Manual d'usuari de seguretat del dispositiu Intel Agilex 7

Intel està compromès amb la seguretat del producte i recomana als usuaris que es familiaritzin amb els recursos de seguretat del producte proporcionats. Aquests recursos s'han d'utilitzar durant tota la vida útil del producte Intel.

2. Funcions de seguretat planificades

Les següents funcions de seguretat estan previstes per a una futura versió del programari Intel Quartus Prime Pro Edition:

Verificació de seguretat del flux de bits de reconfiguració parcial: proporciona una seguretat addicional que els fluxos de bits de la reconfiguració parcial (PR) no poden accedir ni interferir amb altres fluxos de bits de la persona PR.

Dispositiu Self-Kill per a anti-T físicamper: duu a terme una resposta de neteja o zero del dispositiu i programa eFuses per evitar que el dispositiu es torni a configurar.

3. Documentació de seguretat disponible

La taula següent enumera la documentació disponible per a les funcions de seguretat del dispositiu en dispositius Intel FPGA i ASIC estructurat:

Nom del document	Propòsit
Metodologia de seguretat per a usuaris d'Intel FPGA i ASIC estructurats Guia	Document de primer nivell que en proporciona descripcions detallades característiques i tecnologies de seguretat a les solucions programables Intel Productes. Ajuda els usuaris a seleccionar les funcions de seguretat necessàries complir els seus objectius de seguretat.
Guia d'usuari de seguretat del dispositiu Intel Stratix 10	Instruccions per als usuaris de dispositius Intel Stratix 10 per implementar les característiques de seguretat identificades mitjançant la Metodologia de seguretat Guia d'usuari.
Guia d'usuari de seguretat del dispositiu Intel Agilex 7	Instruccions per als usuaris de dispositius Intel Agilex 7 per implementar les característiques de seguretat identificades mitjançant la Metodologia de seguretat Guia d'usuari.
Guia d'usuari de seguretat del dispositiu Intel eASIC N5X	Instruccions per als usuaris de dispositius Intel eASIC N5X per implementar les característiques de seguretat identificades mitjançant la Metodologia de seguretat Guia d'usuari.
Serveis criptogràfics Intel Agilex 7 i Intel eASIC N5X HPS Guia d'usuari	Informació per als enginyers de programari d'HPS sobre la implementació i ús de biblioteques de programari HPS per accedir als serveis criptogràfics proporcionada per la SDM.
AN-968 Black Key Provisioning Service Guia d'inici ràpid	Conjunt complet de passos per configurar l'aprovisionament de clau negra servei.

Preguntes freqüents

P: Quin és l'objectiu de la Guia d'usuari de la metodologia de seguretat?

R: La Guia de l'usuari de la metodologia de seguretat proporciona descripcions detallades de les característiques i tecnologies de seguretat dels productes de solucions programables Intel. Ajuda els usuaris a seleccionar les funcions de seguretat necessàries per assolir els seus objectius de seguretat.

P: On puc trobar la Guia d'usuari de seguretat del dispositiu Intel Agilex 7?

R: La Guia d'usuari de seguretat del dispositiu Intel Agilex 7 es pot trobar a l'Intel Resource and Design Center weblloc.

P: Què és el servei de subministrament de clau negra?

R: El servei Black Key Provisioning és un servei que ofereix un conjunt complet de passos per configurar el subministrament de claus per a operacions segures.

View Fullscreen

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7
Actualitzat per a Intel® Quartus® Prime Design Suite: 23.1

Versió en línia Enviar comentaris

UG-20335

683823 2023.05.23

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 2

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 3

683823 | 2023.05.23/XNUMX/XNUMX Envia comentaris
1. Intel Agilex® 7

S'ha acabat la seguretat del dispositiuview

Intel® dissenya els dispositius Intel Agilex® 7 amb maquinari i microprogramari de seguretat dedicats i altament configurables.
Aquest document conté instruccions per ajudar-vos a utilitzar el programari Intel Quartus® Prime Pro Edition per implementar funcions de seguretat als vostres dispositius Intel Agilex 7.
A més, la Guia d'usuari de Metodologia de seguretat per a FPGA Intel i ASIC estructurat està disponible a l'Intel Resource & Design Center. Aquest document conté descripcions detallades de les característiques i tecnologies de seguretat que estan disponibles a través dels productes Intel Programable Solutions per ajudar-vos a seleccionar les característiques de seguretat necessàries per assolir els vostres objectius de seguretat. Poseu-vos en contacte amb el servei d'assistència d'Intel amb el número de referència 14014613136 per accedir a la Guia d'usuari de Metodologia de seguretat per a FPGA Intel i ASIC estructurat.
El document s'organitza de la següent manera: · Autenticació i Autorització: Proporciona instruccions per crear
claus d'autenticació i cadenes de signatura, aplicar permisos i revocacions, signar objectes i programar funcions d'autenticació en dispositius Intel Agilex 7. · Xifratge AES Bitstream: proporciona instruccions per crear una clau arrel AES, xifrar fluxos de bits de configuració i subministrar la clau arrel AES als dispositius Intel Agilex 7. · Aprovisionament de dispositius: proporciona instruccions per utilitzar el microprogramari de subministrament del programador Intel Quartus Prime i del Gestor de dispositius segurs (SDM) per programar funcions de seguretat en dispositius Intel Agilex 7. · Funcions avançades: proporciona instruccions per habilitar funcions de seguretat avançades, com ara l'autorització de depuració segura, la depuració del sistema de processador dur (HPS) i l'actualització remota del sistema.
1.1. Compromís amb la seguretat del producte
El compromís durador d'Intel amb la seguretat mai ha estat tan fort. Intel recomana encaridament que us familiaritzeu amb els recursos de seguretat dels nostres productes i planifiqueu utilitzar-los durant tota la vida útil del vostre producte Intel.
Informació relacionada · Seguretat del producte a Intel · Assessoraments del centre de seguretat del producte Intel

Intel Corporation. Tots els drets reservats. Intel, el logotip d'Intel i altres marques d'Intel són marques comercials d'Intel Corporation o de les seves filials. Intel garanteix el rendiment dels seus productes FPGA i semiconductors amb les especificacions actuals d'acord amb la garantia estàndard d'Intel, però es reserva el dret de fer canvis a qualsevol producte i servei en qualsevol moment sense previ avís. Intel no assumeix cap responsabilitat derivada de l'aplicació o l'ús de qualsevol informació, producte o servei descrit aquí, tret que Intel ho acordi expressament per escrit. Es recomana als clients d'Intel que obtinguin la darrera versió de les especificacions del dispositiu abans de confiar en qualsevol informació publicada i abans de fer comandes de productes o serveis. * Altres noms i marques es poden reclamar com a propietat d'altres.

Registre ISO 9001:2015

1. S'ha acabat la seguretat del dispositiu Intel Agilex® 7view 683823 | 2023.05.23

1.2. Funcions de seguretat planificades

Les funcions esmentades en aquesta secció estan planejades per a una futura versió del programari Intel Quartus Prime Pro Edition.

Nota:

La informació d'aquesta secció és preliminar.

1.2.1. Verificació de seguretat de bitstream de reconfiguració parcial
La validació de seguretat del flux de bits de reconfiguració parcial (PR) ajuda a proporcionar una seguretat addicional que els fluxos de bits de PR personal no poden accedir ni interferir amb altres fluxos de bits PR.

1.2.2. Dispositiu Self-Kill per a anti-T físicamper
L'autoeliminació del dispositiu realitza una resposta de neteja o zero del dispositiu i, a més, programa eFuses per evitar que el dispositiu es torni a configurar.

1.3. Documentació de seguretat disponible

La taula següent enumera la documentació disponible per a les funcions de seguretat del dispositiu en dispositius Intel FPGA i ASIC estructurat:

Taula 1.

Documentació de seguretat del dispositiu disponible

Nom del document
Guia d'usuari de Metodologia de seguretat per a FPGA Intel i ASIC estructurat

Propòsit
Document de primer nivell que conté descripcions detallades de les característiques i tecnologies de seguretat dels productes de solucions programables Intel. Destinat a ajudar-vos a seleccionar les funcions de seguretat necessàries per assolir els vostres objectius de seguretat.

ID del document 721596

Guia d'usuari de seguretat del dispositiu Intel Stratix 10
Guia d'usuari de seguretat del dispositiu Intel Agilex 7

Per als usuaris de dispositius Intel Stratix 10, aquesta guia conté instruccions per utilitzar el programari Intel Quartus Prime Pro Edition per implementar les funcions de seguretat identificades mitjançant la Guia d'usuari de la metodologia de seguretat.
Per als usuaris de dispositius Intel Agilex 7, aquesta guia conté instruccions per utilitzar el programari Intel Quartus Prime Pro Edition per implementar les funcions de seguretat identificades mitjançant la Guia d'usuari de la metodologia de seguretat.

683642 683823

Guia d'usuari de seguretat del dispositiu Intel eASIC N5X

Per als usuaris de dispositius Intel eASIC N5X, aquesta guia conté instruccions per utilitzar el programari Intel Quartus Prime Pro Edition per implementar les característiques de seguretat identificades mitjançant la Guia d'usuari de la metodologia de seguretat.

626836

Guia d'usuari dels serveis criptogràfics Intel Agilex 7 i Intel eASIC N5X HPS

Aquesta guia conté informació per ajudar els enginyers de programari d'HPS a implementar i utilitzar les biblioteques de programari d'HPS per accedir als serveis criptogràfics proporcionats per l'SDM.

713026

AN-968 Black Key Provisioning Service Guia d'inici ràpid

Aquesta guia conté un conjunt complet de passos per configurar el servei de subministrament de clau negra.

739071

Ubicació Intel Resource i
Centre de Disseny
Intel.com
Intel.com
Centre de recursos i disseny d'Intel
Centre de recursos i disseny d'Intel
Centre de recursos i disseny d'Intel

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 5

683823 | 2023.05.23/XNUMX/XNUMX Envia comentaris

Autenticació i Autorització

Per habilitar les funcions d'autenticació d'un dispositiu Intel Agilex 7, comenceu utilitzant el programari Intel Quartus Prime Pro Edition i les eines associades per crear una cadena de signatures. Una cadena de signatures consta d'una clau arrel, una o més claus de signatura i les autoritzacions aplicables. Apliqueu la cadena de signatura al vostre projecte Intel Quartus Prime Pro Edition i a la programació compilada files. Utilitzeu les instruccions de Device Provisioning per programar la vostra clau arrel als dispositius Intel Agilex 7.
Informació relacionada
Aprovisionament de dispositius a la pàgina 25

2.1. Creació d'una cadena de signatures
Podeu utilitzar l'eina quartus_sign o la implementació de referència agilex_sign.py per realitzar operacions de cadena de signatura. Aquest document proporciona examples utilitzant quartus_sign.
Per utilitzar la implementació de referència, substituïu una trucada a l'intèrpret de Python inclòs amb el programari Intel Quartus Prime i ometeu l'opció –family=agilex; totes les altres opcions són equivalents. Per example, l'ordre quartus_sign que es troba més endavant en aquesta secció
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky es pot convertir en la crida equivalent a la implementació de referència de la següent manera
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

El programari Intel Quartus Prime Pro Edition inclou les eines quartus_sign, pgm_py i agilex_sign.py. Podeu utilitzar l'eina d'intèrpret d'ordres Nios® II, que estableix automàticament les variables d'entorn adequades per accedir a les eines.

Seguiu aquestes instruccions per mostrar un shell d'ordres Nios II. 1. Obre un intèrpret d'ordres Nios II.

Opció Windows
Linux

Descripció
Al menú Inici, apunteu a Programes Intel FPGA Nios II EDS i feu clic a Nios II Shell de comandaments.
En un intèrpret d'ordres, canvieu a /nios2eds i executeu l'ordre següent:
./nios2_command_shell.sh

L'exampEls fitxers d'aquesta secció assumeixen la cadena de signatura i el flux de bits de configuració files es troben al directori de treball actual. Si opteu per seguir l'examples on clau files es mantenen a la file sistema, aquells exampels assumim la clau files són

Registre ISO 9001:2015

2. Autenticació i Autorització 683823 | 2023.05.23/XNUMX/XNUMX
situat al directori de treball actual. Podeu triar quins directoris utilitzar i les eines de suport relativa file camins. Si opteu per mantenir la clau files a la file sistema, heu de gestionar acuradament els permisos d'accés a aquests files.
Intel recomana que s'utilitzi un mòdul de seguretat de maquinari (HSM) disponible comercialment per emmagatzemar claus criptogràfiques i realitzar operacions criptogràfiques. L'eina quartus_sign i la implementació de referència inclouen una interfície de programació d'aplicacions (API) de l'estàndard de criptografia de clau pública núm. 11 (PKCS núm. 11) per interactuar amb un HSM mentre es realitza operacions de cadena de signatura. La implementació de referència agilex_sign.py inclou un resum de la interfície així com un exampinterfície a SoftHSM.
Podeu utilitzar aquests exampinterfícies per implementar una interfície al vostre HSM. Consulteu la documentació del vostre proveïdor d'HSM per obtenir més informació sobre la implementació d'una interfície i el funcionament del vostre HSM.
SoftHSM és una implementació de programari d'un dispositiu criptogràfic genèric amb una interfície PKCS #11 que està disponible pel projecte OpenDNSSEC®. Podeu trobar més informació, incloses instruccions sobre com descarregar, crear i instal·lar OpenHSM, al projecte OpenDNSSEC. L'exampEls fitxers d'aquesta secció utilitzen SoftHSM versió 2.6.1. L'exampEls fitxers d'aquesta secció també fan servir la utilitat pkcs11-tool d'OpenSC per realitzar operacions addicionals PKCS #11 amb un testimoni SoftHSM. Podeu trobar més informació, incloses instruccions sobre com descarregar, crear i instal·lar pkcs11tool des de l'OpenSC.
Informació relacionada
· El projecte OpenDNSSEC Signador de zones basat en polítiques per automatitzar el procés de seguiment de claus DNSSEC.
· SoftHSM Informació sobre la implementació d'una botiga criptogràfica accessible mitjançant una interfície PKCS #11.
· OpenSC Proporciona un conjunt de biblioteques i utilitats capaços de treballar amb targetes intel·ligents.
2.1.1. Creació de parells de claus d'autenticació al local File Sistema
Utilitzeu l'eina quartus_sign per crear parells de claus d'autenticació al local file sistema utilitzant les operacions de l'eina make_private_pem i make_public_pem. Primer genereu una clau privada amb l'operació make_private_pem. Especifiqueu la corba el·líptica a utilitzar, la clau privada filenom i, opcionalment, si cal protegir la clau privada amb una frase de contrasenya. Intel recomana l'ús de la corba secp384r1 i seguir les millors pràctiques del sector per crear una frase de contrasenya aleatòria i sòlida a totes les claus privades. files. Intel també recomana restringir el file permisos del sistema a la clau privada .pem files de llegir només pel propietari. Obteniu la clau pública de la clau privada amb l'operació make_public_pem. És útil anomenar la clau .pem files descriptiva. Aquest document utilitza la convenció _ .pem en el següent examples.
1. A l'intèrpret d'ordres de Nios II, executeu l'ordre següent per crear una clau privada. La clau privada, que es mostra a continuació, s'utilitza com a clau arrel a l'exampels que creen una cadena de signatura. Els dispositius Intel Agilex 7 admeten diverses claus arrel, així que tu

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 7

2. Autenticació i Autorització 683823 | 2023.05.23/XNUMX/XNUMX

repetiu aquest pas per crear el nombre necessari de claus arrel. ExampEls fitxers d'aquest document fan referència a la primera clau arrel, tot i que podeu crear cadenes de signatura de manera similar amb qualsevol clau arrel.

