ўладальніка · Адключыць хэш адкрытага ключа ўладальніка 2 · Адмена ключа Intel · Запуск праграмы ключа шыфравання ўладальніка · Праграма ключа шыфравання ўладальніка выканана · Адмена ключа ўладальніка · Хэш адкрытага ключа ўладальніка · Памер адкрытага ключа ўладальніка · Хэш адкрытага ключа каранёвага ўладальніка 0 · Хэш адкрытага ключа каранёвага ўладальніка 1 · Хэш адкрытага ключа ўладальніка 2

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 31

4. Падрыхтоўка прылады 683823 | 2023.05.23
· Лічыльнік PTS · База лічыльніка PTS · Затрымка запуску QSPI · Лічыльнік RMA · SDMIO0 з'яўляецца I2C · Лічыльнік SVN A · Лічыльнік SVN B · Лічыльнік SVN C · Лічыльнік SVN D
Для праграмавання .fuse выкарыстоўвайце праграміст Intel Quartus Prime file назад да прылады. Калі вы дадаеце опцыю i, праграміст аўтаматычна загружае ўбудаванае праграмнае забеспячэнне, каб запраграмаваць засцерагальнікі налад бяспекі.
//Для фізічных (энерганезалежных) eFuses quartus_pgm -c 1 -mjtag -o “pi;праграмаванне_file.засцерагальнік” – энерганезалежны_ключ
//Для віртуальных (незалежных) eFuses quartus_pgm -c 1 -mjtag -o “pi;праграмаванне_file.засцерагальнік”
Вы можаце выкарыстоўваць наступную каманду, каб праверыць, ці супадае хэш каранёвага ключа прылады з .qky, прадстаўленым у камандзе:
quartus_pgm -c 1 -mjtag -o “v;root0_another.qky”
Калі ключы не супадаюць, Праграміст выходзіць з ладу з паведамленнем пра памылку Operation failed.
4.9. Прадастаўленне каранёвага ключа AES
Вы павінны выкарыстоўваць падпісаны кампактны сертыфікат каранёвага ключа AES, каб запраграмаваць каранёвы ключ AES на прыладу Intel Agilex 7.
4.9.1. Кампактны сертыфікат каранёвага ключа AES
Вы выкарыстоўваеце інструмент каманднага радка quartus_pfg для пераўтварэння каранёвага ключа AES у .qek file у кампактны фармат сертыфіката .ccert. Вы вызначаеце месца захоўвання ключа пры стварэнні кампактнага сертыфіката. Вы можаце выкарыстоўваць інструмент quartus_pfg для стварэння непадпісанага сертыфіката для наступнага падпісання. Каб паспяхова падпісаць кампактны сертыфікат каранёвага ключа AES, вы павінны выкарыстоўваць ланцужок подпісаў з уключаным дазволам на подпіс сертыфіката каранёвага ключа AES, біт дазволу 6.

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 32

Адправіць водгук

4. Падрыхтоўка прылады 683823 | 2023.05.23
1. Стварыце дадатковую пару ключоў, якая выкарыстоўваецца для падпісання кампактнага сертыфіката ключа AES, выкарыстоўваючы адну з наступных каманд напрampлес:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen механізм ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. Стварыце ланцужок подпісаў з правільным наборам бітаў дазволу з дапамогай адной з наступных каманд:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Стварыце непадпісаны кампактны сертыфікат AES для патрэбнага месца захоўвання каранёвага ключа AES. Даступныя наступныя варыянты захавання каранёвага ключа AES:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Стварыце непадпісаны каранёвы ключ eFuse AES quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Падпішыце кампактны сертыфікат з дапамогай каманды quartus_sign або эталоннай рэалізацыі.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert падпісаны_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 33

4. Падрыхтоўка прылады 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert падпісаны_ 1.ccert
5. Выкарыстоўвайце Intel Quartus Prime Programmer, каб запраграмаваць кампактны сертыфікат каранёвага ключа AES на прыладу Intel Agilex 7 праз JTAG. Intel Quartus Prime Programmer па змаўчанні праграмуе віртуальныя eFuse пры выкарыстанні тыпу кампактнага сертыфіката EFUSE_WRAPPED_AES_KEY.
Вы дадаеце параметр –non_volatile_key, каб задаць праграмаванне фізічных засцерагальнікаў.
//Для фізічнага (энерганезалежнага) каранёвага ключа eFuse AES quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –незалежны_ключ

//Для віртуальнага (незалежнага) каранёвага ключа eFuse AES quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”

//Для каранёвага ключа BBRAM AES quartus_pgm -c 1 -mjtag -o “pi;signed_bbram1.ccert”

Убудаванае праграмнае забеспячэнне SDM і асноўнае ўбудаванае праграмнае забеспячэнне падтрымліваюць праграмаванне сертыфіката каранёвага ключа AES. Вы таксама можаце выкарыстоўваць інтэрфейс паштовай скрыні SDM з FPGA або HPS для праграмавання сертыфіката каранёвага ключа AES.

Заўвага:

Каманда quartus_pgm не падтрымлівае параметры b і v для кампактных сертыфікатаў (.ccert).

4.9.2. Intrinsic ID® PUF AES Root Key Provisioning
Укараненне ключа AES з унутраным* ідэнтыфікатарам PUF ўключае ў сябе наступныя этапы: 1. Рэгістрацыя PUF з унутраным ідэнтыфікатарам праз JTAG. 2. Упакоўка каранёвага ключа AES. 3. Праграмаванне дапаможных дадзеных і загорнутага ключа ў чатырох'ядравую флэш-памяць SPI. 4. Запыт статусу актывацыі Intrinsic ID PUF.
Выкарыстанне тэхналогіі Intrinsic ID патрабуе асобнага ліцэнзійнага пагаднення з Intrinsic ID. Праграмнае забеспячэнне Intel Quartus Prime Pro Edition абмяжоўвае аперацыі PUF без адпаведнай ліцэнзіі, такія як рэгістрацыя, упакоўка ключоў і праграмаванне дадзеных PUF для флэш-памяці QSPI.

4.9.2.1. Унутраны ID рэгістрацыя PUF
Каб зарэгістраваць PUF, вы павінны выкарыстоўваць убудаванае праграмнае забеспячэнне SDM. Убудаванае праграмнае забеспячэнне павінна быць першым убудаваным праграмным забеспячэннем, загружаным пасля цыкла харчавання, і вы павінны ўвесці каманду рэгістрацыі PUF перад любой іншай камандай. Убудаванае праграмнае забеспячэнне падтрымлівае іншыя каманды пасля рэгістрацыі PUF, у тым ліку ўпакоўку каранёвага ключа AES і праграмаванне квадрацыклаў SPI, аднак для загрузкі бітавага патоку канфігурацыі неабходна ўключыць і выключыць прыладу.
Вы выкарыстоўваеце Intel Quartus Prime Programmer для запуску рэгістрацыі PUF і стварэння дапаможных даных PUF .puf file.

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 34

Адправіць водгук

4. Падрыхтоўка прылады 683823 | 2023.05.23

Малюнак 7.

Унутраная рэгістрацыя ID PUF
quartus_pgm Залічэнне PUF

Дапаможныя даныя PUF рэгістрацыі

Дыспетчар бяспечных прылад (SDM)

дапаможныя даныя wrapper.puf
Праграміст аўтаматычна загружае дапаможны вобраз убудаванага праграмнага забеспячэння, калі вы вызначаеце як аперацыю i, так і аргумент .puf.
quartus_pgm -c 1 -mjtag -o «ei;help_data.puf;AGFB014R24A»
Калі вы выкарыстоўваеце сумесна падпісанае ўбудаванае праграмнае забеспячэнне, вы запраграмуеце сумесна падпісаны дапаможны вобраз убудаванага праграмнага забеспячэння перад выкарыстаннем каманды рэгістрацыі PUF.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o “e;help_data.puf;AGFB014R24A”
UDS IID PUF рэгіструецца падчас вытворчасці прылады і недаступны для паўторнай рэгістрацыі. Замест гэтага вы выкарыстоўваеце праграміст для вызначэння месцазнаходжання дапаможных даных UDS PUF на IPCS, спампуйце .puf file непасрэдна, а затым выкарыстоўваць UDS .puf file гэтак жа, як і .puf file выняты з прылады Intel Agilex 7.
Выкарыстоўвайце наступную каманду Programmer для стварэння тэксту file які змяшчае спіс URLs, які паказвае на прыладу fileна IPCS:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” – ipcs_urls
4.9.2.2. Упакоўка каранёвага ключа AES
Вы ствараеце каранёвы ключ AES .wkey, абгорнуты IID PUF file шляхам адпраўкі падпісанага сертыфіката ў SDM.
Вы можаце выкарыстоўваць Intel Quartus Prime Programmer для аўтаматычнай генерацыі, падпісання і адпраўкі сертыфіката, каб абгарнуць ваш каранёвы ключ AES, або вы можаце выкарыстоўваць Intel Quartus Prime Programming File Генератар для стварэння непадпісанага сертыфіката. Вы падпісваеце непадпісаны сертыфікат з дапамогай уласных інструментаў або інструмента подпісу Quartus. Затым вы выкарыстоўваеце праграміст, каб адправіць падпісаны сертыфікат і абгарнуць свой каранёвы ключ AES. Падпісаны сертыфікат можна выкарыстоўваць для праграмавання ўсіх прылад, якія могуць правяраць ланцужок подпісаў.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 35

4. Падрыхтоўка прылады 683823 | 2023.05.23

Малюнак 8.

