Uživatelská příručka Intel Agilex 7 Device Security

Společnost Intel se zavázala k zabezpečení produktů a doporučuje uživatelům, aby se seznámili s poskytovanými zdroji zabezpečení produktů. Tyto prostředky by měly být využívány po celou dobu životnosti produktu Intel.

2. Plánované funkce zabezpečení

Pro budoucí vydání softwaru Intel Quartus Prime Pro Edition jsou plánovány následující bezpečnostní funkce:

Ověření zabezpečení bitového toku s částečnou rekonfigurací: Poskytuje další ujištění, že bitové toky částečné rekonfigurace (PR) nemohou přistupovat k jiným bitovým tokům PR persona nebo s nimi interferovat.

Zařízení Self-Kill pro fyzickou Anti-Tamper: Provede vymazání zařízení nebo odezvu na nulování zařízení a naprogramuje eFuses, aby zabránil zařízení v opětovné konfiguraci.

3. Dostupná bezpečnostní dokumentace

V následující tabulce je uvedena dostupná dokumentace pro funkce zabezpečení zařízení na zařízeních Intel FPGA a Structured ASIC:

Název dokumentu	Účel
Metodika zabezpečení pro uživatele Intel FPGA a strukturovaných ASIC Průvodce	Dokument nejvyšší úrovně, který poskytuje podrobné popisy bezpečnostní funkce a technologie v Intel Programmable Solutions Produkty. Pomáhá uživatelům vybrat potřebné bezpečnostní funkce splnit své bezpečnostní cíle.
Uživatelská příručka Intel Stratix 10 Device Security	Pokyny pro uživatele zařízení Intel Stratix 10 k implementaci bezpečnostní prvky identifikované pomocí Bezpečnostní metodiky Uživatelská příručka.
Uživatelská příručka Intel Agilex 7 Device Security	Pokyny pro uživatele zařízení Intel Agilex 7 k implementaci bezpečnostní prvky identifikované pomocí Bezpečnostní metodiky Uživatelská příručka.
Uživatelská příručka Intel eASIC N5X Device Security	Pokyny pro uživatele zařízení Intel eASIC N5X k implementaci bezpečnostní prvky identifikované pomocí Bezpečnostní metodiky Uživatelská příručka.
Kryptografické služby Intel Agilex 7 a Intel eASIC N5X HPS Uživatelská příručka	Informace pro softwarové inženýry HPS o implementaci a používání softwarových knihoven HPS pro přístup ke kryptografickým službám poskytuje SDM.
AN-968 Black Key Provisioning Service Rychlý průvodce	Dokončete sadu kroků pro nastavení Black Key Provisioning servis.

Často kladené otázky

Otázka: Jaký je účel uživatelské příručky Metodiky zabezpečení?

Odpověď: Uživatelská příručka metodologie zabezpečení poskytuje podrobné popisy bezpečnostních funkcí a technologií v produktech Intel Programmable Solutions. Pomáhá uživatelům vybrat potřebné bezpečnostní funkce pro splnění jejich bezpečnostních cílů.

Otázka: Kde najdu uživatelskou příručku Intel Agilex 7 Device Security?

Odpověď: Uživatelskou příručku pro zabezpečení zařízení Intel Agilex 7 lze nalézt na webu Intel Resource and Design Center webmísto.

Otázka: Co je služba Black Key Provisioning?

Odpověď: Služba Black Key Provisioning je služba, která poskytuje kompletní sadu kroků pro nastavení zřizování klíčů pro bezpečné operace.

View Fullscreen

Uživatelská příručka Intel Agilex® 7 Device Security
Aktualizováno pro Intel® Quartus® Prime Design Suite: 23.1

Online verze Odeslat zpětnou vazbu

UG-20335

683823

Uživatelská příručka Intel Agilex® 7 Device Security 2

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 3

683823 | 2023.05.23 Odeslat zpětnou vazbu
1. Intel Agilex® 7

Zabezpečení zařízení ukončenoview

Intel® navrhuje zařízení Intel Agilex® 7 s vyhrazeným, vysoce konfigurovatelným bezpečnostním hardwarem a firmwarem.
Tento dokument obsahuje pokyny, které vám pomohou používat software Intel Quartus® Prime Pro Edition k implementaci funkcí zabezpečení na zařízeních Intel Agilex 7.
Kromě toho je na Intel Resource & Design Center k dispozici Bezpečnostní metodika pro Intel FPGA a strukturovaná ASIC uživatelská příručka. Tento dokument obsahuje podrobné popisy funkcí a technologií zabezpečení, které jsou k dispozici prostřednictvím produktů Intel Programmable Solutions, které vám pomohou vybrat funkce zabezpečení nezbytné pro splnění vašich cílů zabezpečení. Obraťte se na podporu Intel s referenčním číslem 14014613136 a získejte přístup k metodice zabezpečení pro Intel FPGA a uživatelskou příručku strukturovaných ASIC.
Dokument je uspořádán následovně: · Autentizace a autorizace: Poskytuje pokyny k vytvoření
autentizační klíče a podpisové řetězce, použití oprávnění a odvolání, podepisování objektů a funkce ověřování programů na zařízeních Intel Agilex 7. · AES Bitstream Encryption: Poskytuje pokyny k vytvoření kořenového klíče AES, šifrování konfiguračních bitových toků a poskytnutí kořenového klíče AES zařízením Intel Agilex 7. · Device Provisioning: Poskytuje pokyny k použití programovacího firmwaru Intel Quartus Prime Programmer a Secure Device Manager (SDM) k naprogramování funkcí zabezpečení na zařízeních Intel Agilex 7. · Pokročilé funkce: Poskytuje pokyny k aktivaci pokročilých funkcí zabezpečení, včetně autorizace zabezpečeného ladění, ladění systému pevného procesoru (HPS) a vzdálené aktualizace systému.
1.1. Závazek k zabezpečení produktu
Dlouhodobý závazek společnosti Intel k zabezpečení nebyl nikdy silnější. Společnost Intel důrazně doporučuje, abyste se seznámili s našimi zdroji zabezpečení produktů a plánovali je využívat po celou dobu životnosti produktu Intel.
Související informace · Zabezpečení produktů ve společnosti Intel · Doporučení centra zabezpečení produktů Intel

Intel Corporation. Všechna práva vyhrazena. Intel, logo Intel a další značky Intel jsou ochranné známky společnosti Intel Corporation nebo jejích dceřiných společností. Společnost Intel zaručuje výkon svých FPGA a polovodičových produktů podle aktuálních specifikací v souladu se standardní zárukou společnosti Intel, ale vyhrazuje si právo provádět změny jakýchkoli produktů a služeb kdykoli bez upozornění. Společnost Intel nepřebírá žádnou odpovědnost nebo závazky vyplývající z aplikace nebo použití jakýchkoli informací, produktů nebo služeb popsaných v tomto dokumentu, pokud to není výslovně písemně odsouhlaseno společností Intel. Zákazníkům společnosti Intel se doporučuje získat nejnovější verzi specifikací zařízení dříve, než se budou spoléhat na jakékoli zveřejněné informace a než zadají objednávky na produkty nebo služby. *Jiná jména a značky mohou být nárokovány jako vlastnictví jiných.

ISO 9001: 2015 Registrováno

1. Intel Agilex® 7 Device Security Overview 683823 2023.05.23 XNUMX | XNUMX XNUMX XNUMX

1.2. Plánované funkce zabezpečení

Funkce uvedené v této části jsou plánovány pro budoucí vydání softwaru Intel Quartus Prime Pro Edition.

Poznámka:

Informace v této sekci jsou předběžné.

1.2.1. Částečná rekonfigurace Bitstream Security Verifikace
Ověření zabezpečení bitového toku s částečnou rekonfigurací (PR) pomáhá poskytnout další ujištění, že bitové toky PR persona nemohou přistupovat nebo rušit jiné bitové toky PR persona.

1.2.2. Zařízení Self-Kill pro fyzickou Anti-Tamper
Samozabíjení zařízení provede vymazání zařízení nebo odezvu na nulování zařízení a navíc naprogramuje eFuse, aby zabránil zařízení v opětovné konfiguraci.

1.3. Dostupná bezpečnostní dokumentace

V následující tabulce je uveden výčet dostupné dokumentace pro funkce zabezpečení zařízení na zařízeních Intel FPGA a Structured ASIC:

Tabulka 1.

Dostupná bezpečnostní dokumentace zařízení

Název dokumentu
Uživatelská příručka metodologie zabezpečení pro Intel FPGA a strukturované ASIC

Účel
Dokument nejvyšší úrovně, který obsahuje podrobné popisy bezpečnostních funkcí a technologií v produktech Intel Programmable Solutions. Je navržen tak, aby vám pomohl vybrat funkce zabezpečení nezbytné pro splnění vašich cílů zabezpečení.

ID dokumentu 721596

Uživatelská příručka Intel Stratix 10 Device Security
Uživatelská příručka Intel Agilex 7 Device Security

Pro uživatele zařízení Intel Stratix 10 obsahuje tato příručka pokyny k použití softwaru Intel Quartus Prime Pro Edition k implementaci funkcí zabezpečení identifikovaných v uživatelské příručce metodologie zabezpečení.
Pro uživatele zařízení Intel Agilex 7 tato příručka obsahuje pokyny k použití softwaru Intel Quartus Prime Pro Edition k implementaci funkcí zabezpečení identifikovaných v uživatelské příručce Metodiky zabezpečení.

683642

Uživatelská příručka Intel eASIC N5X Device Security

Pro uživatele zařízení Intel eASIC N5X obsahuje tato příručka pokyny k použití softwaru Intel Quartus Prime Pro Edition k implementaci funkcí zabezpečení identifikovaných pomocí uživatelské příručky Metodiky zabezpečení.

626836

Uživatelská příručka pro kryptografické služby Intel Agilex 7 a Intel eASIC N5X HPS Cryptographic Services

Tato příručka obsahuje informace, které pomohou softwarovým inženýrům HPS při implementaci a používání softwarových knihoven HPS pro přístup ke kryptografickým službám poskytovaným SDM.

713026

AN-968 Black Key Provisioning Service Rychlý průvodce

Tato příručka obsahuje kompletní sadu kroků pro nastavení služby Black Key Provisioning.

739071

Umístění Intel Resource a
Design Center
Intel.com
Intel.com
Centrum zdrojů a designu Intel
Centrum zdrojů a designu Intel
Centrum zdrojů a designu Intel

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 5

683823 | 2023.05.23 Odeslat zpětnou vazbu

Autentizace a autorizace

Chcete-li aktivovat funkce ověřování zařízení Intel Agilex 7, začněte pomocí softwaru Intel Quartus Prime Pro Edition a souvisejících nástrojů k vytvoření řetězce podpisů. Podpisový řetězec se skládá z kořenového klíče, jednoho nebo více podpisových klíčů a příslušných oprávnění. Řetěz podpisů aplikujete na svůj projekt Intel Quartus Prime Pro Edition a kompilované programování files. Pomocí pokynů v části Device Provisioning naprogramujte svůj kořenový klíč do zařízení Intel Agilex 7.
Související informace
Poskytování zařízení na straně 25

2.1. Vytvoření řetězce podpisů
K provádění operací řetězce podpisů můžete použít nástroj quartus_sign nebo referenční implementaci agilex_sign.py. Tento dokument poskytuje napřamples pomocí quartus_sign.
Chcete-li použít referenční implementaci, nahradíte volání interpretru Pythonu, který je součástí softwaru Intel Quartus Prime, a vynecháte volbu –family=agilex; všechny ostatní možnosti jsou ekvivalentní. Napřample, příkaz quartus_sign, který najdete dále v této části
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky lze převést na ekvivalentní volání referenční implementace následovně
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Software Intel Quartus Prime Pro Edition obsahuje nástroje quartus_sign, pgm_py a agilex_sign.py. Můžete použít nástroj příkazového prostředí Nios® II, který automaticky nastaví vhodné proměnné prostředí pro přístup k nástrojům.

Podle těchto pokynů vyvolejte příkazový shell Nios II. 1. Vyvolejte příkazový shell Nios II.

Možnost Windows
Linux

Popis
V nabídce Start přejděte na položku Programy Intel FPGA Nios II EDS a klikněte na Nios II Command Shell.
V příkazovém shellu změňte na /nios2eds a spusťte následující příkaz:
./nios2_command_shell.sh

Bývalýampsoubory v této části předpokládají řetězec podpisů a konfigurační bitový tok files jsou umístěny v aktuálním pracovním adresáři. Pokud se rozhodnete následovat exampkde klíč files jsou vedeny na file systém, ty examples převezme klíč files jsou

ISO 9001: 2015 Registrováno

2. Autentizace a autorizace 683823 | 2023.05.23
umístěn v aktuálním pracovním adresáři. Můžete si vybrat, které adresáře chcete použít, a nástroje podporují relativní file cesty. Pokud se rozhodnete klíč ponechat files na file systému, musíte k nim pečlivě spravovat přístupová oprávnění files.
Společnost Intel doporučuje, aby byl k ukládání kryptografických klíčů a provádění kryptografických operací použit komerčně dostupný hardwarový bezpečnostní modul (HSM). Nástroj quartus_sign a referenční implementace zahrnují aplikační programové rozhraní (API) standardu kryptografie veřejného klíče #11 (PKCS #11) pro interakci s HSM při provádění operací řetězce podpisů. Referenční implementace agilex_sign.py zahrnuje abstrakt rozhraní a také examprozhraní k SoftHSM.
Můžete použít tyto example interfaces pro implementaci rozhraní do vašeho HSM. Další informace o implementaci rozhraní a provozu vašeho HSM naleznete v dokumentaci od vašeho dodavatele HSM.
SoftHSM je softwarová implementace generického kryptografického zařízení s rozhraním PKCS #11, které je dostupné v rámci projektu OpenDNSSEC®. Další informace, včetně pokynů, jak stáhnout, sestavit a nainstalovat OpenHSM, najdete v projektu OpenDNSSEC. Bývalýampsoubory v této části využívají SoftHSM verze 2.6.1. Bývalýampsoubory v této části navíc používají nástroj pkcs11-tool od OpenSC k provádění dalších operací PKCS #11 s tokenem SoftHSM. Můžete najít další informace, včetně pokynů, jak stáhnout, sestavit a nainstalovat nástroj pkcs11tool z OpenSC.
Související informace
· Projekt OpenDNSSEC Policy-based zone signer pro automatizaci procesu sledování klíčů DNSSEC.
· SoftHSM Informace o implementaci kryptografického úložiště přístupného přes rozhraní PKCS #11.
· OpenSC Poskytuje sadu knihoven a utilit schopných pracovat s čipovými kartami.
2.1.1. Vytváření párů autentizačních klíčů v místním prostředí File Systém
Pomocí nástroje quartus_sign vytvoříte páry ověřovacích klíčů na lokálním serveru file systému pomocí operací nástrojů make_private_pem a make_public_pem. Nejprve vygenerujete soukromý klíč pomocí operace make_private_pem. Zadáte eliptickou křivku, která se má použít, soukromý klíč filejméno a volitelně, zda má být soukromý klíč chráněn přístupovou frází. Společnost Intel doporučuje použití křivky secp384r1 a dodržování osvědčených průmyslových postupů k vytvoření silné, náhodné přístupové fráze pro všechny soukromé klíče. files. Intel také doporučuje omezit file systémová oprávnění k soukromému klíči .pem files ke čtení pouze vlastníkem. Veřejný klíč odvodíte ze soukromého klíče pomocí operace make_public_pem. Je užitečné pojmenovat klíč .pem files popisně. Tento dokument používá konvenci _ .pem v následujícím examples.
1. V příkazovém prostředí Nios II spusťte následující příkaz k vytvoření soukromého klíče. Soukromý klíč, zobrazený níže, je použit jako kořenový klíč v pozdějších příkladechampsoubory, které vytvářejí podpisový řetězec. Zařízení Intel Agilex 7 podporují více kořenových klíčů, takže vy

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 7

2. Autentizace a autorizace 683823 | 2023.05.23

opakováním tohoto kroku vytvořte požadovaný počet kořenových klíčů. PřampVšechny soubory v tomto dokumentu odkazují na první kořenový klíč, i když podobným způsobem můžete vytvářet řetězce podpisů s jakýmkoli kořenovým klíčem.

