Intel Agilex 7 Device Security kasutusjuhend

Intel on pühendunud toote turvalisusele ja soovitab kasutajatel tutvuda pakutavate tooteturberessurssidega. Neid ressursse tuleks kasutada kogu Inteli toote eluea jooksul.

2. Planeeritud turvaelemendid

Intel Quartus Prime Pro Editioni tarkvara tulevase väljalaske jaoks on kavandatud järgmised turvafunktsioonid:

Osalise ümberkonfigureerimise bitivoo turvalisuse kontrollimine: annab täiendava kindlustunde, et osalise ümberkonfigureerimise (PR) bitivood ei pääse teistele PR persona bitivoogudele juurde ega häiri neid.

Seadme enesetapmine füüsilise anti-T jaoksamper: teostab seadme kustutamise või seadme nullimise vastuse ja programmeerib eFuses, et takistada seadme uuesti konfigureerimist.

3. Olemasolev turvadokumentatsioon

Järgmises tabelis on loetletud Intel FPGA ja Structured ASIC seadmete seadmete turvafunktsioonide saadaolevad dokumendid.

Dokumendi nimi	Eesmärk
Inteli FPGA-de ja struktureeritud ASIC-ide kasutaja turvametoodika Juhend	Tipptasemel dokument, mis sisaldab üksikasjalikke kirjeldusi Intel Programmable Solutionsi turvafunktsioonid ja -tehnoloogiad Tooted. Aitab kasutajatel valida vajalikud turvafunktsioonid täita oma julgeolekueesmärke.
Intel Stratix 10 Device Security kasutusjuhend	Juhised Intel Stratix 10 seadmete kasutajatele rakendamiseks turbemetoodika abil tuvastatud turvaelemendid Kasutusjuhend.
Intel Agilex 7 Device Security kasutusjuhend	Juhised Intel Agilex 7 seadmete kasutajatele rakendamiseks turbemetoodika abil tuvastatud turvaelemendid Kasutusjuhend.
Intel eASIC N5X Device Security kasutusjuhend	Juhised Intel eASIC N5X seadmete kasutajatele rakendamiseks turbemetoodika abil tuvastatud turvaelemendid Kasutusjuhend.
Intel Agilex 7 ja Intel eASIC N5X HPS krüptograafiateenused Kasutusjuhend	Teave HPS-i tarkvarainseneridele juurutamise kohta ja HPS-i tarkvarateekide kasutamine krüptoteenustele juurdepääsuks mida pakub SDM.
AN-968 Black Key Provisioning Service kiirjuhend	Täielik toimingute komplekt Black Key Provisioning seadistamiseks teenus.

Korduma kippuvad küsimused

K: Mis on turvametoodika kasutusjuhendi eesmärk?

V: Turvametoodika kasutusjuhend sisaldab Inteli programmeeritavate lahenduste toodete turbefunktsioonide ja -tehnoloogiate üksikasjalikke kirjeldusi. See aitab kasutajatel valida oma turbeeesmärkide saavutamiseks vajalikud turvaelemendid.

K: Kust ma leian Intel Agilex 7 Device Security kasutusjuhendi?

V: Intel Agilex 7 Device Security kasutusjuhendi leiate Inteli ressursi- ja disainikeskusest websaidile.

K: Mis on Black Key Provisioning teenus?

V: Black Key Provisioning teenus on teenus, mis pakub täielikku sammude komplekti võtmete varustamise seadistamiseks turvaliste toimingute jaoks.

View Fullscreen

Intel Agilex® 7 Device Security kasutusjuhend
Värskendatud Intel® Quartus® Prime Design Suite'i jaoks: 23.1

Veebiversioon Saada tagasisidet

UG-20335

683823 2023.05.23

Intel Agilex® 7 Device Security kasutusjuhend 2

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 3

683823 | 2023.05.23 Saada tagasisidet
1. Intel Agilex® 7

Seadme turvalisus on läbiview

Intel® kujundab Intel Agilex® 7 seadmeid spetsiaalse, hästi konfigureeritava turberiistvara ja püsivaraga.
See dokument sisaldab juhiseid, mis aitavad teil kasutada tarkvara Intel Quartus® Prime Pro Edition turvafunktsioonide rakendamiseks oma Intel Agilex 7 seadmetes.
Lisaks on Inteli FPGA-de ja struktureeritud ASIC-ide turvametoodika saadaval Inteli ressursside ja disainikeskuses. See dokument sisaldab Intel Programmable Solutionsi toodete kaudu saadaolevate turbefunktsioonide ja -tehnoloogiate üksikasjalikke kirjeldusi, et aidata teil valida turvaeesmärkide saavutamiseks vajalikke turbefunktsioone. Inteli FPGA-de ja struktureeritud ASIC-ide turvametoodikale juurdepääsu saamiseks võtke ühendust Inteli toega viitenumbriga 14014613136.
Dokument on korraldatud järgmiselt: · Autentimine ja autoriseerimine: annab juhiseid loomiseks
autentimisvõtmed ja allkirjaketid, rakendage õigusi ja tühistamisi, allkirjastage objekte ja programmide autentimisfunktsioone Intel Agilex 7 seadmetes. · AES-i bitivookrüptimine: annab juhiseid AES-i juurvõtme loomiseks, konfiguratsiooni bitivoogude krüptimiseks ja AES-juurvõtme varundamiseks Intel Agilex 7 seadmetele. · Seadme varustamine: annab juhiseid Intel Quartus Prime programmeerija ja Secure Device Manageri (SDM) pakkumise püsivara kasutamiseks Intel Agilex 7 seadmete turbefunktsioonide programmeerimiseks. · Täiustatud funktsioonid: annab juhiseid täiustatud turbefunktsioonide lubamiseks, sealhulgas turvaline silumisvolitus, kõvaprotsessorisüsteemi (HPS) silumine ja süsteemi kaugvärskendus.
1.1. Toote turvalisusele pühendumine
Inteli pikaajaline pühendumus turvalisusele pole kunagi olnud tugevam. Intel soovitab tungivalt tutvuda meie tooteturberessurssidega ja plaanida neid kasutada kogu oma Inteli toote eluea jooksul.
Seotud teave · Inteli tooteturve · Inteli tooteturbekeskuse nõuanded

Intel Corporation. Kõik õigused kaitstud. Intel, Inteli logo ja muud Inteli kaubamärgid on Intel Corporationi või selle tütarettevõtete kaubamärgid. Intel garanteerib oma FPGA ja pooljuhttoodete toimimise praeguste spetsifikatsioonide kohaselt vastavalt Inteli standardgarantiile, kuid jätab endale õiguse teha mis tahes tooteid ja teenuseid igal ajal ilma ette teatamata. Intel ei võta endale mingit vastutust ega kohustusi, mis tulenevad siin kirjeldatud teabe, toote või teenuse rakendusest või kasutamisest, välja arvatud juhul, kui Intel on sellega sõnaselgelt kirjalikult nõustunud. Inteli klientidel soovitatakse hankida seadme spetsifikatsioonide uusim versioon enne avaldatud teabele tuginemist ja enne toodete või teenuste tellimuste esitamist. *Teisi nimesid ja kaubamärke võidakse pidada teiste omandiks.

ISO 9001:2015 registreeritud

1. Intel Agilex® 7 seadme turvalisus on läbiview 683823 | 2023.05.23

1.2. Planeeritud turvaelemendid

Selles jaotises mainitud funktsioonid on kavandatud Intel Quartus Prime Pro Editioni tarkvara tulevase väljalase jaoks.

Märkus.

Selles jaotises olev teave on esialgne.

1.2.1. Osalise ümberkonfigureerimise bitivoo turvalisuse kinnitamine
Osalise ümberkonfigureerimise (PR) bitivoo turvakontroll aitab anda täiendava kindlustunde, et PR persona bitivood ei pääse teistele PR persona bitivoogudele ega sega neid.

1.2.2. Seadme enesetapmine füüsilise anti-T jaoksamper
Seadme enesetapp teostab seadme kustutamise või seadme nullimise vastuse ja lisaks programmeerib eFuse, et takistada seadme uuesti konfigureerimist.

1.3. Olemasolev turvadokumentatsioon

Järgmises tabelis loetletakse Intel FPGA ja Structured ASIC seadmete seadmete turvafunktsioonide saadaolevad dokumendid.

Tabel 1.

Saadaval seadme turvadokumentatsioon

Dokumendi nimi
Inteli FPGA-de ja struktureeritud ASIC-ide turvametoodika kasutusjuhend

Eesmärk
Tipptasemel dokument, mis sisaldab Intel Programmable Solutions toodete turbefunktsioonide ja -tehnoloogiate üksikasjalikke kirjeldusi. Eesmärk on aidata teil valida turvaeesmärkide saavutamiseks vajalikke turbeelemente.

Dokumendi ID 721596

Intel Stratix 10 Device Security kasutusjuhend
Intel Agilex 7 Device Security kasutusjuhend

Intel Stratix 10 seadmete kasutajatele sisaldab see juhend juhiseid tarkvara Intel Quartus Prime Pro Edition kasutamiseks, et rakendada turvametoodika kasutusjuhendi abil tuvastatud turbefunktsioone.
Intel Agilex 7 seadmete kasutajatele sisaldab see juhend juhiseid tarkvara Intel Quartus Prime Pro Edition kasutamiseks, et rakendada turvametoodika kasutusjuhendi abil tuvastatud turbefunktsioone.

683642 683823

Intel eASIC N5X Device Security kasutusjuhend

Intel eASIC N5X seadmete kasutajatele sisaldab see juhend juhiseid tarkvara Intel Quartus Prime Pro Edition kasutamiseks, et rakendada turvametoodika kasutusjuhendi abil tuvastatud turbefunktsioone.

626836

Intel Agilex 7 ja Intel eASIC N5X HPS Cryptographic Services kasutusjuhend

See juhend sisaldab teavet, mis aitab HPS-i tarkvarainseneridel HPS-i tarkvarateeke juurutada ja kasutada, et pääseda juurde SDM-i pakutavatele krüptoteenustele.

713026

AN-968 Black Key Provisioning Service kiirjuhend

See juhend sisaldab täielikku sammude komplekti teenuse Black Key Provisioning seadistamiseks.

739071

Asukoht Inteli ressurss ja
Disainikeskus
Intel.com
Intel.com
Inteli ressursi- ja disainikeskus
Inteli ressursi- ja disainikeskus
Inteli ressursi- ja disainikeskus

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 5

683823 | 2023.05.23 Saada tagasisidet

Autentimine ja autoriseerimine

Intel Agilex 7 seadme autentimisfunktsioonide lubamiseks kasutage allkirjaahela loomiseks tarkvara Intel Quartus Prime Pro Edition ja sellega seotud tööriistu. Allkirjaahel koosneb juurvõtmest, ühest või mitmest allkirjastamisvõtmest ja kohaldatavatest autoriseeringutest. Rakendate allkirjaahela oma Intel Quartus Prime Pro Editioni projektile ja kompileeritud programmeerimisele files. Kasutage oma juurvõtme Intel Agilex 7 seadmetesse programmeerimiseks jaotises Device Provisioning toodud juhiseid.
Seotud teave
Seadme ettevalmistamine lk 25

2.1. Allkirjade ahela loomine
Allkirjaahela toimingute tegemiseks võite kasutada tööriista quartus_sign või viiterakendust agilex_sign.py. See dokument pakub ntamples kasutades quartus_signi.
Viiterakenduse kasutamiseks asendate Intel Quartus Prime tarkvaraga kaasas oleva Pythoni tõlgi kutse ja jätate valiku –family=agilex välja; kõik muud võimalused on samaväärsed. Näiteksample, sellest jaotisest hiljem leitud käsk quartus_sign
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky saab teisendada viiterakenduse samaväärseks kutseks järgmiselt
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Tarkvara Intel Quartus Prime Pro Edition sisaldab tööriistu quartus_sign, pgm_py ja agilex_sign.py. Võite kasutada Nios® II käsukesta tööriista, mis määrab tööriistadele juurdepääsuks automaatselt sobivad keskkonnamuutujad.

Nios II käsukesta kuvamiseks järgige neid juhiseid. 1. Avage Nios II käsukest.

Valik Windows
Linux

Kirjeldus
Menüüs Start valige Programmid Intel FPGA Nios II EDS ja klõpsake Nios II Käsk Shell.
Muutke käsukestas /nios2eds ja käivitage järgmine käsk:
./nios2_command_shell.sh

Endineampselles jaotises eeldatakse signatuuriahelat ja konfiguratsiooni bitivoogu files asuvad praeguses töökataloogis. Kui otsustate järgida endistamples kus võti files hoitakse peal file süsteem, need ntamples eeldada võtit files on

ISO 9001:2015 registreeritud

2. Autentimine ja autoriseerimine 683823 | 2023.05.23
asub praeguses töökataloogis. Saate valida, milliseid katalooge kasutada ja tööriistad toetavad suhtelist file teed. Kui otsustate võtme alles jätta files peal file süsteemi, peate hoolikalt haldama neile juurdepääsuõigusi files.
Intel soovitab krüptograafiliste võtmete salvestamiseks ja krüptograafiliste toimingute tegemiseks kasutada müügilolevat riistvaraturbemoodulit (HSM). Tööriist quartus_sign ja viiterakendus sisaldavad avaliku võtme krüptograafiastandardi nr 11 (PKCS nr 11) rakendusliidest (API), mis võimaldab allkirjaahela toimingute tegemisel HSM-iga suhelda. Agilex_sign.py viiterakendus sisaldab nii liidese abstrakti kui ka eksample liides SoftHSM-iga.
Võite kasutada neid example liidesed teie HSM-iga liidese juurutamiseks. Lisateavet HSM-i liidese juurutamise ja kasutamise kohta leiate oma HSM-i tarnija dokumentatsioonist.
SoftHSM on PKCS #11 liidesega üldise krüptograafilise seadme tarkvararakendus, mille teeb kättesaadavaks OpenDNSSEC® projekt. Lisateavet, sealhulgas juhiseid OpenHSM-i allalaadimise, koostamise ja installimise kohta leiate OpenDNSSEC-projektist. EndineampSelles jaotises olevad kasutajad kasutavad SoftHSM-i versiooni 2.6.1. EndineampSelles jaotises kasutatakse lisaks OpenSC pkcs11-tööriista utiliiti, et teha täiendavaid PKCS #11 toiminguid SoftHSM-märgiga. Võite leida lisateavet, sealhulgas juhiseid selle kohta, kuidas OpenSC-st pkcs11tool alla laadida, ehitada ja installida.
Seotud teave
· Projekt OpenDNSSEC Poliitikapõhine tsooni allkirjastaja DNSSEC-võtmete jälgimise protsessi automatiseerimiseks.
· SoftHSM Teave PKCS #11 liidese kaudu juurdepääsetava krüptopoe rakendamise kohta.
· OpenSC Pakub teeke ja utiliite, mis on võimelised töötama kiipkaartidega.
2.1.1. Autentimisvõtmepaaride loomine kohalikul seadmel File Süsteem
Kohalikus autentimisvõtmepaaride loomiseks kasutate tööriista quartus_sign file süsteem, mis kasutab tööriistade make_private_pem ja make_public_pem toiminguid. Esmalt genereerite privaatvõtme toimingu make_private_pem abil. Määrate kasutatava elliptilise kõvera, privaatvõtme filenimi ja soovi korral, kas kaitsta privaatvõtit parooliga. Intel soovitab kasutada kõverat secp384r1 ja järgida valdkonna parimaid tavasid, et luua tugev juhuslik parool kõigile privaatvõtmetele files. Intel soovitab ka piirata file privaatvõtme .pem süsteemiõigused files lugeda ainult omanikule. Avaliku võtme tuletate privaatvõtmest toimingu make_public_pem abil. Abiks on võtme nimetamine .pem files kirjeldavalt. See dokument kasutab konventsiooni _ .pem järgmises eksampvähem.
1. Käivitage Nios II käsukestas privaatvõtme loomiseks järgmine käsk. Allpool näidatud privaatvõtit kasutatakse juurvõtmena hilisemates näidetesamples, mis loovad allkirjaahela. Intel Agilex 7 seadmed toetavad mitut juurvõtit, nii et teie

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 7

2. Autentimine ja autoriseerimine 683823 | 2023.05.23

korrake seda sammu, et luua vajalik arv juurvõtmeid. Ntampselles dokumendis viitavad kõik esimesele juurvõtmele, kuigi saate signatuuriahelaid luua sarnaselt mis tahes juurvõtmega.