Opció Amb frase de contrasenya

Descripció
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Introduïu la frase de contrasenya quan se us demani que ho feu.

Sense contrasenya

quartus_sign –family=agilex –operació=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Executeu l'ordre següent per crear una clau pública utilitzant la clau privada generada al pas anterior. No cal protegir la confidencialitat d'una clau pública.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Torna a executar les ordres per crear un parell de claus utilitzat com a clau de signatura del disseny a la cadena de signatura.
quartus_sign –family=agilex –operació=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Creació de parells de claus d'autenticació a SoftHSM
El SoftHSM exampels d'aquest capítol són auto-coherents. Alguns paràmetres depenen de la vostra instal·lació de SoftHSM i d'una inicialització de testimoni dins de SoftHSM.
L'eina quartus_sign depèn de la biblioteca de l'API PKCS #11 del vostre HSM.
L'exampEls fitxers d'aquesta secció assumeixen que la biblioteca SoftHSM està instal·lada en una de les ubicacions següents: · /usr/local/lib/softhsm2.so a Linux · C:SoftHSM2libsofthsm2.dll a la versió de 32 bits de Windows · C:SoftHSM2libsofthsm2-x64 .dll a la versió de Windows de 64 bits.
Inicialitzeu un testimoni dins de SoftHSM mitjançant l'eina softhsm2-util:
softhsm2-util –init-token –etiqueta agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Els paràmetres de l'opció, especialment l'etiqueta del testimoni i el pin del testimoni són examples utilitzades al llarg d'aquest capítol. Intel recomana que seguiu les instruccions del vostre proveïdor d'HSM per crear i gestionar fitxes i claus.
Creeu parells de claus d'autenticació mitjançant la utilitat pkcs11-tool per interactuar amb el testimoni a SoftHSM. En lloc de fer referència explícitament a la clau privada i pública .pem files a la file sistema exampels, us referiu al parell de claus per la seva etiqueta i l'eina selecciona la clau adequada automàticament.

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 8

Envia comentaris

2. Autenticació i Autorització 683823 | 2023.05.23/XNUMX/XNUMX

Executeu les ordres següents per crear un parell de claus que s'utilitzarà com a clau arrel a més endavant, per exempleampfitxers, així com un parell de claus utilitzat com a clau de signatura de disseny a la cadena de signatura:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mecanisme ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mecanisme ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

Nota:

L'opció ID d'aquest pas ha de ser única per a cada clau, però només l'utilitza l'HSM. Aquesta opció d'identificació no està relacionada amb l'identificador de cancel·lació de clau assignat a la cadena de signatura.

2.1.3. Creació de l'entrada arrel de la cadena de signatura
Converteix la clau pública arrel en una entrada arrel de cadena de signatura, emmagatzemada al local file sistema en el format de clau Intel Quartus Prime (.qky). file, amb l'operació make_root. Repetiu aquest pas per a cada clau arrel que genereu.
Executeu l'ordre següent per crear una cadena de signatures amb una entrada d'arrel, utilitzant una clau pública arrel de la file sistema:
quartus_sign –family=agilex –operation=make_root –key_type=propietari root0_public.pem root0.qky
Executeu l'ordre següent per crear una cadena de signatura amb una entrada arrel, utilitzant la clau arrel del testimoni SoftHSM establert a la secció anterior:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. ” root0 root0.qky

2.1.4. Creació d'una entrada de clau pública de cadena de signatures
Creeu una nova entrada de clau pública per a una cadena de signatures amb l'operació append_key. Especifiqueu la cadena de signatura anterior, la clau privada per a l'última entrada de la cadena de signatura anterior, la clau pública de nivell següent, els permisos i l'identificador de cancel·lació que assigneu a la clau pública de nivell següent i la cadena de signatura nova. file.
Tingueu en compte que la biblioteca softHSM no està disponible amb la instal·lació de Quartus i s'ha d'instal·lar per separat. Per obtenir més informació sobre softHSM, consulteu la secció Creació d'una cadena de signatures anterior.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 9

2. Autenticació i Autorització 683823 | 2023.05.23/XNUMX/XNUMX
Depenent de l'ús que facis de les tecles file sistema o en un HSM, feu servir un dels següents exampLe ordres per afegir la clau pública design0_sign a la cadena de signatura arrel creada a la secció anterior:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”=previous_keyname root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Podeu repetir l'operació append_key fins a dues vegades més per a un màxim de tres entrades de clau pública entre l'entrada arrel i l'entrada del bloc de capçalera en qualsevol cadena de signatura.
El següent exampEl fitxer suposa que heu creat una altra clau pública d'autenticació amb els mateixos permisos i l'ID de cancel·lació assignat 1 anomenada design1_sign_public.pem, i esteu afegint aquesta clau a la cadena de signatura de l'ex anterior.ampLI:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”=previous_keyname design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Els dispositius Intel Agilex 7 inclouen un comptador de cancel·lació de clau addicional per facilitar l'ús d'una clau que pot canviar periòdicament al llarg de la vida d'un dispositiu determinat. Podeu seleccionar aquest comptador de cancel·lació de clau canviant l'argument de l'opció –cancel a pts:pts_value.
2.2. Signatura d'un flux de bits de configuració
Els dispositius Intel Agilex 7 admeten comptadors de número de versió de seguretat (SVN), que us permeten revocar l'autorització d'un objecte sense cancel·lar una clau. Assigna el comptador SVN i el valor del comptador SVN adequat durant la signatura de qualsevol objecte, com ara una secció de flux de bits, firmware .zip file, o certificat compacte. Assigna el comptador SVN i el valor SVN utilitzant l'opció –cancel i svn_counter:svn_value com a argument. Els valors vàlids per a svn_counter són svnA, svnB, svnC i svnD. El valor_svn és un nombre enter dins l'interval [0,63].

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 10

Envia comentaris

2. Autenticació i Autorització 683823 | 2023.05.23/XNUMX/XNUMX
2.2.1. Clau de quartus File Encàrrec
Especifiqueu una cadena de signatura al vostre projecte de programari Intel Quartus Prime per habilitar la funció d'autenticació per a aquest disseny. Al menú Tasques, seleccioneu Dispositiu del dispositiu i Opcions de PIN Clau quartus de seguretat Filei, a continuació, navegueu fins a la cadena de signatures .qky file has creat per signar aquest disseny.
Figura 1. Activa la configuració del flux de bits de configuració

Alternativament, podeu afegir la següent declaració d'assignació a la configuració d'Intel Quartus Prime file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
Per generar un .sof file des d'un disseny compilat prèviament, que inclou aquesta configuració, al menú Processament, seleccioneu Inicia Iniciar assemblador. La nova sortida .sof file inclou les assignacions per habilitar l'autenticació amb la cadena de signatures proporcionada.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 11

2. Autenticació i Autorització 683823 | 2023.05.23/XNUMX/XNUMX
2.2.2. Firma conjunta de SDM
Utilitzeu l'eina quartus_sign per extreure, signar i instal·lar el .zip del microprogramari SDM aplicable file. A continuació, la programació inclou el microprogramari signat conjuntament file eina generadora quan convertiu .sof file en un bitstream de configuració .rbf file. Feu servir les ordres següents per crear una cadena de signatures nova i signar el microprogramari SDM.
1. Creeu un nou parell de claus de signatura.
a. Creeu un nou parell de claus de signatura al file sistema:
quartus_sign –family=agilex –operació=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Creeu un nou parell de claus de signatura a l'HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mecanisme ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. Creeu una cadena de signatures nova que contingui la nova clau pública:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”=previous_keyname root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Copieu el firmware .zip file des del directori d'instal·lació del programari Intel Quartus Prime Pro Edition ( /devices/programmer/firmware/agilex.zip) al directori de treball actual.
quartus_sign –family=agilex –get_firmware=.
4. Signa el firmware .zip file. L'eina desempaqueta automàticament el fitxer .zip file i signa individualment tot el firmware .cmf files, després reconstrueix el fitxer .zip file per a l'ús de les eines de les seccions següents:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 12

Envia comentaris

2. Autenticació i Autorització 683823 | 2023.05.23/XNUMX/XNUMX

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Configuració de signatura Bitstream mitjançant l'ordre quartus_sign
Per signar un flux de bits de configuració mitjançant l'ordre quartus_sign, primer heu de convertir el fitxer .sof file al binari sense signar file format (.rbf). Opcionalment, podeu especificar el microprogramari signat conjuntament mitjançant l'opció fw_source durant el pas de conversió.
Podeu generar el flux de bits sense signar en format .rbf mitjançant l'ordre següent:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Executeu una de les ordres següents per signar el bitstream mitjançant l'eina quartus_sign en funció de la ubicació de les vostres claus:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Podeu convertir .rbf signat files a un altre bitstream de configuració file formats.
Per exampli, si utilitzeu el reproductor de llenguatge de programació i de prova estàndard Jam* (STAPL) per programar un flux de bits sobre JTAG, feu servir l'ordre següent per convertir un .rbf file al format .jam que requereix el reproductor Jam STAPL:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Suport multiautoritat de reconfiguració parcial

Els dispositius Intel Agilex 7 admeten l'autenticació multiautoritat de reconfiguració parcial, on el propietari del dispositiu crea i signa el flux de bits estàtic i un propietari de PR independent crea i signa els fluxos de bits de la persona de PR. Els dispositius Intel Agilex 7 implementen el suport de múltiples autoritats assignant les primeres ranures de clau arrel d'autenticació al propietari del dispositiu o del flux de bits estàtic i assignant la ranura de clau arrel d'autenticació final al propietari del flux de bits de la persona de reconfiguració parcial.
Si la funció d'autenticació està habilitada, s'han de signar totes les imatges de PR personal, incloses les imatges de PR imbricades. Les imatges de la persona de relacions públiques poden estar signades pel propietari del dispositiu o pel propietari de les relacions públiques; tanmateix, els fluxos de bits de la regió estàtica han de ser signats pel propietari del dispositiu.

Nota:

La reconfiguració parcial estàtica i el xifratge de flux de bits personal quan s'habilita el suport de diverses autoritats està previst en una versió futura.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 13

2. Autenticació i Autorització 683823 | 2023.05.23/XNUMX/XNUMX

Figura 2.

La implementació del suport multiautoritat de reconfiguració parcial requereix diversos passos:
1. El propietari del dispositiu o del flux de bits estàtic genera una o més claus arrel d'autenticació tal com es descriu a Creació de parells de claus d'autenticació a SoftHSM a la pàgina 8, on l'opció –key_type té el valor propietari.
2. El propietari del flux de bits de reconfiguració parcial genera una clau arrel d'autenticació, però canvia el valor de l'opció –key_type a secondary_owner.
3. Tant el flux de bits estàtic com els propietaris del disseny de reconfiguració parcial asseguren que la casella de selecció Habilita la compatibilitat amb múltiples autoritats està activada a la pestanya Seguretat de dispositius i opcions de pin d'assignacions.
Intel Quartus Prime Habilita la configuració de l'opció de múltiples autoritats

4. Tant el flux de bits estàtic com els propietaris del disseny de reconfiguració parcial creen cadenes de signatures basades en les seves claus arrel respectives, tal com es descriu a Creació d'una cadena de signatures a la pàgina 6.
5. Tant el flux de bits estàtic com els propietaris del disseny de reconfiguració parcial converteixen els seus dissenys compilats al format .rbf files i signar el .rbf files.
6. El propietari del dispositiu o del flux de bits estàtic genera i signa un certificat compacte d'autorització del programa de clau pública de PR.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 14

Envia comentaris

2. Autenticació i Autorització 683823 | 2023.05.23/XNUMX/XNUMX

7. El propietari del dispositiu o del flux de bits estàtic proporciona els seus hash de clau arrel d'autenticació al dispositiu, després programa el certificat compacte d'autorització del programa de clau pública PR i, finalment, subministra la clau arrel del propietari del flux de bits de reconfiguració parcial al dispositiu. La secció Aprovisionament del dispositiu descriu aquest procés d'aprovisionament.
8. El dispositiu Intel Agilex 7 està configurat amb la regió estàtica .rbf file.
9. El dispositiu Intel Agilex 7 està parcialment reconfigurat amb el disseny de la persona .rbf file.
Informació relacionada
· Creació d'una cadena de signatures a la pàgina 6
· Creació de parells de claus d'autenticació a SoftHSM a la pàgina 8
· Aprovisionament de dispositius a la pàgina 25

2.2.5. Verificació de les cadenes de signatures de bitstream de configuració
Després de crear cadenes de signatura i fluxos de bits signats, podeu verificar que un flux de bits signat configura correctament un dispositiu programat amb una clau arrel determinada. Primer feu servir l'operació fuse_info de l'ordre quartus_sign per imprimir el hash de la clau pública arrel en un text file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

A continuació, feu servir l'opció check_integrity de l'ordre quartus_pfg per inspeccionar la cadena de signatura a cada secció d'un flux de bits signat en format .rbf. L'opció check_integrity imprimeix la informació següent:
· Estat de la comprovació d'integritat global del flux de bits
· Contingut de cada entrada de cada cadena de signatura adjunta a cada secció del bitstream .rbf file,
· Valor de fusible esperat per al hash de la clau pública arrel per a cada cadena de signatura.
El valor de la sortida fuse_info hauria de coincidir amb les línies Fuse de la sortida check_integrity.
quartus_pfg –check_integrity signed_bitstream.rbf

Aquí teniu un exampfitxer de la sortida de l'ordre check_integrity:

Informació: Ordre: quartus_pfg –check_integrity signed_bitstream.rbf Estat d'integritat: D'acord

Secció

Tipus: CMF

Descriptor de signatura...