Абгортка ключа AES з дапамогай праграміста Intel Quartus Prime
.pem Прыватны
ключ

.qky

quartus_pgm

Перакласці ключ AES

AES.QSKigYnature RootCPhuabilnic Key

Стварыце ключ, абгорнуты PUF

Загорнуты ключ AES

СДМ

.qek Шыфраванне
ключ

.wkey у ППУ-абгортцы
Ключ AES

1. Вы можаце згенераваць каранёвы ключ AES з абгорткай IID PUF (.wkey) з дапамогай праграміста, выкарыстоўваючы наступныя аргументы:
· .qky file які змяшчае ланцужок подпісаў з дазволам сертыфіката каранёвага ключа AES
· Прыватны .pem file для апошняга ключа ў ланцужку подпісаў
· .qek file утрымліваючы каранёвы ключ AES
· 16-байтавы вектар ініцыялізацыі (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o «ei;aes.wkey;AGFB014R24A»

2. У якасці альтэрнатывы вы можаце стварыць сертыфікат каранёвага ключа AES без подпісу IID PUF з пакетам Праграмаванне File Генератар з выкарыстаннем наступных аргументаў:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Вы падпісваеце непадпісаны сертыфікат з дапамогай уласных інструментаў подпісу або інструмента quartus_sign з дапамогай наступнай каманды:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Затым вы выкарыстоўваеце праграміст для адпраўкі падпісанага сертыфіката AES і вяртання загорнутага ключа (.wkey) file:

кварц_пгм -с 1 -мжtag –ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Заўвага: аперацыя i не патрэбна, калі вы раней загрузілі дапаможны вобраз убудаванага праграмнага забеспячэння, напрыкладample, каб залічыць PUF.

4.9.2.3. Дапаможныя даныя праграмавання і запакаваны ключ для флэш-памяці QSPI
Вы карыстаецеся праграмаваннем Quartus File Графічны інтэрфейс генератара для стварэння першапачатковага флэш-вобраза QSPI, які змяшчае раздзел PUF. Вы павінны стварыць і запраграмаваць увесь вобраз праграмавання флэш-памяці, каб дадаць раздзел PUF да флэш-памяці QSPI. Стварэнне ПУФ

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 36

Адправіць водгук

4. Падрыхтоўка прылады 683823 | 2023.05.23

Малюнак 9.

раздзел дадзеных і выкарыстанне дапаможных дадзеных PUF і загорнутага ключа files для генерацыі флэш-выяў не падтрымліваецца праз праграмаванне File Інтэрфейс каманднага радка генератара.
Наступныя крокі дэманструюць стварэнне вобраза флэш-праграмавання з дапаможнымі дадзенымі PUF і загорнутым ключом:
1. На ст File меню, націсніце Праграмаванне File Генератар. На выхадзе FileНа ўкладцы зрабіце наступныя выбары:
а. Для сямейства прылад выберыце Agilex 7.
б. Для рэжыму канфігурацыі выберыце Active Serial x4.
в. Каб знайсці выходны каталог, перайдзіце да выхаду file каталог. Гэты былыample выкарыстоўвае output_files.
d. У полі «Імя» укажыце імя для праграмавання file быць згенераваны. Гэты былыample выкарыстоўвае output_file.
д. У раздзеле «Апісанне» выберыце праграмаванне files генераваць. Гэты былыample спараджае JTAG Ускосная канфігурацыя File (.jic) для канфігурацыі прылады і Raw Binary File вобраза дапаможніка пры праграмаванні (.rbf) для вобраза дапаможніка прылады. Гэты былыample таксама выбірае дадатковую карту памяці File (.map) і неапрацаваныя даныя праграмавання File (.rpd). Неапрацаваныя даныя праграмавання file неабходна толькі ў тым выпадку, калі ў будучыні вы плануеце выкарыстоўваць старонні праграміст.
Праграмаванне File Генератар - выхад Files Укладка - Выберыце JTAG Ускосная канфігурацыя

Рэжым канфігурацыі сямейства прылад
Выхад file укладка
Вывадны каталог
JTAG Ускосная (.jic) карта памяці File Памочнік па праграмаванні Неапрацаваныя даныя праграмавання
На ўваходзе Files, зрабіце наступныя выбары: 1. Націсніце «Дадаць бітавы паток» і перайдзіце да свайго .sof. 2. Выберыце свой .sof file а затым націсніце Уласцівасці.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 37

4. Падрыхтоўка прылады 683823 | 2023.05.23
а. Уключыце Уключыць інструмент подпісу. б. Для закрытага ключа file выберыце свой .pem file. в. Уключыце «Завяршыць шыфраванне». d. Для ключа шыфравання file выберыце свой .qek file. д. Націсніце OK, каб вярнуцца ў папярэдняе акно. 3. Каб указаць дапаможныя даныя PUF file, націсніце Дадаць неапрацаваныя даныя. Змяніць Files выпадальнага меню тыпу Quartus Physical Unclanable Function File (*.puf). Перайдзіце да свайго .puf file. Калі вы выкарыстоўваеце як IID PUF, так і UDS IID PUF, паўтарыце гэты крок, каб .puf files для кожнага PUF дадаюцца ў якасці ўваходных дадзеных fileс. 4. Для таго, каб указаць ваш загорнуты ключ AES file, націсніце Дадаць неапрацаваныя даныя. Змяніць Files выпадальнага меню тыпу Quartus Wrapped Key File (*.wkey). Перайдзіце да свайго .wkey file. Калі вы абгарнулі ключы AES з выкарыстаннем як IID PUF, так і UDS IID PUF, паўтарыце гэты крок, каб .wkey files для кожнага PUF дадаюцца ў якасці ўваходных дадзеных files.
Малюнак 10. Укажыце ўвод Files для канфігурацыі, аўтэнтыфікацыі і шыфравання

Дадаць бітавы паток Дадаць неапрацаваныя даныя
Уласцівасці
Закрыты ключ file
Завяршыць шыфраванне Ключ шыфравання
На ўкладцы «Прылада канфігурацыі» зрабіце наступныя выбары: 1. Націсніце «Дадаць прыладу» і выберыце вашу флэш-прыладу са спісу даступных флэш-памятак.
прылады. 2. Выберыце прыладу канфігурацыі, якую вы толькі што дадалі, і націсніце «Дадаць раздзел». 3. У дыялогавым акне «Рэдагаваць раздзел» для «Увод». file і абярыце свой .sof з
выпадальны спіс. Вы можаце захаваць значэнні па змаўчанні або змяніць іншыя параметры ў дыялогавым акне "Рэдагаванне падзелу".