Valik Paroolifraasiga

Kirjeldus
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Sisestage parool, kui seda küsitakse.

Ilma paroolita

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Käivitage järgmine käsk avaliku võtme loomiseks, kasutades eelmises etapis loodud privaatvõtit. Te ei pea kaitsma avaliku võtme konfidentsiaalsust.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Käivitage käsud uuesti, et luua võtmepaar, mida kasutatakse allkirjade ahelas kujundusliku allkirjastamisvõtmena.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Autentimisvõtmepaaride loomine SoftHSM-is
SoftHSM examples selles peatükis on isejärjekindlad. Teatud parameetrid sõltuvad teie SoftHSM-i installist ja SoftHSM-i loa initsialiseerimisest.
Tööriist quartus_sign sõltub teie HSM-i PKCS #11 API teegist.
EndineampSelles jaotises eeldatakse, et SoftHSM-i teek on installitud ühte järgmistest asukohtadest: · /usr/local/lib/softhsm2.so Linuxis · C:SoftHSM2libsofthsm2.dll Windowsi 32-bitises versioonis · C:SoftHSM2libsofthsm2-x64 .dll Windowsi 64-bitises versioonis.
Initsialiseerige SoftHSM-is luba, kasutades tööriista softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Valikute parameetrid, eriti märgi silt ja märgi PIN on ntampselles peatükis vähem kasutatud. Intel soovitab žetoonide ja võtmete loomiseks ja haldamiseks järgida HSM-i tarnija juhiseid.
Saate luua autentimisvõtmepaarid, kasutades utiliiti pkcs11, et suhelda SoftHSM-i märgiga. Selle asemel, et viidata selgesõnaliselt privaatsele ja avalikule võtmele .pem files file süsteem ntamples, viitate võtmepaarile selle sildi järgi ja tööriist valib sobiva võtme automaatselt.

Intel Agilex® 7 Device Security kasutusjuhend 8

Saada tagasisidet

2. Autentimine ja autoriseerimine 683823 | 2023.05.23

Käivitage järgmised käsud, et luua võtmepaar, mida kasutatakse juurvõtmena hilisemates näidetesamples, samuti allkirjaahelas kujundusliku allkirjastamisvõtmena kasutatav võtmepaar:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mehhanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –kasutusmärk –silt root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mehhanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –kasutusmärk –sildikujundus0_märk –id 1

Märkus.

Selle sammu ID-valik peab olema iga võtme jaoks kordumatu, kuid seda kasutab ainult HSM. See ID-valik ei ole seotud allkirjaahelas määratud võtme tühistamise ID-ga.

2.1.3. Allkirjaahela juurkirje loomine
Teisendage avalik juurvõti allkirjade ahela juurkirjeks, mis on salvestatud kohalikus võtmes file süsteemi Intel Quartus Prime võtme (.qky) vormingus file, operatsiooniga make_root. Korrake seda sammu iga genereeritud juurvõtmega.
Käivitage järgmine käsk, et luua juurkirjega allkirjakett, kasutades avalikku juurvõtit domeenist file süsteem:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
Käivitage järgmine käsk, et luua juurkirjega allkirjakett, kasutades eelmises jaotises loodud SoftHSM-i märgi juurvõtit:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libohs ” root2 root0.qky

2.1.4. Allkirjaahela avaliku võtme sisestuse loomine
Looge allkirjaahela jaoks uus avaliku võtme kirje toiminguga append_key. Määrate eelneva allkirjaahela, privaatvõtme eelneva allkirjaahela viimase kirje jaoks, järgmise taseme avaliku võtme, järgmise taseme avalikule võtmele määratud load ja tühistamise ID ning uue allkirjaahela file.
Pange tähele, et softHSM-i teek pole Quartuse installiga saadaval ja selle asemel tuleb see eraldi installida. Lisateavet softHSM-i kohta leiate ülaltoodud jaotisest Allkirjaahela loomine.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 9

2. Autentimine ja autoriseerimine 683823 | 2023.05.23
Sõltuvalt teie klahvide kasutamisest file süsteemis või HSM-is kasutate ühte järgmistest ntample käsud lisavad eelmises jaotises loodud juursignatuuri ahelale design0_sign avaliku võtme:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previo root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Saate korrata toimingut append_key veel kuni kaks korda maksimaalselt kolme avaliku võtme kirje jaoks juurkirje ja päiseploki kirje vahel ühes allkirjaahelas.
Järgmised eksample eeldab, et lõite teise autentimise avaliku võtme samade õigustega ja määrasite tühistamise ID 1 nimega design1_sign_public.pem, ning lisate selle võtme eelmise eksemplari allkirjaahelasseample:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previo design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Intel Agilex 7 seadmed sisaldavad täiendavat võtme tühistamise loendurit, mis hõlbustab võtme kasutamist, mis võib antud seadme eluea jooksul perioodiliselt muutuda. Selle võtme tühistamise loenduri saate valida, muutes suvandi –cancel argumendiks pts:pts_value.
2.2. Konfiguratsiooni bitivoo allkirjastamine
Intel Agilex 7 seadmed toetavad turvaversiooninumbri (SVN) loendureid, mis võimaldavad tühistada objekti autoriseerimise ilma võtit tühistamata. Määrate SVN-i loenduri ja vastava SVN-loenduri väärtuse mis tahes objekti allkirjastamise ajal, näiteks bitivoo sektsiooni või püsivara .zip. filevõi kompaktne sertifikaat. Saate määrata SVN-i loenduri ja SVN-i väärtuse, kasutades suvandit –cancel ja argumendina svn_counter:svn_value. svn_counteri kehtivad väärtused on svnA, svnB, svnC ja svnD. svn_value on täisarv vahemikus [0,63].

Intel Agilex® 7 Device Security kasutusjuhend 10

Saada tagasisidet

2. Autentimine ja autoriseerimine 683823 | 2023.05.23
2.2.1. Kvartuse võti File Ülesandmine
Selle kujunduse autentimisfunktsiooni lubamiseks määrate oma Intel Quartus Prime'i tarkvaraprojektis allkirjaahela. Menüüs Määrangud valige Seade Seade ja Pin Options Security Quartus Key File, seejärel sirvige allkirjade ahelat .qky file lõite selle kujunduse allkirjastamiseks.
Joonis 1. Luba Configuration Bitstream Setting

Teise võimalusena võite oma Intel Quartus Prime'i sätetesse lisada järgmise määramisavalduse file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
.sof-faili loomiseks file varem koostatud kujundusest, mis sisaldab seda sätet, valige menüüst Töötlemine käsk Start Start Assembler. Uus väljund .sof file sisaldab ülesandeid autentimise võimaldamiseks antud allkirjaahelaga.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 11

2. Autentimine ja autoriseerimine 683823 | 2023.05.23
2.2.2. SDM-i püsivara kaasallkirjastamine
Rakendatava SDM-i püsivara .zip ekstraktimiseks, allkirjastamiseks ja installimiseks kasutate tööriista quartus_sign file. Kaasallkirjastatud püsivara lisatakse seejärel programmeerimisse file generaatoritööriist, kui teisendate faili .sof file konfiguratsiooni bitivoogu .rbf file. Uue allkirjaahela loomiseks ja SDM-i püsivara allkirjastamiseks kasutate järgmisi käske.
1. Looge uus allkirjastamisvõtmepaar.
a. Looge lehel uus allkirjastamisvõtmepaar file süsteem:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Looge HSM-is uus allkirjastamisvõtmepaar:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mehhanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –kasutusmärk –silt püsivara1 –id 1
2. Looge uus allkirjaahel, mis sisaldab uut avalikku võtit:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previo root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Kopeerige püsivara .zip file teie Intel Quartus Prime Pro Editioni tarkvara installikataloogist ( /devices/programmer/firmware/agilex.zip) praegusesse töökataloogi.
quartus_sign –family=agilex –get_firmware=.
4. Allkirjastage püsivara .zip file. Tööriist pakib ZIP-faili automaatselt lahti file ja allkirjastab individuaalselt kogu püsivara .cmf files, siis taastab .zip file kasutamiseks järgmistes jaotistes olevate tööriistadega:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 Device Security kasutusjuhend 12

Saada tagasisidet

2. Autentimine ja autoriseerimine 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Signeerimise seadistuste bitivoo kasutamine käsu quartus_sign abil
Konfiguratsiooni bitivoo allkirjastamiseks käsu quartus_sign abil teisendage esmalt fail .sof file märgita töötlemata kahendfaili file (.rbf) vormingus. Soovi korral saate konversioonietapi ajal määrata kaasallkirjastatud püsivara, kasutades suvandit fw_source.
Signeerimata töötlemata bitivoo saate genereerida .rbf-vormingus, kasutades järgmist käsku:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Käivitage üks järgmistest käskudest, et bitivoo allkirjastada, kasutades tööriista quartus_sign, sõltuvalt teie võtmete asukohast:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Saate teisendada allkirjastatud .rbf files teise konfiguratsiooni bitivoogu file formaadid.
Näiteksampkui kasutate Jam* standardse testimis- ja programmeerimiskeele (STAPL) pleierit bitivoo programmeerimiseks üle JTAG, kasutate .rbf-faili teisendamiseks järgmist käsku file .jam-vormingusse, mida Jam STAPL Player nõuab:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Osalise ümberkonfigureerimise mitme asutuse tugi

Intel Agilex 7 seadmed toetavad osalise ümberkonfigureerimisega mitme asutuse autentimist, kus seadme omanik loob ja allkirjastab staatilise bitivoo ning eraldi PR omanik loob ja allkirjastab PR persona bitivood. Intel Agilex 7 seadmed rakendavad mitme asutuse tuge, määrates esimesed autentimise juurvõtmepesad seadme või staatilise bitivoo omanikule ja määrates lõpliku autentimise juurvõtme pesa osalise ümberkonfigureerimise isiku bitivoo omanikule.
Kui autentimisfunktsioon on lubatud, peavad kõik PR-i personaalpildid olema allkirjastatud, sealhulgas pesastatud PR-isiku pildid. PR-isiku kujutistele võib alla kirjutada kas seadme omanik või PR omanik; staatilise piirkonna bitivood peab aga olema allkirjastatud seadme omaniku poolt.

Märkus.

Osalise ümberkonfigureerimise staatiline ja isiku bitivookrüptimine, kui mitme asutuse tugi on lubatud, on kavandatud tulevasse väljalasesse.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 13

2. Autentimine ja autoriseerimine 683823 | 2023.05.23

Joonis 2.

Osalise ümberkonfigureerimise mitme asutuse toe rakendamine nõuab mitut sammu.
1. Seadme või staatilise bitivoo omanik loob ühe või mitu autentimise juurvõtit, nagu on kirjeldatud jaotises Autentimisvõtmepaaride loomine SoftHSM-is lk 8, kus suvandil –key_type on väärtus omanik.
2. Bitivoo osalise ümberseadistamise omanik genereerib autentimise juurvõtme, kuid muudab suvandi –key_type väärtuse sekundaarseks_omanikuks.
3. Nii staatilise bitivoo kui ka osalise ümberkonfigureerimise kujunduse omanikud tagavad, et märkeruut Enable Multi-Authority support on lubatud vahekaardil Määrangud Device Device and Pin Options Security.
Intel Quartus Prime lubab mitme asutuse suvandi sätted

4. Nii staatilise bitivoo kui ka osalise ümberkonfigureerimise kujunduse omanikud loovad oma vastavate juurvõtmete alusel allkirjakette, nagu on kirjeldatud jaotises Allkirjaahela loomine lk 6.
5. Nii staatilise bitivoo kui ka osalise ümberkonfigureerimise kujunduse omanikud teisendavad oma kompileeritud kujundused .rbf-vormingusse files ja allkirjastage .rbf files.
6. Seadme või staatilise bitivoo omanik genereerib ja allkirjastab PR avaliku võtme autoriseerimise kompaktse sertifikaadi.
quartus_pfg –ccert või ccert_type=PR_PUBKEY_PROG_AUTH või omanik_qky_file="root0.qky;root1.qky" unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –moodul=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 Device Security kasutusjuhend 14

Saada tagasisidet

2. Autentimine ja autoriseerimine 683823 | 2023.05.23

7. Seadme või staatilise bitivoo omanik loob seadmele oma autentimise juurvõtme räsid, seejärel programmeerib PR avaliku võtme programmi autoriseerimise kompaktse sertifikaadi ja annab lõpuks seadmele osalise ümberkonfigureerimise bitivoo omaniku juurvõtme. Seadme ettevalmistamise jaotis kirjeldab seda ettevalmistamise protsessi.
8. Intel Agilex 7 seade on konfigureeritud staatilise piirkonnaga .rbf file.
9. Intel Agilex 7 seade on osaliselt ümber seadistatud personaaldisainiga .rbf file.
Seotud teave
· Allkirjaahela loomine lk 6
· Autentimisvõtmepaaride loomine SoftHSM-is lk 8
· Seadme varustamine lk 25

2.2.5. Konfiguratsiooni bitivoo signatuuriahelate kontrollimine
Pärast signatuuriahelate ja allkirjastatud bitivoogude loomist võite kontrollida, kas allkirjastatud bitivoog konfigureerib õigesti antud juurvõtmega programmeeritud seadme. Esmalt kasutate käsu quartus_sign toimingut fuse_info, et printida tekstile avaliku juurvõtme räsi file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Seejärel kasutate käsu quartus_pfg suvandit check_integrity, et kontrollida signatuuriahelat .rbf-vormingus allkirjastatud bitivoo igas osas. Suvand check_integrity prindib järgmise teabe:
· Üldise bitivoo terviklikkuse kontrolli olek
· Iga kirje sisu igas allkirjaahelas, mis on lisatud bitivoo .rbf igale jaotisele file,
· Eeldatav kaitsme väärtus avaliku juurvõtme räsi jaoks iga allkirjaahela jaoks.
Väljundi fuse_info väärtus peaks ühtima väljundis check_integrity olevate kaitsmeliinidega.
quartus_pfg – check_integrity signed_bitstream.rbf

