Llawlyfr Defnyddiwr Diogelwch Dyfais Intel Agilex 7

Mae Intel wedi ymrwymo i ddiogelwch cynnyrch ac yn argymell defnyddwyr i ymgyfarwyddo â'r adnoddau diogelwch cynnyrch a ddarperir. Dylid defnyddio'r adnoddau hyn trwy gydol oes y cynnyrch Intel.

2. Nodweddion Diogelwch Cynlluniedig

Mae'r nodweddion diogelwch canlynol wedi'u cynllunio ar gyfer rhyddhau meddalwedd Intel Quartus Prime Pro Edition yn y dyfodol:

Dilysiad Diogelwch Bitstream Ail-gyflunio Rhannol: Yn rhoi sicrwydd ychwanegol na all ffrydiau didau Ailgyflunio Rhannol (PR) gyrchu neu ymyrryd â ffrydiau didau persona PR eraill.

Hunan-ladd Dyfais ar gyfer Gwrth-T Corfforolamper: Perfformio weipar dyfais neu ymateb sero dyfais a rhaglenni eFuses i atal y ddyfais rhag ffurfweddu eto.

3. Dogfennau Diogelwch Sydd Ar Gael

Mae'r tabl canlynol yn rhestru'r dogfennau sydd ar gael ar gyfer nodweddion diogelwch dyfeisiau ar ddyfeisiau Intel FPGA ac ASIC Strwythuredig:

Enw'r Ddogfen	Pwrpas
Methodoleg Diogelwch ar gyfer FPGAs Intel a Defnyddiwr ASICs Strwythuredig Tywysydd	Dogfen lefel uchaf sy'n rhoi disgrifiadau manwl o nodweddion diogelwch a thechnolegau yn Intel Programmable Solutions Cynhyrchion. Yn helpu defnyddwyr i ddewis y nodweddion diogelwch angenrheidiol i bodloni eu hamcanion diogelwch.
Canllaw Defnyddiwr Diogelwch Dyfais Intel Stratix 10	Cyfarwyddiadau i ddefnyddwyr dyfeisiau Intel Stratix 10 eu gweithredu y nodweddion diogelwch a nodwyd gan ddefnyddio'r Fethodoleg Diogelwch Canllaw Defnyddiwr.
Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex 7	Cyfarwyddiadau i ddefnyddwyr dyfeisiau Intel Agilex 7 eu gweithredu y nodweddion diogelwch a nodwyd gan ddefnyddio'r Fethodoleg Diogelwch Canllaw Defnyddiwr.
Canllaw Defnyddiwr Diogelwch Dyfais Intel eASIC N5X	Cyfarwyddiadau i ddefnyddwyr dyfeisiau Intel eASIC N5X eu gweithredu y nodweddion diogelwch a nodwyd gan ddefnyddio'r Fethodoleg Diogelwch Canllaw Defnyddiwr.
Intel Agilex 7 ac Intel eASIC N5X Gwasanaethau Cryptograffig HPS Canllaw Defnyddiwr	Gwybodaeth i beirianwyr meddalwedd HPS am y gweithrediad a defnyddio llyfrgelloedd meddalwedd HPS i gael mynediad at wasanaethau cryptograffig a ddarperir gan y SDM.
Canllaw Cychwyn Cyflym Gwasanaeth Darpariaeth Allwedd Du AN-968	Set gyflawn o gamau i sefydlu'r Darpariaeth Allwedd Ddu gwasanaeth.

Cwestiynau Cyffredin

C: Beth yw pwrpas y Canllaw Defnyddiwr Methodoleg Diogelwch?

A: Mae'r Canllaw Defnyddiwr Methodoleg Diogelwch yn darparu disgrifiadau manwl o nodweddion a thechnolegau diogelwch mewn Cynhyrchion Atebion Rhaglenadwy Intel. Mae'n helpu defnyddwyr i ddewis y nodweddion diogelwch angenrheidiol i gyflawni eu hamcanion diogelwch.

C: Ble alla i ddod o hyd i Ganllaw Defnyddiwr Diogelwch Dyfais Intel Agilex 7?

A: Gellir dod o hyd i Ganllaw Defnyddiwr Diogelwch Dyfais Intel Agilex 7 ar Ganolfan Adnoddau a Dylunio Intel websafle.

C: Beth yw gwasanaeth Darpariaeth Black Key?

A: Mae gwasanaeth Black Key Provisioning yn wasanaeth sy'n darparu set gyflawn o gamau i sefydlu darpariaeth allweddol ar gyfer gweithrediadau diogel.

View Fullscreen

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7
Wedi'i ddiweddaru ar gyfer Intel® Quartus® Prime Design Suite: 23.1

Fersiwn Ar-lein Anfon Adborth

UG-20335

683823 2023.05.23

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 2

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 3

683823 | 2023.05.23 Anfon Adborth
1. Intel Agilex® 7

Diogelwch Dyfais Drosoddview

Mae Intel® yn dylunio dyfeisiau Intel Agilex® 7 gyda chaledwedd a firmware diogelwch pwrpasol, hynod ffurfweddu.
Mae'r ddogfen hon yn cynnwys cyfarwyddiadau i'ch helpu i ddefnyddio meddalwedd Intel Quartus® Prime Pro Edition i weithredu nodweddion diogelwch ar eich dyfeisiau Intel Agilex 7.
Yn ogystal, mae'r Fethodoleg Ddiogelwch ar gyfer Intel FPGAs a Chanllaw Defnyddiwr ASICs Strwythuredig ar gael yng Nghanolfan Adnoddau a Dylunio Intel. Mae'r ddogfen hon yn cynnwys disgrifiadau manwl o'r nodweddion diogelwch a thechnolegau sydd ar gael trwy gynhyrchion Intel Programmable Solutions i'ch helpu i ddewis y nodweddion diogelwch angenrheidiol i gwrdd â'ch amcanion diogelwch. Cysylltwch â Intel Support gyda rhif cyfeirnod 14014613136 i gael mynediad at y Fethodoleg Ddiogelwch ar gyfer Intel FPGAs a Chanllaw Defnyddiwr ASICs Strwythuredig.
Mae'r ddogfen wedi'i threfnu fel a ganlyn: · Dilysu ac Awdurdodi: Yn darparu cyfarwyddiadau i'w creu
allweddi dilysu a chadwyni llofnod, cymhwyso caniatadau a dirymiadau, llofnodi gwrthrychau, a nodweddion dilysu rhaglenni ar ddyfeisiau Intel Agilex 7. · Amgryptio Bitstream AES: Yn darparu cyfarwyddiadau i greu allwedd gwraidd AES, amgryptio ffrydiau didau cyfluniad, a darparu allwedd gwraidd AES i ddyfeisiau Intel Agilex 7. · Darparu Dyfais: Yn darparu cyfarwyddiadau i ddefnyddio cadarnwedd darpariaeth Rhaglennydd Intel Quartus Prime a Secure Device Manager (SDM) i raglennu nodweddion diogelwch ar ddyfeisiau Intel Agilex 7. · Nodweddion Uwch: Yn darparu cyfarwyddiadau i alluogi nodweddion diogelwch uwch, gan gynnwys awdurdodiad dadfygio diogel, dadfygio System Prosesydd Caled (HPS), a diweddaru system o bell.
1.1. Ymrwymiad i Ddiogelwch Cynnyrch
Ni fu ymrwymiad hirhoedlog Intel i ddiogelwch erioed yn gryfach. Mae Intel yn argymell yn gryf eich bod yn dod yn gyfarwydd â'n hadnoddau diogelwch cynnyrch ac yn bwriadu eu defnyddio trwy gydol oes eich cynnyrch Intel.
Gwybodaeth Gysylltiedig · Diogelwch Cynnyrch yn Intel · Ymgynghorwyr Canolfan Diogelwch Cynnyrch Intel

Intel Gorfforaeth. Cedwir pob hawl. Mae Intel, logo Intel, a nodau Intel eraill yn nodau masnach Intel Corporation neu ei is-gwmnïau. Mae Intel yn gwarantu perfformiad ei gynhyrchion FPGA a lled-ddargludyddion i fanylebau cyfredol yn unol â gwarant safonol Intel, ond mae'n cadw'r hawl i wneud newidiadau i unrhyw gynhyrchion a gwasanaethau ar unrhyw adeg heb rybudd. Nid yw Intel yn cymryd unrhyw gyfrifoldeb nac atebolrwydd sy'n deillio o gymhwyso neu ddefnyddio unrhyw wybodaeth, cynnyrch neu wasanaeth a ddisgrifir yma ac eithrio fel y cytunwyd yn benodol yn ysgrifenedig gan Intel. Cynghorir cwsmeriaid Intel i gael y fersiwn ddiweddaraf o fanylebau dyfeisiau cyn dibynnu ar unrhyw wybodaeth gyhoeddedig a chyn archebu cynhyrchion neu wasanaethau. *Gellir hawlio enwau a brandiau eraill fel eiddo eraill.

ISO 9001:2015 Cofrestredig

1. Intel Agilex® 7 Diogelwch Dyfais Drosview 683823 | 2023.05.23

1.2. Nodweddion Diogelwch Cynlluniedig

Mae'r nodweddion a grybwyllir yn yr adran hon wedi'u cynllunio ar gyfer rhyddhau meddalwedd Intel Quartus Prime Pro Edition yn y dyfodol.

Nodyn:

Mae'r wybodaeth yn yr adran hon yn rhagarweiniol.

1.2.1. Dilysiad Diogelwch Bitstream Ailgyflunio Rhannol
Mae dilysu diogelwch llif didau ailgyflunio rhannol (PR) yn helpu i roi sicrwydd ychwanegol na all ffrydiau didau persona PR gael mynediad nac ymyrryd â ffrydiau didau persona PR eraill.

1.2.2. Hunan-ladd Dyfais ar gyfer Gwrth-T Corfforolamper
Mae hunan-laddiad dyfais yn perfformio wipe dyfais neu ymateb sero dyfais ac yn ogystal mae'n rhaglennu eFuses i atal y ddyfais rhag ffurfweddu eto.

1.3. Dogfennau Diogelwch Sydd Ar Gael

Mae'r tabl canlynol yn rhestru'r dogfennau sydd ar gael ar gyfer nodweddion diogelwch dyfeisiau ar ddyfeisiau Intel FPGA ac ASIC Strwythuredig:

Tabl 1 .

Dogfennaeth Diogelwch Dyfais sydd ar gael

Enw'r Ddogfen
Methodoleg Diogelwch ar gyfer FPGAs Intel a Chanllaw Defnyddiwr ASICs Strwythuredig

Pwrpas
Dogfen lefel uchaf sy'n cynnwys disgrifiadau manwl o nodweddion a thechnolegau diogelwch yn Intel Programmable Solutions Products. Y bwriad yw eich helpu i ddewis y nodweddion diogelwch angenrheidiol i gwrdd â'ch amcanion diogelwch.

ID y Ddogfen 721596

Canllaw Defnyddiwr Diogelwch Dyfais Intel Stratix 10
Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex 7

Ar gyfer defnyddwyr dyfeisiau Intel Stratix 10, mae'r canllaw hwn yn cynnwys cyfarwyddiadau i ddefnyddio meddalwedd Intel Quartus Prime Pro Edition i weithredu'r nodweddion diogelwch a nodwyd gan ddefnyddio'r Canllaw Defnyddiwr Methodoleg Diogelwch.
Ar gyfer defnyddwyr dyfeisiau Intel Agilex 7, mae'r canllaw hwn yn cynnwys cyfarwyddiadau i ddefnyddio meddalwedd Intel Quartus Prime Pro Edition i weithredu'r nodweddion diogelwch a nodwyd gan ddefnyddio'r Canllaw Defnyddiwr Methodoleg Diogelwch.

683642 683823

Canllaw Defnyddiwr Diogelwch Dyfais Intel eASIC N5X

Ar gyfer defnyddwyr dyfeisiau Intel eASIC N5X, mae'r canllaw hwn yn cynnwys cyfarwyddiadau i ddefnyddio meddalwedd Intel Quartus Prime Pro Edition i weithredu'r nodweddion diogelwch a nodwyd gan ddefnyddio'r Canllaw Defnyddiwr Methodoleg Diogelwch.

626836

Canllaw i Ddefnyddwyr Gwasanaethau Cryptograffig Intel Agilex 7 ac Intel eASIC N5X HPS

Mae'r canllaw hwn yn cynnwys gwybodaeth i gynorthwyo peirianwyr meddalwedd HPS i weithredu a defnyddio llyfrgelloedd meddalwedd HPS i gael mynediad at wasanaethau cryptograffig a ddarperir gan y SDM.

713026

Canllaw Cychwyn Cyflym Gwasanaeth Darpariaeth Allwedd Du AN-968

Mae'r canllaw hwn yn cynnwys set gyflawn o gamau i sefydlu'r gwasanaeth Black Key Provisioning.

739071

Lleoliad Intel Resource a
Canolfan Ddylunio
Intel.com
Intel.com
Canolfan Adnoddau a Dylunio Intel
Canolfan Adnoddau a Dylunio Intel
Canolfan Adnoddau a Dylunio Intel

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 5

683823 | 2023.05.23 Anfon Adborth

Dilysu ac Awdurdodi

Er mwyn galluogi nodweddion dilysu dyfais Intel Agilex 7, rydych chi'n dechrau trwy ddefnyddio meddalwedd Intel Quartus Prime Pro Edition ac offer cysylltiedig i adeiladu cadwyn llofnod. Mae cadwyn llofnod yn cynnwys allwedd gwraidd, un neu fwy o allweddi llofnodi, ac awdurdodiadau cymwys. Rydych chi'n cymhwyso'r gadwyn llofnod i'ch prosiect Intel Quartus Prime Pro Edition ac wedi llunio rhaglennu files. Defnyddiwch y cyfarwyddiadau yn Device Provisioning i raglennu'ch allwedd gwraidd i mewn i ddyfeisiau Intel Agilex 7.
Gwybodaeth Gysylltiedig
Darparu Dyfeisiau ar dudalen 25

2.1. Creu Cadwyn Llofnod
Gallwch ddefnyddio'r offeryn quartus_sign neu'r gweithredu cyfeirnod agilex_sign.py i gyflawni gweithrediadau cadwyn llofnod. Mae'r ddogfen hon yn darparu exampllai gan ddefnyddio quartus_sign.
I ddefnyddio'r gweithrediad cyfeirio, rydych yn amnewid galwad i'r dehonglydd Python sydd wedi'i gynnwys gyda meddalwedd Intel Quartus Prime ac yn hepgor yr opsiwn -family=agilex; mae pob opsiwn arall yn gyfwerth. Am gynample, y gorchymyn quartus_sign a geir yn ddiweddarach yn yr adran hon
quartus_sign –family=agilex –operation=make_root root_public.pem gellir trosi root.qky yn alwad cyfatebol i'r gweithredu cyfeirnod fel a ganlyn
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Mae meddalwedd Intel Quartus Prime Pro Edition yn cynnwys yr offer quartus_sign, pgm_py, ac agilex_sign.py. Gallwch ddefnyddio'r offeryn cragen gorchymyn Nios® II, sy'n gosod newidynnau amgylchedd priodol yn awtomatig i gael mynediad i'r offer.

Dilynwch y cyfarwyddiadau hyn i ddod â chragen gorchymyn Nios II i fyny. 1. Dewch i fyny cragen gorchymyn Nios II.

Opsiwn Windows
Linux

Disgrifiad
Ar y ddewislen Start, pwyntiwch at Raglenni Intel FPGA Nios II EDS a chliciwch Nios II Cregyn Gorchymyn.
Mewn cragen gorchymyn newid i'r /nios2eds a rhedeg y gorchymyn canlynol:
./nios2_command_shell.sh

Mae'r cynamples yn yr adran hon rhagdybio cadwyn llofnod a llif didau cyfluniad files wedi'u lleoli yn y cyfeiriadur gweithio cyfredol. Os dewiswch ddilyn y cynamples lle allweddol files yn cael eu cadw ar y file system, y rhai examples cymryd yn ganiataol y allweddol files yn

ISO 9001:2015 Cofrestredig

2. Dilysu ac Awdurdodi 683823 | 2023.05.23
wedi'i leoli yn y cyfeiriadur gweithio cyfredol. Gallwch ddewis pa gyfeiriaduron i'w defnyddio, ac mae'r offer yn cefnogi cymharol file llwybrau. Os dewiswch gadw allwedd files ar y file system, rhaid i chi reoli caniatâd mynediad i'r rheini yn ofalus files.
Mae Intel yn argymell defnyddio Modiwl Diogelwch Caledwedd (HSM) sydd ar gael yn fasnachol i storio allweddi cryptograffig a pherfformio gweithrediadau cryptograffig. Mae'r offeryn quartus_sign a gweithrediad cyfeirio yn cynnwys Rhyngwyneb Rhaglennu Cymwysiadau Safon Cryptograffi Allwedd Gyhoeddus #11 (PKCS #11) i ryngweithio â HSM wrth gyflawni gweithrediadau cadwyn llofnod. Mae gweithredu cyfeirio agilex_sign.py yn cynnwys crynodeb rhyngwyneb yn ogystal ag exampgyda rhyngwyneb i SoftHSM.
Gallwch ddefnyddio'r rhain example rhyngwynebau i weithredu rhyngwyneb i'ch HSM. Cyfeiriwch at y ddogfennaeth gan eich gwerthwr HSM am ragor o wybodaeth am weithredu rhyngwyneb i'ch HSM a'i weithredu.
Mae SoftHSM yn gweithredu meddalwedd dyfais cryptograffig generig gyda rhyngwyneb PKCS #11 sydd ar gael gan brosiect OpenDNSSEC®. Efallai y byddwch yn dod o hyd i ragor o wybodaeth, gan gynnwys cyfarwyddiadau ar sut i lawrlwytho, adeiladu, a gosod OpenHSM, yn y prosiect OpenDNSSEC. Mae'r cynampond yn yr adran hon defnyddio SoftHSM fersiwn 2.6.1. Mae'r cynamples yn yr adran hon hefyd defnyddiwch y cyfleustodau pkcs11-offeryn o OpenSC i berfformio gweithrediadau PKCS #11 ychwanegol gyda thocyn SoftHSM. Efallai y byddwch yn dod o hyd i ragor o wybodaeth, gan gynnwys cyfarwyddiadau ar sut i lawrlwytho, adeiladu, a gosod pkcs11tool o OpenSC.
Gwybodaeth Gysylltiedig
· Prosiect OpenDNSSEC Arwyddo parth sy'n seiliedig ar bolisi ar gyfer awtomeiddio'r broses o olrhain allweddi DNSSEC.
· SoftHSM Gwybodaeth am weithredu storfa cryptograffig sy'n hygyrch trwy ryngwyneb PKCS #11.
· OpenSC Yn darparu set o lyfrgelloedd a chyfleustodau sy'n gallu gweithio gyda chardiau clyfar.
2.1.1. Creu Parau Allweddol Dilysu ar y Lleol File System
Rydych chi'n defnyddio'r offeryn quartus_sign i greu parau bysellau dilysu ar y lleol file system sy'n defnyddio'r gweithrediadau offeryn make_private_pem a make_public_pem. Rydych chi'n cynhyrchu allwedd breifat yn gyntaf gyda'r gweithrediad make_private_pem. Rydych chi'n nodi'r gromlin eliptig i'w defnyddio, sef yr allwedd breifat fileenw, ac yn ddewisol a ddylid diogelu'r allwedd breifat gyda chyfrinair. Mae Intel yn argymell defnyddio'r gromlin secp384r1 a dilyn arferion gorau'r diwydiant i greu cyfrinair cryf, ar hap ar bob allwedd breifat files. Mae Intel hefyd yn argymell cyfyngu'r file caniatadau system ar yr allwedd breifat .pem files i'w darllen gan y perchennog yn unig. Rydych chi'n deillio'r allwedd gyhoeddus o'r allwedd breifat gyda'r gweithrediad make_public_pem. Cymwynasgar yw enwi y cywair .pem files disgrifiadol. Mae'r ddogfen hon yn defnyddio'r confensiwn _ .pem yn y cynamples.
1. Yn y cragen gorchymyn Nios II, rhedeg y gorchymyn canlynol i greu allwedd breifat. Defnyddir yr allwedd breifat, a ddangosir isod, fel yr allwedd gwraidd yn ddiweddarach exampllai sy'n creu cadwyn llofnod. Mae dyfeisiau Intel Agilex 7 yn cefnogi allweddi gwraidd lluosog, felly chi

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 7

2. Dilysu ac Awdurdodi 683823 | 2023.05.23

ailadroddwch y cam hwn i greu eich nifer gofynnol o allweddi gwraidd. Exampond yn y ddogfen hon mae pob un yn cyfeirio at yr allwedd gwraidd cyntaf, er y gallwch adeiladu cadwyni llofnod yn yr un modd ag unrhyw allwedd gwraidd.

