Intel Agilex 7 Device Security User Manual

Intel je posvećen bezbednosti proizvoda i preporučuje korisnicima da se upoznaju sa obezbeđenim resursima za bezbednost proizvoda. Ove resurse treba koristiti tokom čitavog životnog veka Intel proizvoda.

2. Planirane sigurnosne karakteristike

Sljedeće sigurnosne funkcije su planirane za buduće izdanje Intel Quartus Prime Pro Edition softvera:

Provjera sigurnosti bitstreama djelomične rekonfiguracije: Pruža dodatnu sigurnost da tokovi bitova djelomične rekonfiguracije (PR) ne mogu pristupiti ili ometati druge bitstreamove PR persone.

Samoubijanje uređaja za fizičku anti-Tamper: Izvodi brisanje uređaja ili odgovor nuliranja uređaja i programira eFuses da spriječi ponovno konfiguriranje uređaja.

3. Dostupna sigurnosna dokumentacija

Sljedeća tabela navodi dostupnu dokumentaciju za sigurnosne funkcije uređaja na Intel FPGA i Structured ASIC uređajima:

Naziv dokumenta	Svrha
Sigurnosna metodologija za korisnike Intel FPGA i strukturiranih ASIC-ova Vodič	Dokument najvišeg nivoa koji pruža detaljne opise sigurnosne funkcije i tehnologije u Intel Programabilnim rješenjima Proizvodi. Pomaže korisnicima da odaberu potrebne sigurnosne karakteristike ispunjavaju svoje sigurnosne ciljeve.
Intel Stratix 10 Device Security User Guide	Uputstva za korisnike Intel Stratix 10 uređaja za implementaciju sigurnosne karakteristike identificirane korištenjem Sigurnosne metodologije Uputstvo za upotrebu.
Intel Agilex 7 Device Security User Guide	Upute za implementaciju korisnika Intel Agilex 7 uređaja sigurnosne karakteristike identificirane korištenjem Sigurnosne metodologije Uputstvo za upotrebu.
Intel eASIC N5X Device Security User Guide	Uputstva za implementaciju uređaja Intel eASIC N5X sigurnosne karakteristike identificirane korištenjem Sigurnosne metodologije Uputstvo za upotrebu.
Intel Agilex 7 i Intel eASIC N5X HPS kriptografske usluge Uputstvo za upotrebu	Informacije za HPS softverske inženjere o implementaciji i korištenje HPS softverskih biblioteka za pristup kriptografskim uslugama obezbjeđuje SDM.
AN-968 Black Key Provisioning Service Vodič za brzi početak	Kompletan skup koraka za postavljanje Black Key Provisioning usluga.

Često postavljana pitanja

P: Koja je svrha Korisničkog vodiča za sigurnosnu metodologiju?

O: Korisnički vodič za bezbednosnu metodologiju pruža detaljne opise bezbednosnih funkcija i tehnologija u Intelovim programskim rešenjima. Pomaže korisnicima da odaberu potrebne sigurnosne karakteristike kako bi ispunili svoje sigurnosne ciljeve.

P: Gdje mogu pronaći korisnički priručnik za sigurnost uređaja Intel Agilex 7?

O: Korisnički vodič za sigurnost uređaja Intel Agilex 7 možete pronaći u Intelovom centru za resurse i dizajn website.

P: Šta je usluga Black Key Provisioning?

O: Usluga Black Key Provisioning je usluga koja pruža kompletan skup koraka za postavljanje obezbjeđenja ključa za sigurne operacije.

View Fullscreen

Intel Agilex® 7 Device Security User Guide
Ažurirano za Intel® Quartus® Prime Design Suite: 23.1

Online verzija Pošalji povratne informacije

UG-20335

683823 2023.05.23

Intel Agilex® 7 Device Security User Guide 2

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 3

683823 | 2023.05.23. Pošalji povratnu informaciju
1. Intel Agilex® 7

Sigurnost uređaja je završenaview

Intel® dizajnira Intel Agilex® 7 uređaje sa namenskim, visoko konfigurabilnim sigurnosnim hardverom i firmverom.
Ovaj dokument sadrži uputstva koja će vam pomoći da koristite softver Intel Quartus® Prime Pro Edition za implementaciju bezbednosnih funkcija na vašim Intel Agilex 7 uređajima.
Dodatno, korisnički priručnik za sigurnosnu metodologiju za Intel FPGA i strukturirane ASIC-ove dostupan je u Intelovom centru za resurse i dizajn. Ovaj dokument sadrži detaljne opise sigurnosnih funkcija i tehnologija koje su dostupne preko Intel programabilnih rješenja kako bi vam pomogli da odaberete sigurnosne funkcije neophodne za ispunjavanje vaših sigurnosnih ciljeva. Obratite se Intelovoj podršci sa referentnim brojem 14014613136 da biste pristupili bezbednosnoj metodologiji za Intel FPGA i strukturirane ASIC-ove Korisničko uputstvo.
Dokument je organizovan na sledeći način: · Autentifikacija i autorizacija: Daje uputstva za kreiranje
ključevi za provjeru autentičnosti i lanci potpisa, primjena dozvola i opoziva, potpisivanje objekata i funkcije provjere autentičnosti programa na Intel Agilex 7 uređajima. · AES Bitstream Encryption: Pruža upute za kreiranje AES root ključa, šifriranje konfiguracijskih tokova bitova i obezbjeđivanje AES root ključa za Intel Agilex 7 uređaje. · Device Provisioning: Pruža uputstva za korišćenje Intel Quartus Prime programatora i firmvera za obezbeđivanje Secure Device Manager (SDM) za programiranje bezbednosnih funkcija na Intel Agilex 7 uređajima. · Napredne funkcije: Pruža uputstva za omogućavanje naprednih bezbednosnih funkcija, uključujući autorizaciju bezbednog otklanjanja grešaka, otklanjanje grešaka u sistemu tvrdog procesora (HPS) i udaljeno ažuriranje sistema.
1.1. Posvećenost sigurnosti proizvoda
Intelova dugotrajna posvećenost sigurnosti nikada nije bila jača. Intel snažno preporučuje da se upoznate sa našim sigurnosnim resursima proizvoda i planirate da ih koristite tokom životnog veka vašeg Intel proizvoda.
Povezane informacije · Sigurnost proizvoda u Intelu · Savjeti Intelovog centra za sigurnost proizvoda

Intel Corporation. Sva prava zadržana. Intel, Intel logo i druge Intel oznake su zaštitni znaci Intel Corporation ili njenih podružnica. Intel garantuje performanse svojih FPGA i poluprovodničkih proizvoda u skladu sa trenutnim specifikacijama u skladu sa Intelovom standardnom garancijom, ali zadržava pravo da izvrši izmene bilo kojeg proizvoda i usluge u bilo koje vreme bez prethodne najave. Intel ne preuzima nikakvu odgovornost ili odgovornost koja proizilazi iz primene ili korišćenja bilo koje informacije, proizvoda ili usluge opisane ovde, osim ako je Intel izričito pristao u pisanoj formi. Intelovim kupcima se savjetuje da nabave najnoviju verziju specifikacija uređaja prije nego što se oslone na bilo koju objavljenu informaciju i prije naručivanja proizvoda ili usluga. *Druga imena i robne marke mogu se smatrati vlasništvom drugih.

ISO 9001:2015 Registrovan

1. Intel Agilex® 7 Sigurnost uređaja je završenaview 683823 | 2023.05.23

1.2. Planirane sigurnosne karakteristike

Karakteristike pomenute u ovom odeljku planirane su za buduće izdanje softvera Intel Quartus Prime Pro Edition.

Napomena:

Informacije u ovom dijelu su preliminarne.

1.2.1. Djelomična rekonfiguracija Bitstream Sigurnosna provjera
Provjera sigurnosti bitstreama djelomične rekonfiguracije (PR) pomaže u pružanju dodatne sigurnosti da bitstreamovi PR persona ne mogu pristupiti ili ometati druge bitstreamove PR persone.

1.2.2. Samoubijanje uređaja za fizičku anti-Tamper
Samoukidanje uređaja izvodi brisanje uređaja ili odgovor nuliranja uređaja i dodatno programira eFuses kako bi spriječio ponovno konfiguriranje uređaja.

1.3. Dostupna sigurnosna dokumentacija

Sljedeća tabela nabraja dostupnu dokumentaciju za sigurnosne funkcije uređaja na Intel FPGA i Structured ASIC uređajima:

Tabela 1.

Dostupna sigurnosna dokumentacija uređaja

Naziv dokumenta
Sigurnosna metodologija za Intel FPGA i Structured ASIC Vodič za korisnike

Svrha
Dokument najvišeg nivoa koji sadrži detaljne opise sigurnosnih funkcija i tehnologija u Intelovim programskim rešenjima. Namijenjen je da vam pomogne da odaberete sigurnosne značajke potrebne za postizanje vaših sigurnosnih ciljeva.

ID dokumenta 721596

Intel Stratix 10 Device Security User Guide
Intel Agilex 7 Device Security User Guide

Za korisnike Intel Stratix 10 uređaja, ovaj vodič sadrži uputstva za korišćenje softvera Intel Quartus Prime Pro Edition za implementaciju bezbednosnih funkcija identifikovanih korišćenjem Korisničkog vodiča za bezbednosnu metodologiju.
Za korisnike Intel Agilex 7 uređaja, ovaj vodič sadrži uputstva za korišćenje softvera Intel Quartus Prime Pro Edition za implementaciju bezbednosnih funkcija identifikovanih korišćenjem Korisničkog vodiča za bezbednosnu metodologiju.

683642 683823

Intel eASIC N5X Device Security User Guide

Za korisnike Intel eASIC N5X uređaja, ovaj vodič sadrži uputstva za korišćenje softvera Intel Quartus Prime Pro Edition za implementaciju bezbednosnih funkcija identifikovanih korišćenjem Korisničkog vodiča za bezbednosnu metodologiju.

626836

Korisnički vodič za Intel Agilex 7 i Intel eASIC N5X HPS kriptografske usluge

Ovaj vodič sadrži informacije koje će pomoći HPS softverskim inženjerima u implementaciji i korištenju HPS softverskih biblioteka za pristup kriptografskim uslugama koje pruža SDM.

713026

AN-968 Black Key Provisioning Service Vodič za brzi početak

Ovaj vodič sadrži kompletan skup koraka za postavljanje usluge Black Key Provisioning.

739071

Lokacija Intel Resource i
Design Center
Intel.com
Intel.com
Intelov centar za resurse i dizajn
Intelov centar za resurse i dizajn
Intelov centar za resurse i dizajn

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 5

683823 | 2023.05.23. Pošalji povratnu informaciju

Autentifikacija i autorizacija

Da biste omogućili funkcije provjere autentičnosti Intel Agilex 7 uređaja, počinjete korištenjem softvera Intel Quartus Prime Pro Edition i povezanih alata za izgradnju lanca potpisa. Lanac potpisa sastoji se od korijenskog ključa, jednog ili više ključeva za potpisivanje i primjenjivih autorizacija. Lanac potpisa primjenjujete na svoj Intel Quartus Prime Pro Edition projekat i kompajlirano programiranje files. Koristite uputstva u Device Provisioning da programirate svoj root ključ u Intel Agilex 7 uređaje.
Povezane informacije
Omogućavanje uređaja na stranici 25

2.1. Kreiranje lanca potpisa
Možete koristiti alat quartus_sign ili referentnu implementaciju agilex_sign.py za izvođenje operacija lanca potpisa. Ovaj dokument daje npramples koristeći quartus_sign.
Da biste koristili referentnu implementaciju, zamjenjujete poziv Python interpreteru uključenom u softver Intel Quartus Prime i izostavljate opciju –family=agilex; sve ostale opcije su ekvivalentne. Za nprample, naredba quartus_sign koja se nalazi kasnije u ovom odjeljku
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky može se pretvoriti u ekvivalentan poziv referentnoj implementaciji na sljedeći način
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Intel Quartus Prime Pro Edition softver uključuje alate quartus_sign, pgm_py i agilex_sign.py. Možete koristiti Nios® II alat komandne ljuske, koji automatski postavlja odgovarajuće varijable okruženja za pristup alatima.

Slijedite ove upute da biste pokrenuli komandnu ljusku Nios II. 1. Pokrenite komandnu ljusku Nios II.

Opcija Windows
Linux

Opis
U meniju Start postavite pokazivač na Programs Intel FPGA Nios II EDS i kliknite na Nios II Command Shell.
U komandnoj ljusci promijenite u /nios2eds i pokrenite sljedeću naredbu:
./nios2_command_shell.sh

Bivšiamplesovi u ovom odjeljku pretpostavljaju lanac potpisa i konfiguracijski bitstream files se nalaze u trenutnom radnom direktoriju. Ako odlučite slijediti examples gde ključ files se čuvaju na file sistem, oni npramppretpostavimo ključ files su

ISO 9001:2015 Registrovan

2. Autentifikacija i autorizacija 683823 | 2023.05.23
nalazi se u trenutnom radnom direktoriju. Možete odabrati koje direktorije ćete koristiti, a alati podržavaju relativnu file staze. Ako odlučite da zadržite ključ files on the file sistemu, morate pažljivo upravljati dozvolama pristupa njima files.
Intel preporučuje da se komercijalno dostupan hardverski sigurnosni modul (HSM) koristi za skladištenje kriptografskih ključeva i izvođenje kriptografskih operacija. Alat quartus_sign i referentna implementacija uključuju Standard kriptografije javnog ključa #11 (PKCS #11) Aplikacioni programski interfejs (API) za interakciju sa HSM-om tokom izvođenja operacija lanca potpisa. Referentna implementacija agilex_sign.py uključuje apstrakt interfejsa kao i exampsučelje za SoftHSM.
Možete koristiti ove nprample interfejsi za implementaciju interfejsa na vaš HSM. Pogledajte dokumentaciju vašeg HSM dobavljača za više informacija o implementaciji sučelja i upravljanju vašim HSM-om.
SoftHSM je softverska implementacija generičkog kriptografskog uređaja sa PKCS #11 interfejsom koji je dostupan putem OpenDNSSEC® projekta. Možete pronaći više informacija, uključujući upute o tome kako preuzeti, izgraditi i instalirati OpenHSM, na OpenDNSSEC projektu. Bivšiampdatoteke u ovom odjeljku koriste SoftHSM verziju 2.6.1. Bivšiampdatoteke u ovom odjeljku dodatno koriste pkcs11-tool uslužni program iz OpenSC-a za izvođenje dodatnih PKCS #11 operacija sa SoftHSM tokenom. Možete pronaći više informacija, uključujući uputstva o tome kako da preuzmete, izgradite i instalirate pkcs11tool sa OpenSC-a.
Povezane informacije
· OpenDNSSEC projekat Zonski potpisnik zasnovan na politikama za automatizaciju procesa praćenja DNSSEC ključeva.
· SoftHSM Informacije o implementaciji kriptografskog skladišta dostupnog preko PKCS #11 interfejsa.
· OpenSC Pruža skup biblioteka i uslužnih programa koji mogu da rade sa pametnim karticama.
2.1.1. Kreiranje para ključeva za autentifikaciju na lokalnom File Sistem
Koristite alat quartus_sign da kreirate parove ključeva za autentifikaciju na lokalnom file sistem koristeći operacije alata make_private_pem i make_public_pem. Prvo generišete privatni ključ operacijom make_private_pem. Vi određujete eliptičku krivu koju ćete koristiti, privatni ključ fileime i opciono da li da zaštitite privatni ključ šifrom. Intel preporučuje upotrebu krivulje secp384r1 i praćenje najboljih praksi u industriji za kreiranje jake, nasumične šifre za sve privatne ključeve files. Intel takođe preporučuje ograničavanje file sistemske dozvole na privatnom ključu .pem files za čitanje samo od strane vlasnika. Javni ključ izvodite iz privatnog ključa operacijom make_public_pem. Korisno je nazvati ključ .pem files deskriptivno. Ovaj dokument koristi konvenciju _ .pem u sljedećem primjeruamples.
1. U komandnoj ljusci Nios II pokrenite sljedeću naredbu da kreirate privatni ključ. Privatni ključ, prikazan ispod, koristi se kao korijenski ključ u kasnijem exampdatoteke koje kreiraju lanac potpisa. Intel Agilex 7 uređaji podržavaju više root ključeva, tako da vi

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 7

2. Autentifikacija i autorizacija 683823 | 2023.05.23

ponovite ovaj korak da kreirate potreban broj root ključeva. Prampsve datoteke u ovom dokumentu odnose se na prvi korijenski ključ, iako možete izgraditi lance potpisa na sličan način sa bilo kojim korijenskim ključem.