Siin on endineample käsu check_integrity väljundist:

Teave: Käsk: quartus_pfg –check_integrity signed_bitstream.rbf Terviklikkuse olek: OK

jaotis

Tüüp: CMF

Allkirja deskriptor …

Allkirja ahel #0 (kanded: -1, nihe: 96)

Sissepääs nr 0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Genereeri võti…

Kõver: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Genereeri võti…

Kõver: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 15

2. Autentimine ja autoriseerimine 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Sissepääs nr 1

Genereeri võti…

Kõver: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Kirje nr 2 võtmehoidja luba: SIGN_CODE Võtmehoidja saab tühistada ID: 3 Allkirjaahela nr 1 alusel (kanded: -1, nihe: 648)

Sissepääs nr 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Genereeri võti…

Kõver: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Genereeri võti…

Kõver: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Sissepääs nr 1

Genereeri võti…

Kõver: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Sissepääs nr 2

Genereeri võti…

Kõver: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Kirje #3 Võtmehoidja luba: SIGN_CODE Võtmehoidja saab tühistada ID: 15 Allkirjaahel #2 (kanded: -1, nihe: 0) Allkirjaahel #3 (kanded: -1, nihe: 0) Allkirjaahel #4 (kanded: -1, nihe: 0) Allkirjaahel #5 (kanded: -1, nihe: 0) Allkirjaahel #6 (kanded: -1, nihe: 0) Allkirjaahel #7 (kanded: -1, nihe: 0)

Jaotise tüüp: IO allkirja deskriptor … Allkirja ahel # 0 (kanded: -1, nihe: 96)

Sissepääs nr 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Genereeri võti…

Kõver: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 Device Security kasutusjuhend 16

Saada tagasisidet

2. Autentimine ja autoriseerimine 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Genereeri võti…

Kõver: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Sissepääs nr 1

Genereeri võti…

Kõver: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Sissepääs nr 2

Genereeri võti…

Kõver: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Kirje #3 Võtmehoidja luba: SIGN_CORE Võtmehoidja saab tühistada ID: 15 Allkirjaahel #1 (kanded: -1, nihe: 0) Allkirjaahel #2 (kanded: -1, nihe: 0) Allkirjaahel #3 (kanded: -1, nihe: 0) Allkirjaahel #4 (kanded: -1, nihe: 0) Allkirjaahel #5 (kanded: -1, nihe: 0) Allkirjaahel #6 (kanded: -1, nihe: 0) Allkiri kett #7 (kanded: -1, nihe: 0)

jaotis

Tüüp: HPS

Allkirja deskriptor …

Allkirja ahel #0 (kanded: -1, nihe: 96)

Sissepääs nr 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Genereeri võti…

Kõver: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Genereeri võti…

Kõver: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Sissepääs nr 1

Genereeri võti…

Kõver: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Sissepääs nr 2

Genereeri võti…

Kõver: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 17

2. Autentimine ja autoriseerimine 683823 | 2023.05.23

Kirje #3 Võtmehoidja luba: SIGN_HPS Võtmehoidja saab tühistada ID: 15 Allkirjaahel #1 (kanded: -1, nihe: 0) Allkirjaahel #2 (kanded: -1, nihe: 0) Allkirjaahel #3 (kanded: -1, nihe: 0) Allkirjaahel #4 (kanded: -1, nihe: 0) Allkirjaahel #5 (kanded: -1, nihe: 0) Allkirjaahel #6 (kanded: -1, nihe: 0) Allkiri kett #7 (kanded: -1, nihe: 0)

Jaotise tüüp: CORE allkirja deskriptor … Allkirja ahel # 0 (kanded: -1, nihe: 96)

Sissepääs nr 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Genereeri võti…

Kõver: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Genereeri võti…

Kõver: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Sissepääs nr 1

Genereeri võti…

Kõver: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Sissepääs nr 2

Genereeri võti…

Kõver: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Intel Agilex® 7 Device Security kasutusjuhend 18

Saada tagasisidet

683823 | 2023.05.23 Saada tagasisidet

AES bitivookrüptimine

Advanced Encryption Standard (AES) bitivookrüptimine on funktsioon, mis võimaldab seadme omanikul kaitsta konfiguratsiooni bitivoo intellektuaalomandi konfidentsiaalsust.
Võtmete konfidentsiaalsuse kaitsmiseks kasutab konfiguratsiooni bitivookrüptimine AES-võtmete ahelat. Neid võtmeid kasutatakse omaniku andmete krüptimiseks konfiguratsiooni bitivoos, kus esimene vahevõti krüpteeritakse AES-i juurvõtmega.

3.1. AES-i juurvõtme loomine

Intel Quartus Prime'i tarkvara krüpteerimisvõtme (.qek) vormingus AES-juurvõtme loomiseks võite kasutada tööriista quartus_encrypt või stratix10_encrypt.py viiterakendust. file.

Märkus.

Stratix10_encrypt.py file kasutatakse Intel Stratix® 10 ja Intel Agilex 7 seadmete jaoks.

Soovi korral saate määrata AES-i juurvõtme ja võtme tuletusvõtme tuletamiseks kasutatava põhivõtme, otse AES-juurvõtme väärtuse, vahepealsete võtmete arvu ja maksimaalse kasutamise vahevõtme kohta.

Peate määrama seadmepere, väljund .qek file asukoht ja parool, kui seda küsitakse.
Käivitage järgmine käsk, et genereerida AES-juurvõti, kasutades põhivõtme juhuslikke andmeid ning vahepealsete võtmete arvu ja maksimaalse võtmekasutuse vaikeväärtusi.
Viiterakenduse kasutamiseks asendate Intel Quartus Prime tarkvaraga kaasas oleva Pythoni tõlgi kutse ja jätate valiku –family=agilex välja; kõik muud võimalused on samaväärsed. Näiteksample, käsk quartus_encrypt, mille leiate jaotisest hiljem

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

saab teisendada viiterakenduse samaväärseks kutseks järgmiselt pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Quartuse krüptimise sätted
Disaini bitivookrüptimise lubamiseks peate määrama sobivad suvandid, kasutades paneeli Määrangud Device Device and Pin Options Security. Märkige ruut Luba konfiguratsiooni bitivookrüptimine ja rippmenüüst soovitud krüpteerimisvõtme salvestuskoht.

ISO 9001:2015 registreeritud

Joonis 3. Intel Quartus Prime'i krüptimise sätted

3. AES bitivookrüptimine 683823 | 2023.05.23

Teise võimalusena võite oma Intel Quartus Prime'i sätetesse lisada järgmise määramisavalduse file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM on set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Kui soovite lubada külgkanalite rünnakuvektorite vastu täiendavaid leevendusi, võite lubada ripploendi Krüptimise värskendussuhte ja Luba skrambleerimine.

Intel Agilex® 7 Device Security kasutusjuhend 20

Saada tagasisidet

3. AES bitivookrüptimine 683823 | 2023.05.23

Vastavad muudatused failis .qsf on järgmised:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING on set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Konfiguratsiooni bitivoo krüptimine
Enne bitivoo allkirjastamist krüpteerite konfiguratsiooni bitivoo. Intel Quartus Prime programmeerimine File Generaatori tööriist saab automaatselt krüpteerida ja allkirjastada konfiguratsiooni bitivoo, kasutades graafilist kasutajaliidest või käsurida.
Soovi korral saate luua osaliselt krüptitud bitivoo, mida kasutatakse tööriistade quartus_encrypt ja quartus_sign või viiterakenduse ekvivalentidega.

3.3.1. Konfiguratsiooni bitivookrüptimine programmeerimise abil File Generaatori graafiline liides
Saate kasutada programmeerimist File Generaator omaniku pildi krüptimiseks ja allkirjastamiseks.

Joonis 4.

1. Intel Quartus Prime'il File menüüst valige Programmeerimine File Generaator. 2. Väljundil Files, määrake väljund file tippige oma konfiguratsiooni jaoks
skeem.
Väljund File Spetsifikatsioon

Konfiguratsiooniskeem Väljund file sakk
Väljund file tüüp

3. Sisendil Files, klõpsake nuppu Lisa bitivoog ja sirvige oma faili. 4. Krüptimise ja autentimise valikute määramiseks valige .sof ja klõpsake
Omadused. a. Lülitage sisse Luba allkirjastamistööriist. b. Privaatvõtme jaoks file valige oma allkirjastamisvõti privaatne .pem file. c. Lülitage suvand Lõpeta krüptimine sisse.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 21

3. AES bitivookrüptimine 683823 | 2023.05.23

Joonis 5.

d. Krüpteerimisvõtme jaoks file, valige oma AES .qek file. Sisend (.sof) File Autentimise ja krüptimise atribuudid

Luba autentimine Määrake privaatne juur.pem
Luba krüpteerimine Määrake krüpteerimisvõti
5. Signeeritud ja krüptitud bitivoo genereerimiseks sisendis Files, klõpsake nuppu Genereeri. Ilmuvad paroolidialoogikastid, kus saate sisestada oma AES-võtme .qek parooli file ja allkirjastamise privaatvõti .pem file. Programmeerimine file generaator loob krüptitud ja allkirjastatud väljundi_file.rbf.
3.3.2. Konfiguratsiooni bitivookrüptimine programmeerimise abil File Generaatori käsurea liides
Looge käsurea quartus_pfg liidesega krüptitud ja allkirjastatud konfiguratsiooni bitivoog .rbf-vormingus:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=disain0_sign_private.pem
Saate teisendada krüptitud ja allkirjastatud konfiguratsiooni bitivoo .rbf-vormingus muuks konfiguratsiooni bitivooks file formaadid.
3.3.3. Osaliselt krüptitud konfiguratsiooni bitivoo genereerimine käsurealiidese abil
Võite luua osaliselt krüpteeritud programmeerimise file krüpteerimise lõpuleviimiseks ja pildi hilisemaks allkirjastamiseks. Looge osaliselt krüptitud programmeerimine file .rbf-vormingus quartus_pfg-käsurea liidesega: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 Device Security kasutusjuhend 22

Saada tagasisidet

3. AES bitivookrüptimine 683823 | 2023.05.23
Bitivookrüptimise lõpuleviimiseks kasutate käsurea tööriista quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Krüptitud konfiguratsiooni bitivoo allkirjastamiseks kasutate käsurea tööriista quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Osalise ümberkonfigureerimise bitivookrüptimine
Saate lubada bitivookrüptimist mõnel Intel Agilex 7 FPGA kujundusel, mis kasutab osalist ümberkonfigureerimist.
Osalise ümberkonfigureerimise kujundused, mis kasutavad osalist hierarhilist ümberkonfigureerimist (HPR) või staatilise värskenduse osalist ümberkonfigureerimist (SUPR), ei toeta bitivookrüptimist. Kui teie kujundus sisaldab mitut PR-piirkonda, peate kõik isikud krüpteerima.
Osalise ümberseadistamise bitivookrüptimise lubamiseks järgige sama protseduuri kõigis kujunduse versioonides. 1. Intel Quartus Prime'il File menüüst Assignments Device Device
ja Pin Options Security. 2. Valige soovitud krüpteerimisvõtme salvestuskoht.
Joonis 6. Osalise ümberkonfigureerimise bitivookrüptimise säte

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 23

3. AES bitivookrüptimine 683823 | 2023.05.23
Teise võimalusena võite Quartus Prime'i sätetesse lisada järgmise määramislause file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION sees
Pärast baaskujunduse ja versioonide koostamist loob tarkvara a.soffile ja üks või mitu.pmsffiles, mis esindab isikuid. 3. Loo krüptitud ja allkirjastatud programmeerimine files from.sof ja.pmsf files sarnaselt kujundustele, kus osalist ümberkonfigureerimist pole lubatud. 4. Teisendage koostatud persona.pmsf file osaliselt krüpteeritud.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Viige bitivookrüptimine lõpule käsurea tööriista quartus_encrypt abil.
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Allkirjastage krüptitud konfiguratsiooni bitivoog käsurea tööriista quartus_sign abil:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –moodul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Intel Agilex® 7 Device Security kasutusjuhend 24

Saada tagasisidet

683823 | 2023.05.23 Saada tagasisidet

Seadme varustamine

Esialgset turvafunktsiooni pakkumist toetatakse ainult SDM-i pakkumise püsivaras. Kasutage Intel Quartus Prime Programmerit, et laadida SDM-i pakkumise püsivara ja teha ettevalmistustoiminguid.
Võite kasutada mis tahes tüüpi JTAG laadige alla kaabel Quartus Programmeri ühendamiseks Intel Agilex 7 seadmega, et teha ettevalmistustoiminguid.
4.1. SDM Provisioni püsivara kasutamine
Intel Quartus Prime Programmer loob ja laadib automaatselt tehase vaikeabipildi, kui valite lähtestamistoimingu ja käsu programmeerida midagi muud peale konfiguratsiooni bitivoo.
Sõltuvalt määratud programmeerimiskäsklusest on tehase vaikeabipilt üks kahest tüübist:
· Ettevalmistamise abipilt – koosneb ühest bitivoo sektsioonist, mis sisaldab SDM-i ettevalmistamise püsivara.
· QSPI abipilt – koosneb kahest bitivoo sektsioonist, millest üks sisaldab SDM-i peamist püsivara ja üks I/O sektsiooni.
Saate luua tehase vaikeabipildi file seadmesse laadimiseks enne mis tahes programmeerimiskäsu sooritamist. Pärast autentimise juurvõtme räsi programmeerimist peate kaasasoleva I/O jaotise tõttu looma ja allkirjastama QSPI tehase vaikeabipildi. Kui programmeerite täiendavalt kaasallkirjastatud püsivara turbesätte eFuse, peate looma kaasallkirjastatud püsivaraga varustamise ja QSPI tehase vaikeabipildid. Saate kasutada kaasallkirjastatud tehase vaikimisi abipilt pakkumata seadmes, kuna eraldamata seade ignoreerib mitte-Inteli allkirjakette SDM-i püsivara kaudu. Lisateavet QSPI tehase vaikeabipildi loomise, allkirjastamise ja kasutamise kohta leiate jaotisest QSPI tehase vaikeabipildi kasutamine omandatud seadmetes lk 26.
Ettevalmistuse tehase vaikeabipilt teostab ettevalmistustoimingu, näiteks programmeerib autentimise juurvõtme räsi, turbesätete kaitsmeid, PUF-i registreerimist või musta võtme ettevalmistamist. Kasutate Intel Quartus Prime'i programmeerimist File Generaatori käsurea tööriist varustamise abipildi loomiseks, täpsustades suvandi helper_image, teie helper_device nime, varustamise abipildi alamtüübi ja valikuliselt kaasallkirjastatud püsivara .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Programmeerige abipilt, kasutades tööriista Intel Quartus Prime Programmer:
kvartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" – jõud

ISO 9001:2015 registreeritud

4. Seadme varustamine 683823 | 2023.05.23

Märkus.

Võite lähtestamistoimingu käskudest välja jätta, sealhulgas ntampselles peatükis pakutud, pärast sätte abipildi programmeerimist või lähtestamistoimingut sisaldava käsu kasutamist.