Cadena de signatures núm. 0 (entrades: -1, compensació: 96)

Entrada #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Genera clau...

Corba: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Genera clau...

Corba: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 15

2. Autenticació i Autorització 683823 | 2023.05.23/XNUMX/XNUMX

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Entrada #1

Genera clau...

Corba: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Entrada núm. 2 Permís de clauer: SIGN_CODE El clauer es pot cancel·lar mitjançant l'ID: 3 Cadena de signatures núm. 1 (entrades: -1, compensació: 648)

Entrada #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Genera clau...

Corba: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Genera clau...

Corba: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entrada #1

Genera clau...

Corba: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Entrada #2

Genera clau...

Corba: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entrada núm. 3 Permís de clauer: SIGN_CODE El clauer es pot cancel·lar mitjançant l'ID: 15 Cadena de signatures núm. 2 (entrades: -1, desplaçament: 0) Cadena de signatures núm. 3 (entrades: -1, desplaçament: 0) Cadena de signatures núm. 4 (entrades: -1, desplaçament: 0) Cadena de signatures núm. 5 (entrades: -1, compensació: 0) Cadena de signatures núm. 6 (entrades: -1, compensació: 0) Cadena de signatures núm. 7 (entrades: -1, compensació: 0)

Tipus de secció: Descriptor de signatura d'IO... Cadena de signatures #0 (entrades: -1, desplaçament: 96)

Entrada #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Genera clau...

Corba: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 16

Envia comentaris

2. Autenticació i Autorització 683823 | 2023.05.23/XNUMX/XNUMX

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Genera clau...

Corba: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entrada #1

Genera clau...

Corba: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entrada #2

Genera clau...

Corba: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entrada núm. 3 Permís de clauer: SIGN_CORE El clauer es pot cancel·lar per ID: 15 Cadena de signatures núm. 1 (entrades: -1, desplaçament: 0) Cadena de signatures núm. 2 (entrades: -1, compensació: 0) Cadena de signatures núm. 3 (entrades: -1, desplaçament: 0) Cadena de signatures #4 (entrades: -1, compensació: 0) Cadena de signatures #5 (entrades: -1, compensació: 0) Cadena de signatures #6 (entrades: -1, compensació: 0) Signatura cadena #7 (entrades: -1, compensació: 0)

Secció

Tipus: HPS

Descriptor de signatura...

Cadena de signatures núm. 0 (entrades: -1, compensació: 96)

Entrada #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Genera clau...

Corba: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Genera clau...

Corba: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entrada #1

Genera clau...

Corba: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Entrada #2

Genera clau...

Corba: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 17

2. Autenticació i Autorització 683823 | 2023.05.23/XNUMX/XNUMX

Entrada núm. 3 Permís de clauer: SIGN_HPS El clauer es pot cancel·lar per ID: 15 Cadena de signatures núm. 1 (entrades: -1, desplaçament: 0) Cadena de signatures núm. 2 (entrades: -1, compensació: 0) Cadena de signatures núm. 3 (entrades: -1, desplaçament: 0) Cadena de signatures #4 (entrades: -1, compensació: 0) Cadena de signatures #5 (entrades: -1, compensació: 0) Cadena de signatures #6 (entrades: -1, compensació: 0) Signatura cadena #7 (entrades: -1, compensació: 0)

Tipus de secció: Descriptor de signatura CORE … Cadena de signatures #0 (entrades: -1, desplaçament: 96)

Entrada #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Genera clau...

Corba: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Genera clau...

Corba: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entrada #1

Genera clau...

Corba: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entrada #2

Genera clau...

Corba: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 18

Envia comentaris

683823 | 2023.05.23/XNUMX/XNUMX Envia comentaris

Xifratge AES Bitstream

El xifratge de flux de bits Advanced Encryption Standard (AES) és una característica que permet al propietari del dispositiu protegir la confidencialitat de la propietat intel·lectual en un flux de bits de configuració.
Per ajudar a protegir la confidencialitat de les claus, el xifratge del flux de bits de configuració utilitza una cadena de claus AES. Aquestes claus s'utilitzen per xifrar les dades del propietari al flux de bits de configuració, on la primera clau intermèdia es xifra amb la clau arrel AES.

3.1. Creació de la clau arrel AES

Podeu utilitzar l'eina quartus_encrypt o la implementació de referència stratix10_encrypt.py per crear una clau arrel AES en el format de clau de xifratge del programari Intel Quartus Prime (.qek) file.

Nota:

El stratix10_encrypt.py file s'utilitza per a dispositius Intel Stratix® 10 i Intel Agilex 7.

Opcionalment, podeu especificar la clau base utilitzada per derivar la clau arrel AES i la clau de derivació de clau, el valor de la clau arrel AES directament, el nombre de claus intermèdies i l'ús màxim per clau intermèdia.

Heu d'especificar la família de dispositius, sortida .qek file ubicació i frase de contrasenya quan se li demani.
Executeu l'ordre següent per generar la clau arrel AES utilitzant dades aleatòries per a la clau base i valors predeterminats per al nombre de claus intermèdies i l'ús màxim de la clau.
Per utilitzar la implementació de referència, substituïu una trucada a l'intèrpret de Python inclòs amb el programari Intel Quartus Prime i ometeu l'opció –family=agilex; totes les altres opcions són equivalents. Per example, l'ordre quartus_encrypt que es troba més endavant a la secció

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

es pot convertir en la crida equivalent a la implementació de referència de la manera següent pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Configuració de xifratge Quartus
Per habilitar el xifratge de flux de bits per a un disseny, heu d'especificar les opcions adequades mitjançant el tauler Seguretat de dispositius de dispositius i d'opcions de pins. Seleccioneu la casella de selecció Habilita el xifratge de flux de bits de configuració i la ubicació d'emmagatzematge de la clau de xifratge desitjada al menú desplegable.

Registre ISO 9001:2015

Figura 3. Configuració de xifratge Intel Quartus Prime

3. Xifratge AES Bitstream 683823 | 2023.05.23/XNUMX/XNUMX

Alternativament, podeu afegir la següent declaració d'assignació a la configuració de l'Intel Quartus Prime file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM a set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Si voleu activar mitigacions addicionals contra els vectors d'atac del canal lateral, podeu activar el menú desplegable Relació d'actualització de xifratge i la casella de selecció Habilita la codificació.

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 20

Envia comentaris

3. Xifratge AES Bitstream 683823 | 2023.05.23/XNUMX/XNUMX

Els canvis corresponents al .qsf són:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING a set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Xifrat d'un flux de bits de configuració
Xifreu un flux de bits de configuració abans de signar el flux de bits. La programació Intel Quartus Prime File L'eina generadora pot xifrar i signar automàticament un flux de bits de configuració mitjançant la interfície gràfica d'usuari o la línia d'ordres.
Opcionalment, podeu crear un flux de bits parcialment xifrat per utilitzar-lo amb les eines quartus_encrypt i quartus_sign o equivalents d'implementació de referència.

3.3.1. Configuració Xifratge de flux de bits mitjançant la programació File Interfície gràfica del generador
Podeu utilitzar la programació File Generador per xifrar i signar la imatge del propietari.

Figura 4.

1. A l'Intel Quartus Prime File menú seleccioneu Programació File Generador. 2. A la sortida Files, especifiqueu la sortida file escriviu per a la vostra configuració
esquema.
Sortida File Especificació

Esquema de configuració Sortida file pestanya
Sortida file tipus

3. A l'entrada Files, feu clic a Afegeix Bitstream i navegueu fins al vostre .sof. 4. Per especificar les opcions d'encriptació i autenticació, seleccioneu el .sof i feu clic
Propietats. a. Activa l'eina de signatura Habilita. b. Per a la clau privada file seleccioneu la vostra clau de signatura privada .pem file. c. Activa Finalitza l'encriptació.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 21

3. Xifratge AES Bitstream 683823 | 2023.05.23/XNUMX/XNUMX

Figura 5.

d. Per a la clau de xifratge file, seleccioneu el vostre .qek AES file. Entrada (.sof) File Propietats per a l'autenticació i el xifratge

Habilita l'autenticació Especifiqueu l'arrel privada .pem
Activa el xifratge Especifiqueu la clau de xifratge
5. Per generar el flux de bits signat i xifrat, a l'entrada Files, feu clic a Genera. Apareixen quadres de diàleg de contrasenya perquè introduïu la vostra frase de contrasenya per a la vostra clau AES .qek file i signant la clau privada .pem file. La programació file generador crea la sortida xifrada i signada_file.rbf.
3.3.2. Configuració Xifratge de flux de bits mitjançant la programació File Interfície de línia d'ordres del generador
Genereu un flux de bits de configuració xifrat i signat en format .rbf amb la interfície de línia d'ordres quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
Podeu convertir un flux de bits de configuració xifrat i signat en format .rbf a un altre flux de bits de configuració file formats.
3.3.3. Configuració parcialment xifrada Generació de flux de bits mitjançant la interfície de línia d'ordres
Podeu generar una programació parcialment xifrada file per finalitzar el xifratge i signar la imatge més tard. Generar la programació parcialment xifrada file en format .rbf amb la interfície de línia d'ordres quartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 22

Envia comentaris

3. Xifratge AES Bitstream 683823 | 2023.05.23/XNUMX/XNUMX
Utilitzeu l'eina de línia d'ordres quartus_encrypt per finalitzar el xifratge de flux de bits:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Utilitzeu l'eina de línia d'ordres quartus_sign per signar el flux de bits de configuració xifrat:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Reconfiguració parcial Xifratge de flux de bits
Podeu habilitar el xifratge de flux de bits en alguns dissenys FPGA d'Intel Agilex 7 que utilitzen una reconfiguració parcial.
Els dissenys de reconfiguració parcial que utilitzen la reconfiguració parcial jeràrquica (HPR) o la reconfiguració parcial d'actualització estàtica (SUPR) no admeten el xifratge de flux de bits. Si el vostre disseny conté diverses regions de relacions públiques, heu de xifrar totes les persones.
Per habilitar el xifratge de flux de bits de reconfiguració parcial, seguiu el mateix procediment en totes les revisions de disseny. 1. A l'Intel Quartus Prime File menú, seleccioneu Tasques Dispositiu Dispositiu
i Seguretat d'Opcions de Pin. 2. Seleccioneu la ubicació d'emmagatzematge de la clau de xifratge desitjada.
Figura 6. Configuració de xifratge de flux de bits de reconfiguració parcial

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 23

3. Xifratge AES Bitstream 683823 | 2023.05.23/XNUMX/XNUMX
Alternativament, podeu afegir la següent declaració d'assignació a la configuració de Quartus Prime file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION activat
Després de compilar el disseny base i les revisions, el programari genera a.soffile i un o més.pmsffiles, representant les persones. 3. Crea programació xifrada i signada files de.sof i.pmsf files de manera similar als dissenys sense reconfiguració parcial activada. 4. Converteix el persona.pmsf compilat file a un.rbf parcialment encriptat file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Finalitzeu el xifratge de flux de bits mitjançant l'eina de línia d'ordres quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Signeu el flux de bits de configuració xifrat mitjançant l'eina de línia d'ordres quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 24

Envia comentaris

683823 | 2023.05.23/XNUMX/XNUMX Envia comentaris

Aprovisionament de dispositius

El subministrament inicial de funcions de seguretat només s'admet al microprogramari de subministrament SDM. Utilitzeu el programador Intel Quartus Prime per carregar el microprogramari de subministrament SDM i realitzar operacions de subministrament.
Podeu utilitzar qualsevol tipus de JTAG cable de baixada per connectar el programador Quartus a un dispositiu Intel Agilex 7 per realitzar operacions d'aprovisionament.
4.1. Utilitzant el firmware de subministrament SDM
El programador Intel Quartus Prime crea i carrega automàticament una imatge d'ajuda per defecte de fàbrica quan seleccioneu l'operació d'inicialització i una ordre per programar quelcom que no sigui un flux de bits de configuració.
Segons l'ordre de programació especificada, la imatge d'ajuda per defecte de fàbrica és d'un dels dos tipus:
· Imatge d'ajuda d'aprovisionament: consta d'una secció de flux de bits que conté el microprogramari d'aprovisionament SDM.
· Imatge d'ajuda QSPI: consta de dues seccions de flux de bits, una que conté el microprogramari principal SDM i una secció d'E/S.
Podeu crear una imatge d'ajuda per defecte de fàbrica file per carregar al dispositiu abans d'executar qualsevol ordre de programació. Després de programar un hash de clau arrel d'autenticació, heu de crear i signar una imatge d'ajuda per defecte de fàbrica QSPI a causa de la secció d'E/S inclosa. Si, a més, programeu la configuració de seguretat del microprogramari signat conjuntament eFuse, haureu de crear imatges d'ajuda per defecte de fàbrica de subministrament i QSPI amb microprogramari signat conjuntament. Podeu utilitzar una imatge d'ajuda predeterminada de fàbrica signada conjuntament en un dispositiu sense aprovisionament, ja que el dispositiu no aprovisionat ignora les cadenes de signatures que no són d'Intel sobre el microprogramari SDM. Consulteu Ús de la imatge d'ajuda per defecte de fàbrica de QSPI en dispositius propis a la pàgina 26 per obtenir més detalls sobre com crear, signar i utilitzar la imatge d'ajuda per defecte de fàbrica de QSPI.
La imatge d'ajuda per defecte de fàbrica d'aprovisionament realitza una acció d'aprovisionament, com ara programar el hash de la clau arrel d'autenticació, els fusibles de configuració de seguretat, la inscripció PUF o l'aprovisionament de la clau negra. Utilitzeu la programació Intel Quartus Prime File Eina de línia d'ordres del generador per crear la imatge d'ajuda d'aprovisionament, especificant l'opció helper_image, el nom del vostre helper_device, el subtipus d'imatge d'ajuda de subministrament i, opcionalment, un firmware .zip signat conjuntament file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Programeu la imatge d'ajuda mitjançant l'eina Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force

Registre ISO 9001:2015

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX

Nota:

Podeu ometre l'operació d'inicialització de les ordres, com ara exampels fitxers que es proporcionen en aquest capítol, després de programar una imatge d'ajuda de subministrament o d'utilitzar una ordre que contingui l'operació d'inicialització.