Opcija Sa pristupnom frazom

Opis
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Unesite pristupnu frazu kada se to od vas zatraži.

Bez pristupne fraze

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Pokrenite sljedeću naredbu da kreirate javni ključ koristeći privatni ključ generiran u prethodnom koraku. Ne morate štititi povjerljivost javnog ključa.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Ponovo pokrenite naredbe da kreirate par ključeva koji se koristi kao ključ za potpisivanje dizajna u lancu potpisa.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Kreiranje para ključeva za autentifikaciju u SoftHSM-u
SoftHSM exampstavke u ovom poglavlju su samostalne. Određeni parametri ovise o vašoj SoftHSM instalaciji i inicijalizaciji tokena unutar SoftHSM-a.
Alat quartus_sign zavisi od PKCS #11 API biblioteke iz vašeg HSM-a.
BivšiampLes u ovom odjeljku pretpostavlja da je SoftHSM biblioteka instalirana na jednoj od sljedećih lokacija: · /usr/local/lib/softhsm2.so na Linuxu · C:SoftHSM2libsofthsm2.dll na 32-bitnoj verziji Windowsa · C:SoftHSM2libsofthsm2-x64 .dll na 64-bitnoj verziji operativnog sistema Windows.
Inicijalizirajte token unutar SoftHSM-a pomoću alata softhsm2-util:
softhsm2-util –init-token –oznaka agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Parametri opcije, posebno oznaka tokena i pin tokena su nprampkoje se koriste u ovom poglavlju. Intel preporučuje da slijedite upute vašeg HSM dobavljača za kreiranje tokena i ključeva i upravljanje njima.
Parove ključeva za autentifikaciju kreirate pomoću pkcs11-tool uslužnog programa za interakciju s tokenom u SoftHSM-u. Umjesto eksplicitnog pozivanja na privatni i javni ključ .pem files u file sistem examples, na par ključeva upućujete po njegovoj oznaci i alat automatski bira odgovarajući ključ.

Intel Agilex® 7 Device Security User Guide 8

Pošalji povratne informacije

2. Autentifikacija i autorizacija 683823 | 2023.05.23

Pokrenite sljedeće naredbe da kreirate par ključeva koji se koristi kao korijenski ključ u kasnijem examples, kao i par ključeva koji se koristi kao ključ za potpisivanje dizajna u lancu potpisa:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mehanizam ECDSA-KEY-PAIR-GEN –tip ključa EC :secp384r1 –znak upotrebe –oznaka korijen0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mehanizam ECDSA-KEY-PAIR-GEN –tip ključa EC :secp384r1 –usage-sign –label design0_sign –id 1

Napomena:

Opcija ID u ovom koraku mora biti jedinstvena za svaki ključ, ali je koristi samo HSM. Ova opcija ID-a nije povezana sa ID-om za otkazivanje ključa koji je dodijeljen u lancu potpisa.

2.1.3. Kreiranje korijenskog unosa lanca potpisa
Pretvorite korijenski javni ključ u korijenski unos lanca potpisa, pohranjen na lokalnom file sistem u formatu Intel Quartus Prime key (.qky). file, sa make_root operacijom. Ponovite ovaj korak za svaki root ključ koji generišete.
Pokrenite sljedeću naredbu da kreirate lanac potpisa s korijenskim unosom, koristeći korijenski javni ključ iz file sistem:
quartus_sign –family=agilex –operation=make_root –key_type=vlasnik root0_public.pem root0.qky
Pokrenite sljedeću naredbu da kreirate lanac potpisa s korijenskim unosom, koristeći korijenski ključ iz SoftHSM tokena uspostavljenog u prethodnom odjeljku:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/sofths. ” root2 root0.qky

2.1.4. Kreiranje unosa javnog ključa u lancu potpisa
Kreirajte novi unos javnog ključa za lanac potpisa s operacijom append_key. Navodite prethodni lanac potpisa, privatni ključ za posljednji unos u prethodnom lancu potpisa, javni ključ sljedećeg nivoa, dozvole i ID za otkazivanje koje dodjeljujete javnom ključu sljedećeg nivoa i novi lanac potpisa file.
Primijetite da softHSM biblioteka nije dostupna uz Quartus instalaciju i umjesto toga treba je zasebno instalirati. Za više informacija o softHSM-u pogledajte Odjeljak Kreiranje lanca potpisa iznad.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 9

2. Autentifikacija i autorizacija 683823 | 2023.05.23
Ovisno o vašoj upotrebi ključeva na file ili u HSM-u, koristite jedan od sljedećih nprample naredbe za dodavanje javnog ključa design0_sign u korijenski lanac potpisa kreiran u prethodnom odjeljku:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsokename=presm2 root0 –previous_qky=root0.qky –dozvola=6 –otkaži=0 –input_keyname=design0_sign design0_sign_chain.qky
Operaciju append_key možete ponoviti još dva puta za najviše tri unosa javnog ključa između osnovnog unosa i unosa bloka zaglavlja u bilo kojem lancu potpisa.
Sljedeći prample pretpostavlja da ste kreirali drugi javni ključ za autentifikaciju sa istim dozvolama i dodijeljenim ID-om otkazivanja 1 koji se zove design1_sign_public.pem, i dodajete ovaj ključ u lanac potpisa iz prethodnog example:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsokename=presm2 design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Intel Agilex 7 uređaji uključuju dodatni brojač za otkazivanje ključa kako bi se olakšalo korištenje ključa koji se može periodično mijenjati tokom životnog vijeka datog uređaja. Možete odabrati ovaj brojač za otkazivanje ključa tako što ćete promijeniti argument opcije –cancel u pts:pts_value.
2.2. Potpisivanje konfiguracijskog bitstreama
Intel Agilex 7 uređaji podržavaju brojače broja bezbednosne verzije (SVN), koji vam omogućavaju da opozovete autorizaciju objekta bez otkazivanja ključa. Dodjeljujete SVN brojač i odgovarajuću vrijednost SVN brojača tokom potpisivanja bilo kojeg objekta, kao što je bitstream sekcija, firmware .zip file, ili kompaktni certifikat. Dodjeljujete SVN brojač i SVN vrijednost koristeći opciju –cancel i svn_counter:svn_value kao argument. Važeće vrijednosti za svn_counter su svnA, svnB, svnC i svnD. Svn_value je cijeli broj unutar raspona [0,63].

Intel Agilex® 7 Device Security User Guide 10

Pošalji povratne informacije

2. Autentifikacija i autorizacija 683823 | 2023.05.23
2.2.1. Quartus Key File Zadatak
Navodite lanac potpisa u svom softverskom projektu Intel Quartus Prime da biste omogućili funkciju provjere autentičnosti za taj dizajn. Iz menija Zadaci, izaberite Device Device and Pin Options Security Quartus Key File, zatim idite do lanca potpisa .qky file kreirali ste da potpišete ovaj dizajn.
Slika 1. Omogućite postavku konfiguracije bitstreama

Alternativno, možete dodati sljedeću izjavu o dodjeli vašim Intel Quartus Prime postavkama file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
Za generiranje .sof file iz prethodno kompajliranog dizajna, koji uključuje ovu postavku, iz menija Obrada izaberite Start Start Assembler. Novi izlaz .sof file uključuje dodjele za omogućavanje provjere autentičnosti s datim lancem potpisa.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 11

2. Autentifikacija i autorizacija 683823 | 2023.05.23
2.2.2. Zajedničko potpisivanje SDM firmvera
Koristite alat quartus_sign za izdvajanje, potpisivanje i instaliranje odgovarajućeg SDM firmvera .zip file. Ko-potpisani firmver se zatim uključuje u programiranje file generator alata kada pretvorite .sof file u konfiguracijski bitstream .rbf file. Koristite sljedeće naredbe da kreirate novi lanac potpisa i potpišete SDM firmver.
1. Kreirajte novi par ključeva za potpisivanje.
a. Kreirajte novi par ključeva za potpisivanje na file sistem:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Kreirajte novi par ključeva za potpisivanje u HSM-u:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mehanizam ECDSA-KEY-PAIR-GEN –tip ključa EC :secp384r1 –znak upotrebe –oznaka firmvera1 –id 1
2. Kreirajte novi lanac potpisa koji sadrži novi javni ključ:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsokename=presm2 root0 –previous_qky=root0.qky –dozvola=1 –otkaži=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Kopirajte firmver .zip file iz vašeg direktorija za instalaciju softvera Intel Quartus Prime Pro Edition ( /devices/programmer/firmware/ agilex.zip) u trenutni radni direktorij.
quartus_sign –family=agilex –get_firmware=.
4. Potpišite firmver .zip file. Alat automatski raspakuje .zip file i pojedinačno potpisuje sav firmver .cmf files, zatim ponovo gradi .zip file za korištenje od strane alata u sljedećim odjeljcima:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 Device Security User Guide 12

Pošalji povratne informacije

2. Autentifikacija i autorizacija 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Potpisivanje konfiguracije Bitstream Korištenje naredbe quartus_sign
Da biste potpisali konfiguracijski bitstream pomoću naredbe quartus_sign, prvo konvertujete .sof file u nepotpisanu sirovu binarnu datoteku file (.rbf) format. Opciono možete specificirati ko-potpisani firmver koristeći opciju fw_source tokom koraka konverzije.
Možete generirati nepotpisani sirovi bitstream u .rbf formatu koristeći sljedeću naredbu:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Pokrenite jednu od sljedećih naredbi da potpišete bitstream pomoću alata quartus_sign ovisno o lokaciji vaših ključeva:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” – design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Možete konvertovati potpisani .rbf files na drugu konfiguraciju bitstream file formati.
Za nprample, ako koristite Jam* Standard Test and Programming Language (STAPL) Player za programiranje bitova preko JTAG, koristite sljedeću naredbu da konvertujete .rbf file na .jam format koji Jam STAPL Player zahtijeva:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Podrška za više ovlaštenja za djelomičnu rekonfiguraciju

Intel Agilex 7 uređaji podržavaju djelomičnu rekonfiguraciju više ovlaštenja, gdje vlasnik uređaja kreira i potpisuje statički bitstream, a poseban PR vlasnik kreira i potpisuje PR persona bitstreamove. Intel Agilex 7 uređaji implementiraju podršku za više ovlaštenja dodjeljivanjem prvih slotova korijenskog ključa za autentifikaciju vlasniku uređaja ili statičkog bitstreama i dodjeljivanjem konačnog slota korijenskog ključa za autentifikaciju vlasniku bitova osobe za djelomičnu rekonfiguraciju.
Ako je funkcija provjere autentičnosti omogućena, tada sve slike PR persona moraju biti potpisane, uključujući ugniježđene slike PR persona. Slike PR osobe mogu potpisati ili vlasnik uređaja ili vlasnik PR-a; međutim, tokovi bitova statičke regije moraju biti potpisani od strane vlasnika uređaja.

Napomena:

Djelomična rekonfiguracija statičkog i personalnog bitstream enkripcije kada je omogućena podrška za više ovlaštenja planira se u budućem izdanju.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 13

2. Autentifikacija i autorizacija 683823 | 2023.05.23

Slika 2.

