Intel Agilex 7 Device Security Manual de usuario

Intel comprométese coa seguridade do produto e recomenda aos usuarios que se familiaricen cos recursos de seguridade do produto proporcionados. Estes recursos deben utilizarse durante toda a vida útil do produto Intel.

2. Funcións de seguridade planificadas

As seguintes funcións de seguranza están previstas para unha futura versión do software Intel Quartus Prime Pro Edition:

Verificación de seguranza do fluxo de bits de reconfiguración parcial: ofrece unha garantía adicional de que os fluxos de bits de reconfiguración parcial (PR) non poden acceder nin interferir con outros fluxos de bits da persoa de PR.

Dispositivo Self-Kill para físico Anti-Tamper: realiza unha resposta de borrado ou cero do dispositivo e programa eFuses para evitar que o dispositivo volva a configurarse.

3. Documentación de seguridade dispoñible

A seguinte táboa enumera a documentación dispoñible para as funcións de seguranza dos dispositivos en dispositivos Intel FPGA e ASIC estruturados:

Nome do documento	Finalidade
Metodoloxía de seguridade para usuarios de Intel FPGA e ASIC estruturados Guía	Documento de nivel superior que ofrece descricións detalladas de funcións e tecnoloxías de seguridade en Intel Programable Solutions Produtos. Axuda aos usuarios a seleccionar as funcións de seguranza necesarias cumprir os seus obxectivos de seguridade.
Guía de usuario de seguranza de dispositivos Intel Stratix 10	Instrucións para que os usuarios de dispositivos Intel Stratix 10 implementen as características de seguridade identificadas mediante a Metodoloxía de seguridade Guía de usuario.
Guía de usuario de seguranza de dispositivos Intel Agilex 7	Instrucións para que os usuarios de dispositivos Intel Agilex 7 implementen as características de seguridade identificadas mediante a Metodoloxía de seguridade Guía de usuario.
Intel eASIC N5X Device Security Guía do usuario	Instrucións para implementar os usuarios de dispositivos Intel eASIC N5X as características de seguridade identificadas mediante a Metodoloxía de seguridade Guía de usuario.
Intel Agilex 7 e Intel eASIC N5X HPS Cryptographic Services Guía de usuario	Información para enxeñeiros de software de HPS sobre a implementación e uso de bibliotecas de software HPS para acceder a servizos criptográficos proporcionado polo SDM.
AN-968 Black Key Provisioning Service Guía de inicio rápido	Conxunto completo de pasos para configurar o aprovisionamento de chave negra servizo.

Preguntas frecuentes

P: Cal é o propósito da Guía de usuario da metodoloxía de seguridade?

R: A Guía de usuario da metodoloxía de seguranza ofrece descricións detalladas das funcións e tecnoloxías de seguridade dos produtos de solucións programables Intel. Axuda aos usuarios a seleccionar as funcións de seguranza necesarias para cumprir os seus obxectivos de seguridade.

P: Onde podo atopar a Guía de usuario de seguridade do dispositivo Intel Agilex 7?

R: A Guía de usuario de seguranza de dispositivos Intel Agilex 7 pódese atopar no Intel Resource and Design Center websitio.

P: Que é o servizo Black Key Provisioning?

R: O servizo de aprovisionamento de claves negras é un servizo que ofrece un conxunto completo de pasos para configurar o aprovisionamento de claves para operacións seguras.

View Fullscreen

Guía de usuario de seguranza de dispositivos Intel Agilex® 7
Actualizado para Intel® Quartus® Prime Design Suite: 23.1

Versión en liña Enviar comentarios

UG-20335

683823 2023.05.23

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 2

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 3

683823 | 2023.05.23/XNUMX/XNUMX Enviar comentarios
1. Intel Agilex® 7

Seguridade do dispositivo superadaview

Intel® deseña os dispositivos Intel Agilex® 7 con hardware e firmware de seguridade dedicados e altamente configurables.
Este documento contén instrucións para axudarche a utilizar o software Intel Quartus® Prime Pro Edition para implementar funcións de seguranza nos teus dispositivos Intel Agilex 7.
Ademais, a Guía de usuario de Metodoloxía de seguranza para Intel FPGA e ASIC estruturados está dispoñible no Intel Resource & Design Center. Este documento contén descricións detalladas das funcións e tecnoloxías de seguranza dispoñibles a través dos produtos Intel Programable Solutions para axudarche a seleccionar as funcións de seguranza necesarias para cumprir os teus obxectivos de seguridade. Póñase en contacto con Intel Support co número de referencia 14014613136 para acceder á Guía de usuario de Metodoloxía de seguranza para Intel FPGA e ASIC estruturados.
O documento organízase do seguinte xeito: · Autenticación e autorización: proporciona instrucións para crear
claves de autenticación e cadeas de sinaturas, aplicar permisos e revogacións, asinar obxectos e programar funcións de autenticación en dispositivos Intel Agilex 7. · Cifrado de bitstream AES: ofrece instrucións para crear unha clave raíz AES, cifrar fluxos de bits de configuración e proporcionar a clave raíz AES aos dispositivos Intel Agilex 7. · Aprovisionamento de dispositivos: ofrece instrucións para usar o firmware de aprovisionamento do programador Intel Quartus Prime e do xestor de dispositivos seguros (SDM) para programar funcións de seguranza nos dispositivos Intel Agilex 7. · Funcións avanzadas: ofrece instrucións para activar funcións de seguridade avanzadas, incluíndo a autorización de depuración segura, a depuración do sistema de procesador duro (HPS) e a actualización remota do sistema.
1.1. Compromiso coa seguridade do produto
O compromiso duradeiro de Intel coa seguridade nunca foi tan forte. Intel recomenda encarecidamente que se familiarice cos recursos de seguridade dos nosos produtos e planifique utilizalos durante toda a vida útil do seu produto Intel.
Información relacionada · Seguridade do produto en Intel · Avisos do Centro de seguridade do produto Intel

Intel Corporation. Todos os dereitos reservados. Intel, o logotipo de Intel e outras marcas de Intel son marcas comerciais de Intel Corporation ou das súas subsidiarias. Intel garante o rendemento dos seus produtos FPGA e semicondutores segundo as especificacións actuais de acordo coa garantía estándar de Intel, pero resérvase o dereito de facer cambios en calquera produto e servizo en calquera momento e sen previo aviso. Intel non asume ningunha responsabilidade ou responsabilidade derivada da aplicación ou uso de calquera información, produto ou servizo descrito aquí, salvo que Intel o acorde expresamente por escrito. Recoméndase aos clientes de Intel que obteñan a versión máis recente das especificacións do dispositivo antes de confiar en calquera información publicada e antes de facer pedidos de produtos ou servizos. *Outros nomes e marcas poden ser reclamados como propiedade doutros.

Certificado ISO 9001:2015

1. Sobre a seguridade do dispositivo Intel Agilex® 7view 683823 | 2023.05.23

1.2. Funcións de seguridade planificadas

As funcións mencionadas nesta sección están previstas para unha futura versión do software Intel Quartus Prime Pro Edition.

Nota:

A información desta sección é preliminar.

1.2.1. Verificación de seguranza de bitstream de reconfiguración parcial
A validación de seguranza do fluxo de bits de reconfiguración parcial (PR) axuda a proporcionar unha garantía adicional de que os fluxos de bits de PR persoa non poden acceder nin interferir con outros fluxos de bits de PR.

1.2.2. Dispositivo Self-Kill para físico Anti-Tamper
A eliminación automática do dispositivo realiza unha resposta de borrado ou cero do dispositivo e, ademais, programa eFuses para evitar que o dispositivo volva a configurarse.

