Εγχειρίδιο χρήστη Intel Agilex 7 Device Security

Η Intel δεσμεύεται για την ασφάλεια των προϊόντων και συνιστά στους χρήστες να εξοικειωθούν με τους πόρους ασφαλείας του προϊόντος που παρέχονται. Αυτοί οι πόροι θα πρέπει να χρησιμοποιούνται καθ' όλη τη διάρκεια ζωής του προϊόντος Intel.

2. Προγραμματισμένα χαρακτηριστικά ασφαλείας

Τα ακόλουθα χαρακτηριστικά ασφαλείας σχεδιάζονται για μια μελλοντική κυκλοφορία του λογισμικού Intel Quartus Prime Pro Edition:

Επαλήθευση ασφαλείας bitstream μερικής αναδιαμόρφωσης: Παρέχει πρόσθετη διασφάλιση ότι οι ροές δυαδικών ψηφίων μερικής αναδιαμόρφωσης (PR) δεν μπορούν να έχουν πρόσβαση ή να παρεμβαίνουν σε άλλες ροές δυαδικών ψηφίων προσώπων PR.

Συσκευή Αυτοκτονίας για Φυσικό Anti-Tamper: Εκτελεί μια απόκριση διαγραφής ή μηδενισμού συσκευής και προγραμματίζει το eFuses για να αποτρέψει τη διαμόρφωση της συσκευής ξανά.

3. Διαθέσιμη Τεκμηρίωση Ασφαλείας

Ο παρακάτω πίνακας παραθέτει τη διαθέσιμη τεκμηρίωση για τις δυνατότητες ασφάλειας συσκευών σε συσκευές Intel FPGA και Structured ASIC:

Όνομα εγγράφου	Σκοπός
Μεθοδολογία ασφαλείας για χρήστες Intel FPGA και δομημένο ASIC Οδηγός	Έγγραφο ανώτατου επιπέδου που παρέχει λεπτομερείς περιγραφές χαρακτηριστικά και τεχνολογίες ασφαλείας στις Προγραμματιζόμενες λύσεις της Intel Προϊόντα. Βοηθά τους χρήστες να επιλέξουν τις απαραίτητες λειτουργίες ασφαλείας ανταποκρίνονται στους στόχους ασφαλείας τους.
Οδηγός χρήστη Intel Stratix 10 Device Security	Οδηγίες εφαρμογής για χρήστες συσκευών Intel Stratix 10 τα χαρακτηριστικά ασφαλείας που προσδιορίζονται χρησιμοποιώντας τη Μεθοδολογία Ασφαλείας Οδηγός χρήσης.
Οδηγός χρήστη Intel Agilex 7 Device Security	Οδηγίες εφαρμογής για χρήστες συσκευών Intel Agilex 7 τα χαρακτηριστικά ασφαλείας που προσδιορίζονται χρησιμοποιώντας τη Μεθοδολογία Ασφαλείας Οδηγός χρήσης.
Οδηγός χρήστη Intel eASIC N5X Device Security	Οδηγίες εφαρμογής για χρήστες συσκευών Intel eASIC N5X τα χαρακτηριστικά ασφαλείας που προσδιορίζονται χρησιμοποιώντας τη Μεθοδολογία Ασφαλείας Οδηγός χρήσης.
Intel Agilex 7 και Intel eASIC N5X HPS Cryptographic Services Οδηγός χρήσης	Πληροφορίες για μηχανικούς λογισμικού HPS σχετικά με την υλοποίηση και χρήση βιβλιοθηκών λογισμικού HPS για πρόσβαση σε υπηρεσίες κρυπτογράφησης παρέχεται από την SDM.
AN-968 Black Key Provisioning Service Οδηγός γρήγορης εκκίνησης	Ολοκληρώστε το σύνολο βημάτων για τη ρύθμιση της παροχής μαύρου κλειδιού υπηρεσία.

Συχνές Ερωτήσεις

Ε: Ποιος είναι ο σκοπός του Οδηγού Χρήσης Μεθοδολογίας Ασφαλείας;

Α: Ο Οδηγός χρήσης Μεθοδολογίας Ασφαλείας παρέχει λεπτομερείς περιγραφές των χαρακτηριστικών και τεχνολογιών ασφαλείας στα προϊόντα προγραμματιζόμενων λύσεων της Intel. Βοηθά τους χρήστες να επιλέξουν τις απαραίτητες δυνατότητες ασφαλείας για την επίτευξη των στόχων ασφαλείας τους.

Ε: Πού μπορώ να βρω τον Οδηγό χρήστη Intel Agilex 7 Device Security;

Α: Μπορείτε να βρείτε τον Οδηγό χρήστη Intel Agilex 7 Device Security στο Κέντρο πόρων και σχεδίασης της Intel webτοποθεσία.

Ε: Τι είναι η υπηρεσία Black Key Provisioning;

A: Η υπηρεσία Black Key Provisioning είναι μια υπηρεσία που παρέχει ένα πλήρες σύνολο βημάτων για τη ρύθμιση της παροχής κλειδιού για ασφαλείς λειτουργίες.

View Fullscreen

Οδηγός χρήστη Intel Agilex® 7 Device Security
Ενημερώθηκε για την Intel® Quartus® Prime Design Suite: 23.1

Online Έκδοση Αποστολή σχολίων

UG-20335

683823 2023.05.23

Οδηγός χρήστη Intel Agilex® 7 Device Security 2

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 3

683823 | 2023.05.23 Αποστολή σχολίων
1. Intel Agilex® 7

Ολοκληρώθηκε η ασφάλεια της συσκευήςview

Η Intel® σχεδιάζει τις συσκευές Intel Agilex® 7 με αποκλειστικό, εξαιρετικά διαμορφώσιμο υλικό ασφαλείας και υλικολογισμικό.
Αυτό το έγγραφο περιέχει οδηγίες που θα σας βοηθήσουν να χρησιμοποιήσετε το λογισμικό Intel Quartus® Prime Pro Edition για την εφαρμογή λειτουργιών ασφαλείας στις συσκευές Intel Agilex 7.
Επιπλέον, η Μεθοδολογία Ασφαλείας για Intel FPGA και Structured ASICs Οδηγός χρήστη είναι διαθέσιμη στο Intel Resource & Design Center. Αυτό το έγγραφο περιέχει λεπτομερείς περιγραφές των χαρακτηριστικών ασφαλείας και των τεχνολογιών που είναι διαθέσιμες μέσω των προϊόντων Intel Programmable Solutions για να σας βοηθήσουν να επιλέξετε τα χαρακτηριστικά ασφαλείας που είναι απαραίτητα για την επίτευξη των στόχων ασφαλείας σας. Επικοινωνήστε με την Υποστήριξη της Intel με τον αριθμό αναφοράς 14014613136 για να αποκτήσετε πρόσβαση στη Μεθοδολογία ασφαλείας για τα FPGA της Intel και τον Οδηγό χρήστη δομημένου ASIC.
Το έγγραφο οργανώνεται ως εξής: · Έλεγχος ταυτότητας και εξουσιοδότηση: Παρέχει οδηγίες για δημιουργία
κλειδιά ελέγχου ταυτότητας και αλυσίδες υπογραφών, εφαρμόστε άδειες και ανακλήσεις, υπογράψτε αντικείμενα και προγραμματίστε δυνατότητες ελέγχου ταυτότητας σε συσκευές Intel Agilex 7. · Κρυπτογράφηση Bitstream AES: Παρέχει οδηγίες για τη δημιουργία ενός βασικού κλειδιού AES, την κρυπτογράφηση ροών bit διαμόρφωσης και την παροχή του βασικού κλειδιού AES σε συσκευές Intel Agilex 7. · Παροχή συσκευής: Παρέχει οδηγίες για τη χρήση του υλικολογισμικού παροχής Intel Quartus Prime Programmer και Secure Device Manager (SDM) για τον προγραμματισμό λειτουργιών ασφαλείας σε συσκευές Intel Agilex 7. · Προηγμένες δυνατότητες: Παρέχει οδηγίες για την ενεργοποίηση προηγμένων λειτουργιών ασφαλείας, όπως εξουσιοδότηση ασφαλούς εντοπισμού σφαλμάτων, εντοπισμός σφαλμάτων συστήματος σκληρού επεξεργαστή (HPS) και ενημέρωση απομακρυσμένου συστήματος.
1.1. Δέσμευση για την ασφάλεια του προϊόντος
Η μακροχρόνια δέσμευση της Intel στην ασφάλεια δεν ήταν ποτέ ισχυρότερη. Η Intel συνιστά ανεπιφύλακτα να εξοικειωθείτε με τους πόρους ασφαλείας των προϊόντων μας και να σχεδιάζετε να τους χρησιμοποιείτε καθ' όλη τη διάρκεια ζωής του προϊόντος Intel.
Σχετικές πληροφορίες · Ασφάλεια προϊόντος στην Intel · Συμβουλές για το Κέντρο Ασφάλειας Προϊόντων της Intel

Intel Corporation. Ολα τα δικαιώματα διατηρούνται. Η επωνυμία Intel, το λογότυπο Intel και άλλα σήματα Intel είναι εμπορικά σήματα της Intel Corporation ή των θυγατρικών της. Η Intel εγγυάται την απόδοση των προϊόντων FPGA και ημιαγωγών της σύμφωνα με τις τρέχουσες προδιαγραφές σύμφωνα με την τυπική εγγύηση της Intel, αλλά διατηρεί το δικαίωμα να κάνει αλλαγές σε οποιαδήποτε προϊόντα και υπηρεσίες ανά πάσα στιγμή χωρίς προειδοποίηση. Η Intel δεν αναλαμβάνει καμία ευθύνη ή ευθύνη που απορρέει από την εφαρμογή ή τη χρήση οποιασδήποτε πληροφορίας, προϊόντος ή υπηρεσίας που περιγράφεται στο παρόν, εκτός εάν συμφωνηθεί ρητά εγγράφως από την Intel. Συνιστάται στους πελάτες της Intel να λαμβάνουν την πιο πρόσφατη έκδοση των προδιαγραφών της συσκευής προτού βασιστούν σε οποιεσδήποτε δημοσιευμένες πληροφορίες και προτού υποβάλουν παραγγελίες για προϊόντα ή υπηρεσίες. *Άλλα ονόματα και επωνυμίες μπορούν να διεκδικηθούν ως ιδιοκτησία τρίτων.

ISO 9001: 2015 εγγεγραμμένο

1. Intel Agilex® 7 Device Security Overview 683823 | 2023.05.23

1.2. Προγραμματισμένα χαρακτηριστικά ασφαλείας

Τα χαρακτηριστικά που αναφέρονται σε αυτήν την ενότητα σχεδιάζονται για μια μελλοντική έκδοση του λογισμικού Intel Quartus Prime Pro Edition.

Σημείωμα:

Οι πληροφορίες σε αυτήν την ενότητα είναι προκαταρκτικές.

1.2.1. Μερική αναδιαμόρφωση Επαλήθευση ασφαλείας Bitstream
Η επικύρωση ασφαλείας bitstream μερικής αναδιαμόρφωσης (PR) βοηθά στην παροχή πρόσθετης διασφάλισης ότι τα bitstreams PR persona δεν μπορούν να έχουν πρόσβαση ή να παρεμβαίνουν σε άλλα bitstreams PR persona.

1.2.2. Συσκευή Αυτοκτονίας για Φυσικό Anti-Tamper
Η αυτοκτονία συσκευής εκτελεί μια απόκριση διαγραφής ή μηδενισμού συσκευής και επιπλέον προγραμματίζει τις eFuses για να αποτρέψει τη διαμόρφωση της συσκευής ξανά.

1.3. Διαθέσιμη Τεκμηρίωση Ασφαλείας

Ο ακόλουθος πίνακας απαριθμεί τη διαθέσιμη τεκμηρίωση για τα χαρακτηριστικά ασφαλείας συσκευών σε συσκευές Intel FPGA και Structured ASIC:

Πίνακας 1.

Διαθέσιμη τεκμηρίωση ασφαλείας συσκευής

Όνομα εγγράφου
Οδηγός χρήσης Μεθοδολογία ασφαλείας για Intel FPGA και δομημένο ASIC

Σκοπός
Έγγραφο ανώτατου επιπέδου που περιέχει λεπτομερείς περιγραφές των χαρακτηριστικών ασφαλείας και των τεχνολογιών σε προϊόντα Intel Programmable Solutions. Προορίζεται να σας βοηθήσει να επιλέξετε τα χαρακτηριστικά ασφαλείας που είναι απαραίτητα για την επίτευξη των στόχων ασφαλείας σας.

Αριθμός εγγράφου 721596

Οδηγός χρήστη Intel Stratix 10 Device Security
Οδηγός χρήστη Intel Agilex 7 Device Security

Για χρήστες συσκευών Intel Stratix 10, αυτός ο οδηγός περιέχει οδηγίες για τη χρήση του λογισμικού Intel Quartus Prime Pro Edition για την υλοποίηση των χαρακτηριστικών ασφαλείας που προσδιορίζονται χρησιμοποιώντας τον Οδηγό χρήσης Μεθοδολογία ασφαλείας.
Για χρήστες συσκευών Intel Agilex 7, αυτός ο οδηγός περιέχει οδηγίες για τη χρήση του λογισμικού Intel Quartus Prime Pro Edition για την εφαρμογή των χαρακτηριστικών ασφαλείας που προσδιορίζονται χρησιμοποιώντας τον Οδηγό χρήσης Μεθοδολογία ασφαλείας.

683642 683823

Οδηγός χρήστη Intel eASIC N5X Device Security

Για χρήστες συσκευών Intel eASIC N5X, αυτός ο οδηγός περιέχει οδηγίες για τη χρήση του λογισμικού Intel Quartus Prime Pro Edition για την εφαρμογή των χαρακτηριστικών ασφαλείας που προσδιορίζονται χρησιμοποιώντας τον Οδηγό χρήσης Μεθοδολογία ασφαλείας.

626836

Οδηγός χρήστη Intel Agilex 7 και Intel eASIC N5X HPS Cryptographic Services

Αυτός ο οδηγός περιέχει πληροφορίες για να βοηθήσει τους μηχανικούς λογισμικού HPS στην υλοποίηση και χρήση βιβλιοθηκών λογισμικού HPS για πρόσβαση σε υπηρεσίες κρυπτογράφησης που παρέχονται από την SDM.

713026

AN-968 Black Key Provisioning Service Οδηγός γρήγορης εκκίνησης

Αυτός ο οδηγός περιέχει ένα πλήρες σύνολο βημάτων για τη ρύθμιση της υπηρεσίας παροχής Black Key.

739071

Τοποθεσία Intel Resource και
Κέντρο Σχεδιασμού
Intel.com
Intel.com
Intel Resource and Design Center
Intel Resource and Design Center
Intel Resource and Design Center

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 5

683823 | 2023.05.23 Αποστολή σχολίων

Έλεγχος ταυτότητας και εξουσιοδότηση

Για να ενεργοποιήσετε τις δυνατότητες ελέγχου ταυτότητας μιας συσκευής Intel Agilex 7, ξεκινήστε χρησιμοποιώντας το λογισμικό Intel Quartus Prime Pro Edition και τα σχετικά εργαλεία για να δημιουργήσετε μια αλυσίδα υπογραφής. Μια αλυσίδα υπογραφής αποτελείται από ένα βασικό κλειδί, ένα ή περισσότερα κλειδιά υπογραφής και ισχύουσες εξουσιοδοτήσεις. Εφαρμόζετε την αλυσίδα υπογραφής στο έργο σας Intel Quartus Prime Pro Edition και μεταγλωττισμένο προγραμματισμό fileμικρό. Χρησιμοποιήστε τις οδηγίες στο Device Provisioning για να προγραμματίσετε το βασικό κλειδί σας σε συσκευές Intel Agilex 7.
Σχετικές Πληροφορίες
Παροχή συσκευής στη σελίδα 25

2.1. Δημιουργία αλυσίδας υπογραφών
Μπορείτε να χρησιμοποιήσετε το εργαλείο quartus_sign ή την υλοποίηση αναφοράς agilex_sign.py για να εκτελέσετε λειτουργίες αλυσίδας υπογραφής. Αυτό το έγγραφο παρέχει π.χamples χρησιμοποιώντας quartus_sign.
Για να χρησιμοποιήσετε την υλοποίηση αναφοράς, αντικαθιστάτε μια κλήση στον διερμηνέα Python που περιλαμβάνεται στο λογισμικό Intel Quartus Prime και παραλείπετε την επιλογή –family=agilex. όλες οι άλλες επιλογές είναι ισοδύναμες. Για π.χample, την εντολή quartus_sign που βρίσκεται αργότερα σε αυτήν την ενότητα
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky μπορεί να μετατραπεί στην ισοδύναμη κλήση στην υλοποίηση αναφοράς ως εξής
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Το λογισμικό Intel Quartus Prime Pro Edition περιλαμβάνει τα εργαλεία quartus_sign, pgm_py και agilex_sign.py. Μπορείτε να χρησιμοποιήσετε το εργαλείο κελύφους εντολών Nios® II, το οποίο ορίζει αυτόματα τις κατάλληλες μεταβλητές περιβάλλοντος για πρόσβαση στα εργαλεία.

Ακολουθήστε αυτές τις οδηγίες για να εμφανίσετε ένα κέλυφος εντολών Nios II. 1. Φέρτε ένα κέλυφος εντολής Nios II.

Επιλογή Windows
Linux

Περιγραφή
Στο μενού Έναρξη, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Προγράμματα Intel FPGA Nios II EDS και κάντε κλικ στο Nios II Command Shell.
Σε ένα κέλυφος εντολών αλλάξτε στο /nios2eds και εκτελέστε την ακόλουθη εντολή:
./nios2_command_shell.sh

Ο πρώηνampΤα les σε αυτήν την ενότητα προϋποθέτουν την αλυσίδα υπογραφής και τη διαμόρφωση bitstream files βρίσκονται στον τρέχοντα κατάλογο εργασίας. Αν επιλέξετε να ακολουθήσετε τον πρώηνamples where κλειδί files διατηρούνται στο file σύστημα, οι π.χamples υποθέτουμε το κλειδί files είναι

ISO 9001: 2015 εγγεγραμμένο

2. Έλεγχος ταυτότητας και εξουσιοδότηση 683823 | 2023.05.23
που βρίσκεται στον τρέχοντα κατάλογο εργασίας. Μπορείτε να επιλέξετε ποιους καταλόγους θα χρησιμοποιήσετε και τα εργαλεία να υποστηρίζουν σχετικά file μονοπάτια. Εάν επιλέξετε να κρατήσετε το κλειδί files στο file σύστημα, πρέπει να διαχειριστείτε προσεκτικά τα δικαιώματα πρόσβασης σε αυτά files.
Η Intel συνιστά τη χρήση μιας εμπορικά διαθέσιμης μονάδας ασφαλείας υλικού (HSM) για την αποθήκευση κρυπτογραφικών κλειδιών και την εκτέλεση κρυπτογραφικών λειτουργιών. Το εργαλείο Quartus_sign και η υλοποίηση αναφοράς περιλαμβάνουν ένα Πρότυπο Κρυπτογραφίας Δημόσιου Κλειδιού #11 (PKCS #11) Application Programming Interface (API) για αλληλεπίδραση με ένα HSM κατά την εκτέλεση λειτουργιών αλυσίδας υπογραφής. Η υλοποίηση αναφοράς agilex_sign.py περιλαμβάνει μια περίληψη της διεπαφής καθώς και μια πampδιασύνδεση με το SoftHSM.
Μπορείτε να χρησιμοποιήσετε αυτά π.χample διεπαφές για την υλοποίηση μιας διεπαφής στο HSM σας. Ανατρέξτε στην τεκμηρίωση από τον προμηθευτή σας HSM για περισσότερες πληροφορίες σχετικά με την υλοποίηση και τη λειτουργία μιας διεπαφής στο HSM σας.
Το SoftHSM είναι μια εφαρμογή λογισμικού μιας γενικής κρυπτογραφικής συσκευής με διεπαφή PKCS #11 που διατίθεται από το έργο OpenDNSSEC®. Μπορείτε να βρείτε περισσότερες πληροφορίες, συμπεριλαμβανομένων οδηγιών σχετικά με τον τρόπο λήψης, δημιουργίας και εγκατάστασης του OpenHSM, στο έργο OpenDNSSEC. Ο πρώηνampΤα παραπάνω σε αυτήν την ενότητα χρησιμοποιούν την έκδοση 2.6.1 του SoftHSM. Ο πρώηνampΤα περισσότερα σε αυτήν την ενότητα χρησιμοποιούν επιπλέον το βοηθητικό πρόγραμμα pkcs11-tool από το OpenSC για να εκτελέσετε πρόσθετες λειτουργίες PKCS #11 με ένα διακριτικό SoftHSM. Μπορείτε να βρείτε περισσότερες πληροφορίες, συμπεριλαμβανομένων οδηγιών σχετικά με τον τρόπο λήψης, δημιουργίας και εγκατάστασης του pkcs11tool από το OpenSC.
Σχετικές Πληροφορίες
· Η υπογραφή ζώνης του έργου OpenDNSSEC για την αυτοματοποίηση της διαδικασίας παρακολούθησης κλειδιών DNSSEC.
· SoftHSM Πληροφορίες σχετικά με την υλοποίηση ενός κρυπτογραφικού καταστήματος προσβάσιμου μέσω μιας διεπαφής PKCS #11.
· OpenSC Παρέχει σύνολο βιβλιοθηκών και βοηθητικών προγραμμάτων που μπορούν να λειτουργούν με έξυπνες κάρτες.
2.1.1. Δημιουργία ζευγών κλειδιών ελέγχου ταυτότητας στο τοπικό File Σύστημα
Χρησιμοποιείτε το εργαλείο quartus_sign για να δημιουργήσετε ζεύγη κλειδιών ελέγχου ταυτότητας στο τοπικό file σύστημα που χρησιμοποιεί τις λειτουργίες make_private_pem και make_public_pem εργαλείο. Πρώτα δημιουργείτε ένα ιδιωτικό κλειδί με τη λειτουργία make_private_pem. Καθορίζετε την ελλειπτική καμπύλη που θα χρησιμοποιήσετε, το ιδιωτικό κλειδί fileόνομα και προαιρετικά εάν θα προστατεύσετε το ιδιωτικό κλειδί με μια φράση πρόσβασης. Η Intel συνιστά τη χρήση της καμπύλης secp384r1 και ακολουθώντας τις βέλτιστες πρακτικές του κλάδου για τη δημιουργία μιας ισχυρής, τυχαίας φράσης πρόσβασης σε όλα τα ιδιωτικά κλειδιά fileμικρό. Η Intel συνιστά επίσης τον περιορισμό του file δικαιώματα συστήματος στο ιδιωτικό κλειδί .pem fileγια ανάγνωση μόνο από τον ιδιοκτήτη. Εξάγετε το δημόσιο κλειδί από το ιδιωτικό κλειδί με τη λειτουργία make_public_pem. Είναι χρήσιμο να ονομάσετε το κλειδί .pem files περιγραφικά. Αυτό το έγγραφο χρησιμοποιεί τη σύμβαση _ .pem στο παρακάτω εξamples.
1. Στο κέλυφος εντολών Nios II, εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε ένα ιδιωτικό κλειδί. Το ιδιωτικό κλειδί, που φαίνεται παρακάτω, χρησιμοποιείται ως βασικό κλειδί σε μεταγενέστερο π.χampπου δημιουργούν μια αλυσίδα υπογραφής. Οι συσκευές Intel Agilex 7 υποστηρίζουν πολλαπλά κλειδιά root, έτσι

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 7

2. Έλεγχος ταυτότητας και εξουσιοδότηση 683823 | 2023.05.23

επαναλάβετε αυτό το βήμα για να δημιουργήσετε τον απαιτούμενο αριθμό κλειδιών root. ΠρώηνampΌλα σε αυτό το έγγραφο αναφέρονται στο πρώτο κλειδί ρίζας, αν και μπορείτε να δημιουργήσετε αλυσίδες υπογραφής με παρόμοιο τρόπο με οποιοδήποτε ριζικό κλειδί.