Implementacija djelomične rekonfiguracije podrške za više ovlaštenja zahtijeva nekoliko koraka:
1. Vlasnik uređaja ili statičkog bitstreama generira jedan ili više korijenskih ključeva za provjeru autentičnosti kao što je opisano u Kreiranje para ključeva za autentifikaciju u SoftHSM-u na stranici 8, gdje opcija –key_type ima vrijednost vlasnika.
2. Vlasnik toka bitova djelomične rekonfiguracije generira korijenski ključ provjere autentičnosti, ali mijenja vrijednost opcije –key_type u secondary_owner.
3. Vlasnici dizajna statičkog toka bitova i djelomične rekonfiguracije osiguravaju da je potvrdni okvir Omogući podršku više ovlaštenja omogućen na kartici Sigurnost uređaja Dodjela uređaja i opcija Pin.
Intel Quartus Prime Enable Multi-Authority Option Settings

4. I statički bitstream i vlasnici dizajna djelomične rekonfiguracije kreiraju lance potpisa na osnovu svojih odgovarajućih korijenskih ključeva kao što je opisano u Kreiranje lanca potpisa na stranici 6.
5. I statički bitstream i vlasnici dizajna djelomične rekonfiguracije pretvaraju svoje kompajlirane dizajne u .rbf format files i potpišite .rbf files.
6. Vlasnik uređaja ili statičkog bitstreama generira i potpisuje kompaktni certifikat autorizacije programa PR javnog ključa.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” – design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 Device Security User Guide 14

Pošalji povratne informacije

2. Autentifikacija i autorizacija 683823 | 2023.05.23

7. Vlasnik uređaja ili statičkog toka bitova obezbjeđuje svoje hešove korijenskog ključa za autentifikaciju uređaju, zatim programira kompaktni certifikat autorizacije programa javnog ključa PR, i na kraju daje uređaju korijenski ključ vlasnika bitstreama za djelomičnu rekonfiguraciju. Odjeljak Dobavljanje uređaja opisuje ovaj proces obezbjeđivanja.
8. Intel Agilex 7 uređaj je konfigurisan sa statičkom regijom .rbf file.
9. Intel Agilex 7 uređaj je djelimično rekonfigurisan sa persona dizajnom .rbf file.
Povezane informacije
· Kreiranje lanca potpisa na stranici 6
· Kreiranje para ključeva za autentifikaciju u SoftHSM-u na stranici 8
· Omogućavanje uređaja na stranici 25

2.2.5. Provjera konfiguracije Bitstream lanaca potpisa
Nakon što kreirate lance potpisa i potpisane tokove bitova, možete provjeriti da li potpisani bitstream ispravno konfigurira uređaj programiran datim korijenskim ključem. Prvo koristite fuse_info operaciju naredbe quartus_sign da ispišete hash korijenskog javnog ključa u tekst file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Zatim koristite opciju check_integrity naredbe quartus_pfg da pregledate lanac potpisa na svakom dijelu potpisanog toka bitova u .rbf formatu. Opcija check_integrity ispisuje sljedeće informacije:
· Status ukupne provjere integriteta bitstreama
· Sadržaj svakog unosa u svakom lancu potpisa prikačen na svaki odeljak u bitstreamu .rbf file,
· Očekivana vrijednost osigurača za hash korijenskog javnog ključa za svaki lanac potpisa.
Vrijednost iz izlaza fuse_info trebala bi odgovarati linijama osigurača u izlazu check_integrity.
quartus_pfg –check_integrity signed_bitstream.rbf

Evo bivšegample izlaza naredbe check_integrity:

Info: Komanda: quartus_pfg –check_integrity signed_bitstream.rbf Status integriteta: OK

Sekcija

Tip: CMF

Deskriptor potpisa…

Lanac potpisa #0 (unosi: -1, pomak: 96)

Unos #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Generiraj ključ…

Kriva : secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Generiraj ključ…

Kriva : secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 15

2. Autentifikacija i autorizacija 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Unos #1

Generiraj ključ…

Kriva : secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Unos #2 Dozvola za privjesak za ključeve: SIGN_CODE Privjesak za ključeve može se otkazati ID-om: 3 Potpisni lanac #1 (unosi: -1, pomak: 648)

Unos #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generiraj ključ…

Kriva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generiraj ključ…

Kriva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Unos #1

Generiraj ključ…

Kriva : secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Unos #2

Generiraj ključ…

Kriva : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Unos #3 Dozvola za privjesak ključeva: SIGN_CODE Privjesak za ključeve može se otkazati ID-om: 15 Lanac potpisa #2 (unosi: -1, pomak: 0) Lanac potpisa #3 (unosi: -1, pomak: 0) Lanac potpisa #4 (unosi: -1, pomak: 0) Lanac potpisa #5 (unosi: -1, pomak: 0) Lanac potpisa #6 (unosi: -1, pomak: 0) Lanac potpisa #7 (unosi: -1, pomak: 0)

Tip sekcije: IO Deskriptor potpisa … Lanac potpisa #0 (unosi: -1, pomak: 96)

Unos #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generiraj ključ…

Kriva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 Device Security User Guide 16

Pošalji povratne informacije

2. Autentifikacija i autorizacija 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generiraj ključ…

Kriva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Unos #1

Generiraj ključ…

Kriva : secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Unos #2

Generiraj ključ…

Kriva : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Unos #3 Dozvola za privjesak ključeva: SIGN_CORE Privjesak za ključeve se može otkazati ID-om: 15 Lanac potpisa #1 (unosi: -1, pomak: 0) Lanac potpisa #2 (unosi: -1, pomak: 0) Lanac potpisa #3 (unosi: -1, pomak: 0) Lanac potpisa #4 (unosi: -1, pomak: 0) Lanac potpisa #5 (unosi: -1, pomak: 0) Lanac potpisa #6 (unosi: -1, pomak: 0) Potpis lanac #7 (unosi: -1, pomak: 0)

Sekcija

Tip: HPS

Deskriptor potpisa…

Lanac potpisa #0 (unosi: -1, pomak: 96)

Unos #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generiraj ključ…

Kriva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generiraj ključ…

Kriva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Unos #1

Generiraj ključ…

Kriva : secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Unos #2

Generiraj ključ…

Kriva : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 17

2. Autentifikacija i autorizacija 683823 | 2023.05.23

Unos #3 Dozvola za privezak ključeva: SIGN_HPS Privjesak za ključeve može se otkazati ID-om: 15 Lanac potpisa #1 (unosi: -1, pomak: 0) Lanac potpisa #2 (unosi: -1, pomak: 0) Lanac potpisa #3 (unosi: -1, pomak: 0) Lanac potpisa #4 (unosi: -1, pomak: 0) Lanac potpisa #5 (unosi: -1, pomak: 0) Lanac potpisa #6 (unosi: -1, pomak: 0) Potpis lanac #7 (unosi: -1, pomak: 0)

Tip sekcije: CORE Deskriptor potpisa … Lanac potpisa #0 (unosi: -1, pomak: 96)

Unos #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generiraj ključ…

Kriva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generiraj ključ…

Kriva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Unos #1

Generiraj ključ…

Kriva : secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Unos #2

Generiraj ključ…

Kriva : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Intel Agilex® 7 Device Security User Guide 18

Pošalji povratne informacije

683823 | 2023.05.23. Pošalji povratnu informaciju

AES Bitstream enkripcija

Enkripcija bitova standarda Advanced Encryption Standard (AES) je funkcija koja omogućava vlasniku uređaja da zaštiti povjerljivost intelektualnog vlasništva u konfiguracijskom bitstreamu.
Kako bi se zaštitila povjerljivost ključeva, konfiguracijsko bitstream enkripcija koristi lanac AES ključeva. Ovi ključevi se koriste za šifriranje podataka vlasnika u konfiguracijskom bitstreamu, gdje je prvi međuključ šifriran sa AES root ključem.

3.1. Kreiranje AES korijenskog ključa

Možete koristiti alat quartus_encrypt ili referentnu implementaciju stratix10_encrypt.py za kreiranje AES root ključa u Intel Quartus Prime softverskom ključu za šifriranje (.qek) formatu file.

Napomena:

Stratix10_encrypt.py file koristi se za Intel Stratix® 10 i Intel Agilex 7 uređaje.

Opciono možete navesti osnovni ključ koji se koristi za izvođenje AES korijenskog ključa i ključa za izvođenje ključa, vrijednost za AES korijenski ključ direktno, broj međuključeva i maksimalnu upotrebu po međuključu.

Morate navesti porodicu uređaja, izlaz .qek file lokaciju i pristupnu frazu kada se to od vas zatraži.
Pokrenite sljedeću naredbu za generiranje AES korijenskog ključa koristeći nasumične podatke za osnovni ključ i zadane vrijednosti za broj međuključeva i maksimalnu upotrebu ključa.
Da biste koristili referentnu implementaciju, zamjenjujete poziv Python interpreteru uključenom u softver Intel Quartus Prime i izostavljate opciju –family=agilex; sve ostale opcije su ekvivalentne. Za nprample, naredba quartus_encrypt koja se nalazi kasnije u odjeljku

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

može se pretvoriti u ekvivalentan poziv referentnoj implementaciji na sljedeći način pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Quartus postavke šifriranja
Da biste omogućili bitstream enkripciju za dizajn, morate specificirati odgovarajuće opcije koristeći sigurnosni panel Dodjela uređaja Device i Pin Options. Odabirete potvrdni okvir Omogući konfiguracijsko šifriranje bitstreama i željenu lokaciju za pohranu ključa za šifriranje iz padajućeg izbornika.

ISO 9001:2015 Registrovan

Slika 3. Intel Quartus Prime Encryption postavke

3. AES Bitstream enkripcija 683823 | 2023.05.23

Alternativno, možete dodati sljedeću izjavu o dodjeli vašim Intel Quartus Prime postavkama file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM na set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Ako želite da omogućite dodatna ublažavanja vektora napada sa strane kanala, možete omogućiti padajući meni omjera ažuriranja šifriranja i okvir za potvrdu Omogući šifriranje.

Intel Agilex® 7 Device Security User Guide 20

Pošalji povratne informacije

3. AES Bitstream enkripcija 683823 | 2023.05.23

Odgovarajuće promjene u .qsf-u su:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING na set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Šifriranje konfiguracijskog toka bitova
Vi šifrirate konfiguracijski bitstream prije potpisivanja bitstreama. Programiranje Intel Quartus Prime File Alat Generator može automatski šifrirati i potpisati konfiguracijski bitstream koristeći grafički korisnički interfejs ili komandnu liniju.
Opciono možete kreirati djelomično šifrirani bitstream za korištenje s alatima quartus_encrypt i quartus_sign ili ekvivalentima referentne implementacije.

3.3.1. Konfiguracija Bitstream Enkripcija korištenjem programiranja File Grafički interfejs generatora
Možete koristiti programiranje File Generator za šifriranje i potpisivanje slike vlasnika.

Slika 4.

1. Na Intel Quartus Prime File u meniju izaberite Programiranje File Generator. 2. Na izlazu Files tab, navedite izlaz file tip za svoju konfiguraciju
shema.
Izlaz File Specifikacija

Konfiguraciona šema Izlaz file tab
Izlaz file tip

3. Na ulazu Files, kliknite na Add Bitstream i pretražite svoj .sof. 4. Da biste odredili opcije šifriranja i provjere autentičnosti, odaberite .sof i kliknite
Svojstva. a. Uključite Omogući alat za potpisivanje. b. Za privatni ključ file odaberite privatni ključ za potpisivanje .pem file. c. Uključite Finalize encryption.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 21

3. AES Bitstream enkripcija 683823 | 2023.05.23

Slika 5.

d. Za ključ za šifriranje file, odaberite svoj AES .qek file. Ulaz (.sof) File Svojstva za autentifikaciju i šifriranje

Omogući autentifikaciju Navedite privatni korijen .pem
Omogući šifriranje Odredite ključ za šifriranje
5. Za generiranje potpisanog i šifriranog toka bitova, na ulazu Files, kliknite na Generiraj. Pojavljuju se dijaloški okviri za lozinku u koje možete unijeti lozinku za vaš AES ključ .qek file i potpisivanje privatnog ključa .pem file. Programiranje file generator kreira šifrirani i potpisani izlaz_file.rbf.
3.3.2. Konfiguracija Bitstream Enkripcija korištenjem programiranja File Interfejs komandne linije generatora
Generirajte šifriranu i potpisanu konfiguraciju bitstream u .rbf formatu s quartus_pfg sučeljem komandne linije:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
Možete konvertovati šifrovani i potpisani tok bitova u .rbf formatu u drugi konfiguracioni bitstream file formati.
3.3.3. Djelomično šifrovana konfiguracija Generisanje bitova pomoću interfejsa komandne linije
Možete generirati djelomično šifrirani program file da dovršite šifriranje i kasnije potpišete sliku. Generirajte djelomično šifrirano programiranje file u .rbf formatu sa interfejsom komandne linije quartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 Device Security User Guide 22

Pošalji povratne informacije

3. AES Bitstream enkripcija 683823 | 2023.05.23
Koristite alat za komandnu liniju quartus_encrypt da finalizirate bitstream enkripciju:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Koristite quartus_sign alat za naredbenu liniju da potpišete šifrirani konfiguracijski bitstream:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” – design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Djelomična rekonfiguracija Bitstream enkripcija
Možete omogućiti bitstream enkripciju na nekim Intel Agilex 7 FPGA dizajnima koji koriste djelomičnu rekonfiguraciju.
Projekti djelomične rekonfiguracije koji koriste hijerarhijsku djelomičnu rekonfiguraciju (HPR) ili statičku djelomičnu rekonfiguraciju (SUPR) ne podržavaju šifriranje bitstreama. Ako vaš dizajn sadrži više PR regija, morate šifrirati sve persone.
Za omogućavanje djelomične rekonfiguracije bitstream enkripcije, slijedite istu proceduru u svim revizijama dizajna. 1. Na Intel Quartus Prime File u meniju, izaberite Zadaci Uređaj Uređaj
i Pin Options Security. 2. Odaberite željenu lokaciju za pohranu ključa za šifriranje.
Slika 6. Postavka šifriranja bitstreama djelomične rekonfiguracije

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 23

3. AES Bitstream enkripcija 683823 | 2023.05.23
Alternativno, možete dodati sljedeću izjavu o dodjeli u postavkama Quartus Prime file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION na
Nakon što kompajlirate svoj osnovni dizajn i revizije, softver generiše a.soffile i jedan ili više.pmsffiles, koji predstavljaju persone. 3. Kreirajte šifrirano i potpisano programiranje files from.sof and.pmsf files na sličan način kao kod dizajna bez omogućene djelomične rekonfiguracije. 4. Pretvorite prevedenu persona.pmsf file na djelimično šifriranu.rbf file:
quartus_pfg -c -o finalize_encryption_later=UKLJUČENO -o sign_later=UKLJUČENO encryption_enabled_persona1.pmsf persona1.rbf
5. Završite bitstream enkripciju pomoću alata komandne linije quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Potpišite šifriranu konfiguraciju bitstream pomoću alata quartus_sign komandne linije:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2=.so” –qsofthsm0=.so” design0_sign_chain.qky –cancel=svnA:0 –keyname=design1_sign encrypted_persona1.rbf signed_encrypted_personaXNUMX.rbf

Intel Agilex® 7 Device Security User Guide 24

Pošalji povratne informacije

683823 | 2023.05.23. Pošalji povratnu informaciju

Device Provisioning

Početno obezbjeđivanje sigurnosnih funkcija podržano je samo u firmveru za SDM obezbjeđivanje. Koristite Intel Quartus Prime programator da učitate firmver za SDM i izvršite operacije obezbeđivanja.
Možete koristiti bilo koju vrstu JTAG preuzmite kabl za povezivanje Quartus programatora sa Intel Agilex 7 uređajem za obavljanje operacija obezbeđivanja.
4.1. Korištenje SDM Provision firmware
Intel Quartus Prime programator automatski kreira i učitava fabrički podrazumevanu pomoćnu sliku kada izaberete operaciju inicijalizacije i komandu za programiranje nečeg drugog osim konfiguracionog toka bitova.
Ovisno o specificiranoj naredbi za programiranje, tvornički zadana slika pomoćnika je jedna od dvije vrste:
· Slika pomoćnika za proviziju – sastoji se od jednog bitstream sekcije koji sadrži firmver za SDM obezbjeđivanje.
· QSPI pomoćna slika – sastoji se od dva bitstream sekcija, jedan koji sadrži SDM glavni firmver i jedan I/O sekciju.
Možete kreirati fabrički zadanu pomoćnu sliku file za učitavanje u vaš uređaj prije izvođenja bilo koje naredbe za programiranje. Nakon programiranja heša korijenskog ključa za autentifikaciju, morate kreirati i potpisati QSPI tvornički zadanu pomoćnu sliku zbog uključenog I/O odjeljka. Ako dodatno programirate sigurnosnu postavku supotpisanog firmvera eFuse, morate kreirati privilegiranje i QSPI tvornički zadane pomoćne slike sa supotpisanim firmverom. Možete koristiti supotpisanu fabrički zadanu pomoćnu sliku na neopredijeljenom uređaju jer neopredijeljeni uređaj zanemaruje lance potpisa koji nisu Intel preko SDM firmvera. Pogledajte Korištenje QSPI tvornički zadane slike pomoćnika na uređajima u vlasništvu na stranici 26 za više detalja o kreiranju, potpisivanju i korištenju QSPI tvornički zadane pomoćne slike.
Fabrički podrazumevana pomoćna slika za proviziju izvodi radnju obezbeđivanja, kao što je programiranje heša korenskog ključa za provjeru autentičnosti, osigurači sigurnosnih postavki, PUF upis ili dodjela crnog ključa. Koristite Intel Quartus Prime programiranje File Alat za komandnu liniju Generator za kreiranje slike pomoćnika za obezbjeđivanje, navodeći opciju helper_image, ime vašeg helper_device, podtip slike pomoćnika za pružanje i opciono supotpisani firmver .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVIZIJA -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Programirajte pomoćnu sliku pomoću alata Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force

ISO 9001:2015 Registrovan

4. Device Provisioning 683823 | 2023.05.23

Napomena:

Možete izostaviti operaciju inicijalizacije iz naredbi, uključujući nprampdatoteke koje se nalaze u ovom poglavlju, nakon programiranja slike pomoćnika za obezbjeđivanje ili korištenja naredbe koja sadrži operaciju inicijalizacije.