Opsiwn Gyda chyfrinair

Disgrifiad
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Rhowch y cyfrinair pan ofynnir i chi wneud hynny.

Heb gyfrinair

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Rhedeg y gorchymyn canlynol i greu allwedd gyhoeddus gan ddefnyddio'r allwedd breifat a gynhyrchwyd yn y cam blaenorol. Nid oes angen i chi ddiogelu cyfrinachedd allwedd gyhoeddus.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Rhedeg y gorchmynion eto i greu pâr allweddol a ddefnyddir fel yr allwedd arwyddo dylunio yn y gadwyn llofnod.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Creu Parau Allweddol Dilysu mewn SoftHSM
Mae'r SoftHSM cynamples yn y bennod hon yn hunan-gyson. Mae rhai paramedrau yn dibynnu ar eich gosodiad SoftHSM a dechreuad tocyn o fewn SoftHSM.
Mae'r offeryn quartus_sign yn dibynnu ar lyfrgell API PKCS #11 o'ch HSM.
Mae'r cynamples yn yr adran hon tybiwch fod y llyfrgell SoftHSM wedi ei gosod yn un o'r lleoliadau canlynol: · /usr/local/lib/softhsm2.so on Linux · C:SoftHSM2libsofthsm2.dll ar fersiwn 32-bit o Windows · C:SoftHSM2libsofthsm2-x64 .dll ar fersiwn 64-bit o Windows.
Cychwyn tocyn o fewn SoftHSM gan ddefnyddio'r teclyn softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Mae'r paramedrau opsiwn, yn enwedig y label tocyn a'r pin tocyn yn gynampa ddefnyddir yn llai trwy gydol y bennod hon. Mae Intel yn argymell eich bod yn dilyn cyfarwyddiadau gan eich gwerthwr HSM i greu a rheoli tocynnau ac allweddi.
Rydych chi'n creu parau allweddi dilysu gan ddefnyddio'r cyfleustodau pkcs11-tool i ryngweithio â'r tocyn yn SoftHSM. Yn lle cyfeirio'n benodol at yr allwedd breifat a chyhoeddus .pem files yn y file system examples, rydych chi'n cyfeirio at y pâr allwedd wrth ei label ac mae'r offeryn yn dewis yr allwedd briodol yn awtomatig.

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 8

Anfon Adborth

2. Dilysu ac Awdurdodi 683823 | 2023.05.23

Rhedeg y gorchmynion canlynol i greu pâr allweddol a ddefnyddir fel yr allwedd gwraidd yn ddiweddarach exampllai yn ogystal â phâr allweddol a ddefnyddir fel allwedd arwyddo dylunio yn y gadwyn llofnod:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mecanwaith ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –arwydd-defnydd –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mecanwaith ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 – arwydd-defnydd – label design0_sign –id 1

Nodyn:

Rhaid i'r opsiwn ID yn y cam hwn fod yn unigryw i bob allwedd, ond dim ond yr HSM sy'n ei ddefnyddio. Nid yw'r opsiwn ID hwn yn gysylltiedig â'r ID canslo allwedd a neilltuwyd yn y gadwyn llofnod.

2.1.3. Creu'r Mynediad Gwraidd Cadwyn Llofnod
Trosi'r allwedd gyhoeddus gwraidd yn gofnod gwraidd cadwyn llofnod, wedi'i storio ar y lleol file system yn y fformat allwedd Intel Quartus Prime (.qky). file, gyda'r gweithrediad make_root. Ailadroddwch y cam hwn ar gyfer pob allwedd gwraidd rydych chi'n ei gynhyrchu.
Rhedeg y gorchymyn canlynol i greu cadwyn llofnod gyda chofnod gwraidd, gan ddefnyddio allwedd gyhoeddus gwraidd o'r file system:
quartus_sign –family=agilex –operation=make_root –key_type=perchennog root0_public.pem root0.qky
Rhedeg y gorchymyn canlynol i greu cadwyn llofnod gyda chofnod gwraidd, gan ddefnyddio'r allwedd gwraidd o'r tocyn SoftHSM a sefydlwyd yn yr adran flaenorol:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=” –token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so ” root0 root0.qky

2.1.4. Creu Allwedd Gyhoeddus Cadwyn Llofnod
Creu cofnod allwedd gyhoeddus newydd ar gyfer cadwyn llofnod gyda'r gweithrediad append_key. Rydych chi'n nodi'r gadwyn llofnod blaenorol, yr allwedd breifat ar gyfer y cofnod olaf yn y gadwyn llofnod blaenorol, yr allwedd gyhoeddus lefel nesaf, y caniatâd a'r ID canslo rydych chi'n eu neilltuo i'r allwedd gyhoeddus lefel nesaf, a'r gadwyn llofnod newydd file.
Sylwch nad yw'r llyfrgell softHSM ar gael gyda gosodiad Quartus ac yn lle hynny mae angen ei osod ar wahân. I gael rhagor o wybodaeth am softHSM cyfeiriwch at Adran Creu Cadwyn Llofnod uchod.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 9

2. Dilysu ac Awdurdodi 683823 | 2023.05.23
Yn dibynnu ar eich defnydd o allweddi ar y file system neu mewn HSM, rydych yn defnyddio un o'r canlynol example gorchmynion i atodi'r allwedd gyhoeddus design0_sign i'r gadwyn llofnod gwraidd a grëwyd yn yr adran flaenorol:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname root0 –previous_qky=root0.qky –permission=6 –canslo=0 –input_keyname=dylunio0_sign design0_sign_chain.qky
Gallwch ailadrodd y gweithrediad append_key hyd at ddwywaith arall am uchafswm o dri chofnod allwedd gyhoeddus rhwng y cofnod gwraidd a'r cofnod bloc pennyn mewn unrhyw un gadwyn llofnod.
Mae'r cynampMae le yn cymryd yn ganiataol eich bod wedi creu allwedd gyhoeddus ddilysu arall gyda'r un caniatadau a'r ID canslo a neilltuwyd 1 o'r enw design1_sign_public.pem, a'ch bod yn atodi'r allwedd hon i'r gadwyn llofnod o'r cyn blaenorolample:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –canslo=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname design0_sign –previous_qky=dylunio0_sign_chain.qky –permission=6 –canslo=1 –input_keyname=dyluniad1_sign design1_sign_chain.qky
Mae dyfeisiau Intel Agilex 7 yn cynnwys rhifydd canslo allwedd ychwanegol i hwyluso'r defnydd o allwedd a all newid o bryd i'w gilydd trwy gydol oes dyfais benodol. Gallwch ddewis y rhifydd canslo bysell hwn trwy newid dadl yr opsiwn -cancel i pts:pts_value.
2.2. Arwyddo Bitstream Cyfluniad
Mae dyfeisiau Intel Agilex 7 yn cefnogi cownteri Rhif Fersiwn Diogelwch (SVN), sy'n eich galluogi i ddirymu awdurdodiad gwrthrych heb ganslo allwedd. Rydych chi'n aseinio'r rhifydd SVN a'r gwerth cownter SVN priodol wrth lofnodi unrhyw wrthrych, megis adran bitstream, firmware .zip file, neu dystysgrif gryno. Rydych chi'n aseinio'r rhifydd SVN a'r gwerth SVN gan ddefnyddio'r opsiwn -cancel a svn_counter:svn_value fel y ddadl. Gwerthoedd dilys ar gyfer svn_counter yw svnA, svnB, svnC, a svnD. Mae'r svn_value yn gyfanrif o fewn yr ystod [0,63].

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 10

Anfon Adborth

2. Dilysu ac Awdurdodi 683823 | 2023.05.23
2.2.1. Allwedd Cwartws File Aseiniad
Rydych chi'n nodi cadwyn llofnod yn eich prosiect meddalwedd Intel Quartus Prime i alluogi'r nodwedd ddilysu ar gyfer y dyluniad hwnnw. O'r ddewislen Assignments, dewiswch Device Device a Pin Options Security Quartus Key File, yna porwch i'r gadwyn llofnod .qky file gwnaethoch chi greu i lofnodi'r dyluniad hwn.
Ffigur 1. Galluogi Gosod Ffurfweddiad Bitstream

Fel arall, gallwch ychwanegu'r datganiad aseiniad canlynol at eich Intel Quartus Prime Settings file (.qsf):
set_aseiniad_byd-eang - enw QKY_FILE dylunio0_sign_chain.qky
I gynhyrchu .sof file o ddyluniad a luniwyd yn flaenorol, sy'n cynnwys y gosodiad hwn, o'r ddewislen Prosesu, dewiswch Start Start Assembler. Mae'r allbwn newydd .sof file yn cynnwys yr aseiniadau i alluogi dilysu gyda'r gadwyn llofnod a ddarparwyd.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 11

2. Dilysu ac Awdurdodi 683823 | 2023.05.23
2.2.2. Cyd-lofnodi Firmware SDM
Rydych chi'n defnyddio'r offeryn quartus_sign i echdynnu, llofnodi, a gosod y firmware SDM perthnasol .zip file. Yna mae'r firmware wedi'i gyd-lofnodi yn cael ei gynnwys gan y rhaglennu file offeryn generadur pan fyddwch yn trosi .sof file i mewn i ffrwd didau cyfluniad .rbf file. Rydych chi'n defnyddio'r gorchmynion canlynol i greu cadwyn llofnod newydd a llofnodi firmware SDM.
1. Creu pâr allwedd arwyddo newydd.
a. Creu pâr allwedd arwyddo newydd ar y file system:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Creu pâr allwedd arwyddo newydd yn yr HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mecanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –arwydd-defnydd – label firmware1 –id 1
2. Creu cadwyn llofnod newydd yn cynnwys yr allwedd gyhoeddus newydd:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname root0 –previous_qky=root0.qky –permission=1 –canslo=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Copïwch y firmware .zip file o'ch cyfeiriadur gosod meddalwedd Intel Quartus Prime Pro Edition ( /devices/programmer/firmware/agilex.zip) i'r cyfeiriadur gweithio cyfredol.
quartus_sign –family=agilex –get_firmware=.
4. Llofnodwch y firmware .zip file. Mae'r offeryn yn dadbacio'r .zip yn awtomatig file ac yn unigol yn arwyddo pob firmware .cmf files, yna ailadeiladu'r .zip file i'w defnyddio gan yr offer yn yr adrannau canlynol:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 12

Anfon Adborth

2. Dilysu ac Awdurdodi 683823 | 2023.05.23

–keyname=firmware1 –canslo=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Arwyddo Ffurfweddu Bitstream Gan ddefnyddio'r Gorchymyn quartus_sign
I lofnodi llif didau cyfluniad gan ddefnyddio'r gorchymyn quartus_sign, rydych chi'n trosi'r .sof yn gyntaf file i'r deuaidd amrwd heb ei arwyddo file (.rbf) fformat. Efallai y byddwch yn ddewisol yn nodi firmware wedi'i gyd-lofnodi gan ddefnyddio'r opsiwn fw_source yn ystod y cam trosi.
Gallwch chi gynhyrchu'r llif did amrwd heb ei lofnodi mewn fformat .rbf gan ddefnyddio'r gorchymyn canlynol:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Rhedeg un o'r gorchmynion canlynol i lofnodi'r llif did gan ddefnyddio'r offeryn quartus_sign yn dibynnu ar leoliad eich allweddi:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 heb ei lofnodi_bitstream.rbf signed_bitstream.rbf
Gallwch drosi .rbf wedi'i lofnodi files i ffrwd didau cyfluniad arall file fformatau.
Am gynample, os ydych chi'n defnyddio'r Chwaraewr Iaith Prawf a Rhaglennu Safonol Jam* (STAPL) i raglennu llif did dros JTAG, rydych chi'n defnyddio'r gorchymyn canlynol i drosi .rbf file i'r fformat .jam sydd ei angen ar y Jam STAPL Player:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Cefnogaeth Aml-Awdurdod Ailgyflunio Rhannol

Mae dyfeisiau Intel Agilex 7 yn cefnogi ad-drefnu rhannol ddilysu aml-awdurdod, lle mae perchennog y ddyfais yn creu ac yn llofnodi'r llif didau sefydlog, ac mae perchennog cysylltiadau cyhoeddus ar wahân yn creu ac yn arwyddo ffrydiau didau persona PR. Mae dyfeisiau Intel Agilex 7 yn gweithredu cefnogaeth aml-awdurdod trwy neilltuo'r slotiau allwedd gwraidd dilysu cyntaf i'r ddyfais neu berchennog bitstream statig a neilltuo'r slot allwedd gwraidd dilysu terfynol i'r perchennog ailgyflunio rhannol persona bitstream.
Os yw'r nodwedd ddilysu wedi'i galluogi, yna rhaid llofnodi pob delwedd persona PR, gan gynnwys delweddau persona PR nythu. Gall naill ai perchennog y ddyfais neu berchennog cysylltiadau cyhoeddus lofnodi delweddau persona PR; fodd bynnag, rhaid i berchennog y ddyfais lofnodi ffrydiau didau rhanbarth statig.

Nodyn:

Ailgyflunio Rhannol Mae amgryptio llif didau statig a persona pan fydd cymorth aml-awdurdod wedi'i alluogi wedi'i gynllunio mewn datganiad yn y dyfodol.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 13

2. Dilysu ac Awdurdodi 683823 | 2023.05.23

Ffigur 2.