4.2. Ús de la imatge d'ajuda predeterminada de QSPI Factory en dispositius propis
El programador Intel Quartus Prime crea i carrega automàticament una imatge d'ajuda predeterminada de fàbrica QSPI quan seleccioneu l'operació d'inicialització per a una programació flash QSPI file. Després de programar un hash de clau arrel d'autenticació, heu de crear i signar la imatge d'ajuda predeterminada de fàbrica QSPI i programar la imatge d'ajuda de fàbrica QSPI signada per separat abans de programar el flaix QSPI. 1. Utilitzeu la programació Intel Quartus Prime File Eina de línia d'ordres del generador
creeu la imatge d'ajuda QSPI, especificant l'opció helper_image, el vostre tipus de helper_device, el subtipus d'imatge d'ajuda QSPI i, opcionalment, un .zip de microprogramari cosignat file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Signeu la imatge d'ajuda predeterminada de fàbrica de QSPI:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Podeu utilitzar qualsevol programació flash QSPI file format. El següent exampels utilitzen un flux de bits de configuració convertit al fitxer .jic file format:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Programeu la imatge d'ajuda signada mitjançant l'eina del programador Intel Quartus Prime:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –force
5. Programeu la imatge .jic per parpellejar amb l'eina del programador Intel Quartus Prime:
quartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. Provisió de clau arrel d'autenticació
Per programar els hash de la clau arrel del propietari a fusibles físics, primer heu de carregar el microprogramari de subministrament, a continuació programar els hash de la clau arrel del propietari i, a continuació, realitzar immediatament un restabliment d'encesa. No es requereix un restabliment d'encesa si programeu hash de clau arrel a fusibles virtuals.

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 26

Envia comentaris

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX
Per programar hash de clau arrel d'autenticació, programeu la imatge d'ajuda del microprogramari de subministrament i executeu una de les ordres següents per programar la clau arrel .qky files.
// Per a eFuses físics (no volàtils) quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –clau_no_volatil
// Per a eFuses virtuals (volàtils) quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. Reconfiguració parcial Programació de clau arrel de múltiples autoritats
Després de subministrar les claus arrel del propietari del flux de bits del dispositiu o de la regió estàtica, torneu a carregar la imatge d'ajuda de subministrament del dispositiu, programeu el certificat compacte d'autorització del programa de clau pública de PR signat i, a continuació, proveïu la clau arrel del propietari del flux de bits de PR persona.
// Per a eFuses físics (no volàtils) quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Per a eFuses virtuals (volàtils) quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Fusibles d'identificació de cancel·lació de claus de programació
A partir de la versió 21.1 del programari Intel Quartus Prime Pro Edition, la programació de fusibles d'ID de cancel·lació de claus d'Intel i de propietari requereix l'ús d'un certificat compacte signat. Podeu signar el certificat compacte d'identificació de cancel·lació de claus amb una cadena de signatures que tingui permisos de signatura de la secció FPGA. Creeu el certificat compacte amb la programació file eina de línia d'ordres del generador. Signeu el certificat sense signar mitjançant l'eina quartus_sign o la implementació de referència.
Els dispositius Intel Agilex 7 admeten bancs separats d'ID de cancel·lació de clau del propietari per a cada clau arrel. Quan es programa un certificat compacte d'identificació de cancel·lació de clau del propietari en un FPGA Intel Agilex 7, l'SDM determina quina clau arrel ha signat el certificat compacte i fa saltar el fusible d'identificació de cancel·lació de clau que correspon a aquesta clau arrel.
El següent exampcreen un certificat de cancel·lació de clau Intel per a l'ID de clau Intel 7. Podeu substituir 7 per l'ID de cancel·lació de clau Intel aplicable del 0 al 31.
Executeu l'ordre següent per crear un certificat compacte d'ID de cancel·lació de clau Intel sense signar:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Executeu una de les ordres següents per signar el certificat compacte d'ID de cancel·lació de clau Intel sense signar:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 27

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Executeu l'ordre següent per crear un certificat compacte d'ID de cancel·lació de clau de propietari sense signar:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Executeu una de les ordres següents per signar el certificat compacte d'identificació de cancel·lació de clau del propietari sense signar:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Després d'haver creat un certificat compacte d'identificació de cancel·lació de clau signat, utilitzeu el programador Intel Quartus Prime per programar el certificat compacte al dispositiu mitjançant JTAG.
//Per a eFuses físics (no volàtils) quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –clau_no_volatil quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –clau_no_volàtil
//Per a eFuses virtuals (volàtils) quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert"
També podeu enviar el certificat compacte a l'SDM mitjançant la interfície de bústia de correu FPGA o HPS.
4.5. Cancel·lació de claus arrel
Els dispositius Intel Agilex 7 us permeten cancel·lar els hash de clau arrel quan hi ha un altre hash de clau arrel no cancel·lat. Cancel·leu un hash de clau arrel configurant primer el dispositiu amb un disseny la cadena de signatura del qual està arrelada en un hash de clau arrel diferent i, a continuació, programeu un certificat compacte de cancel·lació de clau arrel signat. Heu de signar el certificat compacte de cancel·lació d'hash de la clau arrel amb una cadena de signatures arrelada a la clau arrel que voleu cancel·lar.
Executeu l'ordre següent per generar un certificat compacte de cancel·lació hash de clau arrel sense signar:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 28

Envia comentaris

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX

Executeu una de les ordres següents per signar el certificat compacte de cancel·lació de la clau arrel sense signar:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Podeu programar un certificat compacte de cancel·lació hash de clau arrel mitjançant JTAGbústies de correu , FPGA o HPS.

4.6. Programació de fusibles de comptador
Actualitzeu el número de versió de seguretat (SVN) i Pseudo Time Stamp (PTS) contrafusibles mitjançant certificats compactes signats.

Nota:

L'SDM fa un seguiment del valor del comptador mínim vist durant una configuració determinada i no accepta certificats d'increment del comptador quan el valor del comptador és inferior al valor mínim. Heu d'actualitzar tots els objectes assignats a un comptador i reconfigurar el dispositiu abans de programar un certificat compacte d'increment del comptador.

Executeu una de les ordres següents que correspongui al certificat d'increment del comptador que voleu generar.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o comptador=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Un valor de comptador d'1 crea un certificat d'autorització d'increment de comptador. La programació d'un certificat compacte d'autorització d'increment de comptador us permet programar més certificats d'increment de comptador sense signar per actualitzar el comptador corresponent. Utilitzeu l'eina quartus_sign per signar els certificats compactes del comptador de manera similar als certificats compactes d'identificació de cancel·lació de claus.
Podeu programar un certificat compacte de cancel·lació hash de clau arrel mitjançant JTAGbústies de correu , FPGA o HPS.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 29

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX

4.7. Provisió de clau arrel del servei d'objectes de dades segur
Feu servir el programador Intel Quartus Prime per subministrar la clau arrel del servei d'objectes de dades segurs (SDOS). El programador carrega automàticament la imatge d'ajuda del microprogramari per subministrar la clau arrel SDOS.
quartus_pgm c 1 mjtag –service_root_key –clau_no_volàtil

4.8. Configuració de seguretat Aprovisionament de fusibles
Utilitzeu el programador Intel Quartus Prime per examinar els fusibles de configuració de seguretat del dispositiu i escriure'ls en un .fuse basat en text file de la següent manera:
quartus_pgm -c 1 -mjtag -o "ei;programació_file.fusible;AGFB014R24B”

Opcions · i: el programador carrega la imatge d'ajuda del firmware de subministrament al dispositiu. · e: El programador llegeix el fusible del dispositiu i l'emmagatzema en un .fusible file.

El .fusible file conté una llista de parells nom-valor de fusible. El valor especifica si s'ha cremat un fusible o el contingut del camp de fusibles.

El següent example mostra el format del .fuse file:

# Microprogramari signat conjuntament

= "No bufat"

# Permís de matança del dispositiu

= "No bufat"

# El dispositiu no és segur

= "No bufat"

# Desactiva la depuració d'HPS

= "No bufat"

# Desactiva la inscripció PUF d'ID intrínsec

= "No bufat"

# Desactiva JTAG

= "No bufat"

# Desactiveu la clau de xifratge embolicada en PUF

= "No bufat"

# Desactiva la clau de xifratge del propietari a BBRAM = "No s'ha explotat"

# Desactiva la clau de xifratge del propietari a eFuses = "No es va explotar"

# Desactiva la clau pública arrel del propietari hash 0

= "No bufat"

# Desactiva la clau pública arrel del propietari hash 1

= "No bufat"

# Desactiva la clau pública arrel del propietari hash 2

= "No bufat"

# Desactiva els eFuses virtuals

= "No bufat"

# Força el rellotge SDM a l'oscil·lador intern = "No esclata"

# Força l'actualització de la clau de xifratge

= "No bufat"

# Cancel·lació de clau explícita d'Intel

= "0"

# Bloqueja els eFuses de seguretat

= "No bufat"

# Programa de claus de xifratge del propietari fet

= "No bufat"

# Inici del programa de claus de xifratge del propietari

= "No bufat"

# Cancel·lació explícita de clau del propietari 0

= ""

# Cancel·lació explícita de clau del propietari 1

= ""

# Cancel·lació explícita de clau del propietari 2

= ""

# Fusibles del propietari

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000"

# Hash de clau pública arrel del propietari 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Hash de clau pública arrel del propietari 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Hash de clau pública arrel del propietari 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Mida de la clau pública arrel del propietari

= "Cap"

# Comptador PTS

= "0"

# Base de comptador PTS

= "0"

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 30

Envia comentaris

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX

# Retard d'inici de QSPI # Comptador RMA # SDMIO0 és I2C # Comptador SVN A # Comptador SVN B # Comptador SVN C # Comptador SVN D

= “10ms” = “0” = “No esclatat” = “0” = “0” = “0” = “0”

Modifiqueu el .fusible file per configurar els fusibles de configuració de seguretat desitjats. Una línia que comença amb # es tracta com una línia de comentari. Per programar un fusible de configuració de seguretat, traieu el # inicial i configureu el valor a Blown. Per example, per habilitar el fusible de configuració de seguretat del firmware signat conjuntament, modifiqueu la primera línia del fusible file al següent:
Microprogramari signat conjuntament = "Blowed"

També podeu assignar i programar els fusibles del propietari en funció dels vostres requisits.
Podeu utilitzar l'ordre següent per realitzar una comprovació en blanc, programar i verificar la clau pública arrel del propietari:
quartus_pgm -c 1 -mjtag -o "ibpv;root0.qky"

Opcions · i: Carrega la imatge d'ajuda del microprogramari de subministrament al dispositiu. · b: realitza una comprovació en blanc per comprovar que els fusibles de configuració de seguretat desitjats no ho són
ja bufat. · p: Programa el fusible. · v: verifica la clau programada al dispositiu.
Després de programar el fitxer .qky file, podeu examinar la informació del fusible tornant a comprovar la informació del fusible per assegurar-vos que tant el hash de la clau pública del propietari com la mida de la clau pública del propietari tenen valors diferents de zero.
Tot i que els camps següents no es poden escriure mitjançant el .fuse file mètode, s'inclouen durant la sortida de l'operació d'examen per a la verificació: · El dispositiu no és segur · El dispositiu permet matar · Desactiva el hash de la clau pública arrel del propietari 0 · Desactiva el hash de la clau pública arrel del propietari 1 · Desactiva el hash de la clau pública arrel del propietari 2 · Cancel·lació de la clau Intel · Inici del programa de claus de xifratge del propietari · Programa de claus de xifratge del propietari finalitzat · Cancel·lació de la clau del propietari · Hash de la clau pública del propietari · Mida de la clau pública del propietari · Hash de la clau pública de l'arrel del propietari 0 · Hash de la clau pública de l'arrel del propietari 1 · Hash de la clau pública de l'arrel del propietari 2

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 31

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX
· Comptador PTS · Base del comptador PTS · Retard d'arrencada QSPI · Comptador RMA · SDMIO0 és I2C · Comptador SVN A · Comptador SVN B · Comptador SVN C · Comptador SVN D
Utilitzeu el programador Intel Quartus Prime per programar el .fuse file tornar al dispositiu. Si afegiu l'opció i, el programador carrega automàticament el microprogramari de subministrament per programar els fusibles de configuració de seguretat.
//Per a eFuses físics (no volàtils) quartus_pgm -c 1 -mjtag -o "pi;programació_file.fuse” –clau_no_volàtil
//Per a eFuses virtuals (volàtils) quartus_pgm -c 1 -mjtag -o "pi;programació_file.fusible"
Podeu utilitzar l'ordre següent per verificar si el hash de la clau arrel del dispositiu és el mateix que el .qky proporcionat a l'ordre:
quartus_pgm -c 1 -mjtag -o "v;root0_another.qky"
Si les claus no coincideixen, el programador falla amb un missatge d'error Operació fallada.
4.9. Provisió de clau arrel AES
Heu d'utilitzar un certificat compacte de clau arrel AES signat per programar una clau arrel AES a un dispositiu Intel Agilex 7.
4.9.1. Certificat compacte de clau arrel AES
Utilitzeu l'eina de línia d'ordres quartus_pfg per convertir la vostra clau arrel AES .qek file al format de certificat compacte .ccert. Especifiqueu la ubicació d'emmagatzematge de claus mentre creeu el certificat compacte. Podeu utilitzar l'eina quartus_pfg per crear un certificat sense signar per a la signatura posterior. Heu d'utilitzar una cadena de signatures amb el permís de signatura del certificat de clau arrel AES, bit de permís 6, habilitat per signar correctament un certificat compacte de clau arrel AES.