1.3. Documentación de seguridade dispoñible

A seguinte táboa enumera a documentación dispoñible para as funcións de seguranza do dispositivo en dispositivos Intel FPGA e ASIC estruturados:

Táboa 1.

Documentación dispoñible de seguranza do dispositivo

Nome do documento
Metodoloxía de seguridade para Intel FPGAs e ASIC estruturados Guía do usuario

Finalidade
Documento de nivel superior que contén descricións detalladas das funcións e tecnoloxías de seguridade dos produtos de solucións programables Intel. Destinado a axudarche a seleccionar as funcións de seguranza necesarias para cumprir os teus obxectivos de seguridade.

Documento ID 721596

Guía de usuario de seguranza de dispositivos Intel Stratix 10
Guía de usuario de seguranza de dispositivos Intel Agilex 7

Para os usuarios de dispositivos Intel Stratix 10, esta guía contén instrucións para usar o software Intel Quartus Prime Pro Edition para implementar as funcións de seguranza identificadas mediante a Guía de usuario da metodoloxía de seguridade.
Para os usuarios de dispositivos Intel Agilex 7, esta guía contén instrucións para usar o software Intel Quartus Prime Pro Edition para implementar as funcións de seguranza identificadas mediante a Guía de usuario da metodoloxía de seguridade.

683642 683823

Intel eASIC N5X Device Security Guía do usuario

Para os usuarios de dispositivos Intel eASIC N5X, esta guía contén instrucións para usar o software Intel Quartus Prime Pro Edition para implementar as funcións de seguranza identificadas mediante a Guía de usuario da metodoloxía de seguranza.

626836

Guía de usuario de Intel Agilex 7 e Intel eASIC N5X HPS Cryptographic Services

Esta guía contén información para axudar aos enxeñeiros de software de HPS na implementación e uso das bibliotecas de software de HPS para acceder aos servizos criptográficos proporcionados polo SDM.

713026

AN-968 Black Key Provisioning Service Guía de inicio rápido

Esta guía contén un conxunto completo de pasos para configurar o servizo Black Key Provisioning.

739071

Localización Intel Resource e
Centro de Deseño
Intel.com
Intel.com
Centro de recursos e deseño de Intel
Centro de recursos e deseño de Intel
Centro de recursos e deseño de Intel

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 5

683823 | 2023.05.23/XNUMX/XNUMX Enviar comentarios

Autenticación e autorización

Para activar as funcións de autenticación dun dispositivo Intel Agilex 7, comeza usando o software Intel Quartus Prime Pro Edition e as ferramentas asociadas para crear unha cadea de sinaturas. Unha cadea de sinaturas consta dunha clave raíz, unha ou máis claves de sinatura e as autorizacións aplicables. Aplicas a cadea de sinaturas ao teu proxecto Intel Quartus Prime Pro Edition e á programación compilada files. Use as instrucións en Aprovisionamento de dispositivos para programar a súa clave raíz nos dispositivos Intel Agilex 7.
Información relacionada
Aprovisionamento de dispositivos na páxina 25

2.1. Creación dunha cadea de sinaturas
Podes usar a ferramenta quartus_sign ou a implementación de referencia agilex_sign.py para realizar operacións de cadea de sinaturas. Este documento ofrece exampos usando quartus_sign.
Para utilizar a implementación de referencia, substitúe unha chamada ao intérprete de Python incluído co software Intel Quartus Prime e omita a opción –family=agilex; todas as demais opcións son equivalentes. Por example, o comando quartus_sign que se atopa máis adiante nesta sección
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky pódese converter na chamada equivalente á implementación de referencia do seguinte xeito
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

O software Intel Quartus Prime Pro Edition inclúe as ferramentas quartus_sign, pgm_py e agilex_sign.py. Podes usar a ferramenta de shell de comandos Nios® II, que define automaticamente as variables de ambiente adecuadas para acceder ás ferramentas.

Siga estas instrucións para abrir un shell de comandos de Nios II. 1. Aparece un shell de comandos Nios II.

Opción Windows
Linux

Descrición
No menú Inicio, apunte a Programas Intel FPGA Nios II EDS e prema en Nios II Command Shell.
Nun shell de comandos, cambie a /nios2eds e execute o seguinte comando:
./nios2_command_shell.sh

O exampOs ficheiros desta sección asumen a cadea de sinaturas e o fluxo de bits de configuración files atópanse no directorio de traballo actual. Se optas por seguir o examples onde chave files mantéñense no file sistema, aqueles exampasumen a clave files son

Certificado ISO 9001:2015

2. Autenticación e Autorización 683823 | 2023.05.23/XNUMX/XNUMX
situado no directorio de traballo actual. Podes escoller que directorios usar, e as ferramentas de apoio relativos file camiños. Se decides manter a chave files no file sistema, debes xestionar coidadosamente os permisos de acceso a estes files.
Intel recomenda que se use un módulo de seguridade de hardware (HSM) dispoñible comercialmente para almacenar claves criptográficas e realizar operacións criptográficas. A ferramenta quartus_sign e a implementación de referencia inclúen unha interface de programación de aplicacións (API) do estándar de criptografía de clave pública n.º 11 (PKCS n.º 11) para interactuar cun HSM mentres se realizan operacións de cadea de sinaturas. A implementación de referencia agilex_sign.py inclúe un resumo da interface así como un exampinterface para SoftHSM.
Podes usar estes example interfaces para implementar unha interface no seu HSM. Consulte a documentación do seu provedor de HSM para obter máis información sobre a implementación dunha interface e o funcionamento do HSM.
SoftHSM é unha implementación de software dun dispositivo criptográfico xenérico cunha interface PKCS #11 que está dispoñible polo proxecto OpenDNSSEC®. Podes atopar máis información, incluíndo instrucións sobre como descargar, construír e instalar OpenHSM, no proxecto OpenDNSSEC. O exampOs ficheiros desta sección utilizan a versión 2.6.1 de SoftHSM. O exampOs ficheiros desta sección usan ademais a utilidade pkcs11-tool de OpenSC para realizar operacións adicionais PKCS #11 cun token SoftHSM. Podes atopar máis información, incluíndo instrucións sobre como descargar, construír e instalar pkcs11tool desde OpenSC.
Información relacionada
· O proxecto OpenDNSSEC Asinador de zona baseado en políticas para automatizar o proceso de seguimento de claves DNSSEC.
· SoftHSM Información sobre a implantación dunha tenda criptográfica accesible a través dunha interface PKCS #11.
· OpenSC Ofrece un conxunto de bibliotecas e utilidades capaces de traballar con tarxetas intelixentes.
2.1.1. Creación de pares de claves de autenticación no local File Sistema
Usa a ferramenta quartus_sign para crear pares de claves de autenticación no local file sistema usando as operacións da ferramenta make_private_pem e make_public_pem. Primeiro xeras unha clave privada coa operación make_private_pem. Especifica a curva elíptica a usar, a clave privada filenome e, opcionalmente, se protexe a clave privada cunha frase de paso. Intel recomenda o uso da curva secp384r1 e seguir as mellores prácticas do sector para crear unha frase de acceso aleatoria e forte en todas as claves privadas. files. Intel tamén recomenda restrinxir o file permisos do sistema na chave privada .pem files para ler só polo propietario. Obtén a clave pública da clave privada coa operación make_public_pem. É útil poñerlle un nome á chave .pem files descrición. Este documento usa a convención _.pem no seguinte examples.
1. No shell de comandos de Nios II, execute o seguinte comando para crear unha clave privada. A clave privada, que se mostra a continuación, utilízase como chave raíz máis adiante, por exemploampos que crean unha cadea de sinaturas. Os dispositivos Intel Agilex 7 admiten varias claves raíz, así que ti

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 7

2. Autenticación e Autorización 683823 | 2023.05.23/XNUMX/XNUMX

repita este paso para crear o número necesario de claves raíz. ExampOs ficheiros deste documento fan referencia á primeira clave raíz, aínda que pode construír cadeas de sinaturas de xeito similar con calquera clave raíz.