Επιλογή Με φράση πρόσβασης

Περιγραφή
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Εισαγάγετε τη φράση πρόσβασης όταν σας ζητηθεί να το κάνετε.

Χωρίς φράση πρόσβασης

Quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε ένα δημόσιο κλειδί χρησιμοποιώντας το ιδιωτικό κλειδί που δημιουργήθηκε στο προηγούμενο βήμα. Δεν χρειάζεται να προστατεύσετε την εμπιστευτικότητα ενός δημόσιου κλειδιού.
Quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Εκτελέστε ξανά τις εντολές για να δημιουργήσετε ένα ζεύγος κλειδιών που χρησιμοποιείται ως κλειδί υπογραφής σχεδίασης στην αλυσίδα υπογραφής.
Quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

Quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Δημιουργία ζευγών κλειδιών ελέγχου ταυτότητας στο SoftHSM
Το SoftHSM πρώηνamples σε αυτό το κεφάλαιο είναι αυτοσυνεπείς. Ορισμένες παράμετροι εξαρτώνται από την εγκατάσταση του SoftHSM και την αρχικοποίηση διακριτικού εντός του SoftHSM.
Το εργαλείο Quartus_sign εξαρτάται από τη βιβλιοθήκη API PKCS #11 από το HSM σας.
Ο πρώηνamples σε αυτήν την ενότητα υποθέτουμε ότι η βιβλιοθήκη SoftHSM είναι εγκατεστημένη σε μία από τις ακόλουθες θέσεις: · /usr/local/lib/softhsm2.so σε Linux · C:SoftHSM2libsofthsm2.dll σε έκδοση 32-bit των Windows · C:SoftHSM2libsofthsm2-x64 .dll σε έκδοση 64-bit των Windows.
Αρχικοποιήστε ένα διακριτικό μέσα στο SoftHSM χρησιμοποιώντας το εργαλείο softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Οι παράμετροι επιλογής, ιδιαίτερα η ετικέτα διακριτικού και η καρφίτσα διακριτικού είναι π.χampπου χρησιμοποιούνται σε αυτό το κεφάλαιο. Η Intel συνιστά να ακολουθείτε τις οδηγίες από τον προμηθευτή σας HSM για τη δημιουργία και τη διαχείριση διακριτικών και κλειδιών.
Δημιουργείτε ζεύγη κλειδιών ελέγχου ταυτότητας χρησιμοποιώντας το βοηθητικό πρόγραμμα pkcs11-tool για να αλληλεπιδράσετε με το διακριτικό στο SoftHSM. Αντί να αναφέρεται ρητά στο ιδιωτικό και δημόσιο κλειδί .pem files στο file σύστημα π.χamples, αναφέρεστε στο ζεύγος κλειδιών από την ετικέτα του και το εργαλείο επιλέγει αυτόματα το κατάλληλο κλειδί.

Οδηγός χρήστη Intel Agilex® 7 Device Security 8

Αποστολή σχολίων

2. Έλεγχος ταυτότητας και εξουσιοδότηση 683823 | 2023.05.23

Εκτελέστε τις ακόλουθες εντολές για να δημιουργήσετε ένα ζεύγος κλειδιών που θα χρησιμοποιείται ως βασικό κλειδί σε μεταγενέστερο π.χamples καθώς και ένα ζεύγος κλειδιών που χρησιμοποιείται ως κλειδί υπογραφής σχεδιασμού στην αλυσίδα υπογραφής:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

Σημείωμα:

Η επιλογή ID σε αυτό το βήμα πρέπει να είναι μοναδική για κάθε κλειδί, αλλά χρησιμοποιείται μόνο από το HSM. Αυτή η επιλογή αναγνωριστικού δεν σχετίζεται με το αναγνωριστικό ακύρωσης κλειδιού που έχει εκχωρηθεί στην αλυσίδα υπογραφής.

2.1.3. Δημιουργία της καταχώρισης ρίζας αλυσίδας υπογραφής
Μετατρέψτε το δημόσιο κλειδί ρίζας σε μια ριζική καταχώρηση αλυσίδας υπογραφής, αποθηκευμένη στο τοπικό file σύστημα σε μορφή κλειδιού Intel Quartus Prime (.qky). file, με τη λειτουργία make_root. Επαναλάβετε αυτό το βήμα για κάθε βασικό κλειδί που δημιουργείτε.
Εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε μια αλυσίδα υπογραφής με μια καταχώρηση ρίζας, χρησιμοποιώντας ένα δημόσιο κλειδί ρίζας από το file σύστημα:
Quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
Εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε μια αλυσίδα υπογραφής με μια καταχώρηση ρίζας, χρησιμοποιώντας το κλειδί ρίζας από το διακριτικό SoftHSM που δημιουργήθηκε στην προηγούμενη ενότητα:
Quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsmso2/lib. ” root0 root0.qky

2.1.4. Δημιουργία καταχώρησης δημόσιου κλειδιού αλυσίδας υπογραφής
Δημιουργήστε μια νέα καταχώρηση δημόσιου κλειδιού για μια αλυσίδα υπογραφής με τη λειτουργία append_key. Καθορίζετε την αλυσίδα προηγούμενης υπογραφής, το ιδιωτικό κλειδί για την τελευταία καταχώρηση στην αλυσίδα προηγούμενης υπογραφής, το δημόσιο κλειδί επόμενου επιπέδου, τα δικαιώματα και το αναγνωριστικό ακύρωσης που εκχωρείτε στο δημόσιο κλειδί επόμενου επιπέδου και τη νέα αλυσίδα υπογραφής file.
Σημειώστε ότι η βιβλιοθήκη softHSM δεν είναι διαθέσιμη με εγκατάσταση Quartus και αντ' αυτού πρέπει να εγκατασταθεί ξεχωριστά. Για περισσότερες πληροφορίες σχετικά με το softHSM, ανατρέξτε στην ενότητα Δημιουργία αλυσίδας υπογραφών παραπάνω.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 9

2. Έλεγχος ταυτότητας και εξουσιοδότηση 683823 | 2023.05.23
Ανάλογα με τη χρήση των κλειδιών στο file σύστημα ή σε ένα HSM, χρησιμοποιείτε ένα από τα παρακάτω π.χample εντολές για την προσθήκη του δημόσιου κλειδιού design0_sign στην αλυσίδα υπογραφής ρίζας που δημιουργήθηκε στην προηγούμενη ενότητα:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
Quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmv2.so” –name root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Μπορείτε να επαναλάβετε τη λειτουργία append_key έως και δύο ακόμη φορές για έως τρεις καταχωρήσεις δημόσιου κλειδιού μεταξύ της καταχώρισης ρίζας και της καταχώρησης μπλοκ κεφαλίδας σε οποιαδήποτε αλυσίδα υπογραφής.
Οι παρακάτω π.χampυποθέτει ότι δημιουργήσατε ένα άλλο δημόσιο κλειδί ελέγχου ταυτότητας με τα ίδια δικαιώματα και εκχωρήσατε το αναγνωριστικό ακύρωσης 1 που ονομάζεται design1_sign_public.pem και προσαρτάτε αυτό το κλειδί στην αλυσίδα υπογραφής από το προηγούμενο προηγούμενοample:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_
Quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmv2.so” –name design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Οι συσκευές Intel Agilex 7 περιλαμβάνουν έναν πρόσθετο μετρητή ακύρωσης κλειδιού για τη διευκόλυνση της χρήσης ενός κλειδιού που μπορεί να αλλάζει περιοδικά κατά τη διάρκεια ζωής μιας δεδομένης συσκευής. Μπορείτε να επιλέξετε αυτόν τον μετρητή ακύρωσης κλειδιού αλλάζοντας το όρισμα της επιλογής –cancel σε pts:pts_value.
2.2. Υπογραφή ενός Bitstream διαμόρφωσης
Οι συσκευές Intel Agilex 7 υποστηρίζουν μετρητές Security Version Number (SVN), οι οποίοι σας επιτρέπουν να ανακαλέσετε την εξουσιοδότηση ενός αντικειμένου χωρίς να ακυρώσετε ένα κλειδί. Εκχωρείτε τον μετρητή SVN και την κατάλληλη τιμή μετρητή SVN κατά την υπογραφή οποιουδήποτε αντικειμένου, όπως ένα τμήμα ροής bit, υλικολογισμικό .zip file, ή συμπαγές πιστοποιητικό. Εκχωρείτε τον μετρητή SVN και την τιμή SVN χρησιμοποιώντας την επιλογή –cancel και svn_counter:svn_value ως όρισμα. Οι έγκυρες τιμές για το svn_counter είναι svnA, svnB, svnC και svnD. Το svn_value είναι ένας ακέραιος αριθμός εντός του εύρους [0,63].

Οδηγός χρήστη Intel Agilex® 7 Device Security 10

Αποστολή σχολίων

2. Έλεγχος ταυτότητας και εξουσιοδότηση 683823 | 2023.05.23
2.2.1. Quartus Key File Εκχώρηση
Καθορίζετε μια αλυσίδα υπογραφής στο έργο λογισμικού Intel Quartus Prime για να ενεργοποιήσετε τη δυνατότητα ελέγχου ταυτότητας για αυτό το σχέδιο. Από το μενού Εργασίες, επιλέξτε Συσκευή συσκευής και Επιλογές καρφίτσας Κλειδί ασφαλείας Quartus File, μετά περιηγηθείτε στην αλυσίδα υπογραφών .qky file δημιουργήσατε για να υπογράψετε αυτό το σχέδιο.
Εικόνα 1. Ενεργοποιήστε τη ρύθμιση παραμέτρων ροής bit

Εναλλακτικά, μπορείτε να προσθέσετε την ακόλουθη δήλωση ανάθεσης στις ρυθμίσεις Intel Quartus Prime file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
Για να δημιουργήσετε ένα .sof file από ένα σχέδιο που είχε μεταγλωττιστεί προηγουμένως, που περιλαμβάνει αυτήν τη ρύθμιση, από το μενού Επεξεργασία, επιλέξτε Έναρξη Έναρξης Συναρμολογητή. Η νέα έξοδος .σοφ file περιλαμβάνει τις εκχωρήσεις για την ενεργοποίηση του ελέγχου ταυτότητας με την παρεχόμενη αλυσίδα υπογραφών.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 11

2. Έλεγχος ταυτότητας και εξουσιοδότηση 683823 | 2023.05.23
2.2.2. Συνυπογραφή υλικολογισμικού SDM
Χρησιμοποιείτε το εργαλείο quartus_sign για εξαγωγή, υπογραφή και εγκατάσταση του ισχύοντος υλικολογισμικού SDM .zip file. Το συνυπογεγραμμένο υλικολογισμικό περιλαμβάνεται στη συνέχεια από τον προγραμματισμό file εργαλείο γεννήτριας όταν μετατρέπετε .sof file σε μια ροή bit διαμόρφωσης .rbf file. Χρησιμοποιείτε τις ακόλουθες εντολές για να δημιουργήσετε μια νέα αλυσίδα υπογραφής και να υπογράψετε το υλικολογισμικό SDM.
1. Δημιουργήστε ένα νέο ζεύγος κλειδιών υπογραφής.
ένα. Δημιουργήστε ένα νέο ζεύγος κλειδιών υπογραφής στο file σύστημα:
Quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
Quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
σι. Δημιουργήστε ένα νέο ζεύγος κλειδιών υπογραφής στο HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. Δημιουργήστε μια νέα αλυσίδα υπογραφών που περιέχει το νέο δημόσιο κλειδί:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmv2.so”=name root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Αντιγράψτε το υλικολογισμικό .zip file από τον κατάλογο εγκατάστασης λογισμικού Intel Quartus Prime Pro Edition ( /devices/programmer/firmware/ agilex.zip) στον τρέχοντα κατάλογο εργασίας.
Quartus_sign –family=agilex –get_firmware=.
4. Υπογράψτε το υλικολογισμικό .zip file. Το εργαλείο αποσυσκευάζει αυτόματα το .zip file και υπογράφει μεμονωμένα όλο το υλικολογισμικό .cmf files, στη συνέχεια δημιουργεί ξανά το .zip file για χρήση από τα εργαλεία στις ακόλουθες ενότητες:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
Quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Οδηγός χρήστη Intel Agilex® 7 Device Security 12

Αποστολή σχολίων

2. Έλεγχος ταυτότητας και εξουσιοδότηση 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Signing Configuration Bitstream Χρησιμοποιώντας την εντολή quartus_sign
Για να υπογράψετε μια ροή bit διαμόρφωσης χρησιμοποιώντας την εντολή quartus_sign, μετατρέπετε πρώτα το .sof file στο ανυπόγραφο ακατέργαστο δυαδικό file (.rbf) μορφή. Μπορείτε προαιρετικά να καθορίσετε συνυπογεγραμμένο υλικολογισμικό χρησιμοποιώντας την επιλογή fw_source κατά τη διάρκεια του βήματος μετατροπής.
Μπορείτε να δημιουργήσετε το ανυπόγραφο ακατέργαστο bitstream σε μορφή .rbf χρησιμοποιώντας την ακόλουθη εντολή:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Εκτελέστε μία από τις ακόλουθες εντολές για να υπογράψετε το bitstream χρησιμοποιώντας το εργαλείο quartus_sign ανάλογα με τη θέση των κλειδιών σας:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –key= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Μπορείτε να μετατρέψετε υπογεγραμμένο .rbf files σε άλλη ροή bit διαμόρφωσης file μορφές.
Για π.χample, εάν χρησιμοποιείτε το πρόγραμμα αναπαραγωγής Jam* Standard Test and Programming Language (STAPL) για να προγραμματίσετε ένα bitstream μέσω JTAG, χρησιμοποιείτε την ακόλουθη εντολή για να μετατρέψετε ένα .rbf file στη μορφή .jam που απαιτεί το Jam STAPL Player:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Μερική αναδιαμόρφωση Υποστήριξη πολλαπλών εξουσιών

Οι συσκευές Intel Agilex 7 υποστηρίζουν έλεγχο ταυτότητας πολλαπλών εξουσιοδοτήσεων μερικής αναδιαμόρφωσης, όπου ο κάτοχος της συσκευής δημιουργεί και υπογράφει τη στατική ροή bit και ένας ξεχωριστός κάτοχος PR δημιουργεί και υπογράφει ροές bit PR persona. Οι συσκευές Intel Agilex 7 υλοποιούν υποστήριξη πολλαπλών εξουσιών εκχωρώντας τις πρώτες υποδοχές ριζικού κλειδιού ελέγχου ταυτότητας στον κάτοχο της συσκευής ή στατικής ροής δυαδικών ψηφίων και εκχωρώντας την τελική υποδοχή ριζικού κλειδιού ελέγχου ταυτότητας στον κάτοχο ροής bit μερικής αναδιαμόρφωσης του προσώπου.
Εάν η δυνατότητα ελέγχου ταυτότητας είναι ενεργοποιημένη, τότε όλες οι εικόνες προσώπων δημοσίων σχέσεων πρέπει να είναι υπογεγραμμένες, συμπεριλαμβανομένων των ένθετων εικόνων προσώπων δημοσίων σχέσεων. Οι εικόνες προσώπων δημοσίων σχέσεων μπορεί να υπογράφονται είτε από τον κάτοχο της συσκευής είτε από τον κάτοχο δημοσίων σχέσεων. Ωστόσο, οι ροές bit στατικής περιοχής πρέπει να υπογράφονται από τον κάτοχο της συσκευής.

Σημείωμα:

Μερική αναδιαμόρφωση στατική και κρυπτογράφηση bitstream προσώπων όταν είναι ενεργοποιημένη η υποστήριξη πολλαπλών εξουσιών σχεδιάζεται σε μελλοντική έκδοση.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 13

2. Έλεγχος ταυτότητας και εξουσιοδότηση 683823 | 2023.05.23

Εικόνα 2.

Η εφαρμογή υποστήριξης πολλαπλών εξουσιών μερικής αναδιαμόρφωσης απαιτεί πολλά βήματα:
1. Ο κάτοχος της συσκευής ή του στατικού ρεύματος bit δημιουργεί ένα ή περισσότερα ριζικά κλειδιά ελέγχου ταυτότητας όπως περιγράφεται στην ενότητα Δημιουργία ζευγών κλειδιών ελέγχου ταυτότητας στο SoftHSM στη σελίδα 8, όπου η επιλογή –key_type έχει τιμή κατόχου.
2. Ο κάτοχος ροής bit μερικής αναδιαμόρφωσης δημιουργεί ένα ριζικό κλειδί ελέγχου ταυτότητας αλλά αλλάζει την τιμή της επιλογής –key_type σε secondary_owner.
3. Τόσο οι κάτοχοι σχεδίασης στατικής ροής bit όσο και μερικής αναδιαμόρφωσης διασφαλίζουν ότι το πλαίσιο ελέγχου Ενεργοποίηση υποστήριξης πολλαπλών εξουσιών είναι ενεργοποιημένο στην καρτέλα Assignments Device Device and Pin Options Security.
Intel Quartus Prime Ενεργοποίηση ρυθμίσεων επιλογών πολλαπλών εξουσιών

4. Τόσο οι κάτοχοι σχεδίου στατικής ροής bit όσο και μερικής αναδιαμόρφωσης δημιουργούν αλυσίδες υπογραφής με βάση τα αντίστοιχα κλειδιά ρίζας τους, όπως περιγράφεται στην ενότητα Δημιουργία αλυσίδας υπογραφών στη σελίδα 6.
5. Τόσο οι κάτοχοι σχεδίων στατικής ροής bit όσο και μερικής αναδιαμόρφωσης μετατρέπουν τα μεταγλωττισμένα σχέδια τους σε μορφή .rbf files και υπογράψτε το .rbf files.
6. Ο κάτοχος της συσκευής ή του στατικού bitstream δημιουργεί και υπογράφει ένα συμπαγές πιστοποιητικό εξουσιοδότησης προγράμματος δημόσιου κλειδιού PR.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o ιδιοκτήτης_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
Quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –key= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Οδηγός χρήστη Intel Agilex® 7 Device Security 14

Αποστολή σχολίων

2. Έλεγχος ταυτότητας και εξουσιοδότηση 683823 | 2023.05.23

7. Ο κάτοχος της συσκευής ή του στατικού ρεύματος bit παρέχει τους κατακερματισμούς του ριζικού κλειδιού ελέγχου ταυτότητας στη συσκευή, στη συνέχεια προγραμματίζει το συμπαγές πιστοποιητικό εξουσιοδότησης προγράμματος δημόσιου κλειδιού PR και, τέλος, παρέχει το ριζικό κλειδί κατόχου ροής bit μερικής αναδιαμόρφωσης στη συσκευή. Η ενότητα Προμήθεια συσκευής περιγράφει αυτήν τη διαδικασία παροχής.
8. Η συσκευή Intel Agilex 7 έχει ρυθμιστεί με τη στατική περιοχή .rbf file.
9. Η συσκευή Intel Agilex 7 έχει αναδιαμορφωθεί εν μέρει με το personal design .rbf file.
Σχετικές Πληροφορίες
· Δημιουργία αλυσίδας υπογραφών στη σελίδα 6
· Δημιουργία ζευγών κλειδιών ελέγχου ταυτότητας στο SoftHSM στη σελίδα 8
· Παροχή συσκευής στη σελίδα 25