Mae angen sawl cam i weithredu cefnogaeth aml-awdurdod ailgyflunio rhannol:
1. Mae'r ddyfais neu berchennog llif didau statig yn cynhyrchu un neu fwy o allweddi gwraidd dilysu fel y disgrifir yn Creu Parau Allwedd Dilysu yn SoftHSM ar dudalen 8, lle mae gan yr opsiwn –key_type berchennog gwerth.
2. Mae'r perchennog ail-gyflunio rhannol bitstream yn cynhyrchu allwedd gwraidd dilysu ond yn newid y gwerth opsiwn –key_type i secondary_owner.
3. Mae'r perchnogion dylunio llif did statig a rhannol yn sicrhau bod y blwch ticio cymorth Galluogi Aml-Awdurdod wedi'i alluogi yn y tab Dyfais Dyfais Aseiniadau a Diogelwch Dewisiadau Pin.
Intel Quartus Prime Galluogi Gosodiadau Opsiwn Aml-Awdurdod

4. Mae'r perchnogion dylunio llif did statig a rhannol yn creu cadwyni llofnod yn seiliedig ar eu bysellau gwraidd priodol fel y disgrifir yn Creu Cadwyn Llofnod ar dudalen 6.
5. Mae'r perchnogion dylunio llif did statig a rhannol yn trosi eu dyluniadau cryno i fformat .rbf files ac arwyddo y .rbf files.
6. Mae'r ddyfais neu'r perchennog llif didau statig yn cynhyrchu ac yn llofnodi tystysgrif gryno awdurdodi rhaglen allwedd gyhoeddus PR.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH neu perchennog_qky_file=”root0.qky;root1.qky” heb ei lofnodi_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 14

Anfon Adborth

2. Dilysu ac Awdurdodi 683823 | 2023.05.23

7. y ddyfais neu'r perchennog bitstream statig yn darparu eu hashes dilysu gwraidd allweddol i'r ddyfais, yna rhaglenni y rhaglen allweddol cyhoeddus PR tystysgrif awdurdodi compact, ac yn olaf darpariaethau'r ailgyfluniad rhannol bitstream perchennog gwraidd allwedd i'r ddyfais. Mae'r adran Darparu Dyfeisiau yn disgrifio'r broses ddarparu hon.
8. Mae dyfais Intel Agilex 7 wedi'i ffurfweddu gyda'r rhanbarth statig .rbf file.
9. Mae dyfais Intel Agilex 7 wedi'i hailgyflunio'n rhannol gyda'r dyluniad persona .rbf file.
Gwybodaeth Gysylltiedig
· Creu Cadwyn Llofnod ar dudalen 6
· Creu Parau Allweddol Dilysu mewn SoftHSM ar dudalen 8
· Darparu Dyfeisiau ar dudalen 25

2.2.5. Gwirio Cyfluniad Cadwyni Llofnod Bitstream
Ar ôl i chi greu cadwyni llofnod a ffrydiau didau wedi'u llofnodi, gallwch wirio bod ffrwd did wedi'i llofnodi yn ffurfweddu dyfais sydd wedi'i rhaglennu ag allwedd gwraidd benodol yn gywir. Rydych yn gyntaf yn defnyddio gweithrediad fuse_info y gorchymyn quartus_sign i argraffu stwnsh allwedd cyhoeddus gwraidd i destun file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Yna byddwch yn defnyddio opsiwn check_integrity y gorchymyn quartus_pfg i archwilio'r gadwyn llofnod ar bob adran o ffrwd did wedi'i llofnodi mewn fformat .rbf. Mae'r opsiwn check_integrity yn argraffu'r wybodaeth ganlynol:
· Statws y gwiriad cyfanrwydd llif didau
· Cynnwys pob cofnod ym mhob cadwyn llofnod sydd ynghlwm wrth bob adran yn y ffrwd did .rbf file,
· Gwerth ffiws disgwyliedig ar gyfer stwnsh yr allwedd gyhoeddus gwraidd ar gyfer pob cadwyn llofnod.
Dylai'r gwerth o'r allbwn fuse_info gyfateb i'r llinellau Fuse yn yr allbwn check_integrity.
quartus_pfg –check_integrity signed_bitstream.rbf

Dyma gynampgyda'r allbwn gorchymyn check_integrity:

Gwybodaeth: Gorchymyn: quartus_pfg –check_integrity signed_bitstream.rbf Statws uniondeb: Iawn

Adran

Math: CMF

Disgrifydd Llofnod …

Cadwyn llofnod #0 (cofnodion: -1, gwrthbwyso: 96)

Mynediad #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Cynhyrchu allwedd…

Cromlin: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Cynhyrchu allwedd…

Cromlin: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 15

2. Dilysu ac Awdurdodi 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Mynediad #1

Cynhyrchu allwedd…

Cromlin: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Mynediad #2 Caniatâd Keychain: SIGN_CODE Gellir canslo Keychain trwy ID: 3 Cadwyn llofnod #1 (cofnodion: -1, gwrthbwyso: 648)

Mynediad #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Cynhyrchu allwedd…

Cromlin: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Cynhyrchu allwedd…

Cromlin: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Mynediad #1

Cynhyrchu allwedd…

Cromlin: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Mynediad #2

Cynhyrchu allwedd…

Cromlin: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Mynediad #3 Caniatâd Keychain: SIGN_CODE Gellir canslo Keychain trwy ID: 15 Cadwyn llofnod #2 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #3 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #4 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #5 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #6 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #7 (cofnodion: -1, gwrthbwyso: 0)

Math o Adran: Disgrifydd Llofnod IO … Cadwyn llofnod #0 (cofnodion: -1, gwrthbwyso: 96)

Mynediad #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Cynhyrchu allwedd…

Cromlin: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 16

Anfon Adborth

2. Dilysu ac Awdurdodi 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Cynhyrchu allwedd…

Cromlin: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Mynediad #1

Cynhyrchu allwedd…

Cromlin: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Mynediad #2

Cynhyrchu allwedd…

Cromlin: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Mynediad #3 Caniatâd Keychain: SIGN_CORE Gellir canslo Keychain trwy ID: 15 Cadwyn llofnod #1 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #2 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #3 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #4 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #5 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #6 (cofnodion: -1, gwrthbwyso: 0) Llofnod cadwyn #7 (cofnodion: -1, gwrthbwyso: 0)

Adran

Math: HPS

Disgrifydd Llofnod …

Cadwyn llofnod #0 (cofnodion: -1, gwrthbwyso: 96)

Mynediad #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Cynhyrchu allwedd…

Cromlin: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Cynhyrchu allwedd…

Cromlin: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Mynediad #1

Cynhyrchu allwedd…

Cromlin: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Mynediad #2

Cynhyrchu allwedd…

Cromlin: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 17

2. Dilysu ac Awdurdodi 683823 | 2023.05.23

Mynediad #3 Caniatâd Keychain: SIGN_HPS Gellir canslo Keychain trwy ID: 15 Cadwyn llofnod #1 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #2 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #3 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #4 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #5 (cofnodion: -1, gwrthbwyso: 0) Cadwyn llofnod #6 (cofnodion: -1, gwrthbwyso: 0) Llofnod cadwyn #7 (cofnodion: -1, gwrthbwyso: 0)

Math o Adran: Disgrifydd Llofnod CORE … Cadwyn llofnod #0 (cofnod: -1, gwrthbwyso: 96)

Mynediad #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Cynhyrchu allwedd…

Cromlin: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Cynhyrchu allwedd…

Cromlin: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Mynediad #1

Cynhyrchu allwedd…

Cromlin: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Mynediad #2

Cynhyrchu allwedd…

Cromlin: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 18

Anfon Adborth

683823 | 2023.05.23 Anfon Adborth

Amgryptio Bitstream AES

Mae amgryptio llif didau Safon Amgryptio Uwch (AES) yn nodwedd sy'n galluogi perchennog dyfais i amddiffyn cyfrinachedd eiddo deallusol mewn llif didau cyfluniad.
Er mwyn helpu i ddiogelu cyfrinachedd allweddi, mae amgryptio llif-bit cyfluniad yn defnyddio cadwyn o allweddi AES. Defnyddir yr allweddi hyn i amgryptio data perchennog yn y llif didau cyfluniad, lle mae'r allwedd ganolradd gyntaf wedi'i hamgryptio gyda'r allwedd gwraidd AES.

3.1. Creu Allwedd Wraidd AES

Gallwch ddefnyddio'r offeryn quartus_encrypt neu weithrediad cyfeirio stratix10_encrypt.py i greu allwedd gwraidd AES yn fformat allwedd amgryptio meddalwedd Intel Quartus Prime (.qek) file.

Nodyn:

Mae'r stratix10_encrypt.py file yn cael ei ddefnyddio ar gyfer dyfeisiau Intel Stratix® 10, ac Intel Agilex 7.

Gallwch ddewis yn ddewisol yr allwedd sylfaenol a ddefnyddir i ddeillio'r allwedd gwraidd AES a'r allwedd tarddiad bysell, gwerth yr allwedd gwraidd AES yn uniongyrchol, nifer yr allweddi canolradd, a'r defnydd mwyaf posibl fesul allwedd canolradd.

Rhaid i chi nodi'r teulu dyfais, allbwn .qek file lleoliad, a chyfrinymadrodd pan ofynnir i chi.
Rhedeg y gorchymyn canlynol i gynhyrchu'r allwedd gwraidd AES gan ddefnyddio data ar hap ar gyfer yr allwedd sylfaenol a'r gwerthoedd rhagosodedig ar gyfer nifer yr allweddi canolradd a'r defnydd mwyaf o allwedd.
I ddefnyddio'r gweithrediad cyfeirio, rydych yn amnewid galwad i'r dehonglydd Python sydd wedi'i gynnwys gyda meddalwedd Intel Quartus Prime ac yn hepgor yr opsiwn -family=agilex; mae pob opsiwn arall yn gyfwerth. Am gynample, y gorchymyn quartus_encrypt a ddarganfuwyd yn ddiweddarach yn yr adran

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

gellir ei drawsnewid yn alwad cyfatebol i'r gweithredu cyfeirnod fel a ganlyn pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Gosodiadau Amgryptio Quartus
Er mwyn galluogi amgryptio bitstream ar gyfer dyluniad, rhaid i chi nodi'r opsiynau priodol gan ddefnyddio'r panel Dyfais Dyfais Aseiniadau a Diogelwch Dewisiadau Pin. Rydych chi'n dewis y blwch ticio amgryptio Galluogi cyfluniad llif didau, a'r lleoliad storio allwedd Encryption dymunol o'r gwymplen.

ISO 9001:2015 Cofrestredig

Ffigur 3. Gosodiadau Amgryptio Intel Quartus Prime

3. Amgryptio Bitstream AES 683823 | 2023.05.23

Fel arall, gallwch ychwanegu'r datganiad aseiniad canlynol at eich gosodiadau Intel Quartus Prime file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM ar set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Os ydych chi am alluogi mesurau lliniaru ychwanegol yn erbyn fectorau ymosodiad ochr-sianel, efallai y byddwch chi'n galluogi'r gwymplen cymhareb diweddaru Amgryptio a blwch ticio Galluogi sgramblo.

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 20

Anfon Adborth

3. Amgryptio Bitstream AES 683823 | 2023.05.23

Y newidiadau cyfatebol yn y .qsf yw:
set_global_assignment -name PROGRAMMING_BITSTRREAM_ENCRYPTION_CNOC_SCRAMBLING ar set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Amgryptio Bitstream Ffurfweddu
Rydych chi'n amgryptio ffrwd bit ffurfweddiad cyn arwyddo'r llif did. Rhaglennu Intel Quartus Prime File Gall offeryn generadur amgryptio a llofnodi llif didau cyfluniad yn awtomatig gan ddefnyddio'r rhyngwyneb defnyddiwr graffigol neu'r llinell orchymyn.
Gallwch ddewis llif did wedi'i hamgryptio'n rhannol i'w defnyddio gyda'r offer quartus_encrypt a quartus_sign neu gyfeirnod cyfatebol gweithredu.

3.3.1. Ffurfweddu Amgryptio Bitstream Gan Ddefnyddio'r Rhaglennu File Generadur Rhyngwyneb Graffigol
Gallwch ddefnyddio'r Rhaglennu File Generadur i amgryptio a llofnodi delwedd y perchennog.

Ffigur 4.

1. Ar y Intel Quartus Prime File dewislen dewis Rhaglennu File Generadur. 2. Ar yr Allbwn Files tab, nodwch yr allbwn file teipiwch ar gyfer eich ffurfweddiad
cynllun.
Allbwn File Manyleb

Allbwn cynllun ffurfweddu file tab
Allbwn file math

3. Ar y Mewnbwn Files tab, cliciwch Ychwanegu Bitstream a phori i'ch .sof. 4. I nodi opsiynau amgryptio a dilysu dewiswch y .sof a chliciwch
Priodweddau. a. Trowch yr offeryn arwyddo Galluogi ymlaen. b. Ar gyfer allwedd breifat file dewiswch eich allwedd arwyddo preifat .pem file. c. Trowch amgryptio Finalize ymlaen.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 21

3. Amgryptio Bitstream AES 683823 | 2023.05.23

Ffigur 5.

d. Ar gyfer allwedd Amgryptio file, dewiswch eich AES .qek file. Mewnbwn (.sof) File Priodweddau ar gyfer Dilysu ac Amgryptio

Galluogi dilysu Nodwch wreiddyn preifat .pem
Galluogi amgryptio Nodwch yr allwedd amgryptio
5. I gynhyrchu'r llif did wedi'i lofnodi a'i amgryptio, ar y Mewnbwn Files tab, cliciwch Cynhyrchu. Mae blychau deialog cyfrinair yn ymddangos er mwyn i chi fewnbynnu eich cyfrinair ar gyfer eich allwedd AES .qek file ac arwyddo allwedd breifat .pem file. Y rhaglennu file generadur yn creu'r allbwn wedi'i amgryptio a'i lofnodi_file.rbf.
3.3.2. Ffurfweddu Amgryptio Bitstream Gan Ddefnyddio'r Rhaglennu File Rhyngwyneb Llinell Reoli Generadur
Cynhyrchwch ffrwd did wedi'i hamgryptio a'i llofnodi mewn fformat .rbf gyda'r rhyngwyneb llinell orchymyn quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o arwyddo=YMLAEN -o pem_file=dylunio0_sign_private.pem
Gallwch drosi llif-bit cyfluniad wedi'i amgryptio a'i lofnodi mewn fformat .rbf i ffrwd did cyfluniad arall file fformatau.
3.3.3. Ffurfweddiad Rhannol Amgryptio Cynhyrchu Bitstream Gan Ddefnyddio'r Rhyngwyneb Llinell Orchymyn
Efallai y byddwch yn cynhyrchu rhaglennu wedi'i hamgryptio'n rhannol file i gwblhau'r amgryptio a llofnodi'r ddelwedd yn ddiweddarach. Cynhyrchu'r rhaglennu sydd wedi'i hamgryptio'n rhannol file yn y fformat .rbf gyda rhyngwyneb llinell thequartus_pfgcommand: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 22

Anfon Adborth

3. Amgryptio Bitstream AES 683823 | 2023.05.23
Rydych chi'n defnyddio'r offeryn llinell orchymyn quartus_encrypt i gwblhau amgryptio bitstream:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Rydych chi'n defnyddio'r offeryn llinell orchymyn quartus_sign i lofnodi'r llif didau cyfluniad wedi'i amgryptio:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Ailgyflunio Rhannol Amgryptio Bitstream
Gallwch chi alluogi amgryptio bitstream ar rai dyluniadau Intel Agilex 7 FPGA sy'n defnyddio ad-drefnu rhannol.
Nid yw cynlluniau ad-drefnu rhannol sy'n defnyddio'r Ad-drefnu Rhannol Hierarchaidd (HPR), neu Ad-drefnu Rhannol Diweddariad Statig (SUPR) yn cefnogi'r amgryptio bitstream. Os yw'ch dyluniad yn cynnwys rhanbarthau cysylltiadau cyhoeddus lluosog, rhaid i chi amgryptio pob personas.
Er mwyn galluogi amgryptio llif did ad-drefnu rhannol, dilynwch yr un drefn ym mhob diwygiad dylunio. 1. Ar y Intel Quartus Prime File ddewislen, dewiswch Aseiniadau Dyfais Dyfais
a Diogelwch Pin Opsiynau. 2. Dewiswch y lleoliad storio allwedd amgryptio a ddymunir.
Ffigur 6. Gosodiad Amgryptio Bitstream Ail-gyflunio Rhannol

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 23

3. Amgryptio Bitstream AES 683823 | 2023.05.23
Fel arall, gallwch ychwanegu'r datganiad aseiniad canlynol yn y gosodiadau Quartus Prime file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION ar
Ar ôl i chi lunio eich dyluniad sylfaen a'ch diwygiadau, mae'r meddalwedd yn cynhyrchu a.soffile ac un neu fwy.pmsffiles, yn cynrychioli y personas. 3. Creu rhaglennu wedi'i amgryptio a'i lofnodi files o.sof a.pmsf files mewn modd tebyg i ddyluniadau heb unrhyw ailgyflunio rhannol wedi'i alluogi. 4. Trosi'r persona.pmsf a luniwyd file i.rbf wedi'i amgryptio'n rhannol file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Gorffen amgryptio bitstream gan ddefnyddio'r offeryn llinell orchymyn quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf amgryptio_persona1.rbf
6. Llofnodwch y llif-bit cyfluniad wedi'i amgryptio gan ddefnyddio'r offeryn llinell orchymyn quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem wedi'i amgryptio_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –canslo=svnA:0 –keyname=design0_sign amgryptio_persona1.rbf signed_encrypted_persona1.rbf

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 24

Anfon Adborth

683823 | 2023.05.23 Anfon Adborth

Darpariaeth Dyfeisiau

Dim ond yn y cadarnwedd darpariaeth SDM y cefnogir darparu nodwedd diogelwch cychwynnol. Defnyddiwch Raglennydd Intel Quartus Prime i lwytho'r firmware darpariaeth SDM a pherfformio gweithrediadau darparu.
Gallwch ddefnyddio unrhyw fath o JTAG lawrlwytho cebl i gysylltu'r Rhaglennydd Quartus â dyfais Intel Agilex 7 i gyflawni gweithrediadau darparu.
4.1. Gan ddefnyddio Firmware Darpariaeth SDM
Mae Rhaglennydd Intel Quartus Prime yn creu ac yn llwytho delwedd cynorthwyydd rhagosodedig ffatri yn awtomatig pan fyddwch chi'n dewis y gweithrediad cychwyn a gorchymyn i raglennu rhywbeth heblaw llif didau cyfluniad.
Yn dibynnu ar y gorchymyn rhaglennu a nodir, mae delwedd cynorthwyydd rhagosodedig y ffatri yn un o ddau fath:
· Delwedd cynorthwyydd darparu - mae'n cynnwys un adran llif did sy'n cynnwys y cadarnwedd darparu SDM.
· Delwedd cynorthwy-ydd QSPI-yn cynnwys dwy adran bitstream, un yn cynnwys y prif cadarnwedd SDM ac un adran I/O.
Gallwch greu delwedd cynorthwyydd rhagosodedig ffatri file i lwytho i mewn i'ch dyfais cyn perfformio unrhyw orchymyn rhaglennu. Ar ôl rhaglennu hash allwedd gwraidd dilysu, rhaid i chi greu a llofnodi delwedd cynorthwyydd rhagosodedig ffatri QSPI oherwydd yr adran I/O sydd wedi'i chynnwys. Os ydych chi hefyd yn rhaglennu'r gosodiad diogelwch cadarnwedd cyd-lofnodedig eFuse, rhaid i chi greu darpariaethau a delweddau cynorthwyydd rhagosodedig ffatri QSPI gyda firmware wedi'i gyd-lofnodi. Gallwch ddefnyddio delwedd cynorthwyydd rhagosodedig ffatri wedi'i chyd-lofnodi ar ddyfais heb ei darparu gan fod y ddyfais heb ei darparu yn anwybyddu cadwyni llofnod nad ydynt yn Intel dros firmware SDM. Cyfeiriwch at Defnyddio Delwedd Cynorthwyydd Rhagosodedig Ffatri QSPI ar Ddyfeisiadau Perchnogaeth ar dudalen 26 i gael rhagor o fanylion am greu, llofnodi, a defnyddio delwedd cynorthwyydd rhagosodedig ffatri QSPI.
Mae delwedd cynorthwyydd rhagosodedig y ffatri darparu yn cyflawni gweithred darparu, megis rhaglennu'r stwnsh allwedd gwraidd dilysu, ffiwsiau gosodiadau diogelwch, ymrestru PUF, neu ddarparu allwedd ddu. Rydych chi'n defnyddio Rhaglennu Intel Quartus Prime File Offeryn llinell orchymyn generadur i greu'r ddelwedd cynorthwyydd darparu, gan nodi'r opsiwn helper_image, eich enw helper_device, yr is-deip delwedd cynorthwyydd darpariaeth, ac yn ddewisol cadarnwedd wedi'i gyd-lofnodi .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Rhaglennu delwedd y cynorthwyydd gan ddefnyddio offeryn Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p; signed_provision_helper_image.rbf” –force

ISO 9001:2015 Cofrestredig

4. Darparu Dyfais 683823 | 2023.05.23

Nodyn:

Gallwch hepgor y gweithrediad cychwyn o orchmynion, gan gynnwys exampa ddarperir yn y bennod hon, naill ai ar ôl rhaglennu delwedd cynorthwyydd darpariaeth neu ddefnyddio gorchymyn sy'n cynnwys y gweithrediad ymgychwyn.

