Intel Agilex 7 Device Security brugervejledning

Intel er forpligtet til produktsikkerhed og anbefaler brugere at sætte sig ind i de leverede produktsikkerhedsressourcer. Disse ressourcer bør bruges i hele Intel-produktets levetid.

2. Planlagte sikkerhedsfunktioner

Følgende sikkerhedsfunktioner er planlagt til en fremtidig udgivelse af Intel Quartus Prime Pro Edition-software:

Partial Reconfiguration Bitstream Security Verification: Giver yderligere sikkerhed for, at Partial Reconfiguration (PR) bitstreams ikke kan få adgang til eller forstyrre andre PR persona bitstreams.

Enhedens selvmord til fysisk anti-Tamper: Udfører en enhedssletning eller enhedens nulstillingsrespons og programmerer eFuses for at forhindre enheden i at konfigurere igen.

3. Tilgængelig sikkerhedsdokumentation

Følgende tabel viser den tilgængelige dokumentation for enhedssikkerhedsfunktioner på Intel FPGA og Structured ASIC-enheder:

Dokumentnavn	Formål
Sikkerhedsmetodologi til brugere af Intel FPGA'er og strukturerede ASIC'er Guide	Dokument på øverste niveau, der giver detaljerede beskrivelser af sikkerhedsfunktioner og -teknologier i Intels programmerbare løsninger Produkter. Hjælper brugere med at vælge de nødvendige sikkerhedsfunktioner til opfylde deres sikkerhedsmål.
Intel Stratix 10 Device Security Brugervejledning	Instruktioner til implementering af Intel Stratix 10-enheder sikkerhedsfunktionerne identificeret ved hjælp af sikkerhedsmetoden Brugervejledning.
Intel Agilex 7 Device Security Brugervejledning	Instruktioner til implementering af Intel Agilex 7-enheder sikkerhedsfunktionerne identificeret ved hjælp af sikkerhedsmetoden Brugervejledning.
Intel eASIC N5X Device Security Brugervejledning	Instruktioner til implementering af Intel eASIC N5X-enheder sikkerhedsfunktionerne identificeret ved hjælp af sikkerhedsmetoden Brugervejledning.
Intel Agilex 7 og Intel eASIC N5X HPS Cryptographic Services Brugervejledning	Information til HPS-softwareingeniører om implementeringen og brug af HPS-softwarebiblioteker til at få adgang til kryptografiske tjenester leveret af SDM.
AN-968 Black Key Provisioning Service Quick Start Guide	Komplet sæt trin for at konfigurere Black Key Provisioning service.

Ofte stillede spørgsmål

Sp: Hvad er formålet med brugervejledningen til sikkerhedsmetoden?

A: Brugervejledningen til sikkerhedsmetodologi giver detaljerede beskrivelser af sikkerhedsfunktioner og -teknologier i Intels programmerbare løsninger. Det hjælper brugere med at vælge de nødvendige sikkerhedsfunktioner for at opfylde deres sikkerhedsmål.

Spørgsmål: Hvor kan jeg finde brugervejledningen til Intel Agilex 7 Device Security?

Sv: Brugervejledningen til Intel Agilex 7 Device Security kan findes på Intel Resource and Design Center webwebsted.

Q: Hvad er Black Key Provisioning-tjenesten?

Sv: Black Key Provisioning-tjenesten er en tjeneste, der giver et komplet sæt trin til opsætning af nøgleprovisionering til sikre operationer.

View Fullscreen

Intel Agilex® 7 Device Security Brugervejledning
Opdateret til Intel® Quartus® Prime Design Suite: 23.1

Onlineversion Send feedback

UG-20335

683823 2023.05.23

Intel Agilex® 7 Device Security Brugervejledning 2

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 3

683823 | 2023.05.23 Send feedback
1. Intel Agilex® 7

Enhedssikkerhed overståetview

Intel® designer Intel Agilex® 7-enhederne med dedikeret, meget konfigurerbar sikkerhedshardware og firmware.
Dette dokument indeholder instruktioner, der hjælper dig med at bruge Intel Quartus® Prime Pro Edition-software til at implementere sikkerhedsfunktioner på dine Intel Agilex 7-enheder.
Derudover er sikkerhedsmetoden til Intel FPGA'er og Structured ASIC'er brugervejledning tilgængelig på Intel Resource & Design Center. Dette dokument indeholder detaljerede beskrivelser af de sikkerhedsfunktioner og -teknologier, der er tilgængelige gennem Intel Programmable Solutions-produkter for at hjælpe dig med at vælge de sikkerhedsfunktioner, der er nødvendige for at opfylde dine sikkerhedsmål. Kontakt Intel Support med referencenummer 14014613136 for at få adgang til sikkerhedsmetoden for Intel FPGA'er og Structured ASICs User Guide.
Dokumentet er organiseret som følger: · Godkendelse og autorisation: Giver instruktioner til oprettelse
godkendelsesnøgler og signaturkæder, anvende tilladelser og tilbagekaldelser, signere objekter og programmere godkendelsesfunktioner på Intel Agilex 7-enheder. · AES Bitstream Encryption: Giver instruktioner til at oprette en AES-rodnøgle, kryptere konfigurationsbitstreams og levere AES-rodnøglen til Intel Agilex 7-enheder. · Device Provisioning: Giver instruktioner til brug af Intel Quartus Prime Programmer og Secure Device Manager (SDM)-leverancefirmware til at programmere sikkerhedsfunktioner på Intel Agilex 7-enheder. · Avancerede funktioner: Giver instruktioner til at aktivere avancerede sikkerhedsfunktioner, herunder sikker debug-autorisation, Hard Processor System (HPS) debug og fjernsystemopdatering.
1.1. Forpligtelse til produktsikkerhed
Intels langvarige engagement i sikkerhed har aldrig været stærkere. Intel anbefaler på det kraftigste, at du bliver fortrolig med vores produktsikkerhedsressourcer og planlægger at bruge dem i hele dit Intel-produkts levetid.
Relaterede oplysninger · Produktsikkerhed hos Intel · Intel Product Security Center Advisories

Intel Corporation. Alle rettigheder forbeholdes. Intel, Intel-logoet og andre Intel-mærker er varemærker tilhørende Intel Corporation eller dets datterselskaber. Intel garanterer ydeevnen af sine FPGA- og halvlederprodukter i henhold til de aktuelle specifikationer i overensstemmelse med Intels standardgaranti, men forbeholder sig retten til at foretage ændringer af produkter og tjenester til enhver tid uden varsel. Intel påtager sig intet ansvar eller erstatningsansvar som følge af applikationen eller brugen af oplysninger, produkter eller tjenester beskrevet heri, undtagen som udtrykkeligt skriftligt aftalt af Intel. Intel-kunder rådes til at indhente den seneste version af enhedsspecifikationerne, før de stoler på nogen offentliggjort information, og før de afgiver ordrer på produkter eller tjenester. *Andre navne og mærker kan hævdes at være andres ejendom.

ISO 9001: 2015 Registreret

1. Intel Agilex® 7-enhedssikkerhed overståetview 683823 | 2023.05.23

1.2. Planlagte sikkerhedsfunktioner

Funktioner nævnt i dette afsnit er planlagt til en fremtidig udgivelse af Intel Quartus Prime Pro Edition-software.

Note:

Oplysningerne i dette afsnit er foreløbige.

1.2.1. Delvis omkonfiguration af Bitstream-sikkerhedsverifikation
Partial reconfiguration (PR) bitstream sikkerhedsvalidering hjælper med at give yderligere sikkerhed for, at PR persona bitstreams ikke kan få adgang til eller forstyrre andre PR persona bitstreams.

1.2.2. Enhedens selvmord til fysisk anti-Tamper
Enhedens selvdræbning udfører en enhedssletning eller enhedens nulstillingsrespons og programmerer desuden eFuses for at forhindre enheden i at konfigurere igen.

1.3. Tilgængelig sikkerhedsdokumentation

Følgende tabel opregner den tilgængelige dokumentation for enhedssikkerhedsfunktioner på Intel FPGA og Structured ASIC-enheder:

Tabel 1.

Tilgængelig enhedssikkerhedsdokumentation

Dokumentnavn
Sikkerhedsmetodologi til Intel FPGA'er og strukturerede ASIC'er Brugervejledning

Formål
Dokument på øverste niveau, der indeholder detaljerede beskrivelser af sikkerhedsfunktioner og teknologier i Intels programmerbare løsninger. Beregnet til at hjælpe dig med at vælge de sikkerhedsfunktioner, der er nødvendige for at opfylde dine sikkerhedsmål.

Dokument ID 721596

Intel Stratix 10 Device Security Brugervejledning
Intel Agilex 7 Device Security Brugervejledning

For brugere af Intel Stratix 10-enheder indeholder denne vejledning instruktioner til at bruge Intel Quartus Prime Pro Edition-softwaren til at implementere de sikkerhedsfunktioner, der er identificeret ved hjælp af sikkerhedsmetodebrugervejledningen.
For brugere af Intel Agilex 7-enheder indeholder denne vejledning instruktioner til at bruge Intel Quartus Prime Pro Edition-softwaren til at implementere de sikkerhedsfunktioner, der er identificeret ved hjælp af sikkerhedsmetodebrugervejledningen.

683642 683823

Intel eASIC N5X Device Security Brugervejledning

For brugere af Intel eASIC N5X-enheder indeholder denne vejledning instruktioner til at bruge Intel Quartus Prime Pro Edition-softwaren til at implementere de sikkerhedsfunktioner, der er identificeret ved hjælp af sikkerhedsmetodebrugervejledningen.

626836

Intel Agilex 7 og Intel eASIC N5X HPS Cryptographic Services Brugervejledning

Denne vejledning indeholder oplysninger, der skal hjælpe HPS-softwareingeniører med implementering og brug af HPS-softwarebiblioteker til at få adgang til kryptografiske tjenester, der leveres af SDM.

713026

AN-968 Black Key Provisioning Service Quick Start Guide

Denne vejledning indeholder et komplet sæt trin til opsætning af Black Key Provisioning-tjenesten.

739071

Placering Intel-ressource og
Design Center
Intel.com
Intel.com
Intels ressource- og designcenter
Intels ressource- og designcenter
Intels ressource- og designcenter

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 5

683823 | 2023.05.23 Send feedback

Autentificering og autorisation

For at aktivere godkendelsesfunktionerne for en Intel Agilex 7-enhed begynder du med at bruge Intel Quartus Prime Pro Edition-softwaren og tilhørende værktøjer til at bygge en signaturkæde. En signaturkæde består af en rodnøgle, en eller flere signeringsnøgler og relevante autorisationer. Du anvender signaturkæden til dit Intel Quartus Prime Pro Edition-projekt og kompilerede programmering files. Brug instruktionerne i Device Provisioning til at programmere din rodnøgle til Intel Agilex 7-enheder.
Relateret information
Enhedsklargøring på side 25

2.1. Oprettelse af en signaturkæde
Du kan bruge quartus_sign-værktøjet eller agilex_sign.py-referenceimplementeringen til at udføre signaturkædeoperationer. Dette dokument giver f.eksamples ved hjælp af quartus_sign.
For at bruge referenceimplementeringen erstatter du et kald til Python-fortolkeren, der følger med Intel Quartus Prime-softwaren, og udelader –family=agilex-indstillingen; alle andre muligheder er tilsvarende. F.eksample, kommandoen quartus_sign fundet senere i dette afsnit
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky kan konverteres til det tilsvarende kald til referenceimplementeringen som følger
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Intel Quartus Prime Pro Edition-software inkluderer værktøjerne quartus_sign, pgm_py og agilex_sign.py. Du kan bruge Nios® II-kommandoskalværktøjet, som automatisk indstiller passende miljøvariabler for at få adgang til værktøjerne.

Følg disse instruktioner for at få en Nios II-kommandoskall frem. 1. Få en Nios II kommandoskal frem.

Mulighed for Windows
Linux

Beskrivelse
I menuen Start skal du pege på Programmer Intel FPGA Nios II EDS og klikke på Nios II Command Shell.
I en kommandoskal skift til /nios2eds og kør følgende kommando:
./nios2_command_shell.sh

Eksamples i dette afsnit antager signaturkæde og konfigurationsbitstream files er placeret i den aktuelle arbejdsmappe. Hvis du vælger at følge examples hvor nøglen files holdes på file system, de examples antager nøglen files er

ISO 9001: 2015 Registreret

2. Godkendelse og autorisation 683823 | 2023.05.23
placeret i den aktuelle arbejdsmappe. Du kan vælge hvilke mapper du vil bruge, og værktøjerne understøtter relativ file stier. Hvis du vælger at beholde nøglen files på file system, skal du omhyggeligt administrere adgangstilladelser til disse files.
Intel anbefaler, at et kommercielt tilgængeligt Hardware Security Module (HSM) bruges til at opbevare kryptografiske nøgler og udføre kryptografiske operationer. Quartus_sign-værktøjet og referenceimplementeringen inkluderer en Public Key Cryptography Standard #11 (PKCS #11) Application Programming Interface (API) til at interagere med en HSM, mens der udføres signaturkædeoperationer. Referenceimplementeringen agilex_sign.py inkluderer et interfaceabstrakt såvel som et example interface til SoftHSM.
Du kan bruge disse f.eksample-grænseflader til at implementere en grænseflade til din HSM. Se dokumentationen fra din HSM-leverandør for mere information om implementering af en grænseflade til og betjening af din HSM.
SoftHSM er en softwareimplementering af en generisk kryptografisk enhed med en PKCS #11-grænseflade, der er gjort tilgængelig af OpenDNSSEC®-projektet. Du kan finde flere oplysninger, herunder instruktioner om, hvordan du downloader, bygger og installerer OpenHSM, på OpenDNSSEC-projektet. Eksampfilerne i dette afsnit bruger SoftHSM version 2.6.1. Eksampfilerne i dette afsnit bruger desuden pkcs11-værktøjsværktøjet fra OpenSC til at udføre yderligere PKCS #11-operationer med et SoftHSM-token. Du kan finde flere oplysninger, herunder instruktioner om, hvordan du downloader, bygger og installerer pkcs11tool fra OpenSC.
Relateret information
· OpenDNSSEC-projektet Politikbaseret zoneunderskriver til automatisering af processen med sporing af DNSSEC-nøgler.
· SoftHSM Information om implementeringen af et kryptografisk lager tilgængeligt via en PKCS #11-grænseflade.
· OpenSC Giver et sæt af biblioteker og hjælpeprogrammer, der kan arbejde med smart cards.
2.1.1. Oprettelse af godkendelsesnøglepar på den lokale File System
Du bruger quartus_sign-værktøjet til at oprette autentificeringsnøglepar på den lokale file system ved hjælp af make_private_pem og make_public_pem værktøjsoperationerne. Du genererer først en privat nøgle med operationen make_private_pem. Du angiver den elliptiske kurve, der skal bruges, den private nøgle filenavn, og eventuelt om den private nøgle skal beskyttes med en adgangssætning. Intel anbefaler brugen af secp384r1-kurven og følgende bedste praksis i branchen for at skabe en stærk, tilfældig adgangssætning på alle private nøgler files. Intel anbefaler også at begrænse file systemtilladelser på den private nøgle .pem files kun læses af ejeren. Du udleder den offentlige nøgle fra den private nøgle med handlingen make_public_pem. Det er nyttigt at navngive nøglen .pem files beskrivende. Dette dokument bruger konventionen _.pem i følgende f.eksamples.
1. Kør følgende kommando i Nios II-kommandoskallen for at oprette en privat nøgle. Den private nøgle, vist nedenfor, bruges som rodnøgle i senere f.eksampfiler, der skaber en signaturkæde. Intel Agilex 7-enheder understøtter flere rodnøgler, så du

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 7

2. Godkendelse og autorisation 683823 | 2023.05.23

gentag dette trin for at oprette dit nødvendige antal rodnøgler. EksampLes i dette dokument refererer alle til den første rodnøgle, selvom du kan bygge signaturkæder på lignende måde med enhver rodnøgle.