2.2.5. Επαλήθευση διαμόρφωσης αλυσίδων υπογραφής Bitstream
Αφού δημιουργήσετε αλυσίδες υπογραφής και υπογεγραμμένες ροές bit, μπορείτε να επαληθεύσετε ότι μια υπογεγραμμένη ροή δυαδικών ψηφίων διαμορφώνει σωστά μια συσκευή προγραμματισμένη με ένα δεδομένο ριζικό κλειδί. Χρησιμοποιείτε πρώτα τη λειτουργία fuse_info της εντολής quartus_sign για να εκτυπώσετε τον κατακερματισμό του δημόσιου κλειδιού ρίζας σε ένα κείμενο file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Στη συνέχεια, χρησιμοποιείτε την επιλογή check_integrity της εντολής quartus_pfg για να επιθεωρήσετε την αλυσίδα υπογραφής σε κάθε τμήμα μιας υπογεγραμμένης ροής bit σε μορφή .rbf. Η επιλογή check_integrity εκτυπώνει τις ακόλουθες πληροφορίες:
· Κατάσταση του συνολικού ελέγχου ακεραιότητας bitstream
· Περιεχόμενα κάθε καταχώρισης σε κάθε αλυσίδα υπογραφής που είναι συνδεδεμένη σε κάθε τμήμα του bitstream .rbf file,
· Αναμενόμενη τιμή ασφάλειας για τον κατακερματισμό του ριζικού δημόσιου κλειδιού για κάθε αλυσίδα υπογραφής.
Η τιμή από την έξοδο fuse_info θα πρέπει να ταιριάζει με τις γραμμές Fuse στην έξοδο check_integrity.
quartus_pfg –check_integrity signed_bitstream.rbf

Εδώ είναι ένας πρώηνample της εξόδου της εντολής check_integrity:

Πληροφορίες: Εντολή: quartus_pfg –check_integrity signed_bitstream.rbf Κατάσταση ακεραιότητας: ΟΚ

Τμήμα

Τύπος: CMF

Περιγραφέας υπογραφής…

Αλυσίδα υπογραφής #0 (εγγραφές: -1, μετατόπιση: 96)

Καταχώρηση #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 15

2. Έλεγχος ταυτότητας και εξουσιοδότηση 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Καταχώρηση #1

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Καταχώριση #2 Άδεια μπρελόκ: SIGN_CODE Το μπρελόκ μπορεί να ακυρωθεί με ID: 3 Αλυσίδα υπογραφής #1 (καταχωρίσεις: -1, μετατόπιση: 648)

Καταχώρηση #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Καταχώρηση #1

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Καταχώρηση #2

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Καταχώριση #3 Άδεια μπρελόκ: SIGN_CODE Το μπρελόκ μπορεί να ακυρωθεί με ID: 15 Αλυσίδα υπογραφής #2 (καταχωρίσεις: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #3 (καταχωρήσεις: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #4 (καταχωρήσεις: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #5 (εγγραφές: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #6 (εγγραφές: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #7 (καταχωρίσεις: -1, μετατόπιση: 0)

Τύπος ενότητας: Περιγραφέας υπογραφής IO … Αλυσίδα υπογραφής #0 (καταχωρίσεις: -1, μετατόπιση: 96)

Καταχώρηση #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Οδηγός χρήστη Intel Agilex® 7 Device Security 16

Αποστολή σχολίων

2. Έλεγχος ταυτότητας και εξουσιοδότηση 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Καταχώρηση #1

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Καταχώρηση #2

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Καταχώριση #3 Άδεια μπρελόκ: SIGN_CORE Το μπρελόκ μπορεί να ακυρωθεί με ID: 15 Αλυσίδα υπογραφής #1 (καταχωρίσεις: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #2 (καταχωρήσεις: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #3 (καταχωρήσεις: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #4 (εγγραφές: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #5 (καταχωρήσεις: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #6 (καταχωρήσεις: -1, μετατόπιση: 0) Υπογραφή αλυσίδα #7 (εγγραφές: -1, μετατόπιση: 0)

Τμήμα

Τύπος: HPS

Περιγραφέας υπογραφής…

Αλυσίδα υπογραφής #0 (εγγραφές: -1, μετατόπιση: 96)

Καταχώρηση #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Καταχώρηση #1

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Καταχώρηση #2

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 17

2. Έλεγχος ταυτότητας και εξουσιοδότηση 683823 | 2023.05.23

Καταχώριση #3 Άδεια κλειδιού: SIGN_HPS Μπρελόκ μπορεί να ακυρωθεί με ID: 15 Αλυσίδα υπογραφής #1 (καταχωρίσεις: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #2 (καταχωρήσεις: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #3 (καταχωρήσεις: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #4 (εγγραφές: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #5 (καταχωρήσεις: -1, μετατόπιση: 0) Αλυσίδα υπογραφής #6 (καταχωρήσεις: -1, μετατόπιση: 0) Υπογραφή αλυσίδα #7 (εγγραφές: -1, μετατόπιση: 0)

Τύπος ενότητας: Περιγραφέας υπογραφής CORE … Αλυσίδα υπογραφής #0 (καταχωρίσεις: -1, μετατόπιση: 96)

Καταχώρηση #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Καταχώρηση #1

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Καταχώρηση #2

Δημιουργία κλειδιού…

Καμπύλη: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Οδηγός χρήστη Intel Agilex® 7 Device Security 18

Αποστολή σχολίων

683823 | 2023.05.23 Αποστολή σχολίων

Κρυπτογράφηση AES Bitstream

Η κρυπτογράφηση bitstream Standard Standard Encryption (AES) είναι μια δυνατότητα που επιτρέπει στον κάτοχο της συσκευής να προστατεύει το απόρρητο της πνευματικής ιδιοκτησίας σε μια ροή bit διαμόρφωσης.
Για την προστασία του απορρήτου των κλειδιών, η κρυπτογράφηση bitstream διαμόρφωσης χρησιμοποιεί μια αλυσίδα κλειδιών AES. Αυτά τα κλειδιά χρησιμοποιούνται για την κρυπτογράφηση δεδομένων κατόχου στη ροή δυαδικών ψηφίων διαμόρφωσης, όπου το πρώτο ενδιάμεσο κλειδί κρυπτογραφείται με το ριζικό κλειδί AES.

3.1. Δημιουργία του ριζικού κλειδιού AES

Μπορείτε να χρησιμοποιήσετε το εργαλείο quartus_encrypt ή την υλοποίηση αναφοράς stratix10_encrypt.py για να δημιουργήσετε ένα ριζικό κλειδί AES στη μορφή κλειδιού κρυπτογράφησης λογισμικού Intel Quartus Prime (.qek) file.

Σημείωμα:

Το stratix10_encrypt.py file χρησιμοποιείται για συσκευές Intel Stratix® 10 και Intel Agilex 7.

Μπορείτε προαιρετικά να καθορίσετε το βασικό κλειδί που χρησιμοποιείται για την παραγωγή του ριζικού κλειδιού AES και του κλειδιού παραγωγής κλειδιού, την τιμή για το ριζικό κλειδί AES απευθείας, τον αριθμό των ενδιάμεσων κλειδιών και τη μέγιστη χρήση ανά ενδιάμεσο κλειδί.

Πρέπει να καθορίσετε την οικογένεια συσκευών, την έξοδο .qek file τοποθεσία και φράση πρόσβασης όταν σας ζητηθεί.
Εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε το ριζικό κλειδί AES χρησιμοποιώντας τυχαία δεδομένα για το βασικό κλειδί και προεπιλεγμένες τιμές για τον αριθμό των ενδιάμεσων κλειδιών και τη μέγιστη χρήση κλειδιού.
Για να χρησιμοποιήσετε την υλοποίηση αναφοράς, αντικαθιστάτε μια κλήση στον διερμηνέα Python που περιλαμβάνεται στο λογισμικό Intel Quartus Prime και παραλείπετε την επιλογή –family=agilex. όλες οι άλλες επιλογές είναι ισοδύναμες. Για π.χample, την εντολή quartus_encrypt που βρίσκεται αργότερα στην ενότητα

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

μπορεί να μετατραπεί σε ισοδύναμη κλήση στην υλοποίηση αναφοράς ως εξής pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Ρυθμίσεις κρυπτογράφησης Quartus
Για να ενεργοποιήσετε την κρυπτογράφηση bitstream για ένα σχέδιο, πρέπει να καθορίσετε τις κατάλληλες επιλογές χρησιμοποιώντας τον πίνακα Assignments Device Device and Pin Options Security. Επιλέγετε το πλαίσιο ελέγχου Enable configuration bitstream encryption και την επιθυμητή θέση αποθήκευσης κλειδιού κρυπτογράφησης από το αναπτυσσόμενο μενού.

ISO 9001: 2015 εγγεγραμμένο

Εικόνα 3. Ρυθμίσεις κρυπτογράφησης Intel Quartus Prime

3. AES Bitstream Encryption 683823 | 2023.05.23

Εναλλακτικά, μπορείτε να προσθέσετε την ακόλουθη δήλωση ανάθεσης στις ρυθμίσεις σας Intel Quartus Prime file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM on set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Εάν θέλετε να ενεργοποιήσετε πρόσθετους μετριασμούς έναντι διανυσμάτων επίθεσης πλευρικού καναλιού, μπορείτε να ενεργοποιήσετε το αναπτυσσόμενο μενού Αναλογία ενημέρωσης κρυπτογράφησης και το πλαίσιο ελέγχου Ενεργοποίηση κρυπτογράφησης.

Οδηγός χρήστη Intel Agilex® 7 Device Security 20

Αποστολή σχολίων

3. AES Bitstream Encryption 683823 | 2023.05.23

Οι αντίστοιχες αλλαγές στο .qsf είναι:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING στο set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Κρυπτογράφηση ενός Bitstream διαμόρφωσης
Κρυπτογραφείτε μια ροή bit διαμόρφωσης πριν υπογράψετε τη ροή bit. Ο προγραμματισμός Intel Quartus Prime File Το εργαλείο γεννήτριας μπορεί αυτόματα να κρυπτογραφήσει και να υπογράψει μια ροή bit διαμόρφωσης χρησιμοποιώντας τη γραφική διεπαφή χρήστη ή τη γραμμή εντολών.
Μπορείτε προαιρετικά να δημιουργήσετε ένα μερικώς κρυπτογραφημένο bitstream για χρήση με τα εργαλεία quartus_encrypt και quartus_sign ή με ισοδύναμα υλοποίησης αναφοράς.

3.3.1. Διαμόρφωση Bitstream Κρυπτογράφηση με χρήση του προγραμματισμού File Γραφική διεπαφή γεννήτριας
Μπορείτε να χρησιμοποιήσετε τον Προγραμματισμό File Γεννήτρια για κρυπτογράφηση και υπογραφή της εικόνας κατόχου.

Εικόνα 4.

1. Στο Intel Quartus Prime File μενού επιλέξτε Προγραμματισμός File Γεννήτρια. 2. Στην έξοδο Fileκαρτέλα s, καθορίστε την έξοδο file πληκτρολογήστε για τη διαμόρφωσή σας
σχέδιο.
Παραγωγή File Προσδιορισμός

Έξοδος σχήματος διαμόρφωσης file αυτί
Παραγωγή file τύπος

3. Στην είσοδο Files καρτέλα, κάντε κλικ στην Προσθήκη Bitstream και περιηγηθείτε στο .sof σας. 4. Για να καθορίσετε επιλογές κρυπτογράφησης και ελέγχου ταυτότητας, επιλέξτε το .sof και κάντε κλικ
Ιδιότητες. ένα. Ενεργοποιήστε το Enable signing tool. σι. Για ιδιωτικό κλειδί file επιλέξτε το κλειδί υπογραφής ιδιωτικό .pem file. ντο. Ενεργοποιήστε την Ολοκλήρωση κρυπτογράφησης.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 21

3. AES Bitstream Encryption 683823 | 2023.05.23

Εικόνα 5.

ρε. Για κλειδί κρυπτογράφησης file, επιλέξτε το AES .qek σας file. Είσοδος (.sof) File Ιδιότητες για έλεγχο ταυτότητας και κρυπτογράφηση

Ενεργοποίηση ελέγχου ταυτότητας Καθορίστε την ιδιωτική ρίζα .pem
Ενεργοποίηση κρυπτογράφησης Καθορίστε το κλειδί κρυπτογράφησης
5. Για να δημιουργήσετε το υπογεγραμμένο και κρυπτογραφημένο bitstream, στην είσοδο Files, κάντε κλικ στην επιλογή Δημιουργία. Εμφανίζονται παράθυρα διαλόγου κωδικού πρόσβασης για να εισαγάγετε τη φράση πρόσβασης για το κλειδί AES .qek file και υπογραφή ιδιωτικού κλειδιού .pem file. Ο προγραμματισμός file η γεννήτρια δημιουργεί την κρυπτογραφημένη και υπογεγραμμένη έξοδο_file.rbf.
3.3.2. Διαμόρφωση Bitstream Κρυπτογράφηση με χρήση του προγραμματισμού File Διεπαφή γραμμής εντολών γεννήτριας
Δημιουργήστε ένα κρυπτογραφημένο και υπογεγραμμένο bitstream διαμόρφωσης σε μορφή .rbf με τη διεπαφή γραμμής εντολών quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
Μπορείτε να μετατρέψετε ένα κρυπτογραφημένο και υπογεγραμμένο bitstream διαμόρφωσης σε μορφή .rbf σε άλλη ροή bit διαμόρφωσης file μορφές.
3.3.3. Μερικώς κρυπτογραφημένη διαμόρφωση Δημιουργία ροής δυαδικών ψηφίων με χρήση της διεπαφής γραμμής εντολών
Μπορείτε να δημιουργήσετε έναν μερικώς κρυπτογραφημένο προγραμματισμό file για να οριστικοποιήσετε την κρυπτογράφηση και να υπογράψετε την εικόνα αργότερα. Δημιουργήστε τον μερικώς κρυπτογραφημένο προγραμματισμό file σε μορφή .rbf με διεπαφή γραμμής εντολών thequartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Οδηγός χρήστη Intel Agilex® 7 Device Security 22

Αποστολή σχολίων

3. AES Bitstream Encryption 683823 | 2023.05.23
Χρησιμοποιείτε το εργαλείο γραμμής εντολών quartus_encrypt για να ολοκληρώσετε την κρυπτογράφηση bitstream:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Χρησιμοποιείτε το εργαλείο γραμμής εντολών quartus_sign για να υπογράψετε την κρυπτογραφημένη ροή bit διαμόρφωσης:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
Quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –key= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Μερική αναδιαμόρφωση Κρυπτογράφηση bitstream
Μπορείτε να ενεργοποιήσετε την κρυπτογράφηση bitstream σε ορισμένα σχέδια Intel Agilex 7 FPGA που χρησιμοποιούν μερική αναδιαμόρφωση.
Τα σχέδια μερικής αναδιαμόρφωσης που χρησιμοποιούν την ιεραρχική μερική αναδιαμόρφωση (HPR) ή τη μερική αναδιαμόρφωση στατικής ενημέρωσης (SUPR) δεν υποστηρίζουν την κρυπτογράφηση bitstream. Εάν το σχέδιό σας περιέχει πολλές περιοχές δημοσίων σχέσεων, πρέπει να κρυπτογραφήσετε όλα τα πρόσωπα.
Για να ενεργοποιήσετε την κρυπτογράφηση bitstream μερικής αναδιαμόρφωσης, ακολουθήστε την ίδια διαδικασία σε όλες τις αναθεωρήσεις σχεδίασης. 1. Στο Intel Quartus Prime File μενού, επιλέξτε Εργασίες Συσκευή συσκευής
και Pin Options Security. 2. Επιλέξτε την επιθυμητή θέση αποθήκευσης κλειδιού κρυπτογράφησης.
Εικόνα 6. Μερική αναδιαμόρφωση Ρύθμιση κρυπτογράφησης bitstream

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 23

3. AES Bitstream Encryption 683823 | 2023.05.23
Εναλλακτικά, μπορείτε να προσθέσετε την ακόλουθη δήλωση ανάθεσης στις ρυθμίσεις Quartus Prime file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION στις
Αφού συντάξετε το βασικό σχέδιο και τις αναθεωρήσεις σας, το λογισμικό δημιουργεί a.soffile και ένα ή περισσότερα.pmsffiles, που αντιπροσωπεύει τις περσόνες. 3. Δημιουργήστε κρυπτογραφημένο και υπογεγραμμένο προγραμματισμό files από.sof και.pmsf fileείναι με παρόμοιο τρόπο με τα σχέδια χωρίς ενεργοποιημένη μερική αναδιαμόρφωση. 4. Μετατροπή της μεταγλωττισμένης περσόνας.pmsf file σε ένα μερικώς κρυπτογραφημένο.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Ολοκληρώστε την κρυπτογράφηση bitstream χρησιμοποιώντας το εργαλείο γραμμής εντολών quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Υπογράψτε την κρυπτογραφημένη ροή bit διαμόρφωσης χρησιμοποιώντας το εργαλείο γραμμής εντολών quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
Quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Οδηγός χρήστη Intel Agilex® 7 Device Security 24

Αποστολή σχολίων

683823 | 2023.05.23 Αποστολή σχολίων

Προμήθεια συσκευών

Η αρχική παροχή δυνατοτήτων ασφαλείας υποστηρίζεται μόνο στο υλικολογισμικό παροχής SDM. Χρησιμοποιήστε τον προγραμματιστή Intel Quartus Prime για να φορτώσετε το υλικολογισμικό της παροχής SDM και να εκτελέσετε λειτουργίες παροχής.
Μπορείτε να χρησιμοποιήσετε οποιοδήποτε τύπο JTAG κατεβάστε το καλώδιο για να συνδέσετε τον προγραμματιστή Quartus σε μια συσκευή Intel Agilex 7 για να εκτελέσετε λειτουργίες παροχής.
4.1. Χρήση υλικολογισμικού παροχής SDM
Ο προγραμματιστής Intel Quartus Prime δημιουργεί και φορτώνει αυτόματα μια προεπιλεγμένη εργοστασιακά βοηθητική εικόνα όταν επιλέγετε τη λειτουργία αρχικοποίησης και μια εντολή για να προγραμματίσετε κάτι διαφορετικό από μια ροή bit διαμόρφωσης.
Ανάλογα με την καθορισμένη εντολή προγραμματισμού, η προεπιλεγμένη εργοστασιακά βοηθητική εικόνα είναι ένας από τους δύο τύπους:
· Βοηθητική εικόνα παροχής—αποτελείται από ένα τμήμα bitstream που περιέχει το υλικολογισμικό παροχής SDM.
· Βοηθητική εικόνα QSPI–αποτελείται από δύο τμήματα bitstream, ένα που περιέχει το κύριο υλικολογισμικό της SDM και ένα τμήμα I/O.
Μπορείτε να δημιουργήσετε μια προεπιλεγμένη εργοστασιακά βοηθητική εικόνα file για να φορτώσετε στη συσκευή σας πριν εκτελέσετε οποιαδήποτε εντολή προγραμματισμού. Αφού προγραμματίσετε έναν κατακερματισμό ριζικού κλειδιού ελέγχου ταυτότητας, πρέπει να δημιουργήσετε και να υπογράψετε μια προεπιλεγμένη εργοστασιακά βοηθητική εικόνα QSPI λόγω της περιλαμβανόμενης ενότητας I/O. Εάν προγραμματίσετε επιπλέον τη ρύθμιση ασφάλειας συνυπογεγραμμένου υλικολογισμικού eFuse, πρέπει να δημιουργήσετε προεπιλεγμένες προεπιλεγμένες βοηθητικές εικόνες προμήθειας και QSPI με συνυπογεγραμμένο υλικολογισμικό. Μπορείτε να χρησιμοποιήσετε μια συνυπογεγραμμένη προεπιλεγμένη εργοστασιακή βοηθητική εικόνα σε μια συσκευή χωρίς παροχή, καθώς η συσκευή χωρίς παροχή αγνοεί αλυσίδες υπογραφής που δεν ανήκουν στην Intel μέσω υλικολογισμικού SDM. Ανατρέξτε στην ενότητα Χρήση της προεπιλεγμένης εργοστασιακής εικόνας βοήθειας QSPI σε ιδιόκτητες συσκευές στη σελίδα 26 για περισσότερες λεπτομέρειες σχετικά με τη δημιουργία, την υπογραφή και τη χρήση της προεπιλεγμένης εργοστασιακής εικόνας βοήθειας QSPI.
Η προεπιλεγμένη εργοστασιακή βοηθητική εικόνα προμήθειας εκτελεί μια ενέργεια παροχής, όπως ο προγραμματισμός του κατακερματισμού ριζικού κλειδιού ελέγχου ταυτότητας, οι ασφάλειες ρύθμισης ασφαλείας, η εγγραφή PUF ή η παροχή μαύρου κλειδιού. Χρησιμοποιείτε τον προγραμματισμό Intel Quartus Prime File Εργαλείο γραμμής εντολών Generator για τη δημιουργία της εικόνας βοηθού παροχής, καθορίζοντας την επιλογή helper_image, το όνομα helper_device, τον δευτερεύοντα τύπο εικόνας βοηθού παροχής και προαιρετικά ένα συνυπογεγραμμένο υλικολογισμικό .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Προγραμματίστε τη βοηθητική εικόνα χρησιμοποιώντας το εργαλείο Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force

ISO 9001: 2015 εγγεγραμμένο

4. Προμήθεια Συσκευών 683823 | 2023.05.23

Σημείωμα:

Μπορείτε να παραλείψετε τη λειτουργία αρχικοποίησης από εντολές, συμπεριλαμβανομένου του π.χamples που παρέχονται σε αυτό το κεφάλαιο, είτε μετά τον προγραμματισμό μιας βοηθητικής εικόνας παροχής είτε χρησιμοποιώντας μια εντολή που περιέχει τη λειτουργία αρχικοποίησης.