4.2. Defnyddio Delwedd Cynorthwyydd Diofyn Ffatri QSPI ar Ddyfeisiadau Perchnogaeth
Mae Rhaglennydd Intel Quartus Prime yn creu ac yn llwytho delwedd cynorthwyydd rhagosodedig ffatri QSPI yn awtomatig pan fyddwch chi'n dewis y gweithrediad cychwyn ar gyfer rhaglennu fflach QSPI file. Ar ôl rhaglennu hash allwedd gwraidd dilysu, rhaid i chi greu a llofnodi delwedd cynorthwyydd rhagosodedig ffatri QSPI, a rhaglennu'r ddelwedd cynorthwyydd ffatri QSPI wedi'i llofnodi ar wahân cyn rhaglennu'r fflach QSPI. 1. Rydych chi'n defnyddio Rhaglennu Intel Quartus Prime File Offeryn llinell orchymyn generadur i
creu delwedd helpwr QSPI, gan nodi'r opsiwn helper_image, eich math helper_device, yr is-deip delwedd cynorthwyydd QSPI, ac yn ddewisol, cadarnwedd cosigned .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Rydych chi'n llofnodi delwedd cynorthwyydd rhagosodedig ffatri QSPI:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Gallwch ddefnyddio unrhyw raglennu fflach QSPI file fformat. Mae'r cynampmae les yn defnyddio llif didau cyfluniad wedi'i drosi i'r .jic file fformat:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o modd=ASX4
4. Rydych chi'n rhaglennu'r ddelwedd cynorthwyydd wedi'i llofnodi gan ddefnyddio'r offeryn Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p; signed_qspi_helper_image.rbf” –force
5. Rydych yn rhaglennu'r ddelwedd .jic i fflachio gan ddefnyddio'r offeryn Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”

4.3. Darpariaeth Allwedd Dilysu Gwraidd
I raglennu'r perchennog gwraidd allweddol hashes i ffiwsiau corfforol, yn gyntaf rhaid i chi lwytho'r cadarnwedd darpariaeth, rhaglen nesaf y perchennog gwraidd stwnsh allwedd, ac yna ar unwaith yn perfformio ailosod pŵer-ar. Nid oes angen ailosodiad pŵer ymlaen os yw'r allwedd gwraidd rhaglennu yn stwnsio i ffiwsiau rhithwir.

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 26

Anfon Adborth

4. Darparu Dyfais 683823 | 2023.05.23
I raglennu hashes allwedd gwraidd dilysu, rydych chi'n rhaglennu delwedd cynorthwyydd cadarnwedd y ddarpariaeth ac yn rhedeg un o'r gorchmynion canlynol i raglennu'r allwedd gwraidd .qky files.
// Ar gyfer eFuses corfforol (anweddol) quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –non_volatile_key
// Ar gyfer rhithwir (anweddol) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky”
4.3.1. Ailgyflunio Rhannol Rhaglennu Allwedd Gwraidd Aml-Awdurdod
Ar ôl provisioning y ddyfais neu ranbarth statig perchennog bysellau gwraidd bitstream, byddwch eto llwytho delwedd cynorthwy-ydd darpariaeth ddyfais, rhaglennu'r dystysgrif awdurdodi rhaglen allweddol cyhoeddus PR wedi'i lofnodi compact, ac yna darparu'r allwedd PR persona PR didstream perchennog gwraidd.
// Ar gyfer eFuses corfforol (anweddol) quartus_pgm -c 1 -mjtag -o “p; root_pr.qky” –pr_pubkey –non_volatile_key
// Ar gyfer rhithwir (anweddol) eFuses quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Rhaglennu Ffiwsiau ID Canslo Allwedd
Gan ddechrau gyda fersiwn meddalwedd Intel Quartus Prime Pro Edition 21.1, mae rhaglennu Intel a ffiwsiau ID canslo allwedd perchennog yn gofyn am ddefnyddio tystysgrif gryno wedi'i llofnodi. Gallwch lofnodi'r dystysgrif gryno ID canslo allwedd gyda chadwyn llofnod sydd â chaniatâd llofnodi adran FPGA. Rydych chi'n creu'r dystysgrif gryno gyda'r rhaglennu file offeryn llinell orchymyn generadur. Rydych chi'n llofnodi'r dystysgrif heb ei llofnodi gan ddefnyddio'r offeryn quartus_sign neu weithredu cyfeirnod.
Mae dyfeisiau Intel Agilex 7 yn cefnogi banciau ar wahân o IDau canslo allwedd perchennog ar gyfer pob allwedd gwraidd. Pan fydd tystysgrif gryno ID canslo allwedd perchennog wedi'i rhaglennu i FPGA Intel Agilex 7, mae'r SDM yn penderfynu pa allwedd gwraidd a lofnododd y dystysgrif gryno ac yn chwythu'r ffiws ID canslo allweddol sy'n cyfateb i'r allwedd gwraidd honno.
Mae'r cynamples creu tystysgrif canslo allwedd Intel ar gyfer ID bysell Intel 7. Gallwch ddisodli 7 gyda'r ID canslo bysell Intel cymwys o 0-31.
Rhedeg y gorchymyn canlynol i greu tystysgrif gryno ID canslo allwedd Intel heb ei llofnodi:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 heb eu harwyddo_cancel_intel7.ccert
Rhedeg un o'r gorchmynion canlynol i lofnodi'r dystysgrif gryno ID canslo allwedd Intel heb ei llofnodi:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 27

4. Darparu Dyfais 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 heb ei lofnodi_cancel_intel7.ccert signed_cancel_intel7.ccert
Rhedeg y gorchymyn canlynol i greu tystysgrif gryno ID canslo allwedd perchennog heb ei llofnodi:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 heb eu harwyddo_cancel_owner2.ccert
Rhedeg un o'r gorchmynion canlynol i lofnodi'r dystysgrif cryno ID canslo allwedd perchennog heb ei llofnodi:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Ar ôl i chi greu tystysgrif gryno ID canslo allwedd wedi'i llofnodi, byddwch yn defnyddio Rhaglennydd Intel Quartus Prime i raglennu'r dystysgrif gryno i'r ddyfais trwy JTAG.
// Ar gyfer eFuses corfforol (anweddol) quartus_pgm -c 1 -mjtag -o “pi; signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
// Ar gyfer rhithwir (anweddol) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
Gallwch hefyd anfon y dystysgrif gryno i'r SDM gan ddefnyddio rhyngwyneb blwch post FPGA neu HPS.
4.5. Canslo Bysellau Gwraidd
Mae dyfeisiau Intel Agilex 7 yn gadael i chi ganslo'r hashes allwedd gwraidd pan fydd hash allwedd gwraidd arall heb ei ganslo yn bresennol. Rydych chi'n canslo hash allwedd gwraidd trwy ffurfweddu'r ddyfais yn gyntaf gyda dyluniad y mae ei gadwyn llofnod wedi'i gwreiddio mewn stwnsh allwedd gwraidd gwahanol, yna rhaglennu tystysgrif gryno canslo hash allwedd gwraidd wedi'i llofnodi. Rhaid i chi lofnodi tystysgrif gryno canslo'r hash allwedd gwraidd gyda chadwyn llofnod wedi'i gwreiddio yn yr allwedd gwraidd i'w chanslo.
Rhedeg y gorchymyn canlynol i gynhyrchu tystysgrif gryno canslo hash allwedd gwraidd heb ei llofnodi:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH heb ei lofnodi_root_cancel.ccert

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 28

Anfon Adborth

4. Darparu Dyfais 683823 | 2023.05.23

Rhedeg un o'r gorchmynion canlynol i lofnodi'r dystysgrif gryno canslo hash allwedd gwraidd heb ei llofnodi:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA: 0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA: 0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Gallwch raglennu tystysgrif gryno canslo hash allwedd gwraidd trwy JTAG, FPGA, neu flychau post HPS.

4.6. Ffiwsiau Cownter Rhaglennu
Rydych chi'n diweddaru'r Rhif Fersiwn Diogelwch (SVN) a Pseudo Time Stamp ffiwsiau cownter (PTS) gan ddefnyddio tystysgrifau cryno wedi'u llofnodi.

Nodyn:

Mae'r SDM yn cadw golwg ar y gwerth rhifydd lleiaf a welir yn ystod cyfluniad penodol ac nid yw'n derbyn tystysgrifau cownter cynyddran pan fo gwerth y cownter yn llai na'r gwerth lleiaf. Mae'n rhaid i chi ddiweddaru'r holl wrthrychau sydd wedi'u neilltuo i rifydd ac ail-ffurfweddu'r ddyfais cyn rhaglennu tystysgrif compact cownter cynyddran.

Rhedeg un o'r gorchmynion canlynol sy'n cyfateb i'r dystysgrif cownter cynyddran rydych chi am ei chynhyrchu.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> heb ei lofnodi_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> heb ei lofnodi_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> heb ei lofnodi_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> heb ei lofnodi_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> heb ei lofnodi_svnD.ccert

Mae gwrthwerth o 1 yn creu tystysgrif awdurdodi gwrth gynyddran. Mae rhaglennu tystysgrif compact awdurdodi cownter cynyddran yn eich galluogi i raglennu rhagor o dystysgrifau cownter cynyddran heb eu llofnodi er mwyn diweddaru'r cownter priodol. Rydych chi'n defnyddio'r offeryn quartus_sign i lofnodi'r tystysgrifau cownter compact mewn modd tebyg i dystysgrifau cryno ID canslo allweddi.
Gallwch raglennu tystysgrif gryno canslo hash allwedd gwraidd trwy JTAG, FPGA, neu flychau post HPS.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 29

4. Darparu Dyfais 683823 | 2023.05.23

4.7. Gwasanaeth Gwrthrych Data Diogel Darparu Allwedd Gwraidd
Rydych chi'n defnyddio Rhaglennydd Intel Quartus Prime i ddarparu allwedd gwraidd y Gwasanaeth Gwrthrychau Data Diogel (SDOS). Mae'r Rhaglennydd yn llwytho delwedd cynorthwyydd cadarnwedd y ddarpariaeth yn awtomatig i ddarparu allwedd gwraidd SDOS.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

4.8. Gosodiad Diogelwch Darpariaeth Ffiwsiau
Defnyddiwch y Rhaglennydd Intel Quartus Prime i archwilio ffiwsiau gosodiadau diogelwch dyfais a'u hysgrifennu at ffiws .seiliedig ar destun file fel a ganlyn:
quartus_pgm -c 1 -mjtag -o “ei;rhaglennu_file.ffiws;AGFB014R24B”

Opsiynau · i: Mae y Rhaglennydd yn llwytho delwedd cynorthwy-ydd firmware darpariaeth i'r ddyfais. · e: Mae'r Rhaglennydd yn darllen y ffiws o'r ddyfais ac yn ei storio mewn ffiws file.

Yr .ffiws file yn cynnwys rhestr o barau enw-gwerth ffiws. Mae'r gwerth yn nodi a yw ffiws wedi'i chwythu neu gynnwys maes y ffiwsiau.

Mae'r cynampMae le yn dangos fformat y .fuse file:

# Firmware wedi'i gyd-lofnodi

= “Heb chwythu”

# Lladd Caniatâd Dyfais

= “Heb chwythu”

# Dyfais ddim yn ddiogel

= “Heb chwythu”

# Analluogi dadfygio HPS

= “Heb chwythu”

# Analluogi cofrestru PUF ID Cynhenid

= “Heb chwythu”

# Analluogi JTAG

= “Heb chwythu”

# Analluogi allwedd amgryptio wedi'i lapio â PUF

= “Heb chwythu”

# Analluogi allwedd amgryptio perchennog yn BBRAM = “Heb chwythu”

# Analluogi allwedd amgryptio perchennog yn eFuses = “Heb chwythu”

# Analluogi hash allwedd gyhoeddus gwraidd perchennog 0

= “Heb chwythu”

# Analluogi hash allwedd gyhoeddus gwraidd perchennog 1

= “Heb chwythu”

# Analluogi hash allwedd gyhoeddus gwraidd perchennog 2

= “Heb chwythu”

# Analluogi eFuses rhithwir

= “Heb chwythu”

# Gorfodi cloc SDM i'r osgiliadur mewnol = “Heb chwythu”

# Gorfodi diweddariad allwedd amgryptio

= “Heb chwythu”

# Canslo allwedd penodol Intel

= “0”

# Cloi eFuses diogelwch

= “Heb chwythu”

# Rhaglen allwedd amgryptio perchennog wedi'i chwblhau

= “Heb chwythu”

# Cychwyn rhaglen allwedd amgryptio perchennog

= “Heb chwythu”

# Canslo allwedd penodol y perchennog 0

= “”

# Canslo allwedd penodol y perchennog 1

= “”

# Canslo allwedd penodol y perchennog 2

= “”

# ffiwsiau perchenog

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Hash allwedd gyhoeddus gwraidd y perchennog 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Hash allwedd gyhoeddus gwraidd y perchennog 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Hash allwedd gyhoeddus gwraidd y perchennog 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Maint allwedd cyhoeddus gwraidd y perchennog

= "Dim"

# cownter PTS

= “0”

# Sylfaen cownter PTS

= “0”

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 30

Anfon Adborth

4. Darparu Dyfais 683823 | 2023.05.23

# Oedi cychwyn QSPI # Rhifydd RMA # SDMIO0 yw I2C # cownter SVN A # cownter SVN B # cownter SVN C # cownter SVN D

= “10ms” = “0” = “Heb chwythu” = “0” = “0” = “0” = “0”

Addasu'r .fuse file i osod eich ffiwsiau gosodiad diogelwch dymunol. Mae llinell sy'n dechrau gyda # yn cael ei thrin fel llinell sylwadau. I raglennu ffiws gosodiad diogelwch, tynnwch y blaen # a gosodwch y gwerth i Blown. Am gynample, er mwyn galluogi ffiws gosodiad diogelwch Firmware Cyd-lofnodi, addaswch linell gyntaf y ffiws file i'r canlynol:
Firmware wedi'i gyd-lofnodi = "Chwythu"

Gallwch hefyd ddyrannu a rhaglennu'r Ffiwsiau Perchennog yn seiliedig ar eich gofynion.
Gallwch ddefnyddio'r gorchymyn canlynol i wneud gwiriad gwag, rhaglennu, a gwirio allwedd gyhoeddus gwraidd y perchennog:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

Opsiynau · i: Yn llwytho delwedd cynorthwyydd cadarnwedd y ddarpariaeth i'r ddyfais. · b: Yn cyflawni gwiriad gwag i wirio nad yw'r ffiwsiau gosodiad diogelwch dymunol
eisoes wedi chwythu. · p: Rhaglennu'r ffiws. · v: Yn gwirio'r allwedd wedi'i rhaglennu ar y ddyfais.
Ar ôl rhaglennu y .qky file, gallwch archwilio'r wybodaeth ffiws trwy wirio'r wybodaeth ffiws eto i sicrhau bod gan stwnsh allwedd gyhoeddus y perchennog a maint allwedd cyhoeddus y perchennog werthoedd nad ydynt yn sero.
Er nad yw'r meysydd canlynol yn ysgrifenadwy trwy'r .fuse file dull, maent yn cael eu cynnwys yn ystod yr archwilio allbwn gweithrediad ar gyfer dilysu: · Dyfais ddim yn ddiogel · Dyfais lladd trwydded · Analluoga perchennog gwraidd y perchennog stwnsh allwedd gyhoeddus 0 · Analluoga perchennog gwraidd y perchennog hash allwedd gyhoeddus 1 · Analluoga perchennog gwreiddyn cyhoeddus hash allweddol 2 · Intel canslo allweddol · Cychwyn rhaglen allwedd amgryptio perchennog · Rhaglen allwedd amgryptio perchennog wedi'i chwblhau · Canslo bysell y perchennog · Stwnsh allwedd gyhoeddus perchennog · Maint allwedd cyhoeddus y perchennog · Hash allwedd cyhoeddus gwraidd y perchennog 0 · hash allwedd cyhoeddus gwraidd y perchennog 1 · hash allwedd cyhoeddus gwraidd y perchennog 2

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 31

4. Darparu Dyfais 683823 | 2023.05.23
· Cownter PTS · sylfaen cownter PTS · oedi cychwyn QSPI · cownter RMA · SDMIO0 yn I2C · cownter SVN A · cownter SVN B · cownter SVN C · cownter SVN D
Defnyddiwch Raglennydd Intel Quartus Prime i raglennu'r .fuse file yn ôl i'r ddyfais. Os ydych chi'n ychwanegu'r opsiwn i, mae'r Rhaglennydd yn llwytho'r firmware darpariaeth yn awtomatig i raglennu'r ffiwsiau gosodiadau diogelwch.
// Ar gyfer eFuses corfforol (anweddol) quartus_pgm -c 1 -mjtag -o “pi;rhaglennu_file.fuse” – non_volatile_key
// Ar gyfer rhithwir (anweddol) eFuses quartus_pgm -c 1 -mjtag -o “pi;rhaglennu_file.ffiws"
Gallwch ddefnyddio'r gorchymyn canlynol i wirio a yw hash allwedd gwraidd y ddyfais yr un fath â'r .qky a ddarperir yn y gorchymyn:
quartus_pgm -c 1 -mjtag -o "v;root0_another.qky"
Os nad yw'r allweddi'n cyfateb, mae'r Rhaglennydd yn methu â neges gwall Ymgyrch wedi methu.
4.9. Darpariaeth Allwedd Gwraidd AES
Rhaid i chi ddefnyddio tystysgrif gryno allwedd gwraidd AES wedi'i llofnodi i raglennu allwedd gwraidd AES i ddyfais Intel Agilex 7.
4.9.1. Tystysgrif Compact Allwedd Gwraidd AES
Rydych chi'n defnyddio'r offeryn llinell orchymyn quartus_pfg i drosi'ch allwedd gwraidd AES .qek file i mewn i fformat tystysgrif compact .ccert. Rydych chi'n nodi'r lleoliad storio allweddol wrth greu'r dystysgrif gryno. Gallwch ddefnyddio'r offeryn quartus_pfg i greu tystysgrif heb ei llofnodi i'w llofnodi'n ddiweddarach. Rhaid i chi ddefnyddio cadwyn llofnod gyda chaniatâd llofnodi tystysgrif allwedd gwraidd AES, caniatâd did 6, wedi'i alluogi er mwyn llofnodi tystysgrif gryno allwedd gwraidd AES yn llwyddiannus.