Mulighed Med adgangssætning

Beskrivelse
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Indtast adgangssætningen, når du bliver bedt om det.

Uden adgangskode

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Kør følgende kommando for at oprette en offentlig nøgle ved hjælp af den private nøgle, der blev genereret i det foregående trin. Du behøver ikke at beskytte en offentlig nøgles fortrolighed.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Kør kommandoerne igen for at oprette et nøglepar, der bruges som designsigneringsnøgle i signaturkæden.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Oprettelse af godkendelsesnøglepar i SoftHSM
SoftHSM examples i dette kapitel er selvkonsistente. Visse parametre afhænger af din SoftHSM-installation og en token-initialisering i SoftHSM.
Quartus_sign-værktøjet afhænger af PKCS #11 API-biblioteket fra din HSM.
Eksamples i dette afsnit antager, at SoftHSM-biblioteket er installeret på en af følgende steder: · /usr/local/lib/softhsm2.so på Linux · C:SoftHSM2libsofthsm2.dll på 32-bit version af Windows · C:SoftHSM2libsofthsm2-x64 .dll på 64-bit version af Windows.
Initialiser et token i SoftHSM ved hjælp af softhsm2-util-værktøjet:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –fri
Indstillingsparametrene, især token-etiketten og token-nålen er f.eksamper brugt i hele dette kapitel. Intel anbefaler, at du følger instruktionerne fra din HSM-leverandør for at oprette og administrere tokens og nøgler.
Du opretter autentificeringsnøglepar ved hjælp af pkcs11-værktøjsværktøjet til at interagere med tokenet i SoftHSM. I stedet for eksplicit at henvise til den private og offentlige nøgle .pem files i file system examples, refererer du til nøgleparret ved dets etiket, og værktøjet vælger automatisk den relevante nøgle.

Intel Agilex® 7 Device Security Brugervejledning 8

Send feedback

2. Godkendelse og autorisation 683823 | 2023.05.23

Kør følgende kommandoer for at oprette et nøglepar, der bruges som rodnøgle i senere f.eksamples samt et nøglepar, der bruges som en designsigneringsnøgle i signaturkæden:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mekanisme ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –brugstegn –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mekanisme ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

Note:

ID-indstillingen i dette trin skal være unik for hver nøgle, men den bruges kun af HSM. Denne id-indstilling er ikke relateret til det nøgleannullerings-id, der er tildelt i signaturkæden.

2.1.3. Oprettelse af Signature Chain Root Entry
Konverter den offentlige rodnøgle til en signaturkæde-rodindgang, gemt på den lokale file system i Intel Quartus Prime-nøgleformatet (.qky). file, med make_root-operationen. Gentag dette trin for hver rodnøgle, du genererer.
Kør følgende kommando for at oprette en signaturkæde med en rodindgang ved hjælp af en offentlig rodnøgle fra file system:
quartus_sign –family=agilex –operation=make_root –key_type=ejer root0_public.pem root0.qky
Kør følgende kommando for at oprette en signaturkæde med en rodindgang ved hjælp af rodnøglen fra SoftHSM-tokenet etableret i det foregående afsnit:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsosofthsm2 ” root0 root0.qky

2.1.4. Oprettelse af en signaturkæde med offentlig nøgle
Opret en ny offentlig nøgleindgang til en signaturkæde med append_key-operationen. Du angiver den tidligere signaturkæde, den private nøgle for den sidste indtastning i den tidligere signaturkæde, den offentlige nøgle på næste niveau, de tilladelser og annullerings-id'et, du tildeler til den offentlige nøgle på næste niveau, og den nye signaturkæde file.
Bemærk, at softHSM-biblioteket ikke er tilgængeligt med Quartus-installation og i stedet skal installeres separat. For mere information om softHSM se afsnittet Oprettelse af en signaturkæde ovenfor.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 9

2. Godkendelse og autorisation 683823 | 2023.05.23
Afhængig af din brug af nøgler på file system eller i en HSM, bruger du en af følgende f.eksample-kommandoer for at tilføje den offentlige nøgle design0_sign til rodsignaturkæden oprettet i det foregående afsnit:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name” –forrige nøgle root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Du kan gentage append_key-operationen op til to gange mere for maksimalt tre offentlige nøgleindtastninger mellem rodindgangen og hovedblokindgangen i en hvilken som helst signaturkæde.
Følgende example antager, at du har oprettet en anden offentlig godkendelsesnøgle med de samme tilladelser og tildelt annullerings-id 1 kaldet design1_sign_public.pem, og du føjer denne nøgle til signaturkæden fra det forrige eks.ampdet:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name” –forrige nøgle design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Intel Agilex 7-enheder inkluderer en ekstra nøgleannulleringstæller for at lette brugen af en nøgle, der kan ændre sig med jævne mellemrum i løbet af en given enheds levetid. Du kan vælge denne nøgleannulleringstæller ved at ændre argumentet for –cancel-indstillingen til pts:pts_value.
2.2. Signering af en konfigurationsbitstrøm
Intel Agilex 7-enheder understøtter tællere for Security Version Number (SVN), som giver dig mulighed for at tilbagekalde godkendelsen af et objekt uden at annullere en nøgle. Du tildeler SVN-tælleren og den relevante SVN-tællerværdi under signeringen af ethvert objekt, såsom en bitstreamsektion, firmware .zip file, eller kompakt certifikat. Du tildeler SVN-tælleren og SVN-værdien ved at bruge –cancel-indstillingen og svn_counter:svn_value som argument. Gyldige værdier for svn_counter er svnA, svnB, svnC og svnD. Svn_værdien er et heltal inden for området [0,63].

Intel Agilex® 7 Device Security Brugervejledning 10

Send feedback

2. Godkendelse og autorisation 683823 | 2023.05.23
2.2.1. Quartus nøgle File Opgave
Du angiver en signaturkæde i dit Intel Quartus Prime-softwareprojekt for at aktivere godkendelsesfunktionen for det pågældende design. Fra menuen Tildelinger skal du vælge Enhed Enhed og Pin-indstillinger Sikkerheds Quartus-nøgle File, og gå derefter til signaturkæden .qky file du har oprettet for at signere dette design.
Figur 1. Enable Configuration Bitstream Setting

Alternativt kan du tilføje følgende tildelingserklæring til dine Intel Quartus Prime-indstillinger file (.qsf):
set_global_assignment -navn QKY_FILE design0_sign_chain.qky
At generere en .sof file fra et tidligere kompileret design, der inkluderer denne indstilling, skal du i menuen Processing vælge Start Start Assembler. Den nye udgang .sof file omfatter opgaverne for at aktivere godkendelse med den medfølgende signaturkæde.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 11

2. Godkendelse og autorisation 683823 | 2023.05.23
2.2.2. Co-Signing SDM Firmware
Du bruger quartus_sign-værktøjet til at udtrække, signere og installere den relevante SDM-firmware .zip file. Den co-signerede firmware er så inkluderet af programmeringen file generatorværktøj, når du konverterer .sof file ind i en konfigurationsbitstrøm .rbf file. Du bruger følgende kommandoer til at oprette en ny signaturkæde og signere SDM-firmware.
1. Opret et nyt signeringsnøglepar.
en. Opret et nyt signeringsnøglepar på file system:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Opret et nyt signeringsnøglepar i HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mekanisme ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. Opret en ny signaturkæde, der indeholder den nye offentlige nøgle:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name” –forrige nøgle root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Kopier firmwaren .zip file fra din Intel Quartus Prime Pro Edition-softwareinstallationsmappe (/devices/programmer/firmware/agilex.zip) til den aktuelle arbejdsmappe.
quartus_sign –family=agilex –get_firmware=.
4. Signer firmwaren .zip file. Værktøjet udpakker automatisk .zip file og underskriver individuelt al firmware .cmf files, genopbygger derefter .zip file til brug for værktøjerne i følgende afsnit:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 Device Security Brugervejledning 12

Send feedback

2. Godkendelse og autorisation 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Signering af konfigurationsbitstrøm ved hjælp af quartus_sign-kommandoen
For at signere en konfigurationsbitstrøm ved hjælp af quartus_sign-kommandoen skal du først konvertere .sof file til den usignerede rå binære file (.rbf) format. Du kan eventuelt angive co-signeret firmware ved hjælp af fw_source-indstillingen under konverteringstrinnet.
Du kan generere den usignerede rå bitstream i .rbf-format ved hjælp af følgende kommando:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Kør en af følgende kommandoer for at signere bitstrømmen ved hjælp af quartus_sign-værktøjet afhængigt af placeringen af dine nøgler:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Du kan konvertere signeret .rbf files til anden konfiguration bitstream file formater.
F.eksample, hvis du bruger Jam* Standard Test and Programming Language Player (STAPL) til at programmere en bitstream over JTAG, bruger du følgende kommando til at konvertere en .rbf file til det .jam-format, som Jam STAPL Player kræver:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Delvis rekonfiguration Multi-Authority Support

Intel Agilex 7-enheder understøtter delvis rekonfiguration af multiautoritetsgodkendelse, hvor enhedsejeren opretter og signerer den statiske bitstrøm, og en separat PR-ejer opretter og underskriver PR-persona-bitstrømme. Intel Agilex 7-enheder implementerer multi-autoritetsunderstøttelse ved at tildele de første godkendelsesrodnøglepladser til enheden eller den statiske bitstream-ejer og tildele den endelige godkendelsesrodnøgleslot til den delvise rekonfigurationspersons bitstrømsejer.
Hvis godkendelsesfunktionen er aktiveret, skal alle PR-persona-billeder signeres, inklusive indlejrede PR-persona-billeder. PR-persona-billeder kan være underskrevet af enten enhedsejeren eller af PR-ejeren; dog skal statiske regions bitstreams signeres af enhedsejeren.

Note:

Delvis omkonfiguration af statisk og persona bitstream-kryptering, når understøttelse af flere autoriteter er aktiveret, er planlagt i en fremtidig udgivelse.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 13

2. Godkendelse og autorisation 683823 | 2023.05.23

Figur 2.

Implementering af delvis rekonfiguration af multi-autoritetssupport kræver flere trin:
1. Ejeren af enheden eller den statiske bitstrøm genererer en eller flere godkendelsesrodnøgler som beskrevet i Oprettelse af godkendelsesnøglepar i SoftHSM på side 8, hvor –key_type-indstillingen har værdiejer.
2. Den delvise rekonfigurationsbitstrømsejer genererer en godkendelsesrodnøgle, men ændrer indstillingsværdien –key_type til secondary_owner.
3. Ejere af både statisk bitstream og delvis rekonfigurationsdesign sikrer, at afkrydsningsfeltet Enable Multi-Authority support er aktiveret på fanen Assignments Device Device and Pin Options Security.
Intel Quartus Prime Aktiver Multi-Authority Option-indstillinger

4. Både den statiske bitstream og den delvise rekonfigurationsdesignejer opretter signaturkæder baseret på deres respektive rodnøgler som beskrevet i Oprettelse af en signaturkæde på side 6.
5. Ejere af både statisk bitstream og delvis rekonfigurationsdesign konverterer deres kompilerede designs til .rbf-format files og underskriv .rbf files.
6. Ejeren af enheden eller den statiske bitstrøm genererer og underskriver et kompakt certifikat for offentlig nøgleprogramautorisation for PR.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file="root0.qky;root1.qky" unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 Device Security Brugervejledning 14

Send feedback

2. Godkendelse og autorisation 683823 | 2023.05.23

7. Enheden eller den statiske bitstream-ejer leverer deres autentificeringsrodnøglehash til enheden, programmerer derefter PR-certifikatet for offentlig nøgleprogramautorisation og leverer til sidst den delvise rekonfigurerede bitstrømsejerrodnøgle til enheden. Afsnittet Device Provisioning beskriver denne klargøringsproces.
8. Intel Agilex 7-enheden er konfigureret med det statiske område .rbf file.
9. Intel Agilex 7-enheden er delvist omkonfigureret med persona-designet .rbf file.
Relateret information
· Oprettelse af en signaturkæde på side 6
· Oprettelse af godkendelsesnøglepar i SoftHSM på side 8
· Enhedsklargøring på side 25

2.2.5. Bekræftelse af konfiguration af Bitstream-signaturkæder
Når du har oprettet signaturkæder og signerede bitstreams, kan du kontrollere, at en signeret bitstream korrekt konfigurerer en enhed programmeret med en given rodnøgle. Du bruger først fuse_info-operationen af quartus_sign-kommandoen til at udskrive hashen af den offentlige rodnøgle til en tekst file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Du bruger derefter check_integrity-indstillingen i quartus_pfg-kommandoen til at inspicere signaturkæden på hver sektion af en signeret bitstrøm i .rbf-format. Indstillingen check_integrity udskriver følgende oplysninger:
· Status for den overordnede bitstream-integritetskontrol
· Indholdet af hver post i hver signaturkæde knyttet til hver sektion i bitstrømmen .rbf file,
· Forventet sikringsværdi for hashen af den offentlige rodnøgle for hver signaturkæde.
Værdien fra fuse_info-outputtet skal svare til Fuse-linjerne i check_integrity-outputtet.
quartus_pfg –check_integrity signed_bitstream.rbf

Her er en example af check_integrity kommandoens output:

Info: Kommando: quartus_pfg –check_integrity signed_bitstream.rbf Integritetsstatus: OK

Afsnit

Type: CMF

Signaturbeskrivelse …

Signaturkæde #0 (indgange: -1, offset: 96)

Indgang #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Generer nøgle...