4.2. QSPI tehase vaikeabipildi kasutamine omanduses olevates seadmetes
Intel Quartus Prime Programmer loob ja laadib automaatselt QSPI tehase vaikeabipildi, kui valite QSPI välkprogrammi lähtestamistoimingu. file. Pärast autentimise juurvõtme räsi programmeerimist peate looma ja allkirjastama QSPI tehase vaikeabipildi ning enne QSPI välklambi programmeerimist eraldi programmeerima allkirjastatud QSPI tehaseabipildi. 1. Kasutate Intel Quartus Prime programmeerimist File Generaatori käsurea tööriist
looge QSPI abipilt, määrates suvandi helper_image, teie helper_device tüübi, QSPI abipildi alamtüübi ja soovi korral kaassigneeritud püsivara .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Allkirjastate QSPI tehase vaikeabipildi:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Võite kasutada mis tahes QSPI-välkprogrammeerimist file vormingus. Järgmised eksamples kasutab konfiguratsiooni bitivoogu, mis on teisendatud .jic-vormingusse file vorming:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Programmeerite allkirjastatud abipildi, kasutades tööriista Intel Quartus Prime Programmer:
kvartus_pgm -c 1 -mjtag -o "p;signed_qspi_helper_image.rbf" – jõud
5. Programmeerite .jic-pildi vilkuma, kasutades tööriista Intel Quartus Prime Programmer.
kvartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. Autentimise juurvõtme pakkumine
Omaniku juurvõtme räside programmeerimiseks füüsilistele kaitsmetele peate esmalt laadima sätte püsivara, järgmiseks programmeerima omaniku juurvõtme räsid ja seejärel viivitamatult lähtestama sisselülitamise. Sisselülitamise lähtestamine pole vajalik, kui juurvõtme programmeerimine räsib virtuaalkaitsmeid.

Intel Agilex® 7 Device Security kasutusjuhend 26

Saada tagasisidet

4. Seadme varustamine 683823 | 2023.05.23
Autentimise juurvõtme räsi programmeerimiseks programmeerige püsivara abipilt ja käivitage juurvõtme .qky programmeerimiseks üks järgmistest käskudest files.
// Füüsiliste (mittelenduvate) eFuseside jaoks quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky" – mittelenduv_võti
// Virtuaalsete (lenduvate) eFuse jaoks quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. Osalise ümberseadistamise mitme asutuse juurvõtme programmeerimine
Pärast seadme või staatilise piirkonna bitivoo omaniku juurvõtmete ettevalmistamist laadite uuesti seadme pakkumise abipilt, programmeerite allkirjastatud PR avaliku võtme autoriseerimise kompaktse sertifikaadi ja seejärel valmistate PR persona bitivoo omaniku juurvõtme.
// Füüsiliste (mittelenduvate) eFuseside jaoks quartus_pgm -c 1 -mjtag -o "p;root_pr.qky" –pr_pubkey –mitte_lenduv_võti
// Virtuaalsete (lenduvate) eFuse jaoks quartus_pgm -c 1 -mjtag -o "p;p;root_pr.qky" –pr_pubkey
4.4. Programmeerimisvõtme tühistamise ID kaitsmed
Alates Intel Quartus Prime Pro Editioni tarkvara versioonist 21.1 nõuab Inteli ja omaniku võtme tühistamise ID kaitsmete programmeerimine allkirjastatud kompaktse sertifikaadi kasutamist. Võtme tühistamise ID kompaktse sertifikaadi saate allkirjastada allkirjaahelaga, millel on FPGA jaotise allkirjastamise õigused. Kompaktse sertifikaadi loote programmeerimisega file generaatori käsurea tööriist. Allkirjastate allkirjastamata sertifikaadi, kasutades tööriista quartus_sign või viiterakendust.
Intel Agilex 7 seadmed toetavad iga juurvõtme jaoks eraldi omaniku võtme tühistamise ID-de panku. Kui Intel Agilex 7 FPGA-sse on programmeeritud omanikuvõtme tühistamise ID kompaktsertifikaat, määrab SDM, milline juurvõti kompaktse sertifikaadi allkirjastas, ja puhub sellele juurvõtmele vastava võtme tühistamise ID kaitsme.
Järgmised eksamploob Inteli võtme ID 7 jaoks Inteli võtme tühistamise sertifikaadi. Saate 7 asendada kehtiva Inteli võtme tühistamise ID-ga vahemikus 0–31.
Käivitage järgmine käsk, et luua allkirjastamata Inteli võtme tühistamise ID kompaktne sertifikaat:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Allkirjastamata Inteli võtme tühistamise ID kompaktse sertifikaadi allkirjastamiseks käivitage üks järgmistest käskudest:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 27

4. Seadme varustamine 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Käivitage allkirjata omanikuvõtme tühistamise ID kompaktse sertifikaadi loomiseks järgmine käsk:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Allkirjastamata omanikuvõtme tühistamise ID kompaktse sertifikaadi allkirjastamiseks käivitage üks järgmistest käskudest:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Pärast allkirjastatud võtme tühistamise ID kompaktse sertifikaadi loomist kasutate Intel Quartus Prime Programmerit kompaktse sertifikaadi programmeerimiseks seadmesse J kaudu.TAG.
//Füüsiliste (mittelenduvate) eFuseside jaoks quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" – mittelenduv_võti quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert" – mittelenduv_võti
//Virtuaalsete (lenduvate) eFuseside jaoks quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert"
Lisaks saate kompaktse sertifikaadi saata SDM-ile, kasutades FPGA või HPS postkasti liidest.
4.5. Juurvõtmete tühistamine
Intel Agilex 7 seadmed võimaldavad teil tühistada juurvõtme räsi, kui on olemas mõni muu tühistamata juurvõtme räsi. Saate tühistada juurvõtme räsi, konfigureerides esmalt seadme kujundusega, mille allkirjaahel on juurdunud erinevas juurvõtme räsis, ja seejärel programmeerida allkirjastatud juurvõtme räsi tühistamise kompaktse sertifikaadi. Tühistamiseks peate allkirjastama juurvõtme räsi tühistamise kompaktse sertifikaadi allkirjaahelaga, mis on juurdunud juurvõtmes.
Käivitage allkirjata juurvõtme räsi tühistamise kompaktse sertifikaadi genereerimiseks järgmine käsk:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 Device Security kasutusjuhend 28

Saada tagasisidet

4. Seadme varustamine 683823 | 2023.05.23

Allkirjastamata juurvõtme räsi tühistamise kompaktse sertifikaadi allkirjastamiseks käivitage üks järgmistest käskudest:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Juurvõtme räsi tühistamise kompaktse sertifikaadi saate programmeerida JTAG, FPGA või HPS postkastid.

4.6. Counter-kaitsmete programmeerimine
Värskendate turvaversiooni numbrit (SVN) ja Pseudo Time Stamp (PTS) loenduri kaitsmed, mis kasutavad allkirjastatud kompaktseid sertifikaate.

Märkus.

SDM jälgib antud konfiguratsiooni ajal nähtud minimaalset loenduri väärtust ega aktsepteeri loenduri juurdekasvu sertifikaate, kui loenduri väärtus on minimaalsest väärtusest väiksem. Enne loenduri juurdekasvu kompaktse sertifikaadi programmeerimist peate värskendama kõiki loendurile määratud objekte ja seadme uuesti konfigureerima.

Käivitage üks järgmistest käskudest, mis vastab loenduri juurdekasvu sertifikaadile, mida soovite luua.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Loenduri väärtus 1 loob loenduri juurdekasvu autoriseerimissertifikaadi. Loenduri juurdekasvu volituse kompaktse sertifikaadi programmeerimine võimaldab vastava loenduri värskendamiseks programmeerida täiendavaid allkirjastamata loenduri juurdekasvusertifikaate. Kasutate loenduri kompaktsete sertifikaatide allkirjastamiseks tööriista quartus_sign sarnaselt võtme tühistamise ID kompaktsete sertifikaatidega.
Juurvõtme räsi tühistamise kompaktse sertifikaadi saate programmeerida JTAG, FPGA või HPS postkastid.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 29

4. Seadme varustamine 683823 | 2023.05.23

4.7. Turvaline andmeobjekti teenuse juurvõtme pakkumine
Secure Data Object Service (SDOS) juurvõtme loomiseks kasutate Intel Quartus Prime Programmerit. Programmeerija laadib SDOS-i juurvõtme varundamiseks automaatselt püsivara abistava pildi.
quartus_pgm c 1 mjtag –service_root_key –mitte_lenduv_võti

4.8. Turvaseaded Kaitsmete varustamine
Kasutage Intel Quartus Prime Programmerit, et uurida seadme turvaseadete kaitsmeid ja kirjutada need tekstipõhisesse kaitsmesse file järgmiselt:
kvartus_pgm -c 1 -mjtag -o "ei; programmeerimine_file.fuse;AGFB014R24B”

Valikud · i: programmeerija laadib seadmesse püsivara abipildi. · e: Programmeerija loeb seadmest kaitsme ja salvestab selle kaitsmesse file.

.kaitsme file sisaldab kaitsme nime-väärtuse paaride loendit. Väärtus määrab, kas kaitse on läbi põlenud või kaitsmevälja sisu.

Järgmised eksample näitab .kaitsme vormingut file:

# Kaasallkirjastatud püsivara

= "Pole puhutud"

# Seadme luba tappa

= "Pole puhutud"

# Seade pole turvaline

= "Pole puhutud"

# Keela HPS-i silumine

= "Pole puhutud"

# Keela sisemise ID PUF-i registreerimine

= "Pole puhutud"

# Keela JTAG

= "Pole puhutud"

# Keela PUF-mähitud krüpteerimisvõti

= "Pole puhutud"

# Keela omaniku krüpteerimisvõti BBRAM-is = "Pole puhutud"

# Keela omaniku krüpteerimisvõti rakenduses eFuses = "Pole puhutud"

# Keela omaniku juurava avaliku võtme räsi 0

= "Pole puhutud"

# Keela omaniku juurava avaliku võtme räsi 1

= "Pole puhutud"

# Keela omaniku juurava avaliku võtme räsi 2

= "Pole puhutud"

# Keelake virtuaalsed eFused

= "Pole puhutud"

# Sundige SDM-kell sisemisele ostsillaatorile = "Pole puhutud"

# Sundige krüpteerimisvõtme värskendamine

= "Pole puhutud"

# Inteli selgesõnaline võtme tühistamine

= "0"

# Lukusta turvakaitsmed

= "Pole puhutud"

# Omaniku krüpteerimisvõtme programm on tehtud

= "Pole puhutud"

# Omaniku krüpteerimisvõtme programm käivitub

= "Pole puhutud"

# Omaniku selgesõnaline võtme tühistamine 0

= ""

# Omaniku selgesõnaline võtme tühistamine 1

= ""

# Omaniku selgesõnaline võtme tühistamine 2

= ""

# Omaniku kaitsmed

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Omaniku avaliku võtme räsi 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Omaniku avaliku võtme räsi 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Omaniku avaliku võtme räsi 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Omaniku avaliku võtme suurus

= "Mitte ükski"

# PTS-loendur

= "0"

# PTS loenduri alus

= "0"

Intel Agilex® 7 Device Security kasutusjuhend 30

Saada tagasisidet

4. Seadme varustamine 683823 | 2023.05.23

# QSPI käivitusviivitus # RMA loendur # SDMIO0 on I2C # SVN-loendur A # SVN-loendur B # SVN-loendur C # SVN-loendur D

= "10 ms" = "0" = "pole puhutud" = "0" = "0" = "0" = "0"

Muutke .fuse file soovitud turvaseadete kaitsmete seadistamiseks. #-ga algavat rida käsitletakse kommentaarireana. Turvaseadete kaitsme programmeerimiseks eemaldage ees olev # ja määrake väärtuseks Blown. Näiteksampkaasallkirjastatud püsivara turbesätte kaitsme lubamiseks muutke kaitsme esimest rida file järgmisele:
Kaasallkirjastatud püsivara = "Blown"

Samuti võite oma vajaduste alusel eraldada ja programmeerida omanikukaitsmeid.
Tühja kontrolli teostamiseks, programmeerimiseks ja omaniku avaliku juurvõtme kontrollimiseks võite kasutada järgmist käsku:
kvartus_pgm -c 1 -mjtag -o "ibpv;root0.qky"

Valikud · i: laadib seadmesse püsivara abistava pildi. · b: teostab tühja kontrolli, et veenduda, et kaitsmed ei ole soovitud turvasätteid
juba puhutud. · p: Programmeerib kaitsme. · v: kontrollib seadme programmeeritud klahvi.
Pärast .qky programmeerimist file, võite uurida kaitsme teavet, kontrollides uuesti kaitsme teavet, et tagada nii omaniku avaliku võtme räsi kui ka omaniku avaliku võtme suuruse väärtused nullist erinevalt.
Kuigi järgmisi välju ei saa .fuse kaudu kirjutada file meetod, kaasatakse need kontrollitoimingu väljundi kontrollimiseks: · Seade pole turvaline · Seadme loa tapmine · Keela omaniku juur-avaliku võtme räsi 0 · Keela omaniku juur-avaliku võtme räsi 1 · Keela omaniku juur-avaliku võtme räsi 2 · Inteli võtme tühistamine · Omaniku krüpteerimisvõtme programm käivitub · Omaniku krüpteerimisvõtme programm on lõpetatud · Omaniku võtme tühistamine · Omaniku avaliku võtme räsi · Omaniku avaliku võtme suurus · Omaniku avaliku võtme räsi 0 · Omaniku juur avaliku võtme räsi 1 · Omaniku juur avaliku võtme räsi 2

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 31

4. Seadme varustamine 683823 | 2023.05.23
· PTS-loendur · PTS-loenduri alus · QSPI käivitusviivitus · RMA-loendur · SDMIO0 on I2C · SVN-loendur A · SVN-loendur B · SVN-loendur C · SVN-loendur D
Kasutage .fuse programmeerimiseks Intel Quartus Prime Programmerit file tagasi seadmesse. Kui lisate suvandi i, laadib programmeerija automaatselt sätte püsivara, et programmeerida turvaseadete kaitsmed.
//Füüsiliste (mittelenduvate) eFuseside jaoks quartus_pgm -c 1 -mjtag -o "pi; programmeerimine_file.fuse” – mittelenduv_võti
//Virtuaalsete (lenduvate) eFuseside jaoks quartus_pgm -c 1 -mjtag -o "pi; programmeerimine_file.fuse”
Võite kasutada järgmist käsku, et kontrollida, kas seadme juurvõtme räsi on sama, mis käsus antud .qky:
kvartus_pgm -c 1 -mjtag -o "v;root0_another.qky"
Kui klahvid ei ühti, kuvatakse programmeerija tõrketeade Operation failed.
4.9. AES-i juurvõtme varustamine
AES-juurvõtme Intel Agilex 7 seadmesse programmeerimiseks peate kasutama allkirjastatud AES-i juurvõtme kompaktset sertifikaati.
4.9.1. AES juurvõtme kompaktne sertifikaat
AES-i juurvõtme .qek teisendamiseks kasutate käsurea tööriista quartus_pfg file kompaktsesse sertifikaadi .ccert vormingusse. Võtme salvestuskoha määrate kompaktse sertifikaadi loomisel. Allkirjastamata sertifikaadi loomiseks hilisemaks allkirjastamiseks võite kasutada tööriista quartus_pfg. AES juurvõtme kompaktse sertifikaadi edukaks allkirjastamiseks peate kasutama allkirjaahelat, millel on AES juurvõtme sertifikaadi allkirjastamisluba, loa bitt 6, lubatud.