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 32

Anfon Adborth

4. Darparu Dyfais 683823 | 2023.05.23
1. Creu pâr allweddol ychwanegol a ddefnyddir i lofnodi tystysgrif gryno allwedd AES gan ddefnyddio un o'r gorchymyn canlynol examples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –mecanwaith keypairgen ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –arwydd-defnydd –label aesccert1 –id 2
2. Creu cadwyn llofnod gyda'r set did caniatâd cywir gan ddefnyddio un o'r gorchmynion canlynol:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname root0 –previous_qky=root0.qky –permission=0x40 –canslo=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Creu tystysgrif gryno AES heb ei llofnodi ar gyfer y lleoliad storio allwedd gwraidd AES a ddymunir. Mae'r opsiynau storio allwedd gwraidd AES canlynol ar gael:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
// Creu allwedd gwraidd eFuse AES tystysgrif heb ei harwyddo quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek heb ei lofnodi_efuse1.ccert
4. Llofnodwch y dystysgrif gryno gyda'r gorchymyn quartus_sign neu weithredu cyfeirnod.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky heb ei lofnodi_ 1.ccert wedi'i lofnodi_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 33

4. Darparu Dyfais 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky heb ei lofnodi_ 1.ccert wedi'i lofnodi_ 1.ccert
5. Defnyddiwch y Rhaglennydd Intel Quartus Prime i raglennu tystysgrif gryno allwedd gwraidd AES i'r ddyfais Intel Agilex 7 trwy JTAG. Mae Rhaglennydd Intel Quartus Prime yn rhagosod rhaglen eFuses rhithwir wrth ddefnyddio'r math tystysgrif gryno EFUSE_WRAPPED_AES_KEY.
Rydych chi'n ychwanegu'r opsiwn -non_volatile_key i nodi ffiwsiau ffisegol rhaglennu.
// Ar gyfer bysell gwraidd eFuse AES corfforol (nad yw'n anweddol) quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –non_volatile_key

// Ar gyfer rhith (anweddol) allwedd gwraidd eFuse AES quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”

// Ar gyfer allwedd gwraidd BBRAM AES quartus_pgm -c 1 -mjtag -o “pi;signed_bbram1.ccert”

Mae'r cadarnwedd darpariaeth SDM a'r prif firmware yn cefnogi rhaglennu tystysgrif allweddol gwraidd AES. Gallwch hefyd ddefnyddio'r rhyngwyneb blwch post SDM o ffabrig FPGA neu HPS i raglennu tystysgrif allwedd gwraidd AES.

Nodyn:

Nid yw'r gorchymyn quartus_pgm yn cefnogi opsiynau b a v ar gyfer tystysgrifau cryno (.ccert).

4.9.2. ID cynhenid ® PUF AES Root Darpariaeth allweddol
Mae gweithredu Allwedd AES ID Cynhenid* wedi'i lapio PUF yn cynnwys y camau canlynol: 1. Cofrestru'r ID Cynhenid PUF trwy JTAG. 2. Lapio'r allwedd gwraidd AES. 3. Rhaglennu'r data helpwr a'r allwedd wedi'i lapio i mewn i gof fflach cwad SPI. 4. Cwestiynu statws actifadu ID Cynhenid PUF.
Mae defnyddio technoleg ID Cynhenid yn gofyn am gytundeb trwydded ar wahân gyda ID Cynhenid. Mae meddalwedd Intel Quartus Prime Pro Edition yn cyfyngu ar weithrediadau PUF heb y drwydded briodol, megis cofrestru, lapio allweddi, a rhaglennu data PUF i fflach QSPI.

4.9.2.1. ID Cynhenid Cofrestriad PUF
I gofrestru'r PUF, rhaid i chi ddefnyddio'r firmware darpariaeth SDM. Rhaid i'r firmware darpariaeth fod y firmware cyntaf a lwythir ar ôl cylch pŵer, a rhaid ichi gyhoeddi'r gorchymyn cofrestru PUF cyn unrhyw orchymyn arall. Mae'r firmware darpariaeth yn cefnogi gorchmynion eraill ar ôl cofrestru PUF, gan gynnwys lapio allwedd gwraidd AES a rhaglennu SPI cwad, fodd bynnag, mae'n rhaid i chi gylchredeg pŵer y ddyfais i lwytho llif didau cyfluniad.
Rydych chi'n defnyddio Rhaglennydd Intel Quartus Prime i ysgogi cofrestriad PUF a chynhyrchu data cynorthwyydd PUF .puf file.

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 34

Anfon Adborth

4. Darparu Dyfais 683823 | 2023.05.23

Ffigur 7.

ID Cynhenid Cofrestriad PUF
quartus_pgm PUF Cofrestru

Data cynorthwyydd PUF ymrestru

Rheolwr Dyfais Ddiogel (SDM)

wrapper.puf Helper Data
Mae'r Rhaglennydd yn llwytho delwedd cynorthwyydd cadarnwedd darpariaeth yn awtomatig pan fyddwch chi'n nodi gweithrediad ff a dadl .puf.
quartus_pgm -c 1 -mjtag -o “ei;help_data.puf;AGFB014R24A”
Os ydych chi'n defnyddio firmware wedi'i gyd-lofnodi, rydych chi'n rhaglennu'r ddelwedd cynorthwyydd firmware wedi'i gyd-lofnodi cyn defnyddio'r gorchymyn cofrestru PUF.
quartus_pgm -c 1 -mjtag -o “p; signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o “e; help_data.puf;AGFB014R24A”
Mae'r UDS IID PUF wedi'i gofrestru yn ystod gweithgynhyrchu dyfeisiau, ac nid yw ar gael i'w ailgofrestru. Yn lle hynny, rydych chi'n defnyddio'r Rhaglennydd i bennu lleoliad data cynorthwyydd UDS PUF ar IPCS, lawrlwythwch y .puf file yn uniongyrchol, ac yna defnyddiwch yr UDS .puf file yn yr un modd a'r .puf file wedi'i dynnu o ddyfais Intel Agilex 7.
Defnyddiwch y gorchymyn Rhaglennydd canlynol i gynhyrchu testun file yn cynnwys rhestr o URLs pwyntio at ddyfais-benodol files ar IPCS:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Lapio Allwedd Root AES
Rydych chi'n cynhyrchu allwedd gwraidd AES wedi'i lapio IID PUF .wkey file trwy anfon tystysgrif wedi'i llofnodi i'r SDM.
Gallwch ddefnyddio Rhaglennydd Intel Quartus Prime i gynhyrchu, llofnodi ac anfon y dystysgrif yn awtomatig i lapio'ch allwedd gwraidd AES, neu gallwch ddefnyddio Rhaglennu Intel Quartus Prime File Generadur i gynhyrchu tystysgrif heb ei llofnodi. Rydych chi'n llofnodi'r dystysgrif heb ei llofnodi gan ddefnyddio'ch offer eich hun neu'r offeryn llofnodi Quartus. Yna byddwch yn defnyddio'r Rhaglennydd i anfon y dystysgrif wedi'i llofnodi a lapio'ch allwedd gwraidd AES. Gellir defnyddio'r dystysgrif wedi'i llofnodi i raglennu pob dyfais a all ddilysu'r gadwyn llofnod.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 35

4. Darparu Dyfais 683823 | 2023.05.23

Ffigur 8.

Lapio'r Allwedd AES Gan ddefnyddio'r Rhaglennydd Intel Quartus Prime
.pem Preifat
Allwedd

.qky

chwartws_pgm

Lapiwch Allwedd AES

AES.QSKigYnature RootCPhuabilnic Allwedd

Cynhyrchu Allwedd Lapio PUF

Allwedd AES wedi'i Lapio

SDM

.qek Amgryptio
Allwedd

.wkey PUF-Wrapped
Allwedd AES

1. Gallwch gynhyrchu'r allwedd gwraidd IID PUF wedi'i lapio AES (.wkey) gyda'r Rhaglennydd gan ddefnyddio'r dadleuon canlynol:
· Mae'r .qky file yn cynnwys cadwyn llofnod gyda chaniatâd tystysgrif allwedd gwraidd AES
· Y .pem preifat file ar gyfer yr allwedd olaf yn y gadwyn llofnod
· Mae'r .qek file dal yr allwedd gwraidd AES
· Y fector cychwyn 16-beit (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Fel arall, gallwch gynhyrchu tystysgrif allwedd gwraidd AES IID PUF lapio heb ei llofnodi gyda'r Rhaglennu File Generadur gan ddefnyddio'r dadleuon canlynol:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF heb ei lofnodi_aes.ccert

3. Rydych chi'n llofnodi'r dystysgrif heb ei llofnodi gyda'ch offer arwyddo eich hun neu'r offeryn quartus_sign gan ddefnyddio'r gorchymyn canlynol:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Yna byddwch yn defnyddio'r Rhaglennydd i anfon y dystysgrif AES wedi'i llofnodi a dychwelyd yr allwedd wedi'i lapio (.wkey) file:

chwarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Nodyn: Nid yw'r llawdriniaeth yn angenrheidiol os gwnaethoch chi lwytho delwedd cynorthwyydd cadarnwedd y ddarpariaeth yn flaenorol, ar gyfer example, i gofrestru y PUF.

4.9.2.3. Data Cynorthwyydd Rhaglennu ac Allwedd Lapio i Cof Fflach QSPI
Rydych chi'n defnyddio'r Rhaglennu Cwartws File Rhyngwyneb graffigol generadur i adeiladu delwedd fflach QSPI gychwynnol sy'n cynnwys rhaniad PUF. Rhaid i chi gynhyrchu a rhaglennu delwedd rhaglennu fflach gyfan i ychwanegu rhaniad PUF i'r fflach QSPI. Creu'r PUF

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 36

Anfon Adborth

4. Darparu Dyfais 683823 | 2023.05.23

Ffigur 9.

rhaniad data a defnydd o'r data cynorthwyydd PUF ac allwedd wedi'i lapio files ar gyfer cynhyrchu delwedd fflach ni chefnogir drwy'r Rhaglennu File Rhyngwyneb llinell orchymyn generadur.
Mae'r camau canlynol yn dangos adeiladu delwedd rhaglennu fflach gyda'r data cynorthwyydd PUF a'r allwedd wedi'i lapio:
1. Ar y File ddewislen, cliciwch Rhaglennu File Generadur. Ar yr Allbwn Files tab gwnewch y dewisiadau canlynol:
a. Ar gyfer Device Family dewiswch Agilex 7.
b. Ar gyfer y modd Ffurfweddu dewiswch Active Serial x4.
c. Ar gyfer cyfeiriadur Allbwn porwch i'ch allbwn file cyfeiriadur. Mae'r cynampmae le yn defnyddio allbwn_files.
d. Ar gyfer Enw, nodwch enw ar gyfer y rhaglennu file i'w gynhyrchu. Mae'r cynampmae le yn defnyddio allbwn_file.
e. O dan Disgrifiad dewiswch y rhaglennu files i gynhyrchu. Mae'r cynampMae le yn cynhyrchu'r JTAG Ffurfweddiad anuniongyrchol File (.jic) ar gyfer cyfluniad dyfais a'r Deuaidd Amrwd File o Delwedd Cynorthwyydd Rhaglennu (.rbf) ar gyfer delwedd cynorthwyydd dyfais. Mae'r cynample hefyd yn dewis y Map Cof dewisol File (.map) a Data Rhaglennu Crai File (.rpd). Y data rhaglennu crai file yn angenrheidiol dim ond os ydych yn bwriadu defnyddio rhaglennydd trydydd parti yn y dyfodol.
Rhaglennu File Cynhyrchydd - Allbwn Files Tab - Dewiswch JTAG Ffurfweddiad Anuniongyrchol

Modd Ffurfweddu Teulu Dyfais
Allbwn file tab
Cyfeiriadur allbwn
JTAG Anuniongyrchol (.jic) Map Cof File Cynorthwyydd Rhaglennu Data Crai Rhaglennu
Ar y Mewnbwn Files tab, gwnewch y dewisiadau canlynol: 1. Cliciwch Ychwanegu Bitstream a phori i'ch .sof. 2. Dewiswch eich .sof file ac yna cliciwch ar Properties.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 37

4. Darparu Dyfais 683823 | 2023.05.23
a. Trowch yr offeryn Galluogi llofnodi ymlaen. b. Ar gyfer allwedd breifat file dewiswch eich .pem file. c. Trowch amgryptio Finalize ymlaen. d. Ar gyfer allwedd Amgryptio file dewiswch eich .qek file. e. Cliciwch OK i ddychwelyd i'r ffenestr flaenorol. 3. I nodi eich data cynorthwyydd PUF file, cliciwch Ychwanegu Data Crai. Newidiwch y Files o'r ddewislen math i Quartus Physical Unclonable Function File (*.puf). Porwch i'ch .puf file. Os ydych yn defnyddio'r IID PUF a'r UDS IID PUF, ailadroddwch y cam hwn fel bod .puf files ar gyfer pob PUF yn cael eu hychwanegu fel mewnbwn files. 4. I nodi eich allwedd AES wedi'i lapio file, cliciwch Ychwanegu Data Crai. Newidiwch y Files o'r ddewislen math i Allwedd Lapio Quartus File (*.wkey). Porwch i'ch .wkey file. Os ydych wedi lapio allweddi AES gan ddefnyddio'r IID PUF a'r UDS IID PUF, ailadroddwch y cam hwn fel bod .wkey files ar gyfer pob PUF yn cael eu hychwanegu fel mewnbwn files.
Ffigur 10. Nodwch y Mewnbwn Files ar gyfer Ffurfweddu, Dilysu, ac Amgryptio

Ychwanegu Bitstream Ychwanegu Data Crai
Priodweddau
Allwedd breifat file
Cwblhau allwedd amgryptio amgryptio
Ar y tab Dyfais Ffurfweddu, gwnewch y dewisiadau canlynol: 1. Cliciwch Ychwanegu Dyfais a dewiswch eich dyfais fflach o'r rhestr o fflach sydd ar gael
dyfeisiau. 2. Dewiswch y ddyfais ffurfweddu rydych newydd ei ychwanegu a chliciwch Ychwanegu Rhaniad. 3. Yn y Golygu Rhaniad blwch deialog ar gyfer y Mewnbwn file a dewiswch eich .sof o'r
rhestr gwympo. Gallwch gadw'r rhagosodiadau neu olygu'r paramedrau eraill yn y blwch deialog Golygu Rhaniad.

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 38

Anfon Adborth

4. Darparu Dyfais 683823 | 2023.05.23
Ffigur 11. Yn nodi eich .sof Configuration Bitstream Partition

Dyfais Ffurfweddu
Golygu Rhaniad Ychwanegu .sof file

Ychwanegu Rhaniad

4. Pan fyddwch chi'n ychwanegu'r .puf a .wkey fel mewnbwn files, y Rhaglennu File Mae Generator yn creu rhaniad PUF yn awtomatig yn eich Dyfais Ffurfweddu. I storio'r .puf a .wkey yn y rhaniad PUF, dewiswch y rhaniad PUF a chliciwch ar Golygu. Yn y Golygu Rhaniad blwch deialog, dewiswch eich .puf a .wkey files o'r cwymplenni. Os ydych chi'n tynnu'r rhaniad PUF, rhaid i chi ddileu ac ail-ychwanegu'r ddyfais ffurfweddu ar gyfer y Rhaglennu File Generadur i greu rhaniad PUF arall. Rhaid i chi sicrhau eich bod yn dewis y .puf a .wkey cywir file ar gyfer yr IID PUF ac UDS IID PUF, yn y drefn honno.
Ffigur 12. Ychwanegwch y .puf a'r .wkey files i'r Rhaniad PUF

Rhaniad PUF

Golygu

Golygu Rhaniad

Llwythwr Flash

Dewiswch Cynhyrchu

5. Ar gyfer y paramedr Flash Loader dewiswch deulu dyfais Intel Agilex 7 ac enw dyfais sy'n cyd-fynd â'ch Intel Agilex 7 OPN.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 39

4. Darparu Dyfais 683823 | 2023.05.23
6. Cliciwch Cynhyrchu i gynhyrchu'r allbwn files a nodwyd gennych ar yr Allbwn Files tab.
7. Y Rhaglennu File Generadur yn darllen eich .qek file ac yn eich annog am eich cyfrinair. Teipiwch eich cyfrin-ymadrodd mewn ymateb i'r anogwr cyfrinair Enter QEK. Cliciwch ar y fysell Enter.
8. Cliciwch OK pan fydd y Rhaglennu File Generadur yn adrodd am genhedlaeth lwyddiannus.
Rydych chi'n defnyddio Rhaglennydd Intel Quartus Prime i ysgrifennu'r ddelwedd rhaglennu QSPI i gof fflach QSPI. 1. Ar ddewislen Intel Quartus Prime Tools dewiswch Rhaglennydd. 2. Yn y Rhaglennydd, cliciwch Gosod Caledwedd ac yna dewiswch Intel cysylltiedig
Cebl Lawrlwytho FPGA. 3. Cliciwch Ychwanegu File a phori i'ch .jic file.
Ffigwr 13. Rhaglen .jic

Rhaglennu file

Rhaglen/ Ffurfweddu

JTAG cadwyn sgan
4. Dad-ddewis y blwch sy'n gysylltiedig â delwedd Helper. 5. Dewiswch Rhaglen/Ffurfweddu ar gyfer yr allbwn .jic file. 6. Trowch ar Start botwm i raglennu eich cof fflach SPI quad. 7. Power cylch eich bwrdd. Y dyluniad wedi'i raglennu i gof fflach quad SPI
dyfais wedyn yn llwytho i mewn i'r FPGA targed.
Rhaid i chi gynhyrchu a rhaglennu delwedd rhaglennu fflach gyfan i ychwanegu rhaniad PUF i'r fflach SPI quad.
Pan fydd rhaniad PUF eisoes yn bodoli yn y fflach, mae'n bosibl defnyddio'r Rhaglennydd Intel Quartus Prime i gael mynediad uniongyrchol i ddata cynorthwyydd PUF ac allwedd wedi'i lapio files. Am gynample, os yw actifadu yn aflwyddiannus, mae'n bosibl ail-gofrestru'r PUF, ail-lapio'r allwedd AES, ac yna rhaglennu'r PUF yn unig files heb orfod trosysgrifo y fflach cyfan.

