راهنمای کاربر امنیت دستگاه Intel Agilex 7

اینتل به امنیت محصول متعهد است و به کاربران توصیه می کند با منابع امنیتی محصول ارائه شده آشنا شوند. این منابع باید در طول عمر محصول اینتل مورد استفاده قرار گیرند.

2. ویژگی های امنیتی برنامه ریزی شده

ویژگی های امنیتی زیر برای نسخه آینده نرم افزار Intel Quartus Prime Pro Edition برنامه ریزی شده است:

تأیید امنیتی جریان بیت با پیکربندی مجدد جزئی: اطمینان بیشتری را ارائه می دهد که جریان های بیتی با پیکربندی مجدد جزئی (PR) نمی توانند به سایر جریان های بیتی شخصی PR دسترسی داشته باشند یا با آنها تداخل داشته باشند.

خودکشی دستگاه برای ضد تی فیزیکیamper: پاک کردن دستگاه یا پاسخ صفر کردن دستگاه را انجام می دهد و eFuses را برنامه ریزی می کند تا از پیکربندی مجدد دستگاه جلوگیری کند.

3. اسناد امنیتی موجود

جدول زیر اسناد موجود برای ویژگی‌های امنیتی دستگاه در دستگاه‌های Intel FPGA و ASIC ساختار یافته را فهرست می‌کند:

نام سند	هدف
متدولوژی امنیتی برای کاربران اینتل FPGA و ساختار یافته ASIC راهنما	سند سطح بالا که توضیحات مفصلی از ویژگی ها و فناوری های امنیتی در راه حل های برنامه پذیر اینتل محصولات. به کاربران کمک می کند تا ویژگی های امنیتی لازم را انتخاب کنند به اهداف امنیتی خود برسند.
راهنمای کاربری امنیت دستگاه Intel Stratix 10	دستورالعمل هایی برای کاربران دستگاه های Intel Stratix 10 برای پیاده سازی ویژگی های امنیتی شناسایی شده با استفاده از متدولوژی امنیتی راهنمای کاربر.
راهنمای کاربری امنیت دستگاه Intel Agilex 7	دستورالعمل هایی برای کاربران دستگاه های Intel Agilex 7 برای پیاده سازی ویژگی های امنیتی شناسایی شده با استفاده از متدولوژی امنیتی راهنمای کاربر.
راهنمای کاربر امنیت دستگاه Intel eASIC N5X	دستورالعمل هایی برای کاربران دستگاه های Intel eASIC N5X برای پیاده سازی ویژگی های امنیتی شناسایی شده با استفاده از متدولوژی امنیتی راهنمای کاربر.
خدمات رمزنگاری Intel Agilex 7 و Intel eASIC N5X HPS راهنمای کاربر	اطلاعات برای مهندسین نرم افزار HPS در مورد پیاده سازی و استفاده از کتابخانه های نرم افزار HPS برای دسترسی به خدمات رمزنگاری ارائه شده توسط SDM
راهنمای شروع سریع سرویس تامین کلید سیاه AN-968	مجموعه مراحل را برای راه اندازی تامین کلید سیاه کامل کنید خدمات

سوالات متداول

س: هدف از راهنمای استفاده از روش امنیتی چیست؟

پاسخ: راهنمای کاربر روش‌شناسی امنیتی، توضیحات مفصلی از ویژگی‌ها و فناوری‌های امنیتی در محصولات راه‌حل‌های برنامه‌پذیر اینتل ارائه می‌دهد. این به کاربران کمک می کند تا ویژگی های امنیتی لازم را برای دستیابی به اهداف امنیتی خود انتخاب کنند.

س: کجا می توانم راهنمای کاربر امنیت دستگاه Intel Agilex 7 را پیدا کنم؟

پاسخ: راهنمای کاربر امنیت دستگاه Intel Agilex 7 را می‌توانید در مرکز طراحی و منابع اینتل بیابید webسایت

س: سرویس تامین کلید سیاه چیست؟

A: سرویس Black Key Provisioning سرویسی است که مجموعه کاملی از مراحل را برای راه اندازی تامین کلید برای عملیات ایمن ارائه می دهد.

View Fullscreen

راهنمای کاربر امنیت دستگاه Intel Agilex® 7
به روز شده برای Intel® Quartus® Prime Design Suite: 23.1

نسخه آنلاین ارسال بازخورد

UG-20335

683823 2023.05.23

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 2

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 3

683823 | 2023.05.23 ارسال بازخورد
1. Intel Agilex® 7

امنیت دستگاه تمام شدview

اینتل دستگاه های Intel Agilex® 7 را با سخت افزار و سفت افزار امنیتی اختصاصی و بسیار قابل تنظیم طراحی می کند.
این سند حاوی دستورالعمل هایی است که به شما کمک می کند از نرم افزار Intel Quartus® Prime Pro Edition برای پیاده سازی ویژگی های امنیتی در دستگاه های Intel Agilex 7 خود استفاده کنید.
به‌علاوه، متدولوژی امنیتی برای FPGAهای اینتل و راهنمای کاربر ASIC ساختاریافته در مرکز طراحی و منابع اینتل موجود است. این سند حاوی توضیحات مفصلی از ویژگی‌ها و فناوری‌های امنیتی است که از طریق محصولات راه‌حل‌های برنامه‌پذیر اینتل در دسترس هستند تا به شما در انتخاب ویژگی‌های امنیتی لازم برای دستیابی به اهداف امنیتی خود کمک کنند. با شماره مرجع 14014613136 با پشتیبانی اینتل تماس بگیرید تا به متدولوژی امنیتی برای FPGAهای اینتل و راهنمای کاربر ساختار یافته ASIC دسترسی پیدا کنید.
سند به شرح زیر سازماندهی شده است: · احراز هویت و مجوز: دستورالعمل هایی را برای ایجاد ارائه می دهد
کلیدهای احراز هویت و زنجیره های امضا، مجوزها و ابطال ها، اشیاء را امضا کنید و ویژگی های احراز هویت برنامه را در دستگاه های Intel Agilex 7 اعمال کنید. · رمزگذاری AES Bitstream: دستورالعمل‌هایی را برای ایجاد یک کلید ریشه AES، رمزگذاری بیت‌استریم‌های پیکربندی و ارائه کلید اصلی AES به دستگاه‌های Intel Agilex 7 ارائه می‌کند. · Device Provisioning: دستورالعمل هایی را برای استفاده از سیستم عامل Intel Quartus Prime Programmer و Secure Device Manager (SDM) برای برنامه ریزی ویژگی های امنیتی در دستگاه های Intel Agilex 7 ارائه می دهد. · ویژگی های پیشرفته: دستورالعمل هایی را برای فعال کردن ویژگی های امنیتی پیشرفته، از جمله مجوز اشکال زدایی ایمن، اشکال زدایی سیستم پردازشگر سخت (HPS) و به روز رسانی سیستم از راه دور ارائه می دهد.
1.1. تعهد به امنیت محصول
تعهد طولانی مدت اینتل به امنیت هرگز قوی تر از این نبوده است. اینتل اکیداً توصیه می کند که با منابع امنیتی محصول ما آشنا شوید و برنامه ریزی کنید تا در طول عمر محصول اینتل خود از آنها استفاده کنید.
اطلاعات مرتبط · امنیت محصول در اینتل · مشاوره مرکز امنیت محصولات اینتل

شرکت اینتل تمامی حقوق محفوظ است. اینتل، آرم اینتل و سایر علائم اینتل علائم تجاری شرکت اینتل یا شرکت های تابعه آن هستند. اینتل عملکرد FPGA و محصولات نیمه هادی خود را با مشخصات فعلی مطابق با ضمانت استاندارد اینتل تضمین می کند، اما این حق را برای خود محفوظ می دارد که در هر زمان بدون اطلاع قبلی، در هر محصول و خدماتی تغییراتی ایجاد کند. اینتل هیچ مسئولیت یا مسئولیتی را که ناشی از کاربرد یا استفاده از هر گونه اطلاعات، محصول یا خدماتی است که در اینجا توضیح داده شده است، بر عهده نمی گیرد، مگر اینکه صراحتاً به صورت کتبی توسط اینتل موافقت شده باشد. به مشتریان اینتل توصیه می شود قبل از تکیه بر اطلاعات منتشر شده و قبل از سفارش محصولات یا خدمات، آخرین نسخه مشخصات دستگاه را دریافت کنند. *اسامی و برندهای دیگر ممکن است به عنوان دارایی دیگران ادعا شود.

ISO 9001:2015 ثبت شده است

1. Intel Agilex® 7 Device Security Overview 683823 | 2023.05.23

1.2. ویژگی های امنیتی برنامه ریزی شده

ویژگی های ذکر شده در این بخش برای نسخه آینده نرم افزار Intel Quartus Prime Pro Edition برنامه ریزی شده است.

توجه:

اطلاعات این بخش مقدماتی است.

1.2.1. پیکربندی مجدد جزئی تأیید امنیتی جریان بیت
اعتبار سنجی امنیتی جریان بیت با پیکربندی مجدد جزئی (PR) به ارائه اطمینان بیشتر کمک می کند که جریان های بیتی شخصیت PR نمی توانند به سایر جریان های بیتی شخصیت PR دسترسی داشته باشند یا با آنها تداخل داشته باشند.

1.2.2. خودکشی دستگاه برای ضد تی فیزیکیamper
خودکشی دستگاه پاسخ پاک کردن دستگاه یا صفر کردن دستگاه را انجام می دهد و به علاوه eFuses را برنامه ریزی می کند تا از پیکربندی مجدد دستگاه جلوگیری کند.

1.3. اسناد امنیتی موجود

جدول زیر اسناد موجود برای ویژگی‌های امنیتی دستگاه را در دستگاه‌های Intel FPGA و ASIC ساختاریافته برمی‌شمارد:

جدول 1.

اسناد امنیتی دستگاه موجود

نام سند
راهنمای کاربر متدولوژی امنیتی برای FPGA های اینتل و ASIC های ساختاریافته

هدف
سند سطح بالا که حاوی توضیحات مفصلی از ویژگی ها و فناوری های امنیتی در محصولات راه حل های برنامه پذیر اینتل است. قصد دارد به شما کمک کند تا ویژگی های امنیتی لازم برای دستیابی به اهداف امنیتی خود را انتخاب کنید.

شناسه سند 721596

راهنمای کاربری امنیت دستگاه Intel Stratix 10
راهنمای کاربری امنیت دستگاه Intel Agilex 7

برای کاربران دستگاه‌های Intel Stratix 10، این راهنما حاوی دستورالعمل‌هایی برای استفاده از نرم‌افزار Intel Quartus Prime Pro Edition برای پیاده‌سازی ویژگی‌های امنیتی شناسایی‌شده با استفاده از راهنمای کاربر روش‌شناسی امنیتی است.
برای کاربران دستگاه‌های Intel Agilex 7، این راهنما حاوی دستورالعمل‌هایی برای استفاده از نرم‌افزار Intel Quartus Prime Pro Edition برای پیاده‌سازی ویژگی‌های امنیتی شناسایی‌شده با استفاده از راهنمای کاربر روش‌شناسی امنیتی است.

683642 683823

راهنمای کاربر امنیت دستگاه Intel eASIC N5X

برای کاربران دستگاه‌های Intel eASIC N5X، این راهنما حاوی دستورالعمل‌هایی برای استفاده از نرم‌افزار Intel Quartus Prime Pro Edition برای پیاده‌سازی ویژگی‌های امنیتی شناسایی‌شده با استفاده از راهنمای کاربر روش‌شناسی امنیتی است.

626836

راهنمای کاربر خدمات رمزنگاری Intel Agilex 7 و Intel eASIC N5X HPS

این راهنما حاوی اطلاعاتی برای کمک به مهندسان نرم افزار HPS در پیاده سازی و استفاده از کتابخانه های نرم افزار HPS برای دسترسی به خدمات رمزنگاری ارائه شده توسط SDM است.

713026

راهنمای شروع سریع سرویس تامین کلید سیاه AN-968

این راهنما شامل مجموعه کاملی از مراحل برای راه اندازی سرویس تامین کلید سیاه است.

739071

مکان اینتل منبع و
مرکز طراحی
Intel.com
Intel.com
مرکز طراحی و منابع اینتل
مرکز طراحی و منابع اینتل
مرکز طراحی و منابع اینتل

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 5

683823 | 2023.05.23 ارسال بازخورد

احراز هویت و مجوز

برای فعال کردن ویژگی‌های احراز هویت یک دستگاه Intel Agilex 7، با استفاده از نرم‌افزار Intel Quartus Prime Pro Edition و ابزارهای مرتبط برای ساخت یک زنجیره امضا شروع می‌کنید. یک زنجیره امضا از یک کلید ریشه، یک یا چند کلید امضا و مجوزهای قابل اجرا تشکیل شده است. شما زنجیره امضا را به پروژه Intel Quartus Prime Pro Edition و برنامه نویسی کامپایل شده خود اعمال می کنید fileس از دستورالعمل های موجود در Device Provisioning برای برنامه ریزی کلید ریشه خود در دستگاه های Intel Agilex 7 استفاده کنید.
اطلاعات مرتبط
تهیه دستگاه در صفحه 25

2.1. ایجاد یک زنجیره امضا
می توانید از ابزار quartus_sign یا پیاده سازی مرجع agilex_sign.py برای انجام عملیات زنجیره امضا استفاده کنید. این سند سابق را ارائه می دهدamples با استفاده از quartus_sign.
برای استفاده از پیاده سازی مرجع، یک فراخوانی را به مفسر پایتون موجود در نرم افزار Intel Quartus Prime جایگزین کرده و گزینه –family=agilex را حذف می کنید. همه گزینه های دیگر معادل هستند. برای مثالample، دستور quartus_sign که بعداً در این بخش یافت می شود
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky را می توان به فراخوانی معادل پیاده سازی مرجع به صورت زیر تبدیل کرد
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

نرم افزار Intel Quartus Prime Pro Edition شامل ابزارهای quartus_sign، pgm_py و agilex_sign.py است. می توانید از ابزار پوسته فرمان Nios® II استفاده کنید که به طور خودکار متغیرهای محیطی مناسب را برای دسترسی به ابزارها تنظیم می کند.

این دستورالعمل ها را دنبال کنید تا یک پوسته فرمان Nios II ظاهر شود. 1. یک پوسته فرمان Nios II را بیاورید.

گزینه ویندوز
لینوکس

توضیحات
در منوی Start، به Programs Intel FPGA Nios II EDS اشاره کنید و روی Nios II کلیک کنید Command Shell.
در یک پوسته فرمان به /nios2eds و دستور زیر را اجرا کنید:
./nios2_command_shell.sh

سابقamples در این بخش زنجیره امضا و پیکربندی بیت استریم را فرض می کند files در فهرست کاری فعلی قرار دارند. اگر انتخاب کنید که از سابق پیروی کنیدamples Where کلید files بر روی نگه داشته می شوند file سیستم، کسانی که قبلاampکلید را فرض کنیم fileهستند