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 38

Адправіць водгук

4. Падрыхтоўка прылады 683823 | 2023.05.23
Малюнак 11. Вызначэнне вашага раздзела бітавага патоку канфігурацыі .sof

Прылада канфігурацыі
Рэдагаваць раздзел Дадаць .sof file

Дадаць раздзел

4. Калі вы дадаеце .puf і .wkey у якасці ўваходных дадзеных files, Праграмаванне File Генератар аўтаматычна стварае раздзел PUF на вашай прыладзе канфігурацыі. Каб захаваць .puf і .wkey у раздзеле PUF, выберыце раздзел PUF і націсніце «Рэдагаваць». У дыялогавым акне "Рэдагаванне падзелу" выберыце .puf і .wkey files з выпадальных спісаў. Калі вы выдаліце падзел PUF, вы павінны выдаліць і зноў дадаць прыладу канфігурацыі для праграмавання File Генератар для стварэння яшчэ аднаго падзелу PUF. Вы павінны пераканацца, што вы выбралі правільныя .puf і .wkey file для IID PUF і UDS IID PUF адпаведна.
Малюнак 12. Дадайце .puf і .wkey files да раздзела PUF

ППУ перагародкі

Рэдагаваць

Рэдагаваць раздзел

Флэш загрузнік

Выберыце Стварыць

5. Для параметра Flash Loader выберыце сямейства прылад Intel Agilex 7 і імя прылады, якое адпавядае вашаму OPN Intel Agilex 7.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 39

4. Падрыхтоўка прылады 683823 | 2023.05.23
6. Націсніце «Стварыць», каб стварыць вывад files, якія вы ўказалі на выхадзе Files ўкладка.
7. Праграмаванне File Генератар чытае ваш .qek file і запытвае вашу парольную фразу. Увядзіце вашу парольную фразу ў адказ на запыт Enter QEK парольнай фразы. Націсніце клавішу Enter.
8. Націсніце OK, калі з'явіцца Праграмаванне File Генератар паведамляе пра паспяховую генерацыю.
Вы выкарыстоўваеце Intel Quartus Prime Programmer для запісу вобраза праграмавання QSPI ва флэш-памяць QSPI. 1. У меню Intel Quartus Prime Tools выберыце Programmer. 2. У Programmer пстрыкніце Hardware Setup, а затым выберыце падключаны Intel
Кабель для загрузкі FPGA. 3. Націсніце Дадаць File і перайдзіце да свайго .jic file.
Малюнак 13. Праграма .jic

Праграмаванне file

Праграма / канфігурацыя

JTAG ланцужок сканавання
4. Зніміце выбар з поля, звязанага з выявай Helper. 5. Абярыце Праграма/Наладзіць для вываду .jic file. 6. Уключыце кнопку «Пуск», каб запраграмаваць флэш-памяць Quad SPI. 7. Уключыце і выключыце плату. Дызайн запраграмаваны на чатырох'ядравую флэш-памяць SPI
прылада пасля загружаецца ў мэтавую FPGA.
Вы павінны стварыць і запраграмаваць увесь вобраз праграмавання флэш-памяці, каб дадаць раздзел PUF да флэш-памяці Quad SPI.
Калі падзел PUF ужо існуе ва флэш-памяці, можна выкарыстоўваць праграміст Intel Quartus Prime Programmer для непасрэднага доступу да дапаможных даных PUF і загорнутага ключа fileс. Напрыкладample, калі актывацыя аказалася няўдалай, можна паўторна зарэгістраваць PUF, паўторна абгарнуць ключ AES і пасля толькі запраграмаваць PUF files без неабходнасці перазапісваць увесь флэш.

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 40

Адправіць водгук

4. Падрыхтоўка прылады 683823 | 2023.05.23
Intel Quartus Prime Programmer падтрымлівае наступны аргумент аперацыі для PUF files у раней існуючым раздзеле PUF:
· p: праграма
· v: праверыць
· r: сцерці
· b: пусты чэк
Вы павінны выконваць тыя ж абмежаванні для рэгістрацыі PUF, нават калі раздзел PUF існуе.
1. Выкарыстоўвайце аргумент аперацыі i, каб загрузіць дапаможны вобраз прашыўкі забеспячэння для першай аперацыі. Напрыкладample, наступная паслядоўнасць каманд паўторна рэгіструе PUF, паўторна абгортвае каранёвы ключ AES, сцірае старыя дапаможныя даныя PUF і загорнуты ключ, затым праграмуе і правярае новыя дапаможныя даныя PUF і каранёвы ключ AES.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o “v;new.wkey”
4.9.2.4. Запыт статусу актывацыі ўнутранага ідэнтыфікатара PUF
Пасля таго, як вы зарэгіструеце Intrinsic ID PUF, абгарніце ключ AES, згенеруйце флэш-праграмаванне files і абнавіць чатырох'ядравы ўспышку SPI, вы ўключыце прыладу, каб запусціць актывацыю і канфігурацыю PUF з зашыфраванага бітавага патоку. SDM паведамляе пра стан актывацыі PUF разам са станам канфігурацыі. Калі актывацыя PUF не атрымоўваецца, замест гэтага SDM паведамляе пра стан памылкі PUF. Выкарыстоўвайце каманду quartus_pgm, каб запытаць статус канфігурацыі.
1. Выкарыстоўвайце наступную каманду, каб запытаць стан актывацыі:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Вось сample вынік паспяховай актывацыі:
Інфармацыя (21597): Адказ CONFIG_STATUS Прылада працуе ў карыстальніцкім рэжыме 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Версія C000007B MSEL=QSPI_NORMAL, nSTATUS=1, nCONFIG=1, VID=1,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Месцазнаходжанне памылкі 00000000 Дэталі памылкі Адказ PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000500 XNUMX USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 41

4. Падрыхтоўка прылады 683823 | 2023.05.23

Калі вы выкарыстоўваеце толькі IID PUF або UDS IID PUF і не запраграмавалі дапаможныя даныя .puf file для любога PUF ва флэш-памяці QSPI гэты PUF не актывуецца, а статус PUF паказвае, што дапаможныя даныя PUF несапраўдныя. Наступны выпрample паказвае стан PUF, калі дапаможныя даныя PUF не былі запраграмаваны ні для аднаго з PUF:
Адказ PUF_STATUS 00002000 RESPONSE_CODE=ОК, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Размяшчэнне PUF ў флэш-памяці
Размяшчэнне ППУ file адрозніваецца для дызайнаў, якія падтрымліваюць RSU, і дызайнаў, якія не падтрымліваюць функцыю RSU.

Для дызайнаў, якія не падтрымліваюць RSU, вы павінны ўключыць .puf і .wkey files, калі вы ствараеце абноўленыя флэш-выявы. Для канструкцый, якія падтрымліваюць RSU, SDM не перазапісвае раздзелы даных PUF падчас абнаўлення вобраза завода або прыкладання.

Табліца 2.

Макет падраздзелаў Flash без падтрымкі RSU

Flash Offset (у байтах)

Памер (у байтах)

Змест

Апісанне

0K 256K

256K 256K

Прашыўка кіравання канфігурацыяй Прашыўка кіравання канфігурацыяй

Прашыўка, якая працуе на SDM.

512 тыс

256 тыс

Прашыўка кіравання канфігурацыяй

768 тыс

256 тыс

Прашыўка кіравання канфігурацыяй

32 тыс

Копія дадзеных PUF 0

Структура даных для захоўвання дапаможных даных PUF і копіі каранёвага ключа AES у PUF-абгортцы 0

1M+32K

32 тыс

Копія дадзеных PUF 1

Структура даных для захоўвання дапаможных даных PUF і копіі каранёвага ключа AES у PUF-абгортцы 1

Табліца 3.

Макет падраздзелаў Flash з падтрымкай RSU

Flash Offset (у байтах)

Памер (у байтах)

Змест

Апісанне

0K 512K

512K 512K

Прашыўка рашэння Прашыўка рашэння

Прашыўка для вызначэння і загрузкі выявы з самым высокім прыярытэтам.

1 мільёна 1.5 мільёна

512K 512K

Прашыўка рашэння Прашыўка рашэння

8K + 24K

Дадзеныя прашыўкі рашэння

Падкладка

Зарэзервавана для выкарыстання прашыўкі Decision.

2M + 32K

32 тыс

Зарэзервавана для SDM

Зарэзервавана для SDM.

2M + 64K

Пераменная

Фабрычны малюнак

Простая выява, якую вы ствараеце ў якасці рэзервовай копіі, калі ўсе іншыя выявы прыкладанняў не загружаюцца. Гэты вобраз уключае CMF, які працуе на SDM.

Далей

32 тыс

Копія дадзеных PUF 0

Структура даных для захоўвання дапаможных даных PUF і копіі каранёвага ключа AES у PUF-абгортцы 0
працяг...

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 42

Адправіць водгук

4. Падрыхтоўка прылады 683823 | 2023.05.23

Flash Offset (у байтах)

Памер (у байтах)

Далей +32K 32K

Змест даных PUF копія 1

Далей + 256K 4K Далей +32K 4K Далей +32K 4K

Копія табліцы падраздзелаў 0 Копія табліцы падраздзелаў 1 Копія блока паказальнікаў CMF 0

Далей +32K _

Копія блока паказальнікаў CMF 1

Пераменная Пераменная

Выява праграмы 1 Выява праграмы 2

4.9.3. Чорны ключ

Апісанне
Структура даных для захоўвання дапаможных даных PUF і копіі каранёвага ключа AES у PUF-абгортцы 1
Структура даных для палягчэння кіравання флэш-назапашвальнікам.
Спіс паказальнікаў на выявы прыкладанняў у парадку прыярытэту. Калі вы дадаеце выяву, яна становіцца самай высокай.
Другая копія спісу паказальнікаў на выявы прыкладанняў.
Ваша першая выява праграмы.
Ваша другая выява прыкладання.