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 32

Envia comentaris

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX
1. Creeu un parell de claus addicional que s'utilitza per signar el certificat compacte de claus AES mitjançant una de les ordres següents, pamples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mecanisme ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. Creeu una cadena de signatura amb el bit de permís correcte configurat mitjançant una de les ordres següents:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Creeu un certificat compacte AES sense signar per a la ubicació d'emmagatzematge de claus arrel AES desitjada. Les següents opcions d'emmagatzematge de claus arrel AES estan disponibles:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Creeu un certificat sense signar de clau arrel AES d'eFuse quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Signeu el certificat compacte amb l'ordre quartus_sign o la implementació de referència.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.Cert signat_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 33

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.Cert signat_ 1.ccert
5. Utilitzeu el programador Intel Quartus Prime per programar el certificat compacte de clau arrel AES al dispositiu Intel Agilex 7 mitjançant JTAG. El programador Intel Quartus Prime programa per defecte eFuses virtuals quan utilitza el tipus de certificat compacte EFUSE_WRAPPED_AES_KEY.
Afegiu l'opció –non_volatile_key per especificar la programació de fusibles físics.
//Per a la clau arrel d'eFuse AES física (no volàtil) quartus_pgm -c 1 -mjtag -o “pi;signed_fuse1.ccert” –clau_no_volatil

//Per a la clau arrel AES d'eFuse virtual (volàtil) quartus_pgm -c 1 -mjtag -o "pi;signed_fuse1.ccert"

//Per a la clau arrel BBRAM AES quartus_pgm -c 1 -mjtag -o "pi;signed_bbram1.ccert"

El microprogramari de subministrament SDM i el microprogramari principal admeten la programació de certificats de clau arrel AES. També podeu utilitzar la interfície de la bústia de correu SDM del teixit FPGA o HPS per programar un certificat de clau arrel AES.

Nota:

L'ordre quartus_pgm no admet les opcions b i v per a certificats compactes (.ccert).

4.9.2. Aprovisionament de clau arrel d'ID intrínsec® PUF AES
La implementació de la clau AES embolicada PUF d'ID intrínsec inclou els passos següents: 1. Registre de la PUF d'ID intrínsec mitjançant JTAG. 2. Embolicant la clau arrel AES. 3. Programació de les dades de l'ajudant i la clau embolicada a la memòria flaix quad SPI. 4. Consultar l'estat d'activació del PUF d'ID intrínsec.
L'ús de la tecnologia d'ID intrínsec requereix un acord de llicència independent amb ID intrínsec. El programari Intel Quartus Prime Pro Edition restringeix les operacions PUF sense la llicència adequada, com ara la inscripció, l'embolcall de claus i la programació de dades PUF al flash QSPI.

4.9.2.1. Inscripció d'ID intrínsec PUF
Per registrar el PUF, heu d'utilitzar el microprogramari de subministrament SDM. El microprogramari de subministrament ha de ser el primer microprogramari carregat després d'un cicle d'engegada, i heu d'emetre l'ordre d'inscripció PUF abans de qualsevol altra ordre. El microprogramari de subministrament admet altres ordres després de la inscripció PUF, inclòs l'embolcall de la clau arrel AES i la programació de quad SPI, però, heu d'encendre el dispositiu per carregar un flux de bits de configuració.
Utilitzeu el programador Intel Quartus Prime per activar la inscripció PUF i generar les dades d'ajuda PUF .puf file.

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 34

Envia comentaris

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX

Figura 7.

Inscripció d'ID intrínsec PUF
quartus_pgm Matrícula PUF

Dades d'ajuda de la PUF d'inscripció

Gestor de dispositius segur (SDM)

wrapper.puf Dades d'ajuda
El programador carrega automàticament una imatge d'ajuda del microprogramari de subministrament quan especifiqueu tant l'operació i com un argument .puf.
quartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
Si utilitzeu un microprogramari signat conjuntament, programeu la imatge d'ajuda del microprogramari signat conjuntament abans d'utilitzar l'ordre d'inscripció PUF.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o "e;help_data.puf;AGFB014R24A"
L'UDS IID PUF està inscrit durant la fabricació del dispositiu i no està disponible per tornar-lo a registrar. En comptes d'això, utilitzeu el programador per determinar la ubicació de les dades d'ajuda UDS PUF a IPCS, descarregueu el .puf file directament i, a continuació, utilitzeu el fitxer UDS .puf file de la mateixa manera que el .puf file extret d'un dispositiu Intel Agilex 7.
Utilitzeu l'ordre del programador següent per generar un text file que conté una llista de URLs apunta a un dispositiu específic files a IPCS:
quartus_pgm -c 1 -mjtag -o "e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Embolcall de la clau arrel AES
Genereu la clau arrel AES embolicada en PUF IID .wkey file enviant un certificat signat a l'SDM.
Podeu utilitzar el programador Intel Quartus Prime per generar, signar i enviar automàticament el certificat per embolicar la vostra clau arrel AES, o podeu utilitzar la programació Intel Quartus Prime File Generador per generar un certificat sense signar. Signeu el certificat sense signar amb les vostres pròpies eines o l'eina de signatura de Quartus. A continuació, utilitzeu el programador per enviar el certificat signat i embolicar la vostra clau arrel AES. El certificat signat es pot utilitzar per programar tots els dispositius que poden validar la cadena de signatura.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 35

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX

Figura 8.

Embolcall de la clau AES amb el programador Intel Quartus Prime
.pem Privat
clau

.qky

quartus_pgm

Embolica la clau AES

Clau AES.QSKigYnature RootCPhuabilnic

Genereu la clau embolicada PUF

Clau AES embolicada

SDM

Xifratge .qek
clau

.wkey Embolcallat amb PUF
Clau AES

1. Podeu generar la clau arrel AES embolicada en PUF IID (.wkey) amb el programador utilitzant els arguments següents:
· El .qky file que conté una cadena de signatures amb permís de certificat de clau arrel AES
· El .pem privat file per a l'última clau de la cadena de signatura
· El .qek file mantenint la clau arrel AES
· El vector d'inicialització de 16 bytes (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Alternativament, podeu generar un certificat de clau arrel AES d'IID PUF sense signar amb la programació. File Generador amb els arguments següents:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Signeu el certificat sense signar amb les vostres pròpies eines de signatura o l'eina quartus_sign amb l'ordre següent:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. A continuació, utilitzeu el programador per enviar el certificat AES signat i retornar la clau embolicada (.wkey) file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

Nota: L'operació i no és necessària si prèviament heu carregat la imatge d'ajuda del firmware de subministrament, per exempleample, per matricular la PUF.

4.9.2.3. Dades d'ajudant de programació i clau embolicada a la memòria flash QSPI
Utilitzeu la programació Quartus File Interfície gràfica del generador per crear una imatge flash QSPI inicial que conté una partició PUF. Heu de generar i programar una imatge de programació flash sencera per afegir una partició PUF al flaix QSPI. Creació de la PUF

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 36

Envia comentaris

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX

Figura 9.

partició de dades i ús de les dades d'ajuda PUF i la clau embolicada files per a la generació d'imatges flash no és compatible amb la programació File Interfície de línia d'ordres del generador.
Els passos següents mostren la creació d'una imatge de programació flash amb les dades d'ajuda PUF i la clau embolicada:
1. A la File menú, feu clic a Programació File Generador. A la sortida Files, feu les seleccions següents:
a. Per a Família de dispositius, seleccioneu Agilex 7.
b. Per al mode de configuració, seleccioneu Active Serial x4.
c. Per al directori de sortida, busqueu la vostra sortida file directori. Aquest exampel fitxer utilitza output_files.
d. A Nom, especifiqueu un nom per a la programació file a generar. Aquest exampel fitxer utilitza output_file.
e. A Descripció, seleccioneu la programació files generar. Aquest example genera el JTAG Configuració indirecta File (.jic) per a la configuració del dispositiu i el Raw Binary File de la imatge d'ajuda de programació (.rbf) per a la imatge d'ajuda del dispositiu. Aquest exampli també selecciona el mapa de memòria opcional File (.map) i dades de programació en brut File (.rpd). Les dades de programació en brut file només és necessari si teniu previst utilitzar un programador de tercers en el futur.
Programació File Generador – Sortida Files Pestanya: seleccioneu JTAG Configuració indirecta

Mode de configuració de la família de dispositius
Sortida file pestanya
Directori de sortida
JTAG Mapa de memòria indirecte (.jic). File Ajudant de programació Dades de programació en brut
A l'entrada Files, feu les seleccions següents: 1. Feu clic a Afegeix Bitstream i navegueu fins al vostre .sof. 2. Seleccioneu el vostre .sof file i després feu clic a Propietats.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 37

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX
a. Activeu Habilita l'eina de signatura. b. Per a la clau privada file seleccioneu el vostre .pem file. c. Activa Finalitza el xifratge. d. Per a la clau de xifratge file seleccioneu el vostre .qek file. e. Feu clic a D'acord per tornar a la finestra anterior. 3. Per especificar les vostres dades d'ajuda PUF file, feu clic a Afegeix dades en brut. Canvia el Files de tipus menú desplegable a Quartus Physical Unclonable Function File (*.puf). Navegueu al vostre .puf file. Si utilitzeu tant l'IID PUF com l'UDS IID PUF, repetiu aquest pas perquè .puf files per a cada PUF s'afegeixen com a entrada files. 4. Per especificar la clau AES embolicada file, feu clic a Afegeix dades en brut. Canvia el Files de tipus menú desplegable a Quartus Wrapped Key File (*.wkey). Navegueu fins al vostre .wkey file. Si heu embolicat claus AES utilitzant tant l'IID PUF com l'UDS IID PUF, repetiu aquest pas perquè .wkey files per a cada PUF s'afegeixen com a entrada files.
Figura 10. Especifiqueu l'entrada Files per a la configuració, l'autenticació i el xifratge

Afegeix Bitstream Afegeix dades en brut
Propietats
Clau privada file
Finalitza el xifratge Clau de xifratge
A la pestanya Dispositiu de configuració, feu les seleccions següents: 1. Feu clic a Afegeix un dispositiu i seleccioneu el vostre dispositiu flaix de la llista de flaix disponibles.
dispositius. 2. Seleccioneu el dispositiu de configuració que acabeu d'afegir i feu clic a Afegeix una partició. 3. Al quadre de diàleg Edita la partició de l'entrada file i seleccioneu el vostre .sof del
llista desplegable. Podeu conservar els valors predeterminats o editar els altres paràmetres al quadre de diàleg Edita la partició.

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 38

Envia comentaris

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX
Figura 11. Especificació de la vostra partició Bitstream de configuració .sof

Dispositiu de configuració
Edita la partició Afegeix .sof file

Afegeix una partició

4. Quan afegiu les tecles .puf i .wkey com a entrada files, la Programació File Generator crea automàticament una partició PUF al vostre dispositiu de configuració. Per emmagatzemar les claus .puf i .wkey a la partició PUF, seleccioneu la partició PUF i feu clic a Edita. Al quadre de diàleg Edita la partició, seleccioneu el vostre .puf i .wkey files de les llistes desplegables. Si elimineu la partició PUF, haureu d'eliminar i tornar a afegir el dispositiu de configuració per a la programació File Generador per crear una altra partició PUF. Heu d'assegurar-vos que seleccioneu els .puf i .wkey correctes file per a l'IID PUF i UDS IID PUF, respectivament.
Figura 12. Afegiu les tecles .puf i .wkey files a la partició PUF

Partició PUF

Edita

Edita la partició

Flash Loader

Seleccioneu Generar

5. Per al paràmetre Flash Loader, seleccioneu la família de dispositius Intel Agilex 7 i el nom del dispositiu que coincideix amb el vostre OPN Intel Agilex 7.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 39

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX
6. Feu clic a Genera per generar la sortida files que heu especificat a la sortida Filepestanya s.
7. La Programació File Generator llegeix el vostre .qek file i us demana la vostra frase de contrasenya. Escriviu la vostra frase de contrasenya en resposta a la sol·licitud Introduïu la frase de contrasenya QEK. Feu clic a la tecla Enter.
8. Premeu D'acord quan aparegui Programació File El generador informa d'una generació exitosa.
Utilitzeu el programador Intel Quartus Prime per escriure la imatge de programació QSPI a la memòria flash QSPI. 1. Al menú Intel Quartus Prime Tools, seleccioneu Programador. 2. Al Programador, feu clic a Configuració del maquinari i, a continuació, seleccioneu un Intel connectat
Cable de descàrrega FPGA. 3. Feu clic a Afegeix File i navegueu al vostre .jic file.
Figura 13. Programa .jic

Programació file

Programa/Configura

JTAG cadena d'escaneig
4. Desmarqueu la casella associada a la imatge de l'Ajudant. 5. Seleccioneu Programa/Configura per a la sortida .jic file. 6. Enceneu el botó d'inici per programar la vostra memòria flash quad SPI. 7. Engegueu el tauler. El disseny programat a la memòria flaix quad SPI
El dispositiu es carrega posteriorment a l'FPGA objectiu.
Heu de generar i programar una imatge de programació flash sencera per afegir una partició PUF al flaix SPI quad.
Quan ja existeix una partició PUF al flaix, és possible utilitzar el programador Intel Quartus Prime per accedir directament a les dades d'ajuda PUF i la clau embolicada. files. Per exampsi l'activació no té èxit, és possible tornar a registrar el PUF, tornar a embolicar la clau AES i, posteriorment, només programar el PUF files sense haver de sobreescriure tot el flaix.