Kurve: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Generer nøgle...

Kurve: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 15

2. Godkendelse og autorisation 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Indgang #1

Generer nøgle...

Kurve: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Indgang #2 Nøglering tilladelse: SIGN_CODE Nøglering kan annulleres af ID: 3 Signaturkæde #1 (indgange: -1, offset: 648)

Indgang #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generer nøgle...

Kurve: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generer nøgle...

Kurve: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Indgang #1

Generer nøgle...

Kurve: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Indgang #2

Generer nøgle...

Kurve: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Indgang #3 Nøglering tilladelse: SIGN_CODE Nøglering kan annulleres af ID: 15 Signaturkæde #2 (indgange: -1, offset: 0) Signaturkæde #3 (indgange: -1, offset: 0) Signaturkæde #4 (indgange: -1, offset: 0) Signaturkæde #5 (indgange: -1, offset: 0) Signaturkæde #6 (indgange: -1, offset: 0) Signaturkæde #7 (indgange: -1, offset: 0)

Sektionstype: IO Signature Descriptor … Signaturkæde #0 (indgange: -1, offset: 96)

Indgang #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generer nøgle...

Kurve: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 Device Security Brugervejledning 16

Send feedback

2. Godkendelse og autorisation 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generer nøgle...

Kurve: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Indgang #1

Generer nøgle...

Kurve: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Indgang #2

Generer nøgle...

Kurve: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Indgang #3 Nøglering tilladelse: SIGN_CORE Nøglering kan annulleres af ID: 15 Signaturkæde #1 (indgange: -1, offset: 0) Signaturkæde #2 (indgange: -1, offset: 0) Signaturkæde #3 (indgange: -1, offset: 0) Signaturkæde #4 (indgange: -1, offset: 0) Signaturkæde #5 (indgange: -1, offset: 0) Signaturkæde #6 (indgange: -1, offset: 0) Signatur kæde #7 (indgange: -1, offset: 0)

Afsnit

Type: HPS

Signaturbeskrivelse …

Signaturkæde #0 (indgange: -1, offset: 96)

Indgang #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generer nøgle...

Kurve: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generer nøgle...

Kurve: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Indgang #1

Generer nøgle...

Kurve: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Indgang #2

Generer nøgle...

Kurve: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 17

2. Godkendelse og autorisation 683823 | 2023.05.23

Indgang #3 Nøglering tilladelse: SIGN_HPS Nøglering kan annulleres af ID: 15 Signaturkæde #1 (indgange: -1, offset: 0) Signaturkæde #2 (indgange: -1, offset: 0) Signaturkæde #3 (indgange: -1, offset: 0) Signaturkæde #4 (indgange: -1, offset: 0) Signaturkæde #5 (indgange: -1, offset: 0) Signaturkæde #6 (indgange: -1, offset: 0) Signatur kæde #7 (indgange: -1, offset: 0)

Sektionstype: CORE Signature Descriptor … Signaturkæde #0 (indgange: -1, offset: 96)

Indgang #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generer nøgle...

Kurve: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generer nøgle...

Kurve: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Indgang #1

Generer nøgle...

Kurve: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Indgang #2

Generer nøgle...

Kurve: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Intel Agilex® 7 Device Security Brugervejledning 18

Send feedback

683823 | 2023.05.23 Send feedback

AES Bitstream-kryptering

Advanced Encryption Standard (AES) bitstreamkryptering er en funktion, der gør det muligt for en enhedsejer at beskytte fortroligheden af intellektuel ejendom i en konfigurationsbitstream.
For at hjælpe med at beskytte nøglernes fortrolighed bruger konfigurationsbitstreamkryptering en kæde af AES-nøgler. Disse nøgler bruges til at kryptere ejerdata i konfigurationsbitstrømmen, hvor den første mellemnøgle er krypteret med AES-rodnøglen.

3.1. Oprettelse af AES-rodnøglen

Du kan bruge quartus_encrypt-værktøjet eller stratix10_encrypt.py-referenceimplementeringen til at oprette en AES-rodnøgle i Intel Quartus Prime-softwarekrypteringsnøgleformatet (.qek) file.

Note:

stratix10_encrypt.py file bruges til Intel Stratix® 10- og Intel Agilex 7-enheder.

Du kan eventuelt angive den basisnøgle, der bruges til at udlede AES-rodnøglen og nøgleafledningsnøglen, værdien for AES-rodnøglen direkte, antallet af mellemnøgler og den maksimale brug pr. mellemnøgle.

Du skal angive enhedsfamilien, output .qek file placering og adgangssætning, når du bliver bedt om det.
Kør følgende kommando for at generere AES-rodnøglen ved hjælp af tilfældige data for basisnøglen og standardværdier for antallet af mellemnøgler og maksimal nøglebrug.
For at bruge referenceimplementeringen erstatter du et kald til Python-fortolkeren, der følger med Intel Quartus Prime-softwaren, og udelader –family=agilex-indstillingen; alle andre muligheder er tilsvarende. F.eksample, kommandoen quartus_encrypt fundet senere i afsnittet

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

kan konverteres til det tilsvarende kald til referenceimplementeringen som følger pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Quartus-krypteringsindstillinger
For at aktivere bitstream-kryptering for et design skal du angive de relevante indstillinger ved hjælp af panelet Assignments Device Device og Pin Options Security. Du markerer afkrydsningsfeltet Aktiver konfigurationsbitstreamkryptering og den ønskede opbevaringsplacering for krypteringsnøgle fra rullemenuen.

ISO 9001: 2015 Registreret

Figur 3. Intel Quartus Prime-krypteringsindstillinger

3. AES Bitstream Encryption 683823 | 2023.05.23

Alternativt kan du tilføje følgende tildelingserklæring til dine Intel Quartus Prime-indstillinger file .qsf:
set_global_assignment -navn ENCRYPT_PROGRAMMING_BITSTREAM på set_global_assignment -navn PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Hvis du vil aktivere yderligere begrænsninger mod sidekanalangrebsvektorer, kan du aktivere rullemenuen Krypteringsopdateringsforhold og Aktiver krypteringsafkrydsningsfeltet.

Intel Agilex® 7 Device Security Brugervejledning 20

Send feedback

3. AES Bitstream Encryption 683823 | 2023.05.23

De tilsvarende ændringer i .qsf er:
set_global_assignment -navn PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING på set_global_assignment -navn PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Kryptering af en konfigurationsbitstrøm
Du krypterer en konfigurationsbitstream, før du signerer bitstrømmen. Intel Quartus Prime-programmering File Generatorværktøj kan automatisk kryptere og signere en konfigurationsbitstream ved hjælp af den grafiske brugergrænseflade eller kommandolinje.
Du kan eventuelt oprette en delvist krypteret bitstrøm til brug med værktøjerne quartus_encrypt og quartus_sign eller referenceimplementeringsækvivalenter.

3.3.1. Konfiguration af bitstrømskryptering ved hjælp af programmering File Generator grafisk grænseflade
Du kan bruge programmeringen File Generator til at kryptere og signere ejerbilledet.

Figur 4.

1. På Intel Quartus Prime File menuen vælg Programmering File Generator. 2. På udgangen Files fane, skal du angive output file type for din konfiguration
ordning.
Produktion File Specifikation

Konfigurationsskema Output file fanen
Produktion file type

3. På indgangen Files fane, klik på Tilføj Bitstream og browse til din .sof. 4. For at angive krypterings- og godkendelsesindstillinger skal du vælge .sof og klikke
Ejendomme. en. Slå Aktiver signeringsværktøj til. b. Til privat nøgle file vælg din signaturnøgle private .pem file. c. Slå Afslut kryptering til.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 21

3. AES Bitstream Encryption 683823 | 2023.05.23

Figur 5.

d. Til krypteringsnøgle file, vælg din AES .qek file. Input (.sof) File Egenskaber for godkendelse og kryptering

Aktiver godkendelse Angiv privat root .pem
Aktiver kryptering Angiv krypteringsnøgle
5. For at generere den signerede og krypterede bitstream, på Input Files fane, klik på Generer. Adgangskodedialogbokse vises, så du kan indtaste din adgangssætning til din AES-nøgle .qek file og underskriver privat nøgle .pem file. Programmeringen file generator opretter det krypterede og signerede output_file.rbf.
3.3.2. Konfiguration af bitstrømskryptering ved hjælp af programmering File Generator kommandolinjegrænseflade
Generer en krypteret og signeret konfigurationsbitstream i .rbf-format med quartus_pfg-kommandolinjegrænsefladen:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signering=ON -o pem_file=design0_sign_private.pem
Du kan konvertere en krypteret og signeret konfigurationsbitstream i .rbf-format til en anden konfigurationsbitstream file formater.
3.3.3. Delvis krypteret konfiguration Bitstream-generering ved hjælp af kommandolinjegrænsefladen
Du kan generere en delvist krypteret programmering file for at afslutte kryptering og signere billedet senere. Generer den delvist krypterede programmering file i .rbf-formatet med quartus_pfgcommand line-grænsefladen: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 Device Security Brugervejledning 22

Send feedback

3. AES Bitstream Encryption 683823 | 2023.05.23
Du bruger kommandolinjeværktøjet quartus_encrypt til at afslutte bitstream-kryptering:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Du bruger kommandolinjeværktøjet quartus_sign til at signere den krypterede konfigurationsbitstream:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Delvis omkonfiguration af bitstrømskryptering
Du kan aktivere bitstream-kryptering på nogle Intel Agilex 7 FPGA-designs, der bruger delvis rekonfiguration.
Delvis rekonfigurationsdesign, der bruger Hierarchical Partial Reconfiguration (HPR) eller Static Update Partial Reconfiguration (SUPR), understøtter ikke bitstream-krypteringen. Hvis dit design indeholder flere PR-regioner, skal du kryptere alle personas.
For at aktivere delvis omkonfiguration af bitstrømskryptering skal du følge den samme procedure i alle designrevisioner. 1. På Intel Quartus Prime File menuen skal du vælge Assignments Device Device
og Pin Options Sikkerhed. 2. Vælg den ønskede lagerplads for krypteringsnøgle.
Figur 6. Delvis omkonfiguration af bitstrømskrypteringsindstilling

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 23

3. AES Bitstream Encryption 683823 | 2023.05.23
Alternativt kan du tilføje følgende opgavesætning i Quartus Prime-indstillingerne file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION på
Efter du har kompileret dit basisdesign og revisioner, genererer softwaren a.soffile og en eller flere.pmsffiles, der repræsenterer personaerne. 3. Opret krypteret og signeret programmering files fra.sof og.pmsf fileer på samme måde som designs uden delvis rekonfiguration aktiveret. 4. Konverter den kompilerede persona.pmsf file til en delvist krypteret.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Afslut bitstrømskryptering ved hjælp af kommandolinjeværktøjet quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Signer den krypterede konfigurationsbitstrøm ved hjælp af kommandolinjeværktøjet quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Intel Agilex® 7 Device Security Brugervejledning 24

Send feedback

683823 | 2023.05.23 Send feedback

Enhedsforsyning

Indledende klargøring af sikkerhedsfunktioner understøttes kun i SDM-leveringsfirmwaren. Brug Intel Quartus Prime Programmer til at indlæse SDM-leveringsfirmwaren og udføre klargøringshandlinger.
Du kan bruge enhver type JTAG download-kabel for at forbinde Quartus Programmer til en Intel Agilex 7-enhed for at udføre klargøringshandlinger.
4.1. Brug af SDM Provision Firmware
Intel Quartus Prime Programmer opretter og indlæser automatisk et fabriksstandard hjælpebillede, når du vælger initialiseringsoperationen og en kommando til at programmere noget andet end en konfigurationsbitstream.
Afhængigt af den angivne programmeringskommando er fabriksstandard hjælpebilledet en af to typer:
· Provisioneringshjælperbillede – består af én bitstreamsektion, der indeholder SDM-klargøringsfirmwaren.
· QSPI-hjælperbillede – består af to bitstreamsektioner, en der indeholder SDM-hovedfirmwaren og en I/O-sektion.
Du kan oprette et fabriksstandard hjælpebillede file at indlæse på din enhed, før du udfører en programmeringskommando. Efter at have programmeret en godkendelsesrodnøglehash, skal du oprette og signere et QSPI fabriksstandard hjælpebillede på grund af den inkluderede I/O-sektion. Hvis du desuden programmerer den co-signerede firmware-sikkerhedsindstilling eFuse, skal du oprette klargøring og QSPI fabriksstandard hjælpebilleder med co-signeret firmware. Du kan bruge et co-signeret fabriksstandard hjælpebillede på en ikke-provisioneret enhed, da den ikke-provisionerede enhed ignorerer ikke-Intel signaturkæder over SDM-firmware. Se Brug af QSPI Factory Default Helper Image på ejede enheder på side 26 for flere detaljer om oprettelse, signering og brug af QSPI fabriksstandard helper image.
Fabriksindstillings-hjælperbilledet udfører en klargøringshandling, såsom programmering af godkendelsesrodnøglehashen, sikkerhedsindstillingssikringer, PUF-tilmelding eller klargøring af sort nøgle. Du bruger Intel Quartus Prime-programmering File Generator-kommandolinjeværktøj til at oprette klargøringshjælperbilledet, specificering af helper_image-indstillingen, dit helper_device-navn, leveringshjælperbilledets undertype og eventuelt en co-signeret firmware .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Programmer hjælpebilledet ved hjælp af Intel Quartus Prime Programmer-værktøjet:
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" –force

ISO 9001: 2015 Registreret

4. Enhedsforsyning 683823 | 2023.05.23

Note:

Du kan udelade initialiseringsoperationen fra kommandoer, inklusive f.eksampfiler, der er angivet i dette kapitel, efter enten at have programmeret et klargøringshjælpebillede eller brug af en kommando, der indeholder initialiseringsoperationen.

