Manual del usuario de seguridad del dispositivo Intel Agilex 7

Intel está comprometido con la seguridad del producto y recomienda a los usuarios que se familiaricen con los recursos de seguridad del producto proporcionados. Estos recursos deben utilizarse durante toda la vida útil del producto Intel.

2. Funciones de seguridad planificadas

Las siguientes características de seguridad están previstas para una versión futura del software Intel Quartus Prime Pro Edition:

Verificación de seguridad de flujo de bits de reconfiguración parcial: proporciona garantía adicional de que los flujos de bits de reconfiguración parcial (PR) no pueden acceder ni interferir con otros flujos de bits de personas de relaciones públicas.

Autodestrucción del dispositivo para Anti-T físicoamper: Realiza una respuesta de borrado o puesta a cero del dispositivo y programa eFuses para evitar que el dispositivo se configure nuevamente.

3. Documentación de seguridad disponible

La siguiente tabla enumera la documentación disponible para las funciones de seguridad de dispositivos en dispositivos Intel FPGA y ASIC estructurado:

Nombre del documento	Objetivo
Metodología de seguridad para usuarios de FPGA Intel y ASIC estructurados Guía	Documento de alto nivel que proporciona descripciones detalladas de características y tecnologías de seguridad en las soluciones programables Intel Productos. Ayuda a los usuarios a seleccionar las funciones de seguridad necesarias para cumplir con sus objetivos de seguridad.
Guía del usuario de seguridad del dispositivo Intel Stratix 10	Instrucciones para que los usuarios de dispositivos Intel Stratix 10 lo implementen las características de seguridad identificadas utilizando la Metodología de Seguridad Guía del usuario.
Guía del usuario de seguridad del dispositivo Intel Agilex 7	Instrucciones para que los usuarios de dispositivos Intel Agilex 7 lo implementen las características de seguridad identificadas utilizando la Metodología de Seguridad Guía del usuario.
Guía del usuario de seguridad del dispositivo Intel eASIC N5X	Instrucciones para que los usuarios de dispositivos Intel eASIC N5X lo implementen las características de seguridad identificadas utilizando la Metodología de Seguridad Guía del usuario.
Servicios criptográficos Intel Agilex 7 e Intel eASIC N5X HPS Guía del usuario	Información para ingenieros de software de HPS sobre la implementación. y uso de bibliotecas de software HPS para acceder a servicios criptográficos proporcionado por el SDM.
Guía de inicio rápido del servicio de aprovisionamiento de clave negra AN-968	Conjunto completo de pasos para configurar Black Key Provisioning servicio.

Preguntas frecuentes

P: ¿Cuál es el propósito de la Guía del usuario de metodología de seguridad?

R: La Guía del usuario de metodología de seguridad proporciona descripciones detalladas de las características y tecnologías de seguridad de los productos de soluciones programables Intel. Ayuda a los usuarios a seleccionar las funciones de seguridad necesarias para cumplir sus objetivos de seguridad.

P: ¿Dónde puedo encontrar la Guía del usuario de seguridad del dispositivo Intel Agilex 7?

R: La Guía del usuario de seguridad del dispositivo Intel Agilex 7 se puede encontrar en el Centro de diseño y recursos Intel. websitio.

P: ¿Qué es el servicio Black Key Provisioning?

R: El servicio Black Key Provisioning es un servicio que proporciona un conjunto completo de pasos para configurar el aprovisionamiento de claves para operaciones seguras.

View Fullscreen

Guía del usuario de seguridad del dispositivo Intel Agilex® 7
Actualizado para Intel® Quartus® Prime Design Suite: 23.1

Versión en línea Enviar comentarios

UG-20335

683823 2023.05.23

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 2

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 3

683823 | 2023.05.23 Enviar comentarios
1. Intel Agilex® 7

Seguridad del dispositivo terminadaview

Intel® diseña los dispositivos Intel Agilex® 7 con hardware y firmware de seguridad dedicados y altamente configurables.
Este documento contiene instrucciones que le ayudarán a utilizar el software Intel Quartus® Prime Pro Edition para implementar funciones de seguridad en sus dispositivos Intel Agilex 7.
Además, la Guía del usuario de Metodología de seguridad para FPGA Intel y ASIC estructurados está disponible en el Centro de diseño y recursos Intel. Este documento contiene descripciones detalladas de las funciones y tecnologías de seguridad disponibles a través de los productos de Soluciones programables Intel para ayudarle a seleccionar las funciones de seguridad necesarias para cumplir sus objetivos de seguridad. Comuníquese con el soporte de Intel con el número de referencia 14014613136 para acceder a la Guía del usuario de Metodología de seguridad para FPGA Intel y ASIC estructurados.
El documento está organizado de la siguiente manera: · Autenticación y autorización: proporciona instrucciones para crear
claves de autenticación y cadenas de firmas, aplicar permisos y revocaciones, firmar objetos y programar funciones de autenticación en dispositivos Intel Agilex 7. · Cifrado de flujo de bits AES: proporciona instrucciones para crear una clave raíz AES, cifrar flujos de bits de configuración y aprovisionar la clave raíz AES para dispositivos Intel Agilex 7. · Aprovisionamiento de dispositivos: proporciona instrucciones para utilizar el firmware de aprovisionamiento del programador Intel Quartus Prime y el administrador de dispositivos seguros (SDM) para programar funciones de seguridad en dispositivos Intel Agilex 7. · Funciones avanzadas: proporciona instrucciones para habilitar funciones de seguridad avanzadas, incluida la autorización de depuración segura, la depuración del sistema de procesador duro (HPS) y la actualización remota del sistema.
1.1. Compromiso con la seguridad del producto
El compromiso duradero de Intel con la seguridad nunca ha sido más fuerte. Intel recomienda encarecidamente que se familiarice con los recursos de seguridad de nuestros productos y planee utilizarlos durante la vida útil de su producto Intel.
Información relacionada · Seguridad de productos en Intel · Avisos del Centro de seguridad de productos Intel

Corporación Intel. Reservados todos los derechos. Intel, el logotipo de Intel y otras marcas de Intel son marcas comerciales de Intel Corporation o sus subsidiarias. Intel garantiza el rendimiento de sus productos semiconductores y FPGA según las especificaciones actuales de acuerdo con la garantía estándar de Intel, pero se reserva el derecho de realizar cambios en cualquier producto y servicio en cualquier momento sin previo aviso. Intel no asume ninguna responsabilidad que surja de la aplicación o el uso de cualquier información, producto o servicio descrito en este documento, excepto que Intel lo acuerde expresamente por escrito. Se recomienda a los clientes de Intel que obtengan la última versión de las especificaciones del dispositivo antes de confiar en cualquier información publicada y antes de realizar pedidos de productos o servicios. *Otros nombres y marcas pueden reclamarse como propiedad de otros.

ISO 9001: 2015 registrado

1. Seguridad del dispositivo Intel Agilex® 7 terminadaview 683823 | 2023.05.23

1.2. Funciones de seguridad planificadas

Las características mencionadas en esta sección están planificadas para una versión futura del software Intel Quartus Prime Pro Edition.

Nota:

La información contenida en esta sección es preliminar.

1.2.1. Verificación de seguridad de flujo de bits de reconfiguración parcial
La validación de seguridad del flujo de bits de reconfiguración parcial (PR) ayuda a proporcionar una garantía adicional de que los flujos de bits de personas de relaciones públicas no pueden acceder a otros flujos de bits de personas de relaciones públicas ni interferir con ellos.

1.2.2. Autodestrucción del dispositivo para Anti-T físicoamper
La autoeliminación del dispositivo realiza una respuesta de borrado o puesta a cero del dispositivo y, además, programa eFuses para evitar que el dispositivo se configure nuevamente.

1.3. Documentación de seguridad disponible

La siguiente tabla enumera la documentación disponible para las funciones de seguridad de dispositivos en dispositivos Intel FPGA y ASIC estructurado:

Tabla 1.

Documentación de seguridad del dispositivo disponible

Nombre del documento
Guía del usuario de metodología de seguridad para FPGA Intel y ASIC estructurados

Objetivo
Documento de nivel superior que contiene descripciones detalladas de las características y tecnologías de seguridad de los productos de soluciones programables Intel. Diseñado para ayudarle a seleccionar las funciones de seguridad necesarias para cumplir sus objetivos de seguridad.

ID del documento 721596

Guía del usuario de seguridad del dispositivo Intel Stratix 10
Guía del usuario de seguridad del dispositivo Intel Agilex 7

Para los usuarios de dispositivos Intel Stratix 10, esta guía contiene instrucciones para utilizar el software Intel Quartus Prime Pro Edition para implementar las funciones de seguridad identificadas mediante la Guía del usuario de metodología de seguridad.
Para los usuarios de dispositivos Intel Agilex 7, esta guía contiene instrucciones para utilizar el software Intel Quartus Prime Pro Edition para implementar las funciones de seguridad identificadas mediante la Guía del usuario de metodología de seguridad.

683642 683823

Guía del usuario de seguridad del dispositivo Intel eASIC N5X

Para los usuarios de dispositivos Intel eASIC N5X, esta guía contiene instrucciones para utilizar el software Intel Quartus Prime Pro Edition para implementar las funciones de seguridad identificadas mediante la Guía del usuario de metodología de seguridad.

626836

Guía del usuario de servicios criptográficos Intel Agilex 7 e Intel eASIC N5X HPS

Esta guía contiene información para ayudar a los ingenieros de software de HPS en la implementación y el uso de bibliotecas de software de HPS para acceder a los servicios criptográficos proporcionados por SDM.

713026

Guía de inicio rápido del servicio de aprovisionamiento de clave negra AN-968

Esta guía contiene un conjunto completo de pasos para configurar el servicio Black Key Provisioning.

739071

Ubicación Recursos Intel y
Centro de diseño
Intel.com
Intel.com
Centro de recursos y diseño de Intel
Centro de recursos y diseño de Intel
Centro de recursos y diseño de Intel

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 5

683823 | 2023.05.23 Enviar comentarios

Autenticación y autorización

Para habilitar las funciones de autenticación de un dispositivo Intel Agilex 7, comience utilizando el software Intel Quartus Prime Pro Edition y las herramientas asociadas para crear una cadena de firma. Una cadena de firma consta de una clave raíz, una o más claves de firma y las autorizaciones aplicables. Aplica la cadena de firmas a su proyecto Intel Quartus Prime Pro Edition y programación compilada files. Utilice las instrucciones en Aprovisionamiento de dispositivos para programar su clave raíz en dispositivos Intel Agilex 7.
Información relacionada
Aprovisionamiento de dispositivos en la página 25

2.1. Crear una cadena de firma
Puede utilizar la herramienta quartus_sign o la implementación de referencia agilex_sign.py para realizar operaciones de cadena de firmas. Este documento proporciona examparchivos usando quartus_sign.
Para utilizar la implementación de referencia, sustituya una llamada al intérprete de Python incluido con el software Intel Quartus Prime y omita la opción –family=agilex; todas las demás opciones son equivalentes. por ejemploamparchivo, el comando quartus_sign que se encuentra más adelante en esta sección
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky se puede convertir en la llamada equivalente a la implementación de referencia de la siguiente manera
pgm_py agilex_sign.py –operación=make_root root_public.pem root.qky

El software Intel Quartus Prime Pro Edition incluye las herramientas quartus_sign, pgm_py y agilex_sign.py. Puede utilizar la herramienta de shell de comandos de Nios® II, que establece automáticamente las variables de entorno apropiadas para acceder a las herramientas.

Siga estas instrucciones para abrir un shell de comandos de Nios II. 1. Abra un shell de comandos de Nios II.

Opción Windows
Linux

Descripción
En el menú Inicio, seleccione Programas Intel FPGA Nios II EDS y haga clic en Nios II Command Shell.
En un shell de comandos, cambie a /nios2eds y ejecute el siguiente comando:
./nios2_command_shell.sh

El exampLos archivos de esta sección asumen la cadena de firmas y el flujo de bits de configuración. files se encuentran en el directorio de trabajo actual. Si eliges seguir al examparchivos donde clave files se mantienen en el file sistema, esos exampasumamos la clave files son

ISO 9001: 2015 registrado

2. Autenticación y Autorización 683823 | 2023.05.23
ubicado en el directorio de trabajo actual. Puede elegir qué directorios utilizar y las herramientas admiten file caminos. Si elige conservar la clave files en el file sistema, debe administrar cuidadosamente los permisos de acceso a aquellos files.
Intel recomienda utilizar un módulo de seguridad de hardware (HSM) disponible comercialmente para almacenar claves criptográficas y realizar operaciones criptográficas. La herramienta quartus_sign y la implementación de referencia incluyen una interfaz de programación de aplicaciones (API) del estándar de criptografía de clave pública n.° 11 (PKCS n.° 11) para interactuar con un HSM mientras se realizan operaciones de cadena de firmas. La implementación de referencia agilex_sign.py incluye un resumen de interfaz así como un exampinterfaz de archivo para SoftHSM.
Puedes usar estos example interfaces para implementar una interfaz para su HSM. Consulte la documentación de su proveedor de HSM para obtener más información sobre cómo implementar una interfaz y operar su HSM.
SoftHSM es una implementación de software de un dispositivo criptográfico genérico con una interfaz PKCS #11 que está disponible gracias al proyecto OpenDNSSEC®. Puede encontrar más información, incluidas instrucciones sobre cómo descargar, compilar e instalar OpenHSM, en el proyecto OpenDNSSEC. La exampLos archivos de esta sección utilizan SoftHSM versión 2.6.1. La exampLos archivos de esta sección utilizan además la utilidad pkcs11-tool de OpenSC para realizar operaciones PKCS #11 adicionales con un token SoftHSM. Puede encontrar más información, incluidas instrucciones sobre cómo descargar, compilar e instalar pkcs11tool desde OpenSC.
Información relacionada
· El firmante de zona basado en políticas del proyecto OpenDNSSEC para automatizar el proceso de seguimiento de claves DNSSEC.
· SoftHSM Información sobre la implementación de un almacén criptográfico accesible a través de una interfaz PKCS #11.
· OpenSC Proporciona un conjunto de bibliotecas y utilidades capaces de trabajar con tarjetas inteligentes.
2.1.1. Creación de pares de claves de autenticación en el local File Sistema
Utilice la herramienta quartus_sign para crear pares de claves de autenticación en el local file sistema utilizando las operaciones de herramientas make_private_pem y make_public_pem. Primero genera una clave privada con la operación make_private_pem. Usted especifica la curva elíptica a usar, la clave privada filenombre y, opcionalmente, si se debe proteger la clave privada con una frase de contraseña. Intel recomienda el uso de la curva secp384r1 y seguir las mejores prácticas de la industria para crear una frase de contraseña aleatoria y segura en todas las claves privadas. files. Intel también recomienda restringir la file permisos del sistema en la clave privada .pem files para leer únicamente por el propietario. La clave pública se deriva de la clave privada con la operación make_public_pem. Es útil nombrar la clave .pem. files descriptivamente. Este documento utiliza la convención _.pem en el siguiente ejemploampLes.
1. En el shell de comandos de Nios II, ejecute el siguiente comando para crear una clave privada. La clave privada, que se muestra a continuación, se utiliza como clave raíz en ejemplos posteriores.amparchivos que crean una cadena de firmas. Los dispositivos Intel Agilex 7 admiten múltiples claves raíz, por lo que

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 7

2. Autenticación y Autorización 683823 | 2023.05.23

repita este paso para crear la cantidad requerida de claves raíz. ExampTodos los archivos de este documento se refieren a la primera clave raíz, aunque puede crear cadenas de firmas de manera similar con cualquier clave raíz.