4.2. Korištenje QSPI tvornički zadane slike pomoćnika na uređajima u vlasništvu
Intel Quartus Prime programator automatski kreira i učitava QSPI tvornički zadanu pomoćnu sliku kada odaberete operaciju inicijalizacije za QSPI flash programiranje file. Nakon programiranja heša korijenskog ključa za provjeru autentičnosti, morate kreirati i potpisati QSPI tvornički zadanu pomoćnu sliku i posebno programirati potpisanu QSPI tvorničku pomoćnu sliku prije programiranja QSPI flash. 1. Koristite Intel Quartus Prime programiranje File Alat komandne linije generatora za
kreirajte QSPI pomoćnu sliku, navodeći opciju helper_image, tip vašeg helper_device, podtip QSPI pomoćne slike i opciono kosignirani firmver .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Potpisujete QSPI tvornički zadanu pomoćnu sliku:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Možete koristiti bilo koje QSPI flash programiranje file formatu. Sljedeći pramples koristi konfiguracioni bitstream konvertovan u .jic file format:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o uređaj=MT25QU128 -o flash_loader=AGFB014R24A -o mod=ASX4
4. Programirate potpisanu pomoćnu sliku pomoću alata Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” – sila
5. Programirate .jic sliku da treperi pomoću alata Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”

4.3. Dobavljanje korijenskog ključa za autentifikaciju
Da biste programirali hešove korijenskog ključa vlasnika na fizičke osigurače, prvo morate učitati pripremni firmver, zatim programirati hešove korijenskog ključa vlasnika, a zatim odmah izvršiti resetiranje po uključenju. Reset po uključenju nije potreban ako se programiranje korijenskog ključa hashira u virtuelne osigurače.

Intel Agilex® 7 Device Security User Guide 26

Pošalji povratne informacije

4. Device Provisioning 683823 | 2023.05.23
Da biste programirali hešove korijenskog ključa za autentifikaciju, programirate pomoćnu sliku za obezbjeđenje firmvera i pokrenite jednu od sljedećih naredbi za programiranje korijenskog ključa .qky files.
// Za fizičke (neisparljive) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –non_volatile_key
// Za virtualne (isparljive) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky”
4.3.1. Djelomična rekonfiguracija Programiranje korijenskog ključa s više ovlaštenja
Nakon obezbjeđenja korijenskih ključeva vlasnika bitstream uređaja ili statičkog regiona, ponovo učitavate pomoćnu sliku za dostavljanje uređaja, programirate potpisani kompaktni certifikat za autorizaciju programa javnog ključa PR, a zatim obezbjeđujete korijenski ključ vlasnika bitstreama PR persone.
// Za fizičke (neisparljive) eFuses quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Za virtualne (isparljive) eFuses quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Osigurači ID za otkazivanje ključa za programiranje
Počevši od verzije softvera Intel Quartus Prime Pro Edition 21.1, programiranje Intelovih osigurača i osigurača za otkazivanje ključa vlasnika zahtijeva korištenje potpisanog kompaktnog certifikata. Možete potpisati kompaktni certifikat ID otkazivanja ključa lancem potpisa koji ima dozvole za potpisivanje FPGA odjeljka. Sa programiranjem kreirate kompaktni certifikat file alat komandne linije generatora. Potpisujete nepotpisani certifikat pomoću alata quartus_sign ili referentne implementacije.
Intel Agilex 7 uređaji podržavaju odvojene banke ID-ova za otkazivanje ključa vlasnika za svaki korijenski ključ. Kada se kompaktni certifikat ID otkazivanja ključa programira u Intel Agilex 7 FPGA, SDM određuje koji korijenski ključ je potpisao kompaktni certifikat i ispaljuje osigurač ID za otkazivanje ključa koji odgovara tom korijenskom ključu.
Sljedeći pramples kreira certifikat za otkazivanje Intel ključa za Intel ID ključa 7. Možete zamijeniti 7 primjenjivim ID-om za otkazivanje Intel ključa od 0-31.
Pokrenite sljedeću naredbu da kreirate kompaktni certifikat za ID otkazivanja Intel ključa:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Pokrenite jednu od sljedećih naredbi da potpišete kompaktni certifikat nepotpisanog Intel ključa za otkazivanje ID-a:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 27

4. Device Provisioning 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Pokrenite sljedeću naredbu da kreirate kompaktni certifikat ID otkazivanja nepotpisanog ključa vlasnika:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Pokrenite jednu od sljedećih naredbi da potpišete kompaktni certifikat ID-a otkazivanja nepotpisanog vlasničkog ključa:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” – design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Nakon što kreirate kompaktni certifikat ID-a za otkazivanje ključa, koristite Intel Quartus Prime programator za programiranje kompaktnog certifikata na uređaju putem JTAG.
//Za fizičke (neisparljive) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
//Za virtualne (isparljive) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
Dodatno možete poslati kompaktni certifikat SDM-u koristeći FPGA ili HPS interfejs poštanskog sandučeta.
4.5. Otkazivanje korijenskih ključeva
Intel Agilex 7 uređaji vam omogućavaju da otkažete heš ključa root kada je prisutan još jedan neotkazani heš ključa. Heširanje korijenskog ključa poništavate tako da prvo konfigurirate uređaj s dizajnom čiji je lanac potpisa ukorijenjen u drugom hešu korijenskog ključa, a zatim programirate potpisani kompaktni certifikat za otkazivanje heš ključa. Morate potpisati kompaktni certifikat za otkazivanje raspršenog ključa s lancem potpisa koji je ukorijenjen u korijenskom ključu da biste ga otkazali.
Pokrenite sljedeću naredbu za generiranje kompaktnog certifikata za otkazivanje nepotpisanog korijenskog ključa:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 Device Security User Guide 28

Pošalji povratne informacije

4. Device Provisioning 683823 | 2023.05.23

Pokrenite jednu od sljedećih naredbi da potpišete kompaktni certifikat za otkazivanje nepotpisanog korijenskog ključa:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” – design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Možete programirati kompaktni certifikat za otkazivanje raspršenog ključa preko JTAG, FPGA ili HPS poštanski sandučići.

4.6. Programiranje brojača osigurača
Ažurirate broj sigurnosne verzije (SVN) i Pseudo Time Stamp (PTS) brojač osigurača koji koriste potpisane kompaktne certifikate.

Napomena:

SDM prati minimalnu vrijednost brojača koja se vidi tokom date konfiguracije i ne prihvata certifikate povećanja brojača kada je vrijednost brojača manja od minimalne vrijednosti. Morate ažurirati sve objekte dodijeljene brojaču i ponovno konfigurirati uređaj prije programiranja kompaktnog certifikata povećanja brojača.

Pokrenite jednu od sljedećih naredbi koja odgovara certifikatu povećanja brojača koji želite generirati.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Vrijednost brojača 1 stvara certifikat autorizacije povećanja brojača. Programiranje kompaktnog certifikata autorizacije povećanja brojača omogućava vam da programirate daljnje nepotpisane certifikate povećanja brojača za ažuriranje odgovarajućeg brojača. Koristite alat quartus_sign za potpisivanje kompaktnih certifikata brojača na sličan način kao i kompaktni certifikati ID otkazivanja ključa.
Možete programirati kompaktni certifikat za otkazivanje raspršenog ključa preko JTAG, FPGA ili HPS poštanski sandučići.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 29

4. Device Provisioning 683823 | 2023.05.23

4.7. Dobavljanje korijenskog ključa usluge sigurnog objekta podataka
Koristite Intel Quartus Prime Programmer da obezbedite root ključ za uslugu Secure Data Object Service (SDOS). Programator automatski učitava pomoćnu sliku za nabavku firmvera da bi omogućio SDOS root ključ.
quartus_pgm c 1 mjtag –korijenski_ključ usluge –nestalni_ključ

4.8. Obezbjeđivanje osigurača za sigurnosne postavke
Koristite Intel Quartus Prime programator da ispitate osigurače za sigurnosne postavke uređaja i zapišite ih u tekstualni .osigurač file kako slijedi:
quartus_pgm -c 1 -mjtag -o “ei;programiranje_file.osigurač;AGFB014R24B”

Opcije · i: Programator učitava pomoćnu sliku za nabavku firmvera na uređaj. · e: Programator očitava osigurač sa uređaja i pohranjuje ga u .osigurač file.

.osigurač file sadrži listu parova ime-vrijednost osigurača. Vrijednost određuje da li je osigurač pregorio ili sadržaj polja osigurača.

Sljedeći prample prikazuje format .osigurača file:

# Ko-potpisani firmver

= “Nije eksplodirano”

# Device Permit Kill

= “Nije eksplodirano”

# Uređaj nije siguran

= “Nije eksplodirano”

# Onemogući HPS debug

= “Nije eksplodirano”

# Onemogući intrinzični ID PUF upis

= “Nije eksplodirano”

# Onemogući JTAG

= “Nije eksplodirano”

# Onemogući ključ za šifriranje umotan u PUF

= “Nije eksplodirano”

# Onemogući ključ za šifriranje vlasnika u BBRAM-u = "Nije upaljeno"

# Onemogući ključ za šifriranje vlasnika u eFuses = “Nije pregoreo”

# Onemogući vlasnički korijenski javni ključ heš 0

= “Nije eksplodirano”

# Onemogući vlasnički korijenski javni ključ heš 1

= “Nije eksplodirano”

# Onemogući vlasnički korijenski javni ključ heš 2

= “Nije eksplodirano”

# Onemogućite virtuelne eFuses

= “Nije eksplodirano”

# Forsirajte SDM sat na interni oscilator = “Nije pregorelo”

# Prisilno ažuriranje ključa za šifriranje

= “Nije eksplodirano”

# Intelovo eksplicitno otkazivanje ključa

= “0”

# Zaključajte sigurnosne eFuses

= “Nije eksplodirano”

# Program šifriranja vlasnika je završen

= “Nije eksplodirano”

# Pokretanje programa ključa za šifriranje vlasnika

= “Nije eksplodirano”

# Eksplicitno otkazivanje ključa vlasnika 0

= “”

# Eksplicitno otkazivanje ključa vlasnika 1

= “”

# Eksplicitno otkazivanje ključa vlasnika 2

= “”

# Vlasnički osigurači

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Vlasnički korijenski javni ključ heš 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Vlasnički korijenski javni ključ heš 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Vlasnički korijenski javni ključ heš 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Veličina javnog ključa vlasnika root

= “Ništa”

# PTS brojač

= “0”

# PTS brojač baza

= “0”

Intel Agilex® 7 Device Security User Guide 30

Pošalji povratne informacije

4. Device Provisioning 683823 | 2023.05.23

# QSPI kašnjenje pokretanja # RMA brojač # SDMIO0 je I2C # SVN brojač A # SVN brojač B # SVN brojač C # SVN brojač D

= “10ms” = “0” = “Nije pregorelo” = “0” = “0” = “0” = “0”

Modificirajte .osigurač file da biste postavili osigurače željene sigurnosne postavke. Red koji počinje sa # tretira se kao red za komentare. Za programiranje osigurača sigurnosne postavke, uklonite vodeći # i postavite vrijednost na Pregoren. Za nprampda biste omogućili osigurač za sigurnosnu postavku supotpisanog firmvera, izmijenite prvi red osigurača file na sljedeće:
Ko-potpisani firmver = “Uzgoreo”

Također možete dodijeliti i programirati vlasničke osigurače na osnovu vaših zahtjeva.
Možete koristiti sljedeću naredbu da izvršite praznu provjeru, programirate i potvrdite vlasnički korijenski javni ključ:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

Opcije · i: Učitava pomoćnu sliku za nabavku firmvera na uređaj. · b: Izvodi praznu provjeru kako bi provjerio da osigurači željene sigurnosne postavke nisu
već izduvano. · p: Programira osigurač. · v: Provjerava programirani ključ na uređaju.
Nakon programiranja .qky file, možete ispitati informacije o osiguraču tako što ćete ponovo provjeriti informacije o osiguraču kako biste osigurali da heš javnog ključa vlasnika i veličina javnog ključa vlasnika imaju vrijednosti različite od nule.
Dok se u sljedeća polja ne može pisati kroz .osigurač file metodom, oni su uključeni tokom izlazne operacije pregleda za verifikaciju: · Uređaj nije siguran · Uređaj dozvoljava ubijanje · Onemogući heš javnog ključa vlasnika root 0 · Onemogući heš javnog ključa vlasnika root 1 · Onemogući heš javnog ključa vlasnika 2 · Intel otkazivanje ključa · Početak programa vlasničkog ključa za šifriranje · Program ključa za šifriranje vlasnika završen · Otkazivanje vlasničkog ključa · Haš javnog ključa vlasnika · Veličina javnog ključa vlasnika · Heš javnog ključa vlasnika 0 · Haš javnog ključa vlasnika 1 · Haš javnog ključa vlasnika 2

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 31

4. Device Provisioning 683823 | 2023.05.23
· PTS brojač · PTS brojač baza · QSPI start up kašnjenje · RMA brojač · SDMIO0 je I2C · SVN brojač A · SVN brojač B · SVN brojač C · SVN brojač D
Koristite Intel Quartus Prime programator da programirate .osigurač file nazad na uređaj. Ako dodate opciju i, programator automatski učitava pripremni firmver za programiranje osigurača za sigurnosne postavke.
//Za fizičke (neisparljive) eFuses quartus_pgm -c 1 -mjtag -o “pi;programiranje_file.osigurač” –non_volatile_key
//Za virtualne (isparljive) eFuses quartus_pgm -c 1 -mjtag -o “pi;programiranje_file.osigurač”
Možete koristiti sljedeću naredbu da provjerite da li je hash korijenskog ključa uređaja isti kao .qky dat u naredbi:
quartus_pgm -c 1 -mjtag -o “v;root0_another.qky”
Ako se ključevi ne podudaraju, programator ne uspijeva s porukom o grešci Operacija nije uspjela.
4.9. AES Root Key Provisioning
Morate koristiti potpisani AES root ključ kompaktni certifikat da programirate AES root ključ na Intel Agilex 7 uređaju.
4.9.1. AES Root Key Compact Certifikat
Koristite alatku komandne linije quartus_pfg da konvertujete svoj AES root ključ .qek file u format kompaktnog certifikata .ccert. Određujete lokaciju za pohranu ključa dok kreirate kompaktni certifikat. Možete koristiti alat quartus_pfg da kreirate nepotpisani certifikat za kasnije potpisivanje. Morate koristiti lanac potpisa s dozvolom za potpisivanje AES korijenskog ključa certifikata, bitom dozvole 6, omogućenim da biste uspješno potpisali kompaktni certifikat AES korijenskog ključa.