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 40

Envia comentaris

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX
El programador Intel Quartus Prime admet el següent argument d'operació per a PUF files en una partició PUF preexistent:
· p: programa
· v: verificar
· r: esborrar
· b: xec en blanc
Heu de seguir les mateixes restriccions per a la inscripció PUF, encara que hi hagi una partició PUF.
1. Utilitzeu l'argument d'operació i per carregar la imatge d'ajuda del firmware de subministrament per a la primera operació. Per example, la següent seqüència d'ordres torna a registrar el PUF, torna a embolicar la clau arrel AES, esborra les dades d'ajuda PUF i la clau embolicada i, a continuació, programa i verifica les noves dades d'ajuda PUF i la clau arrel AES.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o "v;new.wkey"
4.9.2.4. Consulta de l'estat d'activació del PUF d'ID intrínsec
Després d'inscriure l'ID intrínsec PUF, emboliqueu una clau AES i genereu la programació flash filei actualitzeu el flaix quad SPI, engegueu el dispositiu per activar l'activació i la configuració de PUF des del flux de bits xifrat. L'SDM informa de l'estat d'activació del PUF juntament amb l'estat de configuració. Si l'activació del PUF falla, l'SDM informarà de l'estat d'error del PUF. Utilitzeu l'ordre quartus_pgm per consultar l'estat de configuració.
1. Utilitzeu l'ordre següent per consultar l'estat d'activació:
quartus_pgm -c 1 -mjtag –status –status_type="CONFIG"
Aquí hi ha sampSortida del fitxer d'una activació correcta:
Informació (21597): la resposta del dispositiu CONFIG_STATUS s'està executant en mode d'usuari 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Versió C000007B MSEL=QSPI_NORMAL, nCONFIG=1, nCONFIG=1, nCONFIG=1, nCONFIG=XNUMX,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Localització de l'error 00000000 Detalls de l'error Resposta de PUF_STATUS 00002000 2 RESPONS_00000500-XNUMX STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 41

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX

Si només utilitzeu l'IID PUF o l'UDS IID PUF i no heu programat cap .puf de dades d'ajuda file per a qualsevol PUF al flash QSPI, aquest PUF no s'activa i l'estat del PUF reflecteix que les dades d'ajuda del PUF no són vàlides. El següent exampel fitxer mostra l'estat del PUF quan les dades d'ajuda del PUF no es van programar per a cap PUF:
Resposta de PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Ubicació del PUF a la memòria flash
La ubicació de la PUF file és diferent per als dissenys que admeten RSU i els dissenys que no admeten la funció RSU.

Per als dissenys que no admeten RSU, heu d'incloure el .puf i el .wkey files quan creeu imatges flash actualitzades. Per als dissenys que admeten RSU, l'SDM no sobreescriu les seccions de dades PUF durant les actualitzacions de la imatge de fàbrica o de l'aplicació.

Taula 2.

Disseny de subparticions Flash sense suport RSU

Desplaçament del flaix (en bytes)

Mida (en bytes)

Continguts

Descripció

0K 256K

256K 256K

Firmware de gestió de la configuració Firmware de gestió de la configuració

Firmware que s'executa amb SDM.

512K

256K

Firmware de gestió de configuració

768K

256K

Firmware de gestió de configuració

32K

Còpia de dades PUF 0

Estructura de dades per emmagatzemar dades d'ajuda PUF i còpia de clau arrel AES embolicada en PUF 0

1 M+32 XNUMX

32K

Còpia de dades PUF 1

Estructura de dades per emmagatzemar dades d'ajuda PUF i còpia de clau arrel AES embolicada en PUF 1

Taula 3.

Disseny de subparticions Flash amb suport RSU

Desplaçament del flaix (en bytes)

Mida (en bytes)

Continguts

Descripció

0K 512K

512K 512K

Decision firmware Decision firmware

Firmware per identificar i carregar la imatge de màxima prioritat.

1M 1.5M

512K 512K

Decision firmware Decision firmware

8K + 24K

Dades de firmware de decisió

Encoixinat

Reservat per a l'ús del firmware Decision.

2 M + 32 K

32K

Reservat per a SDM

Reservat per a SDM.

2 M + 64 K

Variable

Imatge de fàbrica

Una imatge senzilla que creeu com a còpia de seguretat si no es carreguen totes les altres imatges de l'aplicació. Aquesta imatge inclou el CMF que s'executa a l'SDM.

A continuació

32K

Còpia de dades PUF 0

Estructura de dades per emmagatzemar dades d'ajuda PUF i còpia de clau arrel AES embolicada en PUF 0
continuat…

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 42

Envia comentaris

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX

Desplaçament del flaix (en bytes)

Mida (en bytes)

Següent +32K 32K

Contingut Còpia de dades PUF 1

Següent + 256K 4K Següent +32K 4K Següent +32K 4K

Còpia de la taula de subparticions 0 Còpia de la taula de subparticions 1 Còpia del bloc de punter CMF 0

Següent +32K _

Còpia del bloc de punter CMF 1

Variable Variable

Imatge de l'aplicació 1 Imatge de l'aplicació 2

4.9.3. Provisió de clau negra

Descripció
Estructura de dades per emmagatzemar dades d'ajuda PUF i còpia de clau arrel AES embolicada en PUF 1
Estructura de dades per facilitar la gestió de l'emmagatzematge flash.
Una llista de punters a les imatges de l'aplicació per ordre de prioritat. Quan afegiu una imatge, aquesta esdevé la més alta.
Una segona còpia de la llista de punters a imatges de l'aplicació.
La teva primera imatge de l'aplicació.
La vostra segona imatge de l'aplicació.

Nota:

L'Intel Quartus PrimeProgrammer ajuda a establir una connexió segura mútuament autenticada entre el dispositiu Intel Agilex 7 i el servei de subministrament de clau negra. La connexió segura s'estableix mitjançant https i requereix diversos certificats identificats mitjançant un text file.
Quan utilitzeu Black Key Provisioning, Intel recomana que eviteu connectar externament el pin TCK per tirar cap amunt o baixar una resistència mentre encara la feu servir per a J.TAG. Tanmateix, podeu connectar el pin TCK a la font d'alimentació VCCIO SDM mitjançant una resistència de 10 k. S'inclou la guia existent a les directrius de connexió de pins per connectar TCK a una resistència desplegable d'1 k per a la supressió del soroll. El canvi en la guia a una resistència pull-up de 10 k no afecta el dispositiu funcionalment. Per obtenir més informació sobre la connexió del pin TCK, consulteu les directrius de connexió de 7 pins d'Intel Agilex.
Thebkp_tls_ca_certcertificate autentica la vostra instància de servei de subministrament de clau negra a la vostra instància de programador de subministrament de clau negra. Els certificats bkp_tls_*autentiquen la vostra instància de programador de subministrament de clau negra a la vostra instància de servei de subministrament de clau negra.
Creeu un text file que conté la informació necessària perquè el programador Intel Quartus Prime es connecti al servei de subministrament de clau negra. Per iniciar l'aprovisionament de la clau negra, utilitzeu la interfície de línia d'ordres del programador per especificar el text de les opcions d'aprovisionament de la clau negra file. L'aprovisionament de la clau negra continuarà automàticament. Per accedir al servei de subministrament de clau negra i a la documentació associada, poseu-vos en contacte amb el suport d'Intel.
Podeu habilitar l'aprovisionament de la clau negra mitjançant l'ordre quarttus_pgm:
quartus_pgm -c -m -dispositiu –bkp_options=bkp_options.txt
Els arguments de l'ordre especifiquen la informació següent:

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 43

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX

· -c: número de cable · -m: especifica el mode de programació com ara JTAG · –dispositiu: especifica un índex de dispositiu al JTAG cadena. El valor per defecte és 1. · –bkp_options: especifica un text file que conté opcions de subministrament de clau negra.
Informació relacionada Directrius de connexió de pins de la família de dispositius Intel Agilex 7

4.9.3.1. Opcions d'aprovisionament de clau negra
Les opcions de subministrament de clau negra és un text file passat al programador mitjançant l'ordre quartus_pgm. El file conté la informació necessària per activar el subministrament de clau negra.
El següent és un exampfitxer del fitxer bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.prog_key.pem_tls_tls = bkp_proxy_1234_tls = bkp_proxy_192.167.5.5_tls = bkp_prog_5000 ://XNUMX:XNUMX bkp_proxy_user = usuari_proxy bkp_proxy_password = contrasenya_proxy

Taula 4.

Opcions d'aprovisionament de clau negra
Aquesta taula mostra les opcions necessàries per activar el subministrament de clau negra.

Nom de l'opció

Tipus

Descripció

bkp_ip

Obligatori

Especifica l'adreça IP del servidor que executa el servei de subministrament de clau negra.

bkp_port

Obligatori

Especifica el port de servei de subministrament de clau negra necessari per connectar-se al servidor.

bkp_cfg_id

Obligatori

Identifica l'ID de flux de configuració de subministrament de clau negra.
El servei de subministrament de clau negra crea els fluxos de configuració de subministrament de clau negra, inclosa una clau arrel AES, la configuració desitjada d'eFuse i altres opcions d'autorització de subministrament de clau negra. El número assignat durant la configuració del servei de subministrament de clau negra identifica els fluxos de configuració de subministrament de clau negra.
Nota: És possible que diversos dispositius facin referència al mateix flux de configuració del servei de subministrament de clau negra.

bkp_tls_ca_cert

Obligatori

El certificat TLS arrel utilitzat per identificar els serveis de subministrament de clau negra al programador Intel Quartus Prime (programador). Una autoritat de certificació de confiança per a la instància del servei de subministrament de clau negra emet aquest certificat.
Si executeu el programador en un ordinador amb sistema operatiu Microsoft® Windows® (Windows), heu d'instal·lar aquest certificat al magatzem de certificats de Windows.

bkp_tls_prog_cert

Obligatori

Un certificat creat per a la instància del programador de subministrament de clau negra (programador BKP). Aquest és el certificat de client https utilitzat per identificar aquesta instància de programador BKP
continuat…

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 44

Envia comentaris

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX

Nom de l'opció

Tipus

bkp_tls_prog_key

Obligatori

bkp_tls_prog_key_pass Opcional

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Opcional Opcional Opcional

Descripció
al servei de subministrament de clau negra. Heu d'instal·lar i autoritzar aquest certificat al servei de subministrament de clau negra abans d'iniciar una sessió de subministrament de clau negra. Si executeu el programador a Windows, aquesta opció no està disponible. En aquest cas, la bkp_tls_prog_key ja inclou aquest certificat.
La clau privada corresponent al certificat de programador BKP. La clau valida la identitat de la instància del programador BKP amb el servei de subministrament de clau negra. Si executeu el programador a Windows, el fitxer .pfx file combina el certificat bkp_tls_prog_cert i la clau privada. L'opció bkp_tlx_prog_key passa el .pfx file al bkp_options.txt file.
La contrasenya de la clau privada bkp_tls_prog_key. No és necessari al text de les opcions de configuració de subministrament de clau negra (bkp_options.txt). file.
Especifica el servidor intermediari URL adreça.
Especifica el nom d'usuari del servidor intermediari.
Especifica la contrasenya d'autenticació del servidor intermediari.

4.10. Convertint la clau arrel del propietari, els certificats de la clau arrel AES i el fusible files a Jam STAPL File Formats

Podeu utilitzar l'ordre de línia d'ordres quartus_pfg per convertir .qky, clau arrel AES .ccert i .fuse files to Jam Format STAPL File (.jam) i Jam Byte Code Format File (.jbc). Podeu utilitzar aquests files per programar FPGA Intel mitjançant Jam STAPL Player i Jam STAPL Byte-Code Player, respectivament.

Un únic .jam o .jbc conté diverses funcions, com ara una configuració i un programa d'imatge d'ajuda del microprogramari, comprovació en blanc i verificació de la programació de claus i fusibles.

Precaució:

Quan convertiu la clau arrel AES .ccert file al format .jam, el format .jam file conté la clau AES en text pla però en forma ofuscada. En conseqüència, heu de protegir el fitxer .jam file quan emmagatzemeu la clau AES. Podeu fer-ho proporcionant la clau AES en un entorn segur.