Opción Con frase de paso

Descrición
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Introduza a frase de acceso cando se lle solicite que o faga.

Sen contrasinal

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –sen_passphrase root0_private.pem

2. Executa o seguinte comando para crear unha clave pública usando a clave privada xerada no paso anterior. Non é necesario protexer a confidencialidade dunha chave pública.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Executa os comandos de novo para crear un par de claves usado como chave de sinatura do deseño na cadea de sinaturas.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Creación de pares de claves de autenticación en SoftHSM
O SoftHSM exampos deste capítulo son auto-coherentes. Algúns parámetros dependen da súa instalación de SoftHSM e dunha inicialización do token dentro de SoftHSM.
A ferramenta quartus_sign depende da biblioteca de API PKCS #11 do teu HSM.
O exampos ficheiros desta sección supoñen que a biblioteca SoftHSM está instalada nunha das seguintes localizacións: · /usr/local/lib/softhsm2.so en Linux · C:SoftHSM2libsofthsm2.dll na versión de 32 bits de Windows · C:SoftHSM2libsofthsm2-x64 .dll na versión de 64 bits de Windows.
Inicialice un token dentro de SoftHSM usando a ferramenta softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Os parámetros da opción, en particular a etiqueta do token e o pin do token son, por exemploampos usados ao longo deste capítulo. Intel recomenda que siga as instrucións do seu provedor de HSM para crear e xestionar tokens e claves.
Crea pares de claves de autenticación mediante a utilidade pkcs11-tool para interactuar co token en SoftHSM. En lugar de referirse explícitamente á chave pública e privada .pem files no file sistema examprefírese ao par de claves pola súa etiqueta e a ferramenta selecciona automaticamente a clave adecuada.

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 8

Enviar comentarios

2. Autenticación e Autorización 683823 | 2023.05.23/XNUMX/XNUMX

Executa os seguintes comandos para crear un par de claves usado como chave raíz máis tarde, por exemploampficheiros así como un par de claves usado como clave de sinatura de deseño na cadea de sinaturas:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mecanismo ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mecanismo ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

Nota:

A opción de ID neste paso debe ser única para cada clave, pero só a utiliza o HSM. Esta opción de ID non está relacionada co ID de cancelación de clave asignado na cadea de sinaturas.

2.1.3. Creando a entrada raíz da cadea de sinatura
Converte a clave pública raíz nunha entrada raíz da cadea de sinaturas, almacenada no local file sistema en formato Intel Quartus Prime key (.qky). file, coa operación make_root. Repita este paso para cada clave raíz que xere.
Executa o seguinte comando para crear unha cadea de sinaturas cunha entrada raíz, usando unha clave pública raíz do file sistema:
quartus_sign –family=agilex –operation=make_root –key_type=propietario root0_public.pem root0.qky
Executa o seguinte comando para crear unha cadea de sinaturas cunha entrada raíz, utilizando a clave raíz do token SoftHSM establecido na sección anterior:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. ” root0 root0.qky

2.1.4. Creando unha entrada de chave pública de cadea de sinaturas
Crea unha nova entrada de chave pública para unha cadea de sinaturas coa operación append_key. Especifica a cadea de sinaturas anterior, a clave privada para a última entrada na cadea de sinaturas anterior, a clave pública do seguinte nivel, os permisos e o ID de cancelación que asigna á chave pública de seguinte nivel e a nova cadea de sinaturas. file.
Teña en conta que a biblioteca softHSM non está dispoñible coa instalación de Quartus e, en cambio, debe instalarse por separado. Para obter máis información sobre softHSM, consulte a sección Creación dunha cadea de sinaturas anterior.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 9

2. Autenticación e Autorización 683823 | 2023.05.23/XNUMX/XNUMX
Dependendo do uso que fagas das teclas file sistema ou nun HSM, utiliza un dos seguintes exampcomandos para engadir a chave pública design0_sign á cadea de sinatura raíz creada na sección anterior:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname root0 –previous_qky=root0.qky –permiso=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Podes repetir a operación append_key ata dúas veces máis para un máximo de tres entradas de chave pública entre a entrada raíz e a entrada do bloque de cabeceira nunha cadea de sinaturas.
Os seguintes exampAsume que creaches outra clave pública de autenticación cos mesmos permisos e asignaches o ID de cancelación 1 chamado design1_sign_public.pem e estás engadindo esta chave á cadea de sinaturas do anteriorampLe:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname design0_sign –previous_qky=design0_sign_chain.qky –permiso=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Os dispositivos Intel Agilex 7 inclúen un contador de cancelación de chave adicional para facilitar o uso dunha chave que pode cambiar periódicamente ao longo da vida útil dun determinado dispositivo. Pode seleccionar este contador de cancelación de chave cambiando o argumento da opción –cancel a pts:pts_value.
2.2. Asinando un Bitstream de configuración
Os dispositivos Intel Agilex 7 admiten contadores de número de versión de seguranza (SVN), que che permiten revogar a autorización dun obxecto sen cancelar unha chave. Asigna o contador SVN e o valor de contador SVN adecuado durante a sinatura de calquera obxecto, como unha sección de fluxo de bits, firmware .zip file, ou certificado compacto. Asigna o contador SVN e o valor SVN usando a opción –cancel e svn_counter:svn_value como argumento. Os valores válidos para svn_counter son svnA, svnB, svnC e svnD. O valor_svn é un número enteiro dentro do intervalo [0,63].

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 10

Enviar comentarios

2. Autenticación e Autorización 683823 | 2023.05.23/XNUMX/XNUMX
2.2.1. Chave Quartus File Asignación
Especificas unha cadea de sinaturas no teu proxecto de software Intel Quartus Prime para activar a función de autenticación para ese deseño. No menú Asignacións, seleccione Dispositivo do dispositivo e Opcións de PIN Chave Quartus de seguranza File, entón navegue ata a cadea de sinaturas .qky file creaches para asinar este deseño.
Figura 1. Activar a configuración do fluxo de bits

Como alternativa, pode engadir a seguinte declaración de asignación á súa configuración de Intel Quartus Prime file (.qsf):
set_global_assignment -nome QKY_FILE design0_sign_chain.qky
Para xerar un .sof file a partir dun deseño compilado previamente, que inclúe esta configuración, no menú Procesamento, seleccione Iniciar Iniciar ensamblador. A nova saída .sof file inclúe as asignacións para habilitar a autenticación coa cadea de sinaturas proporcionada.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 11

2. Autenticación e Autorización 683823 | 2023.05.23/XNUMX/XNUMX
2.2.2. Firmware SDM de co-firma
Usa a ferramenta quartus_sign para extraer, asinar e instalar o firmware SDM .zip aplicable file. O firmware co-asinado é entón incluído pola programación file ferramenta xeradora cando convertes .sof file nunha configuración de bitstream .rbf file. Usa os seguintes comandos para crear unha nova cadea de sinaturas e asinar o firmware SDM.
1. Crea un novo par de chaves de sinatura.
a. Crea un novo par de chaves de sinatura no file sistema:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Crea un novo par de claves de sinatura no HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. Crea unha nova cadea de sinaturas que conteña a nova chave pública:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname root0 –previous_qky=root0.qky –permiso=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Copie o firmware .zip file desde o directorio de instalación do software Intel Quartus Prime Pro Edition (/devices/programmer/firmware/agilex.zip) ao directorio de traballo actual.
quartus_sign –family=agilex –get_firmware=.
4. Asina o firmware .zip file. A ferramenta desempaqueta automaticamente o .zip file e asina individualmente todo o firmware .cmf files, despois reconstruí o ficheiro .zip file para o seu uso polas ferramentas das seguintes seccións:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 12