Možnost S přístupovou frází

Popis
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Když k tomu budete vyzváni, zadejte přístupové heslo.

Bez přístupové fráze

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Spuštěním následujícího příkazu vytvořte veřejný klíč pomocí soukromého klíče vygenerovaného v předchozím kroku. Nemusíte chránit důvěrnost veřejného klíče.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Spusťte příkazy znovu, abyste vytvořili pár klíčů používaný jako podpisový klíč návrhu v řetězci podpisů.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Vytváření párů autentizačních klíčů v SoftHSM
SoftHSM exampsoubory v této kapitole jsou konzistentní. Některé parametry závisí na vaší instalaci SoftHSM a inicializaci tokenu v rámci SoftHSM.
Nástroj quartus_sign závisí na knihovně API PKCS #11 z vašeho HSM.
Bývalýampsoubory v této části předpokládají, že knihovna SoftHSM je nainstalována do jednoho z následujících umístění: · /usr/local/lib/softhsm2.so na Linuxu · C:SoftHSM2libsofthsm2.dll na 32bitové verzi Windows · C:SoftHSM2libsofthsm2-x64 .dll v 64bitové verzi systému Windows.
Inicializujte token v rámci SoftHSM pomocí nástroje softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –zdarma
Parametry volby, zejména štítek tokenu a pin tokenu, jsou napřamppoužité v této kapitole. Společnost Intel doporučuje, abyste při vytváření a správě tokenů a klíčů postupovali podle pokynů svého dodavatele HSM.
Páry ověřovacích klíčů vytvoříte pomocí nástroje pkcs11-tool pro interakci s tokenem v SoftHSM. Namísto explicitního odkazu na soukromý a veřejný klíč .pem files v file systém examples, odkazujete na pár klíčů podle jeho označení a nástroj automaticky vybere příslušný klíč.

Uživatelská příručka Intel Agilex® 7 Device Security 8

Odeslat zpětnou vazbu

2. Autentizace a autorizace 683823 | 2023.05.23

Spuštěním následujících příkazů vytvořte pár klíčů použitý jako kořenový klíč v pozdějších příkladechamples a také pár klíčů používaný jako podpisový klíč návrhu v řetězci podpisů:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanismus ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanismus ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –design label0_sign –id 1

Poznámka:

Možnost ID v tomto kroku musí být jedinečná pro každý klíč, ale používá ji pouze HSM. Tato volba ID nesouvisí s ID zrušení klíče přiřazeným v řetězci podpisů.

2.1.3. Vytvoření kořenové položky řetězce podpisů
Převeďte kořenový veřejný klíč na kořenový záznam řetězce podpisů uložený na místním místě file systém ve formátu Intel Quartus Prime key (.qky). file, s operací make_root. Opakujte tento krok pro každý kořenový klíč, který vygenerujete.
Spusťte následující příkaz k vytvoření řetězce podpisů s kořenovým záznamem pomocí kořenového veřejného klíče z file systém:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
Spusťte následující příkaz k vytvoření řetězce podpisů s kořenovým záznamem pomocí kořenového klíče z tokenu SoftHSM vytvořeného v předchozí části:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsosofthsm2. ” root0 root0.qky

2.1.4. Vytvoření položky veřejného klíče Signature Chain
Pomocí operace append_key vytvořte nový záznam veřejného klíče pro řetězec podpisů. Zadáte řetězec předchozího podpisu, soukromý klíč pro poslední záznam v řetězci předchozího podpisu, veřejný klíč další úrovně, oprávnění a ID zrušení, které přiřadíte veřejnému klíči další úrovně, a nový řetězec podpisů file.
Všimněte si, že knihovna softHSM není k dispozici s instalací Quartus a místo toho je třeba ji nainstalovat samostatně. Další informace o softHSM naleznete v části Vytvoření řetězce podpisů výše.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 9

2. Autentizace a autorizace 683823 | 2023.05.23
V závislosti na použití kláves na file systému nebo v HSM, použijete jeden z následujících příkladůample pro připojení veřejného klíče design0_sign ke kořenovému řetězci podpisů vytvořenému v předchozí části:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname=previous_key root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Operaci append_key můžete zopakovat ještě maximálně dvakrát pro maximálně tři záznamy veřejného klíče mezi kořenovým záznamem a záznamem bloku záhlaví v jakémkoli řetězci podpisů.
Následující exampsoubor předpokládá, že jste vytvořili další autentizační veřejný klíč se stejnými oprávněními a přiřazeným zrušením ID 1 s názvem design1_sign_public.pem a připojujete tento klíč k řetězci podpisů z předchozího exampten:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname=previous_key design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Zařízení Intel Agilex 7 obsahují další počítadlo zrušení klíče pro usnadnění použití klíče, který se může v průběhu životnosti daného zařízení pravidelně měnit. Toto počítadlo zrušení klíče můžete vybrat změnou argumentu volby –cancel na pts:pts_value.
2.2. Podepisování konfiguračního bitového proudu
Zařízení Intel Agilex 7 podporují čítače SVN (Security Version Number), které umožňují zrušit autorizaci objektu bez zrušení klíče. Čítač SVN a příslušnou hodnotu čítače SVN přiřadíte během podepisování libovolného objektu, jako je sekce bitového toku, firmware .zip filenebo kompaktní certifikát. Čítač SVN a hodnotu SVN přiřadíte pomocí volby –cancel a svn_counter:svn_value jako argumentu. Platné hodnoty pro svn_counter jsou svnA, svnB, svnC a svnD. Svn_value je celé číslo v rozsahu [0,63].

Uživatelská příručka Intel Agilex® 7 Device Security 10

Odeslat zpětnou vazbu

2. Autentizace a autorizace 683823 | 2023.05.23
2.2.1. Quartus Key File Úkol
Ve svém softwarovém projektu Intel Quartus Prime určíte řetězec podpisů, abyste povolili funkci ověřování pro tento návrh. Z nabídky Přiřazení vyberte Device Device and Pin Options Security Quartus Key File, pak vyhledejte řetězec podpisů .qky file vytvořili jste, abyste podepsali tento design.
Obrázek 1. Povolte Configuration Bitstream Setting

Alternativně můžete do nastavení Intel Quartus Prime přidat následující příkaz přiřazení file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
Chcete-li vygenerovat soubor .sof file z dříve zkompilovaného návrhu, který obsahuje toto nastavení, z nabídky Processing vyberte Start Start Assembler. Nový výstup .sof file zahrnuje přiřazení umožňující autentizaci pomocí poskytnutého řetězce podpisů.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 11

2. Autentizace a autorizace 683823 | 2023.05.23
2.2.2. Spolupodepisování firmwaru SDM
Pomocí nástroje quartus_sign můžete extrahovat, podepsat a nainstalovat příslušný firmware SDM .zip file. Spolupodepsaný firmware je pak zahrnut do programování file nástroj generátoru při převodu .sof file do konfiguračního bitového toku .rbf file. Pomocí následujících příkazů vytvoříte nový řetězec podpisů a podepíšete firmware SDM.
1. Vytvořte nový pár podpisových klíčů.
A. Vytvořte nový pár podpisových klíčů na file systém:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Vytvořte nový pár podpisových klíčů v HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. Vytvořte nový řetězec podpisů obsahující nový veřejný klíč:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname=previous_key root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Zkopírujte firmware .zip file z instalačního adresáře softwaru Intel Quartus Prime Pro Edition ( /devices/programmer/firmware/agilex.zip) do aktuálního pracovního adresáře.
quartus_sign –family=agilex –get_firmware=.
4. Podepište firmware .zip file. Nástroj automaticky rozbalí soubor .zip file a jednotlivě podepíše veškerý firmware .cmf files, poté znovu sestaví soubor .zip file pro použití nástroji v následujících částech:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signature_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Uživatelská příručka Intel Agilex® 7 Device Security 12

Odeslat zpětnou vazbu

2. Autentizace a autorizace 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signature_agilex.zip

2.2.3. Konfigurace podepisování Bitstream Pomocí příkazu quartus_sign
Chcete-li podepsat konfigurační bitový proud pomocí příkazu quartus_sign, nejprve převeďte soubor .sof file na nepodepsané surové binární soubory file (.rbf). Během kroku převodu můžete volitelně zadat spolupodepsaný firmware pomocí volby fw_source.
Nepodepsaný nezpracovaný bitstream ve formátu .rbf můžete vygenerovat pomocí následujícího příkazu:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Spusťte jeden z následujících příkazů k podepsání bitového proudu pomocí nástroje quartus_sign v závislosti na umístění vašich klíčů:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signature_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signature_bitstream.rbf
Můžete převést podepsané .rbf files do jiné konfigurace bitového toku file formátů.
Napřample, pokud používáte přehrávač Jam* Standard Test and Programming Language (STAPL) k programování bitového toku přes JTAG, pomocí následujícího příkazu převedete soubor .rbf file do formátu .jam, který přehrávač Jam STAPL Player vyžaduje:
quartus_pfg -c podepsaný_bitstream.rbf podepsaný_bitstream.jam

2.2.4. Částečná rekonfigurace Podpora více autorit

Zařízení Intel Agilex 7 podporují autentizaci více autoritami s částečnou rekonfigurací, kdy vlastník zařízení vytváří a podepisuje statický bitový tok a samostatný vlastník PR vytváří a podepisuje bitové toky PR persona. Zařízení Intel Agilex 7 implementují podporu více autorit tím, že přiřadí první sloty pro kořenový klíč pro ověřování zařízení nebo vlastníkovi statického bitového toku a poslední slot pro kořenový klíč pro ověřování přiřadí osobě s částečnou rekonfigurací a vlastníkovi bitového toku.
Pokud je povolena funkce ověřování, musí být podepsány všechny obrázky osob PR, včetně vnořených obrázků osob PR. Obrázky PR persona mohou být podepsány buď vlastníkem zařízení, nebo vlastníkem PR; bitové toky statické oblasti však musí podepsat vlastník zařízení.

Poznámka:

V budoucí verzi je plánováno statické a osobní šifrování bitového toku s částečnou rekonfigurací, pokud je povolena podpora více autorit.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 13

2. Autentizace a autorizace 683823 | 2023.05.23

Obrázek 2.

Implementace podpory více autorit při částečné rekonfiguraci vyžaduje několik kroků:
1. Vlastník zařízení nebo statického bitového toku vygeneruje jeden nebo více kořenových klíčů autentizace, jak je popsáno v části Vytváření párů autentizačních klíčů v SoftHSM na stránce 8, kde možnost –key_type má vlastníka hodnoty.
2. Vlastník bitového toku s částečnou rekonfigurací vygeneruje kořenový klíč autentizace, ale změní hodnotu volby –key_type na sekundární vlastník.
3. Vlastníci návrhu statického bitového toku i částečné rekonfigurace zajistí, aby bylo zaškrtnuto políčko Enable Multi-Authority support na záložce Assignments Device Device and Pin Options Security.
Intel Quartus Prime Enable Multi-Authority Option Settings

4. Vlastníci návrhu statického bitového toku i částečné rekonfigurace vytvářejí řetězce podpisů na základě příslušných kořenových klíčů, jak je popsáno v části Vytvoření řetězce podpisů na stránce 6.
5. Vlastníci návrhu statického bitového toku i částečné rekonfigurace převedou své zkompilované návrhy do formátu .rbf files a podepište .rbf files.
6. Vlastník zařízení nebo statického bitového toku vygeneruje a podepíše kompaktní certifikát autorizace programu PR s veřejným klíčem.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signature_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signature_pr_pubkey_prog.ccert

Uživatelská příručka Intel Agilex® 7 Device Security 14

Odeslat zpětnou vazbu

2. Autentizace a autorizace 683823 | 2023.05.23

7. Vlastník zařízení nebo statického bitového toku poskytne zařízení své ověřovací kořenové klíče hash, poté naprogramuje kompaktní certifikát autorizace programu PR veřejného klíče a nakonec poskytne zařízení kořenový klíč vlastníka bitového toku pro částečnou rekonfiguraci. Tento proces zajišťování popisuje část Device Provisioning.
8. Zařízení Intel Agilex 7 je nakonfigurováno se statickou oblastí .rbf file.
9. Zařízení Intel Agilex 7 je částečně překonfigurováno na persona design .rbf file.
Související informace
· Vytvoření řetězce podpisů na straně 6
· Vytváření párů autentizačních klíčů v SoftHSM na straně 8
· Poskytování zařízení na straně 25

2.2.5. Ověření konfigurace Bitstream Signature Chains
Po vytvoření řetězců podpisů a podepsaných bitových toků můžete ověřit, že podepsaný bitový tok správně konfiguruje zařízení naprogramované daným kořenovým klíčem. Nejprve použijte operaci fuse_info příkazu quartus_sign k vytištění hashe kořenového veřejného klíče do textu. file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Poté použijete volbu check_integrity příkazu quartus_pfg ke kontrole řetězce podpisů v každé části podepsaného bitového toku ve formátu .rbf. Volba check_integrity vytiskne následující informace:
· Stav celkové kontroly integrity bitového toku
· Obsah každého záznamu v každém řetězci podpisů připojený ke každé sekci bitového toku .rbf file,
· Očekávaná hodnota pojistky pro hash kořenového veřejného klíče pro každý řetězec podpisů.
Hodnota z výstupu fuse_info by se měla shodovat s řádky Fuse ve výstupu check_integrity.
quartus_pfg –check_integrity signature_bitstream.rbf