4.2. Χρήση της προεπιλεγμένης εργοστασιακής εικόνας βοήθειας QSPI σε ιδιόκτητες συσκευές
Ο προγραμματιστής Intel Quartus Prime δημιουργεί και φορτώνει αυτόματα μια προεπιλεγμένη εργοστασιακά βοηθητική εικόνα QSPI όταν επιλέγετε τη λειτουργία προετοιμασίας για έναν προγραμματισμό φλας QSPI file. Αφού προγραμματίσετε έναν κατακερματισμό ριζικού κλειδιού ελέγχου ταυτότητας, πρέπει να δημιουργήσετε και να υπογράψετε την προεπιλεγμένη εργοστασιακά βοηθητική εικόνα QSPI και να προγραμματίσετε την υπογεγραμμένη εργοστασιακή βοηθητική εικόνα QSPI ξεχωριστά πριν προγραμματίσετε το φλας QSPI. 1. Χρησιμοποιείτε το Intel Quartus Prime Programming File Γεννήτρια εργαλείο γραμμής εντολών για να
δημιουργήστε την εικόνα βοήθειας QSPI, προσδιορίζοντας την επιλογή helper_image, τον τύπο helper_device, τον δευτερεύοντα τύπο εικόνας βοήθειας QSPI και προαιρετικά ένα συνυπογεγραμμένο υλικολογισμικό .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Υπογράφετε την προεπιλεγμένη εργοστασιακή εικόνα βοήθειας του QSPI:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Μπορείτε να χρησιμοποιήσετε οποιονδήποτε προγραμματισμό QSPI flash file μορφή. Οι παρακάτω π.χamples χρησιμοποιούν μια ροή bit διαμόρφωσης που έχει μετατραπεί σε .jic file σχήμα και διάταξις βιβλίου:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o συσκευή=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Προγραμματίζετε την υπογεγραμμένη βοηθητική εικόνα χρησιμοποιώντας το εργαλείο Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –δύναμη
5. Προγραμματίζετε την εικόνα .jic να αναβοσβήνει χρησιμοποιώντας το εργαλείο Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. Προμήθεια ριζικού κλειδιού ελέγχου ταυτότητας
Για να προγραμματίσετε τους κατακερματισμούς του ριζικού κλειδιού κατόχου σε φυσικές ασφάλειες, πρέπει πρώτα να φορτώσετε το υλικολογισμικό παροχής, στη συνέχεια να προγραμματίσετε τους κατακερματισμούς του ριζικού κλειδιού κατόχου και, στη συνέχεια, να εκτελέσετε αμέσως μια επαναφορά κατά την ενεργοποίηση. Δεν απαιτείται επαναφορά κατά την ενεργοποίηση εάν ο προγραμματισμός ριζικού κλειδιού κατακερματίζεται σε εικονικές ασφάλειες.

Οδηγός χρήστη Intel Agilex® 7 Device Security 26

Αποστολή σχολίων

4. Προμήθεια Συσκευών 683823 | 2023.05.23
Για να προγραμματίσετε κατακερματισμούς κλειδιού ρίζας ελέγχου ταυτότητας, προγραμματίζετε την εικόνα βοηθητικού υλικολογισμικού παροχής και εκτελείτε μία από τις ακόλουθες εντολές για να προγραμματίσετε το κλειδί ρίζας .qky files.
// Για φυσικές (μη πτητικές) eFuses quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky" –non_volatile_key
// Για εικονικές (πτητικές) eFuses quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. Μερική αναδιαμόρφωση Προγραμματισμός ριζικού κλειδιού πολλαπλών εξουσιών
Μετά την παροχή των κλειδιών ρίζας κατόχου ροής δυαδικών ψηφίων συσκευής ή στατικής περιοχής, φορτώνετε ξανά την εικόνα βοήθειας παροχής συσκευής, προγραμματίζετε το υπογεγραμμένο συμπαγές πιστοποιητικό εξουσιοδότησης προγράμματος δημόσιου κλειδιού PR και, στη συνέχεια, παρέχετε το ριζικό κλειδί κατόχου ροής bit PR persona.
// Για φυσικές (μη πτητικές) eFuses quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Για εικονικές (πτητικές) eFuses quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Προγραμματισμός κλειδιού Ακύρωση ID Ασφάλειες
Ξεκινώντας με την έκδοση 21.1 του λογισμικού Intel Quartus Prime Pro Edition, ο προγραμματισμός των ασφαλειών αναγνώρισης ακύρωσης κλειδιού Intel και ιδιοκτήτη απαιτεί τη χρήση ενός υπογεγραμμένου συμπαγούς πιστοποιητικού. Μπορείτε να υπογράψετε το συμπαγές πιστοποιητικό αναγνωριστικού ακύρωσης κλειδιού με μια αλυσίδα υπογραφής που διαθέτει δικαιώματα υπογραφής ενότητας FPGA. Δημιουργείτε το συμπαγές πιστοποιητικό με τον προγραμματισμό file εργαλείο γραμμής εντολών γεννήτριας. Υπογράφετε το ανυπόγραφο πιστοποιητικό χρησιμοποιώντας το εργαλείο quartus_sign ή την υλοποίηση αναφοράς.
Οι συσκευές Intel Agilex 7 υποστηρίζουν ξεχωριστές τράπεζες αναγνωριστικών ακύρωσης κλειδιού κατόχου για κάθε βασικό κλειδί. Όταν ένα συμπαγές πιστοποιητικό αναγνωριστικού ακύρωσης κλειδιού κατόχου προγραμματίζεται σε ένα Intel Agilex 7 FPGA, η SDM καθορίζει ποιο κλειδί ρίζας υπέγραψε το συμπαγές πιστοποιητικό και σβήνει την ασφάλεια αναγνωριστικού ακύρωσης κλειδιού που αντιστοιχεί σε αυτό το ριζικό κλειδί.
Οι παρακάτω π.χampΓια να δημιουργήσετε ένα πιστοποιητικό ακύρωσης κλειδιού Intel για το αναγνωριστικό κλειδιού Intel 7. Μπορείτε να αντικαταστήσετε το 7 με το ισχύον αναγνωριστικό ακύρωσης κλειδιού Intel από 0-31.
Εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε ένα μη υπογεγραμμένο συμπαγές πιστοποιητικό ακύρωσης κλειδιού Intel:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Εκτελέστε μία από τις ακόλουθες εντολές για να υπογράψετε το μη υπογεγραμμένο συμπαγές πιστοποιητικό ακύρωσης κλειδιού Intel:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 27

4. Προμήθεια Συσκευών 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε ένα συμπαγές πιστοποιητικό αναγνωριστικού ακύρωσης κλειδιού κατόχου χωρίς υπογραφή:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Εκτελέστε μία από τις ακόλουθες εντολές για να υπογράψετε το συμπαγές πιστοποιητικό αναγνωριστικού ακύρωσης κλειδιού κατόχου χωρίς υπογραφή:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –key= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Αφού δημιουργήσετε ένα συμπαγές πιστοποιητικό αναγνωριστικού ακύρωσης υπογεγραμμένου κλειδιού, χρησιμοποιείτε τον προγραμματιστή Intel Quartus Prime για να προγραμματίσετε το συμπαγές πιστοποιητικό στη συσκευή μέσω JTAG.
//Για φυσικές (μη πτητικές) eFuses quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
//Για εικονικές (πτητικές) eFuses quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert"
Μπορείτε επιπλέον να στείλετε το συμπαγές πιστοποιητικό στη SDM χρησιμοποιώντας τη διεπαφή γραμματοκιβωτίου FPGA ή HPS.
4.5. Ακύρωση πλήκτρων ρίζας
Οι συσκευές Intel Agilex 7 σάς επιτρέπουν να ακυρώνετε τους κατακερματισμούς ριζικού κλειδιού όταν υπάρχει άλλος μη ακυρωμένος κατακερματισμός ριζικού κλειδιού. Μπορείτε να ακυρώσετε έναν κατακερματισμό κλειδιού ρίζας διαμορφώνοντας πρώτα τη συσκευή με ένα σχέδιο του οποίου η αλυσίδα υπογραφής είναι ριζωμένη σε διαφορετικό κατακερματισμό κλειδιού ρίζας και, στη συνέχεια, προγραμματίστε ένα υπογεγραμμένο συμπαγές πιστοποιητικό ακύρωσης κατακερματισμού κλειδιού ρίζας. Πρέπει να υπογράψετε το συμπαγές πιστοποιητικό ακύρωσης κατακερματισμού κλειδιού ρίζας με μια αλυσίδα υπογραφής ριζωμένη στο ριζικό κλειδί που πρόκειται να ακυρωθεί.
Εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε ένα ανυπόγραφο συμπαγές πιστοποιητικό ακύρωσης κατακερματισμού κλειδιού ρίζας:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Οδηγός χρήστη Intel Agilex® 7 Device Security 28

Αποστολή σχολίων

4. Προμήθεια Συσκευών 683823 | 2023.05.23

Εκτελέστε μία από τις ακόλουθες εντολές για να υπογράψετε το συμπαγές πιστοποιητικό ακύρωσης κατακερματισμού κλειδιού ρίζας χωρίς υπογραφή:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –key= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Μπορείτε να προγραμματίσετε ένα συμπαγές πιστοποιητικό ακύρωσης κατακερματισμού κλειδιού ρίζας μέσω του JTAGγραμματοκιβώτια , FPGA ή HPS.

4.6. Προγραμματισμός Μετρητής Ασφάλειες
Ενημερώνετε τον αριθμό έκδοσης ασφαλείας (SVN) και το Pseudo Time Stamp Ασφάλειες μετρητή (PTS) χρησιμοποιώντας υπογεγραμμένα συμπαγή πιστοποιητικά.

Σημείωμα:

Η μονάδα SDM παρακολουθεί την ελάχιστη τιμή μετρητή που εμφανίζεται κατά τη διάρκεια μιας δεδομένης διαμόρφωσης και δεν δέχεται πιστοποιητικά αύξησης μετρητή όταν η τιμή μετρητή είναι μικρότερη από την ελάχιστη τιμή. Πρέπει να ενημερώσετε όλα τα αντικείμενα που έχουν εκχωρηθεί σε έναν μετρητή και να διαμορφώσετε εκ νέου τη συσκευή πριν προγραμματίσετε ένα συμπαγές πιστοποιητικό αύξησης μετρητή.

Εκτελέστε μία από τις ακόλουθες εντολές που αντιστοιχεί στο πιστοποιητικό αύξησης του μετρητή που θέλετε να δημιουργήσετε.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Η τιμή μετρητή 1 δημιουργεί ένα πιστοποιητικό εξουσιοδότησης αύξησης μετρητή. Ο προγραμματισμός ενός συμπαγούς πιστοποιητικού εξουσιοδότησης αύξησης μετρητή σάς δίνει τη δυνατότητα να προγραμματίσετε περαιτέρω ανυπόγραφα πιστοποιητικά αύξησης μετρητή για ενημέρωση του αντίστοιχου μετρητή. Χρησιμοποιείτε το εργαλείο quartus_sign για να υπογράψετε τα συμπαγή πιστοποιητικά μετρητή με παρόμοιο τρόπο με τα συμπαγή πιστοποιητικά αναγνωριστικού ακύρωσης κλειδιού.
Μπορείτε να προγραμματίσετε ένα συμπαγές πιστοποιητικό ακύρωσης κατακερματισμού κλειδιού ρίζας μέσω του JTAGγραμματοκιβώτια , FPGA ή HPS.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 29

4. Προμήθεια Συσκευών 683823 | 2023.05.23

4.7. Προμήθεια ριζικού κλειδιού υπηρεσίας αντικειμένων ασφαλούς δεδομένων
Χρησιμοποιείτε τον προγραμματιστή Intel Quartus Prime για την παροχή του κλειδιού ρίζας Secure Data Object Service (SDOS). Ο προγραμματιστής φορτώνει αυτόματα την εικόνα βοηθητικού υλικολογισμικού παροχής για να παρέχει το ριζικό κλειδί SDOS.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

4.8. Ρύθμιση ασφαλείας Προμήθεια ασφαλειών
Χρησιμοποιήστε τον προγραμματιστή Intel Quartus Prime για να εξετάσετε τις ασφάλειες ρυθμίσεων ασφαλείας της συσκευής και να τις γράψετε σε μια .fuse που βασίζεται σε κείμενο file ως εξής:
quartus_pgm -c 1 -mjtag -o “ei;προγραμματισμός_file.fuse;AGFB014R24B"

Επιλογές · i: Ο προγραμματιστής φορτώνει την εικόνα βοηθητικού υλικολογισμικού παροχής στη συσκευή. · e: Ο Προγραμματιστής διαβάζει την ασφάλεια από τη συσκευή και την αποθηκεύει σε μια ασφάλεια file.

Η .ασφάλεια file περιέχει μια λίστα ζευγών όνομα-τιμή ασφαλειών. Η τιμή καθορίζει εάν έχει καεί μια ασφάλεια ή τα περιεχόμενα του πεδίου ασφάλειας.

Οι παρακάτω π.χample δείχνει τη μορφή του .fuse file:

# Συνυπογεγραμμένο υλικολογισμικό

= "Δεν έχει φουσκώσει"

# Device Permit Kill

= "Δεν έχει φουσκώσει"

# Η συσκευή δεν είναι ασφαλής

= "Δεν έχει φουσκώσει"

# Απενεργοποιήστε τον εντοπισμό σφαλμάτων HPS

= "Δεν έχει φουσκώσει"

# Απενεργοποιήστε την εγγραφή PUF Intrinsic ID

= "Δεν έχει φουσκώσει"

# Απενεργοποιήστε το JTAG

= "Δεν έχει φουσκώσει"

# Απενεργοποιήστε το κλειδί κρυπτογράφησης τυλιγμένο με PUF

= "Δεν έχει φουσκώσει"

# Απενεργοποιήστε το κλειδί κρυπτογράφησης κατόχου στο BBRAM = "Not blown"

# Απενεργοποίηση κλειδιού κρυπτογράφησης κατόχου στο eFuses = "Not blown"

# Απενεργοποίηση κατακερματισμού 0 του δημόσιου κλειδιού ρίζας κατόχου

= "Δεν έχει φουσκώσει"

# Απενεργοποίηση κατακερματισμού 1 του δημόσιου κλειδιού ρίζας κατόχου

= "Δεν έχει φουσκώσει"

# Απενεργοποίηση κατακερματισμού 2 του δημόσιου κλειδιού ρίζας κατόχου

= "Δεν έχει φουσκώσει"

# Απενεργοποιήστε τις εικονικές eFuses

= "Δεν έχει φουσκώσει"

# Επιβολή ρολογιού SDM σε εσωτερικό ταλαντωτή = "Not blown"

# Αναγκαστική ενημέρωση κλειδιού κρυπτογράφησης

= "Δεν έχει φουσκώσει"

# Ακύρωση ρητού κλειδιού Intel

= "0"

# Κλείδωμα eFuses ασφαλείας

= "Δεν έχει φουσκώσει"

# Το πρόγραμμα κλειδιού κρυπτογράφησης κατόχου ολοκληρώθηκε

= "Δεν έχει φουσκώσει"

# Έναρξη προγράμματος κλειδιού κρυπτογράφησης κατόχου

= "Δεν έχει φουσκώσει"

# Ακύρωση ρητού κλειδιού κατόχου 0

= ""

# Ακύρωση ρητού κλειδιού κατόχου 1

= ""

# Ακύρωση ρητού κλειδιού κατόχου 2

= ""

# Ασφάλειες ιδιοκτήτη

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Κατακερματισμός δημόσιου κλειδιού ρίζας κατόχου 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Κατακερματισμός δημόσιου κλειδιού ρίζας κατόχου 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Κατακερματισμός δημόσιου κλειδιού ρίζας κατόχου 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Μέγεθος δημόσιου κλειδιού ρίζας κατόχου

= "Κανένα"

# Μετρητής PTS

= "0"

# Βάση πάγκου PTS

= "0"

Οδηγός χρήστη Intel Agilex® 7 Device Security 30

Αποστολή σχολίων

4. Προμήθεια Συσκευών 683823 | 2023.05.23

# Καθυστέρηση εκκίνησης QSPI # Μετρητής RMA # SDMIO0 είναι I2C # Μετρητής SVN A # Μετρητής SVN B # Μετρητής SVN C # Μετρητής SVN D

= "10ms" = "0" = "Δεν έχει καεί" = "0" = "0" = "0" = "0"

Τροποποιήστε την ασφάλεια file για να ρυθμίσετε τις επιθυμητές ασφάλειες ρύθμισης ασφαλείας. Μια γραμμή που αρχίζει με # αντιμετωπίζεται ως γραμμή σχολίων. Για να προγραμματίσετε μια ασφάλεια ρύθμισης ασφαλείας, αφαιρέστε το # και ορίστε την τιμή σε Blown. Για π.χample, για να ενεργοποιήσετε την ασφάλεια ρύθμισης ασφαλείας συνυπογεγραμμένου υλικολογισμικού, τροποποιήστε την πρώτη γραμμή της ασφάλειας file στα ακόλουθα:
Συνυπογεγραμμένο υλικολογισμικό = "Blown"

Μπορείτε επίσης να διαθέσετε και να προγραμματίσετε τις Ασφάλειες Ιδιοκτήτη με βάση τις απαιτήσεις σας.
Μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή για να εκτελέσετε έναν κενό έλεγχο, να προγραμματίσετε και να επαληθεύσετε το δημόσιο κλειδί ρίζας κατόχου:
quartus_pgm -c 1 -mjtag -o "ibpv;root0.qky"

Επιλογές · i: Φορτώνει την εικόνα βοηθητικού υλικολογισμικού παροχής στη συσκευή. · β: Πραγματοποιεί έναν κενό έλεγχο για να επαληθεύσει ότι οι επιθυμητές ασφάλειες ρύθμισης ασφαλείας δεν είναι
ήδη φουσκωμένο. · p: Προγραμματίζει την ασφάλεια. · v: Επαληθεύει το προγραμματισμένο κλειδί στη συσκευή.
Μετά τον προγραμματισμό του .qky file, μπορείτε να εξετάσετε τις πληροφορίες ασφάλειας ελέγχοντας ξανά τις πληροφορίες ασφάλειας για να βεβαιωθείτε ότι τόσο ο κατακερματισμός του δημόσιου κλειδιού κατόχου όσο και το μέγεθος του δημόσιου κλειδιού κατόχου έχουν μη μηδενικές τιμές.
Ενώ τα ακόλουθα πεδία δεν μπορούν να εγγραφούν μέσω του .fuse file μέθοδος, συμπεριλαμβάνονται κατά την έξοδο της λειτουργίας εξέτασης για επαλήθευση: · Η συσκευή δεν είναι ασφαλής · Εξουδετέρωση άδειας συσκευής · Απενεργοποίηση κατακερματισμού δημόσιου κλειδιού ρίζας κατόχου 0 · Απενεργοποίηση κατακερματισμού δημόσιου κλειδιού ρίζας κατόχου 1 · Απενεργοποίηση κατακερματισμού δημόσιου κλειδιού ρίζας κατόχου 2 · Ακύρωση κλειδιού Intel · Έναρξη προγράμματος κλειδιού κρυπτογράφησης κατόχου · Ολοκληρώθηκε το πρόγραμμα κλειδιού κρυπτογράφησης κατόχου · Ακύρωση κλειδιού κατόχου · Κατακερματισμός δημόσιου κλειδιού κατόχου · Μέγεθος δημόσιου κλειδιού ιδιοκτήτη · Κατακερματισμός δημόσιου κλειδιού ρίζας κατόχου 0 · Κατακερματισμός δημόσιου κλειδιού ρίζας κατόχου 1 · Κατακερματισμός δημόσιου κλειδιού ρίζας κατόχου 2

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 31

4. Προμήθεια Συσκευών 683823 | 2023.05.23
· Μετρητής PTS · Βάση μετρητή PTS · Καθυστέρηση εκκίνησης QSPI · Μετρητής RMA · Το SDMIO0 είναι I2C · Μετρητής SVN A · Μετρητής SVN B · Μετρητής SVN C · Μετρητής SVN D
Χρησιμοποιήστε τον προγραμματιστή Intel Quartus Prime για να προγραμματίσετε το .fuse file πίσω στη συσκευή. Εάν προσθέσετε την επιλογή i, ο Προγραμματιστής φορτώνει αυτόματα το υλικολογισμικό παροχής για να προγραμματίσει τις ασφάλειες ρύθμισης ασφαλείας.
//Για φυσικές (μη πτητικές) eFuses quartus_pgm -c 1 -mjtag -o “pi;προγραμματισμός_file.fuse” –non_volatile_key
//Για εικονικές (πτητικές) eFuses quartus_pgm -c 1 -mjtag -o “pi;προγραμματισμός_file.ασφάλεια ηλεκτρική"
Μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή για να επαληθεύσετε εάν ο κατακερματισμός του ριζικού κλειδιού της συσκευής είναι ο ίδιος με το .qky που παρέχεται στην εντολή:
quartus_pgm -c 1 -mjtag -o "v;root0_another.qky"
Εάν τα πλήκτρα δεν ταιριάζουν, ο προγραμματιστής αποτυγχάνει με ένα μήνυμα σφάλματος απέτυχε στη λειτουργία.
4.9. Προμήθεια ριζικού κλειδιού AES
Πρέπει να χρησιμοποιήσετε ένα υπογεγραμμένο συμπαγές πιστοποιητικό ριζικού κλειδιού AES για να προγραμματίσετε ένα ριζικό κλειδί AES σε μια συσκευή Intel Agilex 7.
4.9.1. Συμπαγές πιστοποιητικό AES Root Key
Χρησιμοποιείτε το εργαλείο γραμμής εντολών quartus_pfg για να μετατρέψετε το ριζικό κλειδί AES .qek file στη μορφή συμπαγούς πιστοποιητικού .cert. Καθορίζετε τη θέση αποθήκευσης κλειδιού κατά τη δημιουργία του συμπαγούς πιστοποιητικού. Μπορείτε να χρησιμοποιήσετε το εργαλείο quartus_pfg για να δημιουργήσετε ένα ανυπόγραφο πιστοποιητικό για μεταγενέστερη υπογραφή. Πρέπει να χρησιμοποιήσετε μια αλυσίδα υπογραφής με ενεργοποιημένη την άδεια υπογραφής πιστοποιητικού ριζικού κλειδιού AES, bit άδειας 6, προκειμένου να υπογράψετε με επιτυχία ένα συμπαγές πιστοποιητικό ριζικού κλειδιού AES.