Enviar comentarios

2. Autenticación e Autorización 683823 | 2023.05.23/XNUMX/XNUMX

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Configuración de sinatura Bitstream usando o comando quartus_sign
Para asinar un fluxo de bits de configuración usando o comando quartus_sign, primeiro converte o .sof file ao binario en bruto sen asinar file formato (.rbf). Opcionalmente, pode especificar firmware co-asinado mediante a opción fw_source durante o paso de conversión.
Pode xerar o fluxo de bits en bruto sen asinar en formato .rbf usando o seguinte comando:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Executa un dos seguintes comandos para asinar o fluxo de bits usando a ferramenta quartus_sign dependendo da localización das túas chaves:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Podes converter .rbf asinado files a outro bitstream de configuración file formatos.
Por example, se está a usar o reprodutor Jam* Standard Test and Programming Language (STAPL) para programar un fluxo de bits sobre JTAG, usa o seguinte comando para converter un .rbf file ao formato .jam que require Jam STAPL Player:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Soporte de varias autoridades de reconfiguración parcial

Os dispositivos Intel Agilex 7 admiten a autenticación de varias autoridades de reconfiguración parcial, onde o propietario do dispositivo crea e asina o fluxo de bits estático e un propietario de PR separado crea e asina os fluxos de bits da persoa de PR. Os dispositivos Intel Agilex 7 implementan compatibilidade con varias autoridades asignando as primeiras ranuras de clave raíz de autenticación ao propietario do dispositivo ou do fluxo de bits estático e asignando a ranura de clave raíz de autenticación final ao propietario do fluxo de bits da persoa de reconfiguración parcial.
Se a función de autenticación está activada, todas as imaxes da persoa de PR deben estar asinadas, incluídas as imaxes da persoa de PR aniñadas. As imaxes da persoa de PR poden estar asinadas polo propietario do dispositivo ou polo propietario de PR; non obstante, os fluxos de bits da rexión estática deben estar asinados polo propietario do dispositivo.

Nota:

Nunha versión futura prevese a reconfiguración parcial de cifrado de fluxo de bits persoal e estático cando se habilita a compatibilidade con varias autoridades.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 13

2. Autenticación e Autorización 683823 | 2023.05.23/XNUMX/XNUMX

Figura 2.

A implementación da compatibilidade con varias autoridades de reconfiguración parcial require varios pasos:
1. O propietario do dispositivo ou do fluxo de bits estático xera unha ou máis claves raíz de autenticación como se describe en Creación de pares de claves de autenticación en SoftHSM na páxina 8, onde a opción –key_type ten o valor propietario.
2. O propietario do fluxo de bits de reconfiguración parcial xera unha clave raíz de autenticación pero cambia o valor da opción –key_type a secondary_owner.
3. Tanto o fluxo de bits estático como os propietarios do deseño de reconfiguración parcial asegúranse de que a caixa de verificación Activar compatibilidade con varias autoridades estea activada na pestana Seguridade de opcións de dispositivo e PIN do dispositivo de asignacións.
Intel Quartus Prime Habilitar configuración de opcións multiautoridades

4. Tanto o fluxo de bits estático como os propietarios do deseño de reconfiguración parcial crean cadeas de sinaturas baseadas nas súas respectivas claves raíz, como se describe en Creación dunha cadea de sinaturas na páxina 6.
5. Tanto o fluxo de bits estático como os propietarios do deseño de reconfiguración parcial converten os seus deseños compilados ao formato .rbf files e asina o .rbf files.
6. O propietario do dispositivo ou do fluxo de bits estático xera e asina un certificado compacto de autorización do programa de chave pública PR.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH ou owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 14

Enviar comentarios

2. Autenticación e Autorización 683823 | 2023.05.23/XNUMX/XNUMX

7. O propietario do dispositivo ou do fluxo de bits estático proporciona os seus hash de clave raíz de autenticación ao dispositivo, despois programa o certificado compacto de autorización do programa de chave pública PR e, finalmente, proporciona a clave raíz do propietario do fluxo de bits de reconfiguración parcial para o dispositivo. A sección Aprovisionamento de dispositivos describe este proceso de aprovisionamento.
8. O dispositivo Intel Agilex 7 está configurado coa rexión estática .rbf file.
9. O dispositivo Intel Agilex 7 está parcialmente reconfigurado co deseño da persoa .rbf file.
Información relacionada
· Crear unha cadea de sinaturas na páxina 6
· Creación de pares de claves de autenticación en SoftHSM na páxina 8
· Aprovisionamento de dispositivos na páxina 25

2.2.5. Verificando as cadeas de sinatura de bitstream de configuración
Despois de crear cadeas de sinaturas e fluxos de bits asinados, pode verificar que un fluxo de bits asinado configura correctamente un dispositivo programado cunha clave raíz determinada. Primeiro utilizas a operación fuse_info do comando quartus_sign para imprimir o hash da clave pública raíz nun texto file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

A continuación, utiliza a opción check_integrity do comando quartus_pfg para inspeccionar a cadea de sinaturas en cada sección dun fluxo de bits asinado en formato .rbf. A opción check_integrity imprime a seguinte información:
· Estado da comprobación global de integridade do fluxo de bits
· Contidos de cada entrada en cada cadea de sinaturas anexas a cada sección no fluxo de bits .rbf file,
· Valor de fusible esperado para o hash da clave pública raíz para cada cadea de sinaturas.
O valor da saída fuse_info debería coincidir coas liñas Fuse da saída check_integrity.
quartus_pfg –check_integrity signed_bitstream.rbf

Aquí está un examplieiro da saída do comando check_integrity:

Información: Comando: quartus_pfg –check_integrity signed_bitstream.rbf Estado de integridade: OK

Sección

Tipo: CMF

Descriptor de sinatura...

Cadea de sinaturas #0 (entradas: -1, compensación: 96)

Entrada #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Xerar clave...

Curva: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Xerar clave...

Curva: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 15

2. Autenticación e Autorización 683823 | 2023.05.23/XNUMX/XNUMX

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Entrada #1

Xerar clave...

Curva: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Entrada n.° 2 Permiso de chaveiro: SIGN_CODE O chaveiro pódese cancelar mediante o ID: 3 Cadea de sinatura n.º 1 (entradas: -1, compensación: 648)

Entrada #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Xerar clave...

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Xerar clave...

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entrada #1

Xerar clave...

Curva: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Entrada #2

Xerar clave...

Curva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entrada #3 Permiso de chaveiro: SIGN_CODE O chaveiro pódese cancelar mediante o ID: 15 Cadea de sinaturas #2 (entradas: -1, compensación: 0) Cadea de sinaturas #3 (entradas: -1, compensación: 0) Cadea de sinaturas #4 (entradas: -1, compensación: 0) Cadea de sinaturas #5 (entradas: -1, compensación: 0) Cadea de sinaturas #6 (entradas: -1, compensación: 0) Cadea de sinaturas #7 (entradas: -1, compensación: 0)

Tipo de sección: Descriptor de sinatura de IO … Cadea de sinatura #0 (entradas: -1, compensación: 96)

Entrada #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Xerar clave...

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 16

Enviar comentarios

2. Autenticación e Autorización 683823 | 2023.05.23/XNUMX/XNUMX

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Xerar clave...

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entrada #1

Xerar clave...

Curva: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entrada #2

Xerar clave...