Заўвага:

Intel Quartus PrimeProgrammer дапамагае ўсталяваць бяспечнае злучэнне з узаемнай аўтэнтыфікацыяй паміж прыладай Intel Agilex 7 і службай забеспячэння чорных ключоў. Бяспечнае злучэнне ўсталёўваецца праз https і патрабуе некалькіх сертыфікатаў, ідэнтыфікаваных з дапамогай тэксту file.
Пры выкарыстанні Black Key Provisioning Intel рэкамендуе пазбягаць вонкавага падключэння штыфта TCK для падцягвання або апускання рэзістара, працягваючы выкарыстоўваць яго для JTAG. Аднак вы можаце падключыць штыфт TCK да крыніцы сілкавання VCCIO SDM з дапамогай рэзістара 10 кОм. Існуючыя рэкамендацыі ў Кіраўніцтве па падключэнні штыфта для падключэння TCK да рэзістара 1k уключаны для падаўлення шуму. Змена накіравання на падцягвальны рэзістар 10 К не ўплывае на функцыянальнасць прылады. Для атрымання дадатковай інфармацыі аб падключэнні штыфта TCK звярніцеся да рэкамендацый па падключэнню Intel Agilex 7.
Thebkp_tls_ca_certcertificate правярае сапраўднасць вашага асобніка службы забеспячэння чорных ключоў на асобніку праграміста забеспячэння чорных ключоў. Thebkp_tls_*сертыфікаты аўтэнтыфікуюць ваш асобнік праграміста забеспячэння чорных ключоў на вашым асобніку службы забеспячэння чорных ключоў.
Вы ствараеце тэкст file які змяшчае неабходную інфармацыю для Intel Quartus Prime Programmer для падлучэння да службы забеспячэння чорных ключоў. Каб ініцыяваць прадастаўленне чорнага ключа, выкарыстоўвайце інтэрфейс каманднага радка праграміста, каб указаць тэкст параметраў прадастаўлення чорнага ключа file. Затым стварэнне чорнага ключа працягваецца аўтаматычна. Каб атрымаць доступ да службы прадастаўлення чорнага ключа і адпаведнай дакументацыі, звярніцеся ў службу падтрымкі Intel.
Вы можаце ўключыць падрыхтоўку чорных ключоў з дапамогай камандыquartus_pgm:
quartus_pgm -c -м – прылада –bkp_options=bkp_options.txt
Аргументы каманды ўказваюць наступную інфармацыю:

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 43

4. Падрыхтоўка прылады 683823 | 2023.05.23

· -c: нумар кабеля · -m: вызначае рэжым праграмавання, напрыклад JTAG · –device: вызначае індэкс прылады на JTAG ланцуг. Значэнне па змаўчанні 1. · –bkp_options: вызначае тэкст file які змяшчае параметры забеспячэння чорных ключоў.
Звязаная інфармацыя. Рэкамендацыі па падключэнні Pin сямейства прылад Intel Agilex 7

4.9.3.1. Параметры забеспячэння Black Key
Параметры чорнага ключа - гэта тэкст file перадаюцца праграмісту праз каманду quartus_pgm. The file змяшчае неабходную інфармацыю для запуску чорнага ключа.
Наступны эксampфайл bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem bkp_tls_prog_key_pass = 1234 bkp_ проксі_адрас = https://192.167.5.5:5000 bkp_proxy_user = проксі_карыстальнік bkp_proxy_password = проксі_пароль

Табліца 4.

Параметры забеспячэння Black Key
У гэтай табліцы паказаны параметры, неабходныя для запуску чорнага ключа.

Назва опцыі

Тып

Апісанне

bkp_ip

абавязковы

Вызначае IP-адрас сервера, на якім працуе служба забеспячэння чорнага ключа.

bkp_порт

абавязковы

Вызначае порт службы забеспячэння чорнага ключа, неабходны для падлучэння да сервера.

bkp_cfg_id

абавязковы

Ідэнтыфікуе ідэнтыфікатар канфігурацыі чорнага ключа.
Служба прадастаўлення чорнага ключа стварае патокі канфігурацыі прадастаўлення чорнага ключа, уключаючы каранёвы ключ AES, жаданыя налады eFuse і іншыя параметры аўтарызацыі прадастаўлення чорнага ключа. Нумар, прызначаны падчас наладкі службы забеспячэння чорнага ключа, ідэнтыфікуе патокі канфігурацыі забеспячэння чорнага ключа.
Заўвага: некалькі прылад могуць спасылацца на адзін і той жа працэс канфігурацыі службы прадастаўлення чорных ключоў.

bkp_tls_ca_cert

абавязковы

Каранёвы сертыфікат TLS, які выкарыстоўваецца для ідэнтыфікацыі службаў забеспячэння чорных ключоў для Intel Quartus Prime Programmer (Праграміст). Гэты сертыфікат выдае надзейны цэнтр сертыфікацыі для асобніка службы забеспячэння чорнага ключа.
Калі вы запускаеце Programmer на камп'ютары з аперацыйнай сістэмай Microsoft® Windows® (Windows), вы павінны ўсталяваць гэты сертыфікат у сховішчы сертыфікатаў Windows.

bkp_tls_prog_cert

абавязковы

Сертыфікат, створаны для асобніка Black Key Provisioning Programmer (BKP Programmer). Гэта кліенцкі сертыфікат https, які выкарыстоўваецца для ідэнтыфікацыі асобніка праграміста BKP
працяг...

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 44

Адправіць водгук

4. Падрыхтоўка прылады 683823 | 2023.05.23

Назва опцыі

Тып

bkp_tls_prog_key

абавязковы

bkp_tls_prog_key_pass Дадаткова

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Дадаткова Дадаткова Дадаткова

Апісанне
да службы забеспячэння чорнага ключа. Вы павінны ўсталяваць і аўтарызаваць гэты сертыфікат у службе забеспячэння чорнага ключа перад тым, як пачаць сеанс забеспячэння чорнага ключа. Калі вы запускаеце праграміст у Windows, гэтая опцыя недаступная. У гэтым выпадку bkp_tls_prog_key ужо ўключае гэты сертыфікат.
Закрыты ключ, які адпавядае сертыфікату праграміста BKP. Ключ пацвярджае ідэнтычнасць асобніка BKP Programmer для службы прадастаўлення чорнага ключа. Калі вы запускаеце Programmer у Windows, .pfx file аб'ядноўвае сертыфікат bkp_tls_prog_cert і прыватны ключ. Параметр bkp_tlx_prog_key перадае .pfx file у bkp_options.txt file.
Пароль для прыватнага ключа bkp_tls_prog_key. Не патрабуецца ў тэксце параметраў канфігурацыі чорнага ключа (bkp_options.txt). file.
Вызначае проксі-сервер URL адрас.
Вызначае імя карыстальніка проксі-сервера.
Задае пароль аўтэнтыфікацыі проксі.

4.10. Пераўтварэнне каранёвага ключа ўладальніка, сертыфікатаў каранёвага ключа AES і Fuse files to Jam STAPL File Фарматы

Вы можаце выкарыстоўваць каманду каманднага радка quartus_pfg для пераўтварэння .qky, каранёвага ключа AES .ccert і .fuse files to Jam STAPL Format File (.jam) і фармат Jam Byte Code File (.jbc). Вы можаце выкарыстоўваць гэтыя files для праграмавання Intel FPGA з дапамогай Jam STAPL Player і Jam STAPL Byte-Code Player адпаведна.

Адзін .jam або .jbc змяшчае некалькі функцый, уключаючы канфігурацыю і праграму дапаможнага вобраза ўбудаванага праграмнага забеспячэння, пусты чэк і праверку праграмавання ключа і засцерагальніка.

Увага:

Калі вы пераўтвараеце каранёвы ключ AES .ccert file у фармат .jam, .jam file утрымлівае ключ AES у адкрытым тэксце, але ў абфускаваным выглядзе. Такім чынам, вы павінны абараніць .jam file пры захоўванні ключа AES. Вы можаце зрабіць гэта, падрыхтаваўшы ключ AES у бяспечным асяроддзі.