Οδηγός χρήστη Intel Agilex® 7 Device Security 32

Αποστολή σχολίων

4. Προμήθεια Συσκευών 683823 | 2023.05.23
1. Δημιουργήστε ένα πρόσθετο ζεύγος κλειδιών που χρησιμοποιείται για την υπογραφή συμπαγούς πιστοποιητικού κλειδιού AES χρησιμοποιώντας μία από τις ακόλουθες εντολές π.χamples:
Quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
Quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen μηχανισμός ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. Δημιουργήστε μια αλυσίδα υπογραφής με το σωστό σύνολο bit δικαιωμάτων χρησιμοποιώντας μία από τις ακόλουθες εντολές:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chainqky.
Quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmv2.so” –name root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Δημιουργήστε ένα ανυπόγραφο συμπαγές πιστοποιητικό AES για την επιθυμητή θέση αποθήκευσης ριζικού κλειδιού AES. Διατίθενται οι ακόλουθες επιλογές αποθήκευσης ριζικού κλειδιού AES:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Δημιουργία κλειδιού ρίζας eFuse AES ανυπόγραφο πιστοποιητικό quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Υπογράψτε το συμπαγές πιστοποιητικό με την εντολή quartus_sign ή την υλοποίηση αναφοράς.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.πιστοποιητικό υπογεγραμμένο_ 1.cert
Quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 33

4. Προμήθεια Συσκευών 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.πιστοποιητικό υπογεγραμμένο_ 1.cert
5. Χρησιμοποιήστε τον προγραμματιστή Intel Quartus Prime για να προγραμματίσετε το συμπαγές πιστοποιητικό κλειδιού ρίζας AES στη συσκευή Intel Agilex 7 μέσω JTAG. Ο προγραμματιστής Intel Quartus Prime προγραμματίζει από προεπιλογή εικονικές eFuses όταν χρησιμοποιεί τον συμπαγή τύπο πιστοποιητικού EFUSE_WRAPPED_AES_KEY.
Προσθέτετε την επιλογή –non_volatile_key για να καθορίσετε φυσικές ασφάλειες προγραμματισμού.
//Για φυσικό (μη πτητικό) κλειδί ρίζας eFuse AES quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –non_volatile_key

//Για εικονικό (πτητικό) κλειδί ρίζας eFuse AES quartus_pgm -c 1 -mjtag -o "pi;signed_efuse1.ccert"

//Για το ριζικό κλειδί BBRAM AES quartus_pgm -c 1 -mjtag -o "pi;signed_bbram1.ccert"

Το υλικολογισμικό της παροχής SDM και το κύριο υλικολογισμικό υποστηρίζουν τον προγραμματισμό πιστοποιητικού κλειδιού ρίζας AES. Μπορείτε επίσης να χρησιμοποιήσετε τη διεπαφή γραμματοκιβωτίου SDM από το ύφασμα FPGA ή το HPS για να προγραμματίσετε ένα πιστοποιητικό κλειδιού ρίζας AES.

Σημείωμα:

Η εντολή quartus_pgm δεν υποστηρίζει τις επιλογές b και v για συμπαγή πιστοποιητικά (.ccert).

4.9.2. Intrinsic ID® PUF AES Root Key Provisioning
Η εφαρμογή του Intrinsic* ID PUF τυλιγμένο AES Key περιλαμβάνει τα ακόλουθα βήματα: 1. Εγγραφή του Intrinsic ID PUF μέσω JTAG. 2. Αναδίπλωση του ριζικού κλειδιού AES. 3. Προγραμματισμός των βοηθητικών δεδομένων και του τυλιγμένου κλειδιού σε τετραπλή μνήμη flash SPI. 4. Ερώτηση για την κατάσταση ενεργοποίησης PUF Intrinsic ID.
Η χρήση της τεχνολογίας Intrinsic ID απαιτεί χωριστή συμφωνία άδειας χρήσης με Intrinsic ID. Το λογισμικό Intel Quartus Prime Pro Edition περιορίζει τις λειτουργίες PUF χωρίς την κατάλληλη άδεια, όπως εγγραφή, αναδίπλωση κλειδιού και προγραμματισμός δεδομένων PUF σε QSPI flash.

4.9.2.1. Εγγραφή PUF Intrinsic ID
Για να εγγράψετε το PUF, πρέπει να χρησιμοποιήσετε το υλικολογισμικό παροχής SDM. Το υλικολογισμικό παροχής πρέπει να είναι το πρώτο υλικολογισμικό που φορτώνεται μετά από έναν κύκλο ισχύος και πρέπει να εκδώσετε την εντολή εγγραφής PUF πριν από οποιαδήποτε άλλη εντολή. Το υλικολογισμικό παροχής υποστηρίζει άλλες εντολές μετά την εγγραφή PUF, συμπεριλαμβανομένης της αναδίπλωσης του ριζικού κλειδιού AES και του προγραμματισμού quad SPI, ωστόσο, πρέπει να ενεργοποιήσετε τη συσκευή για να φορτώσετε μια ροή bit διαμόρφωσης.
Χρησιμοποιείτε τον προγραμματιστή Intel Quartus Prime για να ενεργοποιήσετε την εγγραφή PUF και να δημιουργήσετε τα βοηθητικά δεδομένα PUF .puf file.

Οδηγός χρήστη Intel Agilex® 7 Device Security 34

Αποστολή σχολίων

4. Προμήθεια Συσκευών 683823 | 2023.05.23

Εικόνα 7.

Εγγραφή PUF Intrinsic ID
quartus_pgm Εγγραφή PUF

Εγγραφή βοηθητικών δεδομένων PUF

Ασφαλής Διαχείριση Συσκευών (SDM)

wrapper.puf Helper Data
Ο προγραμματιστής φορτώνει αυτόματα μια εικόνα βοηθητικού υλικολογισμικού παροχής όταν καθορίζετε τόσο τη λειτουργία i όσο και ένα όρισμα .puf.
quartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
Εάν χρησιμοποιείτε συνυπογεγραμμένο υλικολογισμικό, προγραμματίζετε τη βοηθητική εικόνα υλικολογισμικού που έχει υπογραφεί πριν χρησιμοποιήσετε την εντολή εγγραφής PUF.
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" –force quartus_pgm -c 1 -mjtag -o "e;help_data.puf;AGFB014R24A"
Το UDS IID PUF εγγράφεται κατά την κατασκευή της συσκευής και δεν είναι διαθέσιμο για επανεγγραφή. Αντίθετα, χρησιμοποιείτε τον Προγραμματιστή για να προσδιορίσετε τη θέση των βοηθητικών δεδομένων UDS PUF στο IPCS, κάντε λήψη του .puf file απευθείας και, στη συνέχεια, χρησιμοποιήστε το UDS .puf file με τον ίδιο τρόπο όπως το .puf file εξάγεται από μια συσκευή Intel Agilex 7.
Χρησιμοποιήστε την ακόλουθη εντολή Προγραμματιστή για να δημιουργήσετε ένα κείμενο file που περιέχει μια λίστα με URLs δείχνει σε συγκεκριμένη συσκευή files στο IPCS:
quartus_pgm -c 1 -mjtag -o "e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Αναδίπλωση του κλειδιού ρίζας AES
Δημιουργείτε το ριζικό κλειδί AES τυλιγμένο με IID PUF .wkey file στέλνοντας ένα υπογεγραμμένο πιστοποιητικό στην SDM.
Μπορείτε να χρησιμοποιήσετε τον προγραμματιστή Intel Quartus Prime για να δημιουργήσετε αυτόματα, να υπογράψετε και να στείλετε το πιστοποιητικό για να αναδιπλώσετε το ριζικό κλειδί AES ή μπορείτε να χρησιμοποιήσετε το Intel Quartus Prime Programming File Γεννήτρια για τη δημιουργία ενός ανυπόγραφου πιστοποιητικού. Υπογράφετε το ανυπόγραφο πιστοποιητικό χρησιμοποιώντας τα δικά σας εργαλεία ή το εργαλείο υπογραφής Quartus. Στη συνέχεια, χρησιμοποιείτε τον προγραμματιστή για να στείλετε το υπογεγραμμένο πιστοποιητικό και να τυλίξετε το ριζικό κλειδί AES. Το υπογεγραμμένο πιστοποιητικό μπορεί να χρησιμοποιηθεί για τον προγραμματισμό όλων των συσκευών που μπορούν να επικυρώσουν την αλυσίδα υπογραφής.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 35

4. Προμήθεια Συσκευών 683823 | 2023.05.23

Εικόνα 8.

Αναδίπλωση του κλειδιού AES με χρήση του προγραμματιστή Intel Quartus Prime
.pem Ιδιωτικό
Κλειδί

.qky

quartus_pgm

Τυλίξτε το κλειδί AES

Κλειδί AES.QSKigYnature RootCPhuabilnic

Δημιουργήστε τυλιγμένο κλειδί PUF

Τυλιγμένο κλειδί AES

SDM

.qek Κρυπτογράφηση
Κλειδί

.wkey PUF-τυλιγμένο
Κλειδί AES

1. Μπορείτε να δημιουργήσετε το ριζικό κλειδί AES (.wkey) τυλιγμένο με IID PUF με τον Προγραμματιστή χρησιμοποιώντας τα ακόλουθα ορίσματα:
· Το .qky file που περιέχει μια αλυσίδα υπογραφής με άδεια πιστοποιητικού ριζικού κλειδιού AES
· Το ιδιωτικό .pem file για το τελευταίο κλειδί στην αλυσίδα υπογραφής
· Το .qek file κρατώντας το ριζικό κλειδί AES
· Το διάνυσμα αρχικοποίησης 16 byte (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o "ei;aes.wkey;AGFB014R24A"

2. Εναλλακτικά, μπορείτε να δημιουργήσετε ένα ανυπόγραφο πιστοποιητικό κλειδιού ρίζας AES αναδίπλωσης IID PUF με τον προγραμματισμό File Γεννήτρια που χρησιμοποιεί τα ακόλουθα ορίσματα:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Υπογράφετε το ανυπόγραφο πιστοποιητικό με τα δικά σας εργαλεία υπογραφής ή το εργαλείο quartus_sign χρησιμοποιώντας την ακόλουθη εντολή:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Στη συνέχεια, χρησιμοποιείτε τον προγραμματιστή για να στείλετε το υπογεγραμμένο πιστοποιητικό AES και να επιστρέψετε το τυλιγμένο κλειδί (.wkey) file:

quarts_pgm -c 1 -mjtag –πιστοποιητικό_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

Σημείωση: Η λειτουργία i δεν είναι απαραίτητη εάν έχετε φορτώσει προηγουμένως την εικόνα βοηθητικού υλικολογισμικού παροχής, π.χample, για την εγγραφή του PUF.

4.9.2.3. Βοηθητικά δεδομένα προγραμματισμού και τυλιγμένο κλειδί στη μνήμη Flash QSPI
Χρησιμοποιείτε τον προγραμματισμό Quartus File Γραφική διεπαφή γεννήτριας για τη δημιουργία μιας αρχικής εικόνας flash QSPI που περιέχει ένα διαμέρισμα PUF. Πρέπει να δημιουργήσετε και να προγραμματίσετε μια ολόκληρη εικόνα προγραμματισμού flash για να προσθέσετε ένα διαμέρισμα PUF στο φλας QSPI. Δημιουργία του PUF

Οδηγός χρήστη Intel Agilex® 7 Device Security 36

Αποστολή σχολίων

4. Προμήθεια Συσκευών 683823 | 2023.05.23

Εικόνα 9.

κατάτμηση δεδομένων και χρήση των βοηθητικών δεδομένων PUF και του τυλιγμένου κλειδιού fileΤο s για δημιουργία εικόνων flash δεν υποστηρίζεται μέσω του Προγραμματισμού File Διεπαφή γραμμής εντολών γεννήτριας.
Τα παρακάτω βήματα δείχνουν τη δημιουργία μιας εικόνας προγραμματισμού flash με τα βοηθητικά δεδομένα PUF και το τυλιγμένο κλειδί:
1. Στο File μενού, κάντε κλικ στην επιλογή Προγραμματισμός File Γεννήτρια. Στην έξοδο Fileστην καρτέλα s κάντε τις ακόλουθες επιλογές:
ένα. Για την Οικογένεια συσκευών επιλέξτε Agilex 7.
σι. Για τη λειτουργία διαμόρφωσης επιλέξτε Active Serial x4.
ντο. Για τον κατάλογο εξόδου, περιηγηθείτε στην έξοδο σας file Ευρετήριο. Αυτό το πρώηνampχρησιμοποιεί την έξοδο_files.
ρε. Για Όνομα, καθορίστε ένα όνομα για τον προγραμματισμό file να παραχθεί. Αυτό το πρώηνampχρησιμοποιεί την έξοδο_file.
μι. Στην περιοχή Περιγραφή επιλέξτε τον προγραμματισμό files να δημιουργήσει. Αυτό το πρώηνample δημιουργεί το JTAG Έμμεση διαμόρφωση File (.jic) για τη διαμόρφωση της συσκευής και το Raw Binary File Προγραμματισμός Βοηθητικής Εικόνας (.rbf) για εικόνα βοηθού συσκευής. Αυτό το πρώηνampΤο le επιλέγει επίσης τον προαιρετικό Χάρτη μνήμης File (.map) και ακατέργαστα δεδομένα προγραμματισμού File (.rpd). Τα ακατέργαστα δεδομένα προγραμματισμού file είναι απαραίτητο μόνο εάν σκοπεύετε να χρησιμοποιήσετε έναν προγραμματιστή τρίτου κατασκευαστή στο μέλλον.
Προγραμματισμός File Γεννήτρια – Έξοδος Files Tab – Επιλέξτε JTAG Έμμεση Διαμόρφωση

Λειτουργία διαμόρφωσης οικογένειας συσκευής
Παραγωγή file αυτί
Κατάλογος εξόδου
JTAG Έμμεσος (.jic) Χάρτης Μνήμης File Βοηθός προγραμματισμού Ακατέργαστα δεδομένα προγραμματισμού
Στην είσοδο Files, κάντε τις ακόλουθες επιλογές: 1. Κάντε κλικ στην Προσθήκη Bitstream και περιηγηθείτε στο .sof σας. 2. Επιλέξτε το .sof σας file και μετά κάντε κλικ στο Properties.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 37

4. Προμήθεια Συσκευών 683823 | 2023.05.23
ένα. Ενεργοποιήστε το Ενεργοποίηση εργαλείου υπογραφής. σι. Για ιδιωτικό κλειδί file επιλέξτε το .pem σας file. ντο. Ενεργοποιήστε την Ολοκλήρωση κρυπτογράφησης. ρε. Για κλειδί κρυπτογράφησης file επιλέξτε το .qek σας file. μι. Κάντε κλικ στο OK για να επιστρέψετε στο προηγούμενο παράθυρο. 3. Για να καθορίσετε τα βοηθητικά δεδομένα PUF file, κάντε κλικ στην Προσθήκη ακατέργαστων δεδομένων. Αλλαξε το Files του τύπου αναπτυσσόμενου μενού στο Quartus Physical Unclonable Function File (*.puf). Περιηγηθείτε στο .puf σας file. Εάν χρησιμοποιείτε και το IID PUF και το UDS IID PUF, επαναλάβετε αυτό το βήμα έτσι ώστε .puf files για κάθε PUF προστίθενται ως είσοδος fileμικρό. 4. Για να καθορίσετε το τυλιγμένο κλειδί AES file, κάντε κλικ στην Προσθήκη ακατέργαστων δεδομένων. Αλλαξε το Files του τύπου αναπτυσσόμενου μενού στο Quartus Wrapped Key File (*.wkey). Περιηγηθείτε στο .wkey σας file. Εάν έχετε τυλίξει κλειδιά AES χρησιμοποιώντας και το IID PUF και το UDS IID PUF, επαναλάβετε αυτό το βήμα έτσι ώστε .wkey files για κάθε PUF προστίθενται ως είσοδος files.
Εικόνα 10. Καθορίστε την είσοδο Files για Διαμόρφωση, έλεγχο ταυτότητας και κρυπτογράφηση

Προσθήκη Bitstream Προσθήκη ακατέργαστων δεδομένων
Σκηνικά θέατρου
Ιδιωτικό κλειδί file
Οριστικοποίηση κρυπτογράφησης Κλειδί κρυπτογράφησης
Στην καρτέλα Configuration Device, κάντε τις ακόλουθες επιλογές: 1. Κάντε κλικ στο Add Device και επιλέξτε τη συσκευή flash από τη λίστα των διαθέσιμων flash
συσκευές. 2. Επιλέξτε τη συσκευή διαμόρφωσης που μόλις προσθέσατε και κάντε κλικ στην Προσθήκη διαμερίσματος. 3. Στο παράθυρο διαλόγου Επεξεργασία διαμερίσματος για την είσοδο file και επιλέξτε το .sof σας από το
αναπτυσσόμενη λίστα. Μπορείτε να διατηρήσετε τις προεπιλογές ή να επεξεργαστείτε τις άλλες παραμέτρους στο πλαίσιο διαλόγου Επεξεργασία διαμερίσματος.

Οδηγός χρήστη Intel Agilex® 7 Device Security 38

Αποστολή σχολίων

4. Προμήθεια Συσκευών 683823 | 2023.05.23
Εικόνα 11. Καθορισμός του διαμερίσματος .sof Configuration Bitstream

Συσκευή διαμόρφωσης
Επεξεργασία Διαμερίσματος Προσθήκη .sof file

Προσθήκη διαμερίσματος

4. Όταν προσθέτετε τα .puf και .wkey ως είσοδο files, ο Προγραμματισμός File Το Generator δημιουργεί αυτόματα ένα διαμέρισμα PUF στη Συσκευή Διαμόρφωσής σας. Για να αποθηκεύσετε τα .puf και .wkey στο διαμέρισμα PUF, επιλέξτε το διαμέρισμα PUF και κάντε κλικ στο Επεξεργασία. Στο παράθυρο διαλόγου Επεξεργασία διαμερίσματος, επιλέξτε τα .puf και .wkey files από τις αναπτυσσόμενες λίστες. Εάν αφαιρέσετε το διαμέρισμα PUF, πρέπει να αφαιρέσετε και να προσθέσετε ξανά τη συσκευή διαμόρφωσης για τον προγραμματισμό File Γεννήτρια για να δημιουργήσετε ένα άλλο διαμέρισμα PUF. Πρέπει να βεβαιωθείτε ότι έχετε επιλέξει τα σωστά .puf και .wkey file για το IID PUF και το UDS IID PUF, αντίστοιχα.
Εικόνα 12. Προσθέστε τα .puf και .wkey files στο διαμέρισμα PUF

Διαμέρισμα PUF

Εκδίδω

Επεξεργασία κατάτμησης

Flash Loader

Επιλέξτε Δημιουργία

5. Για την παράμετρο Flash Loader επιλέξτε την οικογένεια συσκευών Intel Agilex 7 και το όνομα συσκευής που ταιριάζει με το Intel Agilex 7 OPN.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 39

4. Προμήθεια Συσκευών 683823 | 2023.05.23
6. Κάντε κλικ στο Generate για να δημιουργήσετε την έξοδο files που καθορίσατε στην έξοδο Fileκαρτέλα s.
7. Ο Προγραμματισμός File Η γεννήτρια διαβάζει το .qek σας file και σας ζητά τη φράση πρόσβασης. Πληκτρολογήστε τη φράση πρόσβασης ως απόκριση στο μήνυμα Enter QEK για τη φράση πρόσβασης. Κάντε κλικ στο πλήκτρο Enter.
8. Κάντε κλικ στο OK κατά τον προγραμματισμό File Η γεννήτρια αναφέρει επιτυχημένη παραγωγή.
Χρησιμοποιείτε τον προγραμματιστή Intel Quartus Prime για να γράψετε την εικόνα προγραμματισμού QSPI στη μνήμη flash QSPI. 1. Στο μενού Intel Quartus Prime Tools, επιλέξτε Προγραμματιστής. 2. Στον Προγραμματιστή, κάντε κλικ στο Hardware Setup και, στη συνέχεια, επιλέξτε μια συνδεδεμένη Intel
Καλώδιο λήψης FPGA. 3. Κάντε κλικ στην Προσθήκη File και περιηγηθείτε στο .jic σας file.
Εικόνα 13. Πρόγραμμα .jic

Προγραμματισμός file

Πρόγραμμα/Διαμόρφωση

JTAG αλυσίδα σάρωσης
4. Αποεπιλέξτε το πλαίσιο που σχετίζεται με την εικόνα Helper. 5. Επιλέξτε Πρόγραμμα/Διαμόρφωση για την έξοδο .jic file. 6. Ενεργοποιήστε το κουμπί Έναρξη για να προγραμματίσετε τη μνήμη flash quad SPI. 7. Κυκλοφορήστε την τροφοδοσία της πλακέτας σας. Η σχεδίαση προγραμματίστηκε στη μνήμη flash quad SPI
η συσκευή στη συνέχεια φορτώνεται στο FPGA-στόχο.
Πρέπει να δημιουργήσετε και να προγραμματίσετε μια ολόκληρη εικόνα προγραμματισμού flash για να προσθέσετε ένα διαμέρισμα PUF στο quad SPI flash.
Όταν υπάρχει ήδη ένα διαμέρισμα PUF στο φλας, μπορείτε να χρησιμοποιήσετε τον προγραμματιστή Intel Quartus Prime για άμεση πρόσβαση στα βοηθητικά δεδομένα PUF και στο τυλιγμένο κλειδί fileμικρό. Για π.χample, εάν η ενεργοποίηση δεν είναι επιτυχής, μπορείτε να εγγράψετε ξανά το PUF, να τυλίξετε ξανά το κλειδί AES και στη συνέχεια να προγραμματίσετε μόνο το PUF files χωρίς να χρειάζεται να αντικαταστήσετε ολόκληρο το φλας.