Curva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entrada n.º 3 Permiso de chaveiro: SIGN_CORE Pódese cancelar mediante o ID: 15. Cadea de sinaturas n.º 1 (entradas: -1, compensación: 0) Cadea de sinaturas n.º 2 (entradas: -1, compensación: 0) Cadea de sinaturas n.º 3 (entradas: -1, compensación: 0) Cadea de sinaturas #4 (entradas: -1, compensación: 0) Cadea de firmas #5 (entradas: -1, compensación: 0) Cadea de sinaturas #6 (entradas: -1, compensación: 0) Sinatura cadea #7 (entradas: -1, compensación: 0)

Sección

Tipo: HPS

Descriptor de sinatura...

Cadea de sinaturas #0 (entradas: -1, compensación: 96)

Entrada #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Xerar clave...

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Xerar clave...

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entrada #1

Xerar clave...

Curva: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Entrada #2

Xerar clave...

Curva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 17

2. Autenticación e Autorización 683823 | 2023.05.23/XNUMX/XNUMX

Entrada #3 Permiso de chaveiro: SIGN_HPS O chaveiro pódese cancelar mediante o ID: 15 Cadea de sinaturas #1 (entradas: -1, compensación: 0) Cadea de sinaturas #2 (entradas: -1, compensación: 0) Cadea de sinaturas #3 (entradas: -1, compensación: 0) Cadea de sinaturas #4 (entradas: -1, compensación: 0) Cadea de firmas #5 (entradas: -1, compensación: 0) Cadea de sinaturas #6 (entradas: -1, compensación: 0) Sinatura cadea #7 (entradas: -1, compensación: 0)

Tipo de sección: Descriptor de sinatura CORE … Cadea de sinatura #0 (entradas: -1, compensación: 96)

Entrada #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Xerar clave...

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Xerar clave...

Curva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entrada #1

Xerar clave...

Curva: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entrada #2

Xerar clave...

Curva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 18

Enviar comentarios

683823 | 2023.05.23/XNUMX/XNUMX Enviar comentarios

Cifrado AES Bitstream

O cifrado de fluxo de bits Advanced Encryption Standard (AES) é unha función que permite ao propietario do dispositivo protexer a confidencialidade da propiedade intelectual nun fluxo de bits de configuración.
Para axudar a protexer a confidencialidade das claves, o cifrado de bitstream de configuración usa unha cadea de chaves AES. Estas claves úsanse para cifrar os datos do propietario no fluxo de bits de configuración, onde a primeira clave intermedia se cifra coa clave raíz AES.

3.1. Creando a clave raíz AES

Podes utilizar a ferramenta quartus_encrypt ou a implementación de referencia stratix10_encrypt.py para crear unha clave raíz AES no formato de clave de cifrado do software Intel Quartus Prime (.qek) file.

Nota:

O stratix10_encrypt.py file úsase para dispositivos Intel Stratix® 10 e Intel Agilex 7.

Opcionalmente, pode especificar a clave base utilizada para derivar a clave raíz AES e a clave de derivación de clave, o valor da clave raíz AES directamente, o número de claves intermedias e o uso máximo por chave intermedia.

Debes especificar a familia de dispositivos, saíndo .qek file localización e contrasinal cando se lle solicite.
Execute o seguinte comando para xerar a clave raíz AES utilizando datos aleatorios para a clave base e valores predeterminados para o número de claves intermedias e o uso máximo da chave.
Para utilizar a implementación de referencia, substitúe unha chamada ao intérprete de Python incluído co software Intel Quartus Prime e omita a opción –family=agilex; todas as demais opcións son equivalentes. Por example, o comando quartus_encrypt atopado máis adiante na sección

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

pódese converter na chamada equivalente á implementación de referencia do seguinte xeito pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Configuración de cifrado Quartus
Para activar o cifrado de fluxo de bits para un deseño, debes especificar as opcións axeitadas mediante o panel de Seguridade de Opcións de dispositivo e PIN do dispositivo de asignacións. Seleccione a caixa de verificación Activar cifrado de fluxo de bits de configuración e a localización de almacenamento da clave de cifrado desexada no menú despregable.

Certificado ISO 9001:2015

Figura 3. Configuración de cifrado Intel Quartus Prime

3. Cifrado AES Bitstream 683823 | 2023.05.23/XNUMX/XNUMX

Como alternativa, pode engadir a seguinte declaración de asignación á súa configuración de Intel Quartus Prime file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM en set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Se queres activar mitigacións adicionais contra os vectores de ataque de canles laterais, podes activar o menú despregable Relación de actualización de cifrado e a caixa de verificación Activar codificación.

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 20

Enviar comentarios

3. Cifrado AES Bitstream 683823 | 2023.05.23/XNUMX/XNUMX

Os cambios correspondentes no .qsf son:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING en set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Cifrado dun fluxo de bits de configuración
Cifra un fluxo de bits de configuración antes de asinalo. Programación Intel Quartus Prime File A ferramenta xeradora pode cifrar e asinar automaticamente un fluxo de bits de configuración mediante a interface gráfica de usuario ou a liña de comandos.
Opcionalmente, pode crear un fluxo de bits parcialmente cifrado para usar coas ferramentas quartus_encrypt e quartus_sign ou equivalentes de implementación de referencia.

3.3.1. Configuración Cifrado de bitstream usando a programación File Interface gráfica do xerador
Podes usar a Programación File Xerador para cifrar e asinar a imaxe do propietario.

Figura 4.

1. No Intel Quartus Prime File menú seleccione Programación File Xerador. 2. Na Saída Files, especifique a saída file escriba para a súa configuración
esquema.
Saída File Especificación

Esquema de configuración Saída file ficha
Saída file tipo

3. Na entrada Files, faga clic en Engadir Bitstream e navegue ata o seu .sof. 4. Para especificar as opcións de cifrado e autenticación, seleccione o .sof e prema
Propiedades. a. Activa a ferramenta de sinatura Activar. b. Para chave privada file selecciona a túa clave de sinatura privada .pem file. c. Activa Finalizar cifrado.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 21

3. Cifrado AES Bitstream 683823 | 2023.05.23/XNUMX/XNUMX

Figura 5.

d. Para a clave de cifrado file, seleccione o seu AES .qek file. Entrada (.sof) File Propiedades para a autenticación e o cifrado

Activar a autenticación Especifique a raíz privada .pem
Activar cifrado Especifique a clave de cifrado
5. Para xerar o fluxo de bits asinado e cifrado, na entrada Files, faga clic en Xerar. Aparecen caixas de diálogo de contrasinal para que ingrese a súa frase de acceso para a súa chave AES .qek file e asinando a chave privada .pem file. A programación file xerador crea a saída cifrada e asinada_file.rbf.
3.3.2. Configuración Cifrado de bitstream usando a programación File Interface de liña de comandos do xerador
Xera un fluxo de bits de configuración cifrado e asinado en formato .rbf coa interface de liña de comandos quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
Pode converter un fluxo de bits de configuración cifrado e asinado en formato .rbf noutro fluxo de bits de configuración file formatos.
3.3.3. Configuración parcialmente cifrada Xeración de fluxo de bits mediante a interface de liña de comandos
Pode xerar unha programación parcialmente cifrada file para finalizar o cifrado e asinar a imaxe máis tarde. Xera a programación parcialmente encriptada file no formato .rbf coa interface da liña de comandosquartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 22