Вось былыяampфайлы каманд пераўтварэння quartus_pfg:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jbc quartus_pfg - c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A settings.fuse settings_fuse.jam quartus_pfg -c -o helper_ прылады = AGFB014R24A налады. засцерагальнік settings_fuse.jbc

Для атрымання дадатковай інфармацыі аб выкарыстанні Jam STAPL Player для праграмавання прылады звярніцеся да AN 425: Выкарыстанне рашэння каманднага радка Jam STAPL для праграмавання прылады.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 45

4. Падрыхтоўка прылады 683823 | 2023.05.23
Выканайце наступныя каманды, каб запраграмаваць адкрыты ключ уладальніка і ключ шыфравання AES:
// Каб загрузіць дапаможны бітавы паток у FPGA. // Дапаможны бітавы паток уключае прашыўку забеспячэння quartus_jli -c 1 -a КАНФІГУРАВАЦЬ RootKey.jam
//Каб запраграмаваць адкрыты адкрыты ключ ўладальніка каранёвага ключа ў віртуальныя eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Каб запраграмаваць адкрыты каранёвы ключ уладальніка ў фізічныя eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Каб запраграмаваць адкрыты адкрыты ключ ўладальніка PR у віртуальныя eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Каб запраграмаваць адкрыты адкрыты ключ ўладальніка PR у фізічныя eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Каб запраграмаваць ключ шыфравання AES CCERT у BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Каб запраграмаваць ключ шыфравання AES CCERT у фізічныя eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Звязаная інфармацыя AN 425: Выкарыстанне рашэння Jam STAPL з каманднага радка для праграмавання прылады

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 46

Адправіць водгук

683823 | 2023.05.23 Адправіць водгук

Пашыраныя магчымасці

5.1. Бяспечная аўтарызацыя адладкі
Каб уключыць бяспечную аўтарызацыю адладкі, уладальнік адладкі павінен згенераваць пару ключоў аўтэнтыфікацыі і выкарыстоўваць Intel Quartus Prime Pro Programmer для стварэння інфармацыі аб прыладзе file для прылады, якая запускае выяву адладкі:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
Уладальнік прылады выкарыстоўвае інструмент quartus_sign або эталонную рэалізацыю, каб дадаць запіс умоўнага адкрытага ключа ў ланцужок подпісаў, прызначаны для аперацый адладкі, выкарыстоўваючы адкрыты ключ ад уладальніка адладкі, неабходныя аўтарызацыі, тэкст інфармацыі аб прыладзе fileі прыдатныя дадатковыя абмежаванні:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″ –input_pem= debug_authorization_public_key.pem secure_debug_auth_chain.qky
Уладальнік прылады адпраўляе поўны ланцужок подпісаў назад уладальніку адладкі, які выкарыстоўвае ланцужок подпісаў і свой прыватны ключ для падпісання выявы адладкі:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Вы можаце выкарыстоўваць каманду quartus_pfg, каб праверыць ланцужок подпісаў кожнага раздзела гэтага падпісанага бяспечнага бітавага патоку адладкі наступным чынам:
quartus_pfg –праверка_цэласнасці authorized_debug_design.rbf
Вывад гэтай каманды друкуе значэнні абмежаванняў 1,2,17,18 умоўнага адкрытага ключа, які выкарыстоўваўся для стварэння падпісанага бітавага патоку.
Затым уладальнік адладкі можа запраграмаваць бяспечна аўтарызаваны дызайн адладкі:
quartus_pgm -c 1 -mjtag -o “p;authorized_debug_design.rbf”
Уладальнік прылады можа адклікаць бяспечную аўтарызацыю адладкі, адмяніўшы відавочны ідэнтыфікатар адмены ключа, прызначаны ў ланцужку подпісаў бяспечнай аўтарызацыі адладкі.
5.2. Сертыфікаты адладкі HPS
Уключэнне толькі аўтарызаванага доступу да порта доступу адладкі HPS (DAP) праз JTAG інтэрфейс патрабуе некалькіх крокаў:

ISO 9001:2015 зарэгістраваны

5. Пашыраныя функцыі 683823 | 2023.05.23
1. Пстрыкніце меню «Прызначэнні праграмнага забеспячэння Intel Quartus Prime» і абярыце ўкладку «Канфігурацыя параметраў прылады і кантакту».
2. На ўкладцы «Канфігурацыя» уключыце порт доступу да адладкі HPS (DAP), выбраўшы або HPS Pins або SDM Pins з выпадальнага меню і пераканаўшыся, што сцяжок «Дазволіць адладку HPS без сертыфікатаў» не ўстаноўлены.
Малюнак 14. Укажыце кантакты HPS або SDM для HPS DAP

Порт доступу адладкі HPS (DAP)
Акрамя таго, вы можаце ўсталяваць прызначэнне ніжэй у наладах Quartus Prime .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE “SDM PINS”
3. Скампілюйце і загрузіце дызайн з гэтымі параметрамі. 4. Стварыце ланцужок подпісаў з адпаведнымі дазволамі для падпісання адладкі HPS
сертыфікат:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_chain.qky
5. Запытайце непадпісаны сертыфікат адладкі HPS з прылады, на якую загружаны дызайн адладкі:
quartus_pgm -c 1 -mjtag -o “e;unsigned_hps_debug.cert;AGFB014R24A”
6. Падпішыце непадпісаны сертыфікат адладкі HPS з дапамогай інструмента quartus_sign або эталоннай рэалізацыі і ланцужка подпісаў адладкі HPS:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 48

Адправіць водгук

5. Пашыраныя функцыі 683823 | 2023.05.23
7. Адпраўце падпісаны сертыфікат адладкі HPS назад на прыладу, каб уключыць доступ да порта доступу адладкі HPS (DAP):
quartus_pgm -c 1 -mjtag -o “p;signed_hps_debug.cert”
Сертыфікат адладкі HPS сапраўдны толькі з моманту яго стварэння да наступнага цыклу харчавання прылады або пакуль не будзе загружаны іншы тып або версія прашыўкі SDM. Вы павінны стварыць, падпісаць і запраграмаваць падпісаны сертыфікат адладкі HPS і выканаць усе аперацыі адладкі перад тым, як уключаць прыладу. Вы можаце ануляваць падпісаны сертыфікат адладкі HPS, уключыўшы прыладу.
5.3. Атэстацыя платформы
Вы можаце стварыць маніфест цэласнасці спасылак (.rim) file з дапамогай праграмавання file Інструмент генератара:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Выканайце наступныя крокі, каб забяспечыць атэстацыю платформы ў вашым дызайне: 1. Выкарыстоўвайце Intel Quartus Prime Pro Programmer, каб наладзіць вашу прыладу з дапамогай
дызайн, для якога вы стварылі маніфест эталоннай цэласнасці. 2. Выкарыстоўвайце верыфікатар атэстацыі платформы, каб зарэгістраваць прыладу, выдаючы каманды на
SDM праз паштовую скрыню SDM для стварэння сертыфіката ідэнтыфікатара прылады і сертыфіката прашыўкі пры перазагрузцы. 3. Скарыстайцеся праграмай Intel Quartus Prime Pro Programmer, каб пераналадзіць прыладу з улікам дызайну. 4. Выкарыстоўвайце верыфікатар атэстацыі платформы для выдачы каманд SDM для атрымання ідэнтыфікатара прылады атэстацыі, прашыўкі і сертыфікатаў псеўданіма. 5. Скарыстайцеся сродкам праверкі атэстацыі, каб выдаць каманду паштовай скрыні SDM, каб атрымаць доказы атэстацыі, і сродак праверкі правярае вернутыя доказы.
Вы можаце рэалізаваць уласную службу праверкі з дапамогай каманд паштовай скрыні SDM або выкарыстаць службу праверкі атэстацыі платформы Intel. Каб атрымаць дадатковую інфармацыю аб праграмным забеспячэнні службы праверкі атэстацыі платформы Intel, наяўнасці і дакументацыі, звярніцеся ў службу падтрымкі Intel.
Звязаная інфармацыя. Рэкамендацыі па падключэнні Pin сямейства прылад Intel Agilex 7
5.4. Фізічны анты-Тamper
Вы ўключаеце фізічны анты-тamper функцыі з дапамогай наступных крокаў: 1. Выбар патрэбнага адказу на выяўленае tamper падзея 2. Наладжванне жаданага tamper метады выяўлення і параметры 3. У тым ліку анты-тamper IP у вашай логіцы праектавання, каб дапамагчы кіраваць анты-тamper
падзеі

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 49

5. Пашыраныя функцыі 683823 | 2023.05.23
5.4.1. Анты-Тamper Адказы
Вы ўключаеце фізічны анты-тamper, выбраўшы адказ з Anti-tamper адказ: выпадальны спіс у Прызначэннях Прылада Прылада і Параметры PIN Бяспека Anti-Tampэр ўкладка. Па змаўчанні анты-тamper адказ адключаны. Пяць катэгорый анты-тamper адказ даступны. Калі вы выбіраеце патрэбны адказ, уключаюцца параметры для ўключэння аднаго або некалькіх метадаў выяўлення.
Малюнак 15. Даступны анты-Тamper Варыянты адказу

Адпаведнае прызначэнне ў наладах Quartus Prime .gsf file гэта наступнае:
set_global_assignment -name ANTI_TAMPER_RESPONSE «ПРЫЛАДА АПАВЯШЧЭННЯ СТРЫЦЦЕ БЛАКІРАВАННЕ ПРЫЛАДЫ І АБНУЛЕННЕ»
Калі вы ўключыце анты-тamper адказу, вы можаце выбраць два даступныя спецыяльныя кантакты ўводу/вываду SDM для вываду tamper выяўленне падзей і стан адказу з дапамогай акна "Прылада прылад" і "Параметры канфігурацыі канфігурацыі PIN-кода".