Opción con frase de contraseña

Descripción
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Ingrese la frase de contraseña cuando se le solicite.

Sin frase de contraseña

quartus_sign –family=agilex –operación=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Ejecute el siguiente comando para crear una clave pública utilizando la clave privada generada en el paso anterior. No es necesario proteger la confidencialidad de una clave pública.
quartus_sign –familia=agilex –operación=make_public_pem root0_private.pem root0_public.pem
3. Ejecute los comandos nuevamente para crear un par de claves utilizadas como clave de firma de diseño en la cadena de firma.
quartus_sign –family=agilex –operación=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operación=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Creación de pares de claves de autenticación en SoftHSM
El ex SoftHSMampLos archivos de este capítulo son autoconsistentes. Ciertos parámetros dependen de su instalación de SoftHSM y de una inicialización de token dentro de SoftHSM.
La herramienta quartus_sign depende de la biblioteca API PKCS #11 de su HSM.
El exampLos archivos de esta sección suponen que la biblioteca SoftHSM está instalada en una de las siguientes ubicaciones: · /usr/local/lib/softhsm2.so en Linux · C:SoftHSM2libsofthsm2.dll en la versión de 32 bits de Windows · C:SoftHSM2libsofthsm2-x64 .dll en la versión de 64 bits de Windows.
Inicialice un token dentro de SoftHSM usando la herramienta softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Los parámetros de la opción, en particular la etiqueta del token y el pin del token, son examparchivos utilizados a lo largo de este capítulo. Intel recomienda que siga las instrucciones de su proveedor de HSM para crear y administrar tokens y claves.
Usted crea pares de claves de autenticación utilizando la utilidad pkcs11-tool para interactuar con el token en SoftHSM. En lugar de hacer referencia explícita a las claves pública y privada .pem files en el file sistema examparchivos, usted hace referencia al par de claves por su etiqueta y la herramienta selecciona la clave apropiada automáticamente.

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 8

Enviar comentarios

2. Autenticación y Autorización 683823 | 2023.05.23

Ejecute los siguientes comandos para crear un par de claves utilizado como clave raíz en ex posterioramparchivos, así como un par de claves utilizadas como clave de firma de diseño en la cadena de firma:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mecanismo ECDSA-KEY-PAIR-GEN –tipo de clave EC :secp384r1 –signo de uso –etiqueta raíz0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mecanismo ECDSA-KEY-PAIR-GEN –tipo de clave EC :secp384r1 –usage-sign –label design0_sign –id 1

Nota:

La opción de ID en este paso debe ser única para cada clave, pero solo la utiliza el HSM. Esta opción de ID no está relacionada con la ID de cancelación de clave asignada en la cadena de firma.

2.1.3. Creación de la entrada raíz de la cadena de firmas
Convierta la clave pública raíz en una entrada raíz de la cadena de firmas, almacenada en el local file sistema en formato de clave Intel Quartus Prime (.qky) file, con la operación make_root. Repita este paso para cada clave raíz que genere.
Ejecute el siguiente comando para crear una cadena de firmas con una entrada raíz, utilizando una clave pública raíz del file sistema:
quartus_sign –familia=agilex –operación=make_root –key_type=propietario root0_public.pem root0.qky
Ejecute el siguiente comando para crear una cadena de firmas con una entrada raíz, utilizando la clave raíz del token SoftHSM establecida en la sección anterior:
quartus_sign –family=agilex –operación=make_root –key_type=propietario –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so ” raíz0 raíz0.qky

2.1.4. Crear una entrada de clave pública de cadena de firmas
Cree una nueva entrada de clave pública para una cadena de firmas con la operación append_key. Usted especifica la cadena de firma anterior, la clave privada para la última entrada en la cadena de firma anterior, la clave pública del siguiente nivel, los permisos y el ID de cancelación que asigna a la clave pública del siguiente nivel y la nueva cadena de firma. file.
Tenga en cuenta que la biblioteca softHSM no está disponible con la instalación de Quartus y, en cambio, debe instalarse por separado. Para obtener más información sobre softHSM, consulte la sección Creación de una cadena de firmas más arriba.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 9

2. Autenticación y Autorización 683823 | 2023.05.23
Dependiendo del uso que haga de las teclas en el file sistema o en un HSM, utilice uno de los siguientes ejemplosample comandos para agregar la clave pública design0_sign a la cadena de firma raíz creada en la sección anterior:
quartus_sign –family=agilex –operación=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operación=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Puede repetir la operación append_key hasta dos veces más para un máximo de tres entradas de clave pública entre la entrada raíz y la entrada del bloque de encabezado en cualquier cadena de firma.
El siguiente ejemploampEl archivo supone que creó otra clave pública de autenticación con los mismos permisos y asignó el ID de cancelación 1 llamado design1_sign_public.pem, y está agregando esta clave a la cadena de firmas del ex anterior.ampen:
quartus_sign –family=agilex –operación=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operación=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Los dispositivos Intel Agilex 7 incluyen un contador de cancelación de clave adicional para facilitar el uso de una clave que puede cambiar periódicamente durante la vida útil de un dispositivo determinado. Puede seleccionar este contador de cancelación de clave cambiando el argumento de la opción –cancel a pts:pts_value.
2.2. Firmar un flujo de bits de configuración
Los dispositivos Intel Agilex 7 admiten contadores de Número de versión de seguridad (SVN), que le permiten revocar la autorización de un objeto sin cancelar una clave. Usted asigna el contador SVN y el valor del contador SVN apropiado durante la firma de cualquier objeto, como una sección de flujo de bits, firmware .zip. file, o certificado compacto. Usted asigna el contador SVN y el valor SVN usando la opción –cancel y svn_counter:svn_value como argumento. Los valores válidos para svn_counter son svnA, svnB, svnC y svnD. El svn_value es un número entero dentro del rango [0,63].

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 10

Enviar comentarios

2. Autenticación y Autorización 683823 | 2023.05.23
2.2.1. Llave de cuarto File Asignación
Usted especifica una cadena de firma en su proyecto de software Intel Quartus Prime para habilitar la función de autenticación para ese diseño. En el menú Asignaciones, seleccione Dispositivo Opciones de dispositivo y PIN Seguridad Clave Quartus File, luego busque la cadena de firmas .qky file que creaste para firmar este diseño.
Figura 1. Habilitar configuración de configuración de flujo de bits

Alternativamente, puede agregar la siguiente declaración de asignación a la configuración de su Intel Quartus Prime file (.qsf):
set_global_assignment -nombre QKY_FILE diseño0_sign_chain.qky
Para generar un .sof file de un diseño previamente compilado, que incluye esta configuración, en el menú Procesamiento, seleccione Iniciar Iniciar Ensamblador. La nueva salida .sof file incluye las asignaciones para permitir la autenticación con la cadena de firma proporcionada.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 11

2. Autenticación y Autorización 683823 | 2023.05.23
2.2.2. Firma conjunta del firmware SDM
Utilice la herramienta quartus_sign para extraer, firmar e instalar el firmware .zip de SDM correspondiente. file. El firmware cofirmado luego se incluye en la programación. file herramienta generadora al convertir .sof file en un flujo de bits de configuración .rbf file. Utilice los siguientes comandos para crear una nueva cadena de firmas y firmar el firmware SDM.
1. Cree un nuevo par de claves de firma.
a. Cree un nuevo par de claves de firma en el file sistema:
quartus_sign –familia=agilex –operación=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –familia=agilex –operación=make_public_pem firmware1_private.pem firmware1_public.pem
b. Cree un nuevo par de claves de firma en el HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mecanismo ECDSA-KEY-PAIR-GEN –tipo de clave EC :secp384r1 –signo de uso –etiqueta firmware1 –id 1
2. Cree una nueva cadena de firmas que contenga la nueva clave pública:
quartus_sign –family=agilex –operación=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operación=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Copie el firmware .zip file desde el directorio de instalación del software Intel Quartus Prime Pro Edition (/devices/programmer/firmware/agilex.zip) al directorio de trabajo actual.
quartus_sign –family=agilex –get_firmware=.
4. Firme el firmware .zip file. La herramienta descomprime automáticamente el .zip. file y firma individualmente todo el firmware .cmf files, luego reconstruye el .zip file para uso de las herramientas en las siguientes secciones:
quartus_sign –family=agilex –operación=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip firmado_agilex.zip
quartus_sign –family=agilex –operación=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 12

Enviar comentarios

2. Autenticación y Autorización 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip firmado_agilex.zip

2.2.3. Configuración de firma Bitstream usando el comando quartus_sign
Para firmar un flujo de bits de configuración usando el comando quartus_sign, primero convierta el archivo .sof file al binario sin formato sin firmar file (.rbf) formato. Opcionalmente, puede especificar firmware cofirmado utilizando la opción fw_source durante el paso de conversión.
Puede generar el flujo de bits sin formato sin firmar en formato .rbf usando el siguiente comando:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Ejecute uno de los siguientes comandos para firmar el flujo de bits usando la herramienta quartus_sign dependiendo de la ubicación de sus claves:
quartus_sign –family=agilex –operación=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf firmado_bitstream.rbf
quartus_sign –family=agilex –operación=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf firmado_bitstream.rbf
Puede convertir .rbf firmado files a otra configuración de flujo de bits file formatos.
Por ejemploamparchivo, si está utilizando el reproductor Jam* Standard Test and Programming Language (STAPL) para programar un flujo de bits sobre JTAG, utiliza el siguiente comando para convertir un .rbf file al formato .jam que requiere Jam STAPL Player:
quartus_pfg -c firmado_bitstream.rbf firmado_bitstream.jam

2.2.4. Soporte de múltiples autoridades de reconfiguración parcial

Los dispositivos Intel Agilex 7 admiten autenticación de múltiples autoridades de reconfiguración parcial, donde el propietario del dispositivo crea y firma el flujo de bits estático, y un propietario de PR independiente crea y firma flujos de bits de personas de PR. Los dispositivos Intel Agilex 7 implementan soporte de múltiples autoridades asignando las primeras ranuras de clave raíz de autenticación al dispositivo o al propietario del flujo de bits estático y asignando la ranura de clave raíz de autenticación final al propietario del flujo de bits de la persona de reconfiguración parcial.
Si la función de autenticación está habilitada, todas las imágenes de personas de relaciones públicas deben estar firmadas, incluidas las imágenes de personas de relaciones públicas anidadas. Las imágenes de personas de relaciones públicas pueden estar firmadas por el propietario del dispositivo o por el propietario de relaciones públicas; sin embargo, los flujos de bits de regiones estáticas deben estar firmados por el propietario del dispositivo.

Nota:

La reconfiguración parcial del cifrado estático y de flujo de bits personal cuando se habilita el soporte de múltiples autoridades está planificada en una versión futura.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 13

2. Autenticación y Autorización 683823 | 2023.05.23

Figura 2.