Intel Agilex® 7 Device Security kasutusjuhend 32

Saada tagasisidet

4. Seadme varustamine 683823 | 2023.05.23
1. Looge täiendav võtmepaar, mida kasutatakse AES-võtme kompaktse sertifikaadi allkirjastamiseks, kasutades ühte järgmistest käskudest, ntampvähem:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mehhanism ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –kasutusmärk –silt aesccert1 –id 2
2. Looge õigete lubade bitiga allkirjaahel, kasutades ühte järgmistest käskudest.
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previo root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Looge soovitud AES-i juurvõtme salvestuskoha jaoks allkirjastamata AES-i kompaktsertifikaat. Saadaval on järgmised AES-i juurvõtme salvestusvalikud:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Loo eFuse AES juurvõti allkirjastamata sertifikaat quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Allkirjastage kompaktne sertifikaat käsuga quartus_sign või viiterakendusega.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert signed_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 33

4. Seadme varustamine 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert signed_ 1.ccert
5. Kasutage Intel Quartus Prime Programmerit, et programmeerida AES juurvõtme kompaktsertifikaat Intel Agilex 7 seadmesse J kaudu.TAG. Intel Quartus Prime Programmer programmeerib vaikimisi virtuaalseid eFusesid, kui kasutatakse kompaktset sertifikaaditüüpi EFUSE_WRAPPED_AES_KEY.
Programmeerimise füüsiliste kaitsmete määramiseks lisate suvandi –non_volatile_key.
//Füüsilise (mittelenduva) eFuse AES juurvõtme jaoks quartus_pgm -c 1 -mjtag -o "pi;signed_efuse1.ccert" – mittelenduv_võti

//Virtuaalse (lenduva) eFuse AES juurvõtme jaoks quartus_pgm -c 1 -mjtag -o "pi;signed_efuse1.ccert"

//BBRAM AES juurvõtme jaoks quartus_pgm -c 1 -mjtag -o "pi;signed_bbram1.ccert"

SDM-i sätte püsivara ja peamine püsivara toetavad AES-i juurvõtme sertifikaadi programmeerimist. AES juurvõtme sertifikaadi programmeerimiseks võite kasutada ka FPGA kanga või HPS SDM postkasti liidest.

Märkus.

Käsk quartus_pgm ei toeta kompaktsete sertifikaatide (.ccert) suvandeid b ja v.

4.9.2. Intrinsic ID® PUF AES juurvõtme pakkumine
Sisemise* ID PUF-i mähitud AES-võtme rakendamine hõlmab järgmisi samme: 1. Sisemise ID PUF-i registreerimine J kauduTAG. 2. AES juurvõtme mähkimine. 3. Abimeeste andmete ja mähitud võtme programmeerimine quad SPI välkmällu. 4. Päringu esitamine sisemise ID PUF-i aktiveerimise oleku kohta.
Intrinsic ID tehnoloogia kasutamine nõuab eraldi litsentsilepingut sisemise ID-ga. Tarkvara Intel Quartus Prime Pro Edition piirab PUF-i toiminguid ilma vastava litsentsita, nagu registreerimine, võtmete pakkimine ja PUF-andmete programmeerimine QSPI-välklampidega.

4.9.2.1. Sisemise ID PUF-i registreerimine
PUF-i registreerimiseks peate kasutama SDM-i pakkumise püsivara. Püsivara peab olema esimene pärast toitetsüklit laaditud püsivara ja enne mis tahes muud käsku peate väljastama PUF-i registreerimiskäsu. Püsivara toetab muid käske pärast PUF-i registreerimist, sealhulgas AES-i juurvõtme mähistamist ja quad SPI programmeerimist, kuid konfiguratsiooni bitivoo laadimiseks peate seadme sisse lülitama.
PUF-i registreerimise käivitamiseks ja PUF-i abiandmete .puf genereerimiseks kasutate Intel Quartus Prime Programmerit file.

Intel Agilex® 7 Device Security kasutusjuhend 34

Saada tagasisidet

4. Seadme varustamine 683823 | 2023.05.23

Joonis 7.

Sisemise ID PUF-i registreerimine
quartus_pgm PUF-i registreerimine

Registreerige PUF-i abistaja andmed

Turvaline seadmehaldur (SDM)

wrapper.puf abiandmed
Programmeerija laadib automaatselt sätte püsivara abipildi, kui määrate nii i-toimingu kui ka argumendi .puf.
kvartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
Kui kasutate kaasallkirjastatud püsivara, programmeerite enne PUF-i registreerimiskäsu kasutamist kaasallkirjastatud püsivara abipildi.
kvartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" -force quartus_pgm -c 1 -mjtag -o "e;help_data.puf;AGFB014R24A"
UDS IID PUF registreeritakse seadme valmistamise ajal ja see pole uuesti registreerimiseks saadaval. Selle asemel kasutate programmeerijat UDS PUF-i abiandmete asukoha määramiseks IPCS-is, laadige alla .puf file otse ja seejärel kasutage UDS-i .puf file samamoodi nagu .puf file ekstraktitud Intel Agilex 7 seadmest.
Kasutage teksti genereerimiseks järgmist Programmeerija käsku file mis sisaldab nimekirja URLs osutab seadmepõhisele files IPCS-is:
kvartus_pgm -c 1 -mjtag -o "e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. AES-i juurvõtme pakkimine
Loote IID PUF-mähitud AES-i juurvõtme .wkey file saates SDM-ile allkirjastatud sertifikaadi.
Saate kasutada Intel Quartus Prime programmeerijat sertifikaadi automaatseks genereerimiseks, allkirjastamiseks ja saatmiseks oma AES-juurvõtme pakkimiseks või Intel Quartus Prime programmeerimist. File Generaator allkirjastamata sertifikaadi genereerimiseks. Allkirjastamata sertifikaadi allkirjastate oma tööriistade või Quartuse allkirjastamistööriista abil. Seejärel saate programmeerija abil allkirjastatud sertifikaadi saata ja oma AES-i juurvõtme pakkida. Allkirjastatud sertifikaati saab kasutada kõigi seadmete programmeerimiseks, mis suudavad allkirjaahelat valideerida.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 35

4. Seadme varustamine 683823 | 2023.05.23

Joonis 8.

AES-võtme mähkimine Intel Quartus Prime programmeerija abil
.pem Privaatne
Võti

.qky

kvartus_pgm

Pakkige AES-võti

AES.QSKigYnature RootCPhuabilnic Key

Looge PUF-mähitud võti

Pakitud AES-võti

SDM

.qek krüpteerimine
Võti

.wkey PUF-pakitud
AES võti

1. Saate luua programmeerijaga IID PUF-mähitud AES-juurvõtme (.wkey), kasutades järgmisi argumente.
· .qky file mis sisaldab AES juurvõtme sertifikaadi loaga allkirjaahelat
· Privaatne .pem file allkirjaahela viimase võtme jaoks
· .qek file hoides AES juurvõtit
· 16-baidine lähtestamisvektor (iv).

kvartus_pgm -c 1 -mjtag -qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o "ei;aes.wkey; AGFB014R24A"

2. Teise võimalusena saate programmeerimisega genereerida allkirjastamata IID PUF-i mähise AES-juurvõtme sertifikaadi. File Generaator, kasutades järgmisi argumente:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Allkirjastate allkirjastamata sertifikaadi oma allkirjastamistööriistadega või tööriistaga quartus_sign, kasutades järgmist käsku:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Seejärel kasutate programmeerijat allkirjastatud AES-sertifikaadi saatmiseks ja pakitud võtme (.wkey) tagastamiseks. file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

Märkus. Toiming i pole vajalik, kui laadisite eelnevalt püsivara abistava pildi, ntample, PUF-i registreerimiseks.

4.9.2.3. Programmeerimisabiandmed ja QSPI-välkmälu mähitud võti
Kasutate Quartuse programmeerimist File Generaatori graafiline liides PUF-sektsiooni sisaldava esialgse QSPI-välkpildi loomiseks. PUF-partitsiooni lisamiseks QSPI-välklampe peate genereerima ja programmeerima terve välgu programmeerimispildi. PUF-i loomine

Intel Agilex® 7 Device Security kasutusjuhend 36

Saada tagasisidet

4. Seadme varustamine 683823 | 2023.05.23

Joonis 9.

andmete partitsioon ning PUF-i abistaja andmete ja mähitud võtme kasutamine fileProgrammeerimine ei toeta välklambi kujutise genereerimist File Generaatori käsurea liides.
Järgmised sammud demonstreerivad välkmälu programmeerimiskujutise loomist PUF-i abiandmete ja mähitud võtmega.
1. On File menüüst Programmeerimine File Generaator. Väljundil Files vahekaardil tehke järgmised valikud:
a. Seadmepere jaoks valige Agilex 7.
b. Konfiguratsioonirežiimi jaoks valige Active Serial x4.
c. Väljundkataloogi jaoks sirvige oma väljundit file kataloog. See eksample kasutab väljundit_files.
d. Nime jaoks määrake programmeerimise nimi file genereerida. See eksample kasutab väljundit_file.
e. Valige jaotises Kirjeldus programmeerimine files genereerida. See eksample genereerib JTAG Kaudne konfiguratsioon File (.jic) seadme konfigureerimiseks ja töötlemata binaarfailiks File Programming Helper Image (.rbf) seadme abipildi jaoks. See eksample valib ka valikulise mälukaardi File (.map) ja töötlemata programmeerimisandmed File (.rpd). Toores programmeerimisandmed file on vajalik ainult siis, kui kavatsete tulevikus kasutada kolmanda osapoole programmeerijat.
Programmeerimine File Generaator – väljund Files vahekaart – valige JTAG Kaudne konfiguratsioon

Seadme perekonna konfiguratsioonirežiim
Väljund file sakk
Väljundkataloog
JTAG Kaudne (.jic) mälukaart File Programmeerimise abimees Programmitöö töötlemata andmed
Sisendil Files vahekaardil tehke järgmised valikud: 1. Klõpsake Add Bitstream ja sirvige oma faili. 2. Valige oma .sof file ja seejärel klõpsake nuppu Atribuudid.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 37

4. Seadme varustamine 683823 | 2023.05.23
a. Lülitage sisse Luba allkirjastamise tööriist. b. Privaatvõtme jaoks file valige oma .pem file. c. Lülitage sisse suvand Lõpeta krüptimine. d. Krüpteerimisvõtme jaoks file valige oma .qek file. e. Eelmisse aknasse naasmiseks klõpsake nuppu OK. 3. PUF-i abistaja andmete täpsustamiseks file, klõpsake nuppu Lisa töötlemata andmed. Muuda Files tüüpi rippmenüüst Quartus Physical Unclonable Function File (*.puf). Sirvige faili .puf file. Kui kasutate nii IID PUF-i kui ka UDS-i IID PUF-i, korrake seda sammu nii, et .puf fileSisendina lisatakse iga PUF-i jaoks s files. 4. Pakitud AES-võtme määramiseks file, klõpsake nuppu Lisa töötlemata andmed. Muuda Files tüüpi rippmenüüst Quartus Wrapped Key File (*.wkey). Sirvige oma .wkeyni file. Kui olete pakkinud AES-võtmeid nii IID PUF-i kui ka UDS-i IID PUF-i kasutades, korrake seda sammu nii, et .wkey fileSisendina lisatakse iga PUF-i jaoks s files.
Joonis 10. Määrake sisend Files konfiguratsiooni, autentimise ja krüptimise jaoks

Lisa bitivoog Lisa töötlemata andmed
Omadused
Privaatvõti file
Lõpeta krüptimine Krüpteerimisvõti
Vahekaardil Konfiguratsiooniseade tehke järgmised valikud: 1. Klõpsake nuppu Lisa seade ja valige saadaolevate välklampide loendist oma välklamp.
seadmeid. 2. Valige äsja lisatud konfiguratsiooniseade ja klõpsake nuppu Lisa partitsioon. 3. Dialoogiboksis Redigeeri partitsiooni sisendi jaoks file ja valige loendist oma .sof
rippmenüü. Saate säilitada vaikeseaded või redigeerida teisi parameetreid dialoogiboksis Partition Redigeerimine.

Intel Agilex® 7 Device Security kasutusjuhend 38

Saada tagasisidet

4. Seadme varustamine 683823 | 2023.05.23
Joonis 11. .sof konfiguratsiooni bitivoo partitsiooni määramine

Konfiguratsiooniseade
Redigeeri partitsiooni Lisa .sof file

Lisa partitsioon

4. Kui lisate sisendiks .puf ja .wkey files, programmeerimine File Generaator loob teie konfiguratsiooniseadmes automaatselt PUF-partitsiooni. PUF-i partitsioonis .puf ja .wkey salvestamiseks valige PUF-sektsioon ja klõpsake nuppu Redigeeri. Dialoogiboksis Sektsiooni redigeerimine valige .puf ja .wkey files ripploenditest. Kui eemaldate PUF-partitsiooni, peate eemaldama ja uuesti lisama programmeerimise konfiguratsiooniseadme File Generaator teise PUF-sektsiooni loomiseks. Peate veenduma, et valite õiged .puf ja .wkey file vastavalt IID PUF ja UDS IID PUF jaoks.
Joonis 12. Lisage .puf ja .wkey files PUF-i partitsioonile

PUF partitsioon

Muuda

Redigeeri partitsiooni

Flash Loader

Valige Genereeri

5. Valige parameetri Flash Loader jaoks Intel Agilex 7 seadmeperekond ja seadme nimi, mis vastab teie Intel Agilex 7 OPN-ile.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 39

4. Seadme varustamine 683823 | 2023.05.23
6. Väljundi genereerimiseks klõpsake nuppu Generate files, mille väljundis määrasite Files sakk.
7. Programmeerimine File Generaator loeb teie .qek-i file ja küsib teilt parooli. Tippige oma parool vastuseks Sisesta QEK-i parool. Klõpsake sisestusklahvi.
8. Programmeerimisel klõpsake nuppu OK File Generaator teatab edukast genereerimisest.
QSPI programmeerimispildi QSPI välkmällu kirjutamiseks kasutate Intel Quartus Prime Programmerit. 1. Menüüs Intel Quartus Prime Tools valige Programmer. 2. Programmeerijas klõpsake Hardware Setup ja seejärel valige ühendatud Intel
FPGA allalaadimiskaabel. 3. Klõpsake nuppu Lisa File ja sirvige oma faili .jic file.
Joonis 13. Programm .jic

Programmeerimine file

Programmeeri/Seadista

JTAG skannimisahel
4. Tühjendage Helperi pildiga seotud kast. 5. Valige .jic väljundi jaoks Program/Configure file. 6. Nelja SPI-välkmälu programmeerimiseks lülitage sisse nupp Start. 7. Lülitage plaat sisse. Disain, mis on programmeeritud neljale SPI-välkmällule
seade laadib seejärel siht-FPGA-sse.
Peate genereerima ja programmeerima terve välgu programmeerimispildi, et lisada neljale SPI-välklambile PUF-partitsioon.
Kui PUF-partitsioon on välklambis juba olemas, on võimalik kasutada Intel Quartus Prime Programmerit, et pääseda otse PUF-i abiandmetele ja mähitud võtmele files. NäiteksampKui aktiveerimine ebaõnnestub, on võimalik PUF uuesti registreerida, AES-võti ümber mähkida ja seejärel ainult PUF programmeerida files ilma, et peaks kogu välklampi üle kirjutama.