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 50

Адправіць водгук

5. Пашыраныя функцыі 683823 | 2023.05.23
Малюнак 16. Даступныя спецыяльныя кантакты ўводу/вываду SDM для Tamper Выяўленне падзей

Вы таксама можаце зрабіць наступныя прызначэнні кантактаў у наладах file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Анты-Тamper Выяўленне

Вы можаце індывідуальна ўключыць частату, тэмпературу і гучнасцьtagасаблівасці выяўлення SDM. Выяўленне FPGA залежыць ад уключэння Anti-Tamper Lite Intel FPGA IP у вашым дызайне.

Заўвага:

SDM частата і абtagіншampМетады выяўлення er залежаць ад унутраных спасылак і вымяральнага абсталявання, якое можа адрознівацца ў залежнасці ад прылады. Intel рэкамендуе ахарактарызаваць паводзіны tamper налады выяўлення.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 51

5. Пашыраныя функцыі 683823 | 2023.05.23
Частата tampВыяўленне er працуе на крыніцы тактавага сігналу канфігурацыі. Каб уключыць частату tampДля выяўлення вы павінны пазначыць іншы параметр, акрамя Internal Oscillator, у выпадальным спісе Configuration clock source на ўкладцы Assignments Device Device and Pin Options General. Вы павінны пераканацца, што сцяжок "Запуск канфігурацыі працэсара з унутранага асцылятара" ўключаны перад уключэннем частоты tampэр выяўленне. Малюнак 17. Настройка SDM на ўнутраны генератар
Каб уключыць частату tamper выяўлення, абярыце Уключыць частату tamper выяўленне сцяжок і выберыце патрэбную частату tamper дыяпазон выяўлення з выпадальнага меню. Малюнак 18. Уключэнне частаты Tamper Выяўленне

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 52

Адправіць водгук

5. Пашыраныя функцыі 683823 | 2023.05.23
Акрамя таго, вы можаце ўключыць частату Tamper Выяўленне шляхам унясення наступных змяненняў у налады Quartus Prime .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -name ENABLE_FREQUENCY_TAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Каб уключыць тэмпературу tamper выяўлення, выберыце Enable temperature tampпастаўце сцяжок выяўлення і выберыце патрэбныя верхнія і ніжнія межы тэмпературы ў адпаведных палях. Верхнія і ніжнія межы па змаўчанні запаўняюцца адпаведным дыяпазонам тэмператур для прылады, абранай у канструкцыі.
Каб уключыць тtagіншamper выяўлення, вы выбіраеце адзін або абодва з Enable VCCL voltagіншamper выяўлення або Уключыць VCCL_SDM voltagіншamper выяўленне сцяжкоў і выберыце патрэбны Voltagіншamper трыгер выяўлення працэнтаўtage у адпаведнае поле.
Малюнак 19. Уключэнне Voltagі Тamper Выяўленне

Акрамя таго, вы можаце ўключыць Voltagі Тamper Выяўленне шляхам указання наступных прызначэнняў у .qsf file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION УКЛ
5.4.3. Анты-Тamper Lite Intel FPGA IP
Анты-Тamper Lite Intel FPGA IP, даступны ў каталогу IP у праграмным забеспячэнні Intel Quartus Prime Pro Edition, палягчае двухнакіраваную сувязь паміж вашым дызайнам і SDM для тampэ падзеі.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 53

Малюнак 20. Анты-Тamper Lite Intel FPGA IP

5. Пашыраныя функцыі 683823 | 2023.05.23

IP забяспечвае наступныя сігналы, якія вы падключаеце да сваёй канструкцыі па меры неабходнасці:

Табліца 5.

Анты-Тamper Lite IP-сігналы ўводу-вываду Intel FPGA

Назва сігналу

Напрамак

Апісанне

gpo_sdm_at_event gpi_fpga_at_event

Выхад Уваход

Сігнал SDM да логікі структуры FPGA, якую SDM выявіўampэ падзея. Логіка FPGA мае прыкладна 5 мс, каб выканаць любую жаданую ачыстку і адказаць на SDM праз gpi_fpga_at_response_done і gpi_fpga_at_zeroization_done. SDM працягвае тamper дзеянні ў адказ, калі сцвярджаецца gpi_fpga_at_response_done або калі адказ не атрыманы на працягу адведзенага часу.
Перапыненне FPGA для SDM, якое вы спраектавалі супрацьamper схема выяўлення выявіла наamper падзеі і SDM tamper адказ павінен быць выкліканы.

gpi_fpga_at_response_done

Увод

Перапыненне FPGA для SDM аб тым, што логіка FPGA выканала патрэбную ачыстку.

gpi_fpga_at_zeroization_d адзін

Увод

FPGA сігналізуе SDM, што логіка FPGA завяршыла жаданае абнуленне праектных даных. Гэты сігнал - сampідуць, калі сцвярджаецца gpi_fpga_at_response_done.

5.4.3.1. Інфармацыя аб выпуску

Нумар схемы кіравання версіямі IP (XYZ) змяняецца ад адной версіі праграмнага забеспячэння да іншай. Змена ў:
· X азначае сур'ёзны перагляд IP. Калі вы абнаўляеце праграмнае забеспячэнне Intel Quartus Prime, вы павінны аднавіць IP.
· Y паказвае, што IP уключае новыя функцыі. Аднавіце свой IP, каб уключыць гэтыя новыя функцыі.
· Z паказвае, што IP змяшчае нязначныя змены. Аднавіце свой IP, каб уключыць гэтыя змены.

Табліца 6.

Анты-ТampІнфармацыя аб выпуску er Lite Intel FPGA IP

IP версія

Пункт

Апісанне 20.1.0

Версія Intel Quartus Prime

21.2

Дата выпуску

2021.06.21

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 54

Адправіць водгук

5. Пашыраныя функцыі 683823 | 2023.05.23
5.5. Выкарыстанне функцый бяспекі дызайну з аддаленым абнаўленнем сістэмы
Аддаленае абнаўленне сістэмы (RSU) - гэта функцыя Intel Agilex 7 FPGA, якая дапамагае абнаўляць канфігурацыю files надзейным спосабам. RSU сумяшчальны з функцыямі бяспекі распрацоўкі, такімі як аўтэнтыфікацыя, сумеснае падпісанне ўбудаванага праграмнага забеспячэння і шыфраванне бітавых патокаў, паколькі RSU не залежыць ад змесціва канфігурацыі бітавых патокаў.
Стварэнне выяваў RSU з .sof Files
Калі вы захоўваеце закрытыя ключы на лакальным fileсістэме, вы можаце ствараць выявы RSU з функцыямі бяспекі дызайну, выкарыстоўваючы спрошчаны паток з .sof files у якасці ўваходных дадзеных. Каб стварыць выявы RSU з дапамогай .sof file, вы можаце прытрымлівацца інструкцый у раздзеле "Стварэнне выявы абнаўлення аддаленай сістэмы". Files Выкарыстанне праграмавання File Генератар кіраўніцтва карыстальніка па канфігурацыі Intel Agilex 7. Для кожнага .sof file указаны на Уваход Files, націсніце кнопку «Уласцівасці…» і ўкажыце адпаведныя параметры і ключы для інструментаў подпісу і шыфравання. Праграмаванне file Інструмент генератара аўтаматычна падпісвае і шыфруе фабрычныя выявы і выявы прыкладанняў падчас стварэння праграмавання RSU files.
У якасці альтэрнатывы, калі вы захоўваеце закрытыя ключы ў HSM, вы павінны выкарыстоўваць інструмент quartus_sign і, такім чынам, выкарыстоўваць .rbf fileс. У астатняй частцы гэтага раздзела апісваюцца змены ў патоку для стварэння выяваў RSU з .rbf files у якасці ўваходных дадзеных. Вы павінны зашыфраваць і падпісаць фармат .rbf files перад тым, як выбраць іх у якасці ўваходных дадзеных files для малюнкаў RSU; аднак інфармацыя аб загрузцы RSU file не павінны быць зашыфраваны, а павінны быць толькі падпісаны. Праграмаванне File Генератар не падтрымлівае змяненне ўласцівасцей фармату .rbf files.
Наступны выпрampдэманструюць неабходныя мадыфікацыі каманд у раздзеле "Стварэнне вобраза абнаўлення аддаленай сістэмы". Files Выкарыстанне праграмавання File Генератар кіраўніцтва карыстальніка па канфігурацыі Intel Agilex 7.
Стварэнне пачатковай выявы RSU з дапамогай .rbf Files: Мадыфікацыя каманды
Ад стварэння пачатковага малюнка RSU з дапамогай .rbf Files, змяніце каманды ў кроку 1, каб уключыць функцыі бяспекі дызайну па жаданні, выкарыстоўваючы інструкцыі з папярэдніх раздзелаў гэтага дакумента.
Напрыкладample, вы павінны ўказаць падпісаную прашыўку file калі вы выкарыстоўвалі сумеснае падпісанне прашыўкі, выкарыстоўвайце інструмент шыфравання Quartus для шыфравання кожнага .rbf file, і, нарэшце, выкарыстоўваць інструмент quartus_sign, каб падпісаць кожны file.
На этапе 2, калі вы ўключылі сумеснае падпісанне прашыўкі, вы павінны выкарыстоўваць дадатковую опцыю пры стварэнні загрузнага .rbf з фабрычнага вобраза file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Пасля таго, як вы створыце інфармацыю аб загрузцы .rbf file, выкарыстоўвайце інструмент quartus_sign, каб падпісаць .rbf file. Вы не павінны шыфраваць інфармацыю аб загрузцы .rbf file.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 55