Tady je exampsoubor výstupu příkazu check_integrity:

Info: Příkaz: quartus_pfg –check_integrity signature_bitstream.rbf Stav integrity: OK

Sekce

Typ: CMF

Deskriptor podpisu…

Podpisový řetězec #0 (záznamy: -1, offset: 96)

Položka #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Vygenerovat klíč…

Křivka: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Vygenerovat klíč…

Křivka: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 15

2. Autentizace a autorizace 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Položka #1

Vygenerovat klíč…

Křivka: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Záznam #2 Povolení Keychain: SIGN_CODE Keychain lze zrušit ID: 3 Signature chain #1 (vstupy: -1, offset: 648)

Položka #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Vygenerovat klíč…

Křivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Vygenerovat klíč…

Křivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Položka #1

Vygenerovat klíč…

Křivka: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Položka #2

Vygenerovat klíč…

Křivka: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Záznam #3 Povolení Keychain: SIGN_CODE Keychain lze zrušit ID: 15 Podpisový řetězec #2 (záznamy: -1, posun: 0) Podpisový řetězec #3 (záznamy: -1, offset: 0) Podpisový řetězec #4 (záznamy: -1, posun: 0) Podpisový řetězec #5 (záznamy: -1, posun: 0) Podpisový řetězec #6 (záznamy: -1, posun: 0) Podpisový řetězec #7 (záznamy: -1, posun: 0)

Typ sekce: IO Signature Descriptor … Řetězec podpisu #0 (záznamy: -1, offset: 96)

Položka #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Vygenerovat klíč…

Křivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Uživatelská příručka Intel Agilex® 7 Device Security 16

Odeslat zpětnou vazbu

2. Autentizace a autorizace 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Vygenerovat klíč…

Křivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Položka #1

Vygenerovat klíč…

Křivka: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Položka #2

Vygenerovat klíč…

Křivka: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Záznam #3 Povolení Keychain: SIGN_CORE Keychain lze zrušit ID: 15 Podpisový řetězec #1 (záznamy: -1, posun: 0) Podpisový řetězec #2 (záznamy: -1, offset: 0) Podpisový řetězec #3 (záznamy: -1, posun: 0) Podpisový řetězec #4 (záznamy: -1, posun: 0) Podpisový řetězec #5 (záznamy: -1, posun: 0) Podpisový řetězec #6 (zápisy: -1, posun: 0) Podpis řetězec #7 (položky: -1, offset: 0)

Sekce

Typ: HPS

Deskriptor podpisu…

Podpisový řetězec #0 (záznamy: -1, offset: 96)

Položka #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Vygenerovat klíč…

Křivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Vygenerovat klíč…

Křivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Položka #1

Vygenerovat klíč…

Křivka: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Položka #2

Vygenerovat klíč…

Křivka: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 17

2. Autentizace a autorizace 683823 | 2023.05.23

Povolení pro záznam #3 Keychain: SIGN_HPS Keychain lze zrušit ID: 15 Podpisový řetězec #1 (záznamy: -1, posun: 0) Podpisový řetězec #2 (záznamy: -1, posun: 0) Podpisový řetězec #3 (záznamy: -1, posun: 0) Podpisový řetězec #4 (záznamy: -1, posun: 0) Podpisový řetězec #5 (záznamy: -1, posun: 0) Podpisový řetězec #6 (zápisy: -1, posun: 0) Podpis řetězec #7 (položky: -1, offset: 0)

Typ sekce: CORE Signature Descriptor … Řetězec podpisu #0 (záznamy: -1, offset: 96)

Položka #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Vygenerovat klíč…

Křivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Vygenerovat klíč…

Křivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Položka #1

Vygenerovat klíč…

Křivka: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Položka #2

Vygenerovat klíč…

Křivka: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Uživatelská příručka Intel Agilex® 7 Device Security 18

Odeslat zpětnou vazbu

683823 | 2023.05.23 Odeslat zpětnou vazbu

AES Bitstream Encryption

Šifrování bitového toku Advanced Encryption Standard (AES) je funkce, která umožňuje vlastníkovi zařízení chránit důvěrnost duševního vlastnictví v konfiguračním bitovém toku.
K ochraně důvěrnosti klíčů využívá šifrování bitového proudu konfigurace řetězec klíčů AES. Tyto klíče se používají k šifrování dat vlastníka v konfiguračním bitovém toku, kde je první meziklíč zašifrován kořenovým klíčem AES.

3.1. Vytvoření kořenového klíče AES

K vytvoření kořenového klíče AES ve formátu softwarového šifrovacího klíče Intel Quartus Prime (.qek) můžete použít nástroj quartus_encrypt nebo referenční implementaci stratix10_encrypt.py. file.

Poznámka:

Stratix10_encrypt.py file se používá pro zařízení Intel Stratix® 10 a Intel Agilex 7.

Volitelně můžete zadat základní klíč použitý k odvození kořenového klíče AES a klíče odvozování klíče, hodnotu pro kořenový klíč AES přímo, počet zprostředkujících klíčů a maximální využití na zprostředkující klíč.

Musíte zadat rodinu zařízení, výstup .qek file umístění a heslo, když budete vyzváni.
Spuštěním následujícího příkazu vygenerujte kořenový klíč AES pomocí náhodných dat pro základní klíč a výchozích hodnot pro počet meziklíčů a maximální využití klíče.
Chcete-li použít referenční implementaci, nahradíte volání interpretru Pythonu, který je součástí softwaru Intel Quartus Prime, a vynecháte volbu –family=agilex; všechny ostatní možnosti jsou ekvivalentní. Napřample, příkaz quartus_encrypt nalezený dále v této části

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

lze převést na ekvivalentní volání referenční implementace následovně pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Nastavení šifrování Quartus
Chcete-li povolit šifrování bitového toku pro návrh, musíte určit příslušné možnosti pomocí panelu Zabezpečení zařízení a možností pinů přiřazení zařízení. Zaškrtnete políčko Povolit šifrování bitového toku konfigurace a v rozevírací nabídce požadované umístění úložiště šifrovacího klíče.

ISO 9001: 2015 Registrováno

Obrázek 3. Nastavení šifrování Intel Quartus Prime

3. AES Bitstream Encryption 683823 | 2023.05.23

Alternativně můžete do nastavení Intel Quartus Prime přidat následující příkaz přiřazení file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM na set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Chcete-li povolit další zmírnění útoků na postranní kanály, můžete povolit rozevírací seznam Poměr aktualizace šifrování a zaškrtávací políčko Povolit kódování.

Uživatelská příručka Intel Agilex® 7 Device Security 20

Odeslat zpětnou vazbu

3. AES Bitstream Encryption 683823 | 2023.05.23

Odpovídající změny v souboru .qsf jsou:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING na set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Šifrování konfiguračního bitového proudu
Před podepsáním bitového toku zašifrujete konfigurační bitový tok. Programování Intel Quartus Prime File Nástroj Generátor dokáže automaticky šifrovat a podepisovat konfigurační bitový tok pomocí grafického uživatelského rozhraní nebo příkazového řádku.
Volitelně můžete vytvořit částečně zašifrovaný bitový tok pro použití s nástroji quartus_encrypt a quartus_sign nebo ekvivalenty referenční implementace.

3.3.1. Konfigurace Šifrování bitového toku pomocí programování File Grafické rozhraní generátoru
Můžete použít programování File Generátor pro zašifrování a podepsání obrázku vlastníka.

Obrázek 4.

1. Na Intel Quartus Prime File vyberte v nabídce Programování File Generátor. 2. Na výstupu Files, zadejte výstup file zadejte pro vaši konfiguraci
systém.
Výstup File Specifikace

Konfigurační schéma Výstup file tab
Výstup file typ

3. Na vstupu Filena kartě Přidat bitový tok a přejděte do souboru .sof. 4. Chcete-li zadat možnosti šifrování a ověřování, vyberte soubor .sof a klepněte
Vlastnosti. A. Zapněte možnost Povolit nástroj pro podepisování. b. Pro soukromý klíč file vyberte svůj podpisový klíč private .pem file. C. Zapněte Finalize šifrování.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 21

3. AES Bitstream Encryption 683823 | 2023.05.23

Obrázek 5.

d. Pro šifrovací klíč file, vyberte svůj AES .qek file. Vstup (.sof) File Vlastnosti pro ověřování a šifrování

Povolit ověřování Zadejte privátní kořenový soubor .pem
Povolit šifrování Zadejte šifrovací klíč
5. Chcete-li vygenerovat podepsaný a šifrovaný bitový tok, na vstupu Files klepněte na tlačítko Generovat. Objeví se dialogová okna hesla, ve kterých můžete zadat heslo pro váš klíč AES .qek file a podepsání soukromého klíče .pem file. Programování file generátor vytvoří zašifrovaný a podepsaný výstup_file.rbf.
3.3.2. Konfigurace Šifrování bitového toku pomocí programování File Rozhraní příkazového řádku generátoru
Vygenerujte zašifrovaný a podepsaný konfigurační bitstream ve formátu .rbf pomocí rozhraní příkazového řádku quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
Můžete převést šifrovaný a podepsaný konfigurační bitový tok ve formátu .rbf na jiný konfigurační bitový tok file formátů.
3.3.3. Částečně šifrovaná konfigurace Generování bitového toku pomocí rozhraní příkazového řádku
Můžete vygenerovat částečně zašifrovaný program file dokončit šifrování a podepsat obrázek později. Vygenerujte částečně zašifrované programování file ve formátu .rbf s rozhraním příkazového řádku quartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Uživatelská příručka Intel Agilex® 7 Device Security 22

Odeslat zpětnou vazbu

3. AES Bitstream Encryption 683823 | 2023.05.23
K dokončení šifrování bitového toku použijte nástroj příkazového řádku quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
K podepsání šifrovaného konfiguračního bitového proudu použijte nástroj příkazového řádku quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signature_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signature_encrypted_top.rbf
3.3.4. Částečná rekonfigurace Bitstream Encryption
U některých návrhů FPGA Intel Agilex 7, které využívají částečnou rekonfiguraci, můžete povolit šifrování bitového toku.
Návrhy částečné rekonfigurace využívající Hierarchickou částečnou rekonfiguraci (HPR) nebo SUPR (Static Update Partial Reconfiguration) nepodporují šifrování bitového toku. Pokud váš návrh obsahuje více oblastí PR, musíte zašifrovat všechny persony.
Chcete-li povolit šifrování bitového toku s částečnou rekonfigurací, postupujte stejným způsobem ve všech revizích návrhu. 1. Na Intel Quartus Prime File vyberte možnost Přiřazení Zařízení Zařízení
a Možnosti PIN Zabezpečení. 2. Vyberte požadované umístění úložiště šifrovacího klíče.
Obrázek 6. Částečná rekonfigurace Nastavení šifrování bitového toku

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 23

3. AES Bitstream Encryption 683823 | 2023.05.23
Alternativně můžete přidat následující příkaz přiřazení v nastavení Quartus Prime file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION zapnuto
Poté, co zkompilujete svůj základní návrh a revize, software vygeneruje a.soffile a jeden nebo více.pmsffiles, zastupující osoby. 3. Vytvořte šifrované a podepsané programování files od.sof a.pmsf files podobným způsobem jako u návrhů bez možnosti částečné rekonfigurace. 4. Převeďte zkompilovaný soubor persona.pmsf file do částečně zašifrovaného.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Dokončete šifrování bitového toku pomocí nástroje příkazového řádku quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Podepište šifrovaný konfigurační bitstream pomocí nástroje příkazového řádku quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signature_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signature_encrypted_persona1.rbf

Uživatelská příručka Intel Agilex® 7 Device Security 24

Odeslat zpětnou vazbu

683823 | 2023.05.23 Odeslat zpětnou vazbu

Poskytování zařízení

Počáteční zajišťování funkcí zabezpečení je podporováno pouze ve firmwaru zajišťování SDM. Pomocí programátoru Intel Quartus Prime Programmer načtěte firmware pro zajišťování SDM a provádějte operace zajišťování.
Můžete použít jakýkoli typ JTAG stáhnout kabel pro připojení programátoru Quartus k zařízení Intel Agilex 7 a provádět operace zřizování.
4.1. Použití SDM Provision Firmware
Programátor Intel Quartus Prime automaticky vytvoří a načte výchozí pomocný obraz z výroby, když vyberete operaci inicializace a příkaz k naprogramování něčeho jiného než konfiguračního bitového toku.
V závislosti na zadaném programovacím příkazu je výchozí pomocný obraz z výroby jedním ze dvou typů:
· Pomocný obraz pro zajišťování – sestává z jedné části bitového toku obsahující firmware pro zajišťování SDM.
· Pomocný obraz QSPI – skládá se ze dvou částí bitového toku, z nichž jedna obsahuje hlavní firmware SDM a jedna sekce I/O.
Můžete vytvořit výchozí pomocný obrázek z výroby file načíst do vašeho zařízení před provedením jakéhokoli programovacího příkazu. Po naprogramování ověřovacího kořenového klíče hash musíte vytvořit a podepsat výchozí pomocný obraz QSPI z výroby, protože obsahuje sekci I/O. Pokud dodatečně naprogramujete nastavení zabezpečení eFuse podepsaného firmwaru, musíte se spolupodepsaným firmwarem vytvořit zřizovací a výchozí tovární pomocné obrazy QSPI. Na neposkytovaném zařízení můžete použít spolupodepsaný pomocný obraz výchozího továrního nastavení, protože nezabezpečené zařízení ignoruje řetězce podpisů jiných společností než Intel přes firmware SDM. Další podrobnosti o vytváření, podepisování a používání výchozího pomocného obrazu QSPI z výroby na vlastněných zařízeních najdete v části Používání výchozího pomocného obrazu QSPI na vlastněných zařízeních na stránce 26.
Výchozí pomocný obraz zřizování z výroby provádí akci zřizování, jako je programování hash kořenového klíče ověřování, pojistek nastavení zabezpečení, registrace PUF nebo zřizování černého klíče. Používáte programování Intel Quartus Prime File Nástroj příkazového řádku Generátor k vytvoření pomocného obrazu zřizování, který specifikuje volbu helper_image, název vašeho helper_device, podtyp pomocného obrazu zřizování a volitelně spolupodepsaný firmware .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signature_provision_helper_image.rbf
Naprogramujte pomocný obraz pomocí nástroje Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;podepsané_provision_helper_image.rbf” –force

ISO 9001: 2015 Registrováno

4. Poskytování zařízení 683823 | 2023.05.23

Poznámka:

Můžete vynechat operaci inicializace z příkazů, včetně exampsoubory uvedené v této kapitole, buď po naprogramování pomocného obrazu poskytování nebo pomocí příkazu, který obsahuje operaci inicializace.