Intel Agilex® 7 Device Security User Guide 32

Pošalji povratne informacije

4. Device Provisioning 683823 | 2023.05.23
1. Kreirajte dodatni par ključeva koji se koristi za potpisivanje kompaktnog certifikata AES ključa koristeći jednu od sljedećih naredbi, npramples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mehanizam ECDSA-KEY-PAIR-GEN –tip ključa EC: secp384r1 –znak upotrebe –oznaka aesccert1 –id 2
2. Kreirajte lanac potpisa s ispravnim postavljenim bitom dozvole koristeći jednu od sljedećih naredbi:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsokename=presm2 root0 –previous_qky=root0.qky –dozvola=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Kreirajte nepotpisani AES kompaktni certifikat za željenu lokaciju za pohranu korijenskog ključa AES-a. Dostupne su sljedeće opcije AES root ključa za pohranu:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Kreirajte eFuse AES root ključ nepotpisani certifikat quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Potpišite kompaktni certifikat naredbom quartus_sign ili referentnom implementacijom.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert potpisan_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 33

4. Device Provisioning 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert potpisan_ 1.ccert
5. Koristite Intel Quartus Prime programator da programirate kompaktni certifikat AES root ključa na Intel Agilex 7 uređaj putem JTAG. Intel Quartus Prime Programmer podrazumevano programira virtuelne eFuses kada se koristi tip kompaktnog sertifikata EFUSE_WRAPPED_AES_KEY.
Dodate opciju –non_volatile_key da odredite programiranje fizičkih osigurača.
//Za fizički (nehlapljivi) eFuse AES root ključ quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –non_volatile_key

//Za virtualni (nestabilan) eFuse AES root ključ quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”

//Za BBRAM AES root ključ quartus_pgm -c 1 -mjtag -o “pi;signed_bbram1.ccert”

Firmver za SDM i glavni firmver podržavaju programiranje AES certifikata root ključa. Također možete koristiti SDM sučelje poštanskog sandučeta iz FPGA tkanine ili HPS-a za programiranje AES certifikata korijenskog ključa.

Napomena:

Naredba quartus_pgm ne podržava opcije b i v za kompaktne certifikate (.ccert).

4.9.2. Intrinsic ID® PUF AES Root Key Provisioning
Implementacija Intrinsic* ID PUF omotanog AES ključa uključuje sljedeće korake: 1. Upis unutrašnjeg ID PUF-a preko JTAG. 2. Omotavanje AES root ključa. 3. Programiranje pomoćnih podataka i umotanog ključa u quad SPI flash memoriju. 4. Upit za status aktivacije Intrinzičnog ID-a PUF-a.
Upotreba Intrinsic ID tehnologije zahtijeva poseban ugovor o licenci sa Intrinsic ID-om. Intel Quartus Prime Pro Edition softver ograničava PUF operacije bez odgovarajuće licence, kao što je upis, premotavanje ključeva i programiranje PUF podataka na QSPI flash.

4.9.2.1. Intrinzični ID PUF upis
Da biste upisali PUF, morate koristiti firmver za SDM. Dobavljač firmvera mora biti prvi učitani firmver nakon ciklusa napajanja i morate izdati naredbu za upis PUF-a prije bilo koje druge naredbe. Obezbjeđeni firmver podržava druge komande nakon registracije PUF-a, uključujući AES premotavanje korijenskog ključa i programiranje quad SPI, međutim, morate uključiti uređaj da biste učitali konfiguracijski bitstream.
Koristite Intel Quartus Prime programator da pokrenete upis u PUF i generišete pomoćne PUF podatke .puf file.

Intel Agilex® 7 Device Security User Guide 34

Pošalji povratne informacije

4. Device Provisioning 683823 | 2023.05.23

Slika 7.

Intrinzični ID PUF upis
quartus_pgm Upis u PUF

Pomoćni podaci za upis PUF-a

Upravitelj sigurnim uređajima (SDM)

wrapper.puf Pomoćni podaci
Programator automatski učitava pomoćnu sliku za firmver kada navedete i operaciju i .puf argument.
quartus_pgm -c 1 -mjtag -o “ei;help_data.puf;AGFB014R24A”
Ako koristite supotpisani firmver, programirate pomoćnu sliku supotpisanog firmvera prije korištenja PUF naredbe za upis.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o “e;help_data.puf;AGFB014R24A”
UDS IID PUF je upisan tokom proizvodnje uređaja i nije dostupan za ponovno upis. Umjesto toga, koristite programator da odredite lokaciju pomoćnih podataka UDS PUF na IPCS-u, preuzmite .puf file direktno, a zatim koristite UDS .puf file na isti način kao i .puf file izvučeno sa Intel Agilex 7 uređaja.
Koristite sljedeću naredbu programera za generiranje teksta file koji sadrži listu URLs ukazuje na specifičan uređaj files na IPCS:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Omotavanje AES root ključa
Vi generišete IID PUF omotan AES root ključ .wkey file slanjem potpisanog certifikata SDM-u.
Možete koristiti Intel Quartus Prime programator za automatsko generiranje, potpisivanje i slanje certifikata za omotavanje vašeg AES root ključa, ili možete koristiti Intel Quartus Prime programiranje File Generator za generiranje nepotpisanog certifikata. Potpisujete nepotpisani certifikat koristeći vlastite alate ili Quartus alat za potpisivanje. Zatim koristite Programator da pošaljete potpisani sertifikat i omotate svoj AES root ključ. Potpisani certifikat se može koristiti za programiranje svih uređaja koji mogu potvrditi lanac potpisa.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 35

4. Device Provisioning 683823 | 2023.05.23

Slika 8.

Omotavanje AES ključa pomoću Intel Quartus Prime programatora
.pem Private
Ključ

.qky

quartus_pgm

Zamotajte AES ključ

AES.QSKigYnature RootCPhuabilnic Key

Generirajte PUF omotani ključ

Umotan AES ključ

SDM

.qek Enkripcija
Ključ

.wkey PUF-Wrapped
AES ključ

1. Možete generirati IID PUF omotan AES root ključ (.wkey) sa programatorom koristeći sljedeće argumente:
· .qky file koji sadrži lanac potpisa s dozvolom AES root ključa
· Privatni .pem file za zadnji ključ u lancu potpisa
· The .qek file držeći AES root ključ
· 16-bajtni vektor inicijalizacije (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Alternativno, možete generirati nepotpisani IID PUF koji omota AES root ključ certifikat sa programiranjem File Generator koristeći sljedeće argumente:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Potpisujete nepotpisani certifikat svojim vlastitim alatima za potpisivanje ili alatom quartus_sign koristeći sljedeću naredbu:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Zatim koristite programer da pošaljete potpisani AES certifikat i vratite omotani ključ (.wkey) file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Napomena: Operacija i nije neophodna ako ste prethodno učitali pomoćnu sliku za nabavku firmvera, nprample, da upiše PUF.

4.9.2.3. Podaci pomoćnika za programiranje i omotani ključ za QSPI Flash memoriju
Koristite Quartus programiranje File Generator grafički interfejs za izgradnju početne QSPI flash slike koja sadrži PUF particiju. Morate generirati i programirati cijelu fleš programsku sliku da dodate PUF particiju u QSPI flash. Stvaranje PUF-a

Intel Agilex® 7 Device Security User Guide 36

Pošalji povratne informacije

4. Device Provisioning 683823 | 2023.05.23

Slika 9.

particija podataka i korištenje PUF pomoćnih podataka i omotanog ključa files za generiranje flash slike nije podržano kroz programiranje File Interfejs komandne linije generatora.
Sljedeći koraci demonstriraju pravljenje flash programske slike sa PUF pomoćnim podacima i omotanim ključem:
1. Na File u meniju, kliknite na Programiranje File Generator. Na izlazu Files tab napravite sljedeće odabire:
a. Za porodicu uređaja odaberite Agilex 7.
b. Za način konfiguracije odaberite Active Serial x4.
c. Za izlazni direktorij potražite svoj izlaz file imenik. Ovaj exampkoristi output_files.
d. Za Ime navedite ime za programiranje file biti generisan. Ovaj exampkoristi output_file.
e. U okviru Opis izaberite programiranje files za generiranje. Ovaj example generiše JTAG Indirektna konfiguracija File (.jic) za konfiguraciju uređaja i Raw Binary File slike pomoćne slike za programiranje (.rbf) za pomoćnu sliku uređaja. Ovaj example takođe bira opcionu mapu memorije File (.map) i neobrađeni programski podaci File (.rpd). Sirovi programski podaci file je neophodan samo ako planirate da koristite programer treće strane u budućnosti.
Programiranje File Generator – Izlaz Files Kartica – Odaberite JTAG Indirektna konfiguracija

Način konfiguracije porodice uređaja
Izlaz file tab
Izlazni direktorij
JTAG Indirektna (.jic) karta memorije File Neobrađeni podaci za programiranje pomoćnika u programiranju
Na ulazu Files kartice, napravite sljedeće odabire: 1. Kliknite na Add Bitstream i pretražite svoj .sof. 2. Odaberite svoj .sof file a zatim kliknite na Svojstva.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 37

4. Device Provisioning 683823 | 2023.05.23
a. Uključite Omogući alat za potpisivanje. b. Za privatni ključ file odaberite svoj .pem file. c. Uključite Finalize encryption. d. Za ključ za šifriranje file odaberite svoj .qek file. e. Kliknite OK za povratak na prethodni prozor. 3. Da navedete svoje PUF pomoćne podatke file, kliknite Dodaj neobrađene podatke. Promijenite Files padajućeg menija tipa na Quartus Physical Unclonable Function File (*.puf). Potražite svoj .puf file. Ako koristite i IID PUF i UDS IID PUF, ponovite ovaj korak tako da .puf files za svaki PUF se dodaju kao ulaz files. 4. Da biste naveli svoj omotani AES ključ file, kliknite Dodaj neobrađene podatke. Promijenite Files padajućeg menija tipa do Quartus Wrapped Key File (*.wkey). Potražite svoj .wkey file. Ako ste zamotali AES ključeve koristeći i IID PUF i UDS IID PUF, ponovite ovaj korak tako da .wkey files za svaki PUF se dodaju kao ulaz files.
Slika 10. Odredite unos Files za konfiguraciju, autentifikaciju i šifriranje

Dodaj Bitstream Dodaj neobrađene podatke
Svojstva
Privatni ključ file
Završi šifriranje Ključ za šifriranje
Na kartici Konfiguracijski uređaj, napravite sljedeće odabire: 1. Kliknite Dodaj uređaj i odaberite svoj flash uređaj sa liste dostupnih flash uređaja
uređaja. 2. Odaberite konfiguracijski uređaj koji ste upravo dodali i kliknite Dodaj particiju. 3. U dijaloškom okviru Uredi particiju za ulaz file i izaberite svoj .sof iz
padajuće liste. Možete zadržati zadane postavke ili urediti druge parametre u dijaloškom okviru Uredi particiju.

Intel Agilex® 7 Device Security User Guide 38

Pošalji povratne informacije

4. Device Provisioning 683823 | 2023.05.23
Slika 11. Određivanje vaše .sof konfiguracije Bitstream particije

Konfiguracijski uređaj
Uredi particiju Dodaj .sof file

Dodaj particiju

4. Kada dodate .puf i .wkey kao ulaz files, Programiranje File Generator automatski kreira PUF particiju u vašem konfiguracionom uređaju. Da biste pohranili .puf i .wkey u PUF particiju, odaberite PUF particiju i kliknite na Uredi. U dijaloškom okviru Uredi particiju odaberite svoj .puf i .wkey files iz padajućih lista. Ako uklonite PUF particiju, morate ukloniti i ponovo dodati konfiguracijski uređaj za programiranje File Generator za kreiranje još jedne PUF particije. Morate osigurati da odaberete ispravne .puf i .wkey file za IID PUF i UDS IID PUF, respektivno.
Slika 12. Dodajte .puf i .wkey files na PUF particiju

PUF particija

Uredi

Uredi particiju

Flash Loader

Odaberite Generiraj

5. Za parametar Flash Loader izaberite porodicu Intel Agilex 7 uređaja i naziv uređaja koji odgovara vašem Intel Agilex 7 OPN-u.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 39

4. Device Provisioning 683823 | 2023.05.23
6. Kliknite Generiraj za generiranje izlaza files koje ste naveli na izlazu Files tab.
7. Programiranje File Generator čita vaš .qek file i traži od vas pristupnu frazu. Unesite svoju lozinku kao odgovor na upit Enter QEK passphrase. Kliknite na tipku Enter.
8. Kliknite OK kada se programiranje File Generator prijavljuje uspješnu generaciju.
Koristite Intel Quartus Prime programator za pisanje QSPI programske slike u QSPI fleš memoriju. 1. U meniju Intel Quartus Prime Tools izaberite Programator. 2. U programatoru kliknite na Hardware Setup, a zatim izaberite povezani Intel
FPGA Download kabel. 3. Kliknite Dodaj File i potražite svoj .jic file.
Slika 13. Program .jic

Programiranje file

Program/Konfiguracija

JTAG lanac skeniranja
4. Poništite odabir okvira povezanog sa slikom pomoćnika. 5. Odaberite Program/Configure za .jic izlaz file. 6. Uključite dugme Start da programirate svoju quad SPI fleš memoriju. 7. Napajajte svoju ploču. Dizajn programiran na quad SPI fleš memoriju
uređaj se zatim učitava u ciljni FPGA.
Morate generirati i programirati cijelu fleš programsku sliku da biste dodali PUF particiju na quad SPI flash.
Kada PUF particija već postoji u flash-u, moguće je koristiti Intel Quartus Prime programator za direktan pristup PUF pomoćnim podacima i omotanom ključu files. Za nprampda, ako aktivacija nije uspješna, moguće je ponovo upisati PUF, ponovo umotati AES ključ i nakon toga samo programirati PUF files bez potrebe za prepisivanjem cijelog blica.