4.2. Brug af QSPI Factory Default Helper Image på ejede enheder
Intel Quartus Prime Programmer opretter og indlæser automatisk et QSPI fabriksstandard hjælpebillede, når du vælger initialiseringsoperationen for en QSPI flash-programmering file. Efter programmering af en godkendelsesrodnøglehash, skal du oprette og signere QSPI-fabriksstandardhjælperbilledet og programmere det signerede QSPI-fabrikshjælperbillede separat før programmering af QSPI-flash. 1. Du bruger Intel Quartus Prime-programmering File Generator kommandolinjeværktøj til
opret QSPI-hjælperbilledet, angiv indstillingen helper_image, din helper_device-type, QSPI-hjælperbillede-undertypen og eventuelt en cosigneret firmware .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Du underskriver QSPI's fabriksstandard hjælpebillede:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Du må bruge enhver QSPI flash-programmering file format. Følgende examples bruger en konfigurationsbitstrøm konverteret til .jic file format:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Du programmerer det signerede hjælpebillede ved hjælp af Intel Quartus Prime Programmer-værktøjet:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –force
5. Du programmerer .jic-billedet til at blinke ved hjælp af Intel Quartus Prime Programmer-værktøjet:
quartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. Authentication Root Key Provisioning
For at programmere ejerens rodnøglehash til fysiske sikringer, skal du først indlæse leveringsfirmwaren, derefter programmere ejerens rodnøglehashhår og derefter straks udføre en startnulstilling. En startnulstilling er ikke nødvendig, hvis programmering af rodnøgle hashes til virtuelle sikringer.

Intel Agilex® 7 Device Security Brugervejledning 26

Send feedback

4. Enhedsforsyning 683823 | 2023.05.23
For at programmere godkendelses-rodnøgle-hasher skal du programmere installationsfirmwarehjælperbilledet og køre en af følgende kommandoer for at programmere rodnøglen .qky files.
// Til fysiske (ikke-flygtige) eFuses quartus_pgm -c 1 -m jtag -o "p;root0.qky;root1.qky;root2.qky" -non_volatile_key
// Til virtuelle (flygtige) eFuses quartus_pgm -c 1 -m jtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. Delvis rekonfiguration Multi-Authority Root Key Programmering
Efter at have klargjort enhedens eller den statiske regions bitstream-ejerrodnøgler, indlæser du igen enhedsforsyningshjælperbilledet, programmerer det signerede PR-offentlige nøgleprogramautorisationskompakte certifikat og klargør derefter PR-persona-bitstreamejerrodnøglen.
// Til fysiske (ikke-flygtige) eFuses quartus_pgm -c 1 -m jtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Til virtuelle (flygtige) eFuses quartus_pgm -c 1 -m jtag -o "p;p;root_pr.qky" –pr_pubkey
4.4. Programmeringsnøgle annullering ID Sikringer
Fra og med Intel Quartus Prime Pro Edition-softwareversion 21.1 kræver programmering af Intel- og ejernøgleannullerings-ID-sikringer brug af et signeret kompaktcertifikat. Du kan underskrive det kompakte certifikat for nøgleannullerings-id med en signaturkæde, der har tilladelser til FPGA-sektionssignering. Du opretter det kompakte certifikat med programmeringen file generator kommandolinjeværktøj. Du underskriver det usignerede certifikat ved hjælp af quartus_sign-værktøjet eller referenceimplementering.
Intel Agilex 7-enheder understøtter separate banker af ejernøgleannullerings-id'er for hver rodnøgle. Når et ejernøgleannullerings-id kompakt-certifikat er programmeret ind i en Intel Agilex 7 FPGA, bestemmer SDM, hvilken rodnøgle, der signerede det kompakte certifikat, og sprænger nøgleannullerings-id-sikringen, der svarer til den rodnøgle.
Følgende exampOpret et Intel-nøgleannulleringscertifikat for Intel-nøgle-ID 7. Du kan erstatte 7 med det relevante Intel-nøgleannullerings-id fra 0-31.
Kør følgende kommando for at oprette et usigneret Intel-nøgleannullerings-id kompakt certifikat:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Kør en af følgende kommandoer for at signere det usignerede Intel-nøgleannullerings-id kompakt-certifikat:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 27

4. Enhedsforsyning 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Kør følgende kommando for at oprette et usigneret ejernøgleannullerings-id kompakt certifikat:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Kør en af følgende kommandoer for at underskrive det kompakte certifikat for annullerings-id for usigneret ejernøgle:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Når du har oprettet et signeret nøgleannullerings-id kompakt certifikat, bruger du Intel Quartus Prime Programmer til at programmere det kompakte certifikat til enheden via JTAG.
//For fysiske (ikke-flygtige) eFuses quartus_pgm -c 1 -m jtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
//For virtuelle (flygtige) eFuses quartus_pgm -c 1 -m jtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert"
Du kan desuden sende det kompakte certifikat til SDM'en ved hjælp af FPGA- eller HPS-postkassegrænsefladen.
4.5. Annullering af rodnøgler
Intel Agilex 7-enheder giver dig mulighed for at annullere rodnøgle-hashen, når en anden uannulleret rodnøgle-hash er til stede. Du annullerer en rodnøgle-hash ved først at konfigurere enheden med et design, hvis signaturkæde er forankret i en anden rodnøgle-hash, og derefter programmere et signeret rodnøgle-hash-annulleringscertifikat. Du skal underskrive det kompakte certifikat for rodnøglehashannullering med en signaturkæde forankret i rodnøglen for at blive annulleret.
Kør følgende kommando for at generere et kompakt certifikat for usigneret hash-annullering af rodnøgle:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 Device Security Brugervejledning 28

Send feedback

4. Enhedsforsyning 683823 | 2023.05.23

Kør en af følgende kommandoer for at signere det kompakte certifikat for annullering af hash-annullering af usigneret rodnøgle:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Du kan programmere et kompakt certifikat for hash-annullering af rodnøgle via JTAG, FPGA eller HPS postkasser.

4.6. Programmering af modsikringer
Du opdaterer sikkerhedsversionsnummeret (SVN) og Pseudo Time Stamp (PTS) modsikringer ved hjælp af signerede kompakte certifikater.

Note:

SDM'en holder styr på den minimale tællerværdi, der ses under en given konfiguration, og accepterer ikke tællerinkrementer, når tællerværdien er mindre end minimumsværdien. Du skal opdatere alle objekter, der er tildelt en tæller og omkonfigurere enheden, før du programmerer et kompakt certifikat for tællerinkrementer.

Kør en af følgende kommandoer, der svarer til det tællerinkrementcertifikat, du vil generere.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter= unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter= unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter= unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter= unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter= unsigned_svnD.ccert

En tællerværdi på 1 opretter et autorisationscertifikat for tællerstigning. Programmering af et kompakt certifikat for tællerstigningsautorisation giver dig mulighed for at programmere yderligere usignerede tællerinkrementalcertifikater for at opdatere den respektive tæller. Du bruger quartus_sign-værktøjet til at underskrive tællerkompaktcertifikaterne på samme måde som kompakte certifikater for nøgleannullering.
Du kan programmere et kompakt certifikat for hash-annullering af rodnøgle via JTAG, FPGA eller HPS postkasser.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 29

4. Enhedsforsyning 683823 | 2023.05.23

4.7. Secure Data Object Service Root Key Provisioning
Du bruger Intel Quartus Prime Programmer til at klargøre rodnøglen Secure Data Object Service (SDOS). Programmeringsenheden indlæser automatisk leveringsfirmwarehjælperbilledet for at klargøre SDOS-rodnøglen.
quartus_pgm c 1 m jtag –service_root_key –non_volatile_key

4.8. Sikkerhedsindstilling Fuse Provisioning
Brug Intel Quartus Prime Programmer til at undersøge enhedssikkerhedsindstillingssikringer og skrive dem til en tekstbaseret .fuse file som følger:
quartus_pgm -c 1 -mjtag -o “ei;programmering_file.fuse;AGFB014R24B"

Indstillinger · i: Programmeringsenheden indlæser hjælpebilledet til leveringsfirmwaren til enheden. · e: Programmeringsenheden læser sikringen fra enheden og gemmer den i en .sikring file.

.sikringen file indeholder en liste over sikringsnavn-værdi-par. Værdien angiver, om en sikring er sprunget eller indholdet af sikringsfeltet.

Følgende example viser formatet af .sikringen file:

# Co-signeret firmware

= "Ikke sprængt"

# Device Permit Kill

= "Ikke sprængt"

# Enheden er ikke sikker

= "Ikke sprængt"

# Deaktiver HPS debug

= "Ikke sprængt"

# Deaktiver Intrinsic ID PUF-tilmelding

= "Ikke sprængt"

# Deaktiver JTAG

= "Ikke sprængt"

# Deaktiver PUF-indpakket krypteringsnøgle

= "Ikke sprængt"

# Deaktiver ejerkrypteringsnøgle i BBRAM = "Ikke sprængt"

# Deaktiver ejerkrypteringsnøgle i eFuses = "Ikke sprængt"

# Deaktiver ejer root public key hash 0

= "Ikke sprængt"

# Deaktiver ejer root public key hash 1

= "Ikke sprængt"

# Deaktiver ejer root public key hash 2

= "Ikke sprængt"

# Deaktiver virtuelle eFuses

= "Ikke sprængt"

# Tving SDM-uret til intern oscillator = "Ikke blæst"

# Tving opdatering af krypteringsnøgle

= "Ikke sprængt"

# Intel eksplicit nøgleannullering

= "0"

# Lås sikkerhedseFuses

= "Ikke sprængt"

# Ejerkrypteringsnøgleprogram udført

= "Ikke sprængt"

# Ejerkrypteringsnøgleprogram starter

= "Ikke sprængt"

# Ejer eksplicit nøgleannullering 0

= ""

# Ejer eksplicit nøgleannullering 1

= ""

# Ejer eksplicit nøgleannullering 2

= ""

# Ejer sikringer

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000"

# Ejer root public key hash 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Ejer root public key hash 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Ejer root public key hash 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Størrelse på den offentlige nøgle for ejerens rod

= "Ingen"

# PTS-tæller

= "0"

# PTS-tællerbase

= "0"

Intel Agilex® 7 Device Security Brugervejledning 30

Send feedback

4. Enhedsforsyning 683823 | 2023.05.23

# QSPI opstartsforsinkelse # RMA-tæller # SDMIO0 er I2C # SVN-tæller A # SVN-tæller B # SVN-tæller C # SVN-tæller D

= “10ms” = “0” = “Ikke blæst” = “0” = “0” = “0” = “0”

Rediger .sikringen file for at indstille din ønskede sikkerhedsindstilling sikringer. En linje, der begynder med #, behandles som en kommentarlinje. For at programmere en sikkerhedsindstillingssikring skal du fjerne det indledende # og indstille værdien til Blown. F.eksample, for at aktivere den co-signerede firmware-sikkerhedsindstillingssikring, rediger den første linje af sikringen file til følgende:
Co-signeret firmware = "Blæst"

Du kan også tildele og programmere ejersikringerne baseret på dine krav.
Du kan bruge følgende kommando til at udføre en tom kontrol, programmere og verificere ejerens offentlige rodnøgle:
quartus_pgm -c 1 -mjtag -o "ibpv;root0.qky"

Indstillinger · i: Indlæser hjælpebilledet til leveringsfirmwaren til enheden. · b: Udfører en blank kontrol for at bekræfte, at den ønskede sikkerhedsindstilling ikke er sikringer
allerede sprængt. · p: Programmerer sikringen. · v: Bekræfter den programmerede nøgle på enheden.
Efter programmering af .qky file, kan du undersøge sikringsoplysningerne ved at kontrollere sikringsoplysningerne igen for at sikre, at både ejerens offentlige nøglehash og ejerens offentlige nøglestørrelse har værdier, der ikke er nul.
Mens følgende felter ikke kan skrives gennem .fuse file metode, de er inkluderet under undersøgelsesoperationens output for verifikation: · Enheden er ikke sikker · Enhedstilladelse dræb · Deaktiver ejerens rod public key hash 0 · Deaktiver ejerens root public key hash 1 · Deaktiver ejerens root public key hash 2 · Intel-nøgleannullering · Ejer krypteringsnøgle program start · Ejer krypteringsnøgle program udført · Ejer nøgle annullering · Ejer offentlig nøgle hash · Ejer offentlig nøgle størrelse · Ejer rod offentlig nøgle hash 0 · Ejer rod offentlig nøgle hash 1 · Ejer rod offentlig nøgle hash 2

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 31

4. Enhedsforsyning 683823 | 2023.05.23
· PTS-tæller · PTS-tællerbase · QSPI-opstartsforsinkelse · RMA-tæller · SDMIO0 er I2C · SVN-tæller A · SVN-tæller B · SVN-tæller C · SVN-tæller D
Brug Intel Quartus Prime Programmer til at programmere .fuse file tilbage til enheden. Hvis du tilføjer i-indstillingen, indlæser programmeringsenheden automatisk leveringsfirmwaren for at programmere sikkerhedsindstillingssikringerne.
//For fysiske (ikke-flygtige) eFuses quartus_pgm -c 1 -m jtag -o “pi;programmering_file.fuse” –non_volatile_key
//For virtuelle (flygtige) eFuses quartus_pgm -c 1 -m jtag -o “pi;programmering_file.sikring"
Du kan bruge følgende kommando til at kontrollere, om enhedens rodnøglehash er den samme som den .qky, der er angivet i kommandoen:
quartus_pgm -c 1 -mjtag -o "v;root0_anden.qky"
Hvis tasterne ikke stemmer overens, fejler programmeringsenheden med fejlmeddelelsen Operation mislykket.
4.9. AES Root Key Provisioning
Du skal bruge et signeret AES-rodnøgle-kompaktcertifikat for at programmere en AES-rodnøgle til en Intel Agilex 7-enhed.
4.9.1. AES Root Key Compact-certifikat
Du bruger kommandolinjeværktøjet quartus_pfg til at konvertere din AES-rodnøgle .qek file ind i det kompakte certifikat .ccert-format. Du angiver nøglelagerplaceringen, mens du opretter det kompakte certifikat. Du kan bruge quartus_pfg-værktøjet til at oprette et usigneret certifikat til senere signering. Du skal bruge en signaturkæde med AES-rodnøglecertifikatsigneringstilladelsen, tilladelsesbit 6, aktiveret for at kunne signere et kompakt AES-rodnøglecertifikat.