4.2. Použití továrního výchozího pomocného obrázku QSPI na vlastněných zařízeních
Programátor Intel Quartus Prime automaticky vytvoří a načte výchozí pomocný obraz QSPI z výroby, když vyberete operaci inicializace pro programování flash QSPI. file. Po naprogramování ověřovacího kořenového klíče hash musíte vytvořit a podepsat výchozí pomocný obraz výrobce QSPI a naprogramovat podepsaný pomocný obraz továrního nastavení QSPI samostatně před programováním QSPI flash. 1. Používáte programování Intel Quartus Prime File Nástroj příkazového řádku generátoru
vytvořte pomocný obrázek QSPI s uvedením možnosti helper_image, typu vašeho helper_device, podtypu pomocného obrázku QSPI a volitelně spolupodepsaného firmwaru .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Podepíšete výchozí pomocný obrázek QSPI z výroby:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signature_qspi_helper_image.rbf
3. Můžete použít jakékoli QSPI flash programování file formát. Následující exampsoubory používají konfigurační bitový tok převedený na .jic file formát:
quartus_pfg -c signature_bitstream.rbf signature_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Podepsaný pomocný obraz naprogramujete pomocí nástroje Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –force
5. Pomocí nástroje Intel Quartus Prime Programmer naprogramujete obraz .jic na flash:
quartus_pgm -c 1 -mjtag -o „p;signed_flash.jic“

4.3. Poskytování autentizačního kořenového klíče
Chcete-li naprogramovat hash kořenového klíče vlastníka na fyzické pojistky, musíte nejprve načíst firmware pro zajištění, poté naprogramovat haše kořenového klíče vlastníka a poté okamžitě provést reset po zapnutí. Reset po zapnutí není vyžadován, pokud programujete hash kořenového klíče na virtuální pojistky.

Uživatelská příručka Intel Agilex® 7 Device Security 26

Odeslat zpětnou vazbu

4. Poskytování zařízení 683823 | 2023.05.23
Chcete-li naprogramovat hodnoty hash kořenového klíče ověřování, naprogramujte pomocný obraz zřizovacího firmwaru a spusťte jeden z následujících příkazů k naprogramování kořenového klíče .qky files.
// Pro fyzické (nevolatilní) eFuses quartus_pgm -c 1 -mjtag -o „p;root0.qky;root1.qky;root2.qky“ –non_volatile_key
// Pro virtuální (volatilní) eFuses quartus_pgm -c 1 -mjtag -o „p;root0.qky;root1.qky;root2.qky“
4.3.1. Částečná rekonfigurace Multi-Authority Root Key Programování
Po zřízení kořenových klíčů vlastníka bitového toku zařízení nebo statické oblasti znovu načtete pomocný obraz pro poskytování zařízení, naprogramujete podepsaný kompaktní certifikát autorizace programu veřejného klíče PR a poté zřídíte kořenový klíč vlastníka bitového toku osoby PR.
// Pro fyzické (nevolatilní) eFuses quartus_pgm -c 1 -mjtag -o „p;root_pr.qky“ –pr_pubkey –non_volatile_key
// Pro virtuální (volatilní) eFuses quartus_pgm -c 1 -mjtag -o „p;p;root_pr.qky“ –pr_pubkey
4.4. Programovací klíč zrušení ID pojistek
Počínaje softwarem Intel Quartus Prime Pro Edition verze 21.1 vyžaduje programování pojistek Intel a ID zrušení klíče vlastníka použití podepsaného kompaktního certifikátu. Kompaktní certifikát ID zrušení klíče můžete podepsat pomocí řetězce podpisů, který má oprávnění k podepisování sekce FPGA. Kompaktní certifikát vytvoříte pomocí programování file generátor příkazového řádku. Nepodepsaný certifikát podepíšete pomocí nástroje quartus_sign nebo referenční implementace.
Zařízení Intel Agilex 7 podporují samostatné banky ID zrušení vlastníka klíče pro každý kořenový klíč. Když je kompaktní certifikát ID zrušení vlastníka klíče naprogramován do Intel Agilex 7 FPGA, SDM určí, který kořenový klíč podepsal kompaktní certifikát, a přeruší pojistku ID zrušení klíče, která odpovídá tomuto kořenovému klíči.
Následující exampvytvořit certifikát zrušení klíče Intel pro ID klíče Intel 7. Číslo 7 můžete nahradit příslušným ID zrušení klíče Intel od 0-31.
Spusťte následující příkaz a vytvořte nepodepsaný kompaktní certifikát Intel pro zrušení klíče:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Spuštěním jednoho z následujících příkazů podepište nepodepsaný kompaktní certifikát Intel pro zrušení klíče:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signature_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 27

4. Poskytování zařízení 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signature_cancel_intel7.ccert
Spuštěním následujícího příkazu vytvořte kompaktní certifikát ID zrušení nepodepsaného klíče vlastníka:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Spuštěním jednoho z následujících příkazů podepište kompaktní certifikát ID zrušení nepodepsaného klíče vlastníka:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signature_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signature_cancel_owner2.ccert
Po vytvoření kompaktního certifikátu ID zrušení podepsaného klíče můžete pomocí programátoru Intel Quartus Prime naprogramovat kompaktní certifikát do zařízení pomocí JTAG.
//Pro fyzické (nevolatilní) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o „pi;podepsaný_vlastník_zrušení2.ccert“ –nestálý_klíč
//Pro virtuální (volatilní) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o „pi;signed_cancel_owner2.ccert“
Kompaktní certifikát můžete dodatečně odeslat do SDM pomocí rozhraní poštovní schránky FPGA nebo HPS.
4.5. Zrušení kořenových klíčů
Zařízení Intel Agilex 7 vám umožní zrušit hash kořenového klíče, když je přítomen jiný nezrušený hash kořenového klíče. Hash kořenového klíče zrušíte tak, že nejprve nakonfigurujete zařízení s návrhem, jehož řetězec podpisů je zakořeněn v jiném hash kořenového klíče, a poté naprogramujete kompaktní certifikát pro zrušení hash kořenového klíče podepsaného. Kompaktní certifikát pro zrušení hash kořenového klíče musíte podepsat pomocí řetězce podpisů zakořeněného v kořenovém klíči, který má být zrušen.
Spuštěním následujícího příkazu vygenerujte nepodepsaný kompaktní certifikát pro zrušení hash kořenového klíče:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Uživatelská příručka Intel Agilex® 7 Device Security 28

Odeslat zpětnou vazbu

4. Poskytování zařízení 683823 | 2023.05.23

Spuštěním jednoho z následujících příkazů podepište kompaktní certifikát pro zrušení hash nepodepsaného kořenového klíče:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signature_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signature_root_cancel.ccert
Kompaktní certifikát pro zrušení hash kořenového klíče můžete naprogramovat pomocí JTAGpoštovní schránky FPGA nebo HPS.

4.6. Programování pojistek čítače
Aktualizujete číslo bezpečnostní verze (SVN) a Pseudo Time Stamp (PTS) čítačové pojistky pomocí podepsaných kompaktních certifikátů.

Poznámka:

SDM sleduje minimální hodnotu čítače zaznamenanou během dané konfigurace a nepřijímá certifikáty přírůstku čítače, když je hodnota čítače menší než minimální hodnota. Před programováním kompaktního certifikátu přírůstku čítače musíte aktualizovat všechny objekty přiřazené k čítači a překonfigurovat zařízení.

Spusťte jeden z následujících příkazů, který odpovídá certifikátu přírůstku čítače, který chcete vygenerovat.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Hodnota počítadla 1 vytvoří autorizační certifikát přírůstku počítadla. Naprogramování kompaktního certifikátu autorizace přírůstku čítače umožňuje naprogramovat další nepodepsané přírůstkové certifikáty čítače pro aktualizaci příslušného čítače. Pomocí nástroje quartus_sign podepíšete kompaktní certifikáty čítače podobným způsobem jako kompaktní certifikáty ID zrušení klíče.
Kompaktní certifikát pro zrušení hash kořenového klíče můžete naprogramovat pomocí JTAGpoštovní schránky FPGA nebo HPS.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 29

4. Poskytování zařízení 683823 | 2023.05.23

4.7. Zabezpečené poskytování kořenového klíče služby Data Object Service
K zajištění kořenového klíče Secure Data Object Service (SDOS) používáte programátor Intel Quartus Prime. Programátor automaticky načte pomocný obraz zřizovacího firmwaru pro zřízení kořenového klíče SDOS.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

4.8. Nastavení zabezpečení Zabezpečení pojistek
Pomocí programátoru Intel Quartus Prime Programmer prozkoumejte pojistky nastavení zabezpečení zařízení a zapište je do textové .pojistky file následovně:
quartus_pgm -c 1 -mjtag -o "ei;programování_file.pojistka;AGFB014R24B”

Možnosti · i: Programátor nahraje pomocný obraz pro poskytování firmwaru do zařízení. · e: Programátor načte pojistku ze zařízení a uloží ji do .pojistky file.

Pojistka file obsahuje seznam párů název-hodnota pojistky. Hodnota udává, zda byla spálená pojistka nebo obsah pojistkového pole.

Následující example ukazuje formát .pojistky file:

# Firmware podepsaný společně

= "Neprofouknuto"

# Device Permit Kill

= "Neprofouknuto"

# Zařízení není zabezpečené

= "Neprofouknuto"

# Zakázat ladění HPS

= "Neprofouknuto"

# Zakázat registraci vnitřního ID PUF

= "Neprofouknuto"

# Zakázat JTAG

= "Neprofouknuto"

# Zakázat šifrovací klíč zabalený v PUF

= "Neprofouknuto"

# Zakázat šifrovací klíč vlastníka v BBRAM = „Nevyhozeno“

# Zakázat šifrovací klíč vlastníka v eFuses = „Nevyhozeno“

# Zakázat hash veřejného klíče kořenového vlastníka 0

= "Neprofouknuto"

# Zakázat hash veřejného klíče kořenového vlastníka 1

= "Neprofouknuto"

# Zakázat hash veřejného klíče kořenového vlastníka 2

= "Neprofouknuto"

# Zakázat virtuální eFuses

= "Neprofouknuto"

# Vynucení hodin SDM na interní oscilátor = „Neprofouknuto“

# Vynutit aktualizaci šifrovacího klíče

= "Neprofouknuto"

# Zrušení explicitního klíče Intel

= "0"

# Zamkněte bezpečnostní eFuses

= "Neprofouknuto"

# Program šifrovacího klíče vlastníka je hotový

= "Neprofouknuto"

# Spuštění programu šifrovacího klíče vlastníka

= "Neprofouknuto"

# Výslovné zrušení klíče vlastníka 0

= ""

# Výslovné zrušení klíče vlastníka 1

= ""

# Výslovné zrušení klíče vlastníka 2

= ""

# Pojistky vlastníka

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Vlastník kořenový veřejný klíč hash 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Vlastník kořenový veřejný klíč hash 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Vlastník kořenový veřejný klíč hash 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Velikost veřejného klíče kořene vlastníka

= "Žádné"

# Počítadlo PTS

= "0"

# Základna čítače PTS

= "0"

Uživatelská příručka Intel Agilex® 7 Device Security 30

Odeslat zpětnou vazbu

4. Poskytování zařízení 683823 | 2023.05.23

# Zpoždění spouštění QSPI # Čítač RMA # SDMIO0 je I2C # Čítač SVN A # Čítač SVN B # Čítač SVN C # Čítač SVN D

= „10 ms“ = „0“ = „Neprofouknuto“ = „0“ = „0“ = „0“ = „0“

Upravte .pojistku file pro nastavení požadovaných pojistek nastavení zabezpečení. Řádek začínající znakem # je považován za řádek komentáře. Chcete-li naprogramovat pojistku nastavení zabezpečení, odstraňte úvodní # a nastavte hodnotu na Blown. NapřampChcete-li povolit pojistku nastavení zabezpečení Co-signed Firmware, upravte první řádek pojistky file následující:
Spolupodepsaný firmware = „Blowed“

Můžete také přidělit a naprogramovat pojistky vlastníka na základě vašich požadavků.
Následující příkaz můžete použít k provedení kontroly prázdna, naprogramování a ověření kořenového veřejného klíče vlastníka:
quartus_pgm -c 1 -mjtag -o „ibpv;root0.qky“

Možnosti · i: Načte pomocný obraz pro poskytování firmwaru do zařízení. · b: Provede slepou kontrolu, aby se ověřilo, že požadované pojistky nastavení zabezpečení nejsou
již foukané. · p: Programuje pojistku. · v: Ověřuje naprogramovaný klíč na zařízení.
Po naprogramování .qky file, můžete zkontrolovat informace o pojistce tak, že znovu zkontrolujete informace o pojistce, abyste zajistili, že hash veřejného klíče vlastníka i velikost veřejného klíče vlastníka mají nenulové hodnoty.
Zatímco do následujících polí nelze zapisovat přes .fuse file metoda, jsou zahrnuty během výstupu operace prověřování pro ověření: · Zařízení není zabezpečeno · Povolení zařízení deaktivovat · Zakázat hash veřejného klíče kořenového vlastníka 0 · Zakázat hash veřejného klíče kořenového vlastníka 1 · Zakázat hash veřejného klíče kořenového vlastníka 2 · Zrušení klíče Intel · Spuštění programu šifrovacího klíče vlastníka · Program šifrovacího klíče vlastníka byl dokončen · Zrušení klíče vlastníka · Hash veřejného klíče vlastníka · Velikost veřejného klíče vlastníka · Hash veřejného klíče kořenového vlastníka 0 · Hash veřejného klíče kořenového vlastníka 1 · Hodnota hash veřejného klíče kořenového vlastníka 2

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 31

4. Poskytování zařízení 683823 | 2023.05.23
· Čítač PTS · Základna čítače PTS · Zpoždění spuštění QSPI · Čítač RMA · SDMIO0 je I2C · Čítač SVN A · Čítač SVN B · Čítač SVN C · Čítač SVN D
K naprogramování .pojistky použijte programátor Intel Quartus Prime file zpět k zařízení. Pokud přidáte možnost i, programátor automaticky nahraje prováděcí firmware k naprogramování pojistek nastavení zabezpečení.
//Pro fyzické (nevolatilní) eFuses quartus_pgm -c 1 -mjtag -o "pi;programování_file.pojistka” –non_volatile_key
//Pro virtuální (volatilní) eFuses quartus_pgm -c 1 -mjtag -o "pi;programování_file.pojistka"
Následující příkaz můžete použít k ověření, zda je hash kořenového klíče zařízení stejný jako .qky uvedený v příkazu:
quartus_pgm -c 1 -mjtag -o „v;root0_another.qky“
Pokud se klíče neshodují, programátor selže s chybovou zprávou Operation failed.
4.9. Poskytování kořenového klíče AES
K naprogramování kořenového klíče AES pro zařízení Intel Agilex 7 musíte použít podepsaný kompaktní certifikát kořenového klíče AES.
4.9.1. Kompaktní certifikát kořenového klíče AES
K převodu kořenového klíče AES .qek použijte nástroj příkazového řádku quartus_pfg file do kompaktního certifikátu .ccert formátu. Umístění úložiště klíčů určíte při vytváření kompaktního certifikátu. K vytvoření nepodepsaného certifikátu pro pozdější podpis můžete použít nástroj quartus_pfg. Abyste mohli úspěšně podepsat kompaktní certifikát kořenového klíče AES, musíte použít podpisový řetězec s oprávněním k podpisu certifikátu kořenového klíče AES, bit oprávnění 6.