Enviar comentarios

3. Cifrado AES Bitstream 683823 | 2023.05.23/XNUMX/XNUMX
Usa a ferramenta de liña de comandos quartus_encrypt para finalizar o cifrado de fluxo de bits:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Usa a ferramenta de liña de comandos quartus_sign para asinar o fluxo de bits de configuración cifrado:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Cifrado de bitstream de reconfiguración parcial
Pode activar o cifrado de fluxo de bits nalgúns deseños de FPGA Intel Agilex 7 que usan a reconfiguración parcial.
Os deseños de reconfiguración parcial que utilizan a reconfiguración parcial xerárquica (HPR) ou a reconfiguración parcial de actualización estática (SUPR) non admiten o cifrado de fluxo de bits. Se o teu deseño contén varias rexións de PR, debes cifrar todas as persoas.
Para activar o cifrado de fluxo de bits de reconfiguración parcial, siga o mesmo procedemento en todas as revisións do deseño. 1. No Intel Quartus Prime File menú, seleccione Asignacións Dispositivo Dispositivo
e Seguridade das opcións de PIN. 2. Seleccione a localización de almacenamento da clave de cifrado desexada.
Figura 6. Configuración de cifrado de bitstream de reconfiguración parcial

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 23

3. Cifrado AES Bitstream 683823 | 2023.05.23/XNUMX/XNUMX
Como alternativa, pode engadir a seguinte declaración de tarefas na configuración de Quartus Prime file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION activado
Despois de compilar o seu deseño base e revisións, o software xera a.soffile e un ou máis.pmsffiles, representando as persoas. 3. Crea programación cifrada e asinada files de.sof e.pmsf files dun xeito similar aos deseños sen a reconfiguración parcial habilitada. 4. Converte o compilado persona.pmsf file a un.rbf parcialmente encriptado file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Finalice o cifrado de fluxo de bits usando a ferramenta de liña de comandos quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Asina o fluxo de bits da configuración cifrada mediante a ferramenta de liña de comandos quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 24

Enviar comentarios

683823 | 2023.05.23/XNUMX/XNUMX Enviar comentarios

Aprovisionamento de dispositivos

O aprovisionamento de funcións de seguranza inicial só se admite no firmware de provisión de SDM. Use o programador Intel Quartus Prime para cargar o firmware de aprovisionamento SDM e realizar operacións de aprovisionamento.
Podes usar calquera tipo de JTAG cable de descarga para conectar o programador Quartus a un dispositivo Intel Agilex 7 para realizar operacións de aprovisionamento.
4.1. Usando o firmware de provisión de SDM
O programador Intel Quartus Prime crea e carga automaticamente unha imaxe auxiliar predeterminada de fábrica cando selecciona a operación de inicialización e un comando para programar algo que non sexa un fluxo de bits de configuración.
Dependendo do comando de programación especificado, a imaxe auxiliar predeterminada de fábrica é de dous tipos:
· Imaxe auxiliar de aprovisionamento: consta dunha sección de bitstream que contén o firmware de aprovisionamento SDM.
· Imaxe auxiliar QSPI: consta de dúas seccións de fluxo de bits, unha que contén o firmware principal SDM e unha sección de E/S.
Podes crear unha imaxe de axuda predeterminada de fábrica file para cargar no seu dispositivo antes de realizar calquera comando de programación. Despois de programar un hash de clave raíz de autenticación, debes crear e asinar unha imaxe auxiliar predeterminada de fábrica QSPI debido á sección de E/S incluída. Se ademais programas a configuración de seguranza do firmware co-asinado eFuse, debes crear as imaxes de axuda predeterminadas de fábrica de QSPI e aprovisionamento cun firmware co-asinado. Podes utilizar unha imaxe de axuda predeterminada de fábrica co-asinada nun dispositivo sen aprovisionar xa que o dispositivo sen aprovisionar ignora as cadeas de sinaturas que non son de Intel a través do firmware SDM. Consulte Usar a imaxe auxiliar predeterminada de QSPI de fábrica en dispositivos propios na páxina 26 para obter máis detalles sobre a creación, asinar e usar a imaxe auxiliar predeterminada de QSPI de fábrica.
A imaxe de axuda predeterminada de fábrica de aprovisionamento realiza unha acción de aprovisionamento, como a programación do hash da clave raíz de autenticación, os fusibles de configuración de seguranza, o rexistro de PUF ou o aprovisionamento de chave negra. Usas a programación Intel Quartus Prime File Ferramenta de liña de comandos do xerador para crear a imaxe auxiliar de aprovisionamento, especificando a opción helper_image, o seu nome de dispositivo_axudante, o subtipo de imaxe de axudante de provisión e, opcionalmente, un firmware .zip asinado conjuntamente file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Programe a imaxe de axuda usando a ferramenta Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –forzar

Certificado ISO 9001:2015

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX

Nota:

Pode omitir a operación de inicialización dos comandos, incluíndo por exemploampficheiros proporcionados neste capítulo, despois de programar unha imaxe auxiliar de provisión ou de usar un comando que contén a operación de inicialización.

4.2. Usando QSPI Factory Default Helper Image en dispositivos propios
O programador Intel Quartus Prime crea e carga automaticamente unha imaxe auxiliar predeterminada de fábrica QSPI cando selecciona a operación de inicialización para unha programación flash QSPI file. Despois de programar un hash de clave raíz de autenticación, debes crear e asinar a imaxe auxiliar de fábrica QSPI predeterminada e programar a imaxe auxiliar de fábrica QSPI asinada por separado antes de programar o flash QSPI. 1. Utiliza a programación Intel Quartus Prime File Ferramenta de liña de comandos xerador para
cree a imaxe de axuda QSPI, especificando a opción helper_image, o seu tipo de dispositivo_axudante, o subtipo de imaxe de axuda QSPI e, opcionalmente, un firmware .zip cofirmado file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Asina a imaxe de axuda predeterminada de fábrica de QSPI:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Podes usar calquera programación flash QSPI file formato. Os seguintes exampos usan un fluxo de bits de configuración convertido ao .jic file formato:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Programas a imaxe de axuda asinada usando a ferramenta Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –forzar
5. Programas a imaxe .jic para que parpadee usando a ferramenta Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. Aprovisionamento de clave raíz de autenticación
Para programar os hash da chave raíz do propietario en fusibles físicos, primeiro debes cargar o firmware de provisión, a continuación programar os hash da clave raíz do propietario e, a continuación, realizar un restablecemento inmediato. Non é necesario un reinicio ao acender se se programan hash de clave raíz para fusibles virtuais.

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 26

Enviar comentarios

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX
Para programar os hash de clave raíz de autenticación, programa a imaxe auxiliar do firmware de provisión e executa un dos seguintes comandos para programar a clave raíz .qky files.
// Para eFuses físicos (non volátiles) quartus_pgm -c 1 -m jtag -o “p;root0.qky;root1.qky;root2.qky” –clave_non_volátil
// Para eFuses virtuais (volátiles) quartus_pgm -c 1 -m jtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. Reconfiguración parcial Programación de claves raíz de varias autoridades
Despois de aprovisionar as claves raíz do propietario do fluxo de bits da rexión estática ou do dispositivo, carga de novo a imaxe auxiliar de provisión do dispositivo, programa o certificado compacto de autorización do programa de chave pública PR asinado e, a continuación, proporciona a clave raíz do propietario do fluxo de bits de PR persona.
// Para eFuses físicos (non volátiles) quartus_pgm -c 1 -m jtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Para eFuses virtuais (volátiles) quartus_pgm -c 1 -m jtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Programación de fusibles de identificación de cancelación de claves
A partir da versión 21.1 do software Intel Quartus Prime Pro Edition, a programación de fusibles de identificación de cancelación de clave de Intel e de propietario require o uso dun certificado compacto asinado. Podes asinar o certificado compacto de ID de cancelación de clave cunha cadea de sinaturas que teña permisos de sinatura da sección FPGA. Crea o certificado compacto coa programación file ferramenta de liña de comandos xerador. Asina o certificado sen asinar mediante a ferramenta quartus_sign ou a implementación de referencia.
Os dispositivos Intel Agilex 7 admiten bancos separados de ID de cancelación de clave de propietario para cada clave raíz. Cando se programa un certificado compacto de ID de cancelación de clave do propietario nun FPGA Intel Agilex 7, o SDM determina que clave raíz asinou o certificado compacto e quebra o fusible de ID de cancelación de clave que corresponde a esa clave raíz.
Os seguintes exampos crean un certificado de cancelación de clave Intel para o ID de clave Intel 7. Pode substituír o 7 polo ID de cancelación de clave Intel aplicable entre 0 e 31.
Executa o seguinte comando para crear un certificado compacto de ID de cancelación de clave Intel sen asinar:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Executa un dos seguintes comandos para asinar o certificado compacto de ID de cancelación de clave Intel sen asinar:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 27