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 40

Anfon Adborth

4. Darparu Dyfais 683823 | 2023.05.23
Mae Rhaglennydd Intel Quartus Prime yn cefnogi'r ddadl weithredu ganlynol ar gyfer PUF files mewn rhaniad PUF sy'n bodoli eisoes:
· p: rhaglen
· v: gwirio
· r: dileu
· b: siec wag
Rhaid i chi ddilyn yr un cyfyngiadau ar gyfer cofrestru PUF, hyd yn oed os oes rhaniad PUF yn bodoli.
1. Defnyddiwch y ddadl gweithrediad i lwytho delwedd cynorthwyydd cadarnwedd y ddarpariaeth ar gyfer y llawdriniaeth gyntaf. Am gynampLe, mae'r dilyniant gorchymyn canlynol yn ail-gofrestru'r PUF, yn ail-lapio'r allwedd gwraidd AES, yn dileu'r hen ddata cynorthwyydd PUF a'r allwedd wedi'i lapio, yna rhaglennu a gwirio'r data cynorthwyydd PUF newydd ac allwedd gwraidd AES.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o “v;new.wkey”
4.9.2.4. Cwestiynu ID Cynhenid Statws Cychwyn PUF
Ar ôl i chi gofrestru'r ID Cynhenid PUF, lapiwch allwedd AES, cynhyrchwch y rhaglennu fflach files, a diweddaru'r fflach SPI cwad, rydych chi'n pweru'ch dyfais i ysgogi actifadu a chyfluniad PUF o'r llif didau wedi'u hamgryptio. Mae'r SDM yn adrodd statws actifadu PUF ynghyd â'r statws cyfluniad. Os bydd gweithrediad PUF yn methu, mae'r SDM yn lle hynny yn adrodd statws gwall PUF. Defnyddiwch y gorchymyn quartus_pgm i gwestiynu'r statws cyfluniad.
1. Defnyddiwch y gorchymyn canlynol i gwestiynu'r statws actifadu:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Dyma sampgyda allbwn o actifadu llwyddiannus:
Gwybodaeth (21597): Ymateb CONFIG_STATUS Device yn rhedeg yn y modd defnyddiwr 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Fersiwn C000007B MSEL=QSPI_NORMAL, nSTATF=1, nSTATUSF=1
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Lleoliad gwall 00000000 Manylion y gwall Ymateb PUF_STATUS 00002000 PUF_STATUS 2 RESPONKEN_00000500 ID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 41

4. Darparu Dyfais 683823 | 2023.05.23

Os ydych ond yn defnyddio naill ai'r IID PUF neu'r UDS IID PUF, ac nad ydych wedi rhaglennu data helpwr .puf file ar gyfer y naill PUF neu'r llall yn y fflach QSPI, nad yw'r PUF hwnnw'n cael ei actifadu ac mae'r statws PUF yn adlewyrchu nad yw data cynorthwyydd PUF yn ddilys. Mae'r cynampMae le yn dangos y statws PUF pan na chafodd y data cynorthwyydd PUF ei raglennu ar gyfer y naill PUF na'r llall:
Ymateb PUF_STATUS 00002000 RESPONSE_CODE=Iawn, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Lleoliad y PUF yn y Cof Fflach
Lleoliad y PUF file yn wahanol ar gyfer dyluniadau sy'n cefnogi RSU a dyluniadau nad ydynt yn cefnogi'r nodwedd RSU.

Ar gyfer dyluniadau nad ydynt yn cefnogi RSU, rhaid i chi gynnwys y .puf a .wkey files pan fyddwch chi'n creu delweddau fflach wedi'u diweddaru. Ar gyfer dyluniadau sy'n cefnogi RSU, nid yw'r SDM yn trosysgrifo'r adrannau data PUF yn ystod diweddariadau delwedd ffatri neu gais.

Tabl 2 .

Cynllun Is-Bartiadau Fflach heb Gymorth RSU

Flash Offset (mewn beit)

Maint (mewn beit)

Cynnwys

Disgrifiad

0K 256K

256K 256K

Firmware Rheoli Ffurfweddu Firmware Rheoli Ffurfweddu

Firmware sy'n rhedeg ar SDM.

512K

256K

Firmware Rheoli Ffurfweddu

768K

256K

Firmware Rheoli Ffurfweddu

32K

Copi data PUF 0

Strwythur data ar gyfer storio data cynorthwyydd PUF a chopi allwedd gwraidd AES wedi'i lapio 0 PUF

1M+32K

32K

Copi data PUF 1

Strwythur data ar gyfer storio data cynorthwyydd PUF a chopi allwedd gwraidd AES wedi'i lapio 1 PUF

Tabl 3 .

Cynllun Is-Bartiadau Flash gyda Chymorth RSU

Flash Offset (mewn beit)

Maint (mewn beit)

Cynnwys

Disgrifiad

0K 512K

512K 512K

Firmware Penderfyniad Firmware Penderfyniad

Firmware i nodi a llwytho'r ddelwedd flaenoriaeth uchaf.

1M 1.5M

512K 512K

Firmware Penderfyniad Firmware Penderfyniad

8K + 24K

Data firmware penderfyniad

Padin

Wedi'i gadw ar gyfer defnydd firmware Penderfyniad.

2M + 32K

32K

Wedi'i gadw ar gyfer SDM

Wedi'i gadw ar gyfer SDM.

2M + 64K

Amrywiol

Delwedd ffatri

Delwedd syml y byddwch chi'n ei chreu fel copi wrth gefn os bydd holl ddelweddau cymhwysiad arall yn methu â llwytho. Mae'r ddelwedd hon yn cynnwys y CMF sy'n rhedeg ar y SDM.

Nesaf

32K

Copi data PUF 0

Strwythur data ar gyfer storio data cynorthwyydd PUF a chopi allwedd gwraidd AES wedi'i lapio 0 PUF
parhad…

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 42

Anfon Adborth

4. Darparu Dyfais 683823 | 2023.05.23

Flash Offset (mewn beit)

Maint (mewn beit)

Nesaf +32K 32K

Cynnwys Copi data PUF 1

Nesaf + 256K 4K Nesaf +32K 4K Nesaf +32K 4K

Copi tabl isrannu 0 Copi tabl isrannu 1 Copi bloc pwyntydd CMF 0

Nesaf +32K _

Copi bloc pwyntydd CMF 1

Amrywiol Amrywiol

Delwedd cymhwysiad 1 Delwedd cymhwysiad 2

4.9.3. Darpariaeth Allwedd Ddu

Disgrifiad
Strwythur data ar gyfer storio data cynorthwyydd PUF a chopi allwedd gwraidd AES wedi'i lapio 1 PUF
Strwythur data i hwyluso rheolaeth y storfa fflach.
Rhestr o awgrymiadau i ddelweddau cymhwysiad yn nhrefn blaenoriaeth. Pan fyddwch chi'n ychwanegu delwedd, y ddelwedd honno yw'r uchaf.
Ail gopi o'r rhestr o awgrymiadau i ddelweddau cymhwysiad.
Delwedd eich cais cyntaf.
Eich ail ddelwedd cais.

Nodyn:

Mae TheIntel Quartus PrimeProgrammer yn cynorthwyo i sefydlu cysylltiad diogel a ddilysir gan y ddwy ochr rhwng dyfais Intel Agilex 7 a'r gwasanaeth darparu allweddi du. Sefydlir y cysylltiad diogel trwy https ac mae angen nifer o dystysgrifau wedi'u nodi gan ddefnyddio testun file.
Wrth ddefnyddio Black Key Provisioning, mae Intel yn argymell eich bod yn osgoi cysylltu'r pin TCK yn allanol i dynnu neu dynnu gwrthydd i lawr tra'n dal i'w ddefnyddio ar gyfer JTAG. Fodd bynnag, gallwch gysylltu'r pin TCK â chyflenwad pŵer VCCIO SDM gan ddefnyddio gwrthydd 10 k. Mae'r canllawiau presennol yn y Canllawiau Pin Connection i gysylltu TCK â gwrthydd tynnu i lawr 1 k wedi'u cynnwys ar gyfer atal sŵn. Nid yw'r newid yn yr arweiniad i wrthydd tynnu i fyny 10 k yn effeithio ar y ddyfais yn swyddogaethol. Am ragor o wybodaeth am gysylltu'r pin TCK, cyfeiriwch at Ganllawiau Cysylltiad Intel Agilex 7 Pin.
Mae Thebkp_tls_ca_certificate yn dilysu eich enghraifft gwasanaeth darparu allwedd ddu i'ch enghraifft rhaglennydd darparu allwedd ddu. Mae tystysgrifau Thebkp_tls_* yn dilysu eich enghraifft rhaglennydd darparu allwedd ddu i'ch enghraifft gwasanaeth darparu allwedd ddu.
Rydych chi'n creu testun file yn cynnwys y wybodaeth angenrheidiol i'r Intel Quartus Prime Programmer gysylltu â'r gwasanaeth darparu allwedd ddu. I gychwyn darparu allwedd ddu, defnyddiwch ryngwyneb llinell orchymyn y Rhaglennydd i nodi'r testun opsiynau darparu allwedd du file. Yna mae'r ddarpariaeth allwedd ddu yn mynd rhagddo'n awtomatig. I gael mynediad at y gwasanaeth darparu allwedd ddu a dogfennaeth gysylltiedig, cysylltwch â Intel Support.
Gallwch alluogi darpariaeth yr allwedd ddu gan ddefnyddio thequartus_pgmcommand:
quartus_pgm -c -m - dyfais –bkp_options=bkp_options.txt
Mae'r dadleuon gorchymyn yn nodi'r wybodaeth ganlynol:

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 43

4. Darparu Dyfais 683823 | 2023.05.23

· -c: rhif cebl · -m: yn pennu'r modd rhaglennu megis JTAG · –device: yn nodi mynegai dyfais ar y JTAG cadwyn. Y gwerth diofyn yw 1. · –bkp_options: yn pennu testun file yn cynnwys opsiynau darparu allwedd ddu.
Gwybodaeth Gysylltiedig Canllawiau Cyswllt Pin Teulu Dyfais Intel Agilex 7

4.9.3.1. Opsiynau Darpariaeth Allwedd Du
Testun yw'r opsiynau darparu allwedd du file ei drosglwyddo i'r Rhaglennydd trwy'r gorchymyn quartus_pgm. Mae'r file yn cynnwys y wybodaeth ofynnol i sbarduno darpariaeth allwedd ddu.
Mae'r canlynol yn gynample o'r bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem bkp_tls_dress = prog 1234:192.167.5.5 bkp_proxy_user = dirprwy_user bkp_proxy_password = dirprwy_password

Tabl 4 .

Opsiynau Darpariaeth Allwedd Du
Mae'r tabl hwn yn dangos yr opsiynau sydd eu hangen i sbarduno darpariaeth allwedd ddu.

Enw Opsiwn

Math

Disgrifiad

bkp_ip

Angenrheidiol

Yn pennu cyfeiriad IP y gweinydd sy'n rhedeg y gwasanaeth darparu allwedd ddu.

bkp_port

Angenrheidiol

Yn nodi porth gwasanaeth darparu allwedd ddu sydd ei angen i gysylltu â'r gweinydd.

bkp_cfg_id

Angenrheidiol

Yn nodi ID llif cyfluniad y ddarpariaeth allwedd ddu.
Mae gwasanaeth darparu allwedd ddu yn creu'r llif cyfluniad darparu allwedd ddu gan gynnwys allwedd gwraidd AES, gosodiadau eFuse dymunol, ac opsiynau awdurdodi darpariaeth allwedd ddu eraill. Mae'r nifer a neilltuwyd yn ystod y gosodiad gwasanaeth darparu allwedd ddu yn nodi'r llif cyfluniad darparu allwedd ddu.
Nodyn: Gall dyfeisiau lluosog gyfeirio at yr un llif cyfluniad gwasanaeth darparu allwedd ddu.

bkp_tls_ca_cert

Angenrheidiol

Y dystysgrif gwraidd TLS a ddefnyddir i nodi'r gwasanaethau darparu allwedd ddu i'r Rhaglennydd Intel Quartus Prime (Rhaglennydd). Mae Awdurdod Tystysgrif y gellir ymddiried ynddo ar gyfer yr enghraifft gwasanaeth darparu allwedd ddu yn cyhoeddi'r dystysgrif hon.
Os ydych chi'n rhedeg y Rhaglennydd ar gyfrifiadur gyda system weithredu Microsoft® Windows® (Windows), rhaid i chi osod y dystysgrif hon yn storfa tystysgrif Windows.

bkp_tls_prog_cert

Angenrheidiol

Tystysgrif a grëwyd er enghraifft y Rhaglennydd darparu allwedd ddu (Rhaglennydd BKP). Dyma'r dystysgrif cleient https a ddefnyddir i nodi'r enghraifft rhaglennydd BKP hwn
parhad…

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 44

Anfon Adborth

4. Darparu Dyfais 683823 | 2023.05.23

Enw Opsiwn

Math

bkp_tls_prog_allwedd

Angenrheidiol

bkp_tls_prog_key_pass Dewisol

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Dewisol Dewisol

Disgrifiad
i'r gwasanaeth darparu allwedd ddu. Rhaid i chi osod ac awdurdodi'r dystysgrif hon yn y gwasanaeth darparu allwedd ddu cyn cychwyn sesiwn darparu allwedd ddu. Os ydych chi'n rhedeg y Rhaglennydd ar Windows, nid yw'r opsiwn hwn ar gael. Yn yr achos hwn, mae'r bkp_tls_prog_key eisoes yn cynnwys y dystysgrif hon.
Yr allwedd breifat sy'n cyfateb i dystysgrif Rhaglennydd BKP. Mae'r allwedd yn dilysu hunaniaeth yr enghraifft Rhaglennydd BKP i wasanaeth darparu allwedd ddu. Os ydych chi'n rhedeg y Rhaglennydd ar Windows, mae'r .pfx file yn cyfuno'r dystysgrif bkp_tls_prog_cert a'r allwedd breifat. Mae'r opsiwn bkp_tlx_prog_key yn pasio'r .pfx file yn y bkp_options.txt file.
Y cyfrinair ar gyfer yr allwedd breifat bkp_tls_prog_key. Nid oes ei angen yn yr opsiynau cyfluniad darparu allwedd ddu (bkp_options.txt). file.
Yn pennu'r gweinydd dirprwy URL cyfeiriad.
Yn pennu enw defnyddiwr y gweinydd dirprwy.
Yn pennu'r cyfrinair dilysu dirprwy.

4.10. Trosi Allwedd Root Perchennog, Tystysgrifau Allwedd Gwraidd AES, a Ffiws files i Jam STAPL File Fformatau

Gallwch ddefnyddio'r gorchymyn llinell orchymyn quartus_pfg i drosi .qky, allwedd gwraidd AES .ccert, a .fuse files i Jam STAPL Fformat File (.jam) a Fformat Cod Jam Byte File (.jbc). Gallwch ddefnyddio'r rhain files i raglennu FPGAs Intel gan ddefnyddio'r Jam STAPL Player a'r Jam STAPL Byte-Code Player, yn y drefn honno.

Mae un .jam neu .jbc yn cynnwys sawl swyddogaeth gan gynnwys ffurfweddiad delwedd cynorthwyydd cadarnwedd a rhaglen, siec wag, a dilysu rhaglennu allwedd a ffiws.

Rhybudd:

Pan fyddwch yn trosi'r allwedd gwraidd AES .ccert file i fformat .jam, y .jam file yn cynnwys yr allwedd AES mewn testun plaen ond wedi'i gulhau. O ganlyniad, rhaid i chi amddiffyn y .jam file wrth storio'r allwedd AES. Gallwch wneud hyn trwy ddarparu'r allwedd AES mewn amgylchedd diogel.