5. Пашыраныя функцыі 683823 | 2023.05.23
Стварэнне выявы прыкладання: мадыфікацыя каманды
Каб стварыць вобраз прыкладання з функцыямі бяспекі дызайну, вы змяняеце каманду ў раздзеле "Стварэнне вобраза прыкладання", каб выкарыстоўваць .rbf з уключанымі функцыямі бяспекі дызайну, у тым ліку сумесна падпісанае ўбудаванае праграмнае забеспячэнне, калі патрабуецца, замест зыходнага .sof прыкладання file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Стварэнне выявы завадскога абнаўлення: мадыфікацыя каманды
Пасля таго, як вы створыце інфармацыю аб загрузцы .rbf file, вы выкарыстоўваеце інструмент quartus_sign для падпісання .rbf file. Вы не павінны шыфраваць інфармацыю аб загрузцы .rbf file.
Каб стварыць выяву заводскага абнаўлення RSU, вы змяняеце каманду ў раздзеле "Стварэнне выявы абнаўлення заводскага тыпу", каб выкарыстоўваць файл .rbf file з уключанымі функцыямі бяспекі дызайну і дадайце опцыю для ўказання сумеснага выкарыстання ўбудаванага праграмнага забеспячэння:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Звязаная інфармацыя Кіраўніцтва карыстальніка па канфігурацыі Intel Agilex 7
5.6. Крыптаграфічныя службы SDM
SDM на прыладах Intel Agilex 7 забяспечвае крыптаграфічныя паслугі, якія можа запытваць логіка FPGA або HPS праз адпаведны інтэрфейс паштовай скрыні SDM. Для атрымання дадатковай інфармацыі аб камандах паштовай скрыні і фарматах даных для ўсіх крыптаграфічных службаў SDM звярніцеся да Дадатку B у Метадалогіі бяспекі для Intel FPGA і структураваных ASIC Кіраўніцтва карыстальніка.
Каб атрымаць доступ да інтэрфейсу паштовай скрыні SDM з логікай FPGA для крыптаграфічных службаў SDM, вы павінны стварыць асобнік кліента паштовай скрыні Intel FPGA IP у сваёй распрацоўцы.
Даведачны код для доступу да інтэрфейсу паштовай скрыні SDM з HPS уключаны ў код ATF і Linux, прадастаўлены Intel.
Звязаная інфармацыя Кліент паштовай скрыні Кіраўніцтва карыстальніка Intel FPGA IP
5.6.1. Пастаўшчык аўтарызаванай загрузкі
Intel забяспечвае эталонную рэалізацыю праграмнага забеспячэння HPS, якое выкарыстоўвае аўтарызаваную пастаўшчыком функцыю загрузкі для праверкі сапраўднасці загрузнага праграмнага забеспячэння HPS з першага разуtagэлектронны загрузнік да ядра Linux.
Звязаная інфармацыя Дэманстрацыйны дызайн бяспечнай загрузкі Intel Agilex 7 SoC

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 56

Адправіць водгук

5. Пашыраныя функцыі 683823 | 2023.05.23
5.6.2. Служба бяспечных аб'ектаў дадзеных
Вы адпраўляеце каманды праз паштовую скрыню SDM для выканання шыфравання і дэшыфравання аб'екта SDOS. Вы можаце выкарыстоўваць функцыю SDOS пасля падрыхтоўкі каранёвага ключа SDOS.
Звязаная інфармацыя Прадастаўленне каранёвага ключа службы абароненых аб'ектаў дадзеных на старонцы 30
5.6.3. Прымітыўныя крыптаграфічныя службы SDM
Вы адпраўляеце каманды праз паштовую скрыню SDM, каб ініцыяваць аперацыі крыптаграфічнага прымітыўнага сэрвісу SDM. Некаторыя крыптаграфічныя прымітыўныя службы патрабуюць, каб у SDM і з SDM перадавалася больш дадзеных, чым можа прыняць інтэрфейс паштовай скрыні. У гэтых выпадках каманда фармату змяняецца, каб забяспечыць паказальнікі на дадзеныя ў памяці. Акрамя таго, вы павінны змяніць асобнік кліента паштовай скрыні Intel FPGA IP, каб выкарыстоўваць крыптаграфічныя прымітыўныя службы SDM з логікі FPGA. Вы павінны дадаткова ўсталяваць параметр Enable Crypto Service у 1 і падключыць нядаўна адкрыты інтэрфейс ініцыятара AXI да памяці ў вашым дызайне.
Малюнак 21. Уключэнне крыптаграфічных службаў SDM у кліенце паштовай скрыні Intel FPGA IP

5.7. Налады бяспекі Bitstream (FM/S10)
Параметры бяспекі бітавага патоку FPGA - гэта набор палітык, якія абмяжоўваюць пэўную функцыю або рэжым працы на працягу пэўнага перыяду.
Параметры бяспекі Bitstream складаюцца са сцягоў, якія вы ўсталёўваеце ў праграмным забеспячэнні Intel Quartus Prime Pro Edition. Гэтыя сцягі аўтаматычна капіююцца ў бітавыя патокі канфігурацыі.
Вы можаце назаўсёды ўключыць параметры бяспекі на прыладзе з дапамогай адпаведнай налады бяспекі eFuse.
Каб выкарыстоўваць любыя параметры бяспекі ў бітавым патоку канфігурацыі або eFuse прылады, неабходна ўключыць функцыю аўтэнтыфікацыі.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 57

5. Пашыраныя функцыі 683823 | 2023.05.23
5.7.1. Выбар і ўключэнне параметраў бяспекі
Каб выбраць і ўключыць параметры бяспекі, зрабіце наступнае: у меню «Прызначэнні» выберыце «Прылада», «Параметры прылады і PIN-код», «Бяспека», «Дадатковыя параметры»… Малюнак 22. Выбар і ўключэнне параметраў «Бяспека».

Затым выберыце значэнні з выпадальных спісаў для параметраў бяспекі, якія вы хочаце ўключыць, як паказана ў наступным прыкладзеampль:
Малюнак 23. Выбар значэнняў для параметраў бяспекі

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 58

Адправіць водгук

5. Пашыраныя функцыі 683823 | 2023.05.23
Ніжэй прыведзены адпаведныя змены ў наладах Quartus Prime .qsf file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG “ON CHECK” set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE “ON STICKY” set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECU_OPTION_DISABLE_VIRTUAL_EFUSES ON set_global_assignment -name SECU_OPTION_LOCK_S ECURITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_ DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY ON

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 59

683823 | 2023.05.23 Адправіць водгук

Ліквідацыю непаладак

У гэтым раздзеле апісваюцца распаўсюджаныя памылкі і папераджальныя паведамленні, з якімі вы можаце сутыкнуцца пры спробе выкарыстання функцый бяспекі прылады, і меры па іх вырашэнні.
6.1. Выкарыстанне каманд Quartus у памылцы асяроддзя Windows
Памылка quartus_pgm: каманда не знойдзена Апісанне Гэтая памылка адлюстроўваецца пры спробе выкарыстоўваць каманды Quartus у абалонцы NIOS II у асяроддзі Windows з дапамогай WSL. Рашэнне Гэтая каманда працуе ў асяроддзі Linux; Для хастоў Windows выкарыстоўвайце наступную каманду: quartus_pgm.exe -h Падобным чынам прымяніце той жа сінтаксіс да іншых каманд Quartus Prime, такіх як quartus_pfg, quartus_sign, quartus_encrypt сярод іншых каманд.