Uživatelská příručka Intel Agilex® 7 Device Security 32

Odeslat zpětnou vazbu

4. Poskytování zařízení 683823 | 2023.05.23
1. Vytvořte další pár klíčů používaný k podepsání kompaktního certifikátu klíče AES pomocí jednoho z následujících příkazů examples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –mechanismus párování klíčů ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. Pomocí jednoho z následujících příkazů vytvořte řetězec podpisů se správným nastavením bitů oprávnění:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_key root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Vytvořte nepodepsaný kompaktní certifikát AES pro požadované umístění úložiště kořenového klíče AES. K dispozici jsou následující možnosti úložiště kořenového klíče AES:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Vytvořit kořenový klíč eFuse AES nepodepsaný certifikát quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Podepište kompaktní certifikát pomocí příkazu quartus_sign nebo referenční implementace.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1. podepsaný certifikát_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 33

4. Poskytování zařízení 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1. podepsaný certifikát_ 1.ccert
5. Pomocí programátoru Intel Quartus Prime Programmer naprogramujte kompaktní certifikát kořenového klíče AES do zařízení Intel Agilex 7 pomocí JTAG. Programátor Intel Quartus Prime ve výchozím nastavení programuje virtuální eFuse při použití typu kompaktního certifikátu EFUSE_WRAPPED_AES_KEY.
Přidáním volby –non_volatile_key specifikujete programování fyzických pojistek.
//Pro fyzický (nevolatilní) kořenový klíč eFuse AES quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –non_volatile_key

//Pro virtuální (volatilní) kořenový klíč eFuse AES quartus_pgm -c 1 -mjtag -o „pi;signed_efuse1.ccert“

//Pro kořenový klíč BBRAM AES quartus_pgm -c 1 -mjtag -o „pi;signed_bbram1.ccert“

Firmware pro poskytování SDM a hlavní firmware podporují programování certifikátu kořenového klíče AES. K naprogramování certifikátu kořenového klíče AES můžete také použít rozhraní poštovní schránky SDM z FPGA nebo HPS.

Poznámka:

Příkaz quartus_pgm nepodporuje volby b a v pro kompaktní certifikáty (.ccert).

4.9.2. Intrinsic ID® PUF AES Root Key Provisioning
Implementace klíče AES zabaleného Intrinsic* ID PUF zahrnuje následující kroky: 1. Registrace vnitřního ID PUF pomocí JTAG. 2. Zabalení kořenového klíče AES. 3. Programování pomocných dat a zabaleného klíče do quad SPI flash paměti. 4. Dotaz na stav aktivace Intrinsic ID PUF.
Použití technologie Intrinsic ID vyžaduje samostatnou licenční smlouvu s Intrinsic ID. Software Intel Quartus Prime Pro Edition omezuje operace PUF bez příslušné licence, jako je registrace, zalamování klíčů a programování dat PUF na QSPI flash.

4.9.2.1. Intrinsic ID PUF Enrollment
Chcete-li zaregistrovat PUF, musíte použít firmware pro poskytování SDM. Prováděcí firmware musí být prvním firmwarem načteným po vypnutí a zapnutí a před jakýmkoli dalším příkazem musíte vydat příkaz k zápisu PUF. Firmware pro poskytování podporuje další příkazy po registraci PUF, včetně zalamování kořenových klíčů AES a programování quad SPI, ale pro načtení konfiguračního bitového toku musíte zařízení vypnout a vypnout.
Ke spuštění registrace PUF a generování pomocných dat PUF .puf používáte programátor Intel Quartus Prime Programmer file.

Uživatelská příručka Intel Agilex® 7 Device Security 34

Odeslat zpětnou vazbu

4. Poskytování zařízení 683823 | 2023.05.23

Obrázek 7.

Intrinsic ID PUF Enrollment
quartus_pgm Registrace PUF

Pomocná data zápisu PUF

Secure Device Manager (SDM)

wrapper.puf Pomocná data
Programátor automaticky načte pomocný obraz zřizovacího firmwaru, když zadáte jak operaci i, tak argument .puf.
quartus_pgm -c 1 -mjtag -o „ei;help_data.puf;AGFB014R24A“
Pokud používáte spolupodepsaný firmware, naprogramujte pomocný obraz spolupodepsaného firmwaru před použitím příkazu PUF enrollment.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o „e;help_data.puf;AGFB014R24A“
UDS IID PUF je zaregistrován během výroby zařízení a nelze jej znovu zaregistrovat. Místo toho použijete programátor k určení umístění pomocných dat UDS PUF na IPCS, stáhněte si soubor .puf file přímo a poté použijte UDS .puf file stejným způsobem jako .puf file extrahováno ze zařízení Intel Agilex 7.
Ke generování textu použijte následující příkaz Programmer file obsahující seznam URLs ukazující na konkrétní zařízení files na IPCS:
quartus_pgm -c 1 -mjtag -o "e;ips_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Zabalení kořenového klíče AES
Vygenerujete kořenový klíč AES .wkey zabalený do IID PUF file odesláním podepsaného certifikátu do SDM.
K automatickému vygenerování, podepsání a odeslání certifikátu k zabalení kořenového klíče AES můžete použít programátor Intel Quartus Prime, nebo můžete použít programování Intel Quartus Prime. File Generátor pro vygenerování nepodepsaného certifikátu. Nepodepsaný certifikát podepíšete pomocí vlastních nástrojů nebo podpisového nástroje Quartus. Poté použijte programátor k odeslání podepsaného certifikátu a zabalení kořenového klíče AES. Podepsaný certifikát lze použít k naprogramování všech zařízení, která mohou ověřit podpisový řetězec.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 35

4. Poskytování zařízení 683823 | 2023.05.23

Obrázek 8.

Zabalení klíče AES pomocí programátoru Intel Quartus Prime
.pem Soukromé
Klíč

.qky

quartus_pgm

Zabalte klíč AES

AES.QSKigYnature RootCPhuabilnic Key

Generovat PUF zabalený klíč

Zabalený klíč AES

SDM

Šifrování .qek
Klíč

.wkey PUF-balené
Klíč AES

1. Kořenový klíč AES (.wkey) zabalený do IID PUF můžete vygenerovat pomocí programátoru pomocí následujících argumentů:
· Soubor .qky file obsahující řetězec podpisů s oprávněním certifikátu kořenového klíče AES
· Soukromý .pem file pro poslední klíč v řetězci podpisů
· Soubor .qek file podržením kořenového klíče AES
· 16bajtový inicializační vektor (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o „ei;aes.wkey;AGFB014R24A“

2. Alternativně můžete vygenerovat nepodepsaný certifikát kořenového klíče AES pro obalování IID PUF pomocí File Generátor pomocí následujících argumentů:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Nepodepsaný certifikát podepíšete svými vlastními nástroji pro podepisování nebo nástrojem quartus_sign pomocí následujícího příkazu:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signature_aes.ccert

4. Poté pomocí programátoru odešlete podepsaný certifikát AES a vrátíte zabalený klíč (.wkey) file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o „ei;aes.wkey;AGFB014R24A“

Poznámka: Operace i není nutná, pokud jste dříve načetli pomocný obraz pro zajišťovací firmware, napřample, zapsat PUF.

4.9.2.3. Programování pomocných dat a zabaleného klíče do paměti QSPI Flash
Používáte programování Quartus File Grafické rozhraní generátoru pro vytvoření počátečního flash obrazu QSPI obsahujícího oddíl PUF. Chcete-li přidat oddíl PUF do flash paměti QSPI, musíte vygenerovat a naprogramovat celý flash programovací obraz. Vytvoření PUF

Uživatelská příručka Intel Agilex® 7 Device Security 36

Odeslat zpětnou vazbu

4. Poskytování zařízení 683823 | 2023.05.23

Obrázek 9.

datový oddíl a použití pomocných dat PUF a zabaleného klíče files pro generování flash obrazu není podporováno prostřednictvím Programování File Rozhraní příkazového řádku generátoru.
Následující kroky demonstrují vytvoření flash programovacího obrazu s pomocnými daty PUF a zabaleným klíčem:
1. Na File klepněte v nabídce Programování File Generátor. Na výstupu Files proveďte následující výběry:
A. Pro řadu zařízení vyberte Agilex 7.
b. Pro režim konfigurace vyberte Active Serial x4.
C. Pro výstupní adresář vyhledejte svůj výstup file adresář. Tento example používá output_files.
d. Do pole Název zadejte název programování file být generován. Tento example používá output_file.
E. V části Popis vyberte programování files generovat. Tento example generuje JTAG Nepřímá konfigurace File (.jic) pro konfiguraci zařízení a nezpracovaný binární soubor File of Programming Helper Image (.rbf) pro pomocný obraz zařízení. Tento example také vybere volitelnou mapu paměti File (.map) a nezpracovaná programovací data File (.rpd). Nezpracovaná programovací data file je nutné pouze v případě, že v budoucnu plánujete používat programátor třetí strany.
Programování File Generátor – výstup Files Karta – vyberte JTAG Nepřímá konfigurace

Režim konfigurace rodiny zařízení
Výstup file tab
Výstupní adresář
JTAG Nepřímá (.jic) mapa paměti File Pomocník pro programování Nezpracovaná programovací data
Na vstupu Files proveďte následující výběry: 1. Klepněte na Přidat bitový tok a vyhledejte soubor .sof. 2. Vyberte svůj .sof file a potom klepněte na příkaz Vlastnosti.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 37

4. Poskytování zařízení 683823 | 2023.05.23
A. Zapněte možnost Povolit nástroj podepisování. b. Pro soukromý klíč file vyberte svůj .pem file. C. Zapněte možnost Finalizovat šifrování. d. Pro šifrovací klíč file vyberte svůj .qek file. E. Klepnutím na OK se vrátíte do předchozího okna. 3. Chcete-li zadat pomocná data PUF file, klikněte na Přidat nezpracovaná data. Změň Files rozevírací nabídky typu Quartus Physical Unclonable Function File (*.puf). Vyhledejte svůj .puf file. Pokud používáte IID PUF i UDS IID PUF, opakujte tento krok, aby .puf files pro každý PUF jsou přidány jako vstup files. 4. Chcete-li zadat zabalený klíč AES file, klikněte na Přidat nezpracovaná data. Změň Files rozevírací nabídky typu Quartus Wrapped Key File (*.wkey). Vyhledejte svůj .wkey file. Pokud jste zabalili klíče AES pomocí IID PUF i UDS IID PUF, opakujte tento krok, aby .wkey files pro každý PUF jsou přidány jako vstup files.
Obrázek 10. Zadejte vstup Files pro konfiguraci, ověřování a šifrování

Přidat bitový proud Přidat nezpracovaná data
Vlastnosti
Soukromý klíč file
Dokončete šifrování Šifrovací klíč
Na záložce Konfigurační zařízení proveďte následující výběr: 1. Klepněte na Přidat zařízení a vyberte své zařízení Flash ze seznamu dostupných zařízení Flash.
zařízení. 2. Vyberte konfigurační zařízení, které jste právě přidali, a klikněte na Přidat oddíl. 3. V dialogovém okně Upravit oddíl pro vstup file a vyberte svůj .sof z
rozbalovací seznam. V dialogovém okně Upravit oddíl můžete zachovat výchozí hodnoty nebo upravit ostatní parametry.

Uživatelská příručka Intel Agilex® 7 Device Security 38

Odeslat zpětnou vazbu

4. Poskytování zařízení 683823 | 2023.05.23
Obrázek 11. Určení vašeho oddílu .sof Configuration Bitstream

Konfigurační zařízení
Upravit oddíl Přidat .sof file

Přidat oddíl

4. Když přidáte .puf a .wkey jako vstup files, Programování File Generátor automaticky vytvoří oddíl PUF ve vašem konfiguračním zařízení. Chcete-li uložit .puf a .wkey do oddílu PUF, vyberte oddíl PUF a klikněte na Upravit. V dialogovém okně Upravit oddíl vyberte soubor .puf a .wkey files z rozevíracích seznamů. Pokud odstraníte oddíl PUF, musíte odebrat a znovu přidat konfigurační zařízení pro programování File Generátor pro vytvoření dalšího oddílu PUF. Musíte se ujistit, že jste vybrali správný .puf a .wkey file pro IID PUF a UDS IID PUF, v daném pořadí.
Obrázek 12. Přidejte klíč .puf a .wkey files do oddílu PUF

PUF oddíl

Upravit

Upravit oddíl

Flash Loader

Vyberte Generovat

5. Pro parametr Flash Loader vyberte rodinu zařízení Intel Agilex 7 a název zařízení, který odpovídá vašemu OPN Intel Agilex 7.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 39

4. Poskytování zařízení 683823 | 2023.05.23
6. Klepnutím na Generovat vygenerujte výstup filekteré jste zadali na výstupu Files tab.
7. Programování File Generátor čte váš .qek file a vyzve vás k zadání přístupové fráze. Zadejte svou přístupovou frázi jako odpověď na výzvu Enter QEK passphrase. Klepněte na klávesu Enter.
8. Klepněte na OK, když se zobrazí Programování File Generátor hlásí úspěšné vygenerování.
Pomocí programátoru Intel Quartus Prime Programmer zapíšete obraz programování QSPI do paměti flash QSPI. 1. V nabídce Nástroje Intel Quartus Prime vyberte položku Programátor. 2. V Programátoru klikněte na Nastavení hardwaru a poté vyberte připojený Intel
Kabel ke stažení FPGA. 3. Klikněte na Přidat File a přejděte do souboru .jic file.
Obrázek 13. Program .jic

Programování file

Programovat/konfigurovat

JTAG skenovací řetězec
4. Zrušte zaškrtnutí políčka spojeného s obrazem Pomocníka. 5. Vyberte Program/Konfigurovat pro výstup .jic file. 6. Zapněte tlačítko Start pro naprogramování vaší quad SPI flash paměti. 7. Vypněte a zapněte desku. Konstrukce naprogramovaná na quad SPI flash paměť
zařízení se následně načte do cílového FPGA.
Pro přidání oddílu PUF do quad SPI flash musíte vygenerovat a naprogramovat celý flash programovací obraz.
Pokud již ve flashi existuje oddíl PUF, je možné použít programátor Intel Quartus Prime pro přímý přístup k pomocným datům PUF a zabalenému klíči. files. Napřample, pokud je aktivace neúspěšná, je možné znovu zaregistrovat PUF, znovu zabalit klíč AES a následně pouze naprogramovat PUF files bez nutnosti přepisování celého blesku.