Intel Agilex® 7 Device Security User Guide 40

Pošalji povratne informacije

4. Device Provisioning 683823 | 2023.05.23
Intel Quartus Prime programator podržava sljedeći argument operacije za PUF files u već postojećoj PUF particiji:
· p: program
· v: potvrditi
· r: obrisati
· b: prazan ček
Morate slijediti ista ograničenja za PUF upis, čak i ako postoji PUF particija.
1. Upotrijebite argument operacije i da učitate pomoćnu sliku nabavnog firmvera za prvu operaciju. Za nprampda, sljedeća sekvenca naredbi ponovo upisuje PUF, ponovo omotava AES korijenski ključ, briše stare PUF pomoćne podatke i omotani ključ, zatim programira i verifikuje nove PUF pomoćne podatke i AES korijenski ključ.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;novi.puf” quartus_pgm -c 1 -mjtag -o “p;novi.wkey” quartus_pgm -c 1 -mjtag -o “v;novi.puf” quartus_pgm -c 1 -mjtag -o “v;novi.wkey”
4.9.2.4. Upit za status aktivacije unutarnjeg ID-a PUF-a
Nakon što upišete Intrinsic ID PUF, omotajte AES ključ, generirajte flash programiranje files, i ažurirate quad SPI flash, pokrećete svoj uređaj kako biste pokrenuli PUF aktivaciju i konfiguraciju iz šifrovanog toka bitova. SDM prijavljuje status aktivacije PUF-a zajedno sa statusom konfiguracije. Ako PUF aktivacija ne uspije, SDM umjesto toga prijavljuje status PUF greške. Koristite naredbu quartus_pgm za upit statusa konfiguracije.
1. Koristite sljedeću naredbu za upit statusa aktivacije:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Ovdje je sample izlaz iz uspješne aktivacije:
Info (21597): Odgovor CONFIG_STATUS Uređaj radi u korisničkom režimu 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Verzija C000007B MSEL=QSPI_NORMALG1,=nSTATUSFIG1,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Lokacija greške 00000000 Detalji greške Odgovor PUF_STATUS_00002000 2 USER_IID STATUS=PUF_ACTIVATION_USCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 41

4. Device Provisioning 683823 | 2023.05.23

Ako koristite samo IID PUF ili UDS IID PUF, a niste programirali pomoćne podatke .puf file za bilo koji PUF u QSPI flash, taj PUF se ne aktivira i PUF status odražava da PUF pomoćni podaci nisu važeći. Sljedeći prample prikazuje status PUF-a kada pomoćni podaci PUF-a nisu programirani ni za jedan PUF:
Odgovor PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Lokacija PUF-a u Flash memoriji
Lokacija PUF-a file razlikuje se za dizajne koji podržavaju RSU i dizajne koji ne podržavaju RSU funkciju.

Za dizajn koji ne podržava RSU, morate uključiti .puf i .wkey files kada kreirate ažurirane flash slike. Za dizajne koji podržavaju RSU, SDM ne prepisuje odjeljke PUF podataka tokom ažuriranja fabričkih ili aplikacijskih slika.

Tabela 2.

Izgled Flash podparticija bez RSU podrške

Flash Offset (u bajtovima)

Veličina (u bajtovima)

Sadržaj

Opis

0K 256K

256K 256K

Firmver za upravljanje konfiguracijom Firmver za upravljanje konfiguracijom

Firmver koji radi na SDM-u.

512K

256K

Firmware za upravljanje konfiguracijom

768K

256K

Firmware za upravljanje konfiguracijom

32K

PUF kopija podataka 0

Struktura podataka za pohranjivanje PUF pomoćnih podataka i PUF-umotane AES korijenske kopije ključa 0

1M+32K

32K

PUF kopija podataka 1

Struktura podataka za pohranjivanje PUF pomoćnih podataka i PUF-umotane AES korijenske kopije ključa 1

Tabela 3.

Izgled Flash podparticija sa RSU podrškom

Flash Offset (u bajtovima)

Veličina (u bajtovima)

Sadržaj

Opis

0K 512K

512K 512K

Firmver za odlučivanje. Firmver za odluku

Firmver za identifikaciju i učitavanje slike najvišeg prioriteta.

1M 1.5M

512K 512K

Firmver za odlučivanje. Firmver za odluku

8K + 24K

Podaci o firmveru odluke

Padding

Rezervirano za upotrebu firmvera Decision.

2M + 32K

32K

Rezervisano za SDM

Rezervisano za SDM.

2M + 64K

Varijabilna

Factory image

Jednostavna slika koju kreirate kao rezervnu kopiju ako se sve druge slike aplikacije ne učitaju. Ova slika uključuje CMF koji radi na SDM-u.

Sledeći

32K

PUF kopija podataka 0

Struktura podataka za pohranjivanje PUF pomoćnih podataka i PUF-umotane AES korijenske kopije ključa 0
nastavak…

Intel Agilex® 7 Device Security User Guide 42

Pošalji povratne informacije

4. Device Provisioning 683823 | 2023.05.23

Flash Offset (u bajtovima)

Veličina (u bajtovima)

Sljedeći +32K 32K

Sadržaj PUF kopija podataka 1

Sljedeće + 256K 4K Sljedeće +32K 4K Sljedeće +32K 4K

Kopija tabele podparticija 0 Kopija tabele podparticije 1 Kopija bloka CMF pokazivača 0

Sljedeći +32K _

Kopija bloka CMF pokazivača 1

Varijabla Varijabla

Slika aplikacije 1 Slika aplikacije 2

4.9.3. Dobavljanje crnog ključa

Opis
Struktura podataka za pohranjivanje PUF pomoćnih podataka i PUF-umotane AES korijenske kopije ključa 1
Struktura podataka za olakšavanje upravljanja flash memorijom.
Lista pokazivača na slike aplikacije po prioritetu. Kada dodate sliku, ta slika postaje najviša.
Druga kopija liste pokazivača na slike aplikacije.
Vaša prva slika aplikacije.
Vaša druga slika aplikacije.

Napomena:

Intel Quartus PrimeProgrammer pomaže u uspostavljanju međusobno provjerene sigurne veze između Intel Agilex 7 uređaja i usluge obezbjeđivanja crnog ključa. Sigurna veza se uspostavlja putem https i zahtijeva nekoliko certifikata identificiranih pomoću teksta file.
Kada koristite Black Key Provisioning, Intel preporučuje da izbjegavate vanjsko povezivanje TCK pina kako biste povukli ili povukli otpornik dok ga još uvijek koristite za JTAG. Međutim, možete povezati TCK pin na VCCIO SDM napajanje pomoću 10 k otpornika. Postojeće smjernice u Smjernicama za povezivanje pinova za povezivanje TCK na 1 k pull-down otpornik su uključene za suzbijanje buke. Promjena navođenja na 10 k pull-up otpornik ne utiče na funkcionalnost uređaja. Za više informacija o povezivanju TCK pina, pogledajte Intel Agilex 7 Pin Connection Guidelines.
Thebkp_tls_ca_certcertificate provjerava autentičnost vaše instance usluge obezbjeđivanja crnog ključa vašoj instanci programera za obezbjeđivanje crnog ključa. Thebkp_tls_*certifikati provjeravaju autentičnost vaše instance programera za dostavljanje crnog ključa na vašu instancu usluge obezbjeđenja crnog ključa.
Vi kreirate tekst file koji sadrži potrebne informacije za Intel Quartus Prime programer da se poveže sa uslugom obezbeđivanja crnog ključa. Da biste započeli dodelu crnog ključa, koristite interfejs komandne linije Programera da biste naveli tekst opcija za obezbeđivanje crnog ključa file. Dodeljivanje crnog ključa tada se nastavlja automatski. Za pristup usluzi crnog ključa i povezanoj dokumentaciji, molimo kontaktirajte Intelovu podršku.
Možete omogućiti dostavljanje crnog ključa koristeći thequartus_pgmcommand:
quartus_pgm -c -m –uređaj –bkp_options=bkp_options.txt
Argumenti naredbe specificiraju sljedeće informacije:

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 43

4. Device Provisioning 683823 | 2023.05.23

· -c: broj kabla · -m: specificira način programiranja kao što je JTAG · –uređaj: specificira indeks uređaja na JTAG lanac. Zadana vrijednost je 1. · –bkp_options: specificira tekst file koji sadrži opcije obezbjeđivanja crnog ključa.
Povezane informacije Intel Agilex 7 Smjernice za povezivanje pinova porodice uređaja

4.9.3.1. Opcije obezbjeđivanja crnog ključa
Opcije obezbjeđivanja crnog ključa su tekst file proslijeđen programeru preko quartus_pgm komande. The file sadrži potrebne informacije za pokretanje dodjeljivanja crnog ključa.
Slijedi bivšiample od bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key_tl_prog bk1234_prog.pem xy_address = https://192.167.5.5:5000 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Tabela 4.

Opcije obezbjeđivanja crnog ključa
Ova tabela prikazuje opcije potrebne za pokretanje dodjeljivanja crnog ključa.

Naziv opcije

Tip

Opis

bkp_ip

Obavezno

Određuje IP adresu servera koji pokreće uslugu obezbjeđivanja crnog ključa.

bkp_port

Obavezno

Određuje servisni port za obezbjeđivanje crnog ključa koji je potreban za povezivanje sa serverom.

bkp_cfg_id

Obavezno

Identificira ID toka konfiguracije za dostavljanje crnog ključa.
Usluga obezbjeđivanja crnog ključa kreira tokove konfiguracije obezbjeđivanja crnog ključa uključujući AES korijenski ključ, željene postavke eFusea i druge opcije autorizacije za dodjelu crnog ključa. Broj dodijeljen za vrijeme postavljanja usluge obezbjeđivanja crnog ključa identificira tokove konfiguracije obezbjeđivanja crnog ključa.
Bilješka: Više uređaja se može odnositi na isti tok konfiguracije usluge obezbjeđenja crnog ključa.

bkp_tls_ca_cert

Obavezno

Root TLS sertifikat koji se koristi za identifikaciju usluga obezbeđivanja crnog ključa za Intel Quartus Prime Programmer (Programer). Pouzdani autoritet certifikata za instancu usluge obezbjeđivanja crnog ključa izdaje ovaj certifikat.
Ako programator pokrećete na računaru sa Microsoft® Windows® operativnim sistemom (Windows), morate instalirati ovaj sertifikat u Windows skladište sertifikata.

bkp_tls_prog_cert

Obavezno

Certifikat kreiran za instancu programera za dostavljanje crnog ključa (BKP programer). Ovo je https certifikat klijenta koji se koristi za identifikaciju ove instance BKP programera
nastavak…

Intel Agilex® 7 Device Security User Guide 44

Pošalji povratne informacije

4. Device Provisioning 683823 | 2023.05.23

Naziv opcije

Tip

bkp_tls_prog_key

Obavezno

bkp_tls_prog_key_pass Opciono

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Opciono Opciono Opciono

Opis
na uslugu obezbjeđivanja crnog ključa. Morate instalirati i ovlastiti ovaj certifikat u servisu obezbjeđivanja crnog ključa prije nego započnete sesiju obezbjeđivanja crnog ključa. Ako pokrenete Programmer na Windows-u, ova opcija nije dostupna. U ovom slučaju, bkp_tls_prog_key već uključuje ovaj certifikat.
Privatni ključ koji odgovara certifikatu BKP programera. Ključ potvrđuje identitet instance BKP programera za uslugu obezbjeđivanja crnog ključa. Ako pokrenete Programmer na Windows-u, .pfx file kombinuje certifikat bkp_tls_prog_cert i privatni ključ. Opcija bkp_tlx_prog_key prosljeđuje .pfx file u bkp_options.txt file.
Lozinka za privatni ključ bkp_tls_prog_key. Nije potrebno u tekstu za opcije konfiguracije crnog ključa (bkp_options.txt). file.
Određuje proxy server URL adresa.
Određuje korisničko ime proxy servera.
Određuje lozinku za proxy autentifikaciju.

4.10. Pretvaranje korijenskog ključa vlasnika, certifikata korijenskog ključa AES i osigurača files na Jam STAPL File Formati

Možete koristiti naredbu quartus_pfg komandne linije za pretvaranje .qky, AES korijenskog ključa .ccert i .fuse files u Jam STAPL format File (.jam) i Jam Byte Code Format File (.jbc). Možete koristiti ove files da programirate Intel FPGA koristeći Jam STAPL Player i Jam STAPL Byte-Code Player, respektivno.

Jedan .jam ili .jbc sadrži nekoliko funkcija uključujući konfiguraciju i program pomoćne slike firmvera, praznu provjeru i verifikaciju programiranja ključa i osigurača.

Oprez:

Kada konvertujete AES root ključ .ccert file u .jam format, .jam file sadrži AES ključ u otvorenom tekstu, ali zamagljenom obliku. Shodno tome, morate zaštititi .jam file prilikom pohranjivanja AES ključa. To možete učiniti tako što ćete osigurati AES ključ u sigurnom okruženju.