ISO 9001:2015 ثبت شده است

2. احراز هویت و مجوز 683823 | 2023.05.23
در فهرست کاری فعلی قرار دارد. شما می توانید انتخاب کنید که از کدام دایرکتوری ها استفاده کنید و ابزارها نسبتاً پشتیبانی می کنند file راه ها. اگر انتخاب کنید کلید را نگه دارید files در file سیستم، شما باید به دقت مجوزهای دسترسی به آن ها را مدیریت کنید files.
اینتل توصیه می کند که از یک ماژول امنیتی سخت افزاری (HSM) در دسترس تجاری برای ذخیره کلیدهای رمزنگاری و انجام عملیات رمزنگاری استفاده شود. ابزار Quartus_sign و پیاده‌سازی مرجع شامل استاندارد رمزنگاری کلید عمومی شماره 11 (PKCS #11) رابط برنامه‌نویسی کاربردی (API) برای تعامل با HSM در حین انجام عملیات زنجیره امضا است. پیاده سازی مرجع agilex_sign.py شامل یک چکیده رابط و همچنین یک نمونه قبلی استampرابط کاربری SoftHSM.
می توانید از این موارد قبلی استفاده کنیدampاینترفیس برای پیاده سازی یک رابط به HSM شما. برای اطلاعات بیشتر در مورد پیاده سازی یک رابط برای HSM و راه اندازی آن، به مستندات فروشنده HSM خود مراجعه کنید.
SoftHSM یک پیاده سازی نرم افزاری از یک دستگاه رمزنگاری عمومی با رابط PKCS #11 است که توسط پروژه OpenDNSSEC® در دسترس قرار گرفته است. ممکن است اطلاعات بیشتری از جمله دستورالعمل‌هایی در مورد نحوه دانلود، ساخت و نصب OpenHSM در پروژه OpenDNSSEC بیابید. سابقampدر این بخش از SoftHSM نسخه 2.6.1 استفاده می شود. سابقampموارد موجود در این بخش علاوه بر این از ابزار pkcs11-tool از OpenSC برای انجام عملیات اضافی PKCS #11 با توکن SoftHSM استفاده می کنند. ممکن است اطلاعات بیشتری از جمله دستورالعمل‌هایی در مورد نحوه دانلود، ساخت و نصب ابزار pkcs11 از OpenSC بیابید.
اطلاعات مرتبط
· امضاکننده منطقه مبتنی بر سیاست پروژه OpenDNSSEC برای خودکار کردن فرآیند ردیابی کلیدهای DNSSEC.
· اطلاعات SoftHSM در مورد اجرای یک فروشگاه رمزنگاری قابل دسترسی از طریق رابط PKCS #11.
· OpenSC مجموعه ای از کتابخانه ها و ابزارهایی را ارائه می دهد که می توانند با کارت های هوشمند کار کنند.
2.1.1. ایجاد جفت کلید احراز هویت در محلی File سیستم
شما از ابزار quartus_sign برای ایجاد جفت کلیدهای احراز هویت در محلی استفاده می کنید file سیستم با استفاده از عملیات make_private_pem و make_public_pem tool. ابتدا یک کلید خصوصی با عملیات make_private_pem تولید می کنید. شما منحنی بیضوی مورد استفاده، کلید خصوصی را مشخص می کنید fileنام، و در صورت تمایل برای محافظت از کلید خصوصی با یک عبارت عبور. اینتل استفاده از منحنی secp384r1 و پیروی از بهترین روش‌های صنعت را برای ایجاد یک عبارت عبور قوی و تصادفی در تمام کلیدهای خصوصی توصیه می‌کند. fileس اینتل همچنین توصیه می کند که محدودیت ها را محدود کنید file مجوزهای سیستم در کلید خصوصی .pem fileفقط توسط مالک خوانده شود. شما کلید عمومی را از کلید خصوصی با عملیات make_public_pem استخراج می کنید. نامگذاری کلید .pem مفید است fileبه صورت توصیفی این سند از کنوانسیون استفاده می کند _ .pem در مثال زیرamples
1. در پوسته فرمان Nios II، دستور زیر را برای ایجاد یک کلید خصوصی اجرا کنید. کلید خصوصی، که در زیر نشان داده شده است، به عنوان کلید اصلی در نسخه قبلی استفاده می شودampمواردی که یک زنجیره امضا ایجاد می کنند. دستگاه های Intel Agilex 7 از چندین کلید روت پشتیبانی می کنند، بنابراین شما

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 7

2. احراز هویت و مجوز 683823 | 2023.05.23

این مرحله را تکرار کنید تا تعداد کلیدهای ریشه مورد نیاز خود را ایجاد کنید. سابقampتمام موارد موجود در این سند به اولین کلید اصلی اشاره دارد، اگرچه می‌توانید زنجیره‌های امضا را به روشی مشابه با هر کلید اصلی بسازید.

گزینه با عبارت عبور

توضیحات
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem زمانی که از شما خواسته شد عبارت عبور را وارد کنید.

بدون رمز عبور

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. دستور زیر را برای ایجاد یک کلید عمومی با استفاده از کلید خصوصی تولید شده در مرحله قبل اجرا کنید. شما نیازی به محافظت از محرمانه بودن یک کلید عمومی ندارید.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. دوباره دستورات را اجرا کنید تا یک جفت کلید ایجاد شود که به عنوان کلید امضای طراحی در زنجیره امضا استفاده می شود.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. ایجاد جفت کلید احراز هویت در SoftHSM
SoftHSM سابقampموارد موجود در این فصل خودسازگار هستند. پارامترهای خاصی به نصب SoftHSM شما و مقدار دهی اولیه توکن در SoftHSM بستگی دارد.
ابزار Quartus_sign به کتابخانه PKCS #11 API از HSM شما بستگی دارد.
سابقampدر این بخش فرض می شود که کتابخانه SoftHSM در یکی از مکان های زیر نصب شده است: · /usr/local/lib/softhsm2.so در لینوکس · C:SoftHSM2libsofthsm2.dll در نسخه 32 بیتی ویندوز · C:SoftHSM2libsofthsm2-x64 .dll در نسخه 64 بیتی ویندوز.
با استفاده از ابزار softhsm2-util یک توکن را در SoftHSM راه اندازی کنید:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
پارامترهای گزینه، به ویژه برچسب توکن و پین توکن عبارتند ازampموارد استفاده شده در این فصل اینتل توصیه می کند که دستورالعمل های فروشنده HSM خود را برای ایجاد و مدیریت توکن ها و کلیدها دنبال کنید.
شما جفت های کلید احراز هویت را با استفاده از ابزار pkcs11-tool برای تعامل با توکن در SoftHSM ایجاد می کنید. به جای ارجاع صریح به کلید خصوصی و عمومی .pem fileدر file سیستم سابقamples، شما به جفت کلید با برچسب آن اشاره می کنید و ابزار به طور خودکار کلید مناسب را انتخاب می کند.

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 8

ارسال بازخورد

2. احراز هویت و مجوز 683823 | 2023.05.23

دستورات زیر را اجرا کنید تا یک جفت کلید ایجاد کنید که به عنوان کلید اصلی در نسخه قبلی استفاده می شودamples و همچنین یک جفت کلید که به عنوان کلید امضای طراحی در زنجیره امضا استفاده می شود:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

توجه:

گزینه ID در این مرحله باید برای هر کلید منحصر به فرد باشد، اما فقط توسط HSM استفاده می شود. این گزینه شناسه با شناسه لغو کلید اختصاص داده شده در زنجیره امضا ارتباطی ندارد.

2.1.3. ایجاد Signature Chain Root Entry
کلید عمومی ریشه را به یک ورودی اصلی زنجیره امضا، که در محلی ذخیره می شود، تبدیل کنید file سیستم با فرمت Intel Quartus Prime key (qky). file، با عملیات make_root. این مرحله را برای هر کلید ریشه ای که تولید می کنید تکرار کنید.
دستور زیر را برای ایجاد یک زنجیره امضا با ورودی ریشه، با استفاده از کلید عمومی ریشه از آن اجرا کنید file سیستم:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
دستور زیر را برای ایجاد یک زنجیره امضا با ورودی ریشه، با استفاده از کلید ریشه از توکن SoftHSM که در بخش قبلی ایجاد شده است، اجرا کنید:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsmso2/. ” root0 root0.qky

2.1.4. ایجاد یک ورودی کلید عمومی زنجیره امضا
یک ورودی کلید عمومی جدید برای یک زنجیره امضا با عملیات append_key ایجاد کنید. شما زنجیره امضای قبلی، کلید خصوصی برای آخرین ورودی در زنجیره امضای قبلی، کلید عمومی سطح بعدی، مجوزها و شناسه لغو که به کلید عمومی سطح بعدی اختصاص می‌دهید، و زنجیره امضای جدید را مشخص می‌کنید. file.
توجه داشته باشید که کتابخانه softHSM با نصب Quartus در دسترس نیست و در عوض باید جداگانه نصب شود. برای اطلاعات بیشتر در مورد softHSM به بخش ایجاد یک زنجیره امضا در بالا مراجعه کنید.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 9

2. احراز هویت و مجوز 683823 | 2023.05.23
بسته به استفاده شما از کلیدهای روی file سیستم یا در HSM، از یکی از موارد زیر استفاده می کنیدampدستور le برای الحاق کلید عمومی design0_sign به زنجیره امضای ریشه ایجاد شده در بخش قبل:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmv2.so”=name root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
می‌توانید عملیات append_key را تا دو بار دیگر برای حداکثر سه ورودی کلید عمومی بین ورودی ریشه و بلوک هدر در هر زنجیره امضا تکرار کنید.
سابق زیرampفرض می‌کند کلید عمومی احراز هویت دیگری را با همان مجوزها ایجاد کرده‌اید و شناسه لغو 1 را به نام design1_sign_public.pem اختصاص داده‌اید، و این کلید را به زنجیره امضای قبلی اضافه می‌کنید.ampدر:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmv2.so”name –name design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
دستگاه های Intel Agilex 7 دارای یک شمارنده لغو کلید اضافی هستند تا استفاده از کلیدی را تسهیل کند که ممکن است در طول عمر یک دستگاه خاص به طور دوره ای تغییر کند. شما می توانید این شمارنده لغو کلید را با تغییر آرگومان گزینه –cancel به pts:pts_value انتخاب کنید.
2.2. امضای یک بیت استریم پیکربندی
دستگاه‌های Intel Agilex 7 از شمارنده‌های امنیتی نسخه (SVN) پشتیبانی می‌کنند که به شما امکان می‌دهد مجوز یک شی را بدون لغو کلید لغو کنید. شما شمارنده SVN و مقدار شمارنده SVN مناسب را در هنگام امضای هر شیء، مانند بخش بیت استریم، سیستم عامل .zip اختصاص می دهید. file، یا گواهی فشرده. شمارنده SVN و مقدار SVN را با استفاده از گزینه –cancel و svn_counter:svn_value به عنوان آرگومان اختصاص می دهید. مقادیر معتبر برای svn_counter svnA، svnB، svnC و svnD هستند. svn_value یک عدد صحیح در محدوده [0,63] است.

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 10

ارسال بازخورد

2. احراز هویت و مجوز 683823 | 2023.05.23
2.2.1. کلید کوارتوس File تکلیف
شما یک زنجیره امضا را در پروژه نرم افزار Intel Quartus Prime خود مشخص می کنید تا قابلیت احراز هویت را برای آن طرح فعال کند. از منوی Assignments، Device Device and Pin Options Security Quartus Key را انتخاب کنید File، سپس به زنجیره امضا .qky بروید file شما برای امضای این طرح ایجاد کردید.
شکل 1. تنظیمات Bitstream را فعال کنید

از طرف دیگر، می‌توانید عبارت تخصیص زیر را به تنظیمات Intel Quartus Prime خود اضافه کنید file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
برای تولید .sof file از طرحی که قبلاً کامپایل شده است، که شامل این تنظیم است، از منوی Processing، Start Start Assembler را انتخاب کنید. خروجی جدید .sof file شامل تکالیفی برای فعال کردن احراز هویت با زنجیره امضای ارائه شده است.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 11

2. احراز هویت و مجوز 683823 | 2023.05.23
2.2.2. امضای مشترک میان افزار SDM
شما از ابزار quartus_sign برای استخراج، امضا و نصب سفت‌افزار SDM .zip استفاده می‌کنید. file. سپس سیستم عامل امضا شده توسط برنامه نویسی گنجانده می شود file ابزار ژنراتور هنگام تبدیل .sof file به یک بیت استریم پیکربندی .rbf file. شما از دستورات زیر برای ایجاد یک زنجیره امضای جدید و امضای سیستم عامل SDM استفاده می کنید.
1. یک جفت کلید امضای جدید ایجاد کنید.
آ. یک جفت کلید امضای جدید بر روی ایجاد کنید file سیستم:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
ب یک جفت کلید امضای جدید در HSM ایجاد کنید:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. یک زنجیره امضای جدید حاوی کلید عمومی جدید ایجاد کنید:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmv2.so”name –name root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. سیستم عامل .zip را کپی کنید file از دایرکتوری نصب نرم افزار Intel Quartus Prime Pro Edition ( /devices/programmer/firmware/ agilex.zip) به فهرست کاری فعلی.
quartus_sign –family=agilex –get_firmware=.
4. سیستم عامل .zip را امضا کنید file. این ابزار به طور خودکار فایل فشرده را باز می کند file و به صورت جداگانه تمام سیستم عامل .cmf را امضا می کند files، سپس .zip را بازسازی می کند file برای استفاده توسط ابزار در بخش های زیر:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 12

ارسال بازخورد

2. احراز هویت و مجوز 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. پیکربندی امضای بیت استریم با استفاده از فرمان quartus_sign
برای امضای یک بیت استریم پیکربندی با استفاده از دستور quartus_sign، ابتدا باید .sof را تبدیل کنید. file به باینری خام بدون علامت file قالب (.rbf). می‌توانید به‌صورت اختیاری میان‌افزار مشترک امضا شده را با استفاده از گزینه fw_source در مرحله تبدیل مشخص کنید.
شما می توانید بیت استریم خام بدون امضا را با فرمت rbf. با استفاده از دستور زیر ایجاد کنید:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
یکی از دستورات زیر را برای امضای بیت استریم با استفاده از ابزار quartus_sign بسته به محل کلیدهای خود اجرا کنید:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –key= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
شما می توانید .rbf امضا شده را تبدیل کنید files به جریان بیت پیکربندی دیگر file فرمت ها
برای مثالample، اگر از پخش‌کننده Jam* استاندارد آزمون و زبان برنامه‌نویسی (STAPL) برای برنامه‌ریزی بیت‌استریم روی J استفاده می‌کنید.TAG، از دستور زیر برای تبدیل یک .rbf استفاده می کنید file به قالب .jam که Jam STAPL Player به آن نیاز دارد:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. پشتیبانی از چند مرجع پیکربندی مجدد جزئی

دستگاه‌های Intel Agilex 7 از احراز هویت چند مرجع با پیکربندی مجدد جزئی پشتیبانی می‌کنند، جایی که مالک دستگاه جریان بیت استاتیک را ایجاد و امضا می‌کند، و یک مالک PR جداگانه جریان بیت‌های شخصی PR را ایجاد و امضا می‌کند. دستگاه های Intel Agilex 7 با اختصاص دادن اولین اسلات های کلید ریشه احراز هویت به دستگاه یا دارنده بیت استاتیک و تخصیص اسلات کلید ریشه تأیید نهایی به مالک جریان بیت شخصی با پیکربندی مجدد جزئی، پشتیبانی چند مرجع را اجرا می کنند.
اگر ویژگی احراز هویت فعال باشد، تمام تصاویر پرسونای روابط عمومی، از جمله تصاویر پرسونای روابط عمومی تو در تو، باید امضا شوند. تصاویر پرسونای روابط عمومی ممکن است توسط مالک دستگاه یا مالک روابط عمومی امضا شود. با این حال، بیت استریم های منطقه ایستا باید توسط مالک دستگاه امضا شود.

توجه:

پیکربندی مجدد جزئی رمزگذاری استاتیک و پرسونا جریان بیت زمانی که پشتیبانی چند مرجع فعال است در نسخه بعدی برنامه ریزی شده است.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 13

2. احراز هویت و مجوز 683823 | 2023.05.23

شکل 2.

اجرای پشتیبانی چند مرجع پیکربندی مجدد جزئی به چندین مرحله نیاز دارد:
1. دستگاه یا مالک بیت استاتیک یک یا چند کلید ریشه احراز هویت را همانطور که در ایجاد جفت کلید احراز هویت در SoftHSM در صفحه 8 توضیح داده شده است، ایجاد می کند، جایی که گزینه –key_type دارای مقدار مالک است.
2. مالک بیت استریم پیکربندی مجدد جزئی یک کلید ریشه احراز هویت ایجاد می کند اما مقدار گزینه –key_type را به secondary_owner تغییر می دهد.
3. هر دو مالکان طراحی پیکربندی مجدد بیت استاتیک و جزئی اطمینان حاصل می کنند که چک باکس Enable Multi-Authority support در تب Assignments Device Device and Pin Options Security فعال است.
Intel Quartus Prime تنظیمات گزینه های چند مرجع را فعال می کند

4. هر دو صاحبان طرح پیکربندی مجدد بیت استاتیک و جزئی، زنجیره های امضا را بر اساس کلیدهای ریشه مربوطه خود همانطور که در ایجاد زنجیره امضا در صفحه 6 توضیح داده شده است، ایجاد می کنند.
5. هر دو صاحبان طراحی پیکربندی مجدد بیت استاتیک و جزئی، طرح های کامپایل شده خود را به فرمت .rbf تبدیل می کنند. files و rbf. را امضا کنید files.
6. صاحب دستگاه یا استاتیک بیت استریم گواهی فشرده مجوز برنامه کلید عمومی PR را تولید و امضا می کند.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file="root0.qky;root1.qky" unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –key= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 14

ارسال بازخورد

2. احراز هویت و مجوز 683823 | 2023.05.23

7. صاحب دستگاه یا بیت‌استاتیک هش‌های کلید ریشه احراز هویت خود را در اختیار دستگاه قرار می‌دهد، سپس گواهی فشرده مجوز برنامه کلید عمومی PR را برنامه‌ریزی می‌کند، و در نهایت کلید ریشه مالک جریان بیت با پیکربندی مجدد جزئی را به دستگاه ارائه می‌کند. بخش Device Provisioning این فرآیند تامین را توضیح می دهد.
8. دستگاه Intel Agilex 7 با ناحیه ثابت .rbf پیکربندی شده است file.
9. دستگاه Intel Agilex 7 تا حدی با طراحی شخصیت .rbf مجدداً پیکربندی شده است file.
اطلاعات مرتبط
· ایجاد زنجیره امضا در صفحه 6
· ایجاد جفت کلید احراز هویت در SoftHSM در صفحه 8
· تهیه دستگاه در صفحه 25