Uživatelská příručka Intel Agilex® 7 Device Security 40

Odeslat zpětnou vazbu

4. Poskytování zařízení 683823 | 2023.05.23
Programátor Intel Quartus Prime podporuje následující argument operace pro PUF files v již existujícím oddílu PUF:
· p: program
· v: ověřit
· r: vymazat
· b: bianco šek
Pro zápis PUF musíte dodržovat stejná omezení, i když existuje oddíl PUF.
1. Použijte argument operace i k načtení pomocného obrazu zajišťovacího firmwaru pro první operaci. NapřampNásledující příkazová sekvence znovu zapíše PUF, znovu zabalí kořenový klíč AES, vymaže stará pomocná data PUF a zalomený klíč, poté naprogramuje a ověří nová pomocná data PUF a kořenový klíč AES.
quartus_pgm -c 1 -mjtag -o „ei;new.puf;AGFB014R24A“ quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;starý.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o „p;new.wkey“ quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o „v;new.wkey“
4.9.2.4. Dotazování na stav aktivace vnitřního ID PUF
Poté, co zaregistrujete Intrinsic ID PUF, zabalte klíč AES a vygenerujte programování flash files a aktualizujete quad SPI flash, zapnete a zapnete zařízení, aby se spustila aktivace a konfigurace PUF ze šifrovaného bitového toku. SDM hlásí stav aktivace PUF spolu se stavem konfigurace. Pokud se aktivace PUF nezdaří, SDM místo toho hlásí chybový stav PUF. K dotazu na stav konfigurace použijte příkaz quartus_pgm.
1. K dotazu na stav aktivace použijte následující příkaz:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Zde je sampvýstup z úspěšné aktivace:
Info (21597): Odezva CONFIG_STATUS Zařízení běží v uživatelském režimu 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STAV=NEČINNÝ 00160300 Verze C000007B MSEL=QSPI_NORMAL=1,nSTATUS=NORMAL, nSTATUS=OK
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Místo chyby 00000000 Podrobnosti o chybě Odpověď PUF_STATUS,00002000OK_STATUS 2 00000500 USER_IDID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 41

4. Poskytování zařízení 683823 | 2023.05.23

Pokud používáte pouze IID PUF nebo UDS IID PUF a nenaprogramovali jste pomocná data .puf file pro oba PUF v QSPI flash se tento PUF neaktivuje a stav PUF odráží, že pomocná data PUF nejsou platná. Následující example zobrazuje stav PUF, když pomocná data PUF nebyla naprogramována ani pro PUF:
Odpověď PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Umístění PUF ve Flash paměti
Umístění PUF file se liší pro návrhy, které podporují RSU a návrhy, které nepodporují funkci RSU.

U návrhů, které nepodporují RSU, musíte zahrnout .puf a .wkey files při vytváření aktualizovaných flash obrázků. U návrhů, které podporují RSU, SDM nepřepisuje datové sekce PUF během aktualizace obrazu z výroby nebo aplikace.

Tabulka 2.

Rozvržení dílčích částí Flash bez podpory RSU

Flash Offset (v bajtech)

Velikost (v bajtech)

Obsah

Popis

0K 256K

256K 256K

Firmware správy konfigurace Firmware správy konfigurace

Firmware, který běží na SDM.

512 tis

256 tis

Firmware pro správu konfigurace

768 tis

256 tis

Firmware pro správu konfigurace

32 tis

Kopie dat PUF 0

Datová struktura pro ukládání pomocných dat PUF a kopie kořenového klíče AES zabalená do PUF 0

1M + 32K

32 tis

Kopie dat PUF 1

Datová struktura pro ukládání pomocných dat PUF a kopie kořenového klíče AES zabalená do PUF 1

Tabulka 3.

Rozvržení dílčích částí Flash s podporou RSU

Flash Offset (v bajtech)

Velikost (v bajtech)

Obsah

Popis

0K 512K

512K 512K

Rozhodovací firmware Rozhodovací firmware

Firmware pro identifikaci a načtení obrazu s nejvyšší prioritou.

1M 1.5M

512K 512K

Rozhodovací firmware Rozhodovací firmware

8K + 24K

Data rozhodovacího firmwaru

Vycpávka

Vyhrazeno pro použití firmware Decision.

2M + 32K

32 tis

Rezervováno pro SDM

Rezervováno pro SDM.

2M + 64K

Variabilní

Tovární obrázek

Jednoduchý obraz, který vytvoříte jako zálohu, pokud se nepodaří načíst všechny ostatní obrazy aplikace. Tento obrázek obsahuje CMF, který běží na SDM.

Další

32 tis

Kopie dat PUF 0

Datová struktura pro ukládání pomocných dat PUF a kopie kořenového klíče AES zabalená do PUF 0
pokračování…

Uživatelská příručka Intel Agilex® 7 Device Security 42

Odeslat zpětnou vazbu

4. Poskytování zařízení 683823 | 2023.05.23

Flash Offset (v bajtech)

Velikost (v bajtech)

Další +32 tis. 32 tis

Obsah kopie dat PUF 1

Další + 256 4 32K Další +4 32 4K Další +XNUMX XNUMX XNUMXK

Kopie tabulky dílčích oblastí 0 kopie tabulky dílčích oblastí 1 kopie bloku ukazatele CMF 0

Dalších +32 tisíc _

Kopie bloku ukazatele CMF 1

Proměnná Proměnná

Obrázek aplikace 1 Obrázek aplikace 2

4.9.3. Poskytování černého klíče

Popis
Datová struktura pro ukládání pomocných dat PUF a kopie kořenového klíče AES zabalená do PUF 1
Struktura dat pro usnadnění správy flashového úložiště.
Seznam ukazatelů na obrázky aplikací v pořadí podle priority. Když přidáte obrázek, tento obrázek se stane nejvyšším.
Druhá kopie seznamu ukazatelů na obrázky aplikací.
Váš první obrázek aplikace.
Váš druhý obrázek aplikace.

Poznámka:

Intel Quartus PrimeProgrammer pomáhá při navazování vzájemně ověřeného zabezpečeného spojení mezi zařízením Intel Agilex 7 a službou poskytování černého klíče. Zabezpečené připojení je navázáno přes https a vyžaduje několik certifikátů identifikovaných pomocí textu file.
Při používání Black Key Provisioning společnost Intel doporučuje, abyste se vyhnuli externímu připojování kolíku TCK k vytahování nebo stahování rezistoru, zatímco jej stále používáte pro JTAG. Můžete však připojit pin TCK k napájení VCCIO SDM pomocí odporu 10 k. Existující pokyny v Pokynech pro připojení pinů pro připojení TCK k 1k pull-down rezistoru jsou zahrnuty pro potlačení šumu. Změna vedení na 10k pull-up rezistor nemá vliv na funkci zařízení. Další informace o připojení pinu TCK naleznete v pokynech pro připojení Intel Agilex 7 Pin.
Thebkp_tls_ca_certcertificate ověřuje vaši instanci služby zřizování černého klíče k vaší instanci programátora zřizování černého klíče. Thebkp_tls_*certificates ověřuje vaši instanci programátoru zřizování černého klíče k vaší instanci služby zřizování černého klíče.
Vytvoříte text file obsahující potřebné informace pro programátor Intel Quartus Prime pro připojení ke službě poskytování černého klíče. Chcete-li inicializovat zřizování černého klíče, použijte rozhraní příkazového řádku Programátor k zadání textu možností zřizování černého klíče file. Poskytování černého klíče pak pokračuje automaticky. Chcete-li získat přístup ke službě poskytování černého klíče a související dokumentaci, kontaktujte podporu společnosti Intel.
Zřizování černého klíče můžete povolit pomocí příkazu quartus_pgm:
quartus_pgm -c -m -přístroj –bkp_options=bkp_options.txt
Argumenty příkazu určují následující informace:

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 43

4. Poskytování zařízení 683823 | 2023.05.23

· -c: číslo kabelu · -m: určuje režim programování, například JTAG · –device: určuje index zařízení na JTAG řetěz. Výchozí hodnota je 1. · –bkp_options: určuje text file obsahující možnosti poskytování černého klíče.
Související informace Pokyny pro připojení pinů rodiny zařízení Intel Agilex 7

4.9.3.1. Možnosti poskytování černého klíče
Možnosti poskytování černého klíče jsou text file předán programátorovi prostřednictvím příkazu quartus_pgm. The file obsahuje požadované informace ke spuštění poskytování černého klíče.
Následuje exampsouboru bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 1234 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key_192.167.5.5proxy5000progpass bk https://XNUMX:XNUMX bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Tabulka 4.

Možnosti poskytování černého klíče
Tato tabulka zobrazuje možnosti potřebné ke spuštění poskytování černého klíče.

Název možnosti

Typ

Popis

bkp_ip

Požadovaný

Určuje adresu IP serveru, na kterém je spuštěna služba poskytování černého klíče.

bkp_port

Požadovaný

Určuje port služby zřizování černého klíče potřebný pro připojení k serveru.

bkp_cfg_id

Požadovaný

Identifikuje ID toku konfigurace zřizování černého klíče.
Služba zřizování černého klíče vytváří toky konfigurace zřizování černého klíče včetně kořenového klíče AES, požadovaných nastavení eFuse a dalších možností autorizace zřizování černých klíčů. Číslo přiřazené během nastavení služby zřizování černého klíče identifikuje toky konfigurace zřizování černého klíče.
Poznámka: Více zařízení může odkazovat na stejný tok konfigurace služby zřizování černého klíče.

bkp_tls_ca_cert

Požadovaný

Kořenový certifikát TLS používaný k identifikaci služeb poskytování černého klíče pro programátor (programátor) Intel Quartus Prime. Tento certifikát vydává důvěryhodná certifikační autorita pro instanci služby zřizování černého klíče.
Pokud programátor spustíte na počítači s operačním systémem Microsoft® Windows® (Windows), musíte tento certifikát nainstalovat do úložiště certifikátů Windows.

bkp_tls_prog_cert

Požadovaný

Certifikát vytvořený pro instanci programátora pro poskytování černého klíče (BKP Programmer). Toto je https klientský certifikát používaný k identifikaci této instance programátoru BKP
pokračování…

Uživatelská příručka Intel Agilex® 7 Device Security 44

Odeslat zpětnou vazbu

4. Poskytování zařízení 683823 | 2023.05.23

Název možnosti

Typ

bkp_tls_prog_key

Požadovaný

bkp_tls_prog_key_pass Volitelné

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Volitelné Volitelné Volitelné

Popis
na službu poskytování černého klíče. Tento certifikát musíte nainstalovat a autorizovat ve službě zřizování černého klíče před zahájením relace zřizování černého klíče. Pokud programátor spustíte v systému Windows, tato možnost není k dispozici. V tomto případě klíč bkp_tls_prog_key již tento certifikát obsahuje.
Soukromý klíč odpovídající certifikátu BKP Programmer. Klíč ověřuje identitu instance BKP Programmer se službou poskytování černého klíče. Pokud spustíte programátor v systému Windows, soubor .pfx file kombinuje certifikát bkp_tls_prog_cert a soukromý klíč. Volba bkp_tlx_prog_key předává .pfx file v souboru bkp_options.txt file.
Heslo pro soukromý klíč bkp_tls_prog_key. Není vyžadováno v textu možností konfigurace zřizování černého klíče (bkp_options.txt). file.
Určuje proxy server URL adresa.
Určuje uživatelské jméno serveru proxy.
Určuje heslo pro ověření proxy.

4.10. Převod kořenového klíče vlastníka, certifikátů kořenového klíče AES a pojistky files na Jam STAPL File Formáty

Můžete použít příkaz quartus_pfg příkazového řádku k převodu .qky, kořenového klíče AES .ccert a .fuse files do formátu Jam STAPL File (.jam) a Jam Byte Code Format File (.jbc). Můžete použít tyto files k programování Intel FPGA pomocí Jam STAPL Player a Jam STAPL Byte-Code Player, v daném pořadí.

Jeden .jam nebo .jbc obsahuje několik funkcí, včetně konfigurace a programu pomocného obrazu firmwaru, kontroly smazání a ověření naprogramování klíče a pojistky.

Pozor:

Když převedete kořenový klíč AES .ccert file do formátu .jam, soubor .jam file obsahuje klíč AES v prostém textu, ale v obfuskované podobě. V důsledku toho musíte chránit .jam file při ukládání klíče AES. Můžete to provést zřízením klíče AES v zabezpečeném prostředí.