Evo bivšihamplesovi quartus_pfg naredbi konverzije:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;rootcb1” Rootc g - c -o helper_device=AGFB2R014A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB24R014A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB24R014A settings helper_device=AGFB24R014A postavke. fuse settings_fuse.jbc

Za više informacija o korišćenju Jam STAPL Player-a za programiranje uređaja pogledajte AN 425: Upotreba Jam STAPL rješenja komandne linije za programiranje uređaja.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 45

4. Device Provisioning 683823 | 2023.05.23
Pokrenite sljedeće naredbe da programirate vlasnički korijenski javni ključ i AES ključ za šifriranje:
//Za učitavanje pomoćnog bitstreama u FPGA. // Pomoćni bitstream uključuje obezbjeđivanje firmvera quartus_jli -c 1 -a KONFIGURACIJA RootKey.jam
//Za programiranje vlasnika root javnog ključa u virtuelne eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Za programiranje vlasnika root javnog ključa u fizičke eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Za programiranje javnog ključa PR vlasnika root u virtuelne eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Za programiranje javnog ključa PR vlasnika root u fizičke eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Za programiranje AES ključa za šifriranje CCERT u BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Za programiranje AES ključa za šifriranje CCERT u fizičke eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Povezane informacije AN 425: Upotreba rješenja Jam STAPL u komandnoj liniji za programiranje uređaja

Intel Agilex® 7 Device Security User Guide 46

Pošalji povratne informacije

683823 | 2023.05.23. Pošalji povratnu informaciju

Napredne funkcije

5.1. Secure Debug Authorization
Da bi omogućio Secure Debug Authorization, vlasnik otklanjanja grešaka mora generirati par ključeva za autentifikaciju i koristiti Intel Quartus Prime Pro programator za generiranje informacija o uređaju file za uređaj koji pokreće sliku za otklanjanje grešaka:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
Vlasnik uređaja koristi alat quartus_sign ili referentnu implementaciju za dodavanje uvjetnog unosa javnog ključa u lanac potpisa namijenjenog za operacije otklanjanja grešaka koristeći javni ključ od vlasnika za otklanjanje grešaka, potrebna ovlaštenja, tekst informacija o uređaju file, i primjenjiva daljnja ograničenja:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″=”XNUMX″= –in debug_authorization_public_key.pem secure_debug_auth_chain.qky
Vlasnik uređaja šalje puni lanac potpisa nazad vlasniku za otklanjanje grešaka, koji koristi lanac potpisa i svoj privatni ključ za potpisivanje slike za otklanjanje grešaka:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Možete koristiti naredbu quartus_pfg da provjerite lanac potpisa svakog odjeljka ovog potpisanog sigurnog toka bitova za otklanjanje grešaka na sljedeći način:
quartus_pfg –check_integrity authorized_debug_design.rbf
Izlaz ove naredbe ispisuje vrijednosti ograničenja 1,2,17,18 uvjetnog javnog ključa koji je korišten za generiranje potpisanog toka bitova.
Vlasnik otklanjanja grešaka tada može programirati sigurno ovlašteni dizajn za otklanjanje grešaka:
quartus_pgm -c 1 -mjtag -o “p;authorized_debug_design.rbf”
Vlasnik uređaja može opozvati autorizaciju bezbednog otklanjanja grešaka poništavanjem eksplicitnog ID-a za otkazivanje ključa dodeljenog u lancu potpisa autorizacije bezbednog otklanjanja grešaka.
5.2. HPS sertifikati za otklanjanje grešaka
Omogućavanje samo ovlaštenog pristupa HPS pristupnom portu za otklanjanje grešaka (DAP) preko JTAG interfejs zahteva nekoliko koraka:

ISO 9001:2015 Registrovan

5. Napredne funkcije 683823 | 2023.05.23
1. Kliknite na meni Zadaci softvera Intel Quartus Prime i izaberite karticu Device Device and Pin Options Configuration.
2. Na kartici Konfiguracija, omogućite HPS pristupni port za otklanjanje grešaka (DAP) tako što ćete izabrati ili HPS Pins ili SDM Pins iz padajućeg menija i osigurati da polje za potvrdu Dozvoli HPS otklanjanje grešaka bez sertifikata nije izabrano.
Slika 14. Odredite ili HPS ili SDM pinove za HPS DAP

HPS pristupni port za otklanjanje grešaka (DAP)
Alternativno, možete postaviti dodjelu ispod u Quartus Prime postavkama .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE “SDM PINS”
3. Kompilirajte i učitajte dizajn s ovim postavkama. 4. Kreirajte lanac potpisa s odgovarajućim dozvolama za potpisivanje HPS debug-a
certifikat:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_sign_chain.pem
5. Zatražite nepotpisani HPS certifikat za otklanjanje grešaka sa uređaja na kojem je učitan dizajn za otklanjanje grešaka:
quartus_pgm -c 1 -mjtag -o “e;unsigned_hps_debug.cert;AGFB014R24A”
6. Potpišite nepotpisani HPS certifikat za otklanjanje grešaka pomoću alata quartus_sign ili referentne implementacije i HPS lanca potpisa za otklanjanje grešaka:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert.cert.

Intel Agilex® 7 Device Security User Guide 48

Pošalji povratne informacije

5. Napredne funkcije 683823 | 2023.05.23
7. Pošaljite potpisani HPS certifikat za otklanjanje grešaka nazad na uređaj da omogućite pristup HPS pristupnom portu za otklanjanje grešaka (DAP):
quartus_pgm -c 1 -mjtag -o “p;signed_hps_debug.cert”
HPS sertifikat za otklanjanje grešaka važi samo od trenutka kada je generisan do sledećeg ciklusa napajanja uređaja ili dok se ne učita druga vrsta ili verzija SDM firmvera. Morate generirati, potpisati i programirati potpisani HPS certifikat za otklanjanje grešaka i izvršiti sve operacije otklanjanja grešaka prije uključivanja uređaja. Potpisani HPS certifikat za otklanjanje grešaka možete poništiti tako što ćete uključiti uređaj.
5.3. Potvrda o platformi
Možete generirati manifest referentnog integriteta (.rim) file koristeći programiranje file alat za generator:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Slijedite ove korake kako biste osigurali potvrdu platforme u svom dizajnu: 1. Koristite Intel Quartus Prime Pro programator da konfigurišete svoj uređaj sa
dizajn za koji ste kreirali referentni manifest integriteta. 2. Koristite verifikator potvrde platforme da upišete uređaj izdavanjem naredbi za
SDM preko SDM poštanskog sandučeta za kreiranje certifikata ID uređaja i certifikata firmvera pri ponovnom učitavanju. 3. Koristite Intel Quartus Prime Pro programator da ponovo konfigurišete svoj uređaj sa dizajnom. 4. Koristite verifikator potvrde platforme za izdavanje naredbi SDM-u da dobijete ID uređaja za atestiranje, firmver i pseudonim certifikate. 5. Koristite verifikator atestiranja da izdate naredbu SDM poštanskog sandučeta da dobijete dokaze potvrde i verifikator provjerava vraćeni dokaz.
Možete implementirati vlastitu uslugu verifikatora koristeći komande SDM poštanskog sandučeta ili koristiti uslugu verifikatora atestiranja Intel platforme. Za više informacija o servisnom softveru za verifikaciju atestacije Intel platforme, dostupnosti i dokumentaciji, kontaktirajte Intelovu podršku.
Povezane informacije Intel Agilex 7 Smjernice za povezivanje pinova porodice uređaja
5.4. Physical Anti-Tamper
Omogućavate fizički anti-tamper funkcije koristeći sljedeće korake: 1. Odabir željenog odgovora na otkriveni tamper događaj 2. Konfiguriranje željenog tamper metode i parametri detekcije 3. Uključujući anti-tamper IP u vašoj logici dizajna za pomoć pri upravljanju anti-tamper
događaji

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 49

5. Napredne funkcije 683823 | 2023.05.23
5.4.1. Anti-Tamper Responses
Omogućavate fizički anti-tamper odabirom odgovora iz Anti-tamper odgovor: padajuća lista na Dodjelama uređaja Uređaj i Pin opcije Sigurnost Anti-Tamper tab. Podrazumevano, anti-tampvaš odgovor je onemogućen. Pet kategorija anti-tamper odgovor je dostupan. Kada odaberete željeni odgovor, omogućene su opcije za omogućavanje jedne ili više metoda detekcije.
Slika 15. Dostupni Anti-Tamper Opcije odgovora

Odgovarajući zadatak u Quartus Prime postavkama .gsf file je sljedeće:
set_global_assignment -name ANTI_TAMPER_RESPONSE “OBAVEŠTENJE UREĐAJ BRIŠI ZAKLJUČAVANJE UREĐAJA I NULIZACIJU”
Kada omogućite anti-tampNakon odgovora, možete odabrati dva dostupna SDM posvećena I/O pina za izlaz tamper otkrivanje događaja i status odgovora pomoću prozora Dodjela uređaja i pinova Opcije konfiguracije konfiguracije pinova.

Intel Agilex® 7 Device Security User Guide 50

Pošalji povratne informacije

5. Napredne funkcije 683823 | 2023.05.23
Slika 16. Dostupni SDM namjenski I/O pinovi za Tamper Detekcija događaja

U postavkama možete postaviti i sljedeće pinove file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Detection

Možete pojedinačno omogućiti frekvenciju, temperaturu i zapreminutage karakteristike detekcije SDM-a. FPGA detekcija zavisi od uključivanja Anti-Tamper Lite Intel FPGA IP u vašem dizajnu.

Napomena:

SDM frekvencija i voltagetampMetode detekcije zavise od internih referenci i mjernog hardvera koji se može razlikovati među uređajima. Intel preporučuje da okarakterišete ponašanje tamper postavke detekcije.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 51

5. Napredne funkcije 683823 | 2023.05.23
Učestalost tamper detekcija radi na izvoru konfiguracijskog sata. Da biste omogućili frekvenciju tampU slučaju otkrivanja, morate navesti opciju koja nije interni oscilator u padajućem izborniku Konfiguracijski izvor takta na kartici Dodjela uređaja i opcija pinova Općenito. Morate osigurati da je potvrdni okvir Pokreni konfiguraciju CPU-a iz internog oscilatora omogućen prije nego što omogućite frekvenciju tamper detection. Slika 17. Postavljanje SDM-a na interni oscilator
Da biste omogućili frekvenciju tamper detekcije, odaberite Omogući frekvenciju tamper detekcije polje za potvrdu i odaberite željenu Frekvenciju tamper raspon detekcije iz padajućeg menija. Slika 18. Omogućavanje frekvencije Tamper Detection

Intel Agilex® 7 Device Security User Guide 52

Pošalji povratne informacije

5. Napredne funkcije 683823 | 2023.05.23
Alternativno, možete omogućiti frekvenciju Tamper Detekcija unošenjem sljedećih promjena u Quartus Prime postavke .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -name ENQUEABLENCY_TAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Da biste omogućili temperaturu tamper detekcije, odaberite Omogući temperaturu tampoznačite polje za potvrdu i odaberite željenu gornju i donju granicu temperature u odgovarajućim poljima. Gornje i donje granice su po zadanom popunjene odgovarajućim temperaturnim rasponom za uređaj odabran u dizajnu.
Da biste omogućili voltagetampnakon otkrivanja, birate jedan ili oba od Enable VCCL voltagetamper detekciju ili Omogući VCCL_SDM voltagetamper detekcije i odaberite željeni Voltagetamper procenat okidača detekcijetage u odgovarajućem polju.
Slika 19. Omogućavanje Voltagi Tamper Detection

Alternativno, možete omogućiti Voltagi Tamper Detekcija specificiranjem sljedećih dodjela u .qsf file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION UKLJUČENO
5.4.3. Anti-Tamper Lite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP, dostupan u IP katalogu u softveru Intel Quartus Prime Pro Edition, olakšava dvosmjernu komunikaciju između vašeg dizajna i SDM-a za tamper događaji.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 53

Slika 20. Anti-Tamper Lite Intel FPGA IP

5. Napredne funkcije 683823 | 2023.05.23

IP pruža sljedeće signale koje po potrebi povezujete sa svojim dizajnom:

Tabela 5.

Anti-Tamper Lite Intel FPGA IP I/O signali

Naziv signala

Smjer

Opis

gpo_sdm_at_event gpi_fpga_at_event

Izlaz Ulaz

SDM signal u FPGA tvorevinu logiku na kojoj je SDM detektiraoamper event. FPGA logika ima približno 5 ms da izvrši bilo koje željeno čišćenje i odgovori na SDM putem gpi_fpga_at_response_done i gpi_fpga_at_zeroization_done. SDM nastavlja sa tampTo su akcije odgovora kada se potvrdi gpi_fpga_at_response_done ili nakon što odgovor nije primljen u dodijeljenom vremenu.
FPGA prekid za SDM koji je vaš dizajniran anti-tamper je detekciono kolo otkrilo naamper događaj i SDM tampovaj odgovor bi trebao biti aktiviran.

gpi_fpga_at_response_done

Input

FPGA prekida SDM da je FPGA logika izvršila željeno čišćenje.

gpi_fpga_at_zeroization_d jedan

Input

FPGA signalizira SDM-u da je FPGA logika završila bilo koje željeno nuliranje projektnih podataka. Ovaj signal je sampLED kada se potvrdi gpi_fpga_at_response_done.

5.4.3.1. Informacije o izdanju

Broj šeme IP verzija (XYZ) mijenja se od jedne verzije softvera do druge. Promjena u:
· X označava veliku reviziju IP-a. Ako ažurirate svoj Intel Quartus Prime softver, morate regenerisati IP.
· Y označava da IP uključuje nove karakteristike. Regenerirajte svoj IP da biste uključili ove nove funkcije.
· Z označava da IP uključuje manje promjene. Ponovo generirajte svoj IP kako biste uključili ove promjene.

Tabela 6.