2.2.5. تأیید پیکربندی زنجیره های امضای بیت استریم
پس از ایجاد زنجیره‌های امضا و جریان‌های بیت امضا شده، می‌توانید بررسی کنید که جریان بیت امضا شده به درستی دستگاهی را که با یک کلید اصلی برنامه‌ریزی شده است، پیکربندی می‌کند. ابتدا از عملیات fuse_info فرمان quartus_sign برای چاپ هش کلید عمومی ریشه در یک متن استفاده می کنید. file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

سپس از گزینه check_integrity فرمان quartus_pfg برای بررسی زنجیره امضا در هر بخش از یک جریان بیت امضا شده در قالب rbf. استفاده می‌کنید. گزینه check_integrity اطلاعات زیر را چاپ می کند:
· وضعیت بررسی یکپارچگی بیت استریم کلی
· محتویات هر ورودی در هر زنجیره امضا متصل به هر بخش در جریان بیت .rbf file,
· مقدار فیوز مورد انتظار برای هش کلید عمومی ریشه برای هر زنجیره امضا.
مقدار خروجی fuse_info باید با خطوط فیوز در خروجی check_integrity مطابقت داشته باشد.
quartus_pfg –check_integrity signed_bitstream.rbf

اینجا یک سابق استampل از خروجی فرمان check_integrity:

اطلاعات: فرمان: quartus_pfg –check_integrity signed_bitstream.rbf وضعیت یکپارچگی: OK

بخش

نوع: CMF

توصیف کننده امضا…

زنجیره امضا شماره 0 (ورودی ها: -1، افست: 96)

ورودی شماره 0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

ایجاد کلید…

منحنی: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

ایجاد کلید…

منحنی: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 15

2. احراز هویت و مجوز 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

ورودی شماره 1

ایجاد کلید…

منحنی: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

ورودی شماره 2 مجوز زنجیره کلید: SIGN_CODE زنجیره کلید را می توان با شناسه لغو کرد: 3 زنجیره امضای شماره 1 (ورودی ها: -1، افست: 648)

ورودی شماره 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

ایجاد کلید…

منحنی: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

ایجاد کلید…

منحنی: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

ورودی شماره 1

ایجاد کلید…

منحنی: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

ورودی شماره 2

ایجاد کلید…

منحنی: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

ورودی شماره 3 مجوز زنجیره کلید: SIGN_CODE زنجیره کلید را می توان با شناسه لغو کرد: 15 زنجیره امضای شماره 2 (ورودی ها: -1، افست: 0) زنجیره امضای شماره 3 (ورودی ها: -1، آفست: 0) زنجیره امضای شماره 4 (ورودی ها: -1، افست: 0) زنجیره امضای شماره 5 (ورودی‌ها: -1، افست: 0) زنجیره امضای شماره 6 (ورودی‌ها: -1، افست: 0) زنجیره امضای شماره 7 (ورودی‌ها: -1، افست: 0)

نوع بخش: توصیف‌کننده امضای IO … زنجیره امضای شماره 0 (ورودی‌ها: -1، افست: 96)

ورودی شماره 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

ایجاد کلید…

منحنی: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 16

ارسال بازخورد

2. احراز هویت و مجوز 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

ایجاد کلید…

منحنی: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

ورودی شماره 1

ایجاد کلید…

منحنی: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

ورودی شماره 2

ایجاد کلید…

منحنی: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

ورودی شماره 3 مجوز زنجیره کلید: SIGN_CORE زنجیره کلید را می توان با شناسه لغو کرد: 15 زنجیره امضای شماره 1 (ورودی ها: -1، افست: 0) زنجیره امضای شماره 2 (ورودی ها: -1، آفست: 0) زنجیره امضای شماره 3 (ورودی ها: -1، افست: 0) زنجیره امضای شماره 4 (ورودی ها: -1، افست: 0) زنجیره امضای شماره 5 (ورودی ها: -1، افست: 0) زنجیره امضای شماره 6 (ورودی ها: -1، افست: 0) امضا زنجیره شماره 7 (ورودی ها: -1، افست: 0)

بخش

نوع:HPS

توصیف کننده امضا…

زنجیره امضا شماره 0 (ورودی ها: -1، افست: 96)

ورودی شماره 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

ایجاد کلید…

منحنی: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

ایجاد کلید…

منحنی: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

ورودی شماره 1

ایجاد کلید…

منحنی: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

ورودی شماره 2

ایجاد کلید…

منحنی: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 17

2. احراز هویت و مجوز 683823 | 2023.05.23

ورودی شماره 3 مجوز زنجیره کلید: SIGN_HPS زنجیره کلید را می توان با شناسه لغو کرد: 15 زنجیره امضای شماره 1 (ورودی ها: -1، افست: 0) زنجیره امضای شماره 2 (ورودی ها: -1، آفست: 0) زنجیره امضای شماره 3 (ورودی ها: -1، افست: 0) زنجیره امضای شماره 4 (ورودی ها: -1، افست: 0) زنجیره امضای شماره 5 (ورودی ها: -1، افست: 0) زنجیره امضای شماره 6 (ورودی ها: -1، افست: 0) امضا زنجیره شماره 7 (ورودی ها: -1، افست: 0)

نوع بخش: توصیف کننده امضای هسته ... زنجیره امضای شماره 0 (ورودی ها: -1، افست: 96)

ورودی شماره 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

ایجاد کلید…

منحنی: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

ایجاد کلید…

منحنی: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

ورودی شماره 1

ایجاد کلید…

منحنی: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

ورودی شماره 2

ایجاد کلید…

منحنی: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 18

ارسال بازخورد

683823 | 2023.05.23 ارسال بازخورد

رمزگذاری AES Bitstream

رمزگذاری جریان بیتی استاندارد رمزگذاری پیشرفته (AES) قابلیتی است که صاحب دستگاه را قادر می سازد از محرمانه بودن مالکیت معنوی در یک جریان بیتی پیکربندی محافظت کند.
برای کمک به محافظت از محرمانه بودن کلیدها، رمزگذاری جریان بیتی پیکربندی از زنجیره ای از کلیدهای AES استفاده می کند. این کلیدها برای رمزگذاری داده های مالک در جریان بیت پیکربندی استفاده می شوند، جایی که اولین کلید میانی با کلید ریشه AES رمزگذاری می شود.

3.1. ایجاد کلید ریشه AES

می‌توانید از ابزار quartus_encrypt یا پیاده‌سازی مرجع stratix10_encrypt.py برای ایجاد یک کلید ریشه AES در قالب کلید رمزگذاری نرم‌افزار Intel Quartus Prime (qek) استفاده کنید. file.

توجه:

stratix10_encrypt.py file برای دستگاه های Intel Stratix® 10 و Intel Agilex 7 استفاده می شود.

می‌توانید به صورت اختیاری کلید پایه مورد استفاده برای استخراج کلید ریشه AES و کلید مشتق کلید، مقدار کلید اصلی AES، تعداد کلیدهای میانی و حداکثر استفاده از هر کلید میانی را مشخص کنید.

شما باید خانواده دستگاه را مشخص کنید، خروجی qek file مکان، و عبارت عبور زمانی که از شما خواسته شد.
برای تولید کلید ریشه AES با استفاده از داده های تصادفی برای کلید پایه و مقادیر پیش فرض برای تعداد کلیدهای میانی و حداکثر استفاده از کلید، دستور زیر را اجرا کنید.
برای استفاده از پیاده سازی مرجع، یک فراخوانی را به مفسر پایتون موجود در نرم افزار Intel Quartus Prime جایگزین کرده و گزینه –family=agilex را حذف می کنید. همه گزینه های دیگر معادل هستند. برای مثالample، دستور quartus_encrypt که بعداً در بخش یافت می شود

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

را می توان به فراخوانی معادل پیاده سازی مرجع به شرح زیر تبدیل کرد pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. تنظیمات رمزگذاری Quartus
برای فعال کردن رمزگذاری جریان بیت برای یک طرح، باید با استفاده از پنل امنیتی Assignments Device Device and Pin Options گزینه های مناسب را مشخص کنید. شما کادر انتخاب Enable configuration bitstream encryption و محل ذخیره کلید رمزگذاری مورد نظر را از منوی کشویی انتخاب کنید.

ISO 9001:2015 ثبت شده است

شکل 3. تنظیمات رمزگذاری Intel Quartus Prime

3. AES Bitstream Encryption 683823 | 2023.05.23

همچنین، می‌توانید عبارت تخصیص زیر را به تنظیمات Intel Quartus Prime خود اضافه کنید file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM در set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
اگر می‌خواهید کاهش‌های اضافی را در برابر بردارهای حمله کانال جانبی فعال کنید، می‌توانید کادر بازشوی نسبت به‌روزرسانی رمزگذاری و چک باکس فعال کردن درهم‌کاری را فعال کنید.

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 20

ارسال بازخورد

3. AES Bitstream Encryption 683823 | 2023.05.23

تغییرات مربوطه در .qsf عبارتند از:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING در set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. رمزگذاری یک بیت استریم پیکربندی
قبل از امضای بیت استریم، یک بیت استریم پیکربندی را رمزگذاری می کنید. برنامه نویسی Intel Quartus Prime File ابزار مولد می تواند به طور خودکار یک جریان بیت پیکربندی را با استفاده از رابط کاربری گرافیکی یا خط فرمان رمزگذاری و امضا کند.
می‌توانید به‌صورت اختیاری یک جریان بیت رمزگذاری‌شده جزئی برای استفاده با ابزارهای quartus_encrypt و quartus_sign یا معادل‌های پیاده‌سازی مرجع ایجاد کنید.

3.3.1. پیکربندی رمزگذاری جریان بیت با استفاده از برنامه نویسی File رابط گرافیکی ژنراتور
می توانید از برنامه نویسی استفاده کنید File ژنراتور برای رمزگذاری و امضای تصویر مالک.

شکل 4.

1. در Intel Quartus Prime File منو برنامه نویسی را انتخاب کنید File ژنراتور. 2. در خروجی Fileتب s، خروجی را مشخص کنید file برای پیکربندی خود تایپ کنید
طرح
خروجی File مشخصات

خروجی طرح پیکربندی file برگه
خروجی file نوع

3. در ورودی Fileتب s، روی Add Bitstream کلیک کنید و به .sof خود مرور کنید. 4. برای تعیین گزینه های رمزگذاری و احراز هویت، .sof را انتخاب کرده و کلیک کنید
خواص. آ. فعال کردن ابزار امضا را روشن کنید. ب برای کلید خصوصی file کلید امضای خصوصی .pem خود را انتخاب کنید file. ج رمزگذاری نهایی را روشن کنید.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 21

3. AES Bitstream Encryption 683823 | 2023.05.23

شکل 5.

د برای کلید رمزگذاری file، AES .qek خود را انتخاب کنید file. ورودی (.sof) File ویژگی های احراز هویت و رمزگذاری

فعال کردن احراز هویت ریشه خصوصی .pem را مشخص کنید
فعال کردن رمزگذاری کلید رمزگذاری را مشخص کنید
5. برای تولید بیت استریم امضا شده و رمزگذاری شده، در ورودی Fileتب s، روی Generate کلیک کنید. جعبه‌های محاوره‌ای رمز عبور برای شما ظاهر می‌شود تا عبارت عبور خود را برای کلید AES .qek خود وارد کنید file و امضای کلید خصوصی .pem file. برنامه نویسی file ژنراتور خروجی رمزگذاری شده و امضا شده را ایجاد می کند_filerbf.
3.3.2. پیکربندی رمزگذاری جریان بیت با استفاده از برنامه نویسی File رابط خط فرمان ژنراتور
با رابط خط فرمان quartus_pfg یک بیت استریم پیکربندی رمزگذاری شده و امضا شده در قالب rbf.
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
شما می توانید یک جریان بیت پیکربندی رمزگذاری شده و امضا شده در قالب .rbf را به جریان بیت پیکربندی دیگر تبدیل کنید. file فرمت ها
3.3.3. پیکربندی نیمه رمزگذاری شده تولید جریان بیت با استفاده از رابط خط فرمان
شما ممکن است یک برنامه نویسی تا حدی رمزگذاری شده ایجاد کنید file برای نهایی کردن رمزگذاری و امضای تصویر بعداً. برنامه نویسی نیمه رمزگذاری شده را ایجاد کنید file در قالب rbf. با رابط خط فرمان thequartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 22

ارسال بازخورد

3. AES Bitstream Encryption 683823 | 2023.05.23
شما از ابزار خط فرمان quartus_encrypt برای نهایی کردن رمزگذاری جریان بیت استفاده می‌کنید:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
شما از ابزار خط فرمان quartus_sign برای امضای جریان بیت پیکربندی رمزگذاری شده استفاده می کنید:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –key= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. پیکربندی مجدد جزئی رمزگذاری جریان بیت
می‌توانید رمزگذاری جریان بیت را در برخی از طرح‌های FPGA Intel Agilex 7 که از پیکربندی مجدد جزئی استفاده می‌کنند، فعال کنید.
طرح‌های پیکربندی مجدد جزئی که از پیکربندی مجدد جزئی سلسله مراتبی (HPR) یا پیکربندی مجدد جزئی به‌روزرسانی استاتیک (SUPR) استفاده می‌کنند، از رمزگذاری جریان بیت پشتیبانی نمی‌کنند. اگر طرح شما شامل چندین منطقه روابط عمومی است، باید همه پرسوناها را رمزگذاری کنید.
برای فعال کردن رمزگذاری جریان بیتی پیکربندی مجدد جزئی، رویه یکسانی را در تمام ویرایش‌های طراحی دنبال کنید. 1. در Intel Quartus Prime File منو، Assignments Device Device را انتخاب کنید
و Pin Options Security. 2. محل ذخیره کلید رمزگذاری مورد نظر را انتخاب کنید.
شکل 6. پیکربندی مجدد جزئی تنظیمات رمزگذاری جریان بیت

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 23

3. AES Bitstream Encryption 683823 | 2023.05.23
همچنین، می‌توانید عبارت انتساب زیر را در تنظیمات Quartus Prime اضافه کنید file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION در
پس از کامپایل طرح پایه و ویرایش‌های خود، نرم‌افزار a.sof را تولید می‌کندfile و یک یا چند.pmsffiles، به نمایندگی از شخصیت ها. 3. برنامه نویسی رمزگذاری شده و امضا شده ایجاد کنید files from.sof و.pmsf fileبه روشی مشابه طرح هایی است که هیچ پیکربندی مجدد جزئی فعال نشده است. 4. Persona.pmsf کامپایل شده را تبدیل کنید file به قسمتی رمزگذاری شده.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=روشن encryption_enabled_persona1.pmsf persona1.rbf
5. رمزگذاری بیت استریم را با استفاده از ابزار خط فرمان quartus_encrypt نهایی کنید:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. بیت استریم پیکربندی رمزگذاری شده را با استفاده از ابزار خط فرمان quartus_sign امضا کنید:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 24

ارسال بازخورد

683823 | 2023.05.23 ارسال بازخورد

تامین دستگاه

تامین اولیه ویژگی های امنیتی فقط در میان افزار SDM Provision پشتیبانی می شود. از برنامه نویس Intel Quartus Prime برای بارگیری سیستم عامل SDM و انجام عملیات تامین استفاده کنید.
می توانید از هر نوع J استفاده کنیدTAG دانلود کابل برای اتصال برنامه نویس Quartus به دستگاه Intel Agilex 7 برای انجام عملیات تامین.
4.1. با استفاده از نرم افزار SDM Provision
برنامه‌نویس Intel Quartus Prime به‌طور خودکار یک تصویر کمکی پیش‌فرض کارخانه را ایجاد و بارگذاری می‌کند که عملیات مقداردهی اولیه و دستوری برای برنامه‌ریزی چیزی غیر از جریان بیت پیکربندی را انتخاب کنید.
بسته به دستور برنامه نویسی مشخص شده، تصویر کمکی پیش فرض کارخانه یکی از دو نوع است:
· تصویر کمکی تهیه - شامل یک بخش بیت استریم حاوی سیستم عامل تأمین کننده SDM است.
· تصویر کمکی QSPI - از دو بخش بیت استریم تشکیل شده است، یکی شامل سیستم عامل اصلی SDM و یک بخش ورودی/خروجی.
می توانید یک تصویر کمکی پیش فرض کارخانه ایجاد کنید file برای بارگذاری در دستگاه خود قبل از اجرای هر دستور برنامه نویسی. پس از برنامه نویسی هش کلید ریشه احراز هویت، باید یک تصویر کمکی پیش فرض کارخانه QSPI را به دلیل بخش ورودی/خروجی موجود ایجاد و امضا کنید. اگر تنظیمات امنیتی میان‌افزار مشترک امضا شده eFuse را نیز برنامه‌ریزی کنید، باید تصاویر کمکی پیش‌فرض کارخانه QSPI و تدارکات را با میان‌افزار مشترک امضا کنید. می‌توانید از یک تصویر کمکی پیش‌فرض کارخانه امضا شده در دستگاهی استفاده‌نشده استفاده کنید، زیرا دستگاه ارائه‌نشده زنجیره‌های امضای غیراینتل را روی سیستم‌افزار SDM نادیده می‌گیرد. برای جزئیات بیشتر در مورد ایجاد، امضا و استفاده از تصویر راهنمای پیش‌فرض کارخانه QSPI به استفاده از تصویر راهنمای پیش‌فرض کارخانه QSPI در دستگاه‌های متعلق به صفحه 26 مراجعه کنید.
تصویر کمکی پیش‌فرض کارخانه تهیه‌کننده، یک عمل تدارکاتی را انجام می‌دهد، مانند برنامه‌نویسی هش کلید اصلی احراز هویت، فیوزهای تنظیمات امنیتی، ثبت‌نام PUF یا تهیه کلید سیاه. شما از برنامه نویسی Intel Quartus Prime استفاده می کنید File ابزار خط فرمان Generator برای ایجاد تصویر کمکی تامین، با مشخص کردن گزینه helper_image، نام helper_device شما، نوع فرعی تصویر helper provision، و در صورت تمایل یک سیستم عامل مشترک امضا شده .zip. file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
تصویر کمکی را با استفاده از ابزار Intel Quartus Prime Programmer برنامه ریزی کنید:
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" –force

ISO 9001:2015 ثبت شده است

4. Device Provisioning 683823 | 2023.05.23

توجه:

شما می توانید عملیات مقداردهی اولیه را از دستورات حذف کنیدampموارد ارائه شده در این فصل، پس از برنامه نویسی یک تصویر کمکی یا استفاده از دستوری که حاوی عملیات مقداردهی اولیه است.