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Executa o seguinte comando para crear un certificado compacto de ID de cancelación de clave de propietario sen asinar:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Executa un dos seguintes comandos para asinar o certificado compacto de ID de cancelación da clave do propietario sen asinar:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Despois de crear un certificado compacto de ID de cancelación de clave asinado, utiliza o programador Intel Quartus Prime para programar o certificado compacto no dispositivo mediante JTAG.
//Para eFuses físicos (non volátiles) quartus_pgm -c 1 -m jtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –clave_non_volátil
//Para eFuses virtuais (volátiles) quartus_pgm -c 1 -m jtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert"
Ademais, pode enviar o certificado compacto ao SDM mediante a interface de caixa de correo FPGA ou HPS.
4.5. Cancelando as claves raíz
Os dispositivos Intel Agilex 7 permítenche cancelar os hash de clave raíz cando hai outro hash de clave raíz sen cancelar. Cancela un hash de clave raíz configurando primeiro o dispositivo cun deseño cuxa cadea de sinaturas estea enraizada nun hash de clave raíz diferente e, a continuación, programa un certificado compacto de cancelación de hash de clave raíz asinado. Debe asinar o certificado compacto de cancelación de hash da chave raíz cunha cadea de sinaturas enraizada na clave raíz para cancelar.
Executa o seguinte comando para xerar un certificado compacto de cancelación hash de chave raíz sen asinar:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 28

Enviar comentarios

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX

Executa un dos seguintes comandos para asinar o certificado compacto de cancelación hash da chave raíz sen asinar:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Podes programar un certificado compacto de cancelación hash de clave raíz a través de JTAGcaixas de correo , FPGA ou HPS.

4.6. Programación de fusibles contadores
Actualizas o número de versión de seguranza (SVN) e o Pseudo Time Stamp contadores (PTS) utilizando certificados compactos asinados.

Nota:

O SDM fai un seguimento do valor mínimo do contador visto durante unha configuración determinada e non acepta certificados de incremento do contador cando o valor do contador é menor que o valor mínimo. Debe actualizar todos os obxectos asignados a un contador e reconfigurar o dispositivo antes de programar un certificado compacto de incremento de contador.

Execute un dos seguintes comandos que se corresponda co certificado de incremento do contador que quere xerar.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter= unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter= unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter= unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter= unsigned_svnD.ccert

Un valor de contador de 1 crea un certificado de autorización de incremento de contador. A programación dun certificado compacto de autorización de incremento de contador permítelle programar máis certificados de incremento de contador sen asinar para actualizar o contador respectivo. Usas a ferramenta quartus_sign para asinar os certificados compactos de contador dun xeito similar aos certificados compactos de ID de cancelación de claves.
Podes programar un certificado compacto de cancelación hash de clave raíz a través de JTAGcaixas de correo , FPGA ou HPS.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 29

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX

4.7. Aprovisionamento de clave raíz do servizo de obxectos de datos seguro
Usa o programador Intel Quartus Prime para proporcionar a clave raíz do servizo de obxectos de datos seguros (SDOS). O programador carga automaticamente a imaxe auxiliar do firmware para aprovisionar a clave raíz SDOS.
quartus_pgm c 1 m jtag –clave_raíz_servizo –clave_non_volátil

4.8. Aprovisionamento de fusibles de configuración de seguridade
Use o programador Intel Quartus Prime para examinar os fusibles de configuración de seguranza do dispositivo e escríbeos nun .fuse baseado en texto file do seguinte xeito:
quartus_pgm -c 1 -mjtag -o "ei;programación_file.fusible;AGFB014R24B”

Opcións · i: o programador carga a imaxe auxiliar do firmware de provisión no dispositivo. · e: O Programador le o fusible do dispositivo e gárdao nun .fusible file.

O .fusible file contén unha lista de pares nome-valor de fusibles. O valor especifica se se fundou un fusible ou o contido do campo de fusibles.

Os seguintes example mostra o formato do .fuse file:

# Firmware cofirmado

= "Non explotado"

# Permiso de matar dispositivo

= "Non explotado"

# O dispositivo non está seguro

= "Non explotado"

# Desactivar a depuración de HPS

= "Non explotado"

# Desactivar o rexistro PUF de ID intrínseco

= "Non explotado"

# Desactivar JTAG

= "Non explotado"

# Desactivar a chave de cifrado incluída en PUF

= "Non explotado"

# Desactivar a clave de cifrado do propietario en BBRAM = "Non explotado"

# Desactivar a clave de cifrado do propietario en eFuses = "Non explotado"

# Desactivar o hash 0 da chave pública raíz do propietario

= "Non explotado"

# Desactivar o hash 1 da chave pública raíz do propietario

= "Non explotado"

# Desactivar o hash 2 da chave pública raíz do propietario

= "Non explotado"

# Desactivar eFuses virtuais

= "Non explotado"

# Forzar o reloxo SDM ao oscilador interno = "Non explotado"

# Forzar a actualización da clave de cifrado

= "Non explotado"

# Cancelación explícita de clave de Intel

= "0"

# Bloquear eFuses de seguridade

= "Non explotado"

# Programa de claves de cifrado do propietario feito

= "Non explotado"

# Inicio do programa de chaves de cifrado do propietario

= "Non explotado"

# Cancelación explícita da chave do propietario 0

= ""

# Cancelación explícita da chave do propietario 1

= ""

# Cancelación explícita da chave do propietario 2

= ""

# Fusibles propietarios

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000"

# Hash da chave pública raíz do propietario 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Hash da chave pública raíz do propietario 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Hash da chave pública raíz do propietario 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Tamaño da clave pública raíz do propietario

= "Ningún"

Contador # PTS

= "0"

Base de contador # PTS

= "0"

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 30

Enviar comentarios

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX

# Retraso de inicio de QSPI # Contador RMA # SDMIO0 é I2C # Contador SVN A # Contador SVN B # Contador SVN C # Contador SVN D

= “10 ms” = “0” = “Non explotado” = “0” = “0” = “0” = “0”

Modificar o .fusible file para configurar os fusibles de configuración de seguridade desexados. Unha liña que comeza con # trátase como unha liña de comentario. Para programar un fusible de configuración de seguridade, elimine o # inicial e estableza o valor en Explotado. Por example, para activar o fusible de configuración de seguridade de Firmware asinado conjuntamente, modifique a primeira liña do fusible file ao seguinte:
Firmware cofirmado = "Blowed"

Tamén pode asignar e programar os fusibles do propietario en función dos seus requisitos.
Podes usar o seguinte comando para realizar unha comprobación en branco, programar e verificar a clave pública raíz do propietario:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