Intel Agilex® 7 Device Security Brugervejledning 32

Send feedback

4. Enhedsforsyning 683823 | 2023.05.23
1. Opret et ekstra nøglepar, der bruges til at signere AES-nøglekompaktcertifikat ved hjælp af en af følgende kommandoer, f.eksamples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mekanisme ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. Opret en signaturkæde med det korrekte tilladelsesbitsæt ved hjælp af en af følgende kommandoer:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name” –forrige nøgle root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Opret et usigneret AES compact-certifikat for den ønskede AES-rodnøglelagerplacering. Følgende AES-rodnøglelagringsmuligheder er tilgængelige:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Opret eFuse AES-rodnøgle usigneret certifikat quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Underskriv det kompakte certifikat med kommandoen quartus_sign eller referenceimplementering.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_1.ccert signed_1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 33

4. Enhedsforsyning 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_1.ccert signed_1.ccert
5. Brug Intel Quartus Prime Programmer til at programmere AES root key compact-certifikatet til Intel Agilex 7-enheden via JTAG. Intel Quartus Prime Programmer programmerer som standard virtuelle eFuses ved brug af EFUSE_WRAPPED_AES_KEY kompakt certifikattype.
Du tilføjer muligheden –non_volatile_key for at specificere programmering af fysiske sikringer.
//For fysisk (ikke-flygtig) eFuse AES-rodnøgle quartus_pgm -c 1 -m jtag -o "pi;signed_efuse1.ccert" -non_volatile_key

//For virtuel (flygtig) eFuse AES-rodnøgle quartus_pgm -c 1 -m jtag -o "pi;signed_efuse1.ccert"

//For BBRAM AES-rodnøgle quartus_pgm -c 1 -m jtag -o "pi;signed_bbram1.ccert"

SDM-leveringsfirmwaren og hovedfirmwaren understøtter AES-rodnøglecertifikatprogrammering. Du kan også bruge SDM-postkassegrænsefladen fra FPGA-strukturen eller HPS til at programmere et AES-rodnøglecertifikat.

Note:

Kommandoen quartus_pgm understøtter ikke indstillingerne b og v for kompakte certifikater (.ccert).

4.9.2. Intrinsic ID® PUF AES Root Key Provisioning
Implementering af den Intrinsic* ID PUF-indpakkede AES-nøgle omfatter følgende trin: 1. Tilmelding af Intrinsic ID PUF via JTAG. 2. Indpakning af AES-rodnøglen. 3. Programmering af hjælpedata og indpakket nøgle i quad SPI flash-hukommelse. 4. Forespørgsel om Intrinsic ID PUF-aktiveringsstatus.
Brugen af Intrinsic ID-teknologi kræver en separat licensaftale med Intrinsic ID. Intel Quartus Prime Pro Edition-software begrænser PUF-operationer uden den relevante licens, såsom tilmelding, nøgleindpakning og PUF-dataprogrammering til QSPI-flash.

4.9.2.1. Intrinsic ID PUF-tilmelding
For at tilmelde PUF'en skal du bruge SDM-leveringsfirmwaren. Tilvejebringelsesfirmwaren skal være den første firmware, der indlæses efter en strømcyklus, og du skal udstede PUF-tilmeldingskommandoen før enhver anden kommando. Leveringsfirmwaren understøtter andre kommandoer efter PUF-tilmelding, inklusive AES-rodnøgleindpakning og programmering af quad SPI, men du skal tænde enheden for at indlæse en konfigurationsbitstream.
Du bruger Intel Quartus Prime Programmer til at udløse PUF-tilmelding og generere PUF-hjælperdata .puf file.

Intel Agilex® 7 Device Security Brugervejledning 34

Send feedback

4. Enhedsforsyning 683823 | 2023.05.23

Figur 7.

Intrinsic ID PUF-tilmelding
quartus_pgm PUF-tilmelding

Tilmelding PUF-hjælperdata

Secure Device Manager (SDM)

wrapper.puf Hjælpedata
Programmeringsenheden indlæser automatisk et provisionsfirmwarehjælperbillede, når du angiver både i-operationen og et .puf-argument.
quartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
Hvis du bruger co-signeret firmware, programmerer du det co-signerede firmware-hjælperbillede, før du bruger kommandoen PUF-tilmelding.
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" -force quartus_pgm -c 1 -m jtag -o "e;help_data.puf;AGFB014R24A"
UDS IID PUF er tilmeldt under enhedsfremstilling og er ikke tilgængelig for genregistrering. I stedet bruger du programmeringsenheden til at bestemme placeringen af UDS PUF-hjælpedataene på IPCS, download .puf file direkte, og brug derefter UDS .puf file på samme måde som .puf file udtrukket fra en Intel Agilex 7-enhed.
Brug følgende programmeringskommando til at generere en tekst file indeholdende en liste over URLs peger på enhedsspecifik files på IPCS:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B" –ipcs_urls
4.9.2.2. Indpakning af AES Root Key
Du genererer den IID PUF-indpakkede AES-rodnøgle .wkey file ved at sende et underskrevet certifikat til SDM.
Du kan bruge Intel Quartus Prime Programmer til automatisk at generere, signere og sende certifikatet for at indpakke din AES-rodnøgle, eller du kan bruge Intel Quartus Prime-programmering File Generator til at generere et usigneret certifikat. Du underskriver det usignerede certifikat ved hjælp af dine egne værktøjer eller Quartus-signeringsværktøjet. Du bruger derefter programmøren til at sende det signerede certifikat og pakke din AES-rodnøgle. Det signerede certifikat kan bruges til at programmere alle enheder, der kan validere signaturkæden.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 35

4. Enhedsforsyning 683823 | 2023.05.23

Figur 8.

Indpakning af AES-nøglen ved hjælp af Intel Quartus Prime Programmer
.pem Privat
Nøgle

.qky

quartus_pgm

Indpak AES nøgle

AES.QSKigYnature RootCPhuabilnic nøgle

Generer PUF Wrapped Key

Indpakket AES nøgle

SDM

.qek-kryptering
Nøgle

.wkey PUF-indpakket
AES nøgle

1. Du kan generere den IID PUF-indpakkede AES-rodnøgle (.wkey) med programmeringsenheden ved hjælp af følgende argumenter:
· .qky file indeholdende en signaturkæde med AES-rodnøglecertifikattilladelse
· Den private .pem file for den sidste nøgle i signaturkæden
· .qek file holde AES-rodnøglen nede
· 16-byte initialiseringsvektoren (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Alternativt kan du generere et usigneret IID PUF-indpakning AES-rodnøglecertifikat med programmering File Generator ved hjælp af følgende argumenter:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Du underskriver det usignerede certifikat med dine egne signeringsværktøjer eller quartus_sign-værktøjet ved hjælp af følgende kommando:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Du bruger derefter programmeringsenheden til at sende det signerede AES-certifikat og returnere den indpakkede nøgle (.wkey) file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

Bemærk: i-operationen er ikke nødvendig, hvis du tidligere har indlæst installationsfirmwarehjælperbilledet, f.eksample, for at tilmelde PUF.

4.9.2.3. Programmering af hjælpedata og indpakket nøgle til QSPI Flash-hukommelse
Du bruger Quartus-programmeringen File Generator grafisk grænseflade til at bygge et indledende QSPI flash-billede, der indeholder en PUF-partition. Du skal generere og programmere et helt flash-programmeringsbillede for at tilføje en PUF-partition til QSPI-flashen. Oprettelse af PUF

Intel Agilex® 7 Device Security Brugervejledning 36

Send feedback

4. Enhedsforsyning 683823 | 2023.05.23

Figur 9.

datapartition og brug af PUF-hjælpedata og indpakket nøgle files til generering af flashbilleder understøttes ikke gennem programmeringen File Generator kommandolinjegrænseflade.
De følgende trin demonstrerer opbygning af et flash-programmeringsbillede med PUF-hjælpedata og indpakket nøgle:
1. På File menuen, klik på Programmering File Generator. På udgangen Files fane foretag følgende valg:
en. For Device Family vælg Agilex 7.
b. For konfigurationstilstand skal du vælge Active Serial x4.
c. For Output bibliotek, gå til dit output file vejviser. Denne example bruger output_files.
d. For Navn skal du angive et navn til programmeringen file der skal genereres. Denne example bruger output_file.
e. Vælg programmeringen under Beskrivelse files at generere. Denne example genererer JTAG Indirekte konfiguration File (.jic) til enhedskonfiguration og Raw Binary File af programmeringshjælperbillede (.rbf) til enhedshjælperbillede. Denne example vælger også det valgfri Memory Map File (.map) og rå programmeringsdata File (.rpd). De rå programmeringsdata file er kun nødvendigt, hvis du planlægger at bruge en tredjepartsprogrammør i fremtiden.
Programmering File Generator – output Files Faneblad – Vælg JTAG Indirekte konfiguration

Enhedsfamiliekonfigurationstilstand
Produktion file fanen
Output bibliotek
JTAG Indirekte (.jic) Hukommelseskort File Programmeringshjælper Rå programmeringsdata
På input Files fane, skal du foretage følgende valg: 1. Klik på Tilføj bitstrøm og browse til din .sof. 2. Vælg din .sof file og klik derefter på Egenskaber.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 37

4. Enhedsforsyning 683823 | 2023.05.23
en. Slå Aktiver signeringsværktøj til. b. Til privat nøgle file vælg din .pem file. c. Slå Afslut kryptering til. d. Til krypteringsnøgle file vælg din .qek file. e. Klik på OK for at vende tilbage til det forrige vindue. 3. For at specificere dine PUF-hjælperdata file, klik på Tilføj rådata. Skift Files af typen drop-down menu til Quartus Physical Unclonable Function File (*.puf). Gennemse din .puf file. Hvis du bruger både IID PUF og UDS IID PUF, skal du gentage dette trin, så .puf files for hver PUF tilføjes som input files. 4. For at angive din indpakkede AES-nøgle file, klik på Tilføj rådata. Skift Files af typen drop-down menu til Quartus Wrapped Key File (*.wkey). Gå til din .wkey file. Hvis du har pakket AES-nøgler med både IID PUF og UDS IID PUF, skal du gentage dette trin, så .wkey files for hver PUF tilføjes som input files.
Figur 10. Angiv input Files for konfiguration, godkendelse og kryptering

Tilføj Bitstream Tilføj rådata
Egenskaber
Privat nøgle file
Afslut kryptering Krypteringsnøgle
På fanen Konfigurationsenhed skal du foretage følgende valg: 1. Klik på Tilføj enhed, og vælg din flashenhed fra listen over tilgængelige flash
enheder. 2. Vælg den konfigurationsenhed, du lige har tilføjet, og klik på Tilføj partition. 3. I dialogboksen Rediger partition for input file og vælg din .sof fra
dropdown liste. Du kan beholde standardindstillingerne eller redigere de andre parametre i dialogboksen Rediger partition.

Intel Agilex® 7 Device Security Brugervejledning 38

Send feedback

4. Enhedsforsyning 683823 | 2023.05.23
Figur 11. Angivelse af din .sof Configuration Bitstream Partition

Konfigurationsenhed
Rediger partition Tilføj .sof file

Tilføj partition

4. Når du tilføjer .puf og .wkey som input files, programmeringen File Generator opretter automatisk en PUF-partition i din konfigurationsenhed. For at gemme .puf og .wkey i PUF-partitionen skal du vælge PUF-partitionen og klikke på Rediger. I dialogboksen Rediger partition skal du vælge din .puf og .wkey files fra rullelisterne. Hvis du fjerner PUF-partitionen, skal du fjerne og gentilføje konfigurationsenheden til programmeringen File Generator til at oprette en anden PUF-partition. Du skal sikre dig, at du vælger den korrekte .puf og .wkey file for henholdsvis IID PUF og UDS IID PUF.
Figur 12. Tilføj .puf og .wkey files til PUF-partitionen

PUF partition

Redigere

Rediger partition

Flash Loader

Vælg Generer

5. For Flash Loader-parameteren skal du vælge Intel Agilex 7-enhedsfamilien og enhedsnavnet, der matcher din Intel Agilex 7 OPN.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 39

4. Enhedsforsyning 683823 | 2023.05.23
6. Klik på Generer for at generere output files, som du har angivet på outputtet Files fane.
7. Programmeringen File Generator læser din .qek file og beder dig om din adgangssætning. Indtast din adgangssætning som svar på Indtast QEK-adgangssætning-prompten. Klik på Enter-tasten.
8. Klik på OK under programmering File Generator rapporterer vellykket generering.
Du bruger Intel Quartus Prime Programmer til at skrive QSPI-programmeringsbilledet til QSPI-flashhukommelsen. 1. Vælg Programmer i menuen Intel Quartus Prime Tools. 2. I programmeringsenheden skal du klikke på Hardwareopsætning og derefter vælge en tilsluttet Intel
FPGA download kabel. 3. Klik på Tilføj File og gå til din .jic file.
Figur 13. Program .jic

Programmering file

Programmer/Konfigurer

JTAG scanningskæde
4. Fjern markeringen i feltet, der er knyttet til Hjælperbilledet. 5. Vælg Program/Configure for .jic-output file. 6. Tænd Start-knappen for at programmere din quad SPI-flashhukommelse. 7. Tænd og sluk dit board. Designet programmeret til quad SPI flash-hukommelsen
enheden indlæses efterfølgende i mål-FPGA'en.
Du skal generere og programmere et helt flash-programmeringsbillede for at tilføje en PUF-partition til quad SPI-flashen.
Når der allerede eksisterer en PUF-partition i flashen, er det muligt at bruge Intel Quartus Prime Programmer til at få direkte adgang til PUF-hjælperdata og indpakket nøgle files. F.eksample, hvis aktiveringen ikke lykkes, er det muligt at genindmelde PUF'en, ompakke AES-nøglen og efterfølgende kun programmere PUF'en files uden at skulle overskrive hele flashen.