Zde jsou exampsoubory převodních příkazů quartus_pfg:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;rootjb -qky;rootjb -qeky; c -o helper_device=AGFB1R2A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=Nastavení AGFB014R24Am -g nastavení AGFB014R24Am. =Nastavení AGFB014R24A. nastavení pojistky_pojistka.jbc

Další informace o použití přehrávače Jam STAPL Player pro programování zařízení naleznete v AN 425: Použití řešení Jam STAPL z příkazového řádku pro programování zařízení.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 45

4. Poskytování zařízení 683823 | 2023.05.23
Spusťte následující příkazy k naprogramování kořenového veřejného klíče vlastníka a šifrovacího klíče AES:
//Načtení pomocného bitového toku do FPGA. // Pomocný bitový proud zahrnuje zřizovací firmware quartus_jli -c 1 -a KONFIGURACE RootKey.jam
//Pro naprogramování kořenového veřejného klíče vlastníka do virtuálních eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Pro naprogramování kořenového veřejného klíče vlastníka do fyzických eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Pro naprogramování kořenového veřejného klíče vlastníka PR do virtuálních eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Pro naprogramování kořenového veřejného klíče vlastníka PR do fyzických eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Pro naprogramování AES šifrovacího klíče CCERT do BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Pro naprogramování AES šifrovacího klíče CCERT do fyzických eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Související informace AN 425: Použití řešení STAPL zasekávání v příkazovém řádku pro programování zařízení

Uživatelská příručka Intel Agilex® 7 Device Security 46

Odeslat zpětnou vazbu

683823 | 2023.05.23 Odeslat zpětnou vazbu

Pokročilé funkce

5.1. Secure Debug Authorization
Aby bylo možné povolit Secure Debug Authorization, musí vlastník ladění vygenerovat pár ověřovacích klíčů a pomocí programátoru Intel Quartus Prime Pro vygenerovat informace o zařízení. file pro zařízení, na kterém je spuštěn ladicí obraz:
quartus_pgm -c 1 -mjtag -o „ei;device_info.txt;AGFB014R24A“ –dev_info
Vlastník zařízení používá nástroj quartus_sign nebo referenční implementaci k připojení podmíněného záznamu veřejného klíče do řetězce podpisů určeného pro operace ladění pomocí veřejného klíče od vlastníka ladění, nezbytných oprávnění, textu informací o zařízení filea platná další omezení:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18”XNUMX debug_authorization_public_key.pem secure_debug_auth_chain.qky
Vlastník zařízení odešle celý řetězec podpisů zpět vlastníkovi ladění, který pomocí řetězce podpisů a svého soukromého klíče podepíše obraz ladění:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf autorizovaný_debug_design.rbf
Příkaz quartus_pfg můžete použít ke kontrole řetězce podpisů každé části tohoto podepsaného zabezpečeného bitového toku ladění následovně:
quartus_pfg –check_integrity enabled_debug_design.rbf
Výstup tohoto příkazu vytiskne hodnoty omezení 1,2,17,18 podmíněného veřejného klíče, který byl použit ke generování podepsaného bitového toku.
Vlastník ladění pak může naprogramovat bezpečně autorizovaný návrh ladění:
quartus_pgm -c 1 -mjtag -o „p;authorized_debug_design.rbf“
Vlastník zařízení může odvolat autorizaci zabezpečeného ladění zrušením explicitního ID zrušení klíče přiřazeného v řetězci podpisů autorizace bezpečného ladění.
5.2. Certifikáty HPS pro ladění
Povolení pouze autorizovaného přístupu k portu pro ladění HPS (DAP) přes JTAG rozhraní vyžaduje několik kroků:

ISO 9001: 2015 Registrováno

5. Pokročilé funkce 683823 | 2023.05.23
1. Klepněte na nabídku Software Intel Quartus Prime Assignments a vyberte kartu Device Device and Pin Options Configuration.
2. Na kartě Konfigurace povolte přístupový port pro ladění HPS (DAP) výběrem možnosti HPS Pins nebo SDM Pins z rozevírací nabídky a ujistěte se, že není zaškrtnuto políčko Allow HPS debug without certificates.
Obrázek 14. Zadejte piny HPS nebo SDM pro HPS DAP

HPS ladicí přístupový port (DAP)
Případně můžete nastavit přiřazení níže v Quartus Prime Settings .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE “SDM PINS”
3. Zkompilujte a načtěte návrh s těmito nastaveními. 4. Vytvořte řetězec podpisů s příslušnými oprávněními k podepsání ladění HPS
osvědčení:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_ch
5. Vyžádejte si nepodepsaný certifikát ladění HPS ze zařízení, kde je načten návrh ladění:
quartus_pgm -c 1 -mjtag -o „e;unsigned_hps_debug.cert;AGFB014R24A“
6. Podepište nepodepsaný certifikát ladění HPS pomocí nástroje quartus_sign nebo referenční implementace a řetězce podpisů ladění HPS:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signature_hps_debug.cert

Uživatelská příručka Intel Agilex® 7 Device Security 48

Odeslat zpětnou vazbu

5. Pokročilé funkce 683823 | 2023.05.23
7. Odešlete podepsaný certifikát ladění HPS zpět do zařízení, abyste umožnili přístup k portu pro ladění HPS (DAP):
quartus_pgm -c 1 -mjtag -o „p;signed_hps_debug.cert“
Certifikát ladění HPS je platný pouze od doby, kdy byl vygenerován, do dalšího cyklu napájení zařízení nebo do nahrání jiného typu nebo verze firmwaru SDM. Před vypnutím zařízení musíte vygenerovat, podepsat a naprogramovat podepsaný certifikát ladění HPS a provést všechny operace ladění. Podepsaný certifikát ladění HPS můžete zneplatnit vypnutím a zapnutím zařízení.
5.3. Atestace platformy
Můžete vygenerovat manifest referenční integrity (.rim) file pomocí programování file generátorový nástroj:
quartus_pfg -c signature_encrypted_top.rbf top_rim.rim
Postupujte podle následujících kroků, abyste zajistili atestaci platformy ve svém návrhu: 1. Pomocí programátoru Intel Quartus Prime Pro nakonfigurujte své zařízení pomocí
design, pro který jste vytvořili manifest referenční integrity. 2. Pomocí ověřovače atestace platformy zaregistrujte zařízení pomocí příkazů
SDM prostřednictvím poštovní schránky SDM pro vytvoření certifikátu ID zařízení a certifikátu firmwaru při opětovném načtení. 3. Pomocí programátoru Intel Quartus Prime Pro překonfigurujte zařízení podle návrhu. 4. Pomocí atestačního ověřovače platformy zadávejte příkazy do SDM, abyste získali ID atestačního zařízení, firmware a certifikáty aliasů. 5. Pomocí atestačního ověřovače zadejte příkaz SDM poštovní schránky, abyste získali atestační důkazy a ověřovatel zkontroluje vrácené důkazy.
Můžete implementovat svou vlastní ověřovací službu pomocí příkazů poštovní schránky SDM nebo použít službu atestačního ověřovače platformy Intel. Další informace o servisním softwaru, dostupnosti a dokumentaci ověřovače atestace platformy Intel získáte od podpory Intel.
Související informace Pokyny pro připojení pinů rodiny zařízení Intel Agilex 7
5.4. Fyzikální Anti-Tamper
Povolíte fyzický anti-tamper funkce pomocí následujících kroků: 1. Výběr požadované odezvy na detekovanou tamper událost 2. Konfigurace požadovaného tampdetekční metody a parametry 3. Včetně anti-tamper IP ve vaší logice návrhu, abyste pomohli řídit anti-tamper
události

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 49

5. Pokročilé funkce 683823 | 2023.05.23
5.4.1. Anti-Tamper Odpovědi
Povolíte fyzickou anti-tamper výběrem odpovědi z Anti-tampOdpověď: rozevírací seznam v nabídce Přiřazení Zařízení a možnosti pinů Zabezpečení Anti-Tamper tab. Ve výchozím nastavení je anti-tampodpověď je zakázána. Pět kategorií anti-tampodpovědi jsou k dispozici. Když vyberete požadovanou odpověď, budou povoleny možnosti pro povolení jedné nebo více metod detekce.
Obrázek 15. Dostupné Anti-Tamper Možnosti odezvy

Odpovídající přiřazení v nastavení Quartus Prime .gsf file je následující:
set_global_assignment -name ANTI_TAMPER_RESPONSE „UZAMČENÍ VYMAZÁNÍ ZAŘÍZENÍ OZNÁMENÍ A VYNULOVÁNÍ“
Když povolíte anti-tampV reakci na to si můžete vybrat dva dostupné vyhrazené I/O piny SDM pro výstup tampdetekce událostí a stav odezvy pomocí okna Možnosti konfigurace zařízení a kolíků Konfigurace Možnosti kolíků.

Uživatelská příručka Intel Agilex® 7 Device Security 50

Odeslat zpětnou vazbu

5. Pokročilé funkce 683823 | 2023.05.23
Obrázek 16. Dostupné vyhrazené I/O piny SDM pro Tamper Detekce událostí

V nastavení můžete také provést následující přiřazení pinů file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Detekce

Můžete individuálně povolit frekvenci, teplotu a objemtagFunkce detekce SDM. Detekce FPGA závisí na zahrnutí Anti-Tamper Lite Intel FPGA IP ve vašem návrhu.

Poznámka:

SDM frekvence a objtagetampDetekční metody jsou závislé na interních referencích a měřicím hardwaru, které se mohou u různých zařízení lišit. Intel doporučuje, abyste charakterizovali chování tampnastavení detekce.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 51

5. Pokročilé funkce 683823 | 2023.05.23
Frekvence tampDetekce funguje na zdroji konfiguračních hodin. Chcete-li povolit frekvenci tampPři detekci musíte zadat jinou možnost než Internal Oscillator v rozevíracím seznamu Configuration clock source na kartě Assignments Device Device and Pin Options General. Před povolením frekvence t se musíte ujistit, že je zaškrtnuto políčko Spustit konfiguraci CPU z interního oscilátoruampdetekce. Obrázek 17. Nastavení SDM na Internal Oscillator
Chcete-li povolit frekvenci tampPři detekci vyberte možnost Povolit frekvenci tampzaškrtněte políčko detekce a vyberte požadovanou frekvenciampdetekční rozsah z rozbalovací nabídky. Obrázek 18. Povolení frekvence Tamper Detekce

Uživatelská příručka Intel Agilex® 7 Device Security 52

Odeslat zpětnou vazbu

5. Pokročilé funkce 683823 | 2023.05.23
Případně můžete povolit frekvenci Tampdetekce provedením následujících změn v nastavení Quartus Prime .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -name ENABLE_FREQUENCYAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Chcete-li povolit teplotu tampPři detekci vyberte možnost Povolit teplotuampzaškrtněte políčko detekce a v příslušných polích vyberte požadovanou horní a dolní hranici teploty. Horní a dolní hranice jsou standardně vyplněny příslušným teplotním rozsahem pro zařízení vybrané v návrhu.
Chcete-li povolit voltagetampPři detekci vyberete jednu nebo obě položky Enable VCCL voltagetampnebo Povolit VCCL_SDM svtagetampzaškrtněte políčka detekce a vyberte požadovaný objemtagetamper detekce spouštěcí procentotage v odpovídajícím poli.
Obrázek 19. Povolení svtaga Tamper Detekce

Případně můžete povolit Voltaga Tamper Detekce zadáním následujících přiřazení v souboru .qsf file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ON
5.4.3. Anti-Tampnebo Lite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP, dostupný v katalogu IP v softwaru Intel Quartus Prime Pro Edition, usnadňuje obousměrnou komunikaci mezi vaším návrhem a SDM pro tampudálosti.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 53

Obrázek 20. Anti-Tampnebo Lite Intel FPGA IP

5. Pokročilé funkce 683823 | 2023.05.23

IP poskytuje následující signály, které se připojíte k vašemu návrhu podle potřeby:

Tabulka 5.

Anti-Tamper Lite Intel FPGA IP I/O signály

Název signálu

Směr

Popis

gpo_sdm_at_event gpi_fpga_at_event

Výstup vstup

Signál SDM do logiky tkaniny FPGA, který SDM detekovalamper událost. Logika FPGA má přibližně 5 ms na provedení jakéhokoli požadovaného čištění a reakci na SDM prostřednictvím gpi_fpga_at_response_done a gpi_fpga_at_zeroization_done. SDM pokračuje s t. zvamper akce odezvy, když je uplatněno gpi_fpga_at_response_done nebo když není přijata žádná odpověď ve stanoveném čase.
FPGA přerušení do SDM, že vaše navržený anti-tamper detekční obvody detekovaly vamper událost a SDM tampměla by být spuštěna reakce.

gpi_fpga_at_response_done

Vstup

FPGA přerušení do SDM, že logika FPGA provedla požadované čištění.

gpi_fpga_at_zeroization_d jedna

Vstup

FPGA signalizuje SDM, že logika FPGA dokončila jakékoli požadované vynulování návrhových dat. Tento signál je sampvede, když je potvrzeno gpi_fpga_at_response_done.

5.4.3.1. Informace o vydání

Číslo schématu verzování IP (XYZ) se mění z jedné verze softwaru na druhou. Změna v:
· X označuje zásadní revizi IP. Pokud aktualizujete software Intel Quartus Prime, musíte obnovit IP.
· Y znamená, že IP obsahuje nové funkce. Obnovte svou IP adresu tak, aby zahrnovala tyto nové funkce.
· Z znamená, že IP obsahuje drobné změny. Obnovte svou IP adresu tak, aby zahrnovala tyto změny.

Tabulka 6.