Intel Agilex® 7 Device Security kasutusjuhend 40

Saada tagasisidet

4. Seadme varustamine 683823 | 2023.05.23
Intel Quartus Prime programmeerija toetab PUF-i jaoks järgmist tööargumenti files juba olemasolevas PUF-partitsioonis:
· p: programm
· v: kontrolli
· r: kustuta
· b: tühi tšekk
PUF-i registreerimisel peate järgima samu piiranguid, isegi kui PUF-sektsioon on olemas.
1. Kasutage i operatsiooni argumenti, et laadida esimese toimingu jaoks püsivara abipilt. Näiteksample, registreerib järgmine käsujada uuesti PUF-i, mähib ümber AES-i juurvõtme, kustutab vanad PUF-i abiandmed ja mähitud võtme ning seejärel programmeerib ja kontrollib uued PUF-i abiandmed ja AES-juurvõti.
kvartus_pgm -c 1 -mjtag -o "ei;uus.puf;AGFB014R24A" quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "e;uus.wkey;AGFB014R24A" quartus_pgm -c 1 -mjtag -o "r;old.puf" quartus_pgm -c 1 -mjtag -o "r;vana.wkey" quartus_pgm -c 1 -mjtag -o "p;uus.puf" quartus_pgm -c 1 -mjtag -o "p;uus.wkey" quartus_pgm -c 1 -mjtag -o "v;uus.puf" quartus_pgm -c 1 -mjtag -o "v;uus.wkey"
4.9.2.4. Päring sisemise ID PUF-i aktiveerimise oleku kohta
Pärast sisemise ID PUF-i registreerimist mähkige AES-võti, genereerige välgu programmeerimine files ja värskendate neljakordset SPI-välku, lülitate seadme sisse, et käivitada PUF-i aktiveerimine ja konfigureerimine krüptitud bitivoo kaudu. SDM teatab PUF-i aktiveerimise oleku koos konfiguratsiooni olekuga. Kui PUF-i aktiveerimine ebaõnnestub, teatab SDM selle asemel PUF-i tõrkeolekust. Konfiguratsiooni oleku päringu tegemiseks kasutage käsku quartus_pgm.
1. Kasutage aktiveerimisoleku päringu tegemiseks järgmist käsku:
kvartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Siin on sampeduka aktiveerimise väljund:
Teave (21597): CONFIG_STATUS vastus Seade töötab kasutaja režiimis 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Versioon C000007B MSEL=QSPI_NORMAL=1,n=1,n=1,n
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Vea asukoht 00000000 Vea üksikasjad Vastus PUF_STATUS 00002000 2 USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 41

4. Seadme varustamine 683823 | 2023.05.23

Kui kasutate ainult IID PUF-i või UDS-i IID PUF-i ja pole abiandmeid programmeerinud, .puf file QSPI välklambi kummagi PUF-i puhul see PUF ei aktiveeru ja PUF-i olek näitab, et PUF-i abiandmed ei kehti. Järgmised eksample näitab PUF-i olekut, kui PUF-i abiandmed pole kummagi PUF-i jaoks programmeeritud:
Vastus PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. PUF-i asukoht välkmälus
PUF-i asukoht file on RSU-d toetavate kujunduste ja RSU-funktsiooni mittetoetavate kujunduste puhul erinev.

Kujunduste puhul, mis ei toeta RSU-d, peate lisama .puf ja .wkey files kui loote värskendatud välkpilte. RSU-d toetavate disainilahenduste puhul ei kirjuta SDM tehase või rakenduse kujutise värskendamise ajal PUF-i andmelõike üle.

Tabel 2.

Flashi alampartitsioonide paigutus ilma RSU toeta

Välgunihe (baitides)

Suurus (baitides)

Sisu

Kirjeldus

0K 256K

256K 256K

Konfiguratsioonihalduse püsivara Konfiguratsioonihalduse püsivara

Püsivara, mis töötab SDM-is.

512K

256K

Konfiguratsioonihalduse püsivara

768K

256K

Konfiguratsioonihalduse püsivara

32K

PUF-i andmete koopia 0

Andmestruktuur PUF-i abiandmete ja PUF-mähitud AES-i juurvõtme koopia 0 salvestamiseks

1 miljonit + 32 tuhat

32K

PUF-i andmete koopia 1

Andmestruktuur PUF-i abiandmete ja PUF-mähitud AES-i juurvõtme koopia 1 salvestamiseks

Tabel 3.

Flashi alampartitsioonide paigutus RSU toega

Välgunihe (baitides)

Suurus (baitides)

Sisu

Kirjeldus

0K 512K

512K 512K

Otsuse püsivara Otsuse püsivara

Püsivara kõrgeima prioriteediga pildi tuvastamiseks ja laadimiseks.

1 miljonit 1.5 miljonit

512K 512K

Otsuse püsivara Otsuse püsivara

8K + 24K

Otsuse püsivara andmed

Polsterdus

Reserveeritud otsuste püsivara kasutamiseks.

2 miljonit + 32 tuhat

32K

Reserveeritud SDM-i jaoks

Reserveeritud SDM-i jaoks.

2 miljonit + 64 tuhat

Muutuv

Tehase pilt

Lihtne pilt, mille loote varukoopiana, kui kõiki muid rakenduse kujutisi ei õnnestu laadida. See pilt sisaldab CMF-i, mis töötab SDM-is.

Edasi

32K

PUF-i andmete koopia 0

Andmestruktuur PUF-i abiandmete ja PUF-mähitud AES-i juurvõtme koopia 0 salvestamiseks
jätkus…

Intel Agilex® 7 Device Security kasutusjuhend 42

Saada tagasisidet

4. Seadme varustamine 683823 | 2023.05.23

Välgunihe (baitides)

Suurus (baitides)

Järgmine +32K 32K

Sisu PUF-andmete koopia 1

Järgmine + 256K 4K Järgmine +32K 4K Järgmine +32K 4K

Alampartitsioonitabeli koopia 0 Alampartitsioonitabeli koopia 1 CMF-i osutiploki koopia 0

Järgmine +32 XNUMX _

CMF-i osutiploki koopia 1

Muutuja Muutuja

Rakenduse pilt 1 Rakenduse pilt 2

4.9.3. Musta võtme varustamine

Kirjeldus
Andmestruktuur PUF-i abiandmete ja PUF-mähitud AES-i juurvõtme koopia 1 salvestamiseks
Andmestruktuur välkmälu haldamise hõlbustamiseks.
Rakenduse piltide viidete loend prioriteedi järjekorras. Kui lisate pildi, muutub see pilt kõige kõrgemaks.
Rakenduse piltidele osutavate viidete loendi teine koopia.
Teie esimene rakenduse pilt.
Teie teine rakenduse pilt.

Märkus.

Intel Quartus PrimeProgrammer aitab luua vastastikku autentitud turvalise ühenduse Intel Agilex 7 seadme ja musta võtme pakkumisteenuse vahel. Turvaline ühendus luuakse https-i kaudu ja selleks on vaja mitut teksti abil tuvastatud sertifikaati file.
Black Key Provisioning'i kasutamisel soovitab Intel vältida TCK tihvti välist ühendamist takisti üles- või alla tõmbamiseks, kui kasutate seda endiselt J jaoks.TAG. Siiski võite ühendada TCK viigu VCCIO SDM toiteallikaga, kasutades 10 k takistit. Pin Connection Guidelines olemasolevad juhised TCK ühendamiseks 1 k ripptakistiga on lisatud mürasummutamiseks. Juhiste muutmine 10 k tõmbetakistiks ei mõjuta seadme funktsionaalsust. Lisateavet TCK-viigu ühendamise kohta leiate jaotisest Intel Agilex 7 Pin Connection Guidelines.
Thebkp_tls_ca_certcertificate autentib teie musta võtme pakkumise teenuse eksemplari teie musta võtme ettevalmistamise programmeerija eksemplari. Thebkp_tls_*sertifikaadid autentivad teie musta võtmega varustamise programmeerija eksemplari teie musta võtme pakkumise teenuse eksemplari.
Loote teksti file sisaldab vajalikku teavet, et Intel Quartus Prime Programmer saaks ühenduda musta võtme pakkumisteenusega. Musta võtme ettevalmistamise käivitamiseks kasutage programmeerija käsurea liidest, et määrata musta võtme ettevalmistamise suvandite tekst file. Seejärel jätkub musta võtme varustamine automaatselt. Musta võtme pakkumise teenusele ja sellega seotud dokumentidele juurdepääsu saamiseks võtke ühendust Inteli toega.
Musta võtme ettevalmistamise saate lubada käsuga thequartus_pgmcommand:
quartus_pgm -c -m - seade –bkp_options=bkp_options.txt
Käsu argumendid määravad järgmise teabe:

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 43

4. Seadme varustamine 683823 | 2023.05.23

· -c: kaabli number · -m: määrab programmeerimisrežiimi, näiteks JTAG · –seade: määrab seadme indeksi JTAG kett. Vaikeväärtus on 1. · –bkp_options: määrab teksti file mis sisaldab musta võtmega varustamise valikuid.
Seotud teave Intel Agilex 7 seadmepere kontaktide ühendamise juhised

4.9.3.1. Musta võtmega varustamise valikud
Musta võtme pakkumise valikud on tekst file edastatakse programmeerijale käsu quartus_pgm kaudu. The file sisaldab vajalikku teavet musta võtme ettevalmistamise käivitamiseks.
Järgmine on endineample failist bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key_key_tppl1234 b_prog_key_pps192.167.5.5 aadress = https://5000:XNUMX bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Tabel 4.

Musta võtmega varustamise valikud
See tabel kuvab musta võtme ettevalmistamise käivitamiseks vajalikud valikud.

Valiku nimi

Tüüp

Kirjeldus

bkp_ip

Nõutav

Määrab serveri IP-aadressi, mis töötab musta võtme pakkumisteenust.

bkp_port

Nõutav

Määrab serveriga ühenduse loomiseks vajaliku musta võtme pakkumise teenusepordi.

bkp_cfg_id

Nõutav

Tuvastab musta võtme ettevalmistamise konfiguratsiooni voo ID.
Musta võtmega varustamise teenus loob musta võtme ettevalmistamise konfiguratsioonivood, sealhulgas AES-i juurvõti, soovitud eFuse'i sätted ja muud musta võtmega varustamise autoriseerimissuvandid. Musta võtme ettevalmistamise teenuse seadistamise ajal määratud number tuvastab musta võtme ettevalmistamise konfiguratsioonivood.
Märkus. Mitu seadet võivad viidata samale musta võtmega varustamise teenuse konfiguratsioonivoogudele.

bkp_tls_ca_cert

Nõutav

Juur-TLS-sertifikaat, mida kasutatakse Intel Quartus Prime Programmeri (programmeerija) musta võtme pakkumisteenuste tuvastamiseks. Selle sertifikaadi väljastab musta võtme pakkumise teenuse eksemplari usaldusväärne sertifitseerimisasutus.
Kui käivitate Programmeerija arvutis, kus on operatsioonisüsteem Microsoft® Windows® (Windows), peate installima selle sertifikaadi Windowsi serdisalve.

bkp_tls_prog_cert

Nõutav

Sertifikaat, mis on loodud musta võtme ettevalmistamise programmeerija (BKP Programmer) eksemplari jaoks. See on https-kliendi sertifikaat, mida kasutatakse selle BKP programmeerija eksemplari tuvastamiseks
jätkus…

Intel Agilex® 7 Device Security kasutusjuhend 44

Saada tagasisidet

4. Seadme varustamine 683823 | 2023.05.23

Valiku nimi

Tüüp

bkp_tls_prog_key

Nõutav

bkp_tls_prog_key_pass Valikuline

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Valikuline Valikuline Valikuline

Kirjeldus
musta võtme pakkumisteenusele. Peate installima ja autoriseerima selle sertifikaadi musta võtme pakkumisteenuses enne musta võtme ettevalmistamise seansi alustamist. Kui kasutate Programmeerijat Windowsis, pole see valik saadaval. Sel juhul sisaldab bkp_tls_prog_key seda sertifikaati juba.
BKP Programmeerija sertifikaadile vastav privaatvõti. Võti kinnitab BKP programmeerija eksemplari identiteedi musta võtme pakkumisteenuse jaoks. Kui kasutate programmi Programmeerija Windowsis, siis .pfx file ühendab sertifikaadi bkp_tls_prog_cert ja privaatvõtme. Valik bkp_tlx_prog_key edastab .pfx-i file failis bkp_options.txt file.
Privaatvõtme bkp_tls_prog_key parool. Pole nõutav musta võtme konfiguratsioonisuvandite (bkp_options.txt) tekstis file.
Määrab puhverserveri URL aadress.
Määrab puhverserveri kasutajanime.
Määrab puhverserveri autentimise parooli.

4.10. Omaniku juurvõtme, AES-i juurvõtme sertifikaatide ja kaitsme teisendamine files Jam STAPL File Vormingud

Võite kasutada käsurea käsku quartus_pfg .qky, AES juurvõtme .ccert ja .fuse teisendamiseks files Jam STAPL-vormingusse File (.jam) ja Jam Byte Code Format File (.jbc). Saate neid kasutada files programmeerida Inteli FPGA-sid, kasutades vastavalt Jam STAPL Playerit ja Jam STAPL Byte-Code Playerit.

Üks .jam või .jbc sisaldab mitmeid funktsioone, sealhulgas püsivara abipildi konfiguratsiooni ja programmi, tühja kontrolli ning võtme ja kaitsme programmeerimise kontrollimist.

Ettevaatust:

Kui teisendate AES-i juurvõtme .ccert file .jam vormingusse, .jam file sisaldab AES-võtit lihttekstina, kuid hägustatud kujul. Järelikult peate kaitsma .moosi file AES-võtme salvestamisel. Seda saate teha AES-võtme varustamise abil turvalises keskkonnas.