Intel Agilex® 7 Device Security Brugervejledning 40

Send feedback

4. Enhedsforsyning 683823 | 2023.05.23
Intel Quartus Prime Programmer understøtter følgende operationsargument for PUF files i en allerede eksisterende PUF-partition:
· p: program
· v: verificere
· r: slette
· b: blankocheck
Du skal følge de samme begrænsninger for PUF-tilmelding, selvom der findes en PUF-partition.
1. Brug i-operationsargumentet til at indlæse hjælpe-imaget til leveringsfirmwaren til den første operation. F.eksample, den følgende kommandosekvens genregistrerer PUF'en, ompakker AES-rodnøglen, sletter de gamle PUF-hjælpedata og indpakkede nøgle, og programmer og verificer derefter de nye PUF-hjælperdata og AES-rodnøglen.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o "r;old.wkey" quartus_pgm -c 1 -m jtag -o "p;ny.puf" quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o "v;new.wkey"
4.9.2.4. Forespørger om Intrinsic ID PUF-aktiveringsstatus
Når du har tilmeldt Intrinsic ID PUF, skal du pakke en AES-nøgle, generere flash-programmeringen files, og opdaterer quad SPI-flashen, tænder du for din enhed for at udløse PUF-aktivering og -konfiguration fra den krypterede bitstrøm. SDM rapporterer PUF-aktiveringsstatus sammen med konfigurationsstatus. Hvis PUF-aktivering mislykkes, rapporterer SDM i stedet PUF-fejlstatus. Brug kommandoen quartus_pgm til at forespørge om konfigurationsstatus.
1. Brug følgende kommando til at forespørge om aktiveringsstatus:
quartus_pgm -c 1 -mjtag –status –status_type="CONFIG"
Her er sample output fra en vellykket aktivering:
Info (21597): Svar fra CONFIG_STATUS-enheden kører i brugertilstand 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Version C000007B MSEL=QSPI_NORMAL=, 1,=STANFIG=, 1, n, n
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Fejlplacering 00000000 Fejldetaljer Svar fra PUF_STATUS 00002000=2 USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 41

4. Enhedsforsyning 683823 | 2023.05.23

Hvis du kun bruger enten IID PUF eller UDS IID PUF og ikke har programmeret en hjælpedata .puf file for begge PUF i QSPI-flashen bliver den PUF ikke aktiveret, og PUF-status afspejler, at PUF-hjælperdata ikke er gyldige. Følgende example viser PUF-status, når PUF-hjælperdataene ikke var programmeret til nogen af PUF:
Svar fra PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Placering af PUF i Flash-hukommelsen
Placeringen af PUF file er anderledes for designs, der understøtter RSU, og designs, der ikke understøtter RSU-funktionen.

For design, der ikke understøtter RSU, skal du inkludere .puf og .wkey files, når du opretter opdaterede flash-billeder. For designs, der understøtter RSU, overskriver SDM ikke PUF-datasektionerne under opdateringer af fabriks- eller applikationsbilleder.

Tabel 2.

Flash-underpartitioners layout uden RSU-understøttelse

Flash offset (i bytes)

Størrelse (i bytes)

Indhold

Beskrivelse

0K 256K

256K 256K

Configuration Management Firmware Configuration Management Firmware

Firmware, der kører på SDM.

512K

256K

Configuration Management Firmware

768K

256K

Configuration Management Firmware

32K

PUF datakopi 0

Datastruktur til lagring af PUF-hjælpedata og PUF-indpakket AES-rodnøglekopi 0

1M+32K

32K

PUF datakopi 1

Datastruktur til lagring af PUF-hjælpedata og PUF-indpakket AES-rodnøglekopi 1

Tabel 3.

Flash-underpartitioners layout med RSU-understøttelse

Flash offset (i bytes)

Størrelse (i bytes)

Indhold

Beskrivelse

0K 512K

512K 512K

Decision firmware Decision firmware

Firmware til at identificere og indlæse det højest prioriterede billede.

1M 1.5M

512K 512K

Decision firmware Decision firmware

8K + 24K

Beslutningsfirmwaredata

Polstring

Reserveret til Decision-firmwarebrug.

2M + 32K

32K

Reserveret til SDM

Forbeholdt SDM.

2M + 64K

Variabel

Fabriksbillede

Et simpelt billede, som du opretter som backup, hvis alle andre applikationsbilleder ikke kan indlæses. Dette billede inkluderer den CMF, der kører på SDM.

Næste

32K

PUF datakopi 0

Datastruktur til lagring af PUF-hjælpedata og PUF-indpakket AES-rodnøglekopi 0
fortsatte…

Intel Agilex® 7 Device Security Brugervejledning 42

Send feedback

4. Enhedsforsyning 683823 | 2023.05.23

Flash offset (i bytes)

Størrelse (i bytes)

Næste +32K 32K

Indhold PUF-datakopi 1

Næste + 256K 4K Næste +32K 4K Næste +32K 4K

Underpartitionstabelkopi 0 Underpartitionstabelkopi 1 CMF-markørblokkopi 0

Næste +32K _

CMF markørblok kopi 1

Variabel Variabel

Applikationsbillede 1 Applikationsbillede 2

4.9.3. Black Key Provisioning

Beskrivelse
Datastruktur til lagring af PUF-hjælpedata og PUF-indpakket AES-rodnøglekopi 1
Datastruktur for at lette styringen af flash-lageret.
En liste med henvisninger til applikationsbilleder i prioriteret rækkefølge. Når du tilføjer et billede, bliver det billede det højeste.
En anden kopi af listen over henvisninger til applikationsbilleder.
Dit første applikationsbillede.
Dit andet applikationsbillede.

Note:

Intel Quartus PrimeProgrammer hjælper med at etablere en gensidigt autentificeret sikker forbindelse mellem Intel Agilex 7-enheden og leveringstjenesten med sort nøgle. Den sikre forbindelse etableres via https og kræver flere certifikater identificeret ved hjælp af en tekst file.
Når du bruger Black Key Provisioning, anbefaler Intel, at du undgår eksternt at tilslutte TCK-stiften for at trække en modstand op eller ned, mens du stadig bruger den til JTAG. Du kan dog tilslutte TCK-stiften til VCCIO SDM-strømforsyningen ved hjælp af en 10 k modstand. Den eksisterende vejledning i Pin Connection Guidelines for at forbinde TCK til en 1 k pull-down modstand er inkluderet til støjdæmpning. Ændringen i vejledningen til en 10 k pull-up modstand påvirker ikke enhedens funktion. Se Intel Agilex 7 Pin Connection Guidelines for at få flere oplysninger om tilslutning af TCK-stiften.
Thebkp_tls_ca_certificate autentificerer din sorte nøgle-forsyningstjenesteinstans til din programmørforekomst af sort nøgle klargøring. Thebkp_tls_*-certifikater godkender din sorte nøgle-provisioneringsprogrammerinstans til din sorte nøgle-forsyningstjenesteinstans.
Du opretter en tekst file indeholdende de nødvendige oplysninger til, at Intel Quartus Prime Programmer kan oprette forbindelse til den sorte nøgle-leveringstjeneste. For at starte klargøring af sort nøgle skal du bruge programmeringskommandolinjegrænsefladen til at angive teksten til klargøring af sort nøgle file. Den sorte nøgle-klargøring fortsætter derefter automatisk. Kontakt venligst Intel Support for at få adgang til leveringstjenesten med sort nøgle og tilhørende dokumentation.
Du kan aktivere klargøring af sort nøgle ved hjælp af thequartus_pgmcommand:
quartus_pgm -c -m –enhed –bkp_options=bkp_options.txt
Kommandoargumenterne angiver følgende information:

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 43

4. Enhedsforsyning 683823 | 2023.05.23

· -c: kabelnummer · -m: specificerer programmeringstilstanden, såsom JTAG · –enhed: angiver et enhedsindeks på JTAG kæde. Standardværdien er 1. · –bkp_options: angiver en tekst file indeholdende sort nøgle klargøringsmuligheder.
Relateret information Intel Agilex 7 Device Family Pin Connection Guidelines

4.9.3.1. Black Key Provisioning Options
De sorte nøgleklargøringsmuligheder er en tekst file videregivet til programmøren gennem kommandoen quartus_pgm. Det file indeholder nødvendige oplysninger for at udløse sort nøgleklargøring.
Følgende er en example af bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem bkp_keytls_dress = bkp_proxy_1234 192.167.5.5:5000 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_adgangskode

Tabel 4.

Black Key Provisioning Options
Denne tabel viser de muligheder, der kræves for at udløse klargøring af sort nøgle.

Indstillingsnavn

Type

Beskrivelse

bkp_ip

Påkrævet

Angiver serverens IP-adresse, der kører leveringstjenesten med sort nøgle.

bkp_port

Påkrævet

Angiver sort nøgle-forsyningstjenesteport, der kræves for at oprette forbindelse til serveren.

bkp_cfg_id

Påkrævet

Identificerer konfigurationsflow-id'et for klargøring af sort nøgle.
Sort nøgle-forsyningstjeneste opretter konfigurationsflowet for sort nøgle-klargøring, herunder en AES-rodnøgle, ønskede eFuse-indstillinger og andre muligheder for godkendelse af sort nøgle-klargøring. Det nummer, der er tildelt under opsætningen af den sorte nøgle-klargøringstjeneste, identificerer konfigurationsstrømmene for sort nøgle-klargøring.
Bemærk: Flere enheder kan referere til det samme konfigurationsflow for leveringstjeneste med sort nøgle.

bkp_tls_ca_cert

Påkrævet

Rod-TLS-certifikatet, der bruges til at identificere de sorte nøgle-forsyningstjenester til Intel Quartus Prime Programmer (Programmer). En betroet certifikatmyndighed for den sorte nøgle-leveringstjenesteinstans udsteder dette certifikat.
Hvis du kører programmeringsenheden på en computer med Microsoft® Windows®-operativsystemet (Windows), skal du installere dette certifikat i Windows-certifikatlageret.

bkp_tls_prog_cert

Påkrævet

Et certifikat oprettet til forekomsten af Black Key Provisioning Programmer (BKP Programmer). Dette er https-klientcertifikatet, der bruges til at identificere denne BKP-programmørinstans
fortsatte…

Intel Agilex® 7 Device Security Brugervejledning 44

Send feedback

4. Enhedsforsyning 683823 | 2023.05.23

Indstillingsnavn

Type

bkp_tls_prog_key

Påkrævet

bkp_tls_prog_key_pass Valgfri

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Valgfri Valgfri Valgfri

Beskrivelse
til levering af sort nøgle. Du skal installere og godkende dette certifikat i leveringstjenesten med sort nøgle, før du starter en klargøringssession med sort nøgle. Hvis du kører programmeringsenheden på Windows, er denne mulighed ikke tilgængelig. I dette tilfælde inkluderer bkp_tls_prog_key allerede dette certifikat.
Den private nøgle, der svarer til BKP Programmer-certifikatet. Nøglen validerer identiteten af BKP Programmer-instansen til levering af sort nøgle. Hvis du kører programmeringsenheden på Windows, vil .pfx file kombinerer bkp_tls_prog_cert-certifikatet og den private nøgle. Indstillingen bkp_tlx_prog_key sender .pfx file i bkp_options.txt file.
Adgangskoden til den private nøgle bkp_tls_prog_key. Ikke påkrævet i teksten til konfigurationsindstillinger for sort nøgle klargøring (bkp_options.txt). file.
Angiver proxyserveren URL adresse.
Angiver proxyserverens brugernavn.
Angiver proxy-godkendelsesadgangskoden.

4.10. Konvertering af ejerrodnøgle, AES-rodnøglecertifikater og sikring files til Jam STAPL File Formater

Du kan bruge kommandolinjekommandoen quartus_pfg til at konvertere .qky, AES-rodnøgle .ccert og .fuse files til Jam STAPL-format File (.jam) og Jam Byte Code Format File (.jbc). Du kan bruge disse files til at programmere Intel FPGA'er ved hjælp af henholdsvis Jam STAPL Player og Jam STAPL Byte-Code Player.

En enkelt .jam eller .jbc indeholder flere funktioner, herunder en firmwarehjælper-billedkonfiguration og -program, blankcheck og verifikation af nøgle- og sikringsprogrammering.

Forsigtighed:

Når du konverterer AES-rodnøglen .ccert file til .jam-format, .jam file indeholder AES-nøglen i klartekst, men sløret form. Derfor skal du beskytte .jam file ved lagring af AES-nøglen. Du kan gøre dette ved at klargøre AES-nøglen i et sikkert miljø.