La implementación del soporte de múltiples autoridades de reconfiguración parcial requiere varios pasos:
1. El propietario del dispositivo o del flujo de bits estático genera una o más claves raíz de autenticación como se describe en Creación de pares de claves de autenticación en SoftHSM en la página 8, donde la opción –key_type tiene el valor propietario.
2. El propietario del flujo de bits de reconfiguración parcial genera una clave raíz de autenticación pero cambia el valor de la opción –key_type a second_owner.
3. Tanto los propietarios del diseño de flujo de bits estático como de reconfiguración parcial se aseguran de que la casilla de verificación Habilitar soporte de múltiples autoridades esté habilitada en la pestaña Seguridad de Opciones de dispositivo y PIN de Asignaciones.
Intel Quartus Prime habilita la configuración de opciones de múltiples autoridades

4. Tanto los propietarios del diseño de flujo de bits estático como los de reconfiguración parcial crean cadenas de firmas basadas en sus respectivas claves raíz, como se describe en Creación de una cadena de firmas en la página 6.
5. Tanto el propietario del diseño de flujo de bits estático como el de reconfiguración parcial convierten sus diseños compilados al formato .rbf. files y firmar el .rbf files.
6. El propietario del dispositivo o del flujo de bits estático genera y firma un certificado compacto de autorización del programa de clave pública PR.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o propietario_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operación=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert firmado_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operación=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert firmado_pr_pubkey_prog.ccert

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 14

Enviar comentarios

2. Autenticación y Autorización 683823 | 2023.05.23

7. El dispositivo o el propietario del flujo de bits estático proporciona sus hashes de clave raíz de autenticación al dispositivo, luego programa el certificado compacto de autorización del programa de clave pública PR y finalmente proporciona la clave raíz del propietario del flujo de bits de reconfiguración parcial al dispositivo. La sección Aprovisionamiento de dispositivos describe este proceso de aprovisionamiento.
8. El dispositivo Intel Agilex 7 está configurado con la región estática .rbf file.
9. El dispositivo Intel Agilex 7 está parcialmente reconfigurado con el diseño de persona .rbf file.
Información relacionada
· Crear una cadena de firmas en la página 6
· Creación de pares de claves de autenticación en SoftHSM en la página 8
· Aprovisionamiento de dispositivos en la página 25

2.2.5. Verificación de cadenas de firmas de flujo de bits de configuración
Después de crear cadenas de firmas y flujos de bits firmados, puede verificar que un flujo de bits firmado configura correctamente un dispositivo programado con una clave raíz determinada. Primero use la operación fuse_info del comando quartus_sign para imprimir el hash de la clave pública raíz en un texto file:
quartus_sign –familia=agilex –operación=fuse_info root0.qky hash_fuse.txt

Luego utiliza la opción check_integrity del comando quartus_pfg para inspeccionar la cadena de firma en cada sección de un flujo de bits firmado en formato .rbf. La opción check_integrity imprime la siguiente información:
· Estado de la comprobación general de la integridad del flujo de bits
· Contenido de cada entrada en cada cadena de firma adjunta a cada sección en el bitstream .rbf file,
· Valor de fusible esperado para el hash de la clave pública raíz para cada cadena de firma.
El valor de la salida fuse_info debe coincidir con las líneas de fusible en la salida check_integrity.
quartus_pfg –check_integrity firmado_bitstream.rbf

Aquí hay un examparchivo de salida del comando check_integrity:

Información: Comando: quartus_pfg –check_integrity firmado_bitstream.rbf Estado de integridad: OK

Sección

Tipo: CMF

Descriptor de firma…

Cadena de firma #0 (entradas: -1, desplazamiento: 96)

Entrada #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Generar clave…

Curva: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Generar clave…

Curva: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 15

2. Autenticación y Autorización 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Entrada #1

Generar clave…

Curva: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Entrada #2 Permiso de llavero: SIGN_CODE El llavero se puede cancelar mediante ID: 3 Cadena de firma #1 (entradas: -1, desplazamiento: 648)

Entrada #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generar clave…

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generar clave…

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entrada #1

Generar clave…

Curva: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Entrada #2

Generar clave…

Curva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entrada n.° 3 Permiso de llavero: SIGN_CODE El llavero se puede cancelar mediante ID: 15 Cadena de firma n.° 2 (entradas: -1, desplazamiento: 0) Cadena de firma n.° 3 (entradas: -1, desplazamiento: 0) Cadena de firma n.° 4 (entradas: -1, desplazamiento: 0) Cadena de firma n.° 5 (entradas: -1, desplazamiento: 0) Cadena de firma n.° 6 (entradas: -1, desplazamiento: 0) Cadena de firma n.° 7 (entradas: -1, desplazamiento: 0)

Tipo de sección: Descriptor de firma IO... Cadena de firma #0 (entradas: -1, desplazamiento: 96)

Entrada #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generar clave…

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 16

Enviar comentarios

2. Autenticación y Autorización 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generar clave…

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entrada #1

Generar clave…

Curva: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entrada #2

Generar clave…

Curva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entrada n.° 3 Permiso de llavero: SIGN_CORE El llavero se puede cancelar mediante ID: 15 Cadena de firma n.° 1 (entradas: -1, desplazamiento: 0) Cadena de firma n.° 2 (entradas: -1, desplazamiento: 0) Cadena de firma n.° 3 (entradas: -1, desplazamiento: 0) Cadena de firma #4 (entradas: -1, desplazamiento: 0) Cadena de firma #5 (entradas: -1, desplazamiento: 0) Cadena de firma #6 (entradas: -1, desplazamiento: 0) Firma cadena #7 (entradas: -1, desplazamiento: 0)

Sección

Tipo: HPS

Descriptor de firma…

Cadena de firma #0 (entradas: -1, desplazamiento: 96)

Entrada #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generar clave…

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generar clave…

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entrada #1

Generar clave…

Curva: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Entrada #2

Generar clave…

Curva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 17

2. Autenticación y Autorización 683823 | 2023.05.23

Entrada n.° 3 Permiso de llavero: SIGN_HPS El llavero se puede cancelar mediante ID: 15 Cadena de firma n.° 1 (entradas: -1, desplazamiento: 0) Cadena de firma n.° 2 (entradas: -1, desplazamiento: 0) Cadena de firma n.° 3 (entradas: -1, desplazamiento: 0) Cadena de firma #4 (entradas: -1, desplazamiento: 0) Cadena de firma #5 (entradas: -1, desplazamiento: 0) Cadena de firma #6 (entradas: -1, desplazamiento: 0) Firma cadena #7 (entradas: -1, desplazamiento: 0)

Tipo de sección: Descriptor de firma CORE... Cadena de firma #0 (entradas: -1, desplazamiento: 96)

Entrada #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generar clave…

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generar clave…

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entrada #1

Generar clave…

Curva: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entrada #2

Generar clave…

Curva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 18

Enviar comentarios

683823 | 2023.05.23 Enviar comentarios

Cifrado de flujo de bits AES

El cifrado de flujo de bits del Estándar de cifrado avanzado (AES) es una característica que permite al propietario de un dispositivo proteger la confidencialidad de la propiedad intelectual en un flujo de bits de configuración.
Para ayudar a proteger la confidencialidad de las claves, el cifrado de flujo de bits de configuración utiliza una cadena de claves AES. Estas claves se utilizan para cifrar los datos del propietario en el flujo de bits de configuración, donde la primera clave intermedia se cifra con la clave raíz AES.

3.1. Crear la clave raíz AES

Puede utilizar la herramienta quartus_encrypt o la implementación de referencia stratix10_encrypt.py para crear una clave raíz AES en el formato de clave de cifrado del software Intel Quartus Prime (.qek). file.

Nota:

El stratix10_encrypt.py file se utiliza para dispositivos Intel Stratix® 10 e Intel Agilex 7.

Opcionalmente, puede especificar la clave base utilizada para derivar la clave raíz AES y la clave de derivación de clave, el valor de la clave raíz AES directamente, el número de claves intermedias y el uso máximo por clave intermedia.

Debe especificar la familia de dispositivos, salida .qek file ubicación y frase de contraseña cuando se le solicite.
Ejecute el siguiente comando para generar la clave raíz AES utilizando datos aleatorios para la clave base y valores predeterminados para la cantidad de claves intermedias y el uso máximo de claves.
Para utilizar la implementación de referencia, sustituya una llamada al intérprete de Python incluido con el software Intel Quartus Prime y omita la opción –family=agilex; todas las demás opciones son equivalentes. por ejemploamparchivo, el comando quartus_encrypt que se encuentra más adelante en la sección

quartus_encrypt –familia=agilex –operación=MAKE_AES_KEY aes_root.qek

se puede convertir en la llamada equivalente a la implementación de referencia de la siguiente manera pgm_py stratix10_encrypt.py –operación=MAKE_AES_KEY aes_root.qek

3.2. Configuración de cifrado Quartus
Para habilitar el cifrado de flujo de bits para un diseño, debe especificar las opciones apropiadas usando el panel de Seguridad de Opciones de Dispositivo y PIN de Asignaciones. Seleccione la casilla de verificación Habilitar configuración de cifrado de flujo de bits y la ubicación de almacenamiento de la clave de cifrado deseada en el menú desplegable.

ISO 9001: 2015 registrado

Figura 3. Configuración de cifrado Intel Quartus Prime

3. Cifrado de flujo de bits AES 683823 | 2023.05.23

Alternativamente, puede agregar la siguiente declaración de asignación a la configuración de su Intel Quartus Prime file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM en set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Si desea habilitar mitigaciones adicionales contra los vectores de ataque de canal lateral, puede habilitar el menú desplegable Índice de actualización de cifrado y la casilla de verificación Habilitar codificación.

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 20

Enviar comentarios

3. Cifrado de flujo de bits AES 683823 | 2023.05.23

Los cambios correspondientes en el .qsf son:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING en set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Cifrar un flujo de bits de configuración
Cifre un flujo de bits de configuración antes de firmarlo. La programación Intel Quartus Prime File La herramienta generadora puede cifrar y firmar automáticamente un flujo de bits de configuración mediante la interfaz gráfica de usuario o la línea de comando.
Opcionalmente, puede crear un flujo de bits parcialmente cifrado para usarlo con las herramientas quartus_encrypt y quartus_sign o equivalentes de implementación de referencia.

3.3.1. Configuración del cifrado de flujo de bits mediante la programación File Interfaz gráfica del generador
Puedes utilizar la programación File Generador para cifrar y firmar la imagen del propietario.

Figura 4.

1. En el Intel Quartus Prime File seleccionar menú Programación File Generador. 2. Sobre la salida Files pestaña, especifique la salida file escriba para su configuración
esquema.
Producción File Especificación

Esquema de configuración Salida file pestaña
Producción file tipo

3. En la entrada Files, haga clic en Agregar Bitstream y busque su archivo .sof. 4. Para especificar las opciones de cifrado y autenticación, seleccione el .sof y haga clic en
Propiedades. a. Active Habilitar herramienta de firma. b. Para clave privada file seleccione su clave de firma privada .pem file. C. Active Finalizar cifrado.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 21

3. Cifrado de flujo de bits AES 683823 | 2023.05.23

Figura 5.

d. Para clave de cifrado file, seleccione su AES .qek file. Entrada (.sof) File Propiedades para autenticación y cifrado

Habilitar autenticación Especificar raíz privada .pem
Habilitar cifrado Especificar clave de cifrado
5. Para generar el flujo de bits firmado y cifrado, en la entrada Files, haga clic en Generar. Aparecen cuadros de diálogo de contraseña para que ingrese su frase de contraseña para su clave AES .qek file y firmando la clave privada .pem file. la programación file El generador crea la salida cifrada y firmada.file.rbf.
3.3.2. Configuración del cifrado de flujo de bits mediante la programación File Interfaz de línea de comando del generador
Genere un flujo de bits de configuración cifrado y firmado en formato .rbf con la interfaz de línea de comando quartus_pfg:
quartus_pfg -c cifrado_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o firma=ON -o pem_file=diseño0_sign_privado.pem
Puede convertir un flujo de bits de configuración cifrado y firmado en formato .rbf a otro flujo de bits de configuración. file formatos.
3.3.3. Configuración parcialmente cifrada Generación de flujo de bits mediante la interfaz de línea de comandos
Puede generar una programación parcialmente cifrada. file para finalizar el cifrado y firmar la imagen más tarde. Generar la programación parcialmente cifrada. file en formato .rbf con la interfaz de línea de comando quartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 22

Enviar comentarios

3. Cifrado de flujo de bits AES 683823 | 2023.05.23
Utilice la herramienta de línea de comando quartus_encrypt para finalizar el cifrado de flujo de bits:
quartus_encrypt –familia=agilex –operación=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Utilice la herramienta de línea de comando quartus_sign para firmar el flujo de bits de configuración cifrado:
quartus_sign –family=agilex –operación=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf firmado_encrypted_top.rbf
quartus_sign –family=agilex –operación=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf firmado_encrypted_top.rbf
3.3.4. Cifrado de flujo de bits de reconfiguración parcial
Puede habilitar el cifrado de flujo de bits en algunos diseños de FPGA Intel Agilex 7 que utilizan una reconfiguración parcial.
Los diseños de reconfiguración parcial que utilizan la reconfiguración parcial jerárquica (HPR) o la reconfiguración parcial de actualización estática (SUPR) no admiten el cifrado de flujo de bits. Si su diseño contiene varias regiones de relaciones públicas, debe cifrar todas las personas.
Para habilitar el cifrado de flujo de bits de reconfiguración parcial, siga el mismo procedimiento en todas las revisiones de diseño. 1. En el Intel Quartus Prime File menú, seleccione Asignaciones Dispositivo Dispositivo
y seguridad de opciones de PIN. 2. Seleccione la ubicación de almacenamiento de la clave de cifrado deseada.
Figura 6. Configuración de cifrado de flujo de bits de reconfiguración parcial

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 23

3. Cifrado de flujo de bits AES 683823 | 2023.05.23
Alternativamente, puede agregar la siguiente declaración de asignación en la configuración de Quartus Prime file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION en
Después de compilar su diseño base y sus revisiones, el software genera un archivo.soffile y uno o más.pmsffiles, que representa a las personas. 3. Cree programación cifrada y firmada files de.sof y.pmsf files de manera similar a los diseños sin reconfiguración parcial habilitada. 4. Convierta el persona.pmsf compilado. file a un.rbf parcialmente cifrado file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON cifrado_enabled_persona1.pmsf persona1.rbf
5. Finalice el cifrado de flujo de bits utilizando la herramienta de línea de comando quartus_encrypt:
quartus_encrypt –familia=agilex –operación=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Firme el flujo de bits de configuración cifrado utilizando la herramienta de línea de comando quartus_sign:
quartus_sign –family=agilex –operación=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem persona_encriptada1.rbf persona_encriptada1.rbf
quartus_sign –family=agilex –operación=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign persona_encriptada1.rbf persona_encriptada1.rbf

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 24

Enviar comentarios

683823 | 2023.05.23 Enviar comentarios

Aprovisionamiento de dispositivos

El aprovisionamiento inicial de funciones de seguridad solo se admite en el firmware de aprovisionamiento de SDM. Utilice el programador Intel Quartus Prime para cargar el firmware de aprovisionamiento de SDM y realizar operaciones de aprovisionamiento.
Puedes usar cualquier tipo de J.TAG descargue el cable para conectar el programador Quartus a un dispositivo Intel Agilex 7 para realizar operaciones de aprovisionamiento.
4.1. Uso del firmware de provisión de SDM
El programador Intel Quartus Prime crea y carga automáticamente una imagen auxiliar predeterminada de fábrica cuando selecciona la operación de inicialización y un comando para programar algo que no sea un flujo de bits de configuración.
Dependiendo del comando de programación especificado, la imagen auxiliar predeterminada de fábrica es de dos tipos:
· Imagen auxiliar de aprovisionamiento: consta de una sección de flujo de bits que contiene el firmware de aprovisionamiento de SDM.
· Imagen auxiliar QSPI: consta de dos secciones de flujo de bits, una que contiene el firmware principal del SDM y una sección de E/S.
Puede crear una imagen auxiliar predeterminada de fábrica. file para cargar en su dispositivo antes de realizar cualquier comando de programación. Después de programar un hash de clave raíz de autenticación, debe crear y firmar una imagen auxiliar predeterminada de fábrica de QSPI debido a la sección de E/S incluida. Si además programa la configuración de seguridad del firmware cofirmado eFuse, debe crear aprovisionamiento e imágenes auxiliares predeterminadas de fábrica de QSPI con firmware cofirmado. Puede utilizar una imagen auxiliar predeterminada de fábrica cofirmada en un dispositivo no aprovisionado, ya que el dispositivo no aprovisionado ignora las cadenas de firmas que no son de Intel a través del firmware SDM. Consulte Uso de la imagen auxiliar predeterminada de fábrica de QSPI en dispositivos propios en la página 26 para obtener más detalles sobre cómo crear, firmar y usar la imagen auxiliar predeterminada de fábrica de QSPI.
La imagen auxiliar predeterminada de fábrica de aprovisionamiento realiza una acción de aprovisionamiento, como la programación del hash de la clave raíz de autenticación, los fusibles de configuración de seguridad, la inscripción de PUF o el aprovisionamiento de clave negra. Utiliza la programación Intel Quartus Prime File Herramienta de línea de comandos del generador para crear la imagen auxiliar de aprovisionamiento, especificando la opción helper_image, el nombre de su dispositivo auxiliar, el subtipo de imagen auxiliar de aprovisionamiento y, opcionalmente, un firmware cofirmado .zip. file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtipo=PROVISIÓN -o fw_source=signed_agilex.zip firmado_provision_helper_image.rbf
Programe la imagen auxiliar utilizando la herramienta Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force

ISO 9001: 2015 registrado

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23

Nota:

Puede omitir la operación de inicialización de los comandos, incluido examparchivos proporcionados en este capítulo, después de programar una imagen auxiliar de provisión o usar un comando que contenga la operación de inicialización.