Dyma gynampllai o orchmynion trosi quartus_pfg:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qbcky” -rootKusey_cwart c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A gosodiadau - helper_fusec_quartus - =Gosodiadau AGFB014R24A. ffiws gosodiadau_fuse.jbc

I gael rhagor o wybodaeth am ddefnyddio'r Jam STAPL Player ar gyfer rhaglennu dyfeisiau cyfeiriwch at AN 425: Defnyddio'r Ateb STAPL Jam Command-Line ar gyfer Rhaglennu Dyfais.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 45

4. Darparu Dyfais 683823 | 2023.05.23
Rhedeg y gorchmynion canlynol i raglennu allwedd gyhoeddus gwraidd y perchennog ac allwedd amgryptio AES:
//I lwytho llif did y cynorthwyydd i'r FPGA. // Mae'r cynorthwyydd bitstream yn cynnwys darpariaeth firmware quartus_jli -c 1 -a CONFIGURE RootKey.jam
// I raglennu allwedd gyhoeddus gwraidd y perchennog i eFuses rhithwir quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//I raglennu allwedd gyhoeddus gwraidd y perchennog i eFuses corfforol quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//I raglennu allwedd gyhoeddus y perchennog PR i mewn i eFuses rhithwir quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//I raglennu allwedd gyhoeddus y perchennog PR i mewn i eFuses corfforol quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//I raglennu'r allwedd amgryptio AES CCERT i BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//I raglennu'r allwedd amgryptio AES CCERT i eFuses corfforol quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Gwybodaeth Gysylltiedig AN 425: Defnyddio'r Ateb STAPL Jam Command-Line ar gyfer Rhaglennu Dyfeisiau

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 46

Anfon Adborth

683823 | 2023.05.23 Anfon Adborth

Nodweddion Uwch

5.1. Awdurdodiad Dadfygio Diogel
Er mwyn galluogi Awdurdodi Dadfygio Diogel, mae angen i'r perchennog dadfygio gynhyrchu pâr allwedd dilysu a defnyddio Rhaglennydd Intel Quartus Prime Pro i gynhyrchu gwybodaeth dyfais file ar gyfer y ddyfais sy'n rhedeg y ddelwedd dadfygio:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
Mae perchennog y ddyfais yn defnyddio'r offeryn quartus_sign neu'r gweithrediad cyfeirnod i atodi cofnod allwedd gyhoeddus amodol i gadwyn llofnod a fwriedir ar gyfer gweithrediadau dadfygio gan ddefnyddio'r allwedd gyhoeddus gan berchennog y dadfygio, yr awdurdodiadau angenrheidiol, testun gwybodaeth y ddyfais file, a chyfyngiadau pellach perthnasol:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –canslo=1 –dev_info=device_info.txt –cyfyngiad=”1,2,17,18″ –input= debug_authorization_public_key.pem secure_debug_auth_chain.qky
Mae perchennog y ddyfais yn anfon y gadwyn llofnod lawn yn ôl at y perchennog dadfygio, sy'n defnyddio'r gadwyn llofnod a'i allwedd breifat i lofnodi'r ddelwedd dadfygio:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem heb ei lofnodi_debug_design.rbf awdurdodedig_debug_design.rbf
Gallwch ddefnyddio'r gorchymyn quartus_pfg i archwilio cadwyn llofnod pob adran o'r llif didau dadfygio diogel llofnodedig hwn fel a ganlyn:
quartus_pfg –check_uniondeb awdurdodedig_debug_design.rbf
Mae allbwn y gorchymyn hwn yn argraffu gwerthoedd cyfyngu 1,2,17,18 yr allwedd gyhoeddus amodol a ddefnyddiwyd i gynhyrchu'r llif did wedi'i lofnodi.
Yna gall perchennog y dadfygio raglennu'r dyluniad dadfygio sydd wedi'i awdurdodi'n ddiogel:
quartus_pgm -c 1 -mjtag -o “p;authorized_debug_design.rbf”
Gall perchennog y ddyfais ddirymu'r awdurdodiad dadfygio diogel trwy ganslo'r ID canslo allwedd penodol a neilltuwyd yn y gadwyn llofnod awdurdodi dadfygio diogel.
5.2. Tystysgrifau Dadfygio HPS
Yn galluogi mynediad awdurdodedig yn unig i borthladd mynediad dadfygio HPS (DAP) trwy JTAG rhyngwyneb angen sawl cam:

ISO 9001:2015 Cofrestredig

5. Nodweddion Uwch 683823 | 2023.05.23
1. Cliciwch ar ddewislen Assignments meddalwedd Intel Quartus Prime a dewiswch Device Device a Pin Options Configuration tab.
2. Yn y tab Ffurfweddu, galluogwch y porth mynediad dadfygio HPS (DAP) trwy ddewis naill ai HPS Pins neu SDM Pins o'r gwymplen, a sicrhau nad yw'r blwch ticio Caniatáu dadfygio HPS heb dystysgrifau yn cael ei ddewis.
Ffigur 14. Nodwch Naill ai Pinnau HPS neu SDM ar gyfer y DAP HPS

Porth mynediad dadfygio HPS (DAP)
Fel arall, gallwch osod yr aseiniad isod yn y Quartus Prime Settings .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE “SDM PINS”
3. Lluniwch a llwythwch y dyluniad gyda'r gosodiadau hyn. 4. Creu cadwyn llofnod gyda'r caniatâd priodol i lofnodi dadfyg HPS
tystysgrif:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_chain.qky
5. Gofynnwch am dystysgrif dadfygio HPS heb ei llofnodi o'r ddyfais lle mae'r dyluniad dadfygio wedi'i lwytho:
quartus_pgm -c 1 -mjtag -o “e;unsigned_hps_debug.cert;AGFB014R24A”
6. Llofnodwch y dystysgrif dadfygio HPS heb ei llofnodi gan ddefnyddio'r offeryn quartus_sign neu weithredu cyfeirnod a chadwyn llofnod dadfygio'r HPS:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 48

Anfon Adborth

5. Nodweddion Uwch 683823 | 2023.05.23
7. Anfonwch y dystysgrif dadfygio HPS wedi'i llofnodi yn ôl i'r ddyfais i alluogi mynediad i borthladd mynediad dadfygio HPS (DAP):
quartus_pgm -c 1 -mjtag -o “p; signed_hps_debug.cert”
Nid yw tystysgrif dadfygio HPS ond yn ddilys o'r amser y'i cynhyrchwyd tan gylchred pŵer nesaf y ddyfais neu hyd nes y bydd math neu fersiwn gwahanol o firmware SDM wedi'i lwytho. Rhaid i chi gynhyrchu, llofnodi a rhaglennu'r dystysgrif dadfygio HPS wedi'i llofnodi, a pherfformio'r holl weithrediadau dadfygio, cyn gyrru'r ddyfais i rym. Mae'n bosibl y byddwch yn annilysu'r dystysgrif dadfygio HPS wedi'i llofnodi drwy feicio pŵer y ddyfais.
5.3. Ardystiad Platfform
Gallwch gynhyrchu maniffest cywirdeb cyfeirnod (.rim) file defnyddio'r rhaglennu file offeryn generadur:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Dilynwch y camau hyn i sicrhau'r ardystiad platfform yn eich dyluniad: 1. Defnyddiwch Raglennydd Intel Quartus Prime Pro i ffurfweddu'ch dyfais gyda'r
dyluniad y gwnaethoch chi greu maniffest cywirdeb cyfeirio ar ei gyfer. 2. defnyddio dilysydd ardystio llwyfan i gofrestru y ddyfais drwy roi gorchmynion i'r
SDM trwy'r blwch post SDM i greu'r dystysgrif ID dyfais a thystysgrif firmware wrth ail-lwytho. 3. Defnyddiwch y Rhaglennydd Intel Quartus Prime Pro i ad-drefnu'ch dyfais gyda'r dyluniad. 4. Defnyddiwch y dilysydd ardystio platfform i roi gorchmynion i'r SDM i gael tystysgrifau ID y ddyfais ardystio, firmware, ac alias. 5. Defnyddiwch y dilysydd ardystiad i gyhoeddi gorchymyn blwch post SDM i gael y dystiolaeth ardystio ac mae'r dilysydd yn gwirio'r dystiolaeth a ddychwelwyd.
Gallwch weithredu eich gwasanaeth dilysu eich hun gan ddefnyddio'r gorchmynion blwch post SDM, neu ddefnyddio gwasanaeth dilysydd ardystiad platfform Intel. I gael rhagor o wybodaeth am feddalwedd gwasanaeth dilysydd ardystiad platfform Intel, argaeledd, a dogfennaeth, cysylltwch â Chymorth Intel.
Gwybodaeth Gysylltiedig Canllawiau Cyswllt Pin Teulu Dyfais Intel Agilex 7
5.4. Gwrth-T Corfforolamper
Rydych chi'n galluogi'r gwrth-t corfforolamper nodweddion gan ddefnyddio'r camau canlynol: 1. Dewis yr ymateb a ddymunir i ganfod tamper digwyddiad 2. Ffurfweddu y t a ddymuniramper canfod dulliau a pharamedrau 3. Gan gynnwys y gwrth-tamper IP yn eich rhesymeg dylunio i helpu i reoli gwrth-tamper
digwyddiadau

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 49

5. Nodweddion Uwch 683823 | 2023.05.23
5.4.1. Gwrth-Tamper Ymatebion
Rydych chi'n galluogi gwrth-t corfforolamper trwy ddewis atebiad o'r Anti-tamper ymateb: gwymplen ar y Dyfais Dyfais Aseiniadau a Pin Opsiynau Diogelwch Gwrth-Tamper tab. Yn ddiofyn, mae'r gwrth-tampmae'r ymateb yn anabl. Pum categori o gwrth-tampymateb ar gael. Pan fyddwch chi'n dewis eich ymateb dymunol, mae'r opsiynau i alluogi un neu fwy o ddulliau canfod wedi'u galluogi.
Ffigur 15. Gwrth-T sydd ar gaelamper Dewisiadau Ymateb

Mae'r aseiniad cyfatebol yn y gosodiadau Quartus Prime .gsf file yw'r canlynol:
set_global_assignment -name ANTI_TAMPER_RESPONSE “DYFAIS HYSBYSIAD SWIRIO'R DDYFAIS LOCK A ZEROIO”
Pan fyddwch yn galluogi gwrth-tampEr ymateb, gallwch ddewis dau binnau I/O pwrpasol SDM i allbynnu'r tamper canfod digwyddiad a statws ymateb gan ddefnyddio'r Dyfais Dyfais Aseiniadau a Pin Opsiynau Ffurfweddu Pin Opsiynau Pin.

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 50

Anfon Adborth

5. Nodweddion Uwch 683823 | 2023.05.23
Ffigur 16. Pinnau I/O pwrpasol SDM ar gael ar gyfer Tamper Canfod Digwyddiad

Gallwch hefyd wneud yr aseiniadau pin canlynol yn y gosodiadau file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Gwrth-Tamper Canfod

Efallai y byddwch yn unigol yn galluogi amlder, tymheredd, a chyfroltage nodweddion canfod y SDM. Mae canfod FPGA yn dibynnu ar gynnwys y Gwrth-Tamper Lite Intel FPGA IP yn eich dyluniad.

Nodyn:

Amledd SDM a chyftagetampMae dulliau canfod yn dibynnu ar gyfeiriadau mewnol a chaledwedd mesur a all amrywio ar draws dyfeisiau. Mae Intel yn argymell eich bod yn nodweddu ymddygiad tampgosodiadau canfod.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 51

5. Nodweddion Uwch 683823 | 2023.05.23
Amlder tamper canfod yn gweithredu ar y ffynhonnell cloc ffurfweddu. Er mwyn galluogi amledd tampEr canfod, rhaid i chi nodi opsiwn heblaw Oscillator Mewnol yn y gwymplen ffynhonnell cloc Ffurfweddu ar y tab Assignments Device Device a Pin Options General. Rhaid i chi sicrhau bod y CPU ffurfweddu Run o'r blwch ticio oscillator mewnol wedi'i alluogi cyn galluogi'r amledd tamper canfod. Ffigur 17. Gosod y SDM i Osgiliadur Mewnol
Er mwyn galluogi amledd tampEr canfod, dewiswch y Galluogi amlder tamper canfod blwch ticio a dewis y Amlder a ddymunir tamper canfod ystod o'r ddewislen gwympo. Ffigur 18. Galluogi Amlder Tamper Canfod

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 52

Anfon Adborth

5. Nodweddion Uwch 683823 | 2023.05.23
Fel arall, gallwch alluogi Amlder Tamper Canfod trwy wneud y newidiadau canlynol i'r Quartus Prime Settings .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_name_global_assignment -nameAMPER_DETECTION AR set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Er mwyn galluogi tymheredd tampEr canfod, dewiswch y Galluogi tymheredd tampblwch ticio canfod a dewis y tymheredd dymunol arffiniau uchaf ac isaf yn y meysydd cyfatebol. Mae'r ffiniau uchaf ac isaf yn cael eu poblogi yn ddiofyn gyda'r ystod tymheredd cysylltiedig ar gyfer y ddyfais a ddewiswyd yn y dyluniad.
Er mwyn galluogi cyftagetampEr canfod, byddwch yn dewis y naill neu'r llall neu'r ddau o'r Galluogi VCCL cyftagetamper canfod neu Galluogi VCCL_SDM cyftagetamper canfod blychau ticio a dewiswch y Vol a ddymunirtagetamper canfod sbardun percentage yn y maes cyfatebol.
Ffigur 19. Galluogi Cyftage Tamper Canfod

Fel arall, gallwch alluogi Voltage Tamper Canfod trwy nodi'r aseiniadau canlynol yn y .qsf file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION AR set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_asignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION AR set_global_assignment -enw ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION YMLAEN
5.4.3. Gwrth-Tamper Lite Intel FPGA IP
Mae'r Gwrth-Tamper Lite Mae Intel FPGA IP, sydd ar gael yn y catalog IP ym meddalwedd Intel Quartus Prime Pro Edition, yn hwyluso cyfathrebu deugyfeiriadol rhwng eich dyluniad a'r SDM ar gyfer tampdigwyddiadau.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 53

Ffigur 20. Gwrth-Tamper Lite Intel FPGA IP

5. Nodweddion Uwch 683823 | 2023.05.23

Mae'r IP yn darparu'r signalau canlynol y byddwch chi'n eu cysylltu â'ch dyluniad yn ôl yr angen:

Tabl 5 .

Gwrth-Tamper Lite Intel FPGA IP Signalau I/O

Enw Arwydd

Cyfeiriad

Disgrifiad

gpo_sdm_at_digwyddiad gpi_fpga_at_event

Mewnbwn Allbwn

Arwydd SDM i resymeg ffabrig FPGA y mae SDM wedi'i ganfod ynddoamper digwyddiad. Mae gan resymeg FPGA oddeutu 5ms i gyflawni unrhyw lanhau dymunol ac ymateb i'r SDM trwy gpi_fpga_at_response_done a gpi_fpga_at_zeroization_done. Mae'r SDM yn mynd rhagddo â'r tampymateb pan fydd gpi_fpga_at_response_done yn cael ei haeru neu ar ôl dim ymateb yn cael ei dderbyn yn yr amser penodedig.
FPGA torri ar draws i SDM bod eich dylunio gwrth-tamper canfod circuitry wedi canfod ynamper digwyddiad a'r SDM tampdylid ysgogi ymateb.

gpi_fpga_at_response_done

Mewnbwn

FPGA torri ar draws i SDM bod rhesymeg FPGA wedi perfformio glanhau dymunol.

gpi_fpga_at_zeroization_d un

Mewnbwn

Mae FPGA yn arwydd i SDM bod rhesymeg FPGA wedi cwblhau unrhyw seroiad dymunol o ddata dylunio. Mae'r signal hwn yn sampdan arweiniad pan honnir gpi_fpga_at_response_done.

5.4.3.1. Gwybodaeth Rhyddhau

Mae rhif y cynllun fersiwn IP (XYZ) yn newid o un fersiwn meddalwedd i'r llall. Newid yn:
· Mae X yn dynodi adolygiad mawr o'r IP. Os byddwch yn diweddaru eich meddalwedd Intel Quartus Prime, rhaid i chi adfywio'r IP.
· Mae Y yn nodi bod yr IP yn cynnwys nodweddion newydd. Adnewyddwch eich IP i gynnwys y nodweddion newydd hyn.
· Mae Z yn nodi bod yr IP yn cynnwys mân newidiadau. Adnewyddwch eich IP i gynnwys y newidiadau hyn.

Tabl 6 .

Gwrth-Tamper Lite Intel FPGA Gwybodaeth Rhyddhau IP

Fersiwn IP

Eitem

Disgrifiad 20.1.0

Fersiwn Intel Quartus Prime

21.2

Dyddiad Rhyddhau

2021.06.21

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 54

Anfon Adborth

5. Nodweddion Uwch 683823 | 2023.05.23
5.5. Defnyddio Nodweddion Diogelwch Dylunio gyda Diweddariad System Anghysbell
Mae Diweddariad System Anghysbell (RSU) yn nodwedd FPGAs Intel Agilex 7 sy'n cynorthwyo i ddiweddaru cyfluniad files mewn ffordd gadarn. Mae RSU yn gydnaws â nodweddion diogelwch dylunio megis dilysu, cyd-arwyddo firmware, ac amgryptio bitstream gan nad yw RSU yn dibynnu ar gynnwys dyluniad ffrydiau didau cyfluniad.
Adeiladu Delweddau RSU gyda .sof Files
Os ydych chi'n storio allweddi preifat ar eich ardal leol filesystem, efallai y byddwch yn cynhyrchu delweddau RSU gyda nodweddion diogelwch dylunio gan ddefnyddio llif symlach gyda .sof files fel mewnbynnau. I gynhyrchu delweddau RSU gyda'r .sof file, efallai y byddwch yn dilyn y cyfarwyddiadau yn Adran Cynhyrchu Delwedd Diweddaru System Anghysbell Files Defnyddio'r Rhaglennu File Cynhyrchydd Canllaw Defnyddiwr Ffurfweddu Intel Agilex 7. Am bob .sof file a nodir ar y Mewnbwn Files tab, cliciwch ar y botwm Properties… a nodwch y gosodiadau a'r allweddi priodol ar gyfer yr offer arwyddo ac amgryptio. Y rhaglennu file offeryn generadur yn awtomatig yn llofnodi ac yn amgryptio delweddau ffatri a chymhwysiad wrth greu'r rhaglennu RSU files.
Fel arall, os ydych yn storio allweddi preifat mewn HSM, rhaid i chi ddefnyddio'r offeryn quartus_sign ac felly defnyddio .rbf files. Mae gweddill yr adran hon yn manylu ar y newidiadau yn y llif i gynhyrchu delweddau RSU gyda .rbf files fel mewnbynnau. Rhaid i chi amgryptio a llofnodi fformat .rbf files cyn eu dewis fel mewnbwn files ar gyfer delweddau RSU; fodd bynnag, y wybodaeth cychwyn RSU file rhaid peidio â chael ei amgryptio ac yn hytrach ei lofnodi yn unig. Y Rhaglennu File Nid yw Generator yn cefnogi addasu priodweddau fformat .rbf files.
Mae'r cynamples yn dangos yr addasiadau angenrheidiol i'r gorchmynion yn Adran Cynhyrchu Delwedd Diweddaru System Anghysbell Files Defnyddio'r Rhaglennu File Cynhyrchydd Canllaw Defnyddiwr Ffurfweddu Intel Agilex 7.
Cynhyrchu'r Delwedd RSU Cychwynnol Gan Ddefnyddio .rbf Files: Addasu Gorchymyn
O Gynhyrchu'r Delwedd RSU Cychwynnol Gan Ddefnyddio .rbf Files adran, addasu'r gorchmynion yn Cam 1. i alluogi'r nodweddion diogelwch dylunio fel y dymunir gan ddefnyddio cyfarwyddiadau o adrannau cynharach y ddogfen hon.
Am gynampLe, byddech yn nodi cadarnwedd wedi'i lofnodi file os oeddech yn defnyddio cydlofnodi cadarnwedd, yna defnyddiwch yr offeryn amgryptio Quartus i amgryptio pob .rbf file, ac yn olaf defnyddiwch yr offeryn quartus_sign i lofnodi pob un file.
Yng ngham 2, os ydych wedi galluogi cyd-arwyddo firmware, rhaid i chi ddefnyddio opsiwn ychwanegol wrth greu'r cychwyn .rbf o ddelwedd y ffatri file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Ar ôl i chi greu'r wybodaeth cychwyn .rbf file, defnyddiwch yr offeryn quartus_sign i lofnodi'r .rbf file. Rhaid i chi beidio ag amgryptio'r wybodaeth cychwyn .rbf file.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 55