4.2. استفاده از تصویر راهنمای پیش‌فرض کارخانه QSPI در دستگاه‌های تحت مالکیت
برنامه نویس Intel Quartus Prime به طور خودکار یک تصویر کمکی پیش فرض کارخانه QSPI را هنگام انتخاب عملیات اولیه برای برنامه نویسی فلش QSPI ایجاد و بارگذاری می کند. file. پس از برنامه نویسی هش کلید ریشه احراز هویت، باید تصویر راهنما پیش فرض کارخانه QSPI را ایجاد و امضا کنید، و قبل از برنامه ریزی فلش QSPI، تصویر راهنمای امضا شده کارخانه QSPI را جداگانه برنامه ریزی کنید. 1. شما از برنامه نویسی Intel Quartus Prime استفاده می کنید File ابزار خط فرمان ژنراتور به
تصویر کمکی QSPI را ایجاد کنید، گزینه helper_image، نوع helper_device خود، زیرنوع تصویر کمکی QSPI، و به صورت اختیاری یک سیستم عامل مشترک .zip را مشخص کنید. file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. تصویر راهنمای پیش‌فرض کارخانه QSPI را امضا می‌کنید:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. می توانید از هر برنامه نویسی فلش QSPI استفاده کنید file قالب سابق زیرamples از یک بیت استریم پیکربندی تبدیل شده به .jic استفاده می کند file قالب:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. تصویر کمکی امضا شده را با استفاده از ابزار Intel Quartus Prime Programmer برنامه ریزی می کنید:
quartus_pgm -c 1 -mjtag -o "p;signed_qspi_helper_image.rbf" –force
5. با استفاده از ابزار Intel Quartus Prime Programmer، تصویر .jic را برنامه ریزی می کنید تا فلش شود:
quartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. تهیه کلید ریشه احراز هویت
برای برنامه‌ریزی هش‌های کلید ریشه مالک بر روی فیوزهای فیزیکی، ابتدا باید سیستم عامل ارائه را بارگیری کنید، سپس هش‌های کلید ریشه مالک را برنامه‌ریزی کنید و سپس بلافاصله یک بازنشانی روشن و خاموش انجام دهید. اگر کلید اصلی برنامه‌نویسی به فیوزهای مجازی هش شود، نیازی به بازنشانی روشن نیست.

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 26

ارسال بازخورد

4. Device Provisioning 683823 | 2023.05.23
برای برنامه‌ریزی هش‌های کلید ریشه احراز هویت، تصویر کمکی میان‌افزار ارائه را برنامه‌ریزی کرده و یکی از دستورات زیر را برای برنامه‌ریزی کلید ریشه .qky اجرا کنید. files.
// برای فیوزهای فیزیکی (غیر فرار) quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky" –non_volatile_key
// برای eFuses مجازی (فرار) quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. پیکربندی مجدد جزئی برنامه نویسی کلید ریشه چند مرجع
پس از تهیه کلیدهای ریشه مالک جریان بیتی دستگاه یا منطقه ایستا، دوباره تصویر کمکی ارائه دستگاه را بارگیری می کنید، گواهی فشرده مجوز برنامه کلید عمومی امضا شده را برنامه ریزی می کنید و سپس کلید ریشه مالک بیت جریان بیت شخصی PR را ارائه می کنید.
// برای فیوزهای فیزیکی (غیر فرار) quartus_pgm -c 1 -mjtag -o "p;root_pr.qky" –pr_pubkey –non_volatile_key
// برای eFuses مجازی (فرار) quartus_pgm -c 1 -mjtag -o "p;p;root_pr.qky" -pr_pubkey
4.4. فیوزهای شناسه لغو کلید برنامه نویسی
با شروع نرم افزار Intel Quartus Prime Pro Edition نسخه 21.1، برنامه نویسی فیوزهای ID لغو کلید اینتل و مالک نیاز به استفاده از گواهی فشرده امضا شده دارد. می توانید گواهی جمع و جور شناسه لغو کلید را با یک زنجیره امضا که دارای مجوزهای امضای بخش FPGA است، امضا کنید. شما گواهی فشرده را با برنامه نویسی ایجاد می کنید file ابزار خط فرمان ژنراتور شما گواهی بدون امضا را با استفاده از ابزار quartus_sign یا پیاده سازی مرجع امضا می کنید.
دستگاه های Intel Agilex 7 از بانک های جداگانه شناسه های لغو کلید مالک برای هر کلید اصلی پشتیبانی می کنند. وقتی یک گواهی فشرده شناسه لغو کلید مالک در یک FPGA Intel Agilex 7 برنامه‌ریزی می‌شود، SDM تعیین می‌کند که کدام کلید ریشه گواهی فشرده را امضا کرده و فیوز ID لغو کلید مربوط به آن کلید اصلی را منفجر می‌کند.
سابق زیرampیک گواهی لغو کلید Intel برای ID 7 اینتل ایجاد کنید. می توانید شماره 7 را با شناسه لغو کلید اینتل از 0-31 جایگزین کنید.
دستور زیر را برای ایجاد یک گواهی جمع و جور ID لغو کلید اینتل بدون امضا اجرا کنید:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
یکی از دستورات زیر را برای امضای گواهی جمع و جور شناسه لغو کلید اینتل امضا نشده اجرا کنید:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 27

4. Device Provisioning 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
برای ایجاد گواهینامه فشرده شناسه لغو کلید مالک بدون امضا، دستور زیر را اجرا کنید:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
یکی از دستورات زیر را برای امضای گواهینامه فشرده شناسه لغو کلید مالک بدون امضا اجرا کنید:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –key= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
پس از ایجاد گواهینامه فشرده شناسه لغو کلید امضا شده، از برنامه نویس Intel Quartus Prime برای برنامه ریزی گواهی فشرده به دستگاه از طریق J استفاده می کنید.TAG.
//برای eFuses فیزیکی (غیر فرار) quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" –non_volatile_key quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert" -non_volatile_key
//برای eFuses مجازی (فرار) quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert"
همچنین می توانید گواهی فشرده را با استفاده از رابط صندوق پستی FPGA یا HPS به SDM ارسال کنید.
4.5. لغو کلیدهای ریشه
دستگاه‌های Intel Agilex 7 به شما امکان می‌دهند هش‌های کلید ریشه را زمانی که هش کلید اصلی لغو نشده دیگری وجود دارد، لغو کنید. ابتدا هش کلید ریشه را با پیکربندی دستگاه با طرحی که زنجیره امضای آن در هش کلید ریشه دیگری ریشه دارد، لغو کنید، سپس یک گواهی فشرده لغو هش کلید ریشه امضا شده را برنامه ریزی کنید. شما باید گواهی فشرده لغو هش کلید ریشه را با یک زنجیره امضا که ریشه در کلید اصلی دارد امضا کنید تا لغو شود.
دستور زیر را برای ایجاد یک گواهی فشرده لغو هش کلید ریشه بدون امضاء اجرا کنید:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 28

ارسال بازخورد

4. Device Provisioning 683823 | 2023.05.23

یکی از دستورات زیر را برای امضای گواهی فشرده لغو هش کلید ریشه بدون امضا اجرا کنید:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –key= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
می توانید یک گواهی فشرده لغو هش کلید ریشه را از طریق J برنامه ریزی کنیدTAG، صندوق پستی FPGA یا HPS.

4.6. فیوزهای شمارنده برنامه نویسی
شماره نسخه امنیتی (SVN) و Pseudo Time St را به روز می کنیدamp فیوزهای شمارنده (PTS) با استفاده از گواهینامه های فشرده امضا شده.

توجه:

SDM حداقل مقدار شمارنده را که در طول یک پیکربندی مشخص دیده می‌شود ردیابی می‌کند و زمانی که مقدار شمارنده کوچکتر از مقدار حداقل باشد، گواهی‌های افزایش شمارنده را نمی‌پذیرد. شما باید تمام اشیاء اختصاص داده شده به یک شمارنده را به روز کنید و دستگاه را قبل از برنامه ریزی گواهی فشرده افزایش شمارنده مجدداً پیکربندی کنید.

یکی از دستورات زیر را اجرا کنید که مربوط به گواهی افزایش شمارنده است که می خواهید ایجاد کنید.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

مقدار شمارنده 1 یک گواهی مجوز افزایش شمارنده ایجاد می کند. برنامه نویسی یک گواهی فشرده مجوز افزایش شمارنده به شما امکان می دهد تا گواهی های افزایش شمارنده بدون امضای بیشتری را برای به روز رسانی شمارنده مربوطه برنامه ریزی کنید. شما از ابزار quartus_sign برای امضای گواهی های فشرده شمارنده به روشی مشابه گواهینامه های فشرده شناسه لغو کلید استفاده می کنید.
می توانید یک گواهی فشرده لغو هش کلید ریشه را از طریق J برنامه ریزی کنیدTAG، صندوق پستی FPGA یا HPS.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 29

4. Device Provisioning 683823 | 2023.05.23

4.7. تامین کلید ریشه ای سرویس شی داده ایمن
شما از برنامه نویس Intel Quartus Prime برای ارائه کلید اصلی Secure Data Object Service (SDOS) استفاده می کنید. برنامه نویس به طور خودکار تصویر راهنما سیستم عامل ارائه را برای ارائه کلید ریشه SDOS بارگیری می کند.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

4.8. تامین فیوز تنظیمات امنیتی
از برنامه نویس Intel Quartus Prime برای بررسی فیوزهای تنظیمات امنیتی دستگاه و نوشتن آنها در فیوز متنی استفاده کنید. file به شرح زیر:
quartus_pgm -c 1 -mjtag -o “ei;برنامه نویسی_fileفیوز;AGFB014R24B"

گزینه ها · i: برنامه نویس تصویر راهنما سیستم عامل ارائه را در دستگاه بارگیری می کند. · e: برنامه نویس فیوز را از دستگاه می خواند و آن را در یک فیوز ذخیره می کند file.

فیوز file حاوی لیستی از جفت های نام-مقدار فیوز است. مقدار مشخص می کند که آیا فیوز سوخته شده است یا محتویات فیلد فیوز.

سابق زیرample فرمت فیوز . را نشان می دهد file:

# سیستم عامل امضا شده مشترک

= "دمیده نشده"

# Device Permit Kill

= "دمیده نشده"

# دستگاه ایمن نیست

= "دمیده نشده"

# اشکال زدایی HPS را غیرفعال کنید

= "دمیده نشده"

# غیرفعال کردن ثبت نام PUF شناسه ذاتی

= "دمیده نشده"

# J را غیرفعال کنیدTAG

= "دمیده نشده"

# کلید رمزگذاری بسته بندی شده با PUF را غیرفعال کنید

= "دمیده نشده"

# غیرفعال کردن کلید رمزگذاری مالک در BBRAM = "بروز نشده"

# غیرفعال کردن کلید رمزگذاری مالک در eFuses = "نادمیده"

# هش 0 کلید عمومی ریشه مالک را غیرفعال کنید

= "دمیده نشده"

# هش 1 کلید عمومی ریشه مالک را غیرفعال کنید

= "دمیده نشده"

# هش 2 کلید عمومی ریشه مالک را غیرفعال کنید

= "دمیده نشده"

# eFuse های مجازی را غیرفعال کنید

= "دمیده نشده"

# وادار کردن ساعت SDM به نوسانگر داخلی = "دمیده نشده است"

# به روز رسانی کلید رمزگذاری اجباری

= "دمیده نشده"

# لغو کلید صریح اینتل

= "0"

# فیوزهای امنیتی را قفل کنید

= "دمیده نشده"

# برنامه کلید رمزگذاری مالک انجام شد

= "دمیده نشده"

# برنامه کلید رمزگذاری مالک شروع می شود

= "دمیده نشده"

# لغو کلید صریح مالک 0

= ""

# لغو کلید صریح مالک 1

= ""

# لغو کلید صریح مالک 2

= ""

# فیوزهای مالک

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# هش کلید عمومی ریشه مالک 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# هش کلید عمومی ریشه مالک 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# هش کلید عمومی ریشه مالک 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# اندازه کلید عمومی ریشه مالک

= "هیچ"

# شمارنده PTS

= "0"

# پایه شمارنده PTS

= "0"

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 30

ارسال بازخورد

4. Device Provisioning 683823 | 2023.05.23

# تاخیر راه اندازی QSPI # شمارنده RMA # SDMIO0 I2C است # شمارنده SVN A # شمارنده SVN B # شمارنده SVN C # شمارنده SVN D

= "10ms" = "0" = "دمیده نشده" = "0" = "0" = "0" = "0"

فیوز را اصلاح کنید file برای تنظیم فیوزهای تنظیمات امنیتی مورد نظر خود. خطی که با # شروع می شود به عنوان یک خط نظر در نظر گرفته می شود. برای برنامه ریزی فیوز تنظیمات امنیتی، # پیشرو را بردارید و مقدار را روی Blown قرار دهید. برای مثالample، برای فعال کردن فیوز تنظیمات امنیتی Firmware Co-signed، خط اول فیوز را تغییر دهید. file به موارد زیر:
سیستم عامل مشترک = "Blown"

همچنین می توانید فیوزهای مالک را بر اساس نیاز خود اختصاص دهید و برنامه ریزی کنید.
می توانید از دستور زیر برای انجام یک بررسی خالی، برنامه ریزی و تأیید کلید عمومی ریشه مالک استفاده کنید:
quartus_pgm -c 1 -mjtag -o "ibpv;root0.qky"

گزینه ها · i: تصویر راهنما سیستم عامل ارائه را در دستگاه بارگیری می کند. · b: برای بررسی عدم وجود فیوزهای تنظیمات امنیتی مورد نظر، یک بررسی خالی انجام می دهد
قبلا دمیده شده است · p: فیوز را برنامه ریزی می کند. · v: کلید برنامه ریزی شده روی دستگاه را تأیید می کند.
بعد از برنامه نویسی qky file، می توانید اطلاعات فیوز را با بررسی مجدد اطلاعات فیوز بررسی کنید تا مطمئن شوید که هم هش کلید عمومی مالک و هم اندازه کلید عمومی مالک دارای مقادیر غیر صفر هستند.
در حالی که فیلدهای زیر از طریق فیوز قابل نوشتن نیستند file روش، آنها در طول خروجی عملیات بررسی برای تأیید گنجانده می شوند: · دستگاه ایمن نیست · مجوز کشتن دستگاه · غیرفعال کردن هش کلید عمومی ریشه مالک 0 · غیرفعال کردن هش کلید عمومی ریشه مالک 1 · غیرفعال کردن هش کلید عمومی ریشه مالک 2 · لغو کلید اینتل · شروع برنامه کلید رمزگذاری مالک · برنامه کلید رمزگذاری مالک انجام شد · لغو کلید مالک · هش کلید عمومی مالک · اندازه کلید عمومی مالک · هش کلید عمومی ریشه مالک 0 · هش کلید عمومی ریشه مالک 1 · هش کلید عمومی ریشه مالک 2

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 31

4. Device Provisioning 683823 | 2023.05.23
· شمارنده PTS · پایه شمارنده PTS · تأخیر راه اندازی QSPI · شمارنده RMA · SDMIO0 I2C است · شمارنده SVN A · شمارنده SVN B · شمارنده SVN C · شمارنده SVN D
از برنامه نویس Intel Quartus Prime برای برنامه ریزی فیوز استفاده کنید file بازگشت به دستگاه اگر گزینه i را اضافه کنید، برنامه نویس به طور خودکار سیستم عامل ارائه را برای برنامه ریزی فیوزهای تنظیمات امنیتی بارگیری می کند.
//برای eFuses فیزیکی (غیر فرار) quartus_pgm -c 1 -mjtag -o “pi;برنامه نویسی_fileفیوز" –non_volatile_key
//برای eFuses مجازی (فرار) quartus_pgm -c 1 -mjtag -o “pi;برنامه نویسی_fileفیوز
می‌توانید از دستور زیر برای بررسی اینکه آیا هش کلید اصلی دستگاه مانند qky. ارائه شده در فرمان است استفاده کنید:
quartus_pgm -c 1 -mjtag -o "v;root0_another.qky"
اگر کلیدها مطابقت نداشته باشند، برنامه نویس با یک پیام خطای عملیات شکست خورده از کار می افتد.
4.9. تامین کلید ریشه AES
برای برنامه‌ریزی کلید ریشه AES به دستگاه Intel Agilex 7 باید از یک گواهی فشرده کلید ریشه AES امضا شده استفاده کنید.
4.9.1. گواهی فشرده AES Root Key
شما از ابزار خط فرمان quartus_pfg برای تبدیل کلید ریشه AES .qek خود استفاده می کنید file به فرمت گواهی فشرده .cert. هنگام ایجاد گواهی فشرده، محل ذخیره کلید را مشخص می کنید. می توانید از ابزار quartus_pfg برای ایجاد یک گواهی بدون امضا برای امضای بعدی استفاده کنید. برای امضای موفقیت آمیز گواهی فشرده کلید ریشه AES باید از یک زنجیره امضا با مجوز امضای گواهینامه کلید ریشه AES، بیت مجوز 6، فعال استفاده کنید.