4.2. Uso de la imagen auxiliar predeterminada de fábrica de QSPI en dispositivos propios
El programador Intel Quartus Prime crea y carga automáticamente una imagen auxiliar predeterminada de fábrica de QSPI cuando selecciona la operación de inicialización para una programación flash QSPI. file. Después de programar un hash de clave raíz de autenticación, debe crear y firmar la imagen auxiliar predeterminada de fábrica de QSPI y programar la imagen auxiliar de fábrica de QSPI firmada por separado antes de programar la memoria flash QSPI. 1. Utiliza la programación Intel Quartus Prime File Herramienta de línea de comando del generador para
cree la imagen auxiliar QSPI, especificando la opción helper_image, su tipo de dispositivo auxiliar, el subtipo de imagen auxiliar QSPI y, opcionalmente, un firmware .zip firmado conjuntamente file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtipo=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Firma la imagen auxiliar predeterminada de fábrica de QSPI:
quartus_sign –family=agilex –operación=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf firmado_qspi_helper_image.rbf
3. Puede utilizar cualquier programación flash QSPI file formato. el siguiente exampLos archivos usan un flujo de bits de configuración convertido al .jic. file formato:
quartus_pfg -c firmado_bitstream.rbf firmado_flash.jic -o dispositivo=MT25QU128 -o flash_loader=AGFB014R24A -o modo=ASX4
4. Programe la imagen auxiliar firmada utilizando la herramienta Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –force
5. Programa la imagen .jic para que parpadee usando la herramienta Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;firmado_flash.jic”

4.3. Aprovisionamiento de clave raíz de autenticación
Para programar los hashes de la clave raíz del propietario en fusibles físicos, primero debe cargar el firmware de provisión, luego programar los hashes de la clave raíz del propietario y luego realizar inmediatamente un reinicio de encendido. No es necesario reiniciar el encendido si se programan hash de clave raíz en fusibles virtuales.

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 26

Enviar comentarios

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23
Para programar hashes de clave raíz de autenticación, programe la imagen auxiliar de firmware de provisión y ejecute uno de los siguientes comandos para programar la clave raíz .qky files.
// Para eFuses físicos (no volátiles) quartus_pgm -c 1 -m jtag -o “p;root0.qky;root1.qky;root2.qky” –non_volatile_key
// Para eFuses virtuales (volátiles) quartus_pgm -c 1 -m jtag -o “p;raíz0.qky;raíz1.qky;raíz2.qky”
4.3.1. Programación de clave raíz de múltiples autoridades de reconfiguración parcial
Después de aprovisionar las claves raíz del propietario del flujo de bits del dispositivo o de la región estática, carga nuevamente la imagen auxiliar de aprovisionamiento del dispositivo, programa el certificado compacto de autorización del programa de clave pública PR firmado y luego aprovisiona la clave raíz del propietario del flujo de bits de la persona PR.
// Para eFuses físicos (no volátiles) quartus_pgm -c 1 -m jtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Para eFuses virtuales (volátiles) quartus_pgm -c 1 -m jtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Programación Clave Cancelación ID Fusibles
A partir de la versión 21.1 del software Intel Quartus Prime Pro Edition, la programación de los fusibles de ID de cancelación de clave de propietario e Intel requiere el uso de un certificado compacto firmado. Puede firmar el certificado compacto de ID de cancelación de clave con una cadena de firma que tenga permisos de firma de sección FPGA. El certificado compacto lo creas con la programación. file herramienta de línea de comando del generador. Usted firma el certificado sin firmar utilizando la herramienta quartus_sign o la implementación de referencia.
Los dispositivos Intel Agilex 7 admiten bancos separados de ID de cancelación de clave de propietario para cada clave raíz. Cuando se programa un certificado compacto de ID de cancelación de clave de propietario en una FPGA Intel Agilex 7, el SDM determina qué clave raíz firmó el certificado compacto y quema el fusible de ID de cancelación de clave que corresponde a esa clave raíz.
El siguiente ejemploampLos archivos crean un certificado de cancelación de clave Intel para el ID de clave Intel 7. Puede reemplazar 7 con el ID de cancelación de clave Intel correspondiente del 0 al 31.
Ejecute el siguiente comando para crear un certificado compacto de ID de cancelación de clave Intel sin firmar:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Ejecute uno de los siguientes comandos para firmar el certificado compacto de ID de cancelación de clave Intel sin firmar:
quartus_sign –family=agilex –operación=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert firmado_cancel_intel7.ccert
quartus_sign –family=agilex –operación=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 27

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert firmado_cancel_intel7.ccert
Ejecute el siguiente comando para crear un certificado compacto de ID de cancelación de clave de propietario sin firmar:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Ejecute uno de los siguientes comandos para firmar el certificado compacto de ID de cancelación de clave de propietario sin firmar:
quartus_sign –family=agilex –operación=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert firmado_cancel_owner2.ccert
quartus_sign –family=agilex –operación=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert firmado_cancel_owner2.ccert
Después de haber creado un certificado compacto de ID de cancelación de clave firmada, utilice el programador Intel Quartus Prime para programar el certificado compacto en el dispositivo a través de J.TAG.
//Para eFuses físicos (no volátiles) quartus_pgm -c 1 -m jtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
//Para eFuses virtuales (volátiles) quartus_pgm -c 1 -m jtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o “pi;firmado_cancelar_propietario2.ccert”
Además, puede enviar el certificado compacto al SDM mediante la interfaz de buzón FPGA o HPS.
4.5. Cancelación de claves raíz
Los dispositivos Intel Agilex 7 le permiten cancelar los hashes de clave raíz cuando hay otro hash de clave raíz no cancelado. Para cancelar un hash de clave raíz, primero configure el dispositivo con un diseño cuya cadena de firma esté basada en un hash de clave raíz diferente y luego programe un certificado compacto de cancelación de hash de clave raíz firmado. Debe firmar el certificado compacto de cancelación de hash de clave raíz con una cadena de firma arraigada en la clave raíz que se va a cancelar.
Ejecute el siguiente comando para generar un certificado compacto de cancelación de hash de clave raíz sin firmar:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 28

Enviar comentarios

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23

Ejecute uno de los siguientes comandos para firmar el certificado compacto de cancelación de hash de clave raíz sin firmar:
quartus_sign –family=agilex –operación=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert firmado_root_cancel.ccert
quartus_sign –family=agilex –operación=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert firmado_root_cancel.ccert
Puede programar un certificado compacto de cancelación de hash de clave raíz a través de JTAG, FPGA o buzones HPS.

4.6. Programación de fusibles contadores
Actualiza el número de versión de seguridad (SVN) y el pseudotiempo St.amp (PTS) contrafusibles mediante certificados compactos firmados.

Nota:

El SDM realiza un seguimiento del valor mínimo del contador observado durante una configuración determinada y no acepta certificados de incremento del contador cuando el valor del contador es menor que el valor mínimo. Debe actualizar todos los objetos asignados a un contador y reconfigurar el dispositivo antes de programar un certificado compacto de incremento de contador.

Ejecute uno de los siguientes comandos que corresponda al certificado de incremento de contador que desea generar.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o contador= unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o contador= unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o contador= unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o contador= unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o contador= unsigned_svnD.ccert

Un valor de contador de 1 crea un certificado de autorización de incremento de contador. La programación de un certificado compacto de autorización de incremento de contador le permite programar más certificados de incremento de contador sin firmar para actualizar el contador respectivo. Utilice la herramienta quartus_sign para firmar los certificados compactos de contador de forma similar a los certificados compactos de ID de cancelación de clave.
Puede programar un certificado compacto de cancelación de hash de clave raíz a través de JTAG, FPGA o buzones HPS.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 29

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23

4.7. Aprovisionamiento de clave raíz del servicio de objetos de datos seguros
Utilice el programador Intel Quartus Prime para aprovisionar la clave raíz del Servicio de objetos de datos seguros (SDOS). El programador carga automáticamente la imagen auxiliar del firmware de aprovisionamiento para aprovisionar la clave raíz de SDOS.
quartus_pgm c 1 m jtag –clave_raíz_servicio –clave_no_volatil

4.8. Configuración de seguridad Aprovisionamiento de fusibles
Utilice el programador Intel Quartus Prime para examinar los fusibles de configuración de seguridad del dispositivo y escribirlos en un archivo .fuse basado en texto. file como sigue:
quartus_pgm -c 1 -mjtag -o “ei;programación_file.fusible;AGFB014R24B”

Opciones · i: El programador carga la imagen auxiliar del firmware de provisión en el dispositivo. · e: El Programador lee el fusible del dispositivo y lo almacena en un .fuse file.

El fusible file contiene una lista de pares nombre-valor de fusibles. El valor especifica si se ha fundido un fusible o el contenido del campo de fusibles.

El siguiente ejemploampEl archivo muestra el formato del .fuse. file:

# Firmware cofirmado

= “No volado”

# Dispositivo Permitir Matar

= “No volado”

# Dispositivo no seguro

= “No volado”

# Deshabilitar la depuración de HPS

= “No volado”

# Deshabilitar la inscripción PUF de ID intrínseca

= “No volado”

# Desactivar JTAG

= “No volado”

# Deshabilitar la clave de cifrado envuelta en PUF

= “No volado”

# Deshabilitar la clave de cifrado del propietario en BBRAM = "No volado"

# Deshabilitar la clave de cifrado del propietario en eFuses = "No volado"

# Deshabilitar el hash 0 de la clave pública raíz del propietario

= “No volado”

# Deshabilitar el hash 1 de la clave pública raíz del propietario

= “No volado”

# Deshabilitar el hash 2 de la clave pública raíz del propietario

= “No volado”

# Deshabilitar eFuses virtuales

= “No volado”

# Forzar el reloj SDM al oscilador interno = "No fundido"

# Forzar la actualización de la clave de cifrado

= “No volado”

# Cancelación de clave explícita de Intel

= “0”

# Bloquear eFuses de seguridad

= “No volado”

# Programa de clave de cifrado del propietario realizado

= “No volado”

# Inicio del programa de clave de cifrado del propietario

= “No volado”

# Cancelación de clave explícita del propietario 0

= “”

# Cancelación de clave explícita del propietario 1

= “”

# Cancelación de clave explícita del propietario 2

= “”

# Fusibles del propietario

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Hash de clave pública raíz del propietario 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Hash de clave pública raíz del propietario 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Hash de clave pública raíz del propietario 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Tamaño de la clave pública raíz del propietario

= “Ninguno”

# contador de PTS

= “0”

# Base de mostrador PTS

= “0”

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 30

Enviar comentarios

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23

# Retardo de inicio de QSPI # Contador RMA # SDMIO0 es I2C # Contador SVN A # Contador SVN B # Contador SVN C # Contador SVN D

= “10ms” = “0” = “No fundido” = “0” = “0” = “0” = “0”

Modificar el .fuse file para configurar los fusibles de configuración de seguridad que desee. Una línea que comienza con # se trata como una línea de comentario. Para programar un fusible de configuración de seguridad, retire el # inicial y establezca el valor en Quemado. por ejemploamparchivo, para habilitar el fusible de configuración de seguridad del firmware cofirmado, modifique la primera línea del fusible file a lo siguiente:
Firmware cofirmado = "Explotado"

También puede asignar y programar los fusibles del propietario según sus requisitos.
Puede utilizar el siguiente comando para realizar una verificación en blanco, programar y verificar la clave pública raíz del propietario:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

Opciones · i: Carga la imagen auxiliar del firmware de provisión en el dispositivo. · b: Realiza una verificación en blanco para verificar que los fusibles de configuración de seguridad deseados no estén
ya estallado. · p: Programa el fusible. · v: Verifica la clave programada en el dispositivo.
Después de programar el .qky file, puede examinar la información del fusible comprobando la información del fusible nuevamente para asegurarse de que tanto el hash de la clave pública del propietario como el tamaño de la clave pública del propietario tengan valores distintos de cero.
Si bien no se puede escribir en los siguientes campos a través del archivo .fuse file método, se incluyen durante el resultado de la operación de examen para su verificación: · Dispositivo no seguro · Eliminación del permiso del dispositivo · Deshabilitar el hash 0 de la clave pública raíz del propietario · Deshabilitar el hash 1 de la clave pública raíz del propietario · Deshabilitar el hash 2 de la clave pública raíz del propietario · Cancelación de clave Intel · Inicio del programa de clave de cifrado del propietario · Programa de clave de cifrado del propietario finalizado · Cancelación de clave de propietario · Hash de clave pública del propietario · Tamaño de clave pública del propietario · Hash de clave pública raíz 0 del propietario · Hash de clave pública raíz 1 del propietario · Hash de clave pública raíz 2 del propietario

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 31

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23
· Contador PTS · Base del contador PTS · Retardo de inicio de QSPI · Contador RMA · SDMIO0 es I2C · Contador SVN A · Contador SVN B · Contador SVN C · Contador SVN D
Utilice el programador Intel Quartus Prime para programar el .fuse file volver al dispositivo. Si agrega la opción i, el programador carga automáticamente el firmware de provisión para programar los fusibles de configuración de seguridad.
//Para eFuses físicos (no volátiles) quartus_pgm -c 1 -m jtag -o “pi;programación_file.fusible” –non_volatile_key
//Para eFuses virtuales (volátiles) quartus_pgm -c 1 -m jtag -o “pi;programación_file.fusible"
Puede utilizar el siguiente comando para verificar si el hash de la clave raíz del dispositivo es el mismo que el .qky proporcionado en el comando:
quartus_pgm -c 1 -mjtag -o “v;root0_otro.qky”
Si las claves no coinciden, el programador falla con un mensaje de error de operación fallida.
4.9. Aprovisionamiento de clave raíz AES
Debe utilizar un certificado compacto de clave raíz AES firmado para programar una clave raíz AES en un dispositivo Intel Agilex 7.
4.9.1. Certificado compacto de clave raíz AES
Utilice la herramienta de línea de comando quartus_pfg para convertir su clave raíz AES .qek file en el formato de certificado compacto .ccert. Usted especifica la ubicación de almacenamiento de claves al crear el certificado compacto. Puede utilizar la herramienta quartus_pfg para crear un certificado sin firmar para firmarlo más tarde. Debe utilizar una cadena de firma con el permiso de firma del certificado de clave raíz AES, bit de permiso 6, habilitado para poder firmar correctamente un certificado compacto de clave raíz AES.