Her er examples af quartus_pfg konverteringskommandoer:

quartus_pfg -c -o helper_device=AGFB014R24A "root0.qky;root1.qky;root2.qky" RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A "root0.qqky;root1.qbky;root2.qbgky"root014.qbg. c -o helper_device=AGFB24R014A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB24R014A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB24R014A indstillinger -fuse_quartus_AGFB24A o helper_device=AGFBXNUMXRXNUMXA indstillinger. sikringsindstillinger_sikring.jbc

For mere information om brugen af Jam STAPL Player til enhedsprogrammering henvises til AN 425: Brug af Command-Line Jam STAPL-løsningen til enhedsprogrammering.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 45

4. Enhedsforsyning 683823 | 2023.05.23
Kør følgende kommandoer for at programmere ejerens offentlige rodnøgle og AES-krypteringsnøgle:
//For at indlæse hjælpebitstrømmen i FPGA'en. // Hjælpebitstrømmen inkluderer leveringsfirmware quartus_jli -c 1 -a KONFIGURER RootKey.jam
//For at programmere ejerens rod offentlige nøgle til virtuelle eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//For at programmere ejerens rod offentlige nøgle til fysiske eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//For at programmere PR-ejerens offentlige rodnøgle til virtuelle eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//For at programmere PR-ejerens offentlige rodnøgle til fysiske eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//At programmere AES-krypteringsnøglen CCERT ind i BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//At programmere AES-krypteringsnøglen CCERT til fysiske eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Relateret information AN 425: Brug af Command-Line Jam STAPL-løsningen til enhedsprogrammering

Intel Agilex® 7 Device Security Brugervejledning 46

Send feedback

683823 | 2023.05.23 Send feedback

Avancerede funktioner

5.1. Sikker debug-autorisation
For at aktivere Secure Debug Authorization skal fejlretningsejeren generere et godkendelsesnøglepar og bruge Intel Quartus Prime Pro Programmer til at generere en enhedsinformation file for den enhed, der kører fejlfindingsbilledet:
quartus_pgm -c 1 -mjtag -o "ei;device_info.txt;AGFB014R24A" -dev_info
Enhedsejeren bruger quartus_sign-værktøjet eller referenceimplementeringen til at tilføje en betinget offentlig nøgleindgang til en signaturkæde beregnet til fejlretningsoperationer ved hjælp af den offentlige nøgle fra fejlretningsejeren, de nødvendige autorisationer, enhedsinformationsteksten file, og gældende yderligere begrænsninger:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18_pem=input_ debug_authorization_public_key.pem secure_debug_auth_chain.qky
Enhedsejeren sender den fulde signaturkæde tilbage til fejlretningsejeren, som bruger signaturkæden og deres private nøgle til at signere fejlfindingsbilledet:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Du kan bruge kommandoen quartus_pfg til at inspicere signaturkæden for hver sektion af denne signerede sikre debug-bitstrøm som følger:
quartus_pfg –check_integrity authorized_debug_design.rbf
Outputtet af denne kommando udskriver begrænsningsværdierne 1,2,17,18 for den betingede offentlige nøgle, der blev brugt til at generere den signerede bitstrøm.
Fejlretningsejeren kan derefter programmere det sikkert autoriserede fejlretningsdesign:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
Enhedsejeren kan tilbagekalde den sikre debug-autorisation ved at annullere det eksplicitte nøgleannullerings-id, der er tildelt i den sikre debug-autorisationssignaturkæde.
5.2. HPS fejlretningscertifikater
Aktiverer kun autoriseret adgang til HPS-debug-adgangsporten (DAP) via JTAG grænsefladen kræver flere trin:

ISO 9001: 2015 Registreret

5. Avancerede funktioner 683823 | 2023.05.23
1. Klik på menuen Intel Quartus Prime-softwaretildelinger, og vælg fanen Konfiguration af enhed Device and Pin Options.
2. På fanen Konfiguration skal du aktivere HPS-debug-adgangsporten (DAP) ved at vælge enten HPS Pins eller SDM Pins fra rullemenuen og sikre dig, at afkrydsningsfeltet Tillad HPS-debug uden certifikater ikke er markeret.
Figur 14. Angiv enten HPS- eller SDM-ben til HPS DAP

HPS debug access port (DAP)
Alternativt kan du indstille opgaven nedenfor i Quartus Prime Settings .qsf file:
set_global_assignment -navn HPS_DAP_SPLIT_MODE "SDM PINS"
3. Kompiler og indlæs designet med disse indstillinger. 4. Opret en signaturkæde med de relevante tilladelser til at signere en HPS-fejlretning
certifikat:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_qky_sign_chain.
5. Anmod om et usigneret HPS-debug-certifikat fra den enhed, hvor debug-designet er indlæst:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. Underskriv det usignerede HPS-debug-certifikat ved hjælp af quartus_sign-værktøjet eller referenceimplementeringen og HPS-debug-signaturkæden:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Intel Agilex® 7 Device Security Brugervejledning 48

Send feedback

5. Avancerede funktioner 683823 | 2023.05.23
7. Send det signerede HPS-debug-certifikat tilbage til enheden for at aktivere adgang til HPS-debug-adgangsporten (DAP):
quartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
HPS-fejlretningscertifikatet er kun gyldigt fra det tidspunkt, det blev genereret, indtil næste strømafbrydelse af enheden, eller indtil en anden type eller version af SDM-firmwaren indlæses. Du skal generere, underskrive og programmere det signerede HPS-fejlretningscertifikat og udføre alle fejlretningshandlinger, før du tænder for enheden. Du kan ugyldiggøre det signerede HPS-fejlretningscertifikat ved at tænde for enheden.
5.3. Platform attestation
Du kan generere et referenceintegritetsmanifest (.rim) file ved hjælp af programmeringen file generator værktøj:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Følg disse trin for at sikre platformsattesten i dit design: 1. Brug Intel Quartus Prime Pro Programmer til at konfigurere din enhed med
design, du har oprettet et referenceintegritetsmanifest til. 2. Brug en platformsattesteringsverifikator til at tilmelde enheden ved at udstede kommandoer til
SDM via SDM-postkassen for at oprette enheds-id-certifikatet og firmwarecertifikatet ved genindlæsning. 3. Brug Intel Quartus Prime Pro Programmer til at omkonfigurere din enhed med designet. 4. Brug platformsattesteringsverifikatoren til at udstede kommandoer til SDM'en for at få attestationsenhedens ID, firmware og aliascertifikater. 5. Brug attestationsverifikatoren til at udstede SDM-postkassekommandoen for at få attestationsbeviset, og verifikatoren kontrollerer det returnerede bevis.
Du kan implementere din egen verifikatortjeneste ved at bruge SDM-postkassekommandoerne eller bruge Intel-platformsattestationsverifikationstjenesten. Kontakt Intel Support for at få flere oplysninger om servicesoftware, tilgængelighed og dokumentation for Intel platform attestation verifier.
Relateret information Intel Agilex 7 Device Family Pin Connection Guidelines
5.4. Fysisk Anti-Tamper
Du aktiverer den fysiske anti-tamper funktioner ved at bruge følgende trin: 1. Valg af det ønskede svar på en detekteret tamper hændelse 2. Konfiguration af den ønskede tamper detektionsmetoder og -parametre 3. Inklusive anti-tamper IP i din designlogik for at hjælpe med at administrere anti-tamper
begivenheder

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 49

5. Avancerede funktioner 683823 | 2023.05.23
5.4.1. Anti-Tampeh svar
Du aktiverer fysisk anti-tampved at vælge et svar fra Anti-tamper svar: rullelisten på Assignments Device Device and Pin Options Security Anti-Tamper fanen. Som standard er anti-tampsvaret er deaktiveret. Fem kategorier af anti-tampsvar er tilgængeligt. Når du vælger dit ønskede svar, aktiveres mulighederne for at aktivere en eller flere registreringsmetoder.
Figur 15. Tilgængelig Anti-Tamper Svarmuligheder

Den tilsvarende opgave i Quartus Prime-indstillingerne .gsf file er følgende:
set_global_assignment -navn ANTI_TAMPER_RESPONSE "NOTIFIKATIONSENHED SLETTER ENHEDSLÅS OG NULLISERING"
Når du aktiverer en anti-tampSom svar kan du vælge to tilgængelige SDM-dedikerede I/O-ben til at udsende tamper hændelsesdetektering og svarstatus ved hjælp af vinduet Tildelinger Enhed Enhed og Pin-indstillinger Konfiguration Konfiguration Pin-indstillinger.

Intel Agilex® 7 Device Security Brugervejledning 50

Send feedback

5. Avancerede funktioner 683823 | 2023.05.23
Figur 16. Tilgængelige SDM-dedikerede I/O-stifter til Tamper Hændelsesdetektion

Du kan også lave følgende pin-tildelinger i indstillingerne file: set_global_assignment -navn USE_TAMPER_DETECT SDM_IO15 set_global_assignment -navn ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Detektion

Du kan individuelt aktivere frekvens, temperatur og voltage detektionsfunktioner i SDM. FPGA-detektion afhænger af at inkludere Anti-Tamper Lite Intel FPGA IP i dit design.

Note:

SDM frekvens og voltagetamper-detektionsmetoder er afhængige af interne referencer og målehardware, der kan variere på tværs af enheder. Intel anbefaler, at du karakteriserer adfærden af tamper detektionsindstillinger.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 51

5. Avancerede funktioner 683823 | 2023.05.23
Frekvens tamper-detektion fungerer på konfigurationsurkilden. For at aktivere frekvens tampEr detektion, skal du angive en anden indstilling end Intern Oscillator i rullemenuen Configuration clock source på fanen Assignments Device Device and Pin Options General. Du skal sikre dig, at afkrydsningsfeltet Kør konfiguration CPU fra intern oscillator er aktiveret, før du aktiverer frekvensen tamper detektion. Figur 17. Indstilling af SDM til intern oscillator
For at aktivere frekvens tamper detektion, vælg Aktiver frekvens tamper detektion afkrydsningsfeltet og vælg den ønskede frekvens tamper detektionsområde fra rullemenuen. Figur 18. Aktivering af frekvens Tamper Detektion

Intel Agilex® 7 Device Security Brugervejledning 52

Send feedback

5. Avancerede funktioner 683823 | 2023.05.23
Alternativt kan du aktivere Frekvens Tamper Detektion ved at foretage følgende ændringer i Quartus Prime-indstillingerne .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION FRA set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -QUE ENNCABYLE_FREAMPER_DETECTION ON set_global_assignment -navn FREQUENCY_TAMPER_DETECTION_RANGE 35
For at aktivere temperatur tamper detektion, vælg Aktiver temperatur tamper detektion afkrydsningsfeltet og vælg den ønskede temperatur øvre og nedre grænse i de tilsvarende felter. De øvre og nedre grænser er som standard udfyldt med det relaterede temperaturområde for den enhed, der er valgt i designet.
For at aktivere voltagetampEr detektion, vælger du en eller begge af Aktiver VCCL voltagetamper detektion eller Aktiver VCCL_SDM voltagetamper detektion afkrydsningsfelter og vælg den ønskede Voltagetamper detektion trigger procenttage i det tilsvarende felt.
Figur 19. Enabling Voltagog Tamper Detektion

Alternativt kan du aktivere Voltagog Tamper Detektion ved at specificere følgende opgaver i .qsf file:
set_global_assignment -navn ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -navn TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -navn ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -navn ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION TIL
5.4.3. Anti-Tamper Lite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP, tilgængelig i IP-kataloget i Intel Quartus Prime Pro Edition-software, letter tovejskommunikation mellem dit design og SDM til t.ampeh begivenheder.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 53

Figur 20. Anti-Tamper Lite Intel FPGA IP

5. Avancerede funktioner 683823 | 2023.05.23

IP'en giver følgende signaler, som du forbinder til dit design efter behov:

Tabel 5.

Anti-Tamper Lite Intel FPGA IP I/O-signaler

Signal navn

Retning

Beskrivelse

gpo_sdm_at_event gpi_fpga_at_event

Outputindgang

SDM-signal til FPGA-stoflogik, at en SDM har detekteret en tampeh begivenhed. FPGA-logikken har cirka 5 ms til at udføre enhver ønsket rensning og reagere på SDM'en via gpi_fpga_at_response_done og gpi_fpga_at_zeroization_done. SDM fortsætter med tamper svarhandlinger, når gpi_fpga_at_response_done hævdes eller efter intet svar er modtaget inden for den tildelte tid.
FPGA-afbrydelse til SDM, som din designede anti-tamper detektionskredsløb har detekteret en tamper begivenhed og SDM tampsvaret skal udløses.

gpi_fpga_at_response_done

Input

FPGA-afbrydelse til SDM, at FPGA-logik har udført den ønskede rensning.

gpi_fpga_at_zeroization_d en

Input

FPGA-signal til SDM, at FPGA-logik har gennemført enhver ønsket nulstilling af designdata. Dette signal er sampled, når gpi_fpga_at_response_done hævdes.

5.4.3.1. Udgivelsesoplysninger

IP-versionsskemaet (X.Y.Z) nummeret ændres fra en softwareversion til en anden. En ændring i:
· X angiver en større revision af IP. Hvis du opdaterer din Intel Quartus Prime-software, skal du genskabe IP'en.
· Y angiver, at IP'en indeholder nye funktioner. Gendan din IP for at inkludere disse nye funktioner.
· Z angiver, at IP'en indeholder mindre ændringer. Gendan din IP for at inkludere disse ændringer.

Tabel 6.