Siin on endisedampquartus_pfg teisenduskäskude les:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qkyfcroot2.qypkj” c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFBA o helper_device=AGFBA_fuse_seadistus. vice=AGFB014R24A seaded. fuse settings_fuse.jbc

Lisateavet Jam STAPL Playeri kasutamise kohta seadme programmeerimiseks vaadake AN 425: Command-Line Jam STAPL lahenduse kasutamine seadme programmeerimiseks.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 45

4. Seadme varustamine 683823 | 2023.05.23
Käivitage järgmised käsud, et programmeerida omaniku avaliku juurvõtme ja AES-i krüpteerimisvõti:
//Abibitivoo laadimiseks FPGA-sse. // Abistav bitivoog sisaldab püsivara sätte quartus_jli -c 1 -a CONFIGURE RootKey.jam
//Omaniku avaliku juurvõtme programmeerimine virtuaalsesse eFuses'i quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Omaniku avaliku juurvõtme programmeerimine füüsilisse eFuses'i quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//PR-omaniku avaliku juurvõtme programmeerimiseks virtuaalseks eFuses'iks quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//PR-omaniku avaliku juurvõtme programmeerimiseks füüsilisse eFuses'i quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//AES-i krüpteerimisvõtme CCERT programmeerimiseks BBRAM-i quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//AES-i krüpteerimisvõtme CCERT programmeerimiseks füüsilisse eFuses'i quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Seotud teave AN 425: Command-Line Jam STAPL-lahenduse kasutamine seadme programmeerimiseks

Intel Agilex® 7 Device Security kasutusjuhend 46

Saada tagasisidet

683823 | 2023.05.23 Saada tagasisidet

Täiustatud funktsioonid

5.1. Turvaline silumise autoriseerimine
Turvalise silumise autoriseerimise lubamiseks peab silumisomanik looma autentimisvõtmepaari ja kasutama seadme teabe loomiseks Intel Quartus Prime Pro programmeerijat. file silumispilti käivitava seadme jaoks:
kvartus_pgm -c 1 -mjtag -o "ei; seadme_info.txt; AGFB014R24A" -dev_info
Seadme omanik kasutab tööriista quartus_sign või viiterakendust tingimusliku avaliku võtme kirje lisamiseks silumistoiminguteks mõeldud allkirjaahelasse, kasutades silumisomaniku avalikku võtit, vajalikke volitusi, seadme teabe teksti fileja kohaldatavad täiendavad piirangud:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18 –in – debug_authorization_public_key.pem secure_debug_auth_chain.qky
Seadme omanik saadab täieliku allkirjaahela tagasi silumisomanikule, kes kasutab silumiskujutise allkirjastamiseks allkirjaahelat ja oma privaatvõtit:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorised_debug_design.rbf
Võite kasutada käsku quartus_pfg, et kontrollida selle allkirjastatud turvalise silumise bitivoo iga jaotise allkirjaahelat järgmiselt.
quartus_pfg –check_integrity authorised_debug_design.rbf
Selle käsu väljund prindib allkirjastatud bitivoo genereerimiseks kasutatud tingimusliku avaliku võtme piiranguväärtused 1,2,17,18.
Silumisomanik saab seejärel programmeerida turvaliselt volitatud silumiskujunduse:
kvartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
Seadme omanik võib turvalise silumise volituse tühistada, tühistades turvalise silumise autoriseerimise allkirjaahelas määratud selgesõnalise võtme tühistamise ID.
5.2. HPS-i silumissertifikaadid
HPS-i silumise juurdepääsupordile (DAP) ainult volitatud juurdepääsu lubamine JTAG liides nõuab mitut sammu:

ISO 9001:2015 registreeritud

5. Täiustatud funktsioonid 683823 | 2023.05.23
1. Klõpsake Intel Quartus Prime'i tarkvara Assignments menüül ja valige vahekaart Device Device and Pin Options Configuration.
2. Lubage vahekaardil Konfiguratsioon HPS-i silumise juurdepääsuport (DAP), valides rippmenüüst kas HPS-i nööpnõelad või SDM-viigud ja veendudes, et ruut Luba HPS-i silumine ilma sertifikaatideta pole märgitud.
Joonis 14. Määrake HPS DAP jaoks HPS või SDM viigud

HPS-i silumise juurdepääsuport (DAP)
Teise võimalusena võite määrata alloleva ülesande Quartus Prime'i sätetes .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE "SDM PINS"
3. Kompileerige ja laadige disain nende seadistustega. 4. Looge HPS-i silumise allkirjastamiseks sobivate õigustega allkirjaahel
sertifikaat:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign
5. Taotlege allkirjastamata HPS-i silumissertifikaati seadmelt, kuhu silumiskujundus on laaditud:
kvartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. Allkirjastage allkirjastamata HPS-i silumissertifikaat, kasutades tööriista quartus_sign või viiterakendust ja HPS-i silumisallkirjaahelat:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Intel Agilex® 7 Device Security kasutusjuhend 48

Saada tagasisidet

5. Täiustatud funktsioonid 683823 | 2023.05.23
7. Saatke allkirjastatud HPS-i silumissertifikaat seadmesse tagasi, et võimaldada juurdepääs HPS-i silumise juurdepääsupordile (DAP).
kvartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
HPS-i silumissertifikaat kehtib ainult selle loomisest kuni seadme järgmise toitetsüklini või kuni SDM-i püsivara erinevat tüüpi või versiooni laadimiseni. Enne seadme sisselülitamist peate genereerima, allkirjastama ja programmeerima allkirjastatud HPS-i silumissertifikaadi ning tegema kõik silumistoimingud. Saate allkirjastatud HPS-i silumissertifikaadi kehtetuks muuta, lülitades seadme sisse.
5.3. Platvormi kinnitus
Saate luua viite terviklikkuse manifesti (.rim) file programmeerimist kasutades file generaatori tööriist:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Järgige neid samme, et tagada oma disainis platvormi kinnitus: 1. Kasutage Intel Quartus Prime Pro Programmerit, et konfigureerida oma seade
kujundus, mille jaoks lõite viite terviklikkuse manifesti. 2. Kasutage seadme registreerimiseks platvormi atesteerimise kontrollijat, andes käsud
SDM SDM-postkasti kaudu, et luua uuesti laadimisel seadme ID-sertifikaat ja püsivara sertifikaat. 3. Kasutage Intel Quartus Prime Pro Programmerit, et konfigureerida oma seade uuesti disainiga. 4. Kasutage platvormi atesteerimise kontrollijat, et anda SDM-ile käsud, et hankida atesteerimisseadme ID, püsivara ja pseudonüümi sertifikaadid. 5. Kasutage tunnistuse kontrollijat, et anda välja SDM-postkasti käsk, et hankida tõendid ja kontrollija kontrollib tagastatud tõendeid.
Saate rakendada oma kinnitusteenust, kasutades SDM-postkasti käske või kasutada Inteli platvormi atesteerimiskontrolli teenust. Lisateabe saamiseks Inteli platvormi atesteerimiskontrolli teenuse tarkvara, saadavuse ja dokumentatsiooni kohta võtke ühendust Inteli toega.
Seotud teave Intel Agilex 7 seadmepere kontaktide ühendamise juhised
5.4. Füüsiline anti-Tamper
Lubate füüsilise anti-tamper funktsioone, kasutades järgmisi samme: 1. Valides soovitud vastuse tuvastatud tamper sündmus 2. Soovitud t konfigureerimineamper tuvastamise meetodid ja parameetrid 3. Sealhulgas anti-tamper IP oma disainiloogikas, et aidata hallata anti-tamper
sündmused

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 49

5. Täiustatud funktsioonid 683823 | 2023.05.23
5.4.1. Anti-Tamper Vastused
Lubate füüsilise anti-tamper valides vastuse Anti-tamper vastus: ripploend jaotises Määrangud Device Device ja Pin Options Security Anti-Tamper vahekaart. Vaikimisi on anti-tampvastus on keelatud. Viis kategooria anti-tampvastus on saadaval. Kui valite soovitud vastuse, on ühe või mitme tuvastusmeetodi lubamise valikud lubatud.
Joonis 15. Saadaval Anti-Tamper Response Options

Vastav määramine Quartus Prime'i sätetes .gsf file on järgmine:
set_global_assignment -name ANTI_TAMPER_RESPONSE „TEATISSEADME PÜHKIMISSEADME LUKUSTAMINE JA NULLISTAMINE”
Kui lubate anti-tampVastuseks saate valida kaks saadaolevat SDM-i spetsiaalset sisend-/väljundviigu t väljastamiseksamper sündmuste tuvastamise ja vastuse olekut, kasutades akent Assignments Device Device ja Pin Options Configuration Configuration Pin Options.

Intel Agilex® 7 Device Security kasutusjuhend 50

Saada tagasisidet

5. Täiustatud funktsioonid 683823 | 2023.05.23
Joonis 16. Saadaolevad SDM-i spetsiaalsed I/O-pistikud T jaoksamper Sündmuste tuvastamine

Seadetes saate teha ka järgmised tihvtide määramised file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Tuvastamine

Saate eraldi lubada sageduse, temperatuuri ja mahutagSDM-i tuvastusfunktsioonid. FPGA tuvastamine sõltub Anti-T kaasamisestamper Lite Intel FPGA IP teie disainis.

Märkus.

SDM sagedus ja voltagetamptuvastusmeetodid sõltuvad sisemistest viidetest ja mõõteriistvarast, mis võivad seadmeteti erineda. Intel soovitab teil iseloomustada t käitumistamptuvastamise seaded.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 51

5. Täiustatud funktsioonid 683823 | 2023.05.23
Sagedus tamper tuvastamine töötab konfiguratsiooni kella allikal. Sageduse t lubamiseksamptuvastamiseks peate määrama vahekaardil Määrangute seade ja Pin-suvandid Üldine rippmenüüs Konfiguratsiooni kella allikas muu suvandi peale sisemise ostsillaatori. Enne sageduse t lubamist peate tagama, et ruut Käivita konfiguratsiooni protsessor sisemisest ostsillaatorist on lubatudamper tuvastamine. Joonis 17. SDM-i seadistamine sisemisele ostsillaatorile
Sageduse t lubamiseksamptuvastamiseks valige Luba sagedus tamper tuvastamise märkeruut ja valige soovitud sagedus tampavastamisvahemiku rippmenüüst. Joonis 18. Sageduse T lubamineamper Tuvastamine

Intel Agilex® 7 Device Security kasutusjuhend 52

Saada tagasisidet

5. Täiustatud funktsioonid 683823 | 2023.05.23
Teise võimalusena võite lubada sageduse Tamper Tuvastamiseks tehes Quartus Prime'i seadetes .qsf järgmised muudatused file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -name ENNCY_FREQUE_FREQUE_FAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Temperatuuri lubamiseks tamptuvastamisel valige Luba temperatuur tamper tuvastamise märkeruut ja valige vastavatel väljadel soovitud temperatuuri ülemine ja alumine piir. Ülemine ja alumine piir on vaikimisi täidetud disainis valitud seadme vastava temperatuurivahemikuga.
Voltagetamptuvastamisel valite ühe või mõlemad valikutest Luba VCCL voltagetamper tuvastamine või Luba VCCL_SDM voltagetamper tuvastamise märkeruudud ja valige soovitud Voltagetamper avastamise päästiku protsentitage vastaval väljal.
Joonis 19. Voltagja Tamper Tuvastamine

Teise võimalusena võite lubada Voltagja Tamper Tuvastamine, määrates failis .qsf järgmised ülesanded file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ON
5.4.3. Anti-TampLite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP, mis on saadaval Intel Quartus Prime Pro Editioni tarkvara IP-kataloogis, hõlbustab kahesuunalist suhtlust teie disaini ja SDM-i vahel.amper sündmused.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 53

Joonis 20. Anti-TampLite Intel FPGA IP

5. Täiustatud funktsioonid 683823 | 2023.05.23

IP pakub järgmisi signaale, mille ühendate vastavalt vajadusele oma disainiga:

Tabel 5.

Anti-Tamper Lite Intel FPGA IP I/O signaalid

Signaali nimi

Suund

Kirjeldus

gpo_sdm_at_event gpi_fpga_at_event

Väljund Sisend

SDM-signaal FPGA kangaloogikasse, mille SDM on tuvastanudamper sündmus. FPGA-loogikal on umbes 5 ms soovitud puhastamiseks ja SDM-ile vastamiseks gpi_fpga_at_response_done ja gpi_fpga_at_zeroization_done kaudu. SDM jätkab tamper vastusetoimingud, kui kinnitatakse gpi_fpga_at_response_done või pärast seda, kui määratud aja jooksul vastust ei saada.
FPGA katkestada SDM, et teie kavandatud anti-tamper tuvastusahel tuvastas kellamper üritus ja SDM tampvastus tuleks käivitada.

gpi_fpga_at_response_done

Sisend

FPGA katkestus SDM-ile, et FPGA loogika on soovitud puhastuse läbi viinud.

gpi_fpga_at_zeroization_d one

Sisend

FPGA signaal SDM-ile, et FPGA-loogika on lõpetanud disainiandmete soovitud nullimise. See signaal on sampled, kui kinnitatakse gpi_fpga_at_response_done.

5.4.3.1. Väljalaske teave

IP versiooniskeemi (XYZ) number muutub ühelt tarkvaraversioonilt teisele. Muudatus:
· X tähistab uurimisperioodi olulist läbivaatamist. Kui värskendate oma Intel Quartus Prime'i tarkvara, peate IP uuesti looma.
· Y näitab, et IP sisaldab uusi funktsioone. Nende uute funktsioonide lisamiseks genereerige oma IP uuesti.
· Z näitab, et IP sisaldab väiksemaid muudatusi. Nende muudatuste kaasamiseks genereerige oma IP uuesti.

Tabel 6.