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 32

Enviar comentarios

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23
1. Cree un par de claves adicional utilizado para firmar el certificado compacto de clave AES utilizando uno de los siguientes comandos, ex.ampellos:
quartus_sign –familia=agilex –operación=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –familia=agilex –operación=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mecanismo ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –signo de uso –label aesccert1 –id 2
2. Cree una cadena de firma con el bit de permiso correcto configurado usando uno de los siguientes comandos:
quartus_sign –family=agilex –operación=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operación=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Cree un certificado compacto AES sin firmar para la ubicación de almacenamiento de clave raíz AES deseada. Están disponibles las siguientes opciones de almacenamiento de claves raíz AES:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Crear certificado sin firmar de clave raíz AES de eFuse quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Firme el certificado compacto con el comando quartus_sign o la implementación de referencia.
quartus_sign –family=agilex –operación=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_1.ccert firmado_1.ccert
quartus_sign –family=agilex –operación=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 33

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_1.ccert firmado_1.ccert
5. Utilice el programador Intel Quartus Prime para programar el certificado compacto de clave raíz AES en el dispositivo Intel Agilex 7 a través de J.TAG. El programador Intel Quartus Prime programa de forma predeterminada eFuses virtuales cuando utiliza el tipo de certificado compacto EFUSE_WRAPPED_AES_KEY.
Agrega la opción –non_volatile_key para especificar la programación de fusibles físicos.
//Para clave raíz física (no volátil) eFuse AES quartus_pgm -c 1 -m jtag -o “pi;signed_efuse1.ccert” –non_volatile_key

//Para clave raíz virtual (volátil) eFuse AES quartus_pgm -c 1 -m jtag -o “pi;firmado_efuse1.ccert”

//Para la clave raíz BBRAM AES quartus_pgm -c 1 -m jtag -o “pi;firmado_bbram1.ccert”

El firmware de provisión de SDM y el firmware principal admiten la programación de certificados de clave raíz AES. También puede utilizar la interfaz del buzón SDM desde la estructura FPGA o HPS para programar un certificado de clave raíz AES.

Nota:

El comando quartus_pgm no admite las opciones b y v para certificados compactos (.ccert).

4.9.2. Aprovisionamiento de clave raíz AES de PUF Intrinsic ID®
La implementación de la clave AES empaquetada de PUF de ID intrínseco* incluye los siguientes pasos: 1. Inscribir la PUF de ID intrínseco a través de JTAG. 2. Envolviendo la clave raíz AES. 3. Programar los datos auxiliares y la clave empaquetada en la memoria flash SPI cuádruple. 4. Consultar el estado de activación de la PUF de ID intrínseco.
El uso de la tecnología Intrinsic ID requiere un acuerdo de licencia independiente con Intrinsic ID. El software Intel Quartus Prime Pro Edition restringe las operaciones PUF sin la licencia adecuada, como inscripción, ajuste de claves y programación de datos PUF en flash QSPI.

4.9.2.1. Inscripción de PUF de identificación intrínseca
Para inscribir la PUF, debe utilizar el firmware de provisión de SDM. El firmware de provisión debe ser el primer firmware cargado después de un ciclo de encendido y debe emitir el comando de inscripción de PUF antes de cualquier otro comando. El firmware de provisión admite otros comandos después de la inscripción de PUF, incluido el ajuste de clave raíz AES y la programación de SPI cuádruple; sin embargo, debe apagar y encender el dispositivo para cargar un flujo de bits de configuración.
Utilice el programador Intel Quartus Prime para activar la inscripción de PUF y generar los datos auxiliares de PUF .puf file.

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 34

Enviar comentarios

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23

Figura 7.

Inscripción de PUF de identificación intrínseca
quartus_pgm Inscripción PUF

Datos de ayuda de PUF de inscripción

Administrador de dispositivos seguros (SDM)

wrapper.puf Datos auxiliares
El programador carga automáticamente una imagen auxiliar de firmware de provisión cuando especifica tanto la operación i como un argumento .puf.
quartus_pgm -c 1 -mjtag -o “ei;help_data.puf;AGFB014R24A”
Si utiliza firmware cofirmado, programe la imagen auxiliar del firmware cofirmado antes de utilizar el comando de inscripción PUF.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o “e;help_data.puf;AGFB014R24A”
La UDS IID PUF se inscribe durante la fabricación del dispositivo y no está disponible para reinscripción. En su lugar, utilice el Programador para determinar la ubicación de los datos auxiliares de UDS PUF en IPCS; descargue el archivo .puf file directamente, y luego utilizar el .puf UDS file de la misma manera que el .puf file extraído de un dispositivo Intel Agilex 7.
Utilice el siguiente comando del programador para generar un texto. file que contiene una lista de URLapunta a un dispositivo específico files en el IPCS:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Envolviendo la clave raíz AES
Genera la clave raíz AES envuelta en IID PUF .wkey file enviando un certificado firmado al SDM.
Puede utilizar el programador Intel Quartus Prime para generar, firmar y enviar automáticamente el certificado para empaquetar su clave raíz AES, o puede utilizar el programador Intel Quartus Prime. File Generador para generar un certificado sin firmar. Firma el certificado sin firmar utilizando sus propias herramientas o la herramienta de firma Quartus. Luego utiliza el Programador para enviar el certificado firmado y empaquetar su clave raíz AES. El certificado firmado se puede utilizar para programar todos los dispositivos que puedan validar la cadena de firma.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 35

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23

Figura 8.

Envolviendo la clave AES usando el programador Intel Quartus Prime
.pem Privado
Llave

.qky

cuarto_pgm

Envolver clave AES

AES.QSKigYnature RootCPhuabilnic Clave

Generar clave envuelta PUF

Clave AES envuelta

SDM

.qek cifrado
Llave

.wkey envuelto en PUF
Clave AES

1. Puede generar la clave raíz AES envuelta en IID PUF (.wkey) con el programador utilizando los siguientes argumentos:
· El .qky file que contiene una cadena de firmas con permiso de certificado de clave raíz AES
· El .pem privado file para la última clave en la cadena de firmas
· El .qek file sosteniendo la clave raíz AES
· El vector de inicialización de 16 bytes (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Alternativamente, puede generar un IID PUF sin firmar que envuelva el certificado de clave raíz AES con el Programación File Generador usando los siguientes argumentos:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Firma el certificado sin firmar con sus propias herramientas de firma o la herramienta quartus_sign usando el siguiente comando:

quartus_sign –family=agilex –operación=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert firmado_aes.ccert

4. Luego utiliza el Programador para enviar el certificado AES firmado y devolver la clave envuelta (.wkey) file:

cuartos_pgm -c 1 -m jtag –ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Nota: La operación i no es necesaria si cargó previamente la imagen auxiliar del firmware de provisión, por ejemplo.ample, para inscribir la PUF.

4.9.2.3. Programación de datos auxiliares y clave empaquetada para la memoria flash QSPI
Usas la Programación Quartus File Interfaz gráfica del generador para construir una imagen flash QSPI inicial que contiene una partición PUF. Debe generar y programar una imagen de programación flash completa para agregar una partición PUF al flash QSPI. Creación de la PUF

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 36

Enviar comentarios

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23

Figura 9.

partición de datos y uso de los datos auxiliares de PUF y la clave empaquetada files para la generación de imágenes flash no es compatible a través de la Programación File Interfaz de línea de comando del generador.
Los siguientes pasos demuestran la creación de una imagen de programación flash con los datos auxiliares de PUF y la clave empaquetada:
1. En el File menú, haga clic en Programación File Generador. En la salida Files haga las siguientes selecciones:
a. Para Familia de dispositivos, seleccione Agilex 7.
b. Para el modo de configuración, seleccione Active Serial x4.
C. Para el directorio de salida, busque su salida file directorio. este exampEl archivo usa salida_files.
d. Para Nombre, especifique un nombre para la programación. file que se generará. este exampEl archivo usa salida_file.
mi. En Descripción seleccione la programación files para generar. este example genera el JTAG Configuración indirecta File (.jic) para la configuración del dispositivo y el binario sin formato File de la imagen auxiliar de programación (.rbf) para la imagen auxiliar del dispositivo. este exampEl archivo también selecciona el mapa de memoria opcional. File (.map) y datos de programación sin procesar File (.rpd). Los datos de programación sin procesar. file es necesario sólo si planea utilizar un programador externo en el futuro.
Programación File Generador – Salida FilePestaña s: seleccione JTAG Configuración indirecta

Modo de configuración de familia de dispositivos
Producción file pestaña
Directorio de salida
JTAG Mapa de memoria indirecto (.jic) File Ayudante de programación Datos de programación sin procesar
En la entrada Files, haga las siguientes selecciones: 1. Haga clic en Agregar Bitstream y busque su archivo .sof. 2. Selecciona tu .sof file y luego haz clic en Propiedades.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 37

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23
a. Active Habilitar herramienta de firma. b. Para clave privada file selecciona tu .pem file. C. Active Finalizar cifrado. d. Para clave de cifrado file selecciona tu .qek file. mi. Haga clic en Aceptar para volver a la ventana anterior. 3. Para especificar los datos de su ayuda PUF file, haga clic en Agregar datos sin procesar. Cambiar el Files del menú desplegable de tipo a Función física no clonable de Quartus File (*.puf). Navega hasta tu .puf file. Si está utilizando IID PUF y UDS IID PUF, repita este paso para que .puf fileLos s para cada PUF se agregan como entrada files. 4. Para especificar su clave AES empaquetada file, haga clic en Agregar datos sin procesar. Cambiar el Files del menú desplegable de tipo a Quartus Wrapped Key File (*.wtecla). Navega hasta tu .wkey file. Si ha empaquetado claves AES utilizando IID PUF y UDS IID PUF, repita este paso para que .wkey fileLos s para cada PUF se agregan como entrada files.
Figura 10. Especificar entrada Files para configuración, autenticación y cifrado

Agregar Bitstream Agregar datos sin procesar
Propiedades
Clave privada file
Finalizar el cifrado Clave de cifrado
En la pestaña Dispositivo de configuración, realice las siguientes selecciones: 1. Haga clic en Agregar dispositivo y seleccione su dispositivo flash de la lista de dispositivos flash disponibles.
dispositivos. 2. Seleccione el dispositivo de configuración que acaba de agregar y haga clic en Agregar partición. 3. En el cuadro de diálogo Editar partición para la entrada file y seleccione su .sof del
la lista desplegable. Puede conservar los valores predeterminados o editar los otros parámetros en el cuadro de diálogo Editar partición.

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 38

Enviar comentarios

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23
Figura 11. Especificación de su partición Bitstream de configuración .sof

Dispositivo de configuración
Editar partición Agregar .sof file

Añadir partición

4. Cuando agregas .puf y .wkey como entrada files, la programación File Generator crea automáticamente una partición PUF en su dispositivo de configuración. Para almacenar .puf y .wkey en la partición PUF, seleccione la partición PUF y haga clic en Editar. En el cuadro de diálogo Editar partición, seleccione su .puf y .wkey files de las listas desplegables. Si elimina la partición PUF, debe eliminar y volver a agregar el dispositivo de configuración para la Programación. File Generador para crear otra partición PUF. Debe asegurarse de seleccionar los .puf y .wkey correctos. file para el IID PUF y UDS IID PUF, respectivamente.
Figura 12. Agregue las claves .puf y .w files a la partición PUF

Partición PUF

Editar

Editar partición

Cargador flash

Seleccione Generar

5. Para el parámetro Flash Loader, seleccione la familia de dispositivos Intel Agilex 7 y el nombre del dispositivo que coincida con su OPN de Intel Agilex 7.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 39

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23
6. Haga clic en Generar para generar la salida. files que especificó en la salida Filepestaña s.
7. La programación File El generador lee tu .qek file y le solicita su contraseña. Escriba su frase de contraseña en respuesta a la solicitud Ingrese la frase de contraseña de QEK. Haga clic en la tecla Intro.
8. Haga clic en Aceptar cuando la programación File El generador informa de una generación exitosa.
Utilice el programador Intel Quartus Prime para escribir la imagen de programación QSPI en la memoria flash QSPI. 1. En el menú Herramientas Intel Quartus Prime, seleccione Programador. 2. En el programador, haga clic en Configuración de hardware y luego seleccione un Intel conectado.
Cable de descarga FPGA. 3. Haga clic en Agregar File y navega hasta tu .jic file.
Figura 13. Programa .jic

Programación file

Programar/Configurar

JTAG cadena de escaneo
4. Desmarque la casilla asociada con la imagen auxiliar. 5. Seleccione Programar/Configurar para la salida .jic file. 6. Active el botón Inicio para programar su memoria flash SPI cuádruple. 7. Apague y encienda su placa. El diseño programado para la memoria flash SPI cuádruple.
Posteriormente, el dispositivo se carga en la FPGA de destino.
Debe generar y programar una imagen de programación flash completa para agregar una partición PUF al flash SPI cuádruple.
Cuando ya existe una partición PUF en la memoria flash, es posible utilizar el programador Intel Quartus Prime para acceder directamente a los datos auxiliares de PUF y a la clave empaquetada. files. Por ejemploamparchivo, si la activación no tiene éxito, es posible volver a registrar la PUF, volver a ajustar la clave AES y, posteriormente, solo programar la PUF files sin tener que sobrescribir todo el flash.