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 32

ارسال بازخورد

4. Device Provisioning 683823 | 2023.05.23
1. یک جفت کلید اضافی برای امضای گواهی فشرده کلید AES با استفاده از یکی از دستورات زیر ایجاد کنیدampموارد:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
Quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen مکانیزم ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. با استفاده از یکی از دستورات زیر یک زنجیره امضا با مجموعه بیت مجوز درست ایجاد کنید:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chainq.
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmv2.so”name –= root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. یک گواهی فشرده AES بدون امضا برای محل ذخیره کلید اصلی AES ایجاد کنید. گزینه های ذخیره سازی کلید ریشه AES زیر در دسترس هستند:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//ایجاد eFuse کلید ریشه AES گواهی بدون امضا quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. گواهی فشرده را با دستور quartus_sign یا پیاده سازی مرجع امضا کنید.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1. گواهی امضا شده_ 1. cert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 33

4. Device Provisioning 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1. گواهی امضا شده_ 1. cert
5. از برنامه نویس Intel Quartus Prime برای برنامه ریزی گواهی فشرده کلید ریشه AES به دستگاه Intel Agilex 7 از طریق J استفاده کنید.TAG. برنامه‌نویس Intel Quartus Prime هنگام استفاده از نوع گواهی فشرده EFUSE_WRAPPED_AES_KEY، به طور پیش‌فرض eFuseهای مجازی را برنامه‌ریزی می‌کند.
شما گزینه –non_volatile_key را برای تعیین فیوزهای فیزیکی برنامه نویسی اضافه می کنید.
//برای کلید فیزیکی (غیر فرار) eFuse AES root quartus_pgm -c 1 -mjtag -o "pi;signed_efuse1.ccert" -non_volatile_key

//برای eFuse مجازی (فرار) کلید ریشه AES quartus_pgm -c 1 -mjtag -o "pi;signed_efuse1.ccert"

//برای کلید ریشه BBRAM AES quartus_pgm -c 1 -mjtag -o "pi;signed_bbram1.ccert"

سیستم عامل SDM و سیستم عامل اصلی از برنامه نویسی گواهینامه کلید ریشه AES پشتیبانی می کنند. همچنین می‌توانید از رابط صندوق پستی SDM از فابریک FPGA یا HPS برای برنامه‌ریزی گواهی کلید اصلی AES استفاده کنید.

توجه:

دستور quartus_pgm از گزینه های b و v برای گواهی های فشرده (.ccert) پشتیبانی نمی کند.

4.9.2. Intrinsic ID® PUF AES Root Key Provisioning
اجرای کلید AES با PUF شناسه داخلی شامل مراحل زیر است: 1. ثبت شناسه داخلی PUF از طریق JTAG. 2. بسته بندی کلید ریشه AES. 3. برنامه نویسی داده های کمکی و کلید پیچیده شده در حافظه فلش چهار SPI. 4. پرس و جو از وضعیت فعال سازی PUF شناسه ذاتی.
استفاده از فناوری شناسه داخلی نیاز به قرارداد مجوز جداگانه با شناسه داخلی دارد. نرم افزار Intel Quartus Prime Pro Edition عملیات PUF را بدون مجوز مناسب، مانند ثبت نام، بسته بندی کلید، و برنامه نویسی داده PUF به فلش QSPI محدود می کند.

4.9.2.1. شناسه ذاتی ثبت نام PUF
برای ثبت نام PUF، باید از سیستم عامل ارائه SDM استفاده کنید. سفت‌افزار تدارکاتی باید اولین سیستم‌افزاری باشد که پس از یک چرخه برق بارگیری می‌شود، و شما باید قبل از هر دستور دیگری دستور ثبت PUF را صادر کنید. سفت‌افزار ارائه‌شده از دستورات دیگر پس از ثبت‌نام PUF، از جمله بسته‌بندی کلید ریشه AES و برنامه‌نویسی quad SPI، پشتیبانی می‌کند، با این حال، باید دستگاه را برای بارگذاری یک بیت‌استریم پیکربندی روشن کنید.
شما از برنامه نویس Intel Quartus Prime برای شروع ثبت نام PUF و تولید داده های کمکی PUF .puf استفاده می کنید. file.

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 34

ارسال بازخورد

4. Device Provisioning 683823 | 2023.05.23

شکل 7.

شناسه ذاتی ثبت نام PUF
quartus_pgm ثبت نام PUF

ثبت نام داده های کمکی PUF

مدیر دستگاه ایمن (SDM)

اطلاعات کمکی wrapper.puf
برنامه نویس به طور خودکار یک تصویر راهنما سیستم عامل ارائه را بارگذاری می کند زمانی که هم عملیات i و هم یک آرگومان puf. را مشخص می کنید.
quartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
اگر از سیستم عامل مشترک امضا شده استفاده می کنید، قبل از استفاده از دستور ثبت نام PUF، تصویر کمکی میان افزار امضا شده را برنامه ریزی کنید.
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" –force quartus_pgm -c 1 -mjtag -o "e;help_data.puf;AGFB014R24A"
UDS IID PUF در طول ساخت دستگاه ثبت شده است و برای ثبت نام مجدد در دسترس نیست. در عوض، از برنامه نویس برای تعیین مکان داده های کمکی UDS PUF در IPCS استفاده می کنید، puf. را دانلود کنید. file مستقیماً و سپس از UDS .puf استفاده کنید file به همان روشی که .puf file استخراج شده از دستگاه Intel Agilex 7.
برای تولید متن از دستور Programmer زیر استفاده کنید file حاوی لیستی از URLبه دستگاه خاص اشاره می کند files در IPCS:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. پیچیدن کلید ریشه AES
شما کلید اصلی AES .wkey با IID PUF را تولید می کنید file با ارسال یک گواهی امضا شده به SDM.
می‌توانید از برنامه‌نویس Intel Quartus Prime برای تولید، امضا و ارسال گواهی به‌طور خودکار برای بسته‌بندی کلید ریشه AES خود استفاده کنید، یا می‌توانید از برنامه‌نویسی Intel Quartus Prime استفاده کنید. File ژنراتور برای تولید گواهی بدون امضا. شما گواهی بدون امضا را با استفاده از ابزار خود یا ابزار امضای Quartus امضا می کنید. سپس از برنامه نویس برای ارسال گواهی امضا شده و بسته بندی کلید ریشه AES خود استفاده می کنید. گواهی امضا شده ممکن است برای برنامه‌ریزی همه دستگاه‌هایی که می‌توانند زنجیره امضا را تأیید کنند استفاده شود.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 35

4. Device Provisioning 683823 | 2023.05.23

شکل 8.

پیچیدن کلید AES با استفاده از برنامه نویس Intel Quartus Prime
.pem خصوصی
کلید

qky

quartus_pgm

کلید AES را بپیچید

کلید AES.QSKigYnature RootCPhuabilnic

کلید پیچیده شده PUF را ایجاد کنید

کلید AES پیچیده شده

SDM

.qek رمزگذاری
کلید

wkey PUF-Wrapped
کلید AES

1. می‌توانید با استفاده از آرگومان‌های زیر، کلید اصلی AES (wkey.) با PUF پیچیده شده را با برنامه‌نویس ایجاد کنید:
· qky file حاوی یک زنجیره امضا با مجوز گواهی کلید ریشه AES
· خصوصی .pem file برای آخرین کلید در زنجیره امضا
· قک file نگه داشتن کلید ریشه AES
· بردار اولیه سازی 16 بایتی (IV).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o "ei;aes.wkey;AGFB014R24A"

2. از طرف دیگر، می‌توانید با برنامه‌نویسی، یک گواهینامه کلید اصلی AES با بسته‌بندی IID PUF بدون امضا ایجاد کنید. File مولد با استفاده از آرگومان های زیر:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. شما گواهی بدون امضا را با ابزار امضای خود یا ابزار quartus_sign با استفاده از دستور زیر امضا می‌کنید:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. سپس از برنامه نویس برای ارسال گواهینامه امضا شده AES و بازگرداندن کلید پیچیده شده (wkey.) استفاده می کنید. file:

quarts_pgm -c 1 -mjtag – گواهی_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

توجه: اگر قبلاً تصویر راهنما سیستم عامل ارائه را بارگذاری کرده باشید، برای مثال، عملیات i ضروری نیستampبرای ثبت نام PUF.

4.9.2.3. داده های راهنمای برنامه نویسی و کلید پیچیده به حافظه فلش QSPI
شما از برنامه نویسی Quartus استفاده می کنید File رابط گرافیکی ژنراتور برای ساخت یک تصویر فلش QSPI اولیه حاوی یک پارتیشن PUF. برای افزودن یک پارتیشن PUF به فلاش QSPI باید یک تصویر برنامه نویسی فلش کامل تولید و برنامه ریزی کنید. ایجاد PUF

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 36

ارسال بازخورد

4. Device Provisioning 683823 | 2023.05.23

شکل 9.

پارتیشن داده و استفاده از داده های کمکی PUF و کلید بسته بندی شده files برای تولید تصویر فلش از طریق برنامه نویسی پشتیبانی نمی شود File رابط خط فرمان ژنراتور.
مراحل زیر ساخت یک تصویر برنامه نویسی فلش را با داده های کمکی PUF و کلید پیچیده نشان می دهد:
1. در File منو، روی برنامه نویسی کلیک کنید File ژنراتور. روی خروجی Fileبرگه s انتخاب های زیر را انجام دهید:
آ. برای Device Family Agilex 7 را انتخاب کنید.
ب برای حالت پیکربندی Active Serial x4 را انتخاب کنید.
ج. برای دایرکتوری خروجی به خروجی خود مراجعه کنید file فهرست راهنما. این سابقample از خروجی_ استفاده می کندfiles.
د برای Name یک نام برای برنامه نویسی مشخص کنید file تولید شود. این سابقample از خروجی_ استفاده می کندfile.
ه. در قسمت Description برنامه نویسی را انتخاب کنید files برای تولید. این سابقample J را تولید می کندTAG پیکربندی غیر مستقیم File (.jic) برای پیکربندی دستگاه و Raw Binary File تصویر کمکی برنامه نویسی (rbf.) برای تصویر کمکی دستگاه. این سابقample همچنین نقشه حافظه اختیاری را انتخاب می کند File (.map) و داده های برنامه نویسی خام File (rpd). داده های برنامه نویسی خام file تنها در صورتی ضروری است که در آینده قصد استفاده از برنامه نویس شخص ثالث را دارید.
برنامه نویسی File ژنراتور - خروجی Files Tab – J را انتخاب کنیدTAG پیکربندی غیر مستقیم

حالت پیکربندی خانواده دستگاه
خروجی file برگه
دایرکتوری خروجی
JTAG نقشه حافظه غیر مستقیم (.jic). File کمک برنامه نویسی داده های خام برنامه نویسی
در ورودی Fileبرگه s، انتخاب های زیر را انجام دهید: 1. روی Add Bitstream کلیک کنید و به .sof خود مراجعه کنید. 2. .sof خود را انتخاب کنید file و سپس روی Properties کلیک کنید.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 37

4. Device Provisioning 683823 | 2023.05.23
آ. فعال کردن ابزار امضا را روشن کنید. ب برای کلید خصوصی file pem خود را انتخاب کنید file. ج رمزگذاری نهایی را روشن کنید. د برای کلید رمزگذاری file qek خود را انتخاب کنید file. ه. برای بازگشت به پنجره قبلی روی OK کلیک کنید. 3. برای تعیین داده های کمکی PUF خود file، روی افزودن داده خام کلیک کنید. تغییر دادن Fileاز نوع منوی کشویی Quartus Physical Unclonable Function File (*.puf). به .puf خود مراجعه کنید file. اگر از IID PUF و UDS IID PUF استفاده می کنید، این مرحله را تکرار کنید تا puf. files برای هر PUF به عنوان ورودی اضافه می شود fileس 4. برای تعیین کلید پیچیده AES خود file، روی افزودن داده خام کلیک کنید. تغییر دادن Fileاز نوع منوی کشویی به Quartus Wrapped Key File (*.wkey). به wkey. خود مراجعه کنید file. اگر کلیدهای AES را با استفاده از IID PUF و UDS IID PUF بسته بندی کرده اید، این مرحله را تکرار کنید تا wkey. files برای هر PUF به عنوان ورودی اضافه می شود files.
شکل 10. ورودی را مشخص کنید Files برای پیکربندی، احراز هویت و رمزگذاری

Bitstream را اضافه کنید داده های خام را اضافه کنید
خواص
کلید خصوصی file
نهایی کردن رمزگذاری کلید رمزگذاری
در تب Configuration Device، گزینه های زیر را انجام دهید: 1. روی Add Device کلیک کنید و دستگاه فلش خود را از لیست فلش های موجود انتخاب کنید.
دستگاه ها 2. دستگاه پیکربندی را که به تازگی اضافه کرده اید انتخاب کنید و روی Add Partition کلیک کنید. 3. در کادر محاوره ای Edit Partition برای ورودی file و .sof خود را از بین انتخاب کنید
لیست کشویی می توانید پیش فرض ها را حفظ کنید یا سایر پارامترها را در کادر گفتگوی Edit Partition ویرایش کنید.

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 38

ارسال بازخورد

4. Device Provisioning 683823 | 2023.05.23
شکل 11. تعیین پارتیشن بیت استریم پیکربندی .sof شما

دستگاه پیکربندی
ویرایش پارتیشن افزودن .sof file

اضافه کردن پارتیشن

4. هنگامی که .puf و .wkey را به عنوان ورودی اضافه می کنید files، برنامه نویسی File Generator به طور خودکار یک پارتیشن PUF را در Configuration Device شما ایجاد می کند. برای ذخیره puf. و wkey. در پارتیشن PUF، پارتیشن PUF را انتخاب کرده و روی Edit کلیک کنید. در کادر گفتگوی Edit Partition، puf. و wkey. خود را انتخاب کنید files از لیست های کشویی. اگر پارتیشن PUF را حذف کنید، باید دستگاه پیکربندی برنامه نویسی را حذف کرده و دوباره اضافه کنید. File ژنراتور برای ایجاد یک پارتیشن PUF دیگر. شما باید مطمئن شوید که .puf و .wkey صحیح را انتخاب کرده اید file به ترتیب برای IID PUF و UDS IID PUF.
شکل 12. puf و wkey را اضافه کنید files به پارتیشن PUF

پارتیشن PUF

ویرایش کنید

ویرایش پارتیشن

فلش لودر

Generate را انتخاب کنید

5. برای پارامتر Flash Loader خانواده دستگاه Intel Agilex 7 و نام دستگاه را انتخاب کنید که مطابق با Intel Agilex 7 OPN شما باشد.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 39

4. Device Provisioning 683823 | 2023.05.23
6. برای تولید خروجی روی Generate کلیک کنید files که در خروجی مشخص کرده اید Fileزبانه
7. برنامه نویسی File ژنراتور qek شما را می خواند file و رمز عبور خود را از شما می خواهد. در پاسخ به عبارت Enter QEK عبارت عبور خود را تایپ کنید. روی کلید Enter کلیک کنید.
8. هنگام برنامه نویسی روی OK کلیک کنید File ژنراتور تولید موفق را گزارش می دهد.
شما از برنامه نویس Intel Quartus Prime برای نوشتن تصویر برنامه نویسی QSPI در حافظه فلش QSPI استفاده می کنید. 1. در منوی Intel Quartus Prime Tools برنامه نویس را انتخاب کنید. 2. در برنامه نویس، روی Hardware Setup کلیک کنید و سپس یک Intel متصل را انتخاب کنید
کابل دانلود FPGA. 3. روی Add کلیک کنید File و به .jic خود مراجعه کنید file.
شکل 13. برنامه .jic

برنامه نویسی file

برنامه/ پیکربندی

JTAG زنجیره اسکن
4. کادر مرتبط با تصویر Helper را بردارید. 5. برای خروجی Jic. Program/Configure را انتخاب کنید file. 6. دکمه Start را برای برنامه ریزی حافظه فلش چهار SPI خود روشن کنید. 7. چرخه برق برد خود را. طراحی بر روی چهار حافظه فلش SPI برنامه ریزی شده است
دستگاه متعاقباً در FPGA مورد نظر بارگذاری می شود.
برای افزودن یک پارتیشن PUF به فلش چهارگانه SPI باید یک تصویر برنامه نویسی فلش کامل تولید و برنامه ریزی کنید.
هنگامی که یک پارتیشن PUF از قبل در فلش وجود دارد، می توان از برنامه نویس Intel Quartus Prime برای دسترسی مستقیم به داده های کمکی PUF و کلید پیچیده استفاده کرد. fileس برای مثالampاگر فعال‌سازی ناموفق باشد، می‌توان PUF را مجدداً ثبت کرد، کلید AES را مجدداً بسته بندی کرد و متعاقباً فقط PUF را برنامه‌ریزی کرد. fileبدون نیاز به بازنویسی کل فلش.