Anti-Tamper Lite Intel FPGA IP Release Information

IP verze

Položka

Popis 20.1.0

Verze Intel Quartus Prime

21.2

Datum vydání

2021.06.21

Uživatelská příručka Intel Agilex® 7 Device Security 54

Odeslat zpětnou vazbu

5. Pokročilé funkce 683823 | 2023.05.23
5.5. Použití funkcí zabezpečení návrhu se vzdálenou aktualizací systému
Remote System Update (RSU) je funkce Intel Agilex 7 FPGA, která pomáhá při aktualizaci konfigurace fileje robustním způsobem. RSU je kompatibilní s funkcemi zabezpečení návrhu, jako je ověřování, spolupodepisování firmwaru a šifrování bitového toku, protože RSU nezávisí na obsahu návrhu konfiguračních bitových toků.
Vytváření obrázků RSU pomocí .sof Files
Pokud ukládáte soukromé klíče na místní filesystému, můžete generovat obrazy RSU s funkcemi zabezpečení návrhu pomocí zjednodušeného toku s .sof files jako vstupy. Chcete-li generovat obrázky RSU s příponou .sof file, můžete postupovat podle pokynů v části Generování obrazu vzdálené aktualizace systému Files Pomocí programování File Generátor uživatelské příručky pro konfiguraci Intel Agilex 7. Pro každý .sof file specifikované na vstupu Files klepněte na tlačítko Vlastnosti… a zadejte příslušná nastavení a klíče pro nástroje pro podepisování a šifrování. Programování file generátor automaticky podepisuje a šifruje tovární a aplikační obrazy při vytváření programování RSU files.
Alternativně, pokud ukládáte soukromé klíče v HSM, musíte použít nástroj quartus_sign a tedy použít .rbf files. Zbytek této části podrobně popisuje změny v toku generování obrázků RSU pomocí .rbf files jako vstupy. Musíte zašifrovat a podepsat formát .rbf files před jejich výběrem jako vstupu files pro obrázky RSU; však informace o spouštění RSU file nesmí být zašifrované a musí být pouze podepsané. Programování File Generátor nepodporuje úpravu vlastností formátu .rbf files.
Následující exampsoubory demonstrují nezbytné úpravy příkazů v části Generování obrazu aktualizace vzdáleného systému Files Pomocí programování File Generátor uživatelské příručky pro konfiguraci Intel Agilex 7.
Generování počátečního obrazu RSU pomocí .rbf Files: Modifikace příkazů
Z generování počátečního obrazu RSU pomocí .rbf Files, upravte příkazy v kroku 1, abyste povolili funkce zabezpečení návrhu podle potřeby pomocí pokynů z předchozích částí tohoto dokumentu.
Napřample, určíte podepsaný firmware file pokud jste používali cosigning firmwaru, pak použijte šifrovací nástroj Quartus k zašifrování každého .rbf filea nakonec pomocí nástroje quartus_sign každý podepište file.
V kroku 2, pokud jste povolili spolupodepisování firmwaru, musíte použít další možnost při vytváření bootovacího .rbf z továrního obrazu file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Po vytvoření boot info .rbf file, použijte nástroj quartus_sign k podepsání souboru .rbf file. Nesmíte šifrovat spouštěcí informace .rbf file.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 55

5. Pokročilé funkce 683823 | 2023.05.23
Generování obrázku aplikace: Modifikace příkazu
Chcete-li vygenerovat obraz aplikace s funkcemi zabezpečení návrhu, upravte příkaz v části Generování obrazu aplikace tak, aby místo původního souboru .sof aplikace použil soubor .rbf s povolenými funkcemi zabezpečení návrhu, včetně spolupodepsaného firmwaru, je-li třeba. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secure_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Vygenerování obrázku aktualizace od výrobce: Modifikace příkazu
Po vytvoření boot info .rbf file, použijete k podepsání souboru .rbf nástroj quartus_sign file. Nesmíte šifrovat spouštěcí informace .rbf file.
Chcete-li vygenerovat bitovou kopii aktualizace továrny RSU, upravte příkaz z Generování bitové kopie aktualizace továrny tak, aby používal soubor .rbf file s povolenými funkcemi zabezpečení návrhu a přidáním možnosti indikovat použití spolupodepsaného firmwaru:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secure_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Související informace Uživatelská příručka pro konfiguraci Intel Agilex 7
5.6. Kryptografické služby SDM
SDM na zařízeních Intel Agilex 7 poskytuje kryptografické služby, které může logika FPGA nebo HPS požadovat prostřednictvím příslušného rozhraní poštovní schránky SDM. Další informace o příkazech poštovních schránek a formátech dat pro všechny kryptografické služby SDM naleznete v dodatku B v metodice zabezpečení pro Intel FPGA a uživatelská příručka strukturovaných ASIC.
Chcete-li získat přístup k rozhraní poštovní schránky SDM k logice struktury FPGA pro kryptografické služby SDM, musíte ve svém návrhu vytvořit instanci klienta poštovní schránky Intel FPGA IP.
Referenční kód pro přístup k rozhraní poštovní schránky SDM z HPS je součástí kódu ATF a Linux poskytnutého společností Intel.
Související informace Klient poštovní schránky Uživatelská příručka Intel FPGA IP
5.6.1. Spuštění autorizovaného dodavatelem
Společnost Intel poskytuje referenční implementaci softwaru HPS, která využívá funkci spouštění autorizovaného dodavatelem k ověření spouštěcího softwaru HPS od prvníchtagzavaděč až k jádru Linuxu.
Související informace Intel Agilex 7 SoC Secure Boot Demo Design

Uživatelská příručka Intel Agilex® 7 Device Security 56

Odeslat zpětnou vazbu

5. Pokročilé funkce 683823 | 2023.05.23
5.6.2. Služba Secure Data Object Service
Příkazy odešlete prostřednictvím poštovní schránky SDM, abyste provedli šifrování a dešifrování objektů SDOS. Funkci SDOS můžete používat po zřízení kořenového klíče SDOS.
Související informace Zabezpečení kořenového klíče služby datových objektů na straně 30
5.6.3. SDM kryptografické primitivní služby
Příkazy odešlete prostřednictvím poštovní schránky SDM, abyste zahájili operace kryptografických primitivních služeb SDM. Některé kryptografické primitivní služby vyžadují, aby bylo do az SDM přeneseno více dat, než může rozhraní poštovní schránky přijmout. V těchto případech se příkaz formátu změní, aby poskytoval ukazatele na data v paměti. Kromě toho musíte změnit konkretizaci klienta Mailbox Intel FPGA IP, abyste mohli používat kryptografické primitivní služby SDM z logiky struktury FPGA. Musíte dodatečně nastavit parametr Enable Crypto Service na 1 a připojit nově vystavené rozhraní iniciátoru AXI k paměti ve vašem návrhu.
Obrázek 21. Povolení kryptografických služeb SDM v klientovi poštovní schránky Intel FPGA IP

5.7. Nastavení zabezpečení bitového proudu (FM/S10)
Možnosti zabezpečení bitového proudu FPGA představují soubor zásad, které omezují specifikovanou funkci nebo režim provozu v rámci definovaného období.
Možnosti Bitstream Security se skládají z příznaků, které nastavíte v softwaru Intel Quartus Prime Pro Edition. Tyto příznaky se automaticky zkopírují do konfiguračních bitových proudů.
Můžete trvale vynutit možnosti zabezpečení na zařízení pomocí odpovídajícího nastavení zabezpečení eFuse.
Chcete-li použít jakékoli nastavení zabezpečení v konfiguračním bitovém toku nebo zařízení eFuses, musíte povolit funkci ověřování.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 57

5. Pokročilé funkce 683823 | 2023.05.23
5.7.1. Výběr a povolení možností zabezpečení
Chcete-li vybrat a povolit možnosti zabezpečení, postupujte následovně: Z nabídky Přiřazení vyberte Možnosti zařízení a pinů Zabezpečení Další možnosti... Obrázek 22. Výběr a povolení možností zabezpečení

A pak vyberte hodnoty z rozevíracích seznamů pro možnosti zabezpečení, které chcete povolit, jak je znázorněno v následujícím příkladuampten:
Obrázek 23. Výběr hodnot pro možnosti zabezpečení

Uživatelská příručka Intel Agilex® 7 Device Security 58

Odeslat zpětnou vazbu

5. Pokročilé funkce 683823 | 2023.05.23
Následují odpovídající změny v Quartus Prime Settings .qsf file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG „ON CHECK“ set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE „ON STICKY“ set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECU_OPTION_DISABLE_VIRTUAL_EFassignname -SECU_OPTION_DISABLE_VIRTUAL_EFassignname -SECU_OPTION_DISABLE_VIRTUAL_EFassignname set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_ENRYTIONSassign_name -_ENRYTIONSCUDOWN_name set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY ON

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 59

683823 | 2023.05.23 Odeslat zpětnou vazbu

Odstraňování problémů

Tato kapitola popisuje běžné chyby a varovné zprávy, se kterými se můžete setkat při pokusu o použití funkcí zabezpečení zařízení, a opatření k jejich vyřešení.
6.1. Použití příkazů Quartus v chybě prostředí Windows
Chyba quartus_pgm: příkaz nenalezen Popis Tato chyba se zobrazí při pokusu o použití příkazů Quartus v prostředí NIOS II v prostředí Windows pomocí WSL. Rozlišení Tento příkaz funguje v prostředí Linuxu; Pro hostitele Windows použijte následující příkaz: quartus_pgm.exe -h Podobně použijte stejnou syntaxi na další příkazy Quartus Prime, jako jsou mimo jiné quartus_pfg, quartus_sign, quartus_encrypt.

ISO 9001: 2015 Registrováno

6. Odstraňování problémů 683823 | 2023.05.23

6.2. Generování varování soukromého klíče

Varování:

Zadané heslo je považováno za nezabezpečené. Společnost Intel doporučuje používat heslo o délce alespoň 13 znaků. Doporučujeme změnit heslo pomocí spustitelného souboru OpenSSL.

openssl ec -in -ven -aes256

Popis
Toto varování souvisí se silou hesla a zobrazuje se při pokusu o vygenerování soukromého klíče zadáním následujících příkazů:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Rozlišení Pomocí spustitelného souboru openssl zadejte delší a tedy silnější heslo.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 61

6. Odstraňování problémů 683823 | 2023.05.23
6.3. Chyba přidání podpisového klíče k projektu Quartus
Chyba…File obsahuje informace o kořenovém klíči…
Popis
Po přidání podpisového klíče .qky file k projektu Quartus, musíte znovu sestavit soubor .sof file. Když přidáte tento regenerovaný .sof file k vybranému zařízení pomocí programu Quartus Programmer, následující chybová zpráva označuje, že file obsahuje informace o kořenovém klíči:
Přidání se nezdařilofile-název-cesty> k Programátorovi. The file obsahuje informace o kořenovém klíči (.qky). Programmer však nepodporuje funkci podepisování bitového proudu. Můžete použít Programování File Generátor pro převod file na podepsaný Raw Binary file (.rbf) pro konfiguraci.
Rezoluce
Použijte programování Quartus file generátor pro konverzi file do podepsaného surového binárního souboru File .rbf pro konfiguraci.
Související informace Konfigurace podepisování Bitstream Použití příkazu quartus_sign na stránce 13

Uživatelská příručka Intel Agilex® 7 Device Security 62

Odeslat zpětnou vazbu

6. Odstraňování problémů 683823 | 2023.05.23
6.4. Generování Quartus Prime Programování File byl neúspěšný
Chyba
Chyba (20353): X veřejného klíče z QKY neodpovídá soukromému klíči z PEM file.
Chyba (20352): Nepodařilo se podepsat bitový proud prostřednictvím skriptu python agilex_sign.py.
Chyba: Quartus Prime Programming File Generátor byl neúspěšný.
Popis Pokud se pokusíte podepsat konfigurační bitstream pomocí nesprávného soukromého klíče .pem file nebo .pem file který neodpovídá .qky přidanému do projektu, zobrazí se výše uvedené běžné chyby. Řešení Ujistěte se, že používáte správný soukromý klíč .pem k podepsání bitového proudu.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 63

6. Odstraňování problémů 683823 | 2023.05.23
6.5. Chyby neznámého argumentu
Chyba
Chyba (23028): Neznámý argument „ûc“. Právní argumenty najdete v –nápovědě.
Chyba (213008): Řetězec volby programování „ûp“ je neplatný. Pro legální formáty možností programování viz –help.
Popis Pokud zkopírujete a vložíte možnosti příkazového řádku ze souboru .pdf file v prostředí Windows NIOS II se můžete setkat s chybami Neznámý argument, jak je uvedeno výše. Rozlišení V takových případech můžete ručně zadat příkazy místo vkládání ze schránky.

Uživatelská příručka Intel Agilex® 7 Device Security 64

Odeslat zpětnou vazbu

6. Odstraňování problémů 683823 | 2023.05.23
6.6. Chyba možnosti šifrování bitového proudu zakázáno
Chyba
Nelze dokončit šifrování pro file design .sof, protože byl zkompilován s vypnutou možností šifrování bitového toku.
Popis Pokud se pokusíte zašifrovat bitový tok přes GUI nebo příkazový řádek poté, co jste zkompilovali projekt s vypnutou možností šifrování bitového toku, Quartus příkaz odmítne, jak je uvedeno výše.
Rozlišení Ujistěte se, že jste zkompilovali projekt s možností šifrování bitového toku povolenou buď prostřednictvím GUI nebo příkazového řádku. Chcete-li povolit tuto možnost v GUI, musíte zaškrtnout políčko pro tuto možnost.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 65

6. Odstraňování problémů 683823 | 2023.05.23
6.7. Zadání správné cesty ke klíči
Chyba
Chyba (19516): Zjištěné programování File Chyba nastavení generátoru: Nelze najít 'key_file'. Ujistěte se, že file se nachází na očekávaném místě nebo aktualizujte soubor setting.sec
Chyba (19516): Zjištěné programování File Chyba nastavení generátoru: Nelze najít 'key_file'. Ujistěte se, že file se nachází na očekávaném místě nebo aktualizujte nastavení.
Popis
Pokud používáte klíče, které jsou uloženy na file systému, musíte zajistit, aby specifikovaly správnou cestu pro klíče používané pro šifrování a podepisování bitového toku. Pokud programování File Generátor nemůže detekovat správnou cestu, zobrazí se výše uvedené chybové zprávy.
Rezoluce
Viz Nastavení Quartus Prime .qsf file najít správné cesty pro klíče. Ujistěte se, že místo absolutních cest používáte relativní cesty.

Uživatelská příručka Intel Agilex® 7 Device Security 66

Odeslat zpětnou vazbu

6. Odstraňování problémů 683823 | 2023.05.23
6.8. Použití nepodporovaného výstupu File Typ
Chyba
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Chyba (19511): Nepodporovaný výstup file typ (ebf). Pro zobrazení podporovaných použijte volbu „-l“ nebo „–list“. file informace o typu.
Popis Při používání programování Quartus File Generátor pro generování šifrovaného a podepsaného konfiguračního bitového toku, můžete vidět výše uvedenou chybu, pokud je výstup nepodporovaný file je specifikován typ. Rozlišení Chcete-li zobrazit seznam podporovaných, použijte volbu -l nebo –list file typy.

Odeslat zpětnou vazbu

Uživatelská příručka Intel Agilex® 7 Device Security 67

683823 | 2023.05.23 Odeslat zpětnou vazbu
7. Archiv uživatelské příručky Intel Agilex 7 Device Security
Nejnovější a předchozí verze této uživatelské příručky naleznete v uživatelské příručce Intel Agilex 7 Device Security. Pokud IP nebo verze softwaru není uvedena, platí uživatelská příručka pro předchozí IP nebo verzi softwaru.

ISO 9001: 2015 Registrováno

683823 | 2023.05.23 Odeslat zpětnou vazbu

8. Historie revizí uživatelské příručky Intel Agilex 7 Device Security

Verze dokumentu 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumenty / zdroje

Zabezpečení zařízení Intel Agilex 7 [pdfUživatelská příručka
Agilex 7 Device Security, Agilex 7, Device Security, Security

Reference

Uživatelská příručka

Zabezpečení zařízení Intel Agilex 7

Informace o produktu

Návod k použití produktu

Často kladené otázky

Zabezpečení zařízení ukončenoview

Autentizace a autorizace

AES Bitstream Encryption

Poskytování zařízení

Pokročilé funkce

Odstraňování problémů

Dokumenty / zdroje

Reference

Zanechte komentář

Zrušit odpověď