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 40

Enviar comentarios

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23
El programador Intel Quartus Prime admite el siguiente argumento de operación para PUF files en una partición PUF preexistente:
· p: programa
· v: verificar
· r: borrar
· b: cheque en blanco
Debe seguir las mismas restricciones para la inscripción de PUF, incluso si existe una partición PUF.
1. Utilice el argumento de operación i para cargar la imagen auxiliar de suministro de firmware para la primera operación. por ejemploamparchivo, la siguiente secuencia de comandos vuelve a inscribir la PUF, vuelve a empaquetar la clave raíz AES, borra los datos auxiliares de PUF antiguos y la clave empaquetada, luego programa y verifica los nuevos datos auxiliares de PUF y la clave raíz AES.
quartus_pgm -c 1 -mjtag -o “ei;nuevo.puf;AGFB014R24A” quartus_pgm -c 1 -m jtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;antiguo.wkey” quartus_pgm -c 1 -mjtag -o “p;nuevo.puf” quartus_pgm -c 1 -m jtag -o “p;nueva.wkey” quartus_pgm -c 1 -m jtag -o “v;nuevo.puf” quartus_pgm -c 1 -m jtag -o “v;nueva.wkey”
4.9.2.4. Consulta del estado de activación de PUF de ID intrínseco
Después de registrar la PUF de ID intrínseca, envuelva una clave AES, genere la programación flash files y actualiza el flash SPI cuádruple, reinicia su dispositivo para activar la activación y configuración de PUF desde el flujo de bits cifrado. El SDM informa el estado de activación de PUF junto con el estado de configuración. Si la activación de PUF falla, el SDM informa el estado de error de PUF. Utilice el comando quartus_pgm para consultar el estado de configuración.
1. Utilice el siguiente comando para consultar el estado de activación:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Aquí estáampEl resultado de una activación exitosa:
Información (21597): Respuesta de CONFIG_STATUS El dispositivo se está ejecutando en modo de usuario 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Versión C000007B MSEL=QSPI_NORMAL, nSTATUS=1, nCONFIG=1, VID=1,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Ubicación del error 00000000 Detalles del error Respuesta de PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000500 USER_IID STATUS =PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 41

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23

Si solo está utilizando IID PUF o UDS IID PUF y no ha programado un archivo .puf de datos auxiliar file para cualquiera de las PUF en la memoria flash QSPI, esa PUF no se activa y el estado de la PUF refleja que los datos auxiliares de la PUF no son válidos. el siguiente exampEl archivo muestra el estado de la PUF cuando los datos auxiliares de la PUF no se programaron para ninguna de las PUF:
Respuesta de PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Ubicación de la PUF en la memoria flash
La ubicación de la PUF. file es diferente para los diseños que admiten RSU y los diseños que no admiten la función RSU.

Para diseños que no admiten RSU, debe incluir .puf y .wkey files cuando crea imágenes flash actualizadas. Para los diseños que admiten RSU, el SDM no sobrescribe las secciones de datos PUF durante las actualizaciones de imágenes de fábrica o de aplicaciones.

Tabla 2.

Diseño de subparticiones Flash sin soporte RSU

Desplazamiento de Flash (en bytes)

Tamaño (en bytes)

Contenido

Descripción

0K 256K

256K 256K

Firmware de gestión de configuración Firmware de gestión de configuración

Firmware que se ejecuta en SDM.

512K

256K

Firmware de gestión de configuración

768K

256K

Firmware de gestión de configuración

32K

Copia de datos PUF 0

Estructura de datos para almacenar datos auxiliares de PUF y copia de clave raíz AES envuelta en PUF 0

1 millón + 32 mil

32K

Copia de datos PUF 1

Estructura de datos para almacenar datos auxiliares de PUF y copia de clave raíz AES envuelta en PUF 1

Tabla 3.

Diseño de subparticiones Flash con soporte RSU

Desplazamiento de Flash (en bytes)

Tamaño (en bytes)

Contenido

Descripción

0K 512K

512K 512K

Firmware de decisión Firmware de decisión

Firmware para identificar y cargar la imagen de mayor prioridad.

1M 1.5M

512K 512K

Firmware de decisión Firmware de decisión

8K + 24K

Datos del firmware de decisión

Relleno

Reservado para uso del firmware Decision.

2M + 32K

32K

Reservado para SDM

Reservado para SDM.

2M + 64K

Variable

Imagen de fábrica

Una imagen simple que crea como copia de seguridad si todas las demás imágenes de la aplicación no se cargan. Esta imagen incluye el CMF que se ejecuta en el SDM.

32K

Copia de datos PUF 0

Estructura de datos para almacenar datos auxiliares de PUF y copia de clave raíz AES envuelta en PUF 0
continuado…

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 42

Enviar comentarios

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23

Desplazamiento de Flash (en bytes)

Tamaño (en bytes)

Siguiente +32K 32K

Contenido copia de datos PUF 1

Siguiente + 256K 4K Siguiente +32K 4K Siguiente +32K 4K

Copia de tabla de subparticiones 0 Copia de tabla de subparticiones 1 Copia de bloque de puntero CMF 0

Siguiente +32K _

Copia 1 del bloque de puntero CMF

Variable variable

Imagen de aplicación 1 Imagen de aplicación 2

4.9.3. Aprovisionamiento de llave negra

Descripción
Estructura de datos para almacenar datos auxiliares de PUF y copia de clave raíz AES envuelta en PUF 1
Estructura de datos para facilitar la gestión del almacenamiento flash.
Una lista de punteros a imágenes de aplicaciones en orden de prioridad. Cuando agregas una imagen, esa imagen se convierte en la más alta.
Una segunda copia de la lista de punteros a imágenes de aplicaciones.
Tu primera imagen de aplicación.
La segunda imagen de tu aplicación.

Nota:

El programador Intel Quartus Prime ayuda a establecer una conexión segura mutuamente autenticada entre el dispositivo Intel Agilex 7 y el servicio de aprovisionamiento de clave negra. La conexión segura se establece mediante https y requiere varios certificados identificados mediante un texto file.
Al utilizar Black Key Provisioning, Intel recomienda evitar conectar externamente el pin TCK para subir o bajar una resistencia mientras la sigue usando para J.TAG. Sin embargo, puede conectar el pin TCK a la fuente de alimentación VCCIO SDM usando una resistencia de 10 k. La guía existente en las Pautas de conexión de pines para conectar TCK a una resistencia desplegable de 1 k se incluye para la supresión de ruido. El cambio de guía a una resistencia pull-up de 10 k no afecta el funcionamiento del dispositivo. Para obtener más información sobre cómo conectar el pin TCK, consulte Pautas de conexión de Intel Agilex de 7 pines.
Thebkp_tls_ca_certcertificate autentica su instancia de servicio de aprovisionamiento de clave negra en su instancia de programador de aprovisionamiento de clave negra. Los certificados bkp_tls_* autentican su instancia de programador de aprovisionamiento de clave negra en su instancia de servicio de aprovisionamiento de clave negra.
Creas un texto file que contiene la información necesaria para que el programador Intel Quartus Prime se conecte al servicio de aprovisionamiento de clave negra. Para iniciar el aprovisionamiento de clave negra, utilice la interfaz de línea de comandos del programador para especificar el texto de las opciones de aprovisionamiento de clave negra. file. El suministro de la llave negra se realiza automáticamente. Para acceder al servicio de aprovisionamiento de clave negra y la documentación asociada, comuníquese con el soporte técnico de Intel.
Puede habilitar el aprovisionamiento de clave negra usando el comando quartus_pgm:
quartus_pgm -c -m –device –bkp_options=bkp_options.txt
Los argumentos del comando especifican la siguiente información:

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 43

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23

· -c: número de cable · -m: especifica el modo de programación como JTAG · –device: especifica un índice de dispositivo en el JTAG cadena. El valor predeterminado es 1. · –bkp_options: especifica un texto file que contiene opciones de aprovisionamiento de clave negra.
Información relacionada Directrices de conexión de pines de la familia de dispositivos Intel Agilex 7

4.9.3.1. Opciones de aprovisionamiento de clave negra
Las opciones de aprovisionamiento de la tecla negra son un texto. file pasado al programador a través del comando quartus_pgm. El file contiene la información necesaria para activar el aprovisionamiento de clave negra.
Lo siguiente es un examparchivo de bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem bkp_tls_prog_key_pass = 1234 bkp_proxy_address = https ://192.167.5.5:5000 bkp_proxy_user = usuario_proxy bkp_proxy_password = contraseña_proxy

Tabla 4.

Opciones de aprovisionamiento de clave negra
Esta tabla muestra las opciones necesarias para activar el aprovisionamiento de clave negra.

Nombre de la opción

Tipo

Descripción

bkp_ip

Requerido

Especifica la dirección IP del servidor que ejecuta el servicio de aprovisionamiento de clave negra.

bkp_port

Requerido

Especifica el puerto del servicio de aprovisionamiento de clave negra necesario para conectarse al servidor.

bkp_cfg_id

Requerido

Identifica el ID del flujo de configuración de aprovisionamiento de la clave negra.
El servicio de aprovisionamiento de clave negra crea los flujos de configuración de aprovisionamiento de clave negra, incluida una clave raíz AES, la configuración deseada de eFuse y otras opciones de autorización de aprovisionamiento de clave negra. El número asignado durante la configuración del servicio de aprovisionamiento de clave negra identifica los flujos de configuración de aprovisionamiento de clave negra.
Nota: Varios dispositivos pueden hacer referencia al mismo flujo de configuración del servicio de aprovisionamiento de clave negra.

bkp_tls_ca_cert

Requerido

El certificado TLS raíz utilizado para identificar los servicios de aprovisionamiento de clave negra para el programador Intel Quartus Prime (Programador). Una autoridad de certificación confiable para la instancia del servicio de aprovisionamiento de clave negra emite este certificado.
Si ejecuta el Programador en una computadora con sistema operativo Microsoft® Windows® (Windows), deberá instalar este certificado en el almacén de certificados de Windows.

bkp_tls_prog_cert

Requerido

Un certificado creado para la instancia del Programador de aprovisionamiento de clave negra (Programador BKP). Este es el certificado de cliente https utilizado para identificar esta instancia del programador BKP
continuado…

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 44

Enviar comentarios

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23

Nombre de la opción

Tipo

bkp_tls_prog_key

Requerido

bkp_tls_prog_key_pass Opcional

bkp_proxy_address bkp_proxy_user bkp_proxy_contraseña

Opcional Opcional Opcional

Descripción
al servicio de aprovisionamiento de llave negra. Debe instalar y autorizar este certificado en el servicio de aprovisionamiento de clave negra antes de iniciar una sesión de aprovisionamiento de clave negra. Si ejecuta el Programador en Windows, esta opción no está disponible. En este caso, bkp_tls_prog_key ya incluye este certificado.
La clave privada correspondiente al certificado de Programador BKP. La clave valida la identidad de la instancia de BKP Programmer en el servicio de aprovisionamiento de clave negra. Si ejecuta el programador en Windows, el archivo .pfx file combina el certificado bkp_tls_prog_cert y la clave privada. La opción bkp_tlx_prog_key pasa el .pfx file en el bkp_options.txt file.
La contraseña de la clave privada bkp_tls_prog_key. No es necesario en el texto de opciones de configuración de aprovisionamiento de la clave negra (bkp_options.txt) file.
Especifica el servidor proxy URL DIRECCIÓN.
Especifica el nombre de usuario del servidor proxy.
Especifica la contraseña de autenticación del proxy.

4.10. Conversión de clave raíz del propietario, certificados de clave raíz AES y fusible files para atascar STAPL File Formatos

Puede utilizar el comando de línea de comandos quartus_pfg para convertir .qky, clave raíz AES .ccert y .fuse files a Jam Formato STAPL File (.jam) y formato de código de bytes de atasco File (.jbc). Puedes usar estos files para programar Intel FPGA utilizando Jam STAPL Player y Jam STAPL Byte-Code Player, respectivamente.

Un solo .jam o .jbc contiene varias funciones, incluida una configuración y un programa de imagen auxiliar de firmware, verificación en blanco y verificación de la programación de llaves y fusibles.

Precaución:

Cuando convierte la clave raíz AES .ccert file al formato .jam, el .jam file contiene la clave AES en texto sin formato pero en formato ofuscado. En consecuencia, debes proteger el .jam. file al almacenar la clave AES. Puede hacerlo proporcionando la clave AES en un entorno seguro.