Anti-Tamper Lite Intel FPGA IP Release Information

IP verzija

Stavka

Opis 20.1.0

Intel Quartus Prime verzija

21.2

Datum izlaska

2021.06.21

Intel Agilex® 7 Device Security User Guide 54

Pošalji povratne informacije

5. Napredne funkcije 683823 | 2023.05.23
5.5. Korišćenje sigurnosnih funkcija dizajna sa udaljenim ažuriranjem sistema
Remote System Update (RSU) je funkcija Intel Agilex 7 FPGA koja pomaže u ažuriranju konfiguracije files na robustan način. RSU je kompatibilan sa sigurnosnim karakteristikama dizajna kao što su autentikacija, zajedničko potpisivanje firmvera i enkripcija bitstreama jer RSU ne ovisi o sadržaju dizajna konfiguracijskih tokova bitova.
Izgradnja RSU slika sa .sof Files
Ako pohranjujete privatne ključeve na svom lokalnom filesistema, možete generisati RSU slike sa sigurnosnim karakteristikama dizajna koristeći pojednostavljeni tok sa .sof files kao ulaze. Za generiranje RSU slika sa .sof file, možete pratiti uputstva u odeljku Generisanje slike za ažuriranje udaljenog sistema Files Korištenje programiranja File Generator korisničkog vodiča za konfiguraciju Intel Agilex 7. Za svaki .sof file naveden na ulazu Files, kliknite na dugme Svojstva… i navedite odgovarajuća podešavanja i ključeve za alate za potpisivanje i šifrovanje. Programiranje file alat generator automatski potpisuje i šifrira fabričke slike i slike aplikacije dok kreira RSU programiranje files.
Alternativno, ako pohranjujete privatne ključeve u HSM, morate koristiti alat quartus_sign i stoga koristiti .rbf files. Ostatak ovog odjeljka opisuje promjene u toku za generiranje RSU slika sa .rbf-om files kao ulaze. Morate šifrirati i potpisati .rbf format files prije nego što ih odaberete kao ulaz files za RSU slike; međutim, RSU informacije o pokretanju file ne smije biti šifriran, već samo potpisan. Programiranje File Generator ne podržava modificiranje svojstava .rbf formata files.
Sljedeći pramplesovi pokazuju potrebne modifikacije naredbi u odjeljku Generiranje slike za ažuriranje udaljenog sistema Files Korištenje programiranja File Generator korisničkog vodiča za konfiguraciju Intel Agilex 7.
Generiranje početne RSU slike pomoću .rbf Files: Modifikacija naredbe
Od generiranja početne RSU slike pomoću .rbf Fileu odeljku, izmenite komande u koraku 1. da biste omogućili bezbednosne karakteristike dizajna po želji koristeći uputstva iz ranijih odeljaka ovog dokumenta.
Za nprample, odredili biste potpisani firmver file ako ste koristili kosigniranje firmvera, tada koristite alat za šifriranje Quartus da šifrirate svaki .rbf file, i na kraju koristite alat quartus_sign da potpišete svaki file.
U koraku 2, ako ste omogućili zajedničko potpisivanje firmvera, morate koristiti dodatnu opciju u kreiranju pokretačkog .rbf-a sa tvorničke slike file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Nakon što kreirate informacije o pokretanju .rbf file, koristite alat quartus_sign da potpišete .rbf file. Ne smijete šifrirati informacije o pokretanju .rbf file.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 55

5. Napredne funkcije 683823 | 2023.05.23
Generiranje slike aplikacije: modifikacija naredbe
Da biste generisali sliku aplikacije sa sigurnosnim karakteristikama dizajna, modifikujete naredbu u Generiranju slike aplikacije da biste koristili .rbf sa omogućenim sigurnosnim karakteristikama dizajna, uključujući i supotpisani firmver ako je potrebno, umesto originalne aplikacije .sof file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Generiranje slike za fabričko ažuriranje: modifikacija naredbe
Nakon što kreirate informacije o pokretanju .rbf file, koristite alat quartus_sign da potpišete .rbf file. Ne smijete šifrirati informacije o pokretanju .rbf file.
Da biste generisali RSU sliku za fabričko ažuriranje, modifikujete naredbu iz Generisanje slike za ažuriranje fabrike da biste koristili .rbf file sa omogućenim sigurnosnim značajkama dizajna i dodajte opciju za označavanje supotpisanog korištenja firmvera:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=UKLJUČENO -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Povezane informacije Korisnički vodič za konfiguraciju Intel Agilex 7
5.6. SDM Cryptographic Services
SDM na Intel Agilex 7 uređajima pruža kriptografske usluge koje FPGA fabric logika ili HPS mogu zatražiti preko odgovarajućeg interfejsa SDM poštanskog sandučeta. Za više informacija o naredbama poštanskog sandučeta i formatima podataka za sve SDM kriptografske usluge, pogledajte Dodatak B u Korisničkom vodiču za sigurnosnu metodologiju za Intel FPGA i strukturirane ASIC-ove.
Da biste pristupili interfejsu SDM poštanskog sandučeta FPGA fabric logici za SDM kriptografske usluge, morate instancirati Intel FPGA IP klijenta poštanskog sandučeta u svom dizajnu.
Referentni kod za pristup interfejsu SDM poštanskog sandučeta sa HPS-a je uključen u ATF i Linux kod koji obezbeđuje Intel.
Povezane informacije Klijent poštanskog sandučeta Intel FPGA IP korisnički priručnik
5.6.1. Pokretanje ovlaštenog dobavljača
Intel pruža referentnu implementaciju za HPS softver koji koristi funkciju pokretanja koju je odobrio proizvođač za provjeru autentičnosti HPS softvera za pokretanje od prvih stage boot loader do Linux kernela.
Povezane informacije Intel Agilex 7 SoC Secure Boot Demo dizajn

Intel Agilex® 7 Device Security User Guide 56

Pošalji povratne informacije

5. Napredne funkcije 683823 | 2023.05.23
5.6.2. Secure Data Object Service
Naredbe šaljete preko SDM poštanskog sandučeta da izvršite šifriranje i dešifriranje SDOS objekata. Možete koristiti SDOS funkciju nakon što ste osigurali SDOS root ključ.
Povezane informacije Dobavljanje korijenskog ključa usluge sigurnog objekta podataka na stranici 30
5.6.3. SDM Cryptographic Primitive Services
Naredbe šaljete kroz SDM poštansko sanduče da biste pokrenuli SDM kriptografske primitivne usluge. Neke kriptografske primitivne usluge zahtijevaju da se više podataka prenese na i iz SDM-a nego što sučelje poštanskog sandučeta može prihvatiti. U ovim slučajevima, naredba formata se mijenja kako bi pružila pokazivače na podatke u memoriji. Dodatno, morate promijeniti instanciranje Intel FPGA IP klijenta poštanskog sandučeta da biste koristili SDM kriptografske primitivne usluge iz logike FPGA tkanine. Dodatno morate postaviti parametar Enable Crypto Service na 1 i povezati novo izloženo AXI inicijatorsko sučelje s memorijom u vašem dizajnu.
Slika 21. Omogućavanje SDM kriptografskih usluga u klijentu poštanskog sandučeta Intel FPGA IP

5.7. Sigurnosne postavke bitstreama (FM/S10)
FPGA Bitstream Security opcije su skup politika koje ograničavaju specificiranu funkciju ili način rada unutar definiranog perioda.
Bitstream Security opcije se sastoje od oznaka koje ste postavili u softveru Intel Quartus Prime Pro Edition. Ove zastavice se automatski kopiraju u konfiguracijske bitstreamove.
Možete trajno nametnuti sigurnosne opcije na uređaju korištenjem odgovarajuće sigurnosne postavke eFuse.
Da biste koristili bilo koje sigurnosne postavke u konfiguracijskom bitstreamu ili eFuses uređaja, morate omogućiti funkciju provjere autentičnosti.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 57

5. Napredne funkcije 683823 | 2023.05.23
5.7.1. Odabir i omogućavanje sigurnosnih opcija
Da biste odabrali i omogućili sigurnosne opcije, uradite sljedeće: U meniju Zadaci izaberite Device Device and Pin Options Security More Options… Slika 22. Odabir i omogućavanje sigurnosnih opcija

Zatim odaberite vrijednosti sa padajućih lista za sigurnosne opcije koje želite da omogućite kao što je prikazano u sljedećem primjeruample:
Slika 23. Odabir vrijednosti za sigurnosne opcije

Intel Agilex® 7 Device Security User Guide 58

Pošalji povratne informacije

5. Napredne funkcije 683823 | 2023.05.23
Sljedeće su odgovarajuće promjene u Quartus Prime postavkama .qsf file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG “ON CHECK” set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE “ON STICKY” set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECU_OPTION_DISABLE_SET_NAME SECU_OPTION_DISABLE_US SECURITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYON_USE _DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 59

683823 | 2023.05.23. Pošalji povratnu informaciju

Rješavanje problema

Ovo poglavlje opisuje uobičajene greške i poruke upozorenja na koje možete naići dok pokušavate koristiti sigurnosne značajke uređaja i mjere za njihovo rješavanje.
6.1. Korišćenje Quartus komandi u grešci Windows okruženja
Greška quartus_pgm: komanda nije pronađena Opis Ova greška se prikazuje kada pokušavate da koristite Quartus komande u NIOS II ljusci u Windows okruženju pomoću WSL-a. Rezolucija Ova komanda radi u Linux okruženju; Za Windows hostove koristite sljedeću naredbu: quartus_pgm.exe -h Slično, primijenite istu sintaksu na druge Quartus Prime komande kao što su quartus_pfg, quartus_sign, quartus_encrypt između ostalih naredbi.

ISO 9001:2015 Registrovan

6. Rješavanje problema 683823 | 2023.05.23

6.2. Generiranje upozorenja privatnog ključa

Upozorenje:

Navedena lozinka se smatra nesigurnom. Intel preporučuje da se koristi najmanje 13 znakova lozinke. Preporučuje se da promijenite lozinku korištenjem izvršne datoteke OpenSSL.

openssl ec -in -napolje -aes256

Opis
Ovo upozorenje se odnosi na snagu lozinke i prikazuje se kada pokušavate generirati privatni ključ izdavanjem sljedećih naredbi:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Rješenje Koristite izvršnu datoteku openssl da navedete dužu i stoga jaču lozinku.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 61

6. Rješavanje problema 683823 | 2023.05.23
6.3. Dodavanje ključa za potpisivanje grešci projekta Quartus
Greška …File sadrži informacije o root ključu…
Opis
Nakon dodavanja ključa za potpisivanje .qky file za Quartus projekat, morate ponovo sastaviti .sof file. Kada dodate ovaj regenerisani .sof file na odabrani uređaj pomoću Quartus programatora, sljedeća poruka o grešci ukazuje da je file sadrži informacije o root ključu:
Dodavanje nije uspjelofile-path-name> do Programera. The file sadrži informacije o root ključu (.qky). Međutim, Programmer ne podržava funkciju potpisivanja bitskog toka. Možete koristiti Programiranje File Generator za pretvaranje file na potpisanu sirovu binarnu datoteku file (.rbf) za konfiguraciju.
Rezolucija
Koristite Quartus programiranje file generator za pretvaranje file u potpisanu sirovu binarnu datoteku File .rbf za konfiguraciju.
Povezane informacije Konfiguracija potpisivanja Bitstream Korištenje naredbe quartus_sign na stranici 13

Intel Agilex® 7 Device Security User Guide 62

Pošalji povratne informacije

6. Rješavanje problema 683823 | 2023.05.23
6.4. Generiranje Quartus Prime programiranja File bila neuspješna
Greška
Greška (20353): X javnog ključa iz QKY se ne podudara s privatnim ključem iz PEM-a file.
Greška (20352): Nije uspjelo potpisivanje bitstreama putem python skripte agilex_sign.py.
Greška: Quartus Prime Programiranje File Generator je bio neuspješan.
Opis Ako pokušate potpisati konfiguracijski bitstream koristeći neispravan privatni ključ .pem file ili .pem file koji ne odgovara .qky dodanom projektu, prikazuju se gornje uobičajene greške. Rješenje Uvjerite se da koristite ispravan privatni ključ .pem za potpisivanje bitstreama.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 63

6. Rješavanje problema 683823 | 2023.05.23
6.5. Nepoznate greške u argumentima
Greška
Greška (23028): Nepoznati argument “ûc”. Za pravne argumente pogledajte –pomoć.
Greška (213008): Niz opcije programiranja “ûp” je nelegalan. Pogledajte –pomoć za legalne formate opcija programiranja.
Opis Ako kopirate i zalijepite opcije komandne linije iz .pdf-a file u Windows NIOS II Shell-u, možete naići na greške nepoznatog argumenta kao što je prikazano iznad. Rješenje U takvim slučajevima, možete ručno unijeti komande umjesto lijepljenja iz međuspremnika.

Intel Agilex® 7 Device Security User Guide 64

Pošalji povratne informacije

6. Rješavanje problema 683823 | 2023.05.23
6.6. Opcija Bitstream enkripcije je onemogućena Greška
Greška
Nije moguće dovršiti šifriranje za file dizajn .sof jer je kompajliran sa onemogućenom opcijom šifriranja bitstreama.
Opis Ako pokušate šifrirati bitstream putem GUI-a ili komandne linije nakon što ste kompajlirali projekat s onemogućenom opcijom šifriranja bitstreama, Quartus odbija naredbu kao što je prikazano iznad.
Rezolucija Uverite se da ste kompajlirali projekat sa omogućenom opcijom šifrovanja bitstreama ili preko GUI ili komandne linije. Da biste omogućili ovu opciju u GUI, morate označiti polje za potvrdu za ovu opciju.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 65

6. Rješavanje problema 683823 | 2023.05.23
6.7. Određivanje ispravnog puta do ključa
Greška
Greška (19516): Otkriveno programiranje File Greška u postavkama generatora: Ne mogu pronaći 'ključ_file'. Uvjerite se file se nalazi na očekivanoj lokaciji ili ažurirajte postavku.sec
Greška (19516): Otkriveno programiranje File Greška u postavkama generatora: Ne mogu pronaći 'ključ_file'. Uvjerite se file se nalazi na očekivanoj lokaciji ili ažurirajte postavku.
Opis
Ako koristite ključeve koji su pohranjeni na file sistema, morate osigurati da specificiraju ispravnu putanju za ključeve koji se koriste za šifriranje i potpisivanje bitskog toka. Ako programiranje File Generator ne može otkriti pravi put, prikazuju se gornje poruke o grešci.
Rezolucija
Pogledajte Quartus Prime postavke .qsf file da locirate ispravne putanje za ključeve. Obavezno koristite relativne putanje umjesto apsolutnih.

Intel Agilex® 7 Device Security User Guide 66

Pošalji povratne informacije

6. Rješavanje problema 683823 | 2023.05.23
6.8. Korištenje nepodržanog izlaza File Tip
Greška
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Greška (19511): Nepodržani izlaz file tip (ebf). Koristite opciju “-l” ili “–list” za prikaz podržanih file informacije o tipu.
Opis Dok koristite Quartus programiranje File Generator za generiranje šifrirane i potpisane konfiguracije bitstreama, možete vidjeti gornju grešku ako je izlaz nepodržan file tip je specificiran. Rezolucija Koristite opciju -l ili –list da vidite listu podržanih file vrste.

Pošalji povratne informacije

Intel Agilex® 7 Device Security User Guide 67

683823 | 2023.05.23. Pošalji povratnu informaciju
7. Intel Agilex 7 Device Security User Guide Archives
Za najnoviju i prethodnu verziju ovog korisničkog vodiča pogledajte Intel Agilex 7 Device Security User Guide. Ako IP ili verzija softvera nisu navedeni, primjenjuje se korisnički vodič za prethodnu IP adresu ili verziju softvera.

ISO 9001:2015 Registrovan

683823 | 2023.05.23. Pošalji povratnu informaciju

8. Istorija revizija za Intel Agilex 7 Device Security User Guide

Verzija dokumenta 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumenti / Resursi

Intel Agilex 7 Sigurnost uređaja [pdf] Korisnički priručnik
Agilex 7 Sigurnost uređaja, Agilex 7, Sigurnost uređaja, Sigurnost

Reference

Uputstvo za upotrebu

Intel Agilex 7 Sigurnost uređaja

Informacije o proizvodu

Upute za upotrebu proizvoda

Često postavljana pitanja

Sigurnost uređaja je završenaview

Autentifikacija i autorizacija

AES Bitstream enkripcija

Device Provisioning

Napredne funkcije

Rješavanje problema

Dokumenti / Resursi

Reference

Ostavite komentar

Otkaži odgovor