Anti-Tamper Lite Intel FPGA IP-udgivelsesoplysninger

IP version

Punkt

Beskrivelse 20.1.0

Intel Quartus Prime-version

21.2

Udgivelsesdato

2021.06.21

Intel Agilex® 7 Device Security Brugervejledning 54

Send feedback

5. Avancerede funktioner 683823 | 2023.05.23
5.5. Brug af designsikkerhedsfunktioner med fjernsystemopdatering
Remote System Update (RSU) er en Intel Agilex 7 FPGA-funktion, der hjælper med at opdatere konfigurationen fileer på en robust måde. RSU er kompatibel med designsikkerhedsfunktioner såsom godkendelse, firmware-co-signering og bitstreamkryptering, da RSU ikke afhænger af designindholdet af konfigurationsbitstreams.
Opbygning af RSU-billeder med .sof Files
Hvis du gemmer private nøgler på din lokale filesystem, kan du generere RSU-billeder med designsikkerhedsfunktioner ved hjælp af et forenklet flow med .sof files som input. At generere RSU-billeder med .sof file, kan du følge instruktionerne i afsnittet Generering af fjernsystemopdateringsbillede Files Brug af programmeringen File Generator af Intel Agilex 7 Configuration User Guide. For hver .sof file angivet på input Files fane, skal du klikke på knappen Egenskaber... og angive de relevante indstillinger og nøgler til signerings- og krypteringsværktøjerne. Programmeringen file generatorværktøjet signerer og krypterer automatisk fabriks- og applikationsbilleder, mens RSU-programmeringen oprettes files.
Alternativt, hvis du gemmer private nøgler i en HSM, skal du bruge quartus_sign-værktøjet og derfor bruge .rbf files. Resten af dette afsnit beskriver ændringerne i flowet for at generere RSU-billeder med .rbf files som input. Du skal kryptere og signere .rbf-format files før du vælger dem som input files for RSU-billeder; dog RSU boot info file må ikke krypteres og i stedet kun være underskrevet. Programmeringen File Generator understøtter ikke ændring af egenskaber for .rbf-format files.
Følgende examples viser de nødvendige ændringer af kommandoerne i afsnittet Generering af fjernsystemopdateringsbillede Files Brug af programmeringen File Generator af Intel Agilex 7 Configuration User Guide.
Generering af det oprindelige RSU-billede ved hjælp af .rbf Files: Kommandoændring
Fra generering af det oprindelige RSU-billede ved hjælp af .rbf Files afsnit, ændre kommandoerne i trin 1. for at aktivere designsikkerhedsfunktionerne som ønsket ved at bruge instruktioner fra tidligere afsnit i dette dokument.
F.eksample, ville du angive en signeret firmware file hvis du brugte firmware-cosigning, så brug Quartus-krypteringsværktøjet til at kryptere hver .rbf file, og brug endelig quartus_sign-værktøjet til at underskrive hver file.
I trin 2, hvis du har aktiveret firmware-co-signering, skal du bruge en ekstra mulighed i oprettelsen af boot .rbf fra fabriksbilledet file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Når du har oprettet boot info .rbf file, brug quartus_sign-værktøjet til at signere .rbf file. Du må ikke kryptere boot info .rbf file.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 55

5. Avancerede funktioner 683823 | 2023.05.23
Generering af et applikationsbillede: Kommandoændring
For at generere et applikationsbillede med designsikkerhedsfunktioner ændrer du kommandoen i Generering af applikationsbillede til at bruge en .rbf med designsikkerhedsfunktioner aktiveret, inklusive co-signeret firmware, hvis det kræves, i stedet for den originale applikation .sof file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Generering af et fabriksopdateringsbillede: Kommandoændring
Når du har oprettet boot info .rbf file, bruger du quartus_sign-værktøjet til at signere .rbf file. Du må ikke kryptere boot info .rbf file.
For at generere et RSU-fabriksopdateringsbillede ændrer du kommandoen fra Generering af et fabriksopdateringsbillede til at bruge en .rbf file med designsikkerhedsfunktioner aktiveret og tilføj muligheden for at angive den co-signerede firmwarebrug:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Relateret information Intel Agilex 7 Configuration User Guide
5.6. SDM Kryptografiske tjenester
SDM på Intel Agilex 7-enheder leverer kryptografiske tjenester, som FPGA-stoflogik eller HPS kan anmode om via den respektive SDM-postkassegrænseflade. For flere oplysninger om postkassekommandoer og dataformater for alle SDM-krypteringstjenester henvises til appendiks B i brugervejledningen til sikkerhedsmetodologi for Intel FPGA'er og strukturerede ASIC'er.
For at få adgang til SDM-postkassegrænsefladen til FPGA-stoflogik til SDM-krypteringstjenester skal du instansiere Mailbox Client Intel FPGA IP i dit design.
Referencekode til adgang til SDM-postkassegrænsefladen fra HPS er inkluderet i ATF- og Linux-koden leveret af Intel.
Relaterede oplysninger Mailbox Client Intel FPGA IP Brugervejledning
5.6.1. Leverandør autoriseret boot
Intel leverer en referenceimplementering for HPS-software, der bruger den leverandørautoriserede boot-funktion til at godkende HPS-startsoftware fra de første s.tagopstartsindlæseren til Linux-kernen.
Relateret information Intel Agilex 7 SoC Secure Boot Demo Design

Intel Agilex® 7 Device Security Brugervejledning 56

Send feedback

5. Avancerede funktioner 683823 | 2023.05.23
5.6.2. Secure Data Object Service
Du sender kommandoerne gennem SDM-postkassen for at udføre SDOS-objektkryptering og dekryptering. Du kan bruge SDOS-funktionen efter klargøring af SDOS-rodnøglen.
Relaterede oplysninger Secure Data Object Service Root Key Provisioning på side 30
5.6.3. SDM Cryptographic Primitive Services
Du sender kommandoerne gennem SDM-postkassen for at starte SDM-kryptografiske primitive serviceoperationer. Nogle kryptografiske primitive tjenester kræver, at der overføres flere data til og fra SDM'en, end postkassegrænsefladen kan acceptere. I disse tilfælde ændres kommandoen i formatet for at give pointere til data i hukommelsen. Derudover skal du ændre instansieringen af Mailbox Client Intel FPGA IP for at bruge SDM kryptografiske primitive tjenester fra FPGA-stoflogikken. Du skal desuden indstille Enable Crypto Service-parameteren til 1 og forbinde det nyligt eksponerede AXI-initiatorinterface til en hukommelse i dit design.
Figur 21. Aktivering af SDM Cryptographic Services i Mailbox Client Intel FPGA IP

5.7. Bitstream sikkerhedsindstillinger (FM/S10)
FPGA Bitstream Security-indstillinger er en samling af politikker, der begrænser den specificerede funktion eller funktionsmåde inden for en defineret periode.
Bitstream Security-indstillinger består af flag, som du indstiller i Intel Quartus Prime Pro Edition-softwaren. Disse flag kopieres automatisk ind i konfigurationsbitstrømmene.
Du kan permanent håndhæve sikkerhedsindstillinger på en enhed ved at bruge den tilsvarende sikkerhedsindstilling eFuse.
For at bruge sikkerhedsindstillinger i konfigurationsbitstrømmen eller enhedens eFuses, skal du aktivere godkendelsesfunktionen.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 57

5. Avancerede funktioner 683823 | 2023.05.23
5.7.1. Valg og aktivering af sikkerhedsindstillinger
Gør som følger for at vælge og aktivere sikkerhedsindstillinger: Fra menuen Tildelinger skal du vælge Enhed Enhed og pinindstillinger Sikkerhed Flere muligheder... Figur 22. Valg og aktivering af sikkerhedsindstillinger

Og vælg derefter værdierne fra rullelisterne for de sikkerhedsindstillinger, du vil aktivere som vist i følgende f.eks.ampdet:
Figur 23. Valg af værdier for sikkerhedsindstillinger

Intel Agilex® 7 Device Security Brugervejledning 58

Send feedback

5. Avancerede funktioner 683823 | 2023.05.23
Følgende er de tilsvarende ændringer i Quartus Prime-indstillingerne .qsf file:
set_global_assignment -navn SECU_OPTION_DISABLE_JTAG "ON CHECK" set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE "ON STICKY" set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECU_OPTION_DISABLE_DISABLE_CUTION_DISABLE_NAME_ CK_SECURITY_EFUSES ON set_global_assignment -navn SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -navn SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -navn SECU_OPTION_INEFUS_DISABLE_SET OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -navn SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 59

683823 | 2023.05.23 Send feedback

Fejlfinding

Dette kapitel beskriver almindelige fejl og advarselsmeddelelser, som du kan støde på, mens du forsøger at bruge enhedens sikkerhedsfunktioner og foranstaltninger til at løse dem.
6.1. Brug af Quartus-kommandoer i en Windows-miljøfejl
Fejl quartus_pgm: kommando ikke fundet Beskrivelse Denne fejl vises, når du forsøger at bruge Quartus-kommandoer i en NIOS II-skal i et Windows-miljø ved at bruge WSL. Opløsning Denne kommando virker i Linux-miljø; For Windows-værter skal du bruge følgende kommando: quartus_pgm.exe -h På samme måde skal du anvende den samme syntaks til andre Quartus Prime-kommandoer såsom quartus_pfg, quartus_sign, quartus_encrypt blandt andre kommandoer.

ISO 9001: 2015 Registreret

6. Fejlfinding 683823 | 2023.05.23

6.2. Generering af en privat nøgleadvarsel

Advarsel:

Den angivne adgangskode betragtes som usikker. Intel anbefaler, at der bruges mindst 13 tegn kodeord. Det anbefales at ændre adgangskoden ved at bruge den eksekverbare OpenSSL.

openssl ec -in -ud -aes256

Beskrivelse
Denne advarsel er relateret til adgangskodens styrke og vises, når du forsøger at generere en privat nøgle ved at udstede følgende kommandoer:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Opløsning Brug den eksekverbare openssl til at angive en længere og dermed stærkere adgangskode.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 61

6. Fejlfinding 683823 | 2023.05.23
6.3. Tilføjelse af en signeringsnøgle til Quartus-projektfejlen
Fejl …File indeholder rodnøgleoplysninger...
Beskrivelse
Efter tilføjelse af en signeringsnøgle .qky file til Quartus-projektet skal du genmontere .sof file. Når du tilføjer denne regenererede .sof file til den valgte enhed ved at bruge Quartus Programmer, angiver følgende fejlmeddelelse, at file indeholder rodnøgleoplysninger:
Kunne ikke tilføjefile-sti-navn> til programmør. Det file indeholder rodnøgleoplysninger (.qky). Programmer understøtter dog ikke bitstream-signeringsfunktion. Du kan bruge programmering File Generator til at konvertere file til den underskrevne Raw Binary file (.rbf) til konfiguration.
Opløsning
Brug Quartus-programmeringen file generator til at konvertere file ind i en underskrevet Raw Binary File .rbf til konfiguration.
Relateret information Signeringskonfiguration Bitstream Brug af quartus_sign-kommandoen på side 13

Intel Agilex® 7 Device Security Brugervejledning 62

Send feedback

6. Fejlfinding 683823 | 2023.05.23
6.4. Generering af Quartus Prime-programmering File var mislykket
Fejl
Fejl (20353): X af offentlig nøgle fra QKY stemmer ikke overens med privat nøgle fra PEM file.
Fejl (20352): Kunne ikke signere bitstrømmen gennem python-script agilex_sign.py.
Fejl: Quartus Prime-programmering File Generatoren mislykkedes.
Beskrivelse Hvis du forsøger at signere en konfigurationsbitstream med en forkert privat nøgle .pem file eller en .pem file der ikke matcher den .qky, der er føjet til projektet, vises ovenstående almindelige fejl. Opløsning Sørg for, at du bruger den korrekte private nøgle .pem til at signere bitstrømmen.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 63

6. Fejlfinding 683823 | 2023.05.23
6.5. Ukendte argumentfejl
Fejl
Fejl (23028): Ukendt argument "ûc". Se –hjælp for juridiske argumenter.
Fejl (213008): Programmeringsindstillingsstrengen "ûp" er ulovlig. Se –hjælp for juridiske programmeringsoptioner.
Beskrivelse Hvis du kopierer og indsætter kommandolinjeindstillinger fra en .pdf file i Windows NIOS II Shell kan du støde på ukendte argumentfejl som vist ovenfor. Løsning I sådanne tilfælde kan du indtaste kommandoerne manuelt i stedet for at indsætte fra udklipsholderen.

Intel Agilex® 7 Device Security Brugervejledning 64

Send feedback

6. Fejlfinding 683823 | 2023.05.23
6.6. Bitstream Encryption Option deaktiveret Fejl
Fejl
Kan ikke afslutte krypteringen for file design .sof, fordi det blev kompileret med bitstream-krypteringsindstillingen deaktiveret.
Beskrivelse Hvis du forsøger at kryptere bitstrømmen via GUI eller kommandolinje, efter at du har kompileret projektet med bitstream-krypteringsindstillingen deaktiveret, afviser Quartus kommandoen som vist ovenfor.
Opløsning Sørg for, at du kompilerer projektet med bitstream-krypteringsindstillingen aktiveret enten via GUI eller kommandolinje. For at aktivere denne mulighed i GUI, skal du markere afkrydsningsfeltet for denne mulighed.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 65

6. Fejlfinding 683823 | 2023.05.23
6.7. Angivelse af den korrekte sti til nøglen
Fejl
Fejl (19516): Registreret programmering File Generatorindstillinger fejl: Kan ikke finde 'key_file'. Sørg for at file er placeret på den forventede placering eller opdater indstillingen.sek
Fejl (19516): Registreret programmering File Generatorindstillinger fejl: Kan ikke finde 'key_file'. Sørg for at file er placeret på den forventede placering, eller opdater indstillingen.
Beskrivelse
Hvis du bruger nøgler, der er gemt på file system, skal du sikre dig, at de angiver den korrekte sti til de nøgler, der bruges til bitstream-kryptering og signering. Hvis programmeringen File Generatoren kan ikke finde den rigtige vej, ovenstående fejlmeddelelser vises.
Opløsning
Se Quartus Prime-indstillingerne .qsf file for at finde de rigtige stier til tasterne. Sørg for at bruge relative stier i stedet for absolutte stier.

Intel Agilex® 7 Device Security Brugervejledning 66

Send feedback

6. Fejlfinding 683823 | 2023.05.23
6.8. Bruger ikke-understøttet output File Type
Fejl
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signering=ON -o pem_file=sign_private.pem
Fejl (19511): Ikke-understøttet output file type (ebf). Brug "-l" eller "–list" mulighed for at vise understøttet file type oplysninger.
Beskrivelse Mens du bruger Quartus-programmering File Generator til at generere den krypterede og signerede konfigurationsbitstream, kan du se ovenstående fejl, hvis et ikke-understøttet output file type er angivet. Opløsning Brug -l eller -list mulighed for at se listen over understøttede file typer.

Send feedback

Intel Agilex® 7 Device Security Brugervejledning 67

683823 | 2023.05.23 Send feedback
7. Intel Agilex 7 Device Security Brugervejledning Arkiver
For de seneste og tidligere versioner af denne brugervejledning henvises til Intel Agilex 7 Device Security User Guide. Hvis en IP- eller softwareversion ikke er angivet, gælder brugervejledningen for den tidligere IP- eller softwareversion.

ISO 9001: 2015 Registreret

683823 | 2023.05.23 Send feedback

8. Revisionshistorik for brugervejledningen til Intel Agilex 7 Device Security

Dokumentversion 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumenter/ressourcer

Intel Agilex 7 Device Security [pdfBrugermanual
Agilex 7 Device Security, Agilex 7, Device Security, Security

Referencer

Brugermanual

Intel Agilex 7 Device Security

Produktinformation

Produktbrugsvejledning

Ofte stillede spørgsmål

Enhedssikkerhed overståetview

Autentificering og autorisation

AES Bitstream-kryptering

Enhedsforsyning

Avancerede funktioner

Fejlfinding

Dokumenter/ressourcer

Referencer

Efterlad en kommentar

Annuller svar