Aquí están exampArchivos de comandos de conversión quartus_pfg:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jbc quartus_pfg - c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A settings.fuse settings_fuse.jam quartus_pfg -c -o helper_device=AGFB Configuración de 014R24A. configuración de fusibles_fuse.jbc

Para obtener más información sobre el uso de Jam STAPL Player para la programación de dispositivos, consulte AN 425: Uso de la solución Jam STAPL de línea de comandos para la programación de dispositivos.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 45

4. Aprovisionamiento de dispositivos 683823 | 2023.05.23
Ejecute los siguientes comandos para programar la clave pública raíz del propietario y la clave de cifrado AES:
//Para cargar el flujo de bits auxiliar en la FPGA. // El flujo de bits auxiliar incluye el firmware de provisión quartus_jli -c 1 -a CONFIGURAr RootKey.jam
//Para programar la clave pública raíz del propietario en eFuses virtuales quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Para programar la clave pública raíz del propietario en eFuses físicos quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Para programar la clave pública raíz del propietario de PR en eFuses virtuales quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Para programar la clave pública raíz del propietario de PR en eFuses físicos quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Para programar la clave de cifrado AES CCERT en BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Para programar la clave de cifrado AES CCERT en eFuses físicos quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Información relacionada AN 425: Uso de la solución Jam STAPL de línea de comandos para la programación de dispositivos

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 46

Enviar comentarios

683823 | 2023.05.23 Enviar comentarios

Funciones avanzadas

5.1. Autorización de depuración segura
Para habilitar la autorización de depuración segura, el propietario de la depuración debe generar un par de claves de autenticación y utilizar el programador Intel Quartus Prime Pro para generar información del dispositivo. file para el dispositivo que ejecuta la imagen de depuración:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
El propietario del dispositivo utiliza la herramienta quartus_sign o la implementación de referencia para agregar una entrada de clave pública condicional a una cadena de firma destinada a operaciones de depuración utilizando la clave pública del propietario de la depuración, las autorizaciones necesarias y el texto de información del dispositivo. filey restricciones adicionales aplicables:
quartus_sign –family=agilex –operación=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restricción=”1,2,17,18″ –input_pem= debug_authorization_public_key.pem Secure_debug_auth_chain.qky
El propietario del dispositivo envía la cadena de firmas completa al propietario de la depuración, quien utiliza la cadena de firmas y su clave privada para firmar la imagen de depuración:
quartus_sign –family=agilex –operación=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf autorizado_debug_design.rbf
Puede utilizar el comando quartus_pfg para inspeccionar la cadena de firmas de cada sección de este flujo de bits de depuración seguro firmado de la siguiente manera:
quartus_pfg –check_integrity autorizado_debug_design.rbf
El resultado de este comando imprime los valores de restricción 1,2,17,18 de la clave pública condicional que se utilizó para generar el flujo de bits firmado.
Luego, el propietario de la depuración puede programar el diseño de depuración autorizado de forma segura:
quartus_pgm -c 1 -mjtag -o “p;design_debug_autorizado.rbf”
El propietario del dispositivo puede revocar la autorización de depuración segura cancelando el ID de cancelación de clave explícita asignado en la cadena de firmas de autorización de depuración segura.
5.2. Certificados de depuración HPS
Habilitar solo el acceso autorizado al puerto de acceso de depuración (DAP) de HPS a través de JTAG La interfaz requiere varios pasos:

ISO 9001: 2015 registrado

5. Funciones avanzadas 683823 | 2023.05.23
1. Haga clic en el menú Asignaciones del software Intel Quartus Prime y seleccione la pestaña Configuración de opciones de dispositivo y PIN.
2. En la pestaña Configuración, habilite el puerto de acceso de depuración (DAP) de HPS seleccionando Pines HPS o Pines SDM en el menú desplegable y asegurándose de que la casilla Permitir depuración HPS sin certificados no esté seleccionada.
Figura 14. Especifique los pines HPS o SDM para el DAP HPS

Puerto de acceso de depuración HPS (DAP)
Alternativamente, puede configurar la asignación a continuación en la Configuración de Quartus Prime .qsf file:
set_global_assignment -nombre HPS_DAP_SPLIT_MODE “PINES SDM”
3. Compile y cargue el diseño con esta configuración. 4. Cree una cadena de firmas con los permisos adecuados para firmar una depuración de HPS.
certificado:
quartus_sign –family=agilex –operación=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_chain.qky
5. Solicite un certificado de depuración HPS sin firmar desde el dispositivo donde está cargado el diseño de depuración:
quartus_pgm -c 1 -mjtag -o “e;unsigned_hps_debug.cert;AGFB014R24A”
6. Firme el certificado de depuración de HPS sin firmar utilizando la herramienta quartus_sign o la implementación de referencia y la cadena de firma de depuración de HPS:
quartus_sign –family=agilex –operación=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert firmado_hps_debug.cert

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 48

Enviar comentarios

5. Funciones avanzadas 683823 | 2023.05.23
7. Envíe el certificado de depuración de HPS firmado al dispositivo para permitir el acceso al puerto de acceso de depuración (DAP) de HPS:
quartus_pgm -c 1 -mjtag -o “p;firmado_hps_debug.cert”
El certificado de depuración de HPS solo es válido desde el momento en que se generó hasta el siguiente ciclo de encendido del dispositivo o hasta que se cargue un tipo o versión diferente de firmware SDM. Debe generar, firmar y programar el certificado de depuración HPS firmado y realizar todas las operaciones de depuración antes de reiniciar el dispositivo. Puede invalidar el certificado de depuración HPS firmado apagando y apagando el dispositivo.
5.3. Certificación de plataforma
Puede generar un manifiesto de integridad de referencia (.rim) file usando la programación file herramienta generadora:
quartus_pfg -c firmado_encrypted_top.rbf top_rim.rim
Siga estos pasos para garantizar la certificación de plataforma en su diseño: 1. Utilice el programador Intel Quartus Prime Pro para configurar su dispositivo con el
diseño para el que creó un manifiesto de integridad de referencia. 2. Utilice un verificador de certificación de plataforma para registrar el dispositivo emitiendo comandos al
SDM a través del buzón de SDM para crear el certificado de ID del dispositivo y el certificado de firmware al recargar. 3. Utilice el programador Intel Quartus Prime Pro para reconfigurar su dispositivo con el diseño. 4. Utilice el verificador de atestación de plataforma para emitir comandos al SDM para obtener el ID del dispositivo de atestación, el firmware y los certificados de alias. 5. Utilice el verificador de atestación para emitir el comando del buzón de SDM para obtener la evidencia de atestación y el verificador verifica la evidencia devuelta.
Puede implementar su propio servicio de verificación utilizando los comandos del buzón de SDM o utilizar el servicio de verificación de certificación de plataforma Intel. Para obtener más información sobre el software, la disponibilidad y la documentación del servicio de verificación de atestación de plataforma Intel, comuníquese con el soporte técnico de Intel.
Información relacionada Directrices de conexión de pines de la familia de dispositivos Intel Agilex 7
5.4. Anti-T físicoamper
Habilitas el anti-t físico.ampfunciones del usuario siguiendo los siguientes pasos: 1. Seleccionar la respuesta deseada a una t detectadaamper evento 2. Configurando el t deseadoampmétodos y parámetros de detección de er 3. Incluyendo el anti-tamper IP en su lógica de diseño para ayudar a gestionar anti-tamper
eventos

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 49

5. Funciones avanzadas 683823 | 2023.05.23
5.4.1. Anti-Tamper Respuestas
Habilitas anti-t físicoamper seleccionando una respuesta del Anti-tampRespuesta del usuario: lista desplegable en Asignaciones Dispositivo Opciones de dispositivo y PIN Seguridad Anti-Tamppestaña er. Por defecto, el anti-tampLa respuesta está desactivada. Cinco categorías de anti-tampHay más respuestas disponibles. Cuando selecciona la respuesta deseada, se habilitan las opciones para habilitar uno o más métodos de detección.
Figura 15. Anti-T disponibleampOpciones de respuesta del usuario

La asignación correspondiente en la configuración de Quartus Prime .gsf file es lo siguiente:
set_global_assignment -nombre ANTI_TAMPER_RESPONSE “NOTIFICACIÓN DEL DISPOSITIVO BORRADO BLOQUEO DEL DISPOSITIVO Y CEROIZACIÓN”
Cuando habilitas un anti-tampPara obtener una mejor respuesta, puede elegir dos pines de E/S dedicados de SDM disponibles para generar el tamper detección de eventos y estado de respuesta mediante la ventana Opciones de configuración de dispositivo y PIN de Asignaciones Dispositivo Configuración de Opciones de PIN.

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 50

Enviar comentarios

5. Funciones avanzadas 683823 | 2023.05.23
Figura 16. Pines de E/S dedicados de SDM disponibles para TampDetección de eventos

También puede realizar las siguientes asignaciones de pines en la configuración file: set_global_assignment -nombre USE_TAMPER_DETECT SDM_IO15 set_global_assignment -nombre ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Detección

Puede habilitar individualmente la frecuencia, la temperatura y el volumen.tagFunciones de detección del SDM. La detección de FPGA depende de incluir el Anti-Tamper Lite Intel FPGA IP en su diseño.

Nota:

Frecuencia y volumen SDMtagyampLos métodos de detección de errores dependen de referencias internas y hardware de medición que pueden variar según los dispositivos. Intel recomienda caracterizar el comportamiento de tampajustes de detección de errores.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 51

5. Funciones avanzadas 683823 | 2023.05.23
frecuencia tampLa detección de errores opera en la fuente del reloj de configuración. Para habilitar la frecuencia tampPara la detección de errores, debe especificar una opción que no sea Oscilador interno en el menú desplegable Configuración de fuente de reloj en la pestaña General Asignaciones Dispositivo Dispositivo y Opciones de PIN. Debe asegurarse de que la casilla de verificación Ejecutar configuración de CPU desde el oscilador interno esté habilitada antes de habilitar la frecuencia tampdetección de errores. Figura 17. Configuración del SDM en oscilador interno
Para habilitar la frecuencia tampdetección de errores, seleccione la frecuencia Habilitar tampcasilla de verificación de detección de er y seleccione la frecuencia deseadaamprango de detección más grande en el menú desplegable. Figura 18. Habilitación de la frecuencia Tamper Detección

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 52

Enviar comentarios

5. Funciones avanzadas 683823 | 2023.05.23
Alternativamente, puede habilitar la Frecuencia TampDetección de errores realizando los siguientes cambios en la configuración de Quartus Prime .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -name ENABLE_FREQUENCY_TAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Para habilitar la temperatura tampdetección de temperatura, seleccione Habilitar temperatura tampcasilla de verificación de detección de temperatura y seleccione los límites superior e inferior de temperatura deseada en los campos correspondientes. Los límites superior e inferior se rellenan de forma predeterminada con el rango de temperatura relacionado para el dispositivo seleccionado en el diseño.
Para habilitar vol.tagyampdetección de errores, seleccione una o ambas opciones Habilitar volumen VCCLtagyampdetección de error o Habilitar VCCL_SDM voltagyampcasillas de verificación de detección de er y seleccione el volumen deseadotagyampporcentaje de activación de detección de ertage en el campo correspondiente.
Figura 19. Habilitando VoltageTamper Detección

Alternativamente, puede habilitar VoltageTamper Detección especificando las siguientes asignaciones en el archivo .qsf file:
set_global_assignment -nombre ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURA_TAMPER_UPPER_BOUND 100 set_global_assignment -nombre ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ENCENDIDO
5.4.3. Anti-Tamper Lite Intel FPGA IP
El Anti-Tamper Lite Intel FPGA IP, disponible en el catálogo IP del software Intel Quartus Prime Pro Edition, facilita la comunicación bidireccional entre su diseño y el SDM para tamper eventos.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 53

Figura 20. Anti-Tamper Lite Intel FPGA IP

5. Funciones avanzadas 683823 | 2023.05.23

La IP proporciona las siguientes señales que usted conecta a su diseño según sea necesario:

Tabla 5.

Anti-TampSeñales de E/S IP Intel FPGA er Lite

Nombre de la señal

Dirección

Descripción

gpo_sdm_at_event gpi_fpga_at_event

Salida entrada

Señal SDM a la lógica de estructura FPGA de que un SDM ha detectado una tamper evento. La lógica FPGA tiene aproximadamente 5 ms para realizar cualquier limpieza deseada y responder al SDM a través de gpi_fpga_at_response_done y gpi_fpga_at_zeroization_done. El SDM procede con la tamper acciones de respuesta cuando se afirma gpi_fpga_at_response_done o después de que no se recibe respuesta en el tiempo asignado.
Interrupción FPGA a SDM que su diseño anti-tampEl circuito de detección de error ha detectado un tamper evento y el SDM tampSe debe desencadenar otra respuesta.

gpi_fpga_at_response_done

Aporte

FPGA interrumpe al SDM que la lógica FPGA ha realizado la limpieza deseada.

gpi_fpga_at_zeroization_d uno

Aporte

La FPGA indica a SDM que la lógica FPGA ha completado cualquier puesta a cero deseada de los datos de diseño. Esta señal es sampLED cuando se afirma gpi_fpga_at_response_done.

5.4.3.1. Información de liberación

El número del esquema de control de versiones de IP (XYZ) cambia de una versión de software a otra. Un cambio en:
· X indica una revisión importante de la propiedad intelectual. Si actualiza su software Intel Quartus Prime, debe regenerar la IP.
· Y indica que la IP incluye nuevas características. Regenera tu IP para incluir estas nuevas funciones.
· Z indica que la IP incluye cambios menores. Regenera tu IP para incluir estos cambios.

Tabla 6.