Οδηγός χρήστη Intel Agilex® 7 Device Security 40

Αποστολή σχολίων

4. Προμήθεια Συσκευών 683823 | 2023.05.23
Ο προγραμματιστής Intel Quartus Prime υποστηρίζει το ακόλουθο όρισμα λειτουργίας για το PUF files σε ένα προϋπάρχον διαμέρισμα PUF:
· p: πρόγραμμα
· v: επαλήθευση
· r: διαγραφή
· β: λευκή επιταγή
Πρέπει να ακολουθείτε τους ίδιους περιορισμούς για την εγγραφή PUF, ακόμη και αν υπάρχει διαμέρισμα PUF.
1. Χρησιμοποιήστε το όρισμα λειτουργίας i για να φορτώσετε την εικόνα βοηθητικού υλικολογισμικού παροχής για την πρώτη λειτουργία. Για π.χample, η ακόλουθη σειρά εντολών εγγράφει ξανά το PUF, αναδιπλώστε ξανά το ριζικό κλειδί AES, διαγράψτε τα παλιά βοηθητικά δεδομένα PUF και το αναδιπλωμένο κλειδί και, στη συνέχεια, προγραμματίστε και επαληθεύστε τα νέα βοηθητικά δεδομένα PUF και το ριζικό κλειδί AES.
quartus_pgm -c 1 -mjtag -o "ei;new.puf;AGFB014R24A" quartus_pgm -c 1 -mjtag –πιστοποιητικό_file=signed_aes.ccert -o "e;new.wkey;AGFB014R24A" quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o "v;new.wkey"
4.9.2.4. Ερώτημα κατάστασης ενεργοποίησης PUF Intrinsic ID
Αφού εγγράψετε το Intrinsic ID PUF, τυλίξτε ένα κλειδί AES και δημιουργήστε τον προγραμματισμό φλας files, και ενημερώστε το quad SPI flash, ενεργοποιείτε τη συσκευή σας για να ενεργοποιήσετε την ενεργοποίηση και τη διαμόρφωση PUF από την κρυπτογραφημένη ροή bit. Η μονάδα SDM αναφέρει την κατάσταση ενεργοποίησης PUF μαζί με την κατάσταση διαμόρφωσης. Εάν η ενεργοποίηση PUF αποτύχει, η μονάδα SDM αναφέρει την κατάσταση σφάλματος PUF. Χρησιμοποιήστε την εντολή quartus_pgm για να ρωτήσετε την κατάσταση διαμόρφωσης.
1. Χρησιμοποιήστε την ακόλουθη εντολή για να ρωτήσετε την κατάσταση ενεργοποίησης:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Εδώ είναι το sampΈξοδος από μια επιτυχημένη ενεργοποίηση:
Πληροφορίες (21597): Η απόκριση της συσκευής CONFIG_STATUS εκτελείται σε λειτουργία χρήστη 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Έκδοση C000007B MSEL=QSPI1,STARMD=QSPI_NOT
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Τοποθεσία σφάλματος 00000000 Λεπτομέρειες σφάλματος Απόκριση PUF00002000K2 00000500 USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 41

4. Προμήθεια Συσκευών 683823 | 2023.05.23

Εάν χρησιμοποιείτε μόνο το IID PUF ή το UDS IID PUF και δεν έχετε προγραμματίσει βοηθητικά δεδομένα .puf file για οποιοδήποτε PUF στο φλας QSPI, αυτό το PUF δεν ενεργοποιείται και η κατάσταση PUF αντικατοπτρίζει ότι τα βοηθητικά δεδομένα PUF δεν είναι έγκυρα. Οι παρακάτω π.χampΤο le δείχνει την κατάσταση PUF όταν τα βοηθητικά δεδομένα PUF δεν είχαν προγραμματιστεί για κανένα από τα δύο PUF:
Απόκριση PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Θέση του PUF στη μνήμη Flash
Η θέση του PUF file είναι διαφορετικό για σχέδια που υποστηρίζουν RSU και σχέδια που δεν υποστηρίζουν τη δυνατότητα RSU.

Για σχέδια που δεν υποστηρίζουν RSU, πρέπει να συμπεριλάβετε τα .puf και .wkey files όταν δημιουργείτε ενημερωμένες εικόνες flash. Για σχέδια που υποστηρίζουν RSU, η SDM δεν αντικαθιστά τις ενότητες δεδομένων PUF κατά τις ενημερώσεις εικόνας εργοστασιακών ή εφαρμογών.

Πίνακας 2.

Flash Sub-Partition Layout χωρίς υποστήριξη RSU

Μετατόπιση φλας (σε byte)

Μέγεθος (σε byte)

Περιεχόμενα

Περιγραφή

0K 256K

256K 256K

Υλικολογισμικό Διαχείρισης Διαμόρφωσης Υλικολογισμικό Διαχείρισης Διαμόρφωσης

Υλικολογισμικό που τρέχει σε SDM.

512K

256K

Υλικολογισμικό διαχείρισης διαμόρφωσης

768K

256K

Υλικολογισμικό διαχείρισης διαμόρφωσης

32K

Αντίγραφο δεδομένων PUF 0

Δομή δεδομένων για την αποθήκευση βοηθητικών δεδομένων PUF και αντιγράφου ριζικού κλειδιού AES τυλιγμένο με PUF 0

1M+32K

32K

Αντίγραφο δεδομένων PUF 1

Δομή δεδομένων για την αποθήκευση βοηθητικών δεδομένων PUF και αντιγράφου ριζικού κλειδιού AES τυλιγμένο με PUF 1

Πίνακας 3.

Διάταξη υποτμημάτων Flash με υποστήριξη RSU

Μετατόπιση φλας (σε byte)

Μέγεθος (σε byte)

Περιεχόμενα

Περιγραφή

0K 512K

512K 512K

Υλικολογισμικό απόφασης Υλικολογισμικό απόφασης

Υλικολογισμικό για τον εντοπισμό και τη φόρτωση της εικόνας υψηλότερης προτεραιότητας.

1M 1.5M

512K 512K

Υλικολογισμικό απόφασης Υλικολογισμικό απόφασης

8K + 24K

Δεδομένα υλικολογισμικού απόφασης

Υλικό παραγεμίσματος

Προορίζεται για χρήση υλικολογισμικού απόφασης.

2M + 32K

32K

Με κράτηση για SDM

Με κράτηση για SDM.

2M + 64K

Μεταβλητός

Εργοστασιακή εικόνα

Μια απλή εικόνα που δημιουργείτε ως αντίγραφο ασφαλείας εάν αποτύχουν να φορτωθούν όλες οι άλλες εικόνες εφαρμογής. Αυτή η εικόνα περιλαμβάνει το CMF που εκτελείται στη μονάδα SDM.

Επόμενος

32K

Αντίγραφο δεδομένων PUF 0

Δομή δεδομένων για την αποθήκευση βοηθητικών δεδομένων PUF και αντιγράφου ριζικού κλειδιού AES τυλιγμένο με PUF 0
συνέχισε…

Οδηγός χρήστη Intel Agilex® 7 Device Security 42

Αποστολή σχολίων

4. Προμήθεια Συσκευών 683823 | 2023.05.23

Μετατόπιση φλας (σε byte)

Μέγεθος (σε byte)

Επόμενο +32K 32K

Περιεχόμενα αντίγραφο δεδομένων PUF 1

Επόμενο + 256K 4K Επόμενο +32K 4K Επόμενο +32K 4K

Αντίγραφο πίνακα υποδιαιρέσεων 0 Αντίγραφο πίνακα υποδιαιρέσεων 1 Αντίγραφο μπλοκ δείκτη CMF 0

Επόμενο +32K _

Αντίγραφο μπλοκ δείκτη CMF 1

Μεταβλητή Μεταβλητή

Εικόνα εφαρμογής 1 Εικόνα εφαρμογής 2

4.9.3. Προμήθεια μαύρου κλειδιού

Περιγραφή
Δομή δεδομένων για την αποθήκευση βοηθητικών δεδομένων PUF και αντιγράφου ριζικού κλειδιού AES τυλιγμένο με PUF 1
Δομή δεδομένων για διευκόλυνση της διαχείρισης της αποθήκευσης flash.
Μια λίστα δεικτών για εικόνες εφαρμογών με σειρά προτεραιότητας. Όταν προσθέτετε μια εικόνα, αυτή η εικόνα γίνεται η υψηλότερη.
Ένα δεύτερο αντίγραφο της λίστας δεικτών σε εικόνες εφαρμογής.
Η πρώτη εικόνα της εφαρμογής σας.
Η δεύτερη εικόνα της εφαρμογής σας.

Σημείωμα:

Το Intel Quartus PrimeProgrammer βοηθά στη δημιουργία μιας αμοιβαία επαληθευμένης ασφαλούς σύνδεσης μεταξύ της συσκευής Intel Agilex 7 και της υπηρεσίας παροχής μαύρου κλειδιού. Η ασφαλής σύνδεση δημιουργείται μέσω https και απαιτεί πολλά πιστοποιητικά που προσδιορίζονται χρησιμοποιώντας ένα κείμενο file.
Όταν χρησιμοποιείτε Black Key Provisioning, η Intel συνιστά να αποφεύγετε την εξωτερική σύνδεση της ακίδας TCK για να τραβήξετε προς τα πάνω ή να κατεβάσετε μια αντίσταση ενώ εξακολουθείτε να τη χρησιμοποιείτε για JTAG. Ωστόσο, μπορείτε να συνδέσετε τον ακροδέκτη TCK στο τροφοδοτικό VCCIO SDM χρησιμοποιώντας μια αντίσταση 10 k. Η υπάρχουσα καθοδήγηση στις Οδηγίες σύνδεσης ακίδων για τη σύνδεση του TCK σε μια πτυσσόμενη αντίσταση 1 k περιλαμβάνεται για την καταστολή θορύβου. Η αλλαγή στην καθοδήγηση σε μια αντίσταση έλξης 10 k δεν επηρεάζει τη συσκευή λειτουργικά. Για περισσότερες πληροφορίες σχετικά με τη σύνδεση του ακροδέκτη TCK, ανατρέξτε στις Οδηγίες σύνδεσης Intel Agilex 7 Pin.
Το Thebkp_tls_ca_certcertificate ελέγχει την ταυτότητα της υπηρεσίας παροχής μαύρου κλειδιού στην παρουσία προγραμματιστή παροχής μαύρου κλειδιού. Τα πιστοποιητικά Thebkp_tls_* ελέγχουν την ταυτότητα της παρουσίας προγραμματιστή παροχής μαύρου κλειδιού στην παρουσία της υπηρεσίας παροχής μαύρου κλειδιού.
Δημιουργείτε ένα κείμενο file που περιέχει τις απαραίτητες πληροφορίες για τη σύνδεση του προγραμματιστή Intel Quartus Prime στην υπηρεσία παροχής μαύρου κλειδιού. Για να ξεκινήσετε την παροχή μαύρου κλειδιού, χρησιμοποιήστε τη διεπαφή γραμμής εντολών του Προγραμματιστή για να καθορίσετε το κείμενο επιλογών παροχής μαύρου κλειδιού file. Στη συνέχεια, η παροχή μαύρου κλειδιού προχωρά αυτόματα. Για πρόσβαση στην υπηρεσία παροχής μαύρου κλειδιού και τη σχετική τεκμηρίωση, επικοινωνήστε με την Υποστήριξη της Intel.
Μπορείτε να ενεργοποιήσετε την παροχή μαύρου κλειδιού χρησιμοποιώντας την εντολή thequartus_pgm:
quartus_pgm -γ -Μ -συσκευή –bkp_options=bkp_options.txt
Τα ορίσματα εντολών καθορίζουν τις ακόλουθες πληροφορίες:

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 43

4. Προμήθεια Συσκευών 683823 | 2023.05.23

· -c: αριθμός καλωδίου · -m: καθορίζει τη λειτουργία προγραμματισμού όπως JTAG · –συσκευή: καθορίζει ένα ευρετήριο συσκευής στο JTAG αλυσίδα. Η προεπιλεγμένη τιμή είναι 1. · –bkp_options: καθορίζει ένα κείμενο file που περιέχει επιλογές παροχής μαύρου κλειδιού.
Σχετικές πληροφορίες Οδηγίες σύνδεσης για οικογενειακή καρφίτσα συσκευών Intel Agilex 7

4.9.3.1. Επιλογές παροχής μαύρου κλειδιού
Οι επιλογές παροχής μαύρου κλειδιού είναι ένα κείμενο file μεταβιβάστηκε στον Προγραμματιστή μέσω της εντολής quartus_pgm. ο file περιέχει τις απαιτούμενες πληροφορίες για την ενεργοποίηση της παροχής μαύρου κλειδιού.
Το παρακάτω είναι ένα πρώηνample του bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem_key. διεύθυνση = https://1234:192.167.5.5 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Πίνακας 4.

Επιλογές παροχής μαύρου κλειδιού
Αυτός ο πίνακας εμφανίζει τις επιλογές που απαιτούνται για την ενεργοποίηση της παροχής μαύρου κλειδιού.

Όνομα επιλογής

Τύπος

Περιγραφή

bkp_ip

Υποχρεούμαι

Καθορίζει τη διεύθυνση IP του διακομιστή που εκτελεί την υπηρεσία παροχής μαύρου κλειδιού.

bkp_port

Υποχρεούμαι

Καθορίζει τη θύρα υπηρεσίας παροχής μαύρου κλειδιού που απαιτείται για τη σύνδεση στο διακομιστή.

bkp_cfg_id

Υποχρεούμαι

Προσδιορίζει το αναγνωριστικό ροής διαμόρφωσης παροχής μαύρου κλειδιού.
Η υπηρεσία παροχής μαύρου κλειδιού δημιουργεί τις ροές διαμόρφωσης παροχής μαύρου κλειδιού, συμπεριλαμβανομένου ενός ριζικού κλειδιού AES, επιθυμητών ρυθμίσεων eFuse και άλλων επιλογών εξουσιοδότησης παροχής μαύρου κλειδιού. Ο αριθμός που εκχωρήθηκε κατά τη ρύθμιση της υπηρεσίας παροχής μαύρου κλειδιού προσδιορίζει τις ροές διαμόρφωσης παροχής μαύρου κλειδιού.
Σημείωση: Πολλές συσκευές μπορεί να αναφέρονται στην ίδια ροή διαμόρφωσης υπηρεσίας παροχής μαύρου κλειδιού.

bkp_tls_ca_cert

Υποχρεούμαι

Το πιστοποιητικό ρίζας TLS χρησιμοποιείται για την αναγνώριση των υπηρεσιών παροχής μαύρου κλειδιού στον προγραμματιστή Intel Quartus Prime (Προγραμματιστής). Μια αξιόπιστη αρχή έκδοσης πιστοποιητικών για την παρουσία υπηρεσίας παροχής μαύρου κλειδιού εκδίδει αυτό το πιστοποιητικό.
Εάν εκτελείτε τον Προγραμματιστή σε υπολογιστή με λειτουργικό σύστημα Microsoft® Windows® (Windows), πρέπει να εγκαταστήσετε αυτό το πιστοποιητικό στο χώρο αποθήκευσης πιστοποιητικών των Windows.

bkp_tls_prog_cert

Υποχρεούμαι

Ένα πιστοποιητικό που δημιουργήθηκε για την περίπτωση του προγραμματιστή παροχής μαύρου κλειδιού (BKP Programmer). Αυτό είναι το πιστοποιητικό πελάτη https που χρησιμοποιείται για την αναγνώριση αυτής της παρουσίας προγραμματιστή BKP
συνέχισε…

Οδηγός χρήστη Intel Agilex® 7 Device Security 44

Αποστολή σχολίων

4. Προμήθεια Συσκευών 683823 | 2023.05.23

Όνομα επιλογής

Τύπος

bkp_tls_prog_key

Υποχρεούμαι

bkp_tls_prog_key_pass Προαιρετικό

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Προαιρετικό Προαιρετικό Προαιρετικό

Περιγραφή
στην υπηρεσία παροχής μαύρου κλειδιού. Πρέπει να εγκαταστήσετε και να εξουσιοδοτήσετε αυτό το πιστοποιητικό στην υπηρεσία παροχής μαύρου κλειδιού πριν ξεκινήσετε μια περίοδο λειτουργίας παροχής μαύρου κλειδιού. Εάν εκτελείτε τον Προγραμματιστή σε Windows, αυτή η επιλογή δεν είναι διαθέσιμη. Σε αυτήν την περίπτωση, το bkp_tls_prog_key περιλαμβάνει ήδη αυτό το πιστοποιητικό.
Το ιδιωτικό κλειδί που αντιστοιχεί στο πιστοποιητικό προγραμματιστή BKP. Το κλειδί επικυρώνει την ταυτότητα του στιγμιότυπου του Προγραμματιστή BKP στην υπηρεσία παροχής μαύρου κλειδιού. Εάν εκτελείτε τον Προγραμματιστή στα Windows, το .pfx file συνδυάζει το πιστοποιητικό bkp_tls_prog_cert και το ιδιωτικό κλειδί. Η επιλογή bkp_tlx_prog_key περνάει το .pfx file στο bkp_options.txt file.
Ο κωδικός πρόσβασης για το ιδιωτικό κλειδί bkp_tls_prog_key. Δεν απαιτείται στο κείμενο των επιλογών διαμόρφωσης παροχής μαύρου κλειδιού (bkp_options.txt) file.
Καθορίζει τον διακομιστή μεσολάβησης URL διεύθυνση.
Καθορίζει το όνομα χρήστη του διακομιστή μεσολάβησης.
Καθορίζει τον κωδικό πρόσβασης ελέγχου ταυτότητας διακομιστή μεσολάβησης.

4.10. Μετατροπή ριζικού κλειδιού κατόχου, πιστοποιητικών ρίζας κλειδιού AES και ασφάλειας files στο Jam STAPL File Μορφές

Μπορείτε να χρησιμοποιήσετε την εντολή γραμμής εντολών quartus_pfg για να μετατρέψετε .qky, ριζικό κλειδί AES .ccert και .fuse files σε μορφή Jam STAPL File (.jam) και Μορφή κώδικα Jam Byte File (.jbc). Μπορείτε να χρησιμοποιήσετε αυτά files για να προγραμματίσετε τα Intel FPGA χρησιμοποιώντας το Jam STAPL Player και το Jam STAPL Byte-Code Player, αντίστοιχα.

Ένα μεμονωμένο .jam ή .jbc περιέχει πολλές λειτουργίες, όπως διαμόρφωση και πρόγραμμα βοηθητικής εικόνας υλικολογισμικού, κενό έλεγχο και επαλήθευση του προγραμματισμού κλειδιού και ασφαλειών.

Προσοχή:

Όταν μετατρέπετε το ριζικό κλειδί AES .ccert file σε μορφή .jam, το .jam file περιέχει το κλειδί AES σε απλό κείμενο αλλά συγκεχυμένη μορφή. Κατά συνέπεια, πρέπει να προστατεύσετε το .μαρμελάδα file κατά την αποθήκευση του κλειδιού AES. Μπορείτε να το κάνετε αυτό παρέχοντας το κλειδί AES σε ένα ασφαλές περιβάλλον.