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 40

ارسال بازخورد

4. Device Provisioning 683823 | 2023.05.23
برنامه نویس Intel Quartus Prime از استدلال عملیاتی زیر برای PUF پشتیبانی می کند files در یک پارتیشن PUF از قبل موجود:
· p: برنامه
· v: تأیید کنید
· r: پاک کردن
· ب: چک سفید
شما باید همان محدودیت ها را برای ثبت نام PUF دنبال کنید، حتی اگر یک پارتیشن PUF وجود داشته باشد.
1. از آرگومان عملیات i برای بارگذاری تصویر کمکی سفت‌افزار تأمین برای اولین عملیات استفاده کنید. برای مثالampدستور زیر، PUF را مجدداً ثبت می کند، کلید ریشه AES را دوباره بسته بندی می کند، داده های کمکی PUF و کلید پیچیده را پاک می کند، سپس داده های کمکی PUF جدید و کلید اصلی AES را برنامه ریزی و تأیید می کند.
quartus_pgm -c 1 -mjtag -o "ei;new.puf;AGFB014R24A" quartus_pgm -c 1 -mjtag – گواهی_file=signed_aes.ccert -o "e;new.wkey;AGFB014R24A" quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o "r;old.wkey" quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o "p;new.wkey" quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o "v;new.wkey"
4.9.2.4. پرس و جو از وضعیت فعال سازی PUF شناسه ذاتی
پس از ثبت نام Intrinsic ID PUF، یک کلید AES بپیچید و برنامه‌ریزی فلش را ایجاد کنید files، و به روز رسانی فلش چهارگانه SPI، دستگاه خود را به چرخه می رسانید تا فعال سازی و پیکربندی PUF از جریان بیت رمزگذاری شده آغاز شود. SDM وضعیت فعال سازی PUF را همراه با وضعیت پیکربندی گزارش می کند. اگر فعال‌سازی PUF ناموفق باشد، SDM در عوض وضعیت خطای PUF را گزارش می‌کند. از دستور quartus_pgm برای استعلام وضعیت پیکربندی استفاده کنید.
1. از دستور زیر برای استعلام وضعیت فعال سازی استفاده کنید:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
اینجا s استampخروجی از یک فعال سازی موفق:
اطلاعات (21597): پاسخ دستگاه CONFIG_STATUS در حالت کاربر در حال اجرا است.
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1، INIT_DONE=1، CVP_DONE=0، SEU_ERROR=1 00000000 محل خطا 00000000 جزئیات خطا=پاسخ PUF00002000TH2SE، PUF00000500THXNUMXDE XNUMX USER_IID STATUS=PUF_ACTIVATION_SUCCESS،
RELIABILITY_DIAGNOSTIC_SCORE=5، TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS،
RELIABILITY_DIAGNOSTIC_SCORE=5، TEST_MODE=0

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 41

4. Device Provisioning 683823 | 2023.05.23

اگر فقط از IID PUF یا UDS IID PUF استفاده می‌کنید و داده‌های کمکی puf. را برنامه‌ریزی نکرده‌اید. file برای هر یک از PUF در فلاش QSPI، آن PUF فعال نمی شود و وضعیت PUF نشان می دهد که داده های کمکی PUF معتبر نیستند. سابق زیرample وضعیت PUF را زمانی نشان می دهد که داده های کمکی PUF برای هیچ یک از PUF ها برنامه ریزی نشده باشد:
پاسخ PUF_STATUS 00002000 RESPONSE_CODE=OK، LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED،
RELIABILITY_DIAGNOSTIC_SCORE=0، TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED،
RELIABILITY_DIAGNOSTIC_SCORE=0، TEST_MODE=0

4.9.2.5. محل PUF در حافظه فلش
محل PUF file برای طرح هایی که از RSU پشتیبانی می کنند و طرح هایی که از ویژگی RSU پشتیبانی نمی کنند متفاوت است.

برای طرح هایی که از RSU پشتیبانی نمی کنند، باید .puf و wkey fileهنگامی که تصاویر فلش به روز شده را ایجاد می کنید. برای طرح هایی که از RSU پشتیبانی می کنند، SDM بخش های داده PUF را در طول به روز رسانی تصویر کارخانه یا برنامه بازنویسی نمی کند.

جدول 2.

طرح بندی پارتیشن های فرعی فلش بدون پشتیبانی RSU

افست فلاش (بر حسب بایت)

اندازه (به بایت)

مطالب

توضیحات

0K 256K

256K 256K

سیستم عامل مدیریت پیکربندی سیستم عامل مدیریت پیکربندی

نرم افزاری که روی SDM اجرا می شود.

512 هزار

256 هزار

سیستم عامل مدیریت پیکربندی

768 هزار

256 هزار

سیستم عامل مدیریت پیکربندی

32 هزار

کپی داده PUF 0

ساختار داده برای ذخیره داده های کمکی PUF و کپی کلید اصلی AES با PUF 0

1M+32K

32 هزار

کپی داده PUF 1

ساختار داده برای ذخیره داده های کمکی PUF و کپی کلید اصلی AES با PUF 1

جدول 3.

طرح بندی پارتیشن های فرعی فلش با پشتیبانی RSU

افست فلاش (بر حسب بایت)

اندازه (به بایت)

مطالب

توضیحات

0K 512K

512K 512K

سیستم عامل تصمیم گیری سیستم عامل تصمیم گیری

سفت افزار برای شناسایی و بارگذاری تصویر با بالاترین اولویت.

1M 1.5M

512K 512K

سیستم عامل تصمیم گیری سیستم عامل تصمیم گیری

8K + 24K

داده های سیستم عامل تصمیم گیری

بالشتک

برای استفاده از سیستم عامل تصمیم گیری رزرو شده است.

2 میلیون + 32 هزار

32 هزار

برای SDM رزرو شده است

برای SDM رزرو شده است.

2 میلیون + 64 هزار

متغیر

تصویر کارخانه

یک تصویر ساده که اگر همه تصاویر برنامه دیگر بارگیری نشوند، به عنوان پشتیبان ایجاد می کنید. این تصویر شامل CMF است که روی SDM اجرا می شود.

بعدی

32 هزار

کپی داده PUF 0

ساختار داده برای ذخیره داده های کمکی PUF و کپی کلید اصلی AES با PUF 0
ادامه …

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 42

ارسال بازخورد

4. Device Provisioning 683823 | 2023.05.23

افست فلاش (بر حسب بایت)

اندازه (به بایت)

بعدی +32K 32K

محتویات کپی داده PUF 1

بعدی + 256K 4K بعدی +32K 4K بعدی +32K 4K

کپی جدول پارتیشن فرعی 0 کپی جدول پارتیشن فرعی 1 بلوک نشانگر CMF کپی 0

بعدی +32 هزار _

کپی بلوک نشانگر CMF 1

متغیر متغیر

تصویر برنامه 1 تصویر برنامه 2

4.9.3. تامین کلید سیاه

توضیحات
ساختار داده برای ذخیره داده های کمکی PUF و کپی کلید اصلی AES با PUF 1
ساختار داده برای تسهیل مدیریت حافظه فلش.
فهرستی از اشاره گرها به تصاویر برنامه به ترتیب اولویت. هنگامی که یک تصویر را اضافه می کنید، آن تصویر بالاترین می شود.
کپی دوم از لیست اشاره گرها به تصاویر برنامه.
اولین تصویر برنامه شما
تصویر دوم برنامه شما

توجه:

TheIntel Quartus PrimeProgrammer به برقراری یک اتصال ایمن تأیید شده متقابل بین دستگاه Intel Agilex 7 و سرویس تأمین کلید سیاه کمک می کند. اتصال ایمن از طریق https برقرار می شود و به چندین گواهی نیاز دارد که با استفاده از یک متن شناسایی شوند file.
هنگام استفاده از Black Key Provisioning، اینتل توصیه می کند که از اتصال خارجی پین TCK برای بالا کشیدن یا پایین کشیدن یک مقاومت در حالی که هنوز برای J استفاده می کنید، خودداری کنید.TAG. با این حال، می توانید پایه TCK را با استفاده از یک مقاومت 10 کیلویی به منبع تغذیه VCCIO SDM متصل کنید. راهنمای موجود در دستورالعمل های اتصال پین برای اتصال TCK به یک مقاومت کشویی 1 کیلویی برای سرکوب نویز گنجانده شده است. تغییر در هدایت به یک مقاومت کششی 10 کیلویی بر عملکرد دستگاه تأثیر نمی گذارد. برای اطلاعات بیشتر در مورد اتصال پین TCK، به دستورالعمل های اتصال 7 پین Intel Agilex مراجعه کنید.
Thebkp_tls_ca_certcertificate نمونه سرویس تأمین کلید سیاه شما را به نمونه برنامه نویس تأمین کلید سیاه تأیید می کند. گواهینامه های Thebkp_tls_* نمونه برنامه نویس تامین کلید سیاه شما را به نمونه سرویس تامین کلید سیاه شما احراز هویت می کند.
شما یک متن ایجاد می کنید file حاوی اطلاعات لازم برای برنامه نویس Intel Quartus Prime جهت اتصال به سرویس تامین کلید سیاه. برای شروع تهیه کلید سیاه، از رابط خط فرمان برنامه نویس برای تعیین متن گزینه های تهیه کلید سیاه استفاده کنید. file. تهیه کلید سیاه به طور خودکار ادامه می یابد. برای دسترسی به سرویس تامین کلید سیاه و اسناد مربوطه، لطفاً با پشتیبانی اینتل تماس بگیرید.
با استفاده از thequartus_pgmcommand می توانید تامین کلید سیاه را فعال کنید:
quartus_pgm -c -m -دستگاه –bkp_options=bkp_options.txt
آرگومان های فرمان اطلاعات زیر را مشخص می کنند:

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 43

4. Device Provisioning 683823 | 2023.05.23

· -c: شماره کابل · -m: حالت برنامه نویسی مانند J را مشخص می کندTAG · –device: یک شاخص دستگاه را در J مشخص می کندTAG زنجیر. مقدار پیش فرض 1 است. · –bkp_options: یک متن را مشخص می کند file حاوی گزینه های تامین کلید سیاه.
اطلاعات مرتبط دستورالعمل های اتصال پین خانواده دستگاه Intel Agilex 7

4.9.3.1. گزینه های تامین کلید سیاه
گزینه های تامین کلید سیاه یک متن است file از طریق دستور quartus_pgm به برنامه نویس منتقل می شود. را file حاوی اطلاعات لازم برای راه اندازی تامین کلید سیاه است.
موارد زیر یک نمونه قبلی استampاز bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog__tls_prog_key = prog__tls_prog_key = prog__tls_prog_1234. لباس = https://192.167.5.5:5000 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

جدول 4.

گزینه های تامین کلید سیاه
این جدول گزینه های مورد نیاز برای راه اندازی تامین کلید سیاه را نشان می دهد.

نام گزینه

تایپ کنید

توضیحات

bkp_ip

مورد نیاز

آدرس IP سرور را که سرویس تامین کلید سیاه را اجرا می کند، مشخص می کند.

bkp_port

مورد نیاز

پورت سرویس تامین کلید سیاه مورد نیاز برای اتصال به سرور را مشخص می کند.

bkp_cfg_id

مورد نیاز

شناسه جریان پیکربندی تامین کلید سیاه را شناسایی می کند.
سرویس تامین کلید سیاه جریان های پیکربندی تامین کلید سیاه شامل کلید ریشه AES، تنظیمات دلخواه eFuse و سایر گزینه های مجوز تهیه کلید سیاه را ایجاد می کند. شماره اختصاص داده شده در طول راه اندازی سرویس تامین کلید سیاه، جریان های پیکربندی تامین کلید سیاه را مشخص می کند.
توجه: چندین دستگاه ممکن است به یک جریان پیکربندی سرویس ارائه کلید سیاه اشاره کنند.

bkp_tls_ca_cert

مورد نیاز

گواهی ریشه TLS برای شناسایی خدمات ارائه کلید سیاه به برنامه نویس Intel Quartus Prime (برنامه نویس) استفاده می شود. یک مرجع صدور گواهی مورد اعتماد برای نمونه سرویس تامین کلید سیاه این گواهی را صادر می کند.
اگر برنامه نویس را روی رایانه ای با سیستم عامل Microsoft® Windows® (ویندوز) اجرا می کنید، باید این گواهی را در فروشگاه گواهی Windows نصب کنید.

bkp_tls_prog_cert

مورد نیاز

گواهی ایجاد شده برای نمونه برنامه نویس تامین کننده کلید سیاه (BKP Programmer). این گواهی مشتری https است که برای شناسایی این نمونه برنامه نویس BKP استفاده می شود
ادامه …

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 44

ارسال بازخورد

4. Device Provisioning 683823 | 2023.05.23

نام گزینه

تایپ کنید

bkp_tls_prog_key

مورد نیاز

bkp_tls_prog_key_pass اختیاری است

bkp_proxy_address bkp_proxy_user bkp_proxy_password

اختیاری اختیاری اختیاری

توضیحات
به سرویس تامین کلید سیاه. قبل از شروع جلسه تامین کلید سیاه، باید این گواهی را در سرویس تامین کلید سیاه نصب و مجوز دهید. اگر برنامه نویس را در ویندوز اجرا می کنید، این گزینه در دسترس نیست. در این مورد، bkp_tls_prog_key از قبل شامل این گواهی است.
کلید خصوصی مربوط به گواهی برنامه نویس BKP. این کلید هویت نمونه برنامه نویس BKP را به سرویس تامین کلید سیاه تأیید می کند. اگر برنامه نویس را در ویندوز اجرا می کنید، pfx file گواهی bkp_tls_prog_cert و کلید خصوصی را ترکیب می کند. گزینه bkp_tlx_prog_key از .pfx عبور می کند file در bkp_options.txt file.
رمز عبور کلید خصوصی bkp_tls_prog_key. در متن گزینه های پیکربندی تهیه کلید سیاه (bkp_options.txt) لازم نیست file.
سرور پروکسی را مشخص می کند URL آدرس
نام کاربری سرور پروکسی را مشخص می کند.
رمز احراز هویت پروکسی را مشخص می کند.

4.10. تبدیل کلید ریشه مالک، گواهینامه های کلید اصلی AES و فیوز files به جام STAPL File فرمت ها

می توانید از دستور خط فرمان quartus_pfg برای تبدیل .qky، کلید ریشه AES .ccert و فیوز استفاده کنید. files به فرمت جام STAPL File (.jam) و فرمت کد Jam Byte File (.jbc). می توانید از اینها استفاده کنید fileبرای برنامه ریزی FPGA های اینتل به ترتیب با استفاده از Jam STAPL Player و Jam STAPL Byte-Code Player.

یک .jam یا .jbc منفرد شامل چندین عملکرد از جمله پیکربندی و برنامه تصویر کمکی میان‌افزار، بررسی خالی و تأیید برنامه‌نویسی کلید و فیوز است.

احتیاط:

هنگامی که کلید ریشه AES را به .ccert تبدیل می کنید file به فرمت .jam، .jam file حاوی کلید AES به صورت متن ساده اما مبهم است. در نتیجه، باید از .jam محافظت کنید file هنگام ذخیره کردن کلید AES شما می توانید این کار را با تهیه کلید AES در یک محیط امن انجام دهید.