ISO 9001:2015 зарэгістраваны

6. Ліквідацыю непаладак 683823 | 2023.05.23

6.2. Стварэнне папярэджання аб прыватным ключы

Папярэджанне:

Указаны пароль лічыцца небяспечным. Intel рэкамендуе выкарыстоўваць мінімум 13 сімвалаў пароля. Вам рэкамендуецца змяніць пароль з дапамогай выканальнага файла OpenSSL.

openssl ec -in -выхад -aes256

Апісанне
Гэта папярэджанне звязана з надзейнасцю пароля і адлюстроўваецца пры спробе згенераваць прыватны ключ шляхам выканання наступных каманд:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Рашэнне Выкарыстоўвайце выканальны файл openssl, каб указаць больш доўгі і, такім чынам, больш надзейны пароль.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 61

6. Ліквідацыю непаладак 683823 | 2023.05.23
6.3. Даданне ключа подпісу да памылкі праекта Quartus
Памылка...File змяшчае інфармацыю пра каранёвы ключ...
Апісанне
Пасля дадання ключа подпісу .qky file у праект Quartus, вам трэба паўторна сабраць .sof file. Калі вы дадаеце гэты рэгенераваны .sof file на выбраную прыладу з дапамогай Quartus Programmer, наступнае паведамленне пра памылку паказвае, што file змяшчае інфармацыю аб каранёвым ключы:
Не ўдалося дадацьfile-path-name> да праграміста. The file змяшчае інфармацыю аб каранёвым ключы (.qky). Аднак Programmer не падтрымлівае функцыю падпісання бітавага патоку. Вы можаце выкарыстоўваць Праграмаванне File Генератар для пераўтварэння file у падпісаны Raw Binary file (.rbf) для канфігурацыі.
дазвол
Выкарыстоўвайце праграмаванне Quartus file генератар для пераўтварэння file у падпісаны неапрацаваны двайковы файл File .rbf для канфігурацыі.
Звязаная інфармацыя Бітавы паток канфігурацыі подпісу з выкарыстаннем каманды quartus_sign на старонцы 13

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 62

Адправіць водгук

6. Ліквідацыю непаладак 683823 | 2023.05.23
6.4. Стварэнне праграмавання Quartus Prime File быў няўдалым
Памылка
Памылка (20353): X адкрытага ключа ад QKY не супадае з прыватным ключом ад PEM file.
Памылка (20352): не атрымалася падпісаць бітавы паток праз скрыпт Python agilex_sign.py.
Памылка: праграмаванне Quartus Prime File Генератар выйшаў з ладу.
Апісанне Калі вы спрабуеце падпісаць бітавы паток канфігурацыі, выкарыстоўваючы няправільны прыватны ключ .pem file або .pem file які не супадае з .qky, дададзеным у праект, адлюстроўваюцца вышэйзгаданыя агульныя памылкі. Рашэнне Пераканайцеся, што вы выкарыстоўваеце правільны прыватны ключ .pem для падпісання бітавага патоку.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 63

6. Ліквідацыю непаладак 683823 | 2023.05.23
6.5. Памылкі невядомых аргументаў
Памылка
Памылка (23028): невядомы аргумент «ûc». Юрыдычныя аргументы можна знайсці ў спасылцы.
Памылка (213008): радок опцыі праграмавання «ûp» недапушчальны. Звярніцеся да -даведкі для легальных фарматаў параметраў праграмавання.
Апісанне Калі вы капіюеце і ўстаўляеце параметры каманднага радка з .pdf file у абалонцы Windows NIOS II вы можаце сутыкнуцца з памылкамі невядомых аргументаў, як паказана вышэй. Рашэнне У такіх выпадках вы можаце ўручную ўводзіць каманды замест устаўкі з буфера абмену.

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 64

Адправіць водгук

6. Ліквідацыю непаладак 683823 | 2023.05.23
6.6. Памылка адключанага параметра шыфравання бітавага патоку
Памылка
Немагчыма завяршыць шыфраванне для file дызайн .sof, таму што ён быў скампіляваны з адключанай опцыяй шыфравання бітавага патоку.
Апісанне Калі вы спрабуеце зашыфраваць бітавы паток праз графічны інтэрфейс або камандны радок пасля таго, як вы скампілявалі праект з адключанай опцыяй шыфравання бітавага патоку, Quartus адхіляе каманду, як паказана вышэй.
Рашэнне Пераканайцеся, што вы скампілявалі праект з уключанай опцыяй шыфравання бітавага патоку праз графічны інтэрфейс або камандны радок. Каб уключыць гэту опцыю ў графічным інтэрфейсе, вы павінны паставіць сцяжок для гэтай опцыі.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 65

6. Ліквідацыю непаладак 683823 | 2023.05.23
6.7. Указанне правільнага шляху да ключа
Памылка
Памылка (19516): выяўлена праграмаванне File Памылка налад генератара: немагчыма знайсці ключ_file'. Пераканайцеся, што file знаходзіцца ў чаканым месцы або абнавіце setting.sec
Памылка (19516): выяўлена праграмаванне File Памылка налад генератара: немагчыма знайсці ключ_file'. Пераканайцеся, што file знаходзіцца ў чаканым месцы або абнавіце налады.
Апісанне
Калі вы выкарыстоўваеце ключы, якія захоўваюцца на file сістэме, вам трэба пераканацца, што яны ўказваюць правільны шлях для ключоў, якія выкарыстоўваюцца для шыфравання і подпісу бітавага патоку. Калі праграмаванне File Генератар не можа вызначыць правільны шлях, адлюстроўваюцца вышэйпаказаныя паведамленні пра памылку.
дазвол
Звярніцеся да налад Quartus Prime .qsf file каб знайсці правільныя шляхі для ключоў. Пераканайцеся, што вы выкарыстоўваеце адносныя шляхі замест абсалютных.

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 66

Адправіць водгук

6. Ліквідацыю непаладак 683823 | 2023.05.23
6.8. Выкарыстанне вываду, які не падтрымліваецца File Тып
Памылка
quartus_pfg -c design.sof выхад_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o подпіс=ON -o pem_file=sign_private.pem
Памылка (19511): выхад не падтрымліваецца file тыпу (ebf). Выкарыстоўвайце опцыю «-l» або «–list», каб адлюстраваць падтрымоўваныя file тып інфармацыі.
Апісанне пры выкарыстанні праграмавання Quartus File Генератар для стварэння зашыфраванага і падпісанага бітавага патоку канфігурацыі, вы можаце ўбачыць памылку вышэй, калі вывад не падтрымліваецца file тып указаны. Рашэнне Выкарыстоўвайце опцыю -l або –list, каб убачыць спіс падтрымоўваных file тыпаў.

Адправіць водгук

Кіраўніцтва карыстальніка Intel Agilex® 7 Device Security 67

683823 | 2023.05.23 Адправіць водгук
7. Архіў кіраўніцтва карыстальніка Intel Agilex 7 Device Security
Для апошняй і папярэдняй версій гэтага кіраўніцтва карыстальніка звярніцеся да Intel Agilex 7 Device Security Кіраўніцтва карыстальніка. Калі IP або версія праграмнага забеспячэння адсутнічаюць у спісе, прымяняецца кіраўніцтва карыстальніка для папярэдняй версіі IP або праграмнага забеспячэння.

ISO 9001:2015 зарэгістраваны

683823 | 2023.05.23 Адправіць водгук

8. Гісторыя версій Кіраўніцтва карыстальніка Intel Agilex 7 Device Security

Версія дакумента 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Дакументы / Рэсурсы

Бяспека прылады Intel Agilex 7 [pdfКіраўніцтва карыстальніка
Agilex 7 Device Security, Agilex 7, Device Security, Бяспека

Спасылкі

Кіраўніцтва карыстальніка

Бяспека прылады Intel Agilex 7

Інфармацыя аб прадукце

Інструкцыя па ўжыванні прадукту

Часта задаюць пытанні

Бяспека прылады завершанаview

Аўтэнтыфікацыя і аўтарызацыя

Шыфраванне бітавага патоку AES

Забеспячэнне прылады

Пашыраныя магчымасці

Ліквідацыю непаладак

Дакументы / Рэсурсы

Спасылкі

Пакінуць каментар

Адмяніць адказ