Εδώ είναι πρώηνamples of quartus_pfg εντολές μετατροπής:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky.qeyky;root2.pfg” c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A er_device=AGFB014R24A ρυθμίσεις. settings_fuse.jbc

Για περισσότερες πληροφορίες σχετικά με τη χρήση του Jam STAPL Player για προγραμματισμό συσκευών, ανατρέξτε στο AN 425: Χρήση της λύσης Jam STAPL στη γραμμή εντολών για προγραμματισμό συσκευών.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 45

4. Προμήθεια Συσκευών 683823 | 2023.05.23
Εκτελέστε τις ακόλουθες εντολές για να προγραμματίσετε το δημόσιο κλειδί ρίζας κατόχου και το κλειδί κρυπτογράφησης AES:
//Για να φορτώσει το βοηθητικό bitstream στο FPGA. // Η βοηθητική ροή bit περιλαμβάνει υλικολογισμικό παροχής quartus_jli -c 1 -a CONFIGURE RootKey.jam
//Για να προγραμματίσετε το δημόσιο κλειδί ρίζας κατόχου σε εικονικά eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Για να προγραμματίσετε το δημόσιο κλειδί ρίζας κατόχου σε φυσικές eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Για να προγραμματίσετε το δημόσιο κλειδί ρίζας κατόχου PR σε εικονικά eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Για να προγραμματίσετε το δημόσιο κλειδί ρίζας κατόχου PR σε φυσικά eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Για να προγραμματίσετε το κλειδί κρυπτογράφησης AES CCERT σε BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Για να προγραμματίσετε το κλειδί κρυπτογράφησης AES CCERT σε φυσικές eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Σχετικές πληροφορίες AN 425: Χρήση της Λύσης STAPL Jam Jam Line Command-Line για προγραμματισμό συσκευών

Οδηγός χρήστη Intel Agilex® 7 Device Security 46

Αποστολή σχολίων

683823 | 2023.05.23 Αποστολή σχολίων

Προηγμένες δυνατότητες

5.1. Ασφαλής εξουσιοδότηση εντοπισμού σφαλμάτων
Για να ενεργοποιηθεί η Εξουσιοδότηση Ασφαλούς εντοπισμού σφαλμάτων, ο κάτοχος εντοπισμού σφαλμάτων πρέπει να δημιουργήσει ένα ζεύγος κλειδιών ελέγχου ταυτότητας και να χρησιμοποιήσει τον προγραμματιστή Intel Quartus Prime Pro για τη δημιουργία πληροφοριών συσκευής file για τη συσκευή που εκτελεί την εικόνα εντοπισμού σφαλμάτων:
quartus_pgm -c 1 -mjtag -o "ei;device_info.txt;AGFB014R24A" –dev_info
Ο κάτοχος της συσκευής χρησιμοποιεί το εργαλείο quartus_sign ή την υλοποίηση αναφοράς για να προσαρτήσει μια καταχώρηση δημόσιου κλειδιού υπό όρους σε μια αλυσίδα υπογραφής που προορίζεται για λειτουργίες εντοπισμού σφαλμάτων χρησιμοποιώντας το δημόσιο κλειδί από τον κάτοχο εντοπισμού σφαλμάτων, τις απαραίτητες εξουσιοδοτήσεις, το κείμενο πληροφοριών συσκευής fileκαι ισχύοντες περαιτέρω περιορισμοί:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″, –in, debug_authorization_public_key.pem safe_debug_auth_chain.qky
Ο κάτοχος της συσκευής στέλνει την πλήρη αλυσίδα υπογραφής πίσω στον κάτοχο εντοπισμού σφαλμάτων, ο οποίος χρησιμοποιεί την αλυσίδα υπογραφής και το ιδιωτικό του κλειδί για να υπογράψει την εικόνα εντοπισμού σφαλμάτων:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Μπορείτε να χρησιμοποιήσετε την εντολή quartus_pfg για να επιθεωρήσετε την αλυσίδα υπογραφής κάθε τμήματος αυτού του υπογεγραμμένου ασφαλούς bitstream εντοπισμού σφαλμάτων ως εξής:
quartus_pfg –check_integrity authorized_debug_design.rbf
Η έξοδος αυτής της εντολής εκτυπώνει τις τιμές περιορισμού 1,2,17,18 του υπό όρους δημόσιου κλειδιού που χρησιμοποιήθηκε για τη δημιουργία της υπογεγραμμένης ροής bit.
Ο κάτοχος εντοπισμού σφαλμάτων μπορεί στη συνέχεια να προγραμματίσει τον με ασφάλεια εξουσιοδοτημένο σχεδιασμό εντοπισμού σφαλμάτων:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
Ο κάτοχος της συσκευής μπορεί να ανακαλέσει την εξουσιοδότηση ασφαλούς εντοπισμού σφαλμάτων ακυρώνοντας το ρητό αναγνωριστικό ακύρωσης κλειδιού που έχει εκχωρηθεί στην αλυσίδα υπογραφών εξουσιοδότησης ασφαλούς εντοπισμού σφαλμάτων.
5.2. Πιστοποιητικά εντοπισμού σφαλμάτων HPS
Ενεργοποίηση μόνο εξουσιοδοτημένης πρόσβασης στη θύρα πρόσβασης εντοπισμού σφαλμάτων HPS (DAP) μέσω JTAG Η διεπαφή απαιτεί πολλά βήματα:

ISO 9001: 2015 εγγεγραμμένο

5. Προηγμένες λειτουργίες 683823 | 2023.05.23
1. Κάντε κλικ στο μενού Εργασίες λογισμικού Intel Quartus Prime και επιλέξτε την καρτέλα Device Device and Pin Options Configuration.
2. Στην καρτέλα Configuration, ενεργοποιήστε τη θύρα πρόσβασης εντοπισμού σφαλμάτων HPS (DAP) επιλέγοντας είτε HPS Pins είτε SDM Pins από το αναπτυσσόμενο μενού και διασφαλίζοντας ότι δεν είναι επιλεγμένο το πλαίσιο ελέγχου Να επιτρέπεται ο εντοπισμός σφαλμάτων HPS χωρίς πιστοποιητικά.
Εικόνα 14. Καθορίστε είτε HPS είτε SDM Pins για το HPS DAP

Θύρα πρόσβασης εντοπισμού σφαλμάτων HPS (DAP)
Εναλλακτικά, μπορείτε να ορίσετε την παρακάτω ανάθεση στις Ρυθμίσεις Quartus Prime .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE “SDM PINS”
3. Μεταγλώττιση και φόρτωση του σχεδίου με αυτές τις ρυθμίσεις. 4. Δημιουργήστε μια αλυσίδα υπογραφών με τα κατάλληλα δικαιώματα για να υπογράψετε έναν εντοπισμό σφαλμάτων HPS
πιστοποιητικό:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_chacer.
5. Ζητήστε ένα ανυπόγραφο πιστοποιητικό εντοπισμού σφαλμάτων HPS από τη συσκευή όπου έχει φορτωθεί το σχέδιο εντοπισμού σφαλμάτων:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. Υπογράψτε το ανυπόγραφο πιστοποιητικό εντοπισμού σφαλμάτων HPS χρησιμοποιώντας το εργαλείο quartus_sign ή την υλοποίηση αναφοράς και την αλυσίδα υπογραφής εντοπισμού σφαλμάτων HPS:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Οδηγός χρήστη Intel Agilex® 7 Device Security 48

Αποστολή σχολίων

5. Προηγμένες λειτουργίες 683823 | 2023.05.23
7. Στείλτε το υπογεγραμμένο πιστοποιητικό εντοπισμού σφαλμάτων HPS πίσω στη συσκευή για να ενεργοποιήσετε την πρόσβαση στη θύρα πρόσβασης εντοπισμού σφαλμάτων HPS (DAP):
quartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
Το πιστοποιητικό εντοπισμού σφαλμάτων HPS ισχύει μόνο από τη στιγμή που δημιουργήθηκε μέχρι τον επόμενο κύκλο τροφοδοσίας της συσκευής ή έως ότου φορτωθεί διαφορετικός τύπος ή έκδοση υλικολογισμικού SDM. Πρέπει να δημιουργήσετε, να υπογράψετε και να προγραμματίσετε το υπογεγραμμένο πιστοποιητικό εντοπισμού σφαλμάτων HPS και να εκτελέσετε όλες τις λειτουργίες εντοπισμού σφαλμάτων, πριν από την ενεργοποίηση της συσκευής. Μπορείτε να ακυρώσετε το υπογεγραμμένο πιστοποιητικό εντοπισμού σφαλμάτων HPS, θέτοντας σε λειτουργία τη συσκευή.
5.3. Βεβαίωση πλατφόρμας
Μπορείτε να δημιουργήσετε μια δήλωση ακεραιότητας αναφοράς (.rim) file χρησιμοποιώντας τον προγραμματισμό file εργαλείο γεννήτριας:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Ακολουθήστε αυτά τα βήματα για να εξασφαλίσετε την πιστοποίηση της πλατφόρμας στο σχεδιασμό σας: 1. Χρησιμοποιήστε τον προγραμματιστή Intel Quartus Prime Pro για να διαμορφώσετε τη συσκευή σας με
σχέδιο για το οποίο δημιουργήσατε μια δήλωση ακεραιότητας αναφοράς. 2. Χρησιμοποιήστε έναν επαληθευτή βεβαίωσης πλατφόρμας για να εγγράψετε τη συσκευή εκδίδοντας εντολές στο
SDM μέσω του γραμματοκιβωτίου SDM για να δημιουργήσετε το πιστοποιητικό αναγνωριστικού συσκευής και το πιστοποιητικό υλικολογισμικού κατά την επαναφόρτωση. 3. Χρησιμοποιήστε τον προγραμματιστή Intel Quartus Prime Pro για να διαμορφώσετε ξανά τη συσκευή σας με τη σχεδίαση. 4. Χρησιμοποιήστε τον επαληθευτή βεβαίωσης πλατφόρμας για να εκδώσετε εντολές στη μονάδα SDM για να λάβετε το αναγνωριστικό της συσκευής βεβαίωσης, το υλικολογισμικό και τα πιστοποιητικά ψευδωνύμου. 5. Χρησιμοποιήστε τον επαληθευτή βεβαίωσης για να εκδώσετε την εντολή γραμματοκιβωτίου SDM για να λάβετε τα αποδεικτικά στοιχεία βεβαίωσης και ο επαληθευτής ελέγχει τα αποδεικτικά στοιχεία που επιστράφηκαν.
Μπορείτε να εφαρμόσετε τη δική σας υπηρεσία επαληθευτή χρησιμοποιώντας τις εντολές γραμματοκιβωτίου SDM ή να χρησιμοποιήσετε την υπηρεσία επαλήθευσης βεβαίωσης πλατφόρμας Intel. Για περισσότερες πληροφορίες σχετικά με το λογισμικό υπηρεσίας, τη διαθεσιμότητα και την τεκμηρίωση του επαληθευτή πιστοποιήσεων πλατφόρμας Intel, επικοινωνήστε με την Υποστήριξη της Intel.
Σχετικές πληροφορίες Οδηγίες σύνδεσης για οικογενειακή καρφίτσα συσκευών Intel Agilex 7
5.4. Φυσικό Anti-Tamper
Ενεργοποιείτε το φυσικό anti-tamper χαρακτηριστικά χρησιμοποιώντας τα ακόλουθα βήματα: 1. Επιλογή της επιθυμητής απόκρισης σε ένα ανιχνευμένο tamper συμβάν 2. Διαμόρφωση του επιθυμητού tamper μέθοδοι και παράμετροι ανίχνευσης 3. Συμπεριλαμβανομένου του anti-tamper IP στη λογική σχεδιασμού σας για να σας βοηθήσει να διαχειριστείτε το anti-tamper
εκδηλώσεις

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 49

5. Προηγμένες λειτουργίες 683823 | 2023.05.23
5.4.1. Αντι-Τamper Απαντήσεις
Ενεργοποιείτε το φυσικό anti-tampεπιλέγοντας μια απάντηση από το Anti-tampΑπόκριση: αναπτυσσόμενη λίστα στο Assignments Device Device and Pin Options Security Anti-Tamper καρτέλα. Από προεπιλογή, το anti-tampη απόκριση είναι απενεργοποιημένη. Πέντε κατηγορίες αντι-τampη απάντηση είναι διαθέσιμη. Όταν επιλέγετε την επιθυμητή απόκριση, ενεργοποιούνται οι επιλογές για την ενεργοποίηση μιας ή περισσότερων μεθόδων ανίχνευσης.
Εικόνα 15. Διαθέσιμο Anti-Tamper Επιλογές απόκρισης

Η αντίστοιχη εκχώρηση στις ρυθμίσεις Quartus Prime .gsf file είναι το εξής:
set_global_assignment -όνομα ANTI_TAMPER_RESPONSE "ΕΙΔΟΠΟΙΗΣΗ ΣΥΣΚΕΥΗΣ ΣΚΟΥΡΓΙΣΜΟΣ ΚΛΕΙΔΩΜΑ ΣΥΣΚΕΥΗΣ ΚΑΙ ΜΗΔΕΝΙΣΜΟΣ"
Όταν ενεργοποιείτε ένα anti-tampΣε περίπτωση απόκρισης, μπορείτε να επιλέξετε δύο διαθέσιμες ακίδες εισόδου/εξόδου της SDM για έξοδο του tamper ανίχνευση συμβάντων και την κατάσταση απόκρισης χρησιμοποιώντας το παράθυρο Assignments Device Device and Pin Options Configuration Configuration Pin Options.

Οδηγός χρήστη Intel Agilex® 7 Device Security 50

Αποστολή σχολίων

5. Προηγμένες λειτουργίες 683823 | 2023.05.23
Εικόνα 16. Διαθέσιμες ακίδες εισόδου/εξόδου της SDM για Tamper Ανίχνευση συμβάντων

Μπορείτε επίσης να κάνετε τις ακόλουθες αντιστοιχίσεις καρφιτσών στις ρυθμίσεις file: set_global_assignment -όνομα USE_TAMPER_DETECT SDM_IO15 set_global_assignment -όνομα ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Αντι-Τamper Ανίχνευση

Μπορείτε να ενεργοποιήσετε μεμονωμένα τη συχνότητα, τη θερμοκρασία και την έντασηtagχαρακτηριστικά ανίχνευσης της μονάδας SDM. Η ανίχνευση FPGA εξαρτάται από τη συμπερίληψη του Anti-Tamper Lite Intel FPGA IP στο σχέδιό σας.

Σημείωμα:

Συχνότητα SDM και όγκοςtagetampΟι μέθοδοι ανίχνευσης εξαρτώνται από εσωτερικές αναφορές και υλικό μέτρησης που μπορεί να διαφέρουν μεταξύ των συσκευών. Η Intel συνιστά να χαρακτηρίσετε τη συμπεριφορά του tampρυθμίσεις ανίχνευσης.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 51

5. Προηγμένες λειτουργίες 683823 | 2023.05.23
Συχνότητα tampΗ ανίχνευση λειτουργεί στην πηγή ρολογιού διαμόρφωσης. Για να ενεργοποιήσετε τη συχνότητα tampΕάν εντοπιστεί, πρέπει να καθορίσετε μια επιλογή διαφορετική από τον Εσωτερικό Ταλαντωτή στο αναπτυσσόμενο μενού Προέλευση ρολογιού Διαμόρφωσης στην καρτέλα Συσκευή Συσκευής Εργασιών και Επιλογές Καρφίτσας Γενικά. Πρέπει να βεβαιωθείτε ότι το πλαίσιο ελέγχου Run configuration CPU from interior oscillator είναι ενεργοποιημένο πριν ενεργοποιήσετε τη συχνότητα tampη ανίχνευση. Εικόνα 17. Ρύθμιση της μονάδας SDM σε Εσωτερικό Ταλαντωτή
Για να ενεργοποιήσετε τη συχνότητα tampσε περίπτωση ανίχνευσης, επιλέξτε Ενεργοποίηση συχνότητας tampπλαίσιο ελέγχου ανίχνευσης και επιλέξτε την επιθυμητή Συχνότητα tampεύρος ανίχνευσης από το αναπτυσσόμενο μενού. Εικόνα 18. Ενεργοποίηση συχνότητας Τamper Ανίχνευση

Οδηγός χρήστη Intel Agilex® 7 Device Security 52

Αποστολή σχολίων

5. Προηγμένες λειτουργίες 683823 | 2023.05.23
Εναλλακτικά, μπορείτε να ενεργοποιήσετε τη Συχνότητα Τamper Ανίχνευση κάνοντας τις ακόλουθες αλλαγές στις ρυθμίσεις Quartus Prime .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_specialRET_global_ENABLEYAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Για να ενεργοποιήσετε τη θερμοκρασία tampσε περίπτωση ανίχνευσης, επιλέξτε Ενεργοποίηση θερμοκρασίας tampπλαίσιο ελέγχου ανίχνευσης και επιλέξτε τα άνω και κάτω όρια της επιθυμητής θερμοκρασίας στα αντίστοιχα πεδία. Τα άνω και κάτω όρια συμπληρώνονται από προεπιλογή με το σχετικό εύρος θερμοκρασίας για τη συσκευή που έχει επιλεγεί στο σχέδιο.
Για να ενεργοποιήσετε το voltagetampσε περίπτωση ανίχνευσης, επιλέγετε ένα ή και τα δύο από το Enable VCCL voltagetampανίχνευση ή Enable VCCL_SDM voltagetamper ανίχνευση και επιλέξτε το επιθυμητό VoltagetampΠοσοστό ενεργοποίησης ανίχνευσηςtage στο αντίστοιχο πεδίο.
Εικόνα 19. Enabling Voltagε Τamper Ανίχνευση

Εναλλακτικά, μπορείτε να ενεργοποιήσετε το Voltagε Τamper Ανίχνευση καθορίζοντας τις ακόλουθες εκχωρήσεις στο .qsf file:
set_global_assignment -όνομα ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ΕΝΕΡΓΟΠΟΙΗΣΗ
5.4.3. Αντι-Τamper Lite Intel FPGA IP
Το Anti-TampΤο er Lite Intel FPGA IP, διαθέσιμο στον κατάλογο IP στο λογισμικό Intel Quartus Prime Pro Edition, διευκολύνει την αμφίδρομη επικοινωνία μεταξύ του σχεδιασμού σας και της μονάδας SDM για tamper γεγονότα.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 53

Εικόνα 20. Αντι-Τamper Lite Intel FPGA IP

5. Προηγμένες λειτουργίες 683823 | 2023.05.23

Η IP παρέχει τα ακόλουθα σήματα που συνδέετε στο σχέδιό σας όπως απαιτείται:

Πίνακας 5.

Αντι-Τamper Lite Intel FPGA IP I/O σήματα

Όνομα σήματος

Κατεύθυνση

Περιγραφή

gpo_sdm_at_event gpi_fpga_at_event

Είσοδος εξόδου

Σήμα SDM στη λογική υφάσματος FPGA που έχει εντοπίσει μια SDMampένα γεγονός. Η λογική FPGA έχει περίπου 5ms για να εκτελέσει οποιονδήποτε επιθυμητό καθαρισμό και να ανταποκριθεί στο SDM μέσω των gpi_fpga_at_response_done και gpi_fpga_at_zeroization_done. Το SDM προχωρά με το tampΕνέργειες απόκρισης όταν δηλώνεται το gpi_fpga_at_response_done ή αφού δεν ληφθεί απάντηση στον καθορισμένο χρόνο.
Το FPGA διακόπτει στη SDM που σχεδιάζατε το anti-tamper κύκλωμα ανίχνευσης έχει ανιχνευθεί στοamper event και το SDM tampθα πρέπει να ενεργοποιηθεί η απόκριση.

gpi_fpga_at_response_done

Εισαγωγή

Διακοπή FPGA στη SDM ότι η λογική FPGA έχει πραγματοποιήσει τον επιθυμητό καθαρισμό.

gpi_fpga_at_zeroization_d one

Εισαγωγή

Το FPGA σηματοδοτεί στη SDM ότι η λογική FPGA έχει ολοκληρώσει κάθε επιθυμητό μηδενισμό των δεδομένων σχεδιασμού. Αυτό το σήμα είναι sampled όταν δηλώνεται το gpi_fpga_at_response_done.

5.4.3.1. Πληροφορίες Έκδοσης

Ο αριθμός του σχήματος έκδοσης IP (XYZ) αλλάζει από τη μια έκδοση λογισμικού στην άλλη. Μια αλλαγή σε:
· Το X υποδηλώνει μια σημαντική αναθεώρηση της IP. Εάν ενημερώσετε το λογισμικό Intel Quartus Prime, πρέπει να δημιουργήσετε ξανά την IP.
· Το Y υποδηλώνει ότι η IP περιλαμβάνει νέες δυνατότητες. Αναδημιουργήστε την IP σας για να συμπεριλάβετε αυτές τις νέες δυνατότητες.
· Το Z υποδηλώνει ότι η IP περιλαμβάνει μικρές αλλαγές. Αναδημιουργήστε την IP σας για να συμπεριλάβετε αυτές τις αλλαγές.

Πίνακας 6.

Αντι-Τamper Πληροφορίες έκδοσης Lite Intel FPGA IP

Έκδοση IP

Είδος

Περιγραφή 20.1.0

Έκδοση Intel Quartus Prime

21.2

Ημερομηνία κυκλοφορίας

2021.06.21

Οδηγός χρήστη Intel Agilex® 7 Device Security 54

Αποστολή σχολίων

5. Προηγμένες λειτουργίες 683823 | 2023.05.23
5.5. Χρήση λειτουργιών ασφαλείας σχεδίασης με απομακρυσμένη ενημέρωση συστήματος
Το Remote System Update (RSU) είναι μια λειτουργία Intel Agilex 7 FPGA που βοηθά στην ενημέρωση της διαμόρφωσης fileείναι με στιβαρό τρόπο. Το RSU είναι συμβατό με χαρακτηριστικά ασφάλειας σχεδιασμού, όπως έλεγχος ταυτότητας, συνυπογραφή υλικολογισμικού και κρυπτογράφηση bitstream, καθώς το RSU δεν εξαρτάται από τα περιεχόμενα σχεδίασης των ροών bit διαμόρφωσης.
Δημιουργία εικόνων RSU με .sof Files
Εάν αποθηκεύετε ιδιωτικά κλειδιά στο τοπικό σας fileσύστημα, μπορείτε να δημιουργήσετε εικόνες RSU με χαρακτηριστικά ασφάλειας σχεδιασμού χρησιμοποιώντας μια απλοποιημένη ροή με .sof files ως είσοδοι. Για να δημιουργήσετε εικόνες RSU με το .sof file, μπορείτε να ακολουθήσετε τις οδηγίες στην ενότητα Δημιουργία εικόνας απομακρυσμένης ενημέρωσης συστήματος Files Χρήση του Προγραμματισμού File Γεννήτρια του Οδηγού χρήστη ρύθμισης παραμέτρων Intel Agilex 7. Για κάθε .σοφ file καθορίζεται στην είσοδο Files, κάντε κλικ στο κουμπί Ιδιότητες… και καθορίστε τις κατάλληλες ρυθμίσεις και κλειδιά για τα εργαλεία υπογραφής και κρυπτογράφησης. Ο προγραμματισμός file Το εργαλείο γεννήτριας υπογράφει και κρυπτογραφεί αυτόματα τις εικόνες εργοστασίων και εφαρμογών κατά τη δημιουργία του προγραμματισμού RSU files.
Εναλλακτικά, εάν αποθηκεύετε ιδιωτικά κλειδιά σε ένα HSM, πρέπει να χρησιμοποιήσετε το εργαλείο quartus_sign και επομένως να χρησιμοποιήσετε .rbf fileμικρό. Το υπόλοιπο αυτής της ενότητας περιγράφει λεπτομερώς τις αλλαγές στη ροή για τη δημιουργία εικόνων RSU με .rbf files ως είσοδοι. Πρέπει να κρυπτογραφήσετε και να υπογράψετε μορφή .rbf files πριν τα επιλέξετε ως είσοδο files για εικόνες RSU. Ωστόσο, οι πληροφορίες εκκίνησης RSU file δεν πρέπει να είναι κρυπτογραφημένο και αντ' αυτού να είναι μόνο υπογεγραμμένο. Ο προγραμματισμός File Η γεννήτρια δεν υποστηρίζει την τροποποίηση ιδιοτήτων της μορφής .rbf files.
Οι παρακάτω π.χamples επιδεικνύουν τις απαραίτητες τροποποιήσεις στις εντολές στην ενότητα Δημιουργία εικόνας απομακρυσμένης ενημέρωσης συστήματος Files Χρήση του Προγραμματισμού File Γεννήτρια του Οδηγού χρήστη ρύθμισης παραμέτρων Intel Agilex 7.
Δημιουργία της αρχικής εικόνας RSU με χρήση .rbf Files: Τροποποίηση εντολής
Από τη δημιουργία της αρχικής εικόνας RSU με χρήση .rbf Files, τροποποιήστε τις εντολές στο Βήμα 1. για να ενεργοποιήσετε τις δυνατότητες ασφάλειας σχεδιασμού όπως επιθυμείτε χρησιμοποιώντας οδηγίες από προηγούμενες ενότητες αυτού του εγγράφου.
Για π.χample, θα καθορίσατε ένα υπογεγραμμένο υλικολογισμικό file εάν χρησιμοποιούσατε συνυπογραφή υλικολογισμικού, χρησιμοποιήστε το εργαλείο κρυπτογράφησης Quartus για να κρυπτογραφήσετε κάθε .rbf file, και τέλος χρησιμοποιήστε το εργαλείο quartus_sign για να υπογράψετε το καθένα file.
Στο βήμα 2, εάν έχετε ενεργοποιήσει τη συνυπογραφή υλικολογισμικού, πρέπει να χρησιμοποιήσετε μια πρόσθετη επιλογή για τη δημιουργία της εκκίνησης .rbf από την εργοστασιακή εικόνα file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Αφού δημιουργήσετε τις πληροφορίες εκκίνησης .rbf file, χρησιμοποιήστε το εργαλείο quartus_sign για να υπογράψετε το .rbf file. Δεν πρέπει να κρυπτογραφείτε τις πληροφορίες εκκίνησης .rbf file.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 55