5. Nodweddion Uwch 683823 | 2023.05.23
Cynhyrchu Delwedd Cais: Addasu Gorchymyn
I gynhyrchu delwedd cais gyda nodweddion diogelwch dylunio, rydych chi'n addasu'r gorchymyn yn Cynhyrchu Delwedd Cais i ddefnyddio .rbf gyda nodweddion diogelwch dylunio wedi'u galluogi, gan gynnwys firmware wedi'i gyd-lofnodi os oes angen, yn lle'r cymhwysiad gwreiddiol .sof file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Cynhyrchu Delwedd Diweddariad Ffatri: Addasu Gorchymyn
Ar ôl i chi greu'r wybodaeth cychwyn .rbf file, rydych chi'n defnyddio'r offeryn quartus_sign i lofnodi'r .rbf file. Rhaid i chi beidio ag amgryptio'r wybodaeth cychwyn .rbf file.
I gynhyrchu delwedd diweddaru ffatri RSU, rydych yn addasu'r gorchymyn o Cynhyrchu Delwedd Diweddariad Ffatri i ddefnyddio .rbf file gyda nodweddion diogelwch dylunio wedi'u galluogi ac ychwanegu'r opsiwn i nodi'r defnydd firmware wedi'i gyd-lofnodi:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Gwybodaeth Gysylltiedig Canllaw Defnyddiwr Ffurfweddu Intel Agilex 7
5.6. Gwasanaethau Cryptograffig SDM
Mae'r SDM ar ddyfeisiau Intel Agilex 7 yn darparu gwasanaethau cryptograffig y gall rhesymeg ffabrig FPGA neu'r HPS ofyn amdanynt trwy'r rhyngwyneb blwch post SDM priodol. Am ragor o wybodaeth am y gorchmynion blwch post a fformatau data ar gyfer yr holl wasanaethau cryptograffig SDM, cyfeiriwch at Atodiad B yn y Methodoleg Diogelwch ar gyfer Intel FPGAs a Chanllaw Defnyddiwr ASICs Strwythuredig.
I gael mynediad at ryngwyneb blwch post SDM i resymeg ffabrig FPGA ar gyfer gwasanaethau cryptograffig SDM, rhaid i chi roi'r Cleient Blwch Post Intel FPGA IP ar unwaith yn eich dyluniad.
Mae cod cyfeirio i gael mynediad at ryngwyneb blwch post SDM o'r HPS wedi'i gynnwys yn y cod ATF a Linux a ddarperir gan Intel.
Gwybodaeth Gysylltiedig Blwch Post Canllaw Defnyddiwr IP Cleient Intel FPGA
5.6.1. Cist Awdurdodedig Gwerthwr
Mae Intel yn darparu gweithrediad cyfeirio ar gyfer meddalwedd HPS sy'n defnyddio'r nodwedd cychwyn awdurdodedig gwerthwr i ddilysu meddalwedd cychwyn HPS o'r s cyntaftage boot loader drwodd i'r cnewyllyn Linux.
Gwybodaeth Gysylltiedig Intel Agilex 7 SoC Dyluniad Demo Boot Diogel

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 56

Anfon Adborth

5. Nodweddion Uwch 683823 | 2023.05.23
5.6.2. Gwasanaeth Gwrthrychau Data Diogel
Rydych chi'n anfon y gorchmynion trwy'r blwch post SDM i berfformio amgryptio a dadgryptio gwrthrychau SDOS. Gallwch ddefnyddio'r nodwedd SDOS ar ôl darparu'r allwedd gwraidd SDOS.
Gwybodaeth Gysylltiedig Gwasanaeth Gwrthrychau Data Diogel Darpariaeth Allwedd Gwraidd ar dudalen 30
5.6.3. Gwasanaethau Cyntefig Cryptograffig SDM
Rydych chi'n anfon y gorchmynion trwy'r blwch post SDM i gychwyn gweithrediadau gwasanaeth cyntefig cryptograffig SDM. Mae rhai gwasanaethau cyntefig cryptograffig yn mynnu bod mwy o ddata'n cael ei drosglwyddo i'r SDM ac oddi yno nag y gall rhyngwyneb y blwch post ei dderbyn. Yn yr achosion hyn, mae gorchymyn y fformat yn newid i ddarparu awgrymiadau i ddata yn y cof. Yn ogystal, rhaid i chi newid amrantiad y Cleient Blwch Post Intel FPGA IP i ddefnyddio gwasanaethau cryptograffig cyntefig SDM o resymeg ffabrig FPGA. Rhaid i chi hefyd osod y paramedr Galluogi Gwasanaeth Crypto i 1 a chysylltu'r rhyngwyneb cychwynnydd AXI sydd newydd ei amlygu i gof yn eich dyluniad.
Ffigur 21. Galluogi Gwasanaethau Cryptograffig SDM yn y Cleient Blwch Post Intel FPGA IP

5.7. Gosodiadau Diogelwch Bitstream (FM/S10)
Mae opsiynau Diogelwch Bitstream FPGA yn gasgliad o bolisïau sy'n cyfyngu ar y nodwedd neu'r dull gweithredu penodedig o fewn cyfnod diffiniedig.
Mae opsiynau Bitstream Security yn cynnwys baneri a osodwyd gennych mewn meddalwedd Intel Quartus Prime Pro Edition. Mae'r baneri hyn yn cael eu copïo'n awtomatig i'r ffrydiau didau ffurfweddu.
Gallwch orfodi opsiynau diogelwch yn barhaol ar ddyfais trwy ddefnyddio'r gosodiad diogelwch cyfatebol eFuse.
I ddefnyddio unrhyw osodiadau diogelwch yn y llif didau cyfluniad neu eFuses dyfais, rhaid i chi alluogi'r nodwedd ddilysu.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 57

5. Nodweddion Uwch 683823 | 2023.05.23
5.7.1. Dewis a Galluogi Opsiynau Diogelwch
I ddewis a galluogi opsiynau diogelwch, gwnewch fel a ganlyn: O'r ddewislen Assignments, dewiswch Device Device and Pin Options Security More Options… Ffigur 22. Dewis a Galluogi Opsiynau Diogelwch

Ac yna dewiswch y gwerthoedd o'r cwymplenni ar gyfer yr opsiynau diogelwch rydych chi am eu galluogi fel y dangosir yn yr e-bost a ganlynample:
Ffigur 23. Dewis Gwerthoedd ar gyfer Opsiynau Diogelwch

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 58

Anfon Adborth

5. Nodweddion Uwch 683823 | 2023.05.23
Mae'r canlynol yn newidiadau cyfatebol yn y Quartus Prime Settings .qsf file:
set_aseiniad_byd-eang -enw SECU_OPTION_DISABLE_JTAG set “ON CHECK” set_global_asignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE “ON STICKY” set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_asignment -name SECU_OPTION_USALON set_global_signment LOCK_SECURITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES AR set_global_assignment -name SECU_OPTION_DPISABLE_ENSECU_OPTION_DPISABLE_EN U_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM AR set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 59

683823 | 2023.05.23 Anfon Adborth

Datrys problemau

Mae'r bennod hon yn disgrifio gwallau cyffredin a negeseuon rhybudd y gallech ddod ar eu traws wrth geisio defnyddio nodweddion diogelwch dyfais a mesurau i'w datrys.
6.1. Defnyddio Gorchmynion Quartus mewn Gwall Amgylchedd Windows
Gwall quartus_pgm: ni chanfuwyd y gorchymyn Disgrifiad Mae'r gwall hwn yn dangos wrth geisio defnyddio gorchmynion Quartus mewn Cragen NIOS II mewn amgylchedd Windows trwy ddefnyddio WSL. Datrys Mae'r gorchymyn hwn yn gweithio mewn amgylchedd Linux; Ar gyfer gwesteiwyr Windows, defnyddiwch y gorchymyn canlynol: quartus_pgm.exe -h Yn yr un modd, cymhwyswch yr un gystrawen i orchmynion Quartus Prime eraill megis quartus_pfg, quartus_sign, quartus_encrypt ymhlith gorchmynion eraill.

ISO 9001:2015 Cofrestredig

6. Datrys Problemau 683823 | 2023.05.23

6.2. Cynhyrchu Rhybudd Allwedd Breifat

Rhybudd:

Ystyrir bod y cyfrinair penodedig yn anniogel. Mae Intel yn argymell defnyddio o leiaf 13 nod o gyfrinair. Argymhellir i chi newid y cyfrinair trwy ddefnyddio gweithredadwy OpenSSL.

openssl ec -in - allan -aes256

Disgrifiad
Mae'r rhybudd hwn yn gysylltiedig â chryfder y cyfrinair ac mae'n dangos wrth geisio cynhyrchu allwedd breifat trwy gyhoeddi'r gorchmynion canlynol:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Datrys Defnyddiwch y gweithredadwy openssl i nodi cyfrinair hirach ac felly cryfach.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 61

6. Datrys Problemau 683823 | 2023.05.23
6.3. Ychwanegu Allwedd Arwyddo i'r Gwall Prosiect Quartus
Gwall…File yn cynnwys gwybodaeth allweddol gwraidd…
Disgrifiad
Ar ôl ychwanegu allwedd arwyddo .qky file i brosiect Quartus, mae angen i chi ail-osod y .sof file. Pan fyddwch chi'n ychwanegu'r .sof adfywiedig hwn file i'r ddyfais a ddewiswyd trwy ddefnyddio Quartus Programmer, mae'r neges gwall ganlynol yn nodi bod y file yn cynnwys gwybodaeth allweddol gwraidd:
Wedi methu ychwanegufile-path-name> i Rhaglennydd. Mae'r file yn cynnwys gwybodaeth allweddol gwraidd (.qky). Fodd bynnag, nid yw Rhaglennydd yn cefnogi nodwedd arwyddo bitstream. Gallwch ddefnyddio Rhaglennu File Generadur i drosi'r file i'r Raw Deuaidd wedi ei arwyddo file (.rbf) ar gyfer cyfluniad.
Datrysiad
Defnyddiwch y Rhaglennu Cwartws file generadur i drosi'r file i mewn i Raw Deuaidd wedi'i lofnodi File .rbf ar gyfer cyfluniad.
Gwybodaeth Gysylltiedig Ffurfweddu Arwyddo Bitstream Gan ddefnyddio'r Gorchymyn quartus_sign ar dudalen 13

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 62

Anfon Adborth

6. Datrys Problemau 683823 | 2023.05.23
6.4. Cynhyrchu Rhaglennu Cwartws Prime File oedd yn aflwyddiannus
Gwall
Gwall (20353): Nid yw X o allwedd gyhoeddus o QKY yn cyd-fynd ag allwedd breifat o PEM file.
Gwall (20352): Wedi methu ag arwyddo'r bitstream trwy sgript python agilex_sign.py.
Gwall: Rhaglennu Quartus Prime File Roedd Generator yn aflwyddiannus.
Disgrifiad Os ydych chi'n ceisio llofnodi llif did ffurfweddu gan ddefnyddio allwedd breifat anghywir .pem file neu .pem file nad yw hynny'n cyfateb i'r .qky a ychwanegwyd at y prosiect, mae'r gwallau cyffredin uchod yn dangos. Cydraniad Sicrhewch eich bod yn defnyddio'r allwedd breifat gywir .pem i arwyddo'r llif didau.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 63

6. Datrys Problemau 683823 | 2023.05.23
6.5. Gwallau Dadl Anhysbys
Gwall
Gwall (23028): Dadl anhysbys “ûc”. Cyfeiriwch at –help ar gyfer dadleuon cyfreithiol.
Gwall (213008): Mae llinyn opsiwn rhaglennu “ûp” yn anghyfreithlon. Cyfeiriwch at –help ar gyfer fformatau opsiwn rhaglennu cyfreithiol.
Disgrifiad Os ydych yn copïo a gludo opsiynau llinell orchymyn o .pdf file yn y Windows NIOS II Shell, efallai y byddwch yn dod ar draws gwallau dadl Anhysbys fel y dangosir uchod. Cydraniad Mewn achosion o'r fath, gallwch chi roi'r gorchmynion â llaw yn hytrach na gludo o'r clipfwrdd.

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 64

Anfon Adborth

6. Datrys Problemau 683823 | 2023.05.23
6.6. Gwall Analluogwyd Opsiwn Amgryptio Bitstream
Gwall
Methu cwblhau'r amgryptio ar gyfer y file design .sof oherwydd ei fod wedi'i lunio gyda'r opsiwn amgryptio bitstream wedi'i analluogi.
Disgrifiad Os ceisiwch amgryptio'r llif did trwy GUI neu linell orchymyn ar ôl i chi lunio'r prosiect gyda'r opsiwn amgryptio bitstream wedi'i analluogi, mae Quartus yn gwrthod y gorchymyn fel y dangosir uchod.
Cydraniad Sicrhewch eich bod yn llunio'r prosiect gyda'r opsiwn amgryptio bitstream wedi'i alluogi naill ai trwy GUI neu linell orchymyn. I alluogi'r opsiwn hwn yn GUI, rhaid i chi wirio'r blwch ticio ar gyfer yr opsiwn hwn.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 65

6. Datrys Problemau 683823 | 2023.05.23
6.7. Pennu Llwybr Cywir i'r Allwedd
Gwall
Gwall (19516): Rhaglennu Wedi'i Canfod File Gwall gosodiadau generadur: Methu canfod 'key_file'. Gwnewch yn siwr y file wedi ei leoli yn y lleoliad disgwyliedig neu ddiweddaru'r setting.sec
Gwall (19516): Rhaglennu Wedi'i Canfod File Gwall gosodiadau generadur: Methu canfod 'key_file'. Gwnewch yn siwr y file wedi'i leoli yn y lleoliad disgwyliedig neu ddiweddaru'r gosodiad.
Disgrifiad
Os ydych yn defnyddio allweddi sy'n cael eu storio ar y file system, mae angen i chi sicrhau eu bod yn nodi'r llwybr cywir ar gyfer yr allweddi a ddefnyddir ar gyfer amgryptio bitstream ac arwyddo. Os bydd y Rhaglennu File Ni all generadur ganfod y llwybr cywir, mae'r negeseuon gwall uchod yn arddangos.
Datrysiad
Cyfeirier at y Quartus Prime Settings .qsf file i ddod o hyd i'r llwybrau cywir ar gyfer yr allweddi. Gwnewch yn siŵr eich bod yn defnyddio llwybrau cymharol yn lle llwybrau absoliwt.

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 66

Anfon Adborth

6. Datrys Problemau 683823 | 2023.05.23
6.8. Defnyddio Allbwn Heb ei Gefnogi File Math
Gwall
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=YMLAEN -o qek_file=ae.qek -o arwyddo=YMLAEN -o pem_file= arwydd_preifat.pem
Gwall (19511): Allbwn heb ei gefnogi file math (ebf). Defnyddiwch opsiwn “-l” neu “–list” i arddangos a gefnogir file math o wybodaeth.
Disgrifiad Wrth ddefnyddio'r Rhaglennu Cwartws File Generadur i gynhyrchu'r llif didau cyfluniad wedi'i amgryptio a'i lofnodi, efallai y gwelwch y gwall uchod os yw'n allbwn heb ei gefnogi file math yn cael ei nodi. Datrysiad Defnyddiwch yr opsiwn -l neu -list i weld y rhestr o'r rhai a gefnogir file mathau.

Anfon Adborth

Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex® 7 67

683823 | 2023.05.23 Anfon Adborth
7. Archifau Canllaw Defnyddwyr Diogelwch Dyfais Intel Agilex 7
Am y fersiynau diweddaraf a blaenorol o'r canllaw defnyddiwr hwn, cyfeiriwch at Ganllaw Defnyddiwr Diogelwch Dyfais Intel Agilex 7. Os nad yw fersiwn IP neu feddalwedd wedi'i restru, mae'r canllaw defnyddiwr ar gyfer y fersiwn IP neu feddalwedd blaenorol yn berthnasol.

ISO 9001:2015 Cofrestredig

683823 | 2023.05.23 Anfon Adborth

8. Hanes Adolygu ar gyfer Canllaw Defnyddiwr Diogelwch Dyfais Intel Agilex 7

Fersiwn Dogfen 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dogfennau / Adnoddau

Diogelwch Dyfais Intel Agilex 7 [pdfLlawlyfr Defnyddiwr
Diogelwch Dyfais Agilex 7, Agilex 7, Diogelwch Dyfais, Diogelwch

Cyfeiriadau

Llawlyfr Defnyddiwr

Diogelwch Dyfais Intel Agilex 7

Gwybodaeth Cynnyrch

Cyfarwyddiadau Defnydd Cynnyrch

Cwestiynau Cyffredin

Diogelwch Dyfais Drosoddview

Dilysu ac Awdurdodi

Amgryptio Bitstream AES

Darpariaeth Dyfeisiau

Nodweddion Uwch

Datrys problemau

Dogfennau / Adnoddau

Cyfeiriadau

Gadael sylw

Canslo ateb