در اینجا سابق هستندampدستورات تبدیل quartus_pfg:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qkyqky;root2.pfg” c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A تنظیمات _device=AGFB014R24A. فیوز settings_fuse.jbc

برای اطلاعات بیشتر در مورد استفاده از Jam STAPL Player برای برنامه نویسی دستگاه به AN 425: استفاده از راه حل خط فرمان Jam STAPL برای برنامه نویسی دستگاه مراجعه کنید.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 45

4. Device Provisioning 683823 | 2023.05.23
برای برنامه ریزی کلید عمومی ریشه مالک و کلید رمزگذاری AES دستورات زیر را اجرا کنید:
//برای بارگیری بیت استریم کمکی در FPGA. // بیت استریم کمکی شامل سیستم عامل ارائه Quartus_jli -c 1 -a CONFIGURE RootKey.jam
//برای برنامه ریزی کلید عمومی ریشه مالک در eFuses مجازی quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//برای برنامه ریزی کلید عمومی ریشه مالک به eFuses فیزیکی quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//برای برنامه ریزی کلید عمومی ریشه مالک روابط عمومی به eFuses مجازی quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//برای برنامه ریزی کلید عمومی ریشه مالک روابط عمومی به eFuses فیزیکی quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//برای برنامه ریزی کلید رمزگذاری AES CCERT به BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//برای برنامه ریزی کلید رمزگذاری AES CCERT در eFuses فیزیکی quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
اطلاعات مرتبط AN 425: استفاده از راه حل STAPL خط فرمان Jam برای برنامه نویسی دستگاه

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 46

ارسال بازخورد

683823 | 2023.05.23 ارسال بازخورد

ویژگی های پیشرفته

5.1. مجوز اشکال زدایی ایمن
برای فعال کردن مجوز اشکال‌زدایی امن، صاحب اشکال‌زدایی باید یک جفت کلید احراز هویت ایجاد کند و از برنامه‌نویس Intel Quartus Prime Pro برای تولید اطلاعات دستگاه استفاده کند. file برای دستگاهی که تصویر اشکال زدایی را اجرا می کند:
quartus_pgm -c 1 -mjtag -o "ei;device_info.txt;AGFB014R24A" –dev_info
مالک دستگاه از ابزار quartus_sign یا پیاده‌سازی مرجع استفاده می‌کند تا یک ورودی کلید عمومی مشروط را به زنجیره امضایی که برای عملیات اشکال‌زدایی با استفاده از کلید عمومی صاحب اشکال‌زدایی، مجوزهای لازم، متن اطلاعات دستگاه در نظر گرفته شده، اضافه کند. file، و محدودیت های بیشتر قابل اعمال:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″m=”XNUMX, debug_authorization_public_key.pem safe_debug_auth_chain.qky
مالک دستگاه، زنجیره امضای کامل را به صاحب اشکال‌زدایی می‌فرستد، او از زنجیره امضا و کلید خصوصی خود برای امضای تصویر اشکال‌زدایی استفاده می‌کند:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
می‌توانید از دستور quartus_pfg برای بررسی زنجیره امضای هر بخش از این جریان بیت اشکال‌زدایی امن امضا شده به شرح زیر استفاده کنید:
quartus_pfg –check_integrity authorized_debug_design.rbf
خروجی این دستور مقادیر محدودیت 1,2,17,18،XNUMX،XNUMX،XNUMX کلید عمومی شرطی را که برای تولید جریان بیت امضا شده استفاده شده است، چاپ می کند.
سپس صاحب اشکال زدایی می تواند طرح اشکال زدایی مجاز ایمن را برنامه ریزی کند:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
مالک دستگاه ممکن است مجوز اشکال زدایی ایمن را با لغو شناسه لغو صریح کلید اختصاص داده شده در زنجیره امضای مجوز اشکال زدایی ایمن لغو کند.
5.2. گواهی های اشکال زدایی HPS
فعال کردن فقط دسترسی مجاز به پورت دسترسی اشکال زدایی HPS (DAP) از طریق JTAG رابط نیاز به چند مرحله دارد:

ISO 9001:2015 ثبت شده است

5. ویژگی های پیشرفته 683823 | 2023.05.23
1. روی منوی Assignments نرم افزار Intel Quartus Prime کلیک کنید و برگه Device Device and Pin Options Configuration را انتخاب کنید.
2. در تب پیکربندی، پورت دسترسی اشکال زدایی HPS (DAP) را با انتخاب پین های HPS یا پین های SDM از منوی کشویی فعال کنید و اطمینان حاصل کنید که چک باکس Allow HPS Debug without Certifications انتخاب نشده است.
شکل 14. پین های HPS یا SDM را برای HPS DAP مشخص کنید

پورت دسترسی اشکال زدایی HPS (DAP)
همچنین، می‌توانید تخصیص زیر را در Quartus Prime Settings .qsf تنظیم کنید file:
set_global_assignment -name HPS_DAP_SPLIT_MODE "SDM PINS"
3. با این تنظیمات طرح را کامپایل و بارگذاری کنید. 4. یک زنجیره امضا با مجوزهای مناسب برای امضای اشکال زدایی HPS ایجاد کنید
گواهی:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_chairt.
5. یک گواهی اشکال زدایی HPS بدون امضا از دستگاهی که طرح اشکال زدایی بارگذاری شده است درخواست کنید:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. گواهی اشکال زدایی HPS بدون امضا را با استفاده از ابزار quartus_sign یا پیاده سازی مرجع و زنجیره امضای اشکال زدایی HPS امضا کنید:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 48

ارسال بازخورد

5. ویژگی های پیشرفته 683823 | 2023.05.23
7. گواهی اشکال زدایی HPS امضا شده را به دستگاه بازگردانید تا دسترسی به پورت دسترسی اشکال زدایی HPS (DAP) فعال شود:
quartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
گواهی اشکال زدایی HPS فقط از زمانی که تولید شد تا چرخه برق بعدی دستگاه یا تا زمانی که نوع یا نسخه دیگری از سیستم عامل SDM بارگیری شود معتبر است. باید گواهی اشکال زدایی HPS امضا شده را تولید، امضا و برنامه ریزی کنید، و همه عملیات اشکال زدایی را قبل از چرخه برق دستگاه انجام دهید. شما می توانید گواهی اشکال زدایی HPS امضا شده را با چرخش برق دستگاه باطل کنید.
5.3. گواهی پلت فرم
می توانید یک مانیفست یکپارچگی مرجع (.rim) ایجاد کنید file با استفاده از برنامه نویسی file ابزار مولد:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
برای اطمینان از تایید پلت فرم در طراحی خود این مراحل را دنبال کنید: 1. از برنامه نویس Intel Quartus Prime Pro برای پیکربندی دستگاه خود با
طرحی که برای آن یک مانیفست یکپارچگی مرجع ایجاد کردید. 2. از یک تأیید کننده گواهی پلت فرم برای ثبت نام دستگاه با صدور دستوراتی استفاده کنید
SDM از طریق صندوق پستی SDM برای ایجاد گواهی شناسه دستگاه و گواهی سیستم عامل هنگام بارگیری مجدد. 3. از برنامه نویس Intel Quartus Prime Pro برای پیکربندی مجدد دستگاه خود با طراحی استفاده کنید. 4. از تأیید کننده گواهی پلت فرم برای صدور دستورات به SDM برای دریافت شناسه دستگاه تأیید، سفت‌افزار و گواهی‌های نام مستعار استفاده کنید. 5. از تأیید کننده تأیید برای صدور فرمان صندوق پستی SDM برای دریافت مدارک تأیید استفاده کنید و تأیید کننده مدارک برگشتی را بررسی می کند.
می‌توانید سرویس تأییدکننده خود را با استفاده از دستورات صندوق پستی SDM پیاده‌سازی کنید یا از سرویس تأییدکننده گواهی پلتفرم اینتل استفاده کنید. برای کسب اطلاعات بیشتر در مورد نرم افزار خدمات تأیید کننده گواهی پلت فرم اینتل، در دسترس بودن، و اسناد، با پشتیبانی اینتل تماس بگیرید.
اطلاعات مرتبط دستورالعمل های اتصال پین خانواده دستگاه Intel Agilex 7
5.4. آنتی تی فیزیکیamper
شما ضد t فیزیکی را فعال می کنیدampویژگی های er با استفاده از مراحل زیر: 1. انتخاب پاسخ مورد نظر به یک t شناسایی شدهamper event 2. پیکربندی t مورد نظرampروش ها و پارامترهای تشخیص er 3. از جمله anti-tamper IP در منطق طراحی شما برای کمک به مدیریت anti-tamper
رویدادها

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 49

5. ویژگی های پیشرفته 683823 | 2023.05.23
5.4.1. ضد تیamper پاسخ ها
شما ضد t فیزیکی را فعال می کنیدamper با انتخاب یک پاسخ از Anti-tampپاسخ: لیست کشویی در Assignments Device Device and Pin Options Security Anti-Tampبرگه er. به طور پیش فرض، ضد tampپاسخ er غیرفعال است. پنج دسته ضد tampپاسخ در دسترس هستند. هنگامی که پاسخ مورد نظر خود را انتخاب می کنید، گزینه های فعال کردن یک یا چند روش تشخیص فعال می شوند.
شکل 15. Anti-T موجودamper گزینه های پاسخ

تخصیص مربوطه در تنظیمات Quartus Prime .gsf file زیر است:
set_global_assignment -name ANTI_TAMPER_RESPONSE «تجهیزات اخطار پاک کردن قفل دستگاه و ZEROIZATION»
وقتی یک anti-t را فعال می کنیدampدر پاسخ، می‌توانید دو پین ورودی/خروجی اختصاصی SDM را برای خروجی t انتخاب کنیدampتشخیص رویداد و وضعیت پاسخ با استفاده از پنجره تنظیمات پین تنظیمات پیکربندی دستگاه و تنظیمات پین تنظیمات دستگاه.

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 50

ارسال بازخورد

5. ویژگی های پیشرفته 683823 | 2023.05.23
شکل 16. پین های ورودی/خروجی اختصاصی SDM موجود برای Tamper تشخیص رویداد

همچنین می توانید پین های زیر را در تنظیمات تخصیص دهید file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. ضد تیamper تشخیص

می‌توانید فرکانس، دما و حجم را به‌صورت جداگانه فعال کنیدtagویژگی های تشخیص SDM. تشخیص FPGA بستگی به گنجاندن Anti-T داردamper Lite Intel FPGA IP در طراحی شما.

توجه:

فرکانس و حجم SDMtagetampروش های تشخیص er وابسته به مراجع داخلی و سخت افزار اندازه گیری است که می تواند در دستگاه ها متفاوت باشد. اینتل توصیه می کند که رفتار t را مشخص کنیدampتنظیمات تشخیص er

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 51

5. ویژگی های پیشرفته 683823 | 2023.05.23
فرکانس تیampتشخیص er روی منبع ساعت پیکربندی عمل می کند. برای فعال کردن فرکانس tampدر صورت تشخیص، باید در منوی کشویی منبع ساعت پیکربندی در تب Assignments Device Device and Pin Options گزینه ای غیر از Internal Oscillator را مشخص کنید. قبل از فعال کردن فرکانس t، باید اطمینان حاصل کنید که چک باکس Run configuration from the oscillator داخلی فعال باشد.ampتشخیص شکل 17. تنظیم SDM بر روی Internal Oscillator
برای فعال کردن فرکانس tampدر صورت تشخیص، فرکانس فعال کردن t را انتخاب کنیدamper detection را چک کنید و فرکانس مورد نظر را انتخاب کنیدampمحدوده تشخیص er از منوی کشویی. شکل 18. فعال کردن فرکانس Tamper تشخیص

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 52

ارسال بازخورد

5. ویژگی های پیشرفته 683823 | 2023.05.23
یا می توانید فرکانس T را فعال کنیدampبا ایجاد تغییرات زیر در Quartus Prime Settings .qsf تشخیص داده شود file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_ENTQUE_ENSetAMPER_DETECTION در set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
برای فعال کردن دما tampدر صورت تشخیص، گزینه Enable temperature t را انتخاب کنیدamper detection را چک کنید و در فیلدهای مربوطه، مرزهای بالا و پایین دمای مورد نظر را انتخاب کنید. کران های بالا و پایین به طور پیش فرض با محدوده دمایی مربوط به دستگاه انتخاب شده در طراحی پر می شوند.
برای فعال کردن جلدtagetampدر صورت تشخیص، یکی یا هر دوی Enable VCCL vol را انتخاب می کنیدtagetamper detection یا Enable VCCL_SDM voltagetamper detection را چک باکس کرده و جلد مورد نظر را انتخاب کنیدtagetampدرصد ماشه تشخیص ertage در فیلد مربوطه
شکل 19. فعال کردن جلدtagو تیamper تشخیص

از طرف دیگر، می توانید Voltagو تیamper تشخیص با تعیین تکالیف زیر در qsf file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION در set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION در set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION روشن است
5.4.3. ضد تیamper Lite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP، موجود در کاتالوگ IP در نرم افزار Intel Quartus Prime Pro Edition، ارتباط دو طرفه بین طراحی شما و SDM را برای t تسهیل می کند.ampرویدادها

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 53

شکل 20. Anti-Tamper Lite Intel FPGA IP

5. ویژگی های پیشرفته 683823 | 2023.05.23

IP سیگنال های زیر را ارائه می دهد که در صورت نیاز به طرح خود متصل می شوید:

جدول 5.

ضد Tamper Lite Intel FPGA IP I/O سیگنال ها

نام سیگنال

جهت

توضیحات

gpo_sdm_at_event gpi_fpga_at_event

خروجی ورودی

سیگنال SDM به منطق فابریک FPGA که یک SDM در آن شناسایی کرده استampرویداد منطق FPGA تقریباً 5 میلی‌ثانیه برای انجام هرگونه تمیز کردن دلخواه و پاسخ به SDM از طریق gpi_fpga_at_response_done و gpi_fpga_at_zeroization_done دارد. SDM با t ادامه می یابدampزمانی که gpi_fpga_at_response_done ادعا شده باشد یا پس از دریافت نشدن پاسخ در زمان تعیین شده، اقدامات پاسخ را انجام دهد.
وقفه FPGA به SDM که anti-t طراحی کرده ایدampمدار تشخیص er در شناسایی شده استampرویداد er و SDM tampپاسخ er باید فعال شود.

gpi_fpga_at_response_done

ورودی

وقفه FPGA به SDM که منطق FPGA پاکسازی مورد نظر را انجام داده است.

gpi_fpga_at_zeroization_d one

ورودی

FPGA به SDM سیگنال می دهد که منطق FPGA هرگونه صفرسازی دلخواه داده های طراحی را تکمیل کرده است. این سیگنال s استampزمانی که gpi_fpga_at_response_done ادعا می شود، نمایش داده می شود.

5.4.3.1. اطلاعات انتشار

شماره طرح نسخه سازی IP (XYZ) از یک نسخه نرم افزار به نسخه دیگر تغییر می کند. تغییر در:
X نشان دهنده یک تجدید نظر عمده در IP است. اگر نرم افزار Intel Quartus Prime خود را به روز می کنید، باید IP را دوباره تولید کنید.
· Y نشان می دهد که IP دارای ویژگی های جدید است. IP خود را برای گنجاندن این ویژگی های جدید بازسازی کنید.
· Z نشان می دهد که IP شامل تغییرات جزئی است. IP خود را بازسازی کنید تا این تغییرات را در بر گیرد.

جدول 6.