5. Προηγμένες λειτουργίες 683823 | 2023.05.23
Δημιουργία εικόνας εφαρμογής: Τροποποίηση εντολής
Για να δημιουργήσετε μια εικόνα εφαρμογής με χαρακτηριστικά ασφάλειας σχεδίασης, τροποποιείτε την εντολή στο Δημιουργία εικόνας εφαρμογής για να χρησιμοποιήσετε ένα .rbf με ενεργοποιημένα χαρακτηριστικά ασφαλείας σχεδιασμού, συμπεριλαμβανομένου υλικολογισμικού συνυπογραφής, εάν απαιτείται, αντί για την αρχική εφαρμογή .sof file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf safed_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Δημιουργία εικόνας εργοστασιακής ενημέρωσης: Τροποποίηση εντολής
Αφού δημιουργήσετε τις πληροφορίες εκκίνησης .rbf file, χρησιμοποιείτε το εργαλείο quartus_sign για να υπογράψετε το .rbf file. Δεν πρέπει να κρυπτογραφείτε τις πληροφορίες εκκίνησης .rbf file.
Για να δημιουργήσετε μια εικόνα εργοστασιακής ενημέρωσης RSU, τροποποιείτε την εντολή από τη Δημιουργία εικόνας εργοστασιακής ενημέρωσης για να χρησιμοποιήσετε ένα .rbf file με ενεργοποιημένες τις λειτουργίες ασφάλειας σχεδιασμού και προσθέστε την επιλογή για να υποδείξετε τη χρήση υλικολογισμικού που έχει υπογραφεί από κοινού:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf safed_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Σχετικές πληροφορίες Οδηγός χρήσης Intel Agilex 7 Configuration
5.6. Υπηρεσίες κρυπτογράφησης SDM
Η SDM σε συσκευές Intel Agilex 7 παρέχει κρυπτογραφικές υπηρεσίες που μπορεί να ζητήσει η FPGA Factor Logic ή το HPS μέσω της αντίστοιχης διεπαφής γραμματοκιβωτίου SDM. Για περισσότερες πληροφορίες σχετικά με τις εντολές γραμματοκιβωτίου και τις μορφές δεδομένων για όλες τις κρυπτογραφικές υπηρεσίες SDM, ανατρέξτε στο Παράρτημα Β στη Μεθοδολογία ασφαλείας για Intel FPGA και Structured ASIC Οδηγός χρήστη.
Για να αποκτήσετε πρόσβαση στη διασύνδεση γραμματοκιβωτίου SDM στη λογική FPGA για κρυπτογραφικές υπηρεσίες SDM, πρέπει να δημιουργήσετε το Mailbox Client Intel FPGA IP στο σχεδιασμό σας.
Ο κωδικός αναφοράς για πρόσβαση στη διεπαφή γραμματοκιβωτίου SDM από το HPS περιλαμβάνεται στον κώδικα ATF και Linux που παρέχεται από την Intel.
Σχετικές πληροφορίες Mailbox Client Intel FPGA IP Οδηγός χρήστη
5.6.1. Εξουσιοδοτημένος προμηθευτής μπότας
Η Intel παρέχει μια εφαρμογή αναφοράς για το λογισμικό HPS που χρησιμοποιεί τη δυνατότητα εκκίνησης με εξουσιοδότηση από τον προμηθευτή για τον έλεγχο ταυτότητας του λογισμικού εκκίνησης HPS από το πρώτο stage boot loader μέσω του πυρήνα του Linux.
Σχετικές πληροφορίες Intel Agilex 7 SoC Secure Boot Demo Design

Οδηγός χρήστη Intel Agilex® 7 Device Security 56

Αποστολή σχολίων

5. Προηγμένες λειτουργίες 683823 | 2023.05.23
5.6.2. Υπηρεσία Ασφαλούς Αντικειμένου Δεδομένων
Στέλνετε τις εντολές μέσω του γραμματοκιβωτίου SDM για να εκτελέσετε κρυπτογράφηση και αποκρυπτογράφηση αντικειμένων SDOS. Μπορείτε να χρησιμοποιήσετε τη δυνατότητα SDOS μετά την παροχή του ριζικού κλειδιού SDOS.
Σχετικές πληροφορίες Ασφαλείς πληροφορίες Παροχή ριζικού κλειδιού υπηρεσίας αντικειμένου δεδομένων στη σελίδα 30
5.6.3. SDM Cryptographic Primitive Services
Στέλνετε τις εντολές μέσω του γραμματοκιβωτίου SDM για να ξεκινήσετε τις λειτουργίες κρυπτογραφικής πρωτόγονης υπηρεσίας SDM. Ορισμένες πρωτόγονες κρυπτογραφικές υπηρεσίες απαιτούν τη μεταφορά περισσότερων δεδομένων προς και από τη SDM από ό,τι μπορεί να δεχτεί η διεπαφή γραμματοκιβωτίου. Σε αυτές τις περιπτώσεις, η εντολή της μορφής αλλάζει για να παρέχει δείκτες σε δεδομένα στη μνήμη. Επιπλέον, πρέπει να αλλάξετε την εγκατάσταση του Mailbox Client Intel FPGA IP για να χρησιμοποιήσετε πρωτόγονες κρυπτογραφικές υπηρεσίες SDM από τη λογική FPGA. Πρέπει επιπλέον να ορίσετε την παράμετρο Enable Crypto Service σε 1 και να συνδέσετε τη διεπαφή εκκινητή AXI που μόλις εκτέθηκε σε μια μνήμη του σχεδιασμού σας.
Εικόνα 21. Ενεργοποίηση κρυπτογραφικών υπηρεσιών SDM στο Mailbox Client Intel FPGA IP

5.7. Ρυθμίσεις ασφαλείας Bitstream (FM/S10)
Οι επιλογές FPGA Bitstream Security είναι μια συλλογή πολιτικών που περιορίζουν την καθορισμένη δυνατότητα ή τον τρόπο λειτουργίας εντός μιας καθορισμένης περιόδου.
Οι επιλογές Bitstream Security αποτελούνται από σημαίες που ορίζετε στο λογισμικό Intel Quartus Prime Pro Edition. Αυτές οι σημαίες αντιγράφονται αυτόματα στις ροές bit διαμόρφωσης.
Μπορείτε να επιβάλλετε μόνιμα επιλογές ασφαλείας σε μια συσκευή μέσω της χρήσης της αντίστοιχης ρύθμισης ασφαλείας eFuse.
Για να χρησιμοποιήσετε οποιεσδήποτε ρυθμίσεις ασφαλείας στη ροή bit διαμόρφωσης ή στις eFuses της συσκευής, πρέπει να ενεργοποιήσετε τη δυνατότητα ελέγχου ταυτότητας.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 57

5. Προηγμένες λειτουργίες 683823 | 2023.05.23
5.7.1. Επιλογή και ενεργοποίηση επιλογών ασφαλείας
Για να επιλέξετε και να ενεργοποιήσετε τις επιλογές ασφαλείας, κάντε τα εξής: Από το μενού Εργασίες, επιλέξτε Συσκευή και Επιλογές καρφίτσας Ασφάλεια Περισσότερες επιλογές… Εικόνα 22. Επιλογή και ενεργοποίηση επιλογών ασφαλείας

Στη συνέχεια, επιλέξτε τις τιμές από τις αναπτυσσόμενες λίστες για τις επιλογές ασφαλείας που θέλετε να ενεργοποιήσετε, όπως φαίνεται στο παρακάτω π.χ.ample:
Εικόνα 23. Επιλογή τιμών για επιλογές ασφαλείας

Οδηγός χρήστη Intel Agilex® 7 Device Security 58

Αποστολή σχολίων

5. Προηγμένες λειτουργίες 683823 | 2023.05.23
Ακολουθούν οι αντίστοιχες αλλαγές στις ρυθμίσεις Quartus Prime .qsf file:
set_global_assignment -όνομα SECU_OPTION_DISABLE_JTAG "ON CHECK" set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE "ON STICKY" set_global_assignment -όνομα SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -όνομα εκχώρησης SECU_OPTION_IRSA _OPTION_LOCK_SECURITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -όνομα SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment OPTIONE_DISEFUSE_EN_DISEB _global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_KEY

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 59

683823 | 2023.05.23 Αποστολή σχολίων

Αντιμετώπιση προβλημάτων

Αυτό το κεφάλαιο περιγράφει κοινά σφάλματα και προειδοποιητικά μηνύματα που μπορεί να συναντήσετε ενώ προσπαθείτε να χρησιμοποιήσετε τις λειτουργίες ασφαλείας της συσκευής και μέτρα για την επίλυσή τους.
6.1. Χρήση εντολών Quartus σε σφάλμα περιβάλλοντος των Windows
Σφάλμα quartus_pgm: η εντολή δεν βρέθηκε Περιγραφή Αυτό το σφάλμα εμφανίζεται όταν προσπαθείτε να χρησιμοποιήσετε εντολές Quartus σε ένα NIOS II Shell σε περιβάλλον Windows χρησιμοποιώντας WSL. Ανάλυση Αυτή η εντολή λειτουργεί σε περιβάλλον Linux. Για κεντρικούς υπολογιστές των Windows, χρησιμοποιήστε την ακόλουθη εντολή: quartus_pgm.exe -h Ομοίως, εφαρμόστε την ίδια σύνταξη σε άλλες εντολές Quartus Prime όπως quartus_pfg, quartus_sign, quartus_encrypt μεταξύ άλλων εντολών.

ISO 9001: 2015 εγγεγραμμένο

6. Αντιμετώπιση προβλημάτων 683823 | 2023.05.23

6.2. Δημιουργία προειδοποίησης ιδιωτικού κλειδιού

Προειδοποίηση:

Ο καθορισμένος κωδικός πρόσβασης θεωρείται μη ασφαλής. Η Intel συνιστά να χρησιμοποιούνται τουλάχιστον 13 χαρακτήρες κωδικού πρόσβασης. Συνιστάται να αλλάξετε τον κωδικό πρόσβασης χρησιμοποιώντας το εκτελέσιμο αρχείο OpenSSL.

openssl ec -in -έξω -aes256

Περιγραφή
Αυτή η προειδοποίηση σχετίζεται με την ισχύ του κωδικού πρόσβασης και εμφανίζεται όταν προσπαθείτε να δημιουργήσετε ένα ιδιωτικό κλειδί εκδίδοντας τις ακόλουθες εντολές:

Quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Ανάλυση Χρησιμοποιήστε το εκτελέσιμο αρχείο openssl για να καθορίσετε έναν μεγαλύτερο και επομένως ισχυρότερο κωδικό πρόσβασης.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 61

6. Αντιμετώπιση προβλημάτων 683823 | 2023.05.23
6.3. Προσθήκη κλειδιού υπογραφής στο σφάλμα Quartus Project
Σφάλμα…File περιέχει πληροφορίες βασικού κλειδιού…
Περιγραφή
Μετά την προσθήκη ενός κλειδιού υπογραφής .qky file στο έργο Quartus, πρέπει να συναρμολογήσετε ξανά το .sof file. Όταν προσθέσετε αυτό το αναγεννημένο .sof file στην επιλεγμένη συσκευή χρησιμοποιώντας το Quartus Programmer, το ακόλουθο μήνυμα σφάλματος υποδεικνύει ότι το file περιέχει πληροφορίες βασικού κλειδιού:
Αποτυχία προσθήκηςfile-path-name> στον Προγραμματιστή. Ο file περιέχει πληροφορίες βασικού κλειδιού (.qky). Ωστόσο, ο Προγραμματιστής δεν υποστηρίζει τη δυνατότητα υπογραφής bitstream. Μπορείτε να χρησιμοποιήσετε τον προγραμματισμό File Γεννήτρια για τη μετατροπή του file στο υπογεγραμμένο Raw Binary file (.rbf) για διαμόρφωση.
Ψήφισμα
Χρησιμοποιήστε τον προγραμματισμό Quartus file γεννήτρια για τη μετατροπή του file σε ένα υπογεγραμμένο Raw Binary File .rbf για διαμόρφωση.
Σχετικές πληροφορίες Διαμόρφωση υπογραφής Bitstream Χρήση της εντολής quartus_sign στη σελίδα 13

Οδηγός χρήστη Intel Agilex® 7 Device Security 62

Αποστολή σχολίων

6. Αντιμετώπιση προβλημάτων 683823 | 2023.05.23
6.4. Δημιουργία προγραμματισμού Quartus Prime File ήταν Ανεπιτυχής
Σφάλμα
Σφάλμα (20353): Το X του δημόσιου κλειδιού από το QKY δεν ταιριάζει με το ιδιωτικό κλειδί από το PEM file.
Σφάλμα (20352): Απέτυχε η υπογραφή του bitstream μέσω του σεναρίου python agilex_sign.py.
Σφάλμα: Quartus Prime Programming File Η γεννήτρια δεν ήταν επιτυχής.
Περιγραφή Εάν προσπαθήσετε να υπογράψετε μια ροή bit διαμόρφωσης χρησιμοποιώντας ένα εσφαλμένο ιδιωτικό κλειδί .pem file ή ένα .pem file που δεν ταιριάζει με το .qky που προστέθηκε στο έργο, εμφανίζονται τα παραπάνω κοινά σφάλματα. Ανάλυση Βεβαιωθείτε ότι χρησιμοποιείτε το σωστό ιδιωτικό κλειδί .pem για να υπογράψετε τη ροή bit.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 63

6. Αντιμετώπιση προβλημάτων 683823 | 2023.05.23
6.5. Άγνωστα σφάλματα επιχειρημάτων
Σφάλμα
Σφάλμα (23028): Άγνωστο όρισμα "ûc". Ανατρέξτε στη -βοήθεια για νομικά επιχειρήματα.
Σφάλμα (213008): Η συμβολοσειρά επιλογής προγραμματισμού "ûp" είναι παράνομη. Ανατρέξτε στη –βοήθεια για μορφές επιλογών νομικού προγραμματισμού.
Περιγραφή Εάν αντιγράψετε και επικολλήσετε επιλογές γραμμής εντολών από ένα .pdf file στο Windows NIOS II Shell, ενδέχεται να αντιμετωπίσετε σφάλματα άγνωστου ορίσματος όπως φαίνεται παραπάνω. Ανάλυση Σε τέτοιες περιπτώσεις, μπορείτε να εισαγάγετε τις εντολές με μη αυτόματο τρόπο αντί να επικολλήσετε από το πρόχειρο.

Οδηγός χρήστη Intel Agilex® 7 Device Security 64

Αποστολή σχολίων

6. Αντιμετώπιση προβλημάτων 683823 | 2023.05.23
6.6. Σφάλμα απενεργοποίησης της επιλογής κρυπτογράφησης bitstream
Σφάλμα
Δεν είναι δυνατή η οριστικοποίηση της κρυπτογράφησης για το file design .sof επειδή μεταγλωττίστηκε με απενεργοποιημένη την επιλογή κρυπτογράφησης bitstream.
Περιγραφή Εάν προσπαθήσετε να κρυπτογραφήσετε το bitstream μέσω GUI ή γραμμής εντολών αφού έχετε μεταγλωττίσει το έργο με την επιλογή κρυπτογράφησης bitstream απενεργοποιημένη, το Quartus απορρίπτει την εντολή όπως φαίνεται παραπάνω.
Ανάλυση Βεβαιωθείτε ότι έχετε μεταγλωττίσει το έργο με ενεργοποιημένη την επιλογή κρυπτογράφησης bitstream είτε μέσω GUI είτε μέσω γραμμής εντολών. Για να ενεργοποιήσετε αυτήν την επιλογή στο GUI, πρέπει να επιλέξετε το πλαίσιο ελέγχου για αυτήν την επιλογή.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 65

6. Αντιμετώπιση προβλημάτων 683823 | 2023.05.23
6.7. Καθορισμός της σωστής διαδρομής προς το κλειδί
Σφάλμα
Σφάλμα (19516): Εντοπίστηκε προγραμματισμός File Σφάλμα ρυθμίσεων γεννήτριας: Δεν είναι δυνατή η εύρεση του 'key_file'. Βεβαιωθείτε ότι το file βρίσκεται στην αναμενόμενη τοποθεσία ή ενημερώστε τη ρύθμιση.sec
Σφάλμα (19516): Εντοπίστηκε προγραμματισμός File Σφάλμα ρυθμίσεων γεννήτριας: Δεν είναι δυνατή η εύρεση του 'key_file'. Βεβαιωθείτε ότι το file βρίσκεται στην αναμενόμενη τοποθεσία ή ενημερώστε τη ρύθμιση.
Περιγραφή
Εάν χρησιμοποιείτε κλειδιά που είναι αποθηκευμένα στο file σύστημα, πρέπει να βεβαιωθείτε ότι καθορίζουν τη σωστή διαδρομή για τα κλειδιά που χρησιμοποιούνται για την κρυπτογράφηση και την υπογραφή bitstream. Εάν ο Προγραμματισμός File Η γεννήτρια δεν μπορεί να εντοπίσει τη σωστή διαδρομή, εμφανίζονται τα παραπάνω μηνύματα σφάλματος.
Ψήφισμα
Ανατρέξτε στις Ρυθμίσεις Quartus Prime .qsf file για να εντοπίσετε τις σωστές διαδρομές για τα κλειδιά. Βεβαιωθείτε ότι χρησιμοποιείτε σχετικές διαδρομές αντί για απόλυτες διαδρομές.

Οδηγός χρήστη Intel Agilex® 7 Device Security 66

Αποστολή σχολίων

6. Αντιμετώπιση προβλημάτων 683823 | 2023.05.23
6.8. Χρήση μη υποστηριζόμενης εξόδου File Τύπος
Σφάλμα
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Σφάλμα (19511): Μη υποστηριζόμενη έξοδος file τύπος (ebf). Χρησιμοποιήστε την επιλογή "-l" ή "–list" για να εμφανίσετε την υποστήριξη file πληροφορίες τύπου.
Περιγραφή Κατά τη χρήση του Quartus Programming File Γεννήτρια για τη δημιουργία της κρυπτογραφημένης και υπογεγραμμένης ροής δυαδικών ψηφίων διαμόρφωσης, ενδέχεται να δείτε το παραπάνω σφάλμα εάν μια μη υποστηριζόμενη έξοδος file ορίζεται ο τύπος. Ανάλυση Χρησιμοποιήστε την επιλογή -l ή -list για να δείτε τη λίστα των υποστηριζόμενων file τύπους.

Αποστολή σχολίων

Οδηγός χρήστη Intel Agilex® 7 Device Security 67

683823 | 2023.05.23 Αποστολή σχολίων
7. Αρχεία οδηγού χρήστη Intel Agilex 7 Device Security
Για την τελευταία και τις προηγούμενες εκδόσεις αυτού του οδηγού χρήσης, ανατρέξτε στον Οδηγό χρήστη Intel Agilex 7 Device Security. Εάν δεν υπάρχει λίστα IP ή έκδοση λογισμικού, ισχύει ο οδηγός χρήσης για την προηγούμενη IP ή έκδοση λογισμικού.

ISO 9001: 2015 εγγεγραμμένο

683823 | 2023.05.23 Αποστολή σχολίων

8. Οδηγός χρήστη για το Ιστορικό αναθεωρήσεων του Intel Agilex 7 Device Security

Έκδοση εγγράφου 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Έγγραφα / Πόροι

Intel Agilex 7 Device Security [pdf] Εγχειρίδιο χρήστη
Agilex 7 Device Security, Agilex 7, Device Security, Security

Αναφορές

Εγχειρίδιο χρήστη

Intel Agilex 7 Device Security

Πληροφορίες προϊόντος

Οδηγίες χρήσης προϊόντος

Συχνές Ερωτήσεις

Ολοκληρώθηκε η ασφάλεια της συσκευήςview

Έλεγχος ταυτότητας και εξουσιοδότηση

Κρυπτογράφηση AES Bitstream

Προμήθεια συσκευών

Προηγμένες δυνατότητες

Αντιμετώπιση προβλημάτων

Έγγραφα / Πόροι

Αναφορές

Αφήστε ένα σχόλιο

Ακύρωση απάντησης