Aquí hi ha exampfitxers d'ordres de conversió quartus_pfg:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky.qky.” quartus_pfg2.qky.jp c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A Configuració de l'ajuda -quart_fusefuse. Configuració AGFB014R24A. fusible settings_fuse.jbc

Per obtenir més informació sobre l'ús del reproductor Jam STAPL per a la programació de dispositius, consulteu AN 425: Ús de la solució Jam STAPL de la línia d'ordres per a la programació de dispositius.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 45

4. Aprovisionament del dispositiu 683823 | 2023.05.23/XNUMX/XNUMX
Executeu les ordres següents per programar la clau pública arrel del propietari i la clau de xifratge AES:
//Per carregar el flux de bits auxiliar a l'FPGA. // El flux de bits auxiliar inclou el microprogramari de subministrament quartus_jli -c 1 -a CONFIGURA RootKey.jam
//Per programar la clau pública arrel del propietari a eFuses virtuals quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Per programar la clau pública arrel del propietari a eFuses físics quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Per programar la clau pública arrel del propietari del PR a eFuses virtuals quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Per programar la clau pública arrel del propietari del PR a eFuses físics quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Per programar la clau de xifratge AES CCERT a BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Per programar la clau de xifratge AES CCERT en eFuses físics quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Informació relacionada AN 425: Ús de la solució STAPL d'embús de línia d'ordres per a la programació de dispositius

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 46

Envia comentaris

683823 | 2023.05.23/XNUMX/XNUMX Envia comentaris

Funcions avançades

5.1. Autorització de depuració segura
Per habilitar l'autorització de depuració segura, el propietari de la depuració ha de generar un parell de claus d'autenticació i utilitzar el programador Intel Quartus Prime Pro per generar la informació del dispositiu. file per al dispositiu que executa la imatge de depuració:
quartus_pgm -c 1 -mjtag -o "ei;device_info.txt;AGFB014R24A" -dev_info
El propietari del dispositiu utilitza l'eina quartus_sign o la implementació de referència per afegir una entrada de clau pública condicional a una cadena de signatura destinada a operacions de depuració mitjançant la clau pública del propietari de la depuració, les autoritzacions necessàries, el text d'informació del dispositiu. file, i les restriccions addicionals aplicables:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″=,XNUMX_pem debug_authorization_public_key.pem secure_debug_auth_chain.qky
El propietari del dispositiu torna a enviar la cadena de signatures completa al propietari de la depuració, que utilitza la cadena de signatura i la seva clau privada per signar la imatge de depuració:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Podeu utilitzar l'ordre quartus_pfg per inspeccionar la cadena de signatura de cada secció d'aquest flux de bits de depuració segura signada de la manera següent:
quartus_pfg –check_integrity authorized_debug_design.rbf
La sortida d'aquesta ordre imprimeix els valors de restricció 1,2,17,18 de la clau pública condicional que es va utilitzar per generar el flux de bits signat.
El propietari de la depuració pot programar el disseny de depuració autoritzat de manera segura:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
El propietari del dispositiu pot revocar l'autorització de depuració segura cancel·lant l'identificador explícit de cancel·lació de clau assignat a la cadena de signatura d'autorització de depuració segura.
5.2. Certificats de depuració d'HPS
Habilitant només l'accés autoritzat al port d'accés de depuració d'HPS (DAP) mitjançant JTAG La interfície requereix diversos passos:

Registre ISO 9001:2015

5. Funcions avançades 683823 | 2023.05.23/XNUMX/XNUMX
1. Feu clic al menú Assignacions del programari Intel Quartus Prime i seleccioneu la pestanya Device Device and Pin Options Configuration.
2. A la pestanya Configuració, activeu el port d'accés de depuració d'HPS (DAP) seleccionant Pins HPS o Pins SDM al menú desplegable i assegurant-vos que la casella de selecció Permetre la depuració d'HPS sense certificats no estigui seleccionada.
Figura 14. Especifiqueu els pins HPS o SDM per a l'HPS DAP

Port d'accés de depuració d'HPS (DAP)
Alternativament, podeu definir l'assignació a continuació a la configuració de Quartus Prime .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE "SDM PINS"
3. Compileu i carregueu el disseny amb aquests paràmetres. 4. Creeu una cadena de signatures amb els permisos adequats per signar una depuració d'HPS
certificat:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_chain
5. Sol·liciteu un certificat de depuració HPS sense signar al dispositiu on es carrega el disseny de depuració:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. Signeu el certificat de depuració d'HPS sense signar mitjançant l'eina quartus_sign o la implementació de referència i la cadena de signatura de depuració d'HPS:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 48

Envia comentaris

5. Funcions avançades 683823 | 2023.05.23/XNUMX/XNUMX
7. Torneu a enviar el certificat de depuració d'HPS signat al dispositiu per habilitar l'accés al port d'accés de depuració d'HPS (DAP):
quartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
El certificat de depuració d'HPS només és vàlid des del moment en què es va generar fins al següent cicle d'engegada del dispositiu o fins que es carregui un tipus o versió diferent de microprogramari SDM. Heu de generar, signar i programar el certificat de depuració d'HPS signat i realitzar totes les operacions de depuració abans d'encendre el dispositiu. Podeu invalidar el certificat de depuració d'HPS signat apagant el dispositiu.
5.3. Acreditació de la plataforma
Podeu generar un manifest d'integritat de referència (.rim) file utilitzant la programació file eina generadora:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Seguiu aquests passos per assegurar-vos que l'acreditació de la plataforma al vostre disseny: 1. Utilitzeu el programador Intel Quartus Prime Pro per configurar el vostre dispositiu amb el
disseny per al qual heu creat un manifest d'integritat de referència. 2. Utilitzeu un verificador d'acreditació de plataforma per inscriure el dispositiu emetent ordres al
SDM mitjançant la bústia SDM per crear el certificat d'identificació del dispositiu i el certificat de microprogramari en tornar a carregar. 3. Utilitzeu el programador Intel Quartus Prime Pro per reconfigurar el vostre dispositiu amb el disseny. 4. Utilitzeu el verificador d'acreditació de la plataforma per emetre ordres a l'SDM per obtenir l'identificador del dispositiu d'acreditació, el microprogramari i els certificats d'àlies. 5. Utilitzeu el verificador d'acreditació per emetre l'ordre de bústia de correu SDM per obtenir l'evidència de l'atestació i el verificador comprova les proves retornades.
Podeu implementar el vostre propi servei de verificador mitjançant les ordres de la bústia de correu SDM o utilitzar el servei de verificador d'acreditació de la plataforma Intel. Per obtenir més informació sobre el programari de servei del verificador d'acreditació de la plataforma Intel, la disponibilitat i la documentació, poseu-vos en contacte amb el suport d'Intel.
Informació relacionada Directrius de connexió de pins de la família de dispositius Intel Agilex 7
5.4. Físic Anti-Tamper
Habilita l'anti-t físicampUtilitzeu els passos següents: 1. Seleccioneu la resposta desitjada a un t detectatamper esdeveniment 2. Configuració del t desitjatamper mètodes i paràmetres de detecció 3. Incloent l'anti-tamper IP a la vostra lògica de disseny per ajudar a gestionar anti-tamper
esdeveniments

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 49

5. Funcions avançades 683823 | 2023.05.23/XNUMX/XNUMX
5.4.1. Anti-Tamper Respostes
Activeu l'anti-t físicamper seleccionant una resposta de l'anti-tamper resposta: llista desplegable a l'Assignacions Dispositiu Opcions de dispositiu i PIN Seguretat Anti-Tamppestanya. Per defecte, l'anti-tampLa seva resposta està desactivada. Cinc categories d'anti-tampLa resposta està disponible. Quan seleccioneu la resposta desitjada, s'habilitaran les opcions per habilitar un o més mètodes de detecció.
Figura 15. Anti-T disponibleamper Opcions de resposta

L'assignació corresponent a la configuració de Quartus Prime .gsf file és el següent:
set_global_assignment -name ANTI_TAMPER_RESPONSE "ESBORRA EL DISPOSITIU DE NOTIFICACIONS, BLOQUEAT I POSADA A ZERO DEL DISPOSITIU"
Quan activeu un anti-tampCom a resposta, podeu triar dos pins d'E/S dedicats SDM disponibles per donar sortida al tampPer a la detecció d'esdeveniments i l'estat de resposta, utilitzeu la finestra Opcions de configuració del pin de configuració del dispositiu i del dispositiu d'assignacions.

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 50

Envia comentaris

5. Funcions avançades 683823 | 2023.05.23/XNUMX/XNUMX
Figura 16. Pins d'E/S dedicats SDM disponibles per a Tamper Detecció d'esdeveniments

També podeu fer les assignacions de pins següents a la configuració file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Detecció

Podeu activar individualment la freqüència, la temperatura i el volumtage característiques de detecció de l'SDM. La detecció d'FPGA depèn d'incloure l'Anti-Tamper Lite Intel FPGA IP al vostre disseny.

Nota:

SDM freqüència i voltagetampEls mètodes de detecció depenen de les referències internes i del maquinari de mesura que poden variar segons els dispositius. Intel recomana caracteritzar el comportament de tamper la configuració de detecció.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 51

5. Funcions avançades 683823 | 2023.05.23/XNUMX/XNUMX
Freqüència tampLa detecció opera a la font del rellotge de configuració. Per habilitar la freqüència tampDesprés de la detecció, heu d'especificar una opció diferent de l'oscil·lador intern al menú desplegable Configuració de la font del rellotge a la pestanya General de dispositius i pins d'assignacions. Heu d'assegurar-vos que la casella de selecció Executar la configuració de la CPU des de l'oscil·lador intern estigui activada abans d'habilitar la freqüència tampper detecció. Figura 17. Configuració de l'SDM a Oscil·lador intern
Per habilitar la freqüència tampDesprés de la detecció, seleccioneu Habilita la freqüència tamper la casella de selecció de detecció i seleccioneu la freqüència t desitjadaamper rang de detecció des del menú desplegable. Figura 18. Habilitació de la freqüència Tamper Detecció

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 52

Envia comentaris

5. Funcions avançades 683823 | 2023.05.23/XNUMX/XNUMX
Alternativament, podeu activar la freqüència Tamper Detecció fent els canvis següents a la configuració de Quartus Prime .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -name ENABLETFREQUEQUEAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Per habilitar la temperatura tampDesprés de la detecció, seleccioneu Habilita temperatura tamper la casella de selecció de detecció i seleccioneu els límits superior i inferior de temperatura desitjat als camps corresponents. Els límits superior i inferior s'omplen de manera predeterminada amb l'interval de temperatura relacionat per al dispositiu seleccionat al disseny.
Per habilitar el voltagetampDesprés de la detecció, seleccioneu una o les dues opcions Habilita VCCL voltagetamper detecció o activar VCCL_SDM voltagetamper les caselles de detecció i seleccioneu el Voltagetamper activador de detecció percentatgetage al camp corresponent.
Figura 19. Habilitació Voltagi Tamper Detecció

Alternativament, podeu habilitar Voltagi Tamper Detecció especificant les assignacions següents al fitxer .qsf file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ACTIVAT
5.4.3. Anti-Tamper Lite Intel FPGA IP
L'Anti-Tamper Lite Intel FPGA IP, disponible al catàleg IP al programari Intel Quartus Prime Pro Edition, facilita la comunicació bidireccional entre el vostre disseny i l'SDM per aampels esdeveniments.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 53

Figura 20. Anti-Tamper Lite Intel FPGA IP

5. Funcions avançades 683823 | 2023.05.23/XNUMX/XNUMX

La IP proporciona els senyals següents que us connecteu al vostre disseny segons sigui necessari:

Taula 5.

Anti-TampSenyals d'E/S IP FPGA Intel Lite

Nom del senyal

Direcció

Descripció

gpo_sdm_at_event gpi_fpga_at_event

Entrada de sortida

Senyal SDM a la lògica de teixit FPGA que un SDM ha detectatamper esdeveniment. La lògica FPGA té aproximadament 5 ms per realitzar qualsevol neteja desitjada i respondre a l'SDM mitjançant gpi_fpga_at_response_done i gpi_fpga_at_zeroization_done. El SDM continua amb el tampAccions de resposta quan s'afirma gpi_fpga_at_response_done o després que no s'ha rebut cap resposta en el temps assignat.
FPGA interrupció a SDM que el vostre anti-t dissenyatamper circuit de detecció ha detectat aamper esdeveniment i el SDM tampS'hauria d'activar la resposta.

gpi_fpga_at_response_done

Entrada

FPGA interromp a SDM que la lògica FPGA ha realitzat la neteja desitjada.

gpi_fpga_at_zeroization_d un

Entrada

FPGA senyal a SDM que la lògica FPGA ha completat qualsevol zeroització desitjada de les dades de disseny. Aquest senyal és sampconduït quan s'afirma gpi_fpga_at_response_done.

5.4.3.1. Informació de publicació

El número de l'esquema de versions IP (XYZ) canvia d'una versió de programari a una altra. Un canvi en:
· X indica una revisió important de la IP. Si actualitzeu el vostre programari Intel Quartus Prime, heu de regenerar la IP.
· Y indica que la IP inclou funcions noves. Regenera la teva IP per incloure aquestes noves funcions.
· Z indica que la IP inclou canvis menors. Regenera la teva IP per incloure aquests canvis.

Taula 6.

Anti-TampInformació de llançament d'IP Intel FPGA Lite

Versió IP

Item

Descripció 20.1.0

Versió Intel Quartus Prime

21.2

Data de llançament

2021.06.21

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 54

Envia comentaris

5. Funcions avançades 683823 | 2023.05.23/XNUMX/XNUMX
5.5. Ús de les funcions de seguretat de disseny amb l'actualització remota del sistema
L'actualització del sistema remot (RSU) és una característica d'Intel Agilex 7 FPGA que ajuda a actualitzar la configuració files d'una manera robusta. RSU és compatible amb funcions de seguretat de disseny, com ara l'autenticació, la signatura conjunta del microprogramari i el xifratge de flux de bits, ja que RSU no depèn del contingut del disseny dels fluxos de bits de configuració.
Construcció d'imatges RSU amb .sof Files
Si esteu emmagatzemant claus privades al vostre local filesistema, podeu generar imatges RSU amb funcions de seguretat de disseny mitjançant un flux simplificat amb .sof files com a entrades. Per generar imatges RSU amb el fitxer .sof file, podeu seguir les instruccions de la secció Generació d'una imatge d'actualització del sistema remot Files Ús de la programació File Generador de la Guia d'usuari de configuració d'Intel Agilex 7. Per a cada .sof file especificat a l'entrada Files, feu clic al botó Propietats... i especifiqueu la configuració i les claus adequades per a les eines de signatura i xifratge. La programació file L'eina generadora signa i xifra automàticament les imatges de fàbrica i d'aplicacions mentre crea la programació RSU files.
Alternativament, si esteu emmagatzemant claus privades en un HSM, heu d'utilitzar l'eina quartus_sign i, per tant, utilitzar .rbf files. La resta d'aquesta secció detalla els canvis en el flux per generar imatges RSU amb .rbf files com a entrades. Heu de xifrar i signar en format .rbf files abans de seleccionar-los com a entrada files per a imatges RSU; tanmateix, la informació d'arrencada RSU file no s'ha d'encriptar i només s'ha de signar. La Programació File El generador no admet la modificació de propietats del format .rbf files.
El següent exampels mostren les modificacions necessàries a les ordres de la secció Generació d'una imatge d'actualització del sistema remot Files Ús de la programació File Generador de la Guia d'usuari de configuració d'Intel Agilex 7.
Generació de la imatge RSU inicial amb .rbf Files: Modificació d'ordres
Des de la generació de la imatge RSU inicial mitjançant .rbf Files, modifiqueu les ordres del pas 1. per habilitar les característiques de seguretat del disseny com vulgueu mitjançant les instruccions de les seccions anteriors d'aquest document.
Per example, especificaríeu un microprogramari signat file si utilitzeu la cosignatura de microprogramari, feu servir l'eina de xifratge Quartus per xifrar cada .rbf filei, finalment, utilitzeu l'eina quartus_sign per signar cadascun file.
Al pas 2, si heu habilitat la signatura conjunta del microprogramari, heu d'utilitzar una opció addicional en la creació del .rbf d'arrencada des de la imatge de fàbrica file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Després de crear la informació d'arrencada .rbf file, utilitzeu l'eina quartus_sign per signar el .rbf file. No heu de xifrar la informació d'arrencada .rbf file.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 55