ضد Tamper Lite Intel FPGA IP Release Information

نسخه IP

مورد

توضیحات 20.1.0

اینتل Quartus نسخه پرایم

21.2

تاریخ انتشار

2021.06.21

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 54

ارسال بازخورد

5. ویژگی های پیشرفته 683823 | 2023.05.23
5.5. استفاده از ویژگی‌های امنیتی طراحی با به‌روزرسانی سیستم از راه دور
Remote System Update (RSU) یک ویژگی Intel Agilex 7 FPGA است که به به‌روزرسانی پیکربندی کمک می‌کند. fileبه روشی قوی است. RSU با ویژگی‌های امنیتی طراحی مانند احراز هویت، امضای مشترک میان‌افزار و رمزگذاری جریان بیت سازگار است، زیرا RSU به محتوای طراحی بیت‌استریم‌های پیکربندی بستگی ندارد.
ساخت تصاویر RSU با .sof Files
اگر کلیدهای خصوصی را در محلی خود ذخیره می کنید fileدر سیستم، می توانید تصاویر RSU را با ویژگی های امنیتی طراحی با استفاده از یک جریان ساده شده با .sof تولید کنید files به عنوان ورودی برای تولید تصاویر RSU با .sof file، می توانید دستورالعمل های بخش ایجاد تصویر به روز رسانی سیستم از راه دور را دنبال کنید Fileاستفاده از برنامه نویسی File مولد راهنمای کاربر پیکربندی Intel Agilex 7. برای هر .sof file در ورودی مشخص شده است Fileتب s، روی دکمه Properties… کلیک کنید و تنظیمات و کلیدهای مناسب را برای ابزار امضا و رمزگذاری مشخص کنید. برنامه نویسی file ابزار ژنراتور هنگام ایجاد برنامه نویسی RSU به طور خودکار تصاویر کارخانه و برنامه را امضا و رمزگذاری می کند files.
از طرف دیگر، اگر کلیدهای خصوصی را در HSM ذخیره می کنید، باید از ابزار quartus_sign استفاده کنید و بنابراین از rbf. fileس بقیه این بخش تغییرات در جریان را برای تولید تصاویر RSU با .rbf توضیح می دهد files به عنوان ورودی شما باید با فرمت rbf. رمزگذاری و امضا کنید fileقبل از انتخاب آنها به عنوان ورودی files برای تصاویر RSU. با این حال، اطلاعات بوت RSU file نباید رمزگذاری شود و در عوض فقط امضا شود. برنامه نویسی File ژنراتور از اصلاح ویژگی های قالب rbf. پشتیبانی نمی کند files.
سابق زیرamples تغییرات لازم را در دستورات در بخش تولید تصویر به روز رسانی سیستم از راه دور نشان می دهد Fileاستفاده از برنامه نویسی File مولد راهنمای کاربر پیکربندی Intel Agilex 7.
ایجاد تصویر اولیه RSU با استفاده از rbf Files: تغییر فرمان
از تولید تصویر اولیه RSU با استفاده از .rbf Fileبخش s، دستورات مرحله 1 را تغییر دهید تا با استفاده از دستورالعمل های بخش های قبلی این سند، ویژگی های امنیتی طراحی را به دلخواه فعال کنید.
برای مثالampشما باید یک سیستم عامل امضا شده را مشخص کنید file اگر از سیستم‌افزار مشترک استفاده می‌کردید، از ابزار رمزگذاری Quartus برای رمزگذاری هر rbf. استفاده کنید. fileو در نهایت از ابزار quartus_sign برای امضای هر کدام استفاده کنید file.
در مرحله 2، اگر امضای مشترک میان‌افزار را فعال کرده‌اید، باید از یک گزینه اضافی در ایجاد boot .rbf از تصویر کارخانه استفاده کنید. file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
پس از ایجاد اطلاعات بوت .rbf fileبرای امضای rbf از ابزار quartus_sign استفاده کنید file. شما نباید اطلاعات بوت .rbf را رمزگذاری کنید file.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 55

5. ویژگی های پیشرفته 683823 | 2023.05.23
ایجاد تصویر برنامه: اصلاح فرمان
برای ایجاد یک تصویر برنامه با ویژگی‌های امنیتی طراحی، فرمان را در Generating an Application Image تغییر می‌دهید تا به جای برنامه اصلی .sof از rbf. با فعال بودن ویژگی‌های امنیتی طراحی، از جمله سیستم‌افزار مشترک امضا شده در صورت نیاز استفاده کنید. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf safed_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
ایجاد تصویر به‌روزرسانی کارخانه: اصلاح فرمان
پس از ایجاد اطلاعات بوت .rbf file، از ابزار quartus_sign برای امضای rbf. استفاده می کنید file. شما نباید اطلاعات بوت .rbf را رمزگذاری کنید file.
برای تولید یک تصویر به‌روزرسانی کارخانه RSU، دستور Generating a Factory Update Image را برای استفاده از .rbf تغییر می‌دهید. file با فعال بودن ویژگی های امنیتی طراحی و افزودن گزینه ای برای نشان دادن استفاده از سیستم عامل مشترک امضا شده:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf safed_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
اطلاعات مرتبط راهنمای کاربر پیکربندی Intel Agilex 7
5.6. خدمات رمزنگاری SDM
SDM در دستگاه های Intel Agilex 7 خدمات رمزنگاری را ارائه می دهد که منطق فابریک FPGA یا HPS ممکن است از طریق رابط صندوق پستی SDM مربوطه درخواست کند. برای اطلاعات بیشتر در مورد دستورات صندوق پستی و قالب‌های داده برای همه سرویس‌های رمزنگاری SDM، به ضمیمه B در متدولوژی امنیتی برای FPGAهای اینتل و راهنمای کاربر ساختار یافته ASIC مراجعه کنید.
برای دسترسی به رابط صندوق پستی SDM به منطق فابریک FPGA برای سرویس‌های رمزنگاری SDM، باید IP FPGA Intel Intel Box Client را در طراحی خود نمونه‌سازی کنید.
کد مرجع برای دسترسی به رابط صندوق پستی SDM از HPS در کد ATF و لینوکس ارائه شده توسط اینتل گنجانده شده است.
اطلاعات مرتبط راهنمای کاربر صندوق پستی Client Intel FPGA IP
5.6.1. چکمه مجاز فروشنده
اینتل یک پیاده‌سازی مرجع برای نرم‌افزار HPS ارائه می‌کند که از ویژگی بوت مجاز فروشنده برای احراز هویت نرم‌افزار راه‌اندازی HPS از اولین‌ها استفاده می‌کند.tagبوت لودر از طریق هسته لینوکس.
اطلاعات مرتبط طراحی نسخه نمایشی بوت امن اینتل Agilex 7 SoC

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 56

ارسال بازخورد

5. ویژگی های پیشرفته 683823 | 2023.05.23
5.6.2. سرویس اشیاء داده ایمن
شما دستورات را از طریق صندوق پستی SDM برای انجام رمزگذاری و رمزگشایی شی SDOS ارسال می کنید. می توانید پس از تهیه کلید اصلی SDOS از ویژگی SDOS استفاده کنید.
اطلاعات مرتبط تامین کلید اصلی سرویس شی داده ایمن در صفحه 30
5.6.3. SDM Cryptographic Primitive Services
شما دستورات را از طریق صندوق پستی SDM برای شروع عملیات سرویس رمزنگاری اولیه SDM ارسال می کنید. برخی از سرویس‌های رمزنگاری اولیه نیاز دارند که داده‌های بیشتری نسبت به آنچه که رابط صندوق پستی می‌تواند بپذیرد به SDM و از آن منتقل شود. در این موارد، دستور فرمت برای ارائه اشاره گر به داده ها در حافظه تغییر می کند. علاوه بر این، شما باید نمونه ای از Mailbox Client Intel FPGA IP را برای استفاده از سرویس های رمزنگاری اولیه SDM از منطق فابریک FPGA تغییر دهید. علاوه بر این باید پارامتر Enable Crypto Service را روی 1 تنظیم کنید و رابط آغازگر AXI که به تازگی در معرض دید قرار گرفته است را به یک حافظه در طراحی خود متصل کنید.
شکل 21. فعال کردن سرویس‌های رمزنگاری SDM در IP Intel FPGA Client صندوق پستی

5.7. تنظیمات امنیتی بیت استریم (FM/S10)
گزینه‌های FPGA Bitstream Security مجموعه‌ای از سیاست‌ها هستند که ویژگی یا حالت عملکرد مشخص شده را در یک بازه زمانی مشخص محدود می‌کنند.
گزینه های Bitstream Security شامل پرچم هایی است که در نرم افزار Intel Quartus Prime Pro Edition تنظیم می کنید. این پرچم ها به طور خودکار در جریان بیت پیکربندی کپی می شوند.
با استفاده از تنظیمات امنیتی مربوطه eFuse، می‌توانید گزینه‌های امنیتی را برای همیشه روی دستگاه اعمال کنید.
برای استفاده از هرگونه تنظیمات امنیتی در جریان بیت پیکربندی یا eFuses دستگاه، باید ویژگی احراز هویت را فعال کنید.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 57

5. ویژگی های پیشرفته 683823 | 2023.05.23
5.7.1. انتخاب و فعال کردن گزینه های امنیتی
برای انتخاب و فعال کردن گزینه‌های امنیتی، موارد زیر را انجام دهید: از منوی Assignments، Device Device and Pin Options Security گزینه‌های بیشتر... شکل 22. انتخاب و فعال کردن گزینه‌های امنیتی

و سپس مقادیر را از لیست های کشویی برای گزینه های امنیتی که می خواهید فعال کنید، همانطور که در شکل زیر نشان داده شده است، انتخاب کنید.ampدر:
شکل 23. انتخاب مقادیر برای گزینه های امنیتی

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 58

ارسال بازخورد

5. ویژگی های پیشرفته 683823 | 2023.05.23
در زیر تغییرات مربوطه در Quartus Prime Settings .qsf آمده است file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG "ON CHECK" set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE "ON STICKY" set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name assignment SECU_OPTION_DISAL OPTION_LOCK_SECURITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -nameGlobal_DISETOPLEUSF_EN_RYCUSE bal_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_KEY

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 59

683823 | 2023.05.23 ارسال بازخورد

عیب یابی

این فصل خطاها و پیام‌های هشدار رایجی را که ممکن است هنگام تلاش برای استفاده از ویژگی‌های امنیتی دستگاه و اقدامات برای رفع آنها با آنها مواجه شوید، توضیح می‌دهد.
6.1. استفاده از دستورات Quartus در خطای محیط ویندوز
خطای quartus_pgm: فرمان یافت نشد توضیحات این خطا هنگام تلاش برای استفاده از دستورات Quartus در NIOS II Shell در محیط ویندوز با استفاده از WSL نمایش داده می شود. وضوح این دستور در محیط لینوکس کار می کند. برای هاست های ویندوز، از دستور زیر استفاده کنید: quartus_pgm.exe -h به طور مشابه، دستورات مشابه Quartus Prime مانند quartus_pfg، quartus_sign، quartus_encrypt را در میان دستورات دیگر اعمال کنید.

ISO 9001:2015 ثبت شده است

6. عیب یابی 683823 | 2023.05.23

6.2. ایجاد هشدار کلید خصوصی

هشدار:

رمز عبور مشخص شده ناامن در نظر گرفته می شود. اینتل توصیه می کند که حداقل از 13 کاراکتر رمز عبور استفاده شود. توصیه می شود رمز عبور را با استفاده از فایل اجرایی OpenSSL تغییر دهید.

openssl ec -in -خارج -aes256

توضیحات
این هشدار مربوط به قدرت رمز عبور است و هنگام تلاش برای ایجاد یک کلید خصوصی با صدور دستورات زیر نمایش داده می شود:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

وضوح از فایل اجرایی openssl برای تعیین رمز عبور طولانی تر و در نتیجه قوی تر استفاده کنید.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 61

6. عیب یابی 683823 | 2023.05.23
6.3. افزودن کلید امضا به خطای پروژه Quartus
خطا…File حاوی اطلاعات کلید اصلی…
توضیحات
پس از افزودن کلید امضا .qky file برای پروژه Quartus، باید .sof را دوباره مونتاژ کنید file. وقتی این .sof بازسازی شده را اضافه می کنید file به دستگاه انتخاب شده با استفاده از برنامه نویس Quartus، پیام خطای زیر نشان می دهد که file حاوی اطلاعات کلید ریشه است:
افزودن ناموفق بودfile-path-name> به برنامه نویس. را file حاوی اطلاعات کلید ریشه (.qky). با این حال، برنامه نویس از ویژگی امضای جریان بیت پشتیبانی نمی کند. می توانید از برنامه نویسی استفاده کنید File ژنراتور برای تبدیل file به باینری خام امضا شده file (.rbf) برای پیکربندی.
قطعنامه
از برنامه نویسی Quartus استفاده کنید file ژنراتور برای تبدیل file به یک باینری خام امضا شده File rbf برای پیکربندی.
اطلاعات مرتبط پیکربندی امضای جریان بیت با استفاده از فرمان quartus_sign در صفحه 13

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 62

ارسال بازخورد

6. عیب یابی 683823 | 2023.05.23
6.4. تولید برنامه نویسی Quartus Prime File ناموفق بود
خطا
خطا (20353): X کلید عمومی از QKY با کلید خصوصی PEM مطابقت ندارد file.
خطا (20352): امضای بیت استریم از طریق اسکریپت پایتون agilex_sign.py انجام نشد.
خطا: برنامه نویسی Quartus Prime File ژنراتور ناموفق بود.
توضیحات اگر سعی می کنید با استفاده از یک کلید خصوصی نادرست .pem یک بیت استریم پیکربندی را امضا کنید file یا یک .pem file که با .qky اضافه شده به پروژه مطابقت ندارد، خطاهای رایج بالا نمایش داده می شود. وضوح اطمینان حاصل کنید که از کلید خصوصی صحیح .pem برای امضای جریان بیت استفاده می کنید.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 63

6. عیب یابی 683823 | 2023.05.23
6.5. خطاهای استدلال ناشناخته
خطا
خطا (23028): آرگومان ناشناخته "ûc". برای استدلال حقوقی به کمک مراجعه کنید.
خطا (213008): رشته گزینه برنامه نویسی "ûp" غیرقانونی است. برای قالب‌های گزینه برنامه‌نویسی قانونی به کمک مراجعه کنید.
توضیحات اگر گزینه های خط فرمان را از یک pdf. کپی و جایگذاری کنید file در Windows NIOS II Shell، ممکن است همانطور که در بالا نشان داده شده است با خطاهای آرگومان ناشناخته مواجه شوید. رزولوشن در چنین مواردی، می توانید به جای چسباندن از کلیپ بورد، دستورات را به صورت دستی وارد کنید.

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 64

ارسال بازخورد

6. عیب یابی 683823 | 2023.05.23
6.6. خطای غیرفعال کردن گزینه رمزگذاری بیت استریم
خطا
نمی‌توان رمزگذاری را نهایی کرد file طراحی .sof زیرا با گزینه رمزگذاری بیت جریان غیرفعال کامپایل شده است.
توضیحات اگر بعد از کامپایل کردن پروژه با غیرفعال کردن گزینه رمزگذاری بیت استریم، سعی کنید بیت استریم را از طریق رابط کاربری گرافیکی یا خط فرمان رمزگذاری کنید، Quartus دستور را مطابق شکل بالا رد می کند.
رزولوشن اطمینان حاصل کنید که پروژه را با گزینه رمزگذاری بیت استریم فعال یا از طریق رابط کاربری گرافیکی یا خط فرمان کامپایل کرده اید. برای فعال کردن این گزینه در رابط کاربری گرافیکی، باید چک باکس این گزینه را علامت بزنید.

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 65

6. عیب یابی 683823 | 2023.05.23
6.7. تعیین مسیر صحیح کلید
خطا
خطا (19516): برنامه نویسی شناسایی شد File خطای تنظیمات ژنراتور: «key_» را نمی توان یافتfile'. مطمئن شوید که file در محل مورد انتظار قرار دارد یا setting.sec را به روز کنید
خطا (19516): برنامه نویسی شناسایی شد File خطای تنظیمات ژنراتور: «key_» را نمی توان یافتfile'. مطمئن شوید که file در محل مورد انتظار قرار دارد یا تنظیمات را به روز کنید.
توضیحات
اگر از کلیدهایی استفاده می کنید که روی آن ذخیره می شوند file سیستم، باید مطمئن شوید که آنها مسیر صحیح کلیدهای مورد استفاده برای رمزگذاری و امضای بیت استریم را مشخص می کنند. اگر برنامه نویسی File ژنراتور نمی تواند مسیر درست را تشخیص دهد، پیام های خطای بالا نمایش داده می شود.
قطعنامه
به تنظیمات Quartus Prime .qsf مراجعه کنید file برای پیدا کردن مسیرهای صحیح برای کلیدها. مطمئن شوید که از مسیرهای نسبی به جای مسیرهای مطلق استفاده می کنید.

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 66

ارسال بازخورد

6. عیب یابی 683823 | 2023.05.23
6.8. استفاده از خروجی پشتیبانی نشده File تایپ کنید
خطا
quartus_pfg -c design.sof output_fileebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
خطا (19511): خروجی پشتیبانی نشده file نوع (ebf). از گزینه «-l» یا «–list» برای نمایش پشتیبانی استفاده کنید file اطلاعات تایپ
توضیحات هنگام استفاده از برنامه نویسی Quartus File ژنراتور برای تولید جریان بیتی پیکربندی رمزگذاری شده و امضا شده، ممکن است خطای بالا را در صورت خروجی پشتیبانی نشده مشاهده کنید. file نوع مشخص شده است. وضوح از گزینه -l یا –list برای مشاهده لیست پشتیبانی شده استفاده کنید file انواع

ارسال بازخورد

راهنمای کاربر امنیت دستگاه Intel Agilex® 7 67

683823 | 2023.05.23 ارسال بازخورد
7. بایگانی راهنمای کاربر امنیت دستگاه Intel Agilex 7
برای اطلاع از آخرین و نسخه های قبلی این راهنمای کاربری، به راهنمای کاربری امنیت دستگاه Intel Agilex 7 مراجعه کنید. اگر IP یا نسخه نرم‌افزاری فهرست نشده باشد، راهنمای کاربر برای IP قبلی یا نسخه نرم‌افزار اعمال می‌شود.

ISO 9001:2015 ثبت شده است

683823 | 2023.05.23 ارسال بازخورد

8. تاریخچه بازبینی برای راهنمای کاربری امنیت دستگاه Intel Agilex 7

نسخه سند 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

اسناد / منابع

امنیت دستگاه Intel Agilex 7 [pdf] دفترچه راهنمای کاربر
Agilex 7 Device Security, Agilex 7, Device Security, Security

مراجع

راهنمای کاربر

امنیت دستگاه Intel Agilex 7

اطلاعات محصول

دستورالعمل استفاده از محصول

سوالات متداول

امنیت دستگاه تمام شدview

احراز هویت و مجوز

رمزگذاری AES Bitstream

تامین دستگاه

ویژگی های پیشرفته

عیب یابی

اسناد / منابع

مراجع

نظر بدهید

لغو پاسخ