Anti-Tamper Lite Intel FPGA IP väljalaske teave

IP-versioon

Üksus

Kirjeldus 20.1.0

Intel Quartus Prime versioon

21.2

Väljalaske kuupäev

2021.06.21

Intel Agilex® 7 Device Security kasutusjuhend 54

Saada tagasisidet

5. Täiustatud funktsioonid 683823 | 2023.05.23
5.5. Disaini turbefunktsioonide kasutamine süsteemi kaugvärskendusega
Süsteemi kaugvärskendus (RSU) on Intel Agilex 7 FPGA-funktsioon, mis aitab konfiguratsiooni värskendada files jõulisel viisil. RSU ühildub kavandatud turvafunktsioonidega, nagu autentimine, püsivara kaasallkirjastamine ja bitivookrüptimine, kuna RSU ei sõltu konfiguratsiooni bitivoogude disaini sisust.
RSU piltide ehitamine failiga .sof Files
Kui salvestate privaatvõtmeid oma kohalikus filesüsteemi abil saate luua disainitud turbefunktsioonidega RSU kujutisi, kasutades .sof-i lihtsustatud voogu files sisenditena. RSU kujutiste genereerimiseks failiga .sof file, võite järgida juhiseid jaotises Süsteemi kaugvärskenduspildi loomine Files Programmeerimise kasutamine File Intel Agilex 7 konfiguratsiooni kasutusjuhendi generaator. Iga .sof file sisendis määratud Files, klõpsake nuppu Atribuudid… ja määrake allkirjastamise ja krüptimise tööriistade jaoks sobivad sätted ja võtmed. Programmeerimine file generaatori tööriist allkirjastab ja krüpteerib RSU programmeerimise loomise ajal automaatselt tehase- ja rakenduskujutised files.
Teise võimalusena, kui salvestate privaatvõtmeid HSM-i, peate kasutama tööriista quartus_sign ja seetõttu kasutama .rbf-i files. Ülejäänud osa sellest jaotisest kirjeldab .rbf-vormingus RSU-piltide genereerimise voo muudatusi files sisenditena. Peate krüpteerima ja allkirjastama .rbf-vormingus files enne nende sisendiks valimist files RSU piltide jaoks; aga RSU alglaadimisteave file ei tohi olla krüptitud ja selle asemel ainult allkirjastatud. Programmeerimine File Generaator ei toeta .rbf-vormingu omaduste muutmist files.
Järgmised eksamples demonstreerida vajalikke muudatusi jaotises Süsteemi kaugvärskenduspildi genereerimine Files Programmeerimise kasutamine File Intel Agilex 7 konfiguratsiooni kasutusjuhendi generaator.
Algse RSU pildi genereerimine faili .rbf abil Files: käsu muutmine
Algse RSU pildi genereerimisest .rbf abil Files jaotises, muutke 1. toimingu käske, et lubada disaini turvafunktsioonid vastavalt soovile, kasutades juhiseid selle dokumendi varasematest osadest.
Näiteksample, siis määraksite allkirjastatud püsivara file kui kasutasite püsivara kaassigneerimist, kasutage iga .rbf krüptimiseks Quartuse krüpteerimistööriista fileja lõpuks kasutage igaühe allkirjastamiseks tööriista quartus_sign file.
Kui olete 2. sammus lubanud püsivara kaasallkirjastamise, peate tehasepildist alglaadimisfaili .rbf loomisel kasutama lisavalikut file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Pärast alglaadimisteabe loomist .rbf file, kasutage .rbf allkirjastamiseks tööriista quartus_sign file. Te ei tohi alglaadimisteavet .rbf krüpteerida file.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 55

5. Täiustatud funktsioonid 683823 | 2023.05.23
Rakenduse pildi genereerimine: käsu muutmine
Kujundusturbefunktsioonidega rakenduse kujutise loomiseks muutke jaotises Rakenduse pildi loomine käsku, et kasutada algse rakenduse .sof asemel .rbf-d, millel on lubatud disaini turvafunktsioonid, sealhulgas vajaduse korral kaasallkirjastatud püsivara. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Tehase värskenduse pildi loomine: käsu muutmine
Pärast alglaadimisteabe loomist .rbf file, kasutate .rbf allkirjastamiseks tööriista quartus_sign file. Te ei tohi alglaadimisteavet .rbf krüpteerida file.
RSU tehasevärskenduspildi loomiseks muutke tehasevärskenduspildi genereerimine käsku, et kasutada faili .rbf file disainitud turvafunktsioonidega ja lisage võimalus näidata kaasallkirjastatud püsivara kasutamist:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Seotud teave Intel Agilex 7 konfiguratsiooni kasutusjuhend
5.6. SDM-i krüptograafiateenused
Intel Agilex 7 seadmete SDM pakub krüptograafilisi teenuseid, mida FPGA kangaloogika või HPS võivad vastava SDM-postkasti liidese kaudu taotleda. Kõigi SDM-i krüptoteenuste postkastikäskude ja andmevormingute kohta lisateabe saamiseks vaadake Inteli FPGA-de ja struktureeritud ASIC-ide kasutajajuhendi turbemetoodika lisa B.
SDM-i postkasti liidesele juurdepääsuks SDM-i krüptoteenuste FPGA kangaloogikale peate oma kujunduses leidma postkastikliendi Inteli FPGA IP-aadressi.
Viitekood HPS-i SDM-postkasti liidesele juurdepääsuks sisaldub Inteli pakutavas ATF-i ja Linuxi koodis.
Seotud teave Postkastikliendi Intel FPGA IP kasutusjuhend
5.6.1. Müüja volitatud alglaadimine
Intel pakub HPS-tarkvara võrdlusrakendust, mis kasutab HPS-i alglaadimistarkvara autentimiseks esimestest sekunditest alates müüja volitatud alglaadimisfunktsiooni.tage alglaadur kuni Linuxi tuumani.
Seotud teave Intel Agilex 7 SoC Secure Boot Demo Design

Intel Agilex® 7 Device Security kasutusjuhend 56

Saada tagasisidet

5. Täiustatud funktsioonid 683823 | 2023.05.23
5.6.2. Turvaline andmeobjekti teenus
SDOS-i objektide krüptimiseks ja dekrüpteerimiseks saadate käsud SDM-postkasti kaudu. SDOS-i funktsiooni saate kasutada pärast SDOS-i juurvõtme loomist.
Seotud teave Turvalise andmeobjekti teenuse juurvõtme pakkumine lk 30
5.6.3. SDM-i krüptograafilised primitiivsed teenused
Saadate käsud SDM-postkasti kaudu, et käivitada SDM-i krüptograafiline primitiivne teenuse toiming. Mõned krüptograafilised primitiivsed teenused nõuavad, et SDM-i ja sealt välja edastataks rohkem andmeid, kui postkasti liides suudab vastu võtta. Sellistel juhtudel muutub vormingu käsk, et pakkuda mällu andmetele viiteid. Lisaks peate muutma postkastikliendi Intel FPGA IP instantsi, et kasutada SDM-i krüptograafilisi primitiivseid teenuseid FPGA kanga loogikast. Peate lisaks määrama parameetri Luba krüptoteenus väärtuseks 1 ja ühendama äsja avalikustatud AXI initsiaatoriliidese oma kujunduses oleva mäluga.
Joonis 21. SDM-i krüptoteenuste lubamine postkastikliendis Intel FPGA IP

5.7. Bitivoo turvaseaded (FM/S10)
FPGA bitivoo turvasuvandid on poliitikate kogum, mis piirab määratud funktsiooni või töörežiimi kindlaksmääratud perioodi jooksul.
Bitivoo turvalisuse valikud koosnevad lippudest, mille määrate tarkvaras Intel Quartus Prime Pro Edition. Need lipud kopeeritakse automaatselt konfiguratsiooni bitivoogudesse.
Saate püsivalt jõustada seadme turvasuvandid vastava turvasätte eFuse abil.
Konfiguratsiooni bitivoo või seadme eFuses turvaseadete kasutamiseks peate lubama autentimisfunktsiooni.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 57

5. Täiustatud funktsioonid 683823 | 2023.05.23
5.7.1. Turvasuvandite valimine ja lubamine
Turvasuvandite valimiseks ja lubamiseks toimige järgmiselt. Menüüs Määrangud valige Seade Seade ja PIN-suvandid Turvalisus Rohkem valikuid… Joonis 22. Turvasuvandite valimine ja lubamine

Seejärel valige ripploenditest nende turvavalikute väärtused, mida soovite lubada, nagu on näidatud järgmises näitesample:
Joonis 23. Turvasuvandite väärtuste valimine

Intel Agilex® 7 Device Security kasutusjuhend 58

Saada tagasisidet

5. Täiustatud funktsioonid 683823 | 2023.05.23
Järgmised on vastavad muudatused Quartus Prime'i sätetes .qsf file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG “Kontroll” set_global_assignment -Name secu_Option_force_encryption_key_update “On Sticky” set_global_assignment -Name secu_option_force_sdm_clock_int_osc Ecurity_efuses set_global_assignment -Name secu_option_disable_hps_debug on set_global_assignment -Name secu_option_disable_encryption_iny_efus Ryption_key_in_efuss on set_global_assignment -Name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES SEES set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEYON

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 59

683823 | 2023.05.23 Saada tagasisidet

Veaotsing

Selles peatükis kirjeldatakse levinumaid tõrkeid ja hoiatussõnumeid, mis võivad seadme turvafunktsioonide ja nende lahendamise meetmete kasutamisel ilmneda.
6.1. Quartuse käskude kasutamine Windowsi keskkonna tõrke korral
Viga quartus_pgm: käsku ei leitud Kirjeldus See tõrge kuvatakse, kui proovite kasutada Quartuse käske NIOS II kestas Windowsi keskkonnas WSL-i abil. Resolutsioon See käsk töötab Linuxi keskkonnas; Windowsi hostide puhul kasutage järgmist käsku: quartus_pgm.exe -h Sama süntaksit rakendage ka teistele Quartus Prime'i käskudele, nagu quartus_pfg, quartus_sign, quartus_encrypt.

ISO 9001:2015 registreeritud

6. Veaotsing 683823 | 2023.05.23

6.2. Privaatvõtme hoiatuse genereerimine

Hoiatus:

Määratud parooli peetakse ebaturvaliseks. Intel soovitab kasutada vähemalt 13 tähemärgi pikkust parooli. Parool on soovitatav muuta OpenSSL-i käivitatava faili abil.

openssl ec -in - välja -aes256

Kirjeldus
See hoiatus on seotud parooli tugevusega ja kuvatakse privaatvõtme genereerimisel järgmiste käskude andmisega:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Resolutsioon Pikema ja seega tugevama parooli määramiseks kasutage käivitatavat faili openssl.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 61

6. Veaotsing 683823 | 2023.05.23
6.3. Allkirjavõtme lisamine Quartuse projekti veale
Viga…File sisaldab juurvõtme teavet…
Kirjeldus
Pärast allkirjastamisvõtme lisamist .qky file Quartuse projekti jaoks peate faili .sof uuesti kokku panema file. Kui lisate selle uuesti loodud .sof file valitud seadmesse Quartus Programmeri abil, näitab järgmine tõrketeade, et file sisaldab juurvõtme teavet:
Lisamine ebaõnnestusfile-tee-nimi> Programmeerijale. The file sisaldab juurvõtme teavet (.qky). Programmer ei toeta aga bitivoo allkirjastamise funktsiooni. Saate kasutada programmeerimist File Generaator teisendamiseks file allkirjastatud töötlemata binaarile file (.rbf) konfigureerimiseks.
Resolutsioon
Kasutage Quartuse programmeerimist file generaator teisendamiseks file allkirjastatud töötlemata binaariks File .rbf seadistamiseks.
Seotud teabe allkirjastamise konfiguratsiooni bitivoog Käsu quartus_sign kasutamine lk 13

Intel Agilex® 7 Device Security kasutusjuhend 62

Saada tagasisidet

6. Veaotsing 683823 | 2023.05.23
6.4. Quartus Prime'i programmeerimise genereerimine File oli ebaõnnestunud
Viga
Viga (20353): QKY avaliku võtme X ei ühti PEM-i privaatvõtmega file.
Viga (20352): bitivoo allkirjastamine pythoni skripti agilex_sign.py kaudu ebaõnnestus.
Viga: Quartus Prime programmeerimine File Generaator ebaõnnestus.
Kirjeldus Kui proovite konfiguratsiooni bitivoo allkirjastada vale privaatvõtmega .pem file või .pem file mis ei vasta projektile lisatud .qky-le, kuvatakse ülaltoodud levinumad vead. Lahendus Veenduge, et kasutate bitivoo allkirjastamiseks õiget privaatvõtit .pem.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 63

6. Veaotsing 683823 | 2023.05.23
6.5. Tundmatud argumendivead
Viga
Viga (23028): tundmatu argument “ûc”. Juriidiliste argumentide saamiseks vaadake abi.
Viga (213008): programmeerimisvaliku stringi “ûp” on ebaseaduslik. Juriidiliste programmeerimisvalikute vormingute kohta vaadake –help.
Kirjeldus Kui kopeerite ja kleepite käsurea valikud .pdf-failist file Windows NIOS II kestas võib esineda tundmatuid argumente, nagu ülal näidatud. Lahendus Sellistel juhtudel võite lõikelaualt kleepimise asemel käsud käsitsi sisestada.

Intel Agilex® 7 Device Security kasutusjuhend 64

Saada tagasisidet

6. Veaotsing 683823 | 2023.05.23
6.6. Bitivoo krüptimise valiku keelatud viga
Viga
Krüptimist ei saa lõpule viia file disain .sof, kuna see kompileeriti bitivookrüptimise valikuga keelatud.
Kirjeldus Kui proovite bitivoogu krüptida graafilise kasutajaliidese või käsurea kaudu pärast projekti kompileerimist, kui bitivookrüptimise suvand on keelatud, lükkab Quartus käsu, nagu ülal näidatud.
Lahendus Veenduge, et kompileerite projekti nii, et bitivoo krüptimise suvand on lubatud kas GUI või käsurea kaudu. Selle valiku lubamiseks GUI-s peate märkima selle valiku märkeruudu.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 65

6. Veaotsing 683823 | 2023.05.23
6.7. Võtme õige tee määramine
Viga
Viga (19516): tuvastatud programmeerimine File Generaatori seadete viga: võtit ei leitudfile'. Veenduge, et file asub eeldatavas kohas või värskendage seadet.sec
Viga (19516): tuvastatud programmeerimine File Generaatori seadete viga: võtit ei leitudfile'. Veenduge, et file asub eeldatavas kohas või värskendage seadet.
Kirjeldus
Kui kasutate võtmeid, mis on salvestatud file süsteemi, peate tagama, et nad määraksid bitivoo krüptimiseks ja allkirjastamiseks kasutatavate võtmete õige tee. Kui programmeerimine File Generaator ei suuda õiget teed tuvastada, kuvatakse ülaltoodud veateated.
Resolutsioon
Vaadake Quartus Prime'i sätteid .qsf file klahvide õigete radade leidmiseks. Kasutage absoluutsete teede asemel kindlasti suhtelisi teid.

Intel Agilex® 7 Device Security kasutusjuhend 66

Saada tagasisidet

6. Veaotsing 683823 | 2023.05.23
6.8. Toetamata väljundi kasutamine File Tüüp
Viga
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Viga (19511): väljundit ei toetata file tüüp (ebf). Toetatud kuvamiseks kasutage valikut „-l” või „–list”. file tüüpi teave.
Kirjeldus Quartuse programmeerimise kasutamise ajal File Generaator, mis loob krüptitud ja allkirjastatud konfiguratsiooni bitivoo, võite näha ülaltoodud tõrget, kui väljundit ei toetata file tüüp on määratud. Eraldusvõime Kasutage nuppu -l või -list, et näha toetatud loendit file tüübid.

Saada tagasisidet

Intel Agilex® 7 Device Security kasutusjuhend 67

683823 | 2023.05.23 Saada tagasisidet
7. Intel Agilex 7 Device Security kasutusjuhend Arhiivid
Selle kasutusjuhendi uusima ja varasemate versioonide kohta vaadake Intel Agilex 7 Device Security kasutusjuhendit. Kui IP- või tarkvaraversiooni loendis pole, kehtib eelmise IP- või tarkvaraversiooni kasutusjuhend.

ISO 9001:2015 registreeritud

683823 | 2023.05.23 Saada tagasisidet

8. Intel Agilex 7 Device Security kasutusjuhendi versioonide ajalugu

Dokumendi versioon 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumendid / Ressursid

Intel Agilex 7 seadme turvalisus [pdfKasutusjuhend
Agilex 7 seadme turvalisus, Agilex 7, seadme turvalisus, turvalisus

Viited

Kasutusjuhend

Intel Agilex 7 seadme turvalisus

Tooteteave

Toote kasutusjuhised

Korduma kippuvad küsimused

Seadme turvalisus on läbiview

Autentimine ja autoriseerimine

AES bitivookrüptimine

Seadme varustamine

Täiustatud funktsioonid

Veaotsing

Dokumendid / Ressursid

Viited

Jäta kommentaar

Tühista vastus