Anti-Tamper Lite Intel FPGA IP Información de versión

Versión IP

Artículo

Descripción 20.1.0

Versión Intel Quartus Prime

21.2

Fecha de lanzamiento

2021.06.21

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 54

Enviar comentarios

5. Funciones avanzadas 683823 | 2023.05.23
5.5. Uso de funciones de seguridad de diseño con actualización remota del sistema
La actualización remota del sistema (RSU) es una característica de las FPGA Intel Agilex 7 que ayuda a actualizar la configuración. files de una manera robusta. RSU es compatible con características de seguridad de diseño como autenticación, firma conjunta de firmware y cifrado de flujo de bits, ya que RSU no depende del contenido del diseño de los flujos de bits de configuración.
Construyendo imágenes RSU con .sof Files
Si está almacenando claves privadas en su local filesistema, puede generar imágenes RSU con características de seguridad de diseño utilizando un flujo simplificado con .sof files como entradas. Para generar imágenes RSU con el .sof file, puede seguir las instrucciones en la Sección Generación de imagen de actualización remota del sistema Files Uso de la programación File Generador de la Guía del usuario de configuración de Intel Agilex 7. Por cada .sof file especificado en la entrada Files, haga clic en el botón Propiedades... y especifique la configuración y las claves adecuadas para las herramientas de firma y cifrado. la programacion file La herramienta generadora firma y cifra automáticamente imágenes de fábrica y de aplicaciones mientras crea la programación RSU. files.
Alternativamente, si está almacenando claves privadas en un HSM, debe usar la herramienta quartus_sign y, por lo tanto, usar .rbf. files. El resto de esta sección detalla los cambios en el flujo para generar imágenes RSU con .rbf. files como entradas. Debes cifrar y firmar en formato .rbf. files antes de seleccionarlos como entrada files para imágenes RSU; sin embargo, la información de arranque de RSU file no debe cifrarse, sino solo firmarse. La programación File El generador no admite la modificación de propiedades del formato .rbf files.
El siguiente ejemploampLos archivos demuestran las modificaciones necesarias a los comandos en la Sección Generación de imagen de actualización remota del sistema. Files Uso de la programación File Generador de la Guía del usuario de configuración de Intel Agilex 7.
Generando la imagen RSU inicial usando .rbf Files: Modificación de comando
De la generación de la imagen RSU inicial usando .rbf FileEn la sección, modifique los comandos en el Paso 1. para habilitar las características de seguridad de diseño como desee siguiendo las instrucciones de secciones anteriores de este documento.
Por ejemploamparchivo, especificaría un firmware firmado file Si estaba utilizando la firma conjunta de firmware, utilice la herramienta de cifrado Quartus para cifrar cada .rbf. file, y finalmente use la herramienta quartus_sign para firmar cada uno file.
En el paso 2, si ha habilitado la firma conjunta de firmware, debe utilizar una opción adicional en la creación del archivo .rbf de arranque a partir de la imagen de fábrica. file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Después de crear la información de arranque .rbf file, utilice la herramienta quartus_sign para firmar el .rbf file. No debes cifrar la información de arranque .rbf file.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 55

5. Funciones avanzadas 683823 | 2023.05.23
Generando una imagen de aplicación: modificación de comando
Para generar una imagen de aplicación con características de seguridad de diseño, modifique el comando en Generación de una imagen de aplicación para usar un .rbf con características de seguridad de diseño habilitadas, incluido firmware cofirmado si es necesario, en lugar del archivo .sof de la aplicación original. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf asegurado_rsu_application.rpd -o modo=ASX4 -o bitswap=ON
Generando una imagen de actualización de fábrica: modificación de comando
Después de crear la información de arranque .rbf file, utiliza la herramienta quartus_sign para firmar el .rbf file. No debes cifrar la información de arranque .rbf file.
Para generar una imagen de actualización de fábrica de RSU, modifique el comando de Generación de una imagen de actualización de fábrica para usar un .rbf file con funciones de seguridad de diseño habilitadas y agregue la opción para indicar el uso del firmware cofirmado:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf asegurado_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Información relacionada Guía del usuario de configuración de Intel Agilex 7
5.6. Servicios criptográficos SDM
El SDM en los dispositivos Intel Agilex 7 proporciona servicios criptográficos que la lógica de estructura FPGA o el HPS pueden solicitar a través de la interfaz de buzón SDM respectiva. Para obtener más información sobre los comandos del buzón y los formatos de datos para todos los servicios criptográficos de SDM, consulte el Apéndice B en la Guía del usuario de Metodología de seguridad para FPGA Intel y ASIC estructurados.
Para acceder a la interfaz del buzón de correo SDM a la lógica de estructura FPGA para los servicios criptográficos SDM, debe crear una instancia de la IP Intel FPGA del cliente de buzón de correo en su diseño.
El código de referencia para acceder a la interfaz del buzón de SDM desde el HPS se incluye en el código ATF y Linux proporcionado por Intel.
Información relacionada Guía del usuario de Mailbox Client Intel FPGA IP
5.6.1. Arranque autorizado por el proveedor
Intel proporciona una implementación de referencia para el software HPS que utiliza la función de arranque autorizada por el proveedor para autenticar el software de arranque HPS desde el primer s.tagEl cargador de arranque llega hasta el kernel de Linux.
Información relacionada Diseño de demostración de arranque seguro del SoC Intel Agilex 7

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 56

Enviar comentarios

5. Funciones avanzadas 683823 | 2023.05.23
5.6.2. Servicio de objetos de datos seguros
Los comandos se envían a través del buzón de SDM para realizar el cifrado y descifrado de objetos SDOS. Puede utilizar la función SDOS después de aprovisionar la clave raíz de SDOS.
Información relacionada Aprovisionamiento de clave raíz del servicio de objetos de datos seguros en la página 30
5.6.3. Servicios primitivos criptográficos SDM
Los comandos se envían a través del buzón de SDM para iniciar las operaciones del servicio primitivo criptográfico de SDM. Algunos servicios criptográficos primitivos requieren que se transfieran más datos hacia y desde el SDM de los que la interfaz del buzón puede aceptar. En estos casos, el comando del formato cambia para proporcionar punteros a los datos en la memoria. Además, debe cambiar la creación de instancias de la IP Intel FPGA del cliente de buzón para utilizar servicios primitivos criptográficos SDM desde la lógica de estructura de FPGA. Además, debe configurar el parámetro Habilitar servicio criptográfico en 1 y conectar la interfaz del iniciador AXI recién expuesta a una memoria en su diseño.
Figura 21. Habilitación de los servicios criptográficos SDM en el cliente de buzón Intel FPGA IP

5.7. Configuración de seguridad de flujo de bits (FM/S10)
Las opciones de FPGA Bitstream Security son una colección de políticas que restringen la característica o modo de operación especificado dentro de un período definido.
Las opciones de Bitstream Security consisten en indicadores que usted configura en el software Intel Quartus Prime Pro Edition. Estos indicadores se copian automáticamente en los flujos de bits de configuración.
Puede aplicar permanentemente las opciones de seguridad en un dispositivo mediante el uso de la configuración de seguridad correspondiente eFuse.
Para utilizar cualquier configuración de seguridad en la configuración de flujo de bits o eFuses del dispositivo, debe habilitar la función de autenticación.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 57

5. Funciones avanzadas 683823 | 2023.05.23
5.7.1. Seleccionar y habilitar opciones de seguridad
Para seleccionar y habilitar opciones de seguridad, haga lo siguiente: En el menú Asignaciones, seleccione Dispositivo Opciones de dispositivo y PIN Seguridad Más opciones... Figura 22. Selección y habilitación de opciones de seguridad

Y luego seleccione los valores de las listas desplegables para las opciones de seguridad que desea habilitar como se muestra en el siguiente ejemploampen:
Figura 23. Selección de valores para las opciones de seguridad

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 58

Enviar comentarios

5. Funciones avanzadas 683823 | 2023.05.23
Los siguientes son los cambios correspondientes en la configuración de Quartus Prime .qsf file:
set_global_assignment -nombre SECU_OPTION_DISABLE_JTAG “ON CHECK” set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE “ON STICKY” set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECU_OPTION_DISABLE_VIRTUAL_EFUSES ON set_global_assignment -name SECU_OPTION_LOCK_SECURITY_ EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN _EFUSES EN set_global_assignment -nombre SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY ON

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 59

683823 | 2023.05.23 Enviar comentarios

Solución de problemas

Este capítulo describe errores comunes y mensajes de advertencia que puede encontrar al intentar utilizar las funciones de seguridad del dispositivo y las medidas para resolverlos.
6.1. Error al utilizar los comandos de Quartus en un entorno Windows
Error quartus_pgm: comando no encontrado Descripción Este error aparece cuando se intenta utilizar comandos Quartus en un Shell NIOS II en un entorno Windows mediante WSL. Resolución Este comando funciona en entorno Linux; Para hosts de Windows, utilice el siguiente comando: quartus_pgm.exe -h De manera similar, aplique la misma sintaxis a otros comandos de Quartus Prime como quartus_pfg, quartus_sign, quartus_encrypt, entre otros comandos.

ISO 9001: 2015 registrado

6. Solución de problemas 683823 | 2023.05.23

6.2. Generando una advertencia de clave privada

Advertencia:

La contraseña especificada se considera insegura. Intel recomienda que se utilicen al menos 13 caracteres de contraseña. Se recomienda cambiar la contraseña utilizando el ejecutable OpenSSL.

openssl ec -in -out -aes256

Descripción
Esta advertencia está relacionada con la seguridad de la contraseña y aparece cuando se intenta generar una clave privada emitiendo los siguientes comandos:

quartus_sign –familia=agilex –operación=make_private_pem –curve=secp3841 root.pem

Resolución Utilice el ejecutable openssl para especificar una contraseña más larga y, por lo tanto, más segura.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 61

6. Solución de problemas 683823 | 2023.05.23
6.3. Agregar una clave de firma al error del proyecto Quartus
Error …File contiene información de clave raíz...
Descripción
Después de agregar una clave de firma .qky file al proyecto Quartus, es necesario volver a ensamblar el .sof file. Cuando agregas este .sof regenerado file al dispositivo seleccionado utilizando Quartus Programmer, el siguiente mensaje de error indica que el file contiene información de clave raíz:
No se pudo agregar <file-nombre-ruta>al programador. El file contiene información de clave raíz (.qky). Sin embargo, Programmer no admite la función de firma de flujo de bits. Puedes usar Programación File Generador para convertir el file al binario crudo firmado file (.rbf) para configuración.
Resolución
Utilice la programación Quartus file generador para convertir el file en un binario sin formato firmado File .rbf para configuración.
Información relacionada Configuración de firma Bitstream usando el comando quartus_sign en la página 13

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 62

Enviar comentarios

6. Solución de problemas 683823 | 2023.05.23
6.4. Generando programación Quartus Prime File no fue exitoso
Error
Error (20353): X de la clave pública de QKY no coincide con la clave privada de PEM file.
Error (20352): No se pudo firmar el flujo de bits a través del script de Python agilex_sign.py.
Error: Programación Quartus Prime File El generador no tuvo éxito.
Descripción Si intenta firmar un flujo de bits de configuración utilizando una clave privada incorrecta .pem file o un .pem file que no coincide con el .qky agregado al proyecto, se muestran los errores comunes anteriores. Resolución Asegúrese de utilizar la clave privada .pem correcta para firmar el flujo de bits.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 63

6. Solución de problemas 683823 | 2023.05.23
6.5. Errores de argumento desconocidos
Error
Error (23028): Argumento desconocido “ûc”. Consulte –ayuda para obtener argumentos legales.
Error (213008): La cadena de opción de programación “ûp” es ilegal. Consulte –ayuda para conocer los formatos de opciones de programación legales.
Descripción Si copia y pega opciones de línea de comandos desde un archivo .pdf file en Windows NIOS II Shell, puede encontrar errores de argumento desconocido como se muestra arriba. Resolución En tales casos, puede ingresar los comandos manualmente en lugar de pegarlos desde el portapapeles.

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 64

Enviar comentarios

6. Solución de problemas 683823 | 2023.05.23
6.6. Error de opción de cifrado Bitstream deshabilitada
Error
No se puede finalizar el cifrado del file design .sof porque fue compilado con la opción de cifrado de flujo de bits deshabilitada.
Descripción Si intenta cifrar el flujo de bits a través de la GUI o la línea de comandos después de haber compilado el proyecto con la opción de cifrado de flujo de bits desactivada, Quartus rechaza el comando como se muestra arriba.
Resolución Asegúrese de compilar el proyecto con la opción de cifrado de flujo de bits habilitada mediante GUI o línea de comandos. Para habilitar esta opción en la GUI, debe marcar la casilla de verificación de esta opción.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 65

6. Solución de problemas 683823 | 2023.05.23
6.7. Especificación de la ruta correcta a la clave
Error
Error (19516): programación detectada File Error de configuración del generador: no se puede encontrar 'key_'file'. Asegúrate que file está ubicado en la ubicación esperada o actualice la configuración.seg
Error (19516): programación detectada File Error de configuración del generador: no se puede encontrar 'key_'file'. Asegúrate que file está ubicado en la ubicación esperada o actualice la configuración.
Descripción
Si está utilizando claves almacenadas en el file sistema, debe asegurarse de que especifiquen la ruta correcta para las claves utilizadas para el cifrado y la firma de flujo de bits. Si la programación File El generador no puede detectar la ruta correcta, se muestran los mensajes de error anteriores.
Resolución
Consulte la configuración de Quartus Prime .qsf file para localizar las rutas correctas para las claves. Asegúrese de utilizar rutas relativas en lugar de rutas absolutas.

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 66

Enviar comentarios

6. Solución de problemas 683823 | 2023.05.23
6.8. Usar salida no compatible File Tipo
Error
quartus_pfg -c diseño.sof salida_file.ebf -o finalizar_operación=ON -o qek_file=ae.qek -o firma=ON -o pem_file=sign_private.pem
Error (19511): salida no compatible file tipo (ebf). Utilice la opción “-l” o “–list” para mostrar los admitidos. file clasificar información.
Descripción Durante el uso de la programación Quartus File Generador para generar el flujo de bits de configuración cifrado y firmado, es posible que vea el error anterior si hay una salida no compatible file se especifica el tipo. Resolución Utilice la opción -l o –list para ver la lista de soportes file tipos.

Enviar comentarios

Guía del usuario de seguridad del dispositivo Intel Agilex® 7 67

683823 | 2023.05.23 Enviar comentarios
7. Archivos de la guía del usuario de seguridad del dispositivo Intel Agilex 7
Para obtener las versiones más recientes y anteriores de esta guía del usuario, consulte la Guía del usuario de Intel Agilex 7 Device Security. Si una IP o versión de software no aparece en la lista, se aplica la guía del usuario para la IP o versión de software anterior.

ISO 9001: 2015 registrado

683823 | 2023.05.23 Enviar comentarios

8. Historial de revisiones de la Guía del usuario de seguridad del dispositivo Intel Agilex 7

Versión de documento 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Documentos / Recursos

Seguridad del dispositivo Intel Agilex 7 [pdf] Manual del usuario
Agilex 7 Seguridad del dispositivo, Agilex 7, Seguridad del dispositivo, Seguridad

Referencias

Manual de usuario

Seguridad del dispositivo Intel Agilex 7

Información del producto

Instrucciones de uso del producto

Preguntas frecuentes

Seguridad del dispositivo terminadaview

Autenticación y autorización

Cifrado de flujo de bits AES

Aprovisionamiento de dispositivos

Funciones avanzadas

Solución de problemas

Documentos / Recursos

Referencias

Deja un comentario

Cancelar respuesta