5. Funcions avançades 683823 | 2023.05.23/XNUMX/XNUMX
Generació d'una imatge d'aplicació: modificació d'ordres
Per generar una imatge d'aplicació amb funcions de seguretat de disseny, modifiqueu l'ordre a Generació d'una imatge d'aplicació per utilitzar un .rbf amb les funcions de seguretat de disseny activades, inclòs el microprogramari signat conjuntament si cal, en lloc de l'aplicació original .sof file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Generació d'una imatge d'actualització de fàbrica: modificació d'ordres
Després de crear la informació d'arrencada .rbf file, feu servir l'eina quartus_sign per signar el .rbf file. No heu de xifrar la informació d'arrencada .rbf file.
Per generar una imatge d'actualització de fàbrica RSU, modifiqueu l'ordre de Generar una imatge d'actualització de fàbrica per utilitzar un .rbf file amb les funcions de seguretat de disseny habilitades i afegiu l'opció per indicar l'ús del microprogramari signat conjuntament:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Informació relacionada Guia d'usuari de configuració d'Intel Agilex 7
5.6. Serveis criptogràfics SDM
L'SDM dels dispositius Intel Agilex 7 ofereix serveis criptogràfics que la lògica de teixit FPGA o l'HPS poden sol·licitar mitjançant la interfície de bústia SDM corresponent. Per obtenir més informació sobre les ordres de la bústia de correu i els formats de dades per a tots els serveis criptogràfics SDM, consulteu l'apèndix B a la Guia d'usuari de Metodologia de seguretat per a FPGA Intel i ASIC estructurat.
Per accedir a la interfície de la bústia de correu SDM a la lògica de teixit FPGA per als serveis criptogràfics SDM, heu d'instanciar la IP FPGA d'Intel de client de bústia al vostre disseny.
El codi de referència per accedir a la interfície de la bústia SDM des de l'HPS s'inclou al codi ATF i Linux proporcionat per Intel.
Informació relacionada Guia d'usuari d'Intel FPGA IP Client Bústia de correu
5.6.1. Arrencada autoritzada del venedor
Intel ofereix una implementació de referència per al programari HPS que utilitza la funció d'arrencada autoritzada pel proveïdor per autenticar el programari d'arrencada HPS des del primer s.tage carregador d'arrencada fins al nucli de Linux.
Informació relacionada Disseny de demostració d'arrencada segura Intel Agilex 7 SoC

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 56

Envia comentaris

5. Funcions avançades 683823 | 2023.05.23/XNUMX/XNUMX
5.6.2. Servei d'objectes de dades segur
Envieu les ordres a través de la bústia SDM per realitzar el xifratge i el desxifrat d'objectes SDOS. Podeu utilitzar la funció SDOS després de subministrar la clau arrel SDOS.
Informació relacionada Provisió de clau arrel del servei d'objectes de dades segur a la pàgina 30
5.6.3. Serveis primitius criptogràfics SDM
Envieu les ordres a través de la bústia de correu de l'SDM per iniciar les operacions de servei primitiu criptogràfic de l'SDM. Alguns serveis primitius criptogràfics requereixen que es transfereixin més dades cap a i des de l'SDM de les que la interfície de la bústia pot acceptar. En aquests casos, l'ordre del format canvia per proporcionar punters a les dades de la memòria. A més, heu de canviar la instanciació de la IP FPGA d'Intel del client de la bústia per utilitzar els serveis primitius criptogràfics SDM des de la lògica de teixit FPGA. A més, heu d'establir el paràmetre Habilita el servei de criptografia a 1 i connectar la interfície d'iniciador AXI recentment exposada a una memòria del vostre disseny.
Figura 21. Habilitació dels serveis criptogràfics SDM al client de bústia IP Intel FPGA

5.7. Configuració de seguretat de bitstream (FM/S10)
Les opcions de seguretat de FPGA Bitstream són una col·lecció de polítiques que restringeixen la funció o el mode d'operació especificats dins d'un període definit.
Les opcions de seguretat de Bitstream consisteixen en senyals que configureu al programari Intel Quartus Prime Pro Edition. Aquests indicadors es copien automàticament als fluxos de bits de configuració.
Podeu aplicar permanentment les opcions de seguretat en un dispositiu mitjançant l'ús de la configuració de seguretat corresponent eFuse.
Per utilitzar qualsevol configuració de seguretat al flux de bits de configuració o als eFuses del dispositiu, heu d'activar la funció d'autenticació.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 57

5. Funcions avançades 683823 | 2023.05.23/XNUMX/XNUMX
5.7.1. Seleccionar i activar les opcions de seguretat
Per seleccionar i habilitar les opcions de seguretat, feu el següent: Al menú Assignacions, seleccioneu Dispositiu Opcions de dispositiu i Pin Seguretat Més opcions... Figura 22. Selecció i activació d'opcions de seguretat

A continuació, seleccioneu els valors de les llistes desplegables per a les opcions de seguretat que voleu habilitar, tal com es mostra a l'exemple següent.ampLI:
Figura 23. Selecció de valors per a les opcions de seguretat

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 58

Envia comentaris

5. Funcions avançades 683823 | 2023.05.23/XNUMX/XNUMX
A continuació es mostren els canvis corresponents a la configuració de Quartus Prime .qsf file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG "ON CHECK" set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE "ON STICKY" set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECU_OPTION_DISABLE_DISABLE_LOCK_VIRT_NAME_set_assignment -name ITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_DISABLE_ENCRYPTION_NAME_ENCRYPTION_CONJUNT_ENCRYPTION_OPTION_GLOBAL_assignment_ENCRYPTION_OPTION_ENCRYPTION_ENCRYP KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY ON

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 59

683823 | 2023.05.23/XNUMX/XNUMX Envia comentaris

Resolució de problemes

En aquest capítol es descriuen errors i missatges d'advertència habituals que podeu trobar quan intenteu utilitzar les funcions de seguretat del dispositiu i les mesures per resoldre'ls.
6.1. Ús d'ordres Quartus en un error d'entorn de Windows
Error quartus_pgm: no s'ha trobat l'ordre Descripció Aquest error es mostra quan s'intenta utilitzar les ordres de Quartus en un shell NIOS II en un entorn Windows mitjançant WSL. Resolució Aquesta comanda funciona a l'entorn Linux; Per als amfitrions de Windows, utilitzeu l'ordre següent: quartus_pgm.exe -h De la mateixa manera, apliqueu la mateixa sintaxi a altres ordres de Quartus Prime, com ara quartus_pfg, quartus_sign, quartus_encrypt entre altres ordres.

Registre ISO 9001:2015

6. Resolució de problemes 683823 | 2023.05.23/XNUMX/XNUMX

6.2. Generació d'un avís de clau privada

Avís:

La contrasenya especificada es considera insegura. Intel recomana utilitzar almenys 13 caràcters de contrasenya. Es recomana canviar la contrasenya mitjançant l'executable OpenSSL.

openssl ec -in -fora -aes256

Descripció
Aquest avís està relacionat amb la força de la contrasenya i es mostra quan s'intenta generar una clau privada emetent les ordres següents:

quartus_sign –família=agilex –operació=make_private_pem –curve=secp3841 root.pem

Resolució Utilitzeu l'executable openssl per especificar una contrasenya més llarga i, per tant, més segura.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 61

6. Resolució de problemes 683823 | 2023.05.23/XNUMX/XNUMX
6.3. Afegir una clau de signatura a l'error del projecte Quartus
Error…File conté informació de la clau arrel...
Descripció
Després d'afegir una clau de signatura .qky file al projecte Quartus, heu de tornar a muntar el .sof file. Quan afegiu aquest .sof regenerat file al dispositiu seleccionat mitjançant el programador Quartus, el missatge d'error següent indica que el file conté informació de la clau arrel:
No s'ha pogut afegirfile-path-name> al programador. El file conté informació de la clau arrel (.qky). Tanmateix, el programador no admet la funció de signatura de flux de bits. Podeu utilitzar la programació File Generador per convertir el file al Raw Binary signat file (.rbf) per a la configuració.
Resolució
Utilitzeu la programació Quartus file generador per convertir el file en un Raw Binary signat File .rbf per a la configuració.
Informació relacionada Configuració de signatura Bitstream mitjançant l'ordre quartus_sign a la pàgina 13

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 62

Envia comentaris

6. Resolució de problemes 683823 | 2023.05.23/XNUMX/XNUMX
6.4. Generació de programació Quartus Prime File no va tenir èxit
Error
Error (20353): X de la clau pública de QKY no coincideix amb la clau privada de PEM file.
Error (20352): no s'ha pogut signar el bitstream mitjançant l'script de Python agilex_sign.py.
Error: programació Quartus Prime File El generador no ha tingut èxit.
Descripció Si intenteu signar un flux de bits de configuració utilitzant una clau privada incorrecta .pem file o un .pem file que no coincideix amb el .qky afegit al projecte, es mostren els errors comuns anteriors. Resolució Assegureu-vos que feu servir la clau privada correcta .pem per signar el bitstream.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 63

6. Resolució de problemes 683823 | 2023.05.23/XNUMX/XNUMX
6.5. Errors d'argument desconeguts
Error
Error (23028): argument desconegut "ûc". Consulteu –ajuda per a arguments legals.
Error (213008): la cadena d'opcions de programació "ûp" és il·legal. Consulteu –help per als formats d'opcions de programació legals.
Descripció Si copieu i enganxeu opcions de línia d'ordres des d'un .pdf file al Windows NIOS II Shell, és possible que trobeu errors d'argument desconegut com es mostra a dalt. Resolució En aquests casos, podeu introduir les ordres manualment en lloc d'enganxar-les des del porta-retalls.

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 64

Envia comentaris

6. Resolució de problemes 683823 | 2023.05.23/XNUMX/XNUMX
6.6. Error desactivat de l'opció de xifratge de flux de bits
Error
No es pot finalitzar el xifratge per a file disseny .sof perquè es va compilar amb l'opció de xifratge de flux de bits desactivada.
Descripció Si intenteu xifrar el flux de bits mitjançant la GUI o la línia d'ordres després d'haver compilat el projecte amb l'opció de xifratge del flux de bits desactivada, Quartus rebutja l'ordre tal com es mostra a dalt.
Resolució Assegureu-vos que compileu el projecte amb l'opció de xifratge de flux de bits habilitada mitjançant la GUI o la línia d'ordres. Per habilitar aquesta opció a la GUI, heu de marcar la casella de selecció d'aquesta opció.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 65

6. Resolució de problemes 683823 | 2023.05.23/XNUMX/XNUMX
6.7. Especificació del camí correcte a la clau
Error
Error (19516): programació detectada File Error de configuració del generador: no es pot trobar 'key_file'. Assegureu-vos que el file es troba a la ubicació esperada o actualitzeu el setting.sec
Error (19516): programació detectada File Error de configuració del generador: no es pot trobar 'key_file'. Assegureu-vos que el file es troba a la ubicació esperada o actualitzeu la configuració.
Descripció
Si utilitzeu claus emmagatzemades al fitxer file sistema, heu d'assegurar-vos que especifiquen el camí correcte per a les claus utilitzades per al xifratge i signatura del flux de bits. Si la Programació File El generador no pot detectar el camí correcte, es mostren els missatges d'error anteriors.
Resolució
Consulteu la configuració de Quartus Prime .qsf file per localitzar els camins correctes per a les claus. Assegureu-vos que feu servir camins relatius en lloc de camins absoluts.

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 66

Envia comentaris

6. Resolució de problemes 683823 | 2023.05.23/XNUMX/XNUMX
6.8. Utilitzant una sortida no compatible File Tipus
Error
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Error (19511): sortida no compatible file tipus (EBF). Utilitzeu l'opció "-l" o "-list" per mostrar compatible file informació de tipus.
Descripció Mentre s'utilitza la programació Quartus File Generador per generar el flux de bits de configuració xifrat i signat, és possible que vegeu l'error anterior si una sortida no s'admet file s'especifica el tipus. Resolució Utilitzeu l'opció -l o -list per veure la llista de suports file tipus.

Envia comentaris

Guia d'usuari de seguretat del dispositiu Intel Agilex® 7 67

683823 | 2023.05.23/XNUMX/XNUMX Envia comentaris
7. Arxius de la Guia d'usuari de seguretat del dispositiu Intel Agilex 7
Per obtenir les versions més recents i anteriors d'aquesta guia de l'usuari, consulteu la Guia d'usuari de seguretat de dispositius Intel Agilex 7. Si una IP o una versió de programari no apareix a la llista, s'aplica la guia de l'usuari de la versió IP o del programari anterior.

Registre ISO 9001:2015

683823 | 2023.05.23/XNUMX/XNUMX Envia comentaris

8. Historial de revisions per a la Guia d'usuari de seguretat del dispositiu Intel Agilex 7

Versió del document 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Documents/Recursos

Seguretat del dispositiu Intel Agilex 7 [pdfManual d'usuari
Agilex 7 Device Security, Agilex 7, Device Security, Security

Referències

Manual d'usuari

Seguretat del dispositiu Intel Agilex 7

Informació del producte

Instruccions d'ús del producte

Preguntes freqüents

S'ha acabat la seguretat del dispositiuview

Autenticació i Autorització

Xifratge AES Bitstream

Aprovisionament de dispositius

Funcions avançades

Resolució de problemes

Documents/Recursos

Referències

Deixa un comentari

Cancel·la la resposta