Opcións · i: carga a imaxe auxiliar do firmware de provisión no dispositivo. · b: realiza unha comprobación en branco para verificar que os fusibles de configuración de seguridade desexados non o están
xa soprado. · p: Programa o fusible. · v: verifica a clave programada no dispositivo.
Despois de programar o .qky file, pode examinar a información do fusible comprobando de novo a información do fusible para asegurarse de que tanto o hash da chave pública do propietario como o tamaño da chave pública do propietario teñan valores distintos de cero.
Aínda que os seguintes campos non se poden escribir a través do .fuse file método, inclúense durante a saída da operación de exame para a verificación: · O dispositivo non é seguro · Permitir o matar o dispositivo · Desactivar o hash da chave pública raíz do propietario 0 · Desactivar o hash da chave pública raíz do propietario 1 · Desactivar o hash da chave pública raíz do propietario 2 · Cancelación da chave Intel · Inicio do programa de clave de cifrado do propietario · Programa de clave de cifrado do propietario feito · Cancelación da clave do propietario · Hash da chave pública do propietario · Tamaño da clave pública do propietario · Hash da clave pública raíz do propietario 0 · Hash da chave pública raíz do propietario 1 · Hash da chave pública raíz do propietario 2

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 31

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX
· Contador PTS · Base contador PTS · Retardo de arranque QSPI · Contador RMA · SDMIO0 é I2C · Contador SVN A · Contador SVN B · Contador SVN C · Contador SVN D
Use o programador Intel Quartus Prime para programar o .fuse file de volta ao dispositivo. Se engade a opción i, o programador carga automaticamente o firmware de provisión para programar os fusibles de configuración de seguridade.
//Para eFuses físicos (non volátiles) quartus_pgm -c 1 -m jtag -o "pi;programación_file.fuse” –clave_non_volátil
//Para eFuses virtuais (volátiles) quartus_pgm -c 1 -m jtag -o "pi;programación_file.fusible”
Podes usar o seguinte comando para verificar se o hash da clave raíz do dispositivo é o mesmo que o .qky proporcionado no comando:
quartus_pgm -c 1 -mjtag -o "v;root0_another.qky"
Se as claves non coinciden, o programador falla cunha mensaxe de erro de operación fallida.
4.9. Aprovisionamento de clave raíz AES
Debe utilizar un certificado compacto de clave raíz AES asinado para programar unha clave raíz AES nun dispositivo Intel Agilex 7.
4.9.1. Certificado AES Root Key Compact
Usa a ferramenta de liña de comandos quartus_pfg para converter a túa clave raíz AES .qek file no formato de certificado compacto .ccert. Especifica a localización de almacenamento da chave ao crear o certificado compacto. Podes usar a ferramenta quartus_pfg para crear un certificado sen asinar para asinalo máis tarde. Debes usar unha cadea de sinaturas co permiso de sinatura do certificado de clave raíz AES, bit de permiso 6, habilitado para asinar correctamente un certificado compacto de clave raíz AES.

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 32

Enviar comentarios

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX
1. Cree un par de claves adicional usado para asinar o certificado compacto de claves AES mediante un dos seguintes comandos, por exemploamples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mecanismo ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. Cree unha cadea de sinaturas co bit de permiso correcto configurado mediante un dos seguintes comandos:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname root0 –previous_qky=root0.qky –permiso=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Cree un certificado compacto AES sen asinar para a localización de almacenamento da clave raíz AES desexada. Están dispoñibles as seguintes opcións de almacenamento da clave raíz AES:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Crear clave raíz AES eFuse certificado sen firmar quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Asina o certificado compacto co comando quartus_sign ou coa implementación de referencia.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.certo asinado_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 33

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_1.ccert signed_1.ccert
5. Use o programador Intel Quartus Prime para programar o certificado compacto de clave raíz AES no dispositivo Intel Agilex 7 mediante JTAG. O programador Intel Quartus Prime programa por defecto eFuses virtuais cando usa o tipo de certificado compacto EFUSE_WRAPPED_AES_KEY.
Engade a opción –non_volatile_key para especificar a programación de fusibles físicos.
//Para a clave raíz física (non volátil) eFuse AES quartus_pgm -c 1 -m jtag -o “pi;signed_efuse1.ccert” –clave_non_volátil

//Para a clave raíz AES virtual (volátil) eFuse quartus_pgm -c 1 -m jtag -o "pi;signed_efuse1.ccert"

//Para a clave raíz BBRAM AES quartus_pgm -c 1 -m jtag -o "pi;signed_bbram1.ccert"

O firmware de provisión de SDM e o firmware principal admiten a programación de certificados de clave raíz AES. Tamén pode usar a interface da caixa de correo SDM do tecido FPGA ou HPS para programar un certificado de clave raíz AES.

Nota:

O comando quartus_pgm non admite as opcións b e v para certificados compactos (.ccert).

4.9.2. Aprovisionamento de clave raíz intrínseca ID® PUF AES
A implementación da clave AES envuelta en PUF de ID intrínseco inclúe os seguintes pasos: 1. Inscribir o PUF de ID intrínseco a través de JTAG. 2. Envolvendo a clave raíz AES. 3. Programando os datos do axudante e a chave envolto na memoria flash quad SPI. 4. Consulta do estado de activación do PUF de ID intrínseco.
O uso da tecnoloxía de ID intrínseco require un acordo de licenza separado con ID intrínseco. O software Intel Quartus Prime Pro Edition restrinxe as operacións PUF sen a licenza axeitada, como o rexistro, a inclusión de claves e a programación de datos PUF a QSPI flash.

4.9.2.1. Inscrición PUF con ID intrínseco
Para rexistrar o PUF, debes usar o firmware de provisión SDM. O firmware de provisión debe ser o primeiro firmware cargado despois dun ciclo de acendido e debes emitir o comando de rexistro PUF antes de calquera outro comando. O firmware de subministración admite outros comandos despois da inscrición en PUF, incluíndo o envoltorio de clave raíz AES e a programación de quad SPI, non obstante, debes apagar o dispositivo para cargar un fluxo de bits de configuración.
Usa o programador Intel Quartus Prime para activar o rexistro de PUF e xerar os datos auxiliares de PUF .puf file.

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 34

Enviar comentarios

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX

Figura 7.

Inscrición PUF con ID intrínseco
quartus_pgm Inscrición PUF

Datos de axudante de PUF de inscrición

Xestor de dispositivos seguros (SDM)

wrapper.puf Datos de axuda
O programador carga automaticamente unha imaxe auxiliar de firmware de provisión cando especifica tanto a operación i como un argumento .puf.
quartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
Se estás a usar firmware co-asinado, debes programar a imaxe auxiliar do firmware co-asinado antes de usar o comando de rexistro PUF.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –forzar quartus_pgm -c 1 -m jtag -o "e;help_data.puf;AGFB014R24A"
O UDS IID PUF está rexistrado durante a fabricación do dispositivo e non está dispoñible para volver rexistrarse. En vez diso, usa o Programador para determinar a localización dos datos auxiliares de UDS PUF en IPCS, descarga o .puf file directamente e, a continuación, use o UDS .puf file do mesmo xeito que o .puf file extraído dun dispositivo Intel Agilex 7.
Use o seguinte comando do programador para xerar un texto file que contén unha lista de URLs apuntando a un dispositivo específico files en IPCS:
quartus_pgm -c 1 -mjtag -o "e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Envolvendo a clave raíz AES
Xeras a chave raíz AES envolta en PUF IID .wkey file enviando un certificado asinado ao SDM.
Podes usar o programador Intel Quartus Prime para xerar, asinar e enviar automaticamente o certificado para envolver a túa clave raíz AES, ou podes usar a programación Intel Quartus Prime File Xerador para xerar un certificado sen asinar. Asinas o certificado sen asinar usando as túas propias ferramentas ou a ferramenta de sinatura Quartus. A continuación, utiliza o programador para enviar o certificado asinado e envolver a súa clave raíz AES. O certificado asinado pódese usar para programar todos os dispositivos que poidan validar a cadea de sinaturas.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 35

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX

Figura 8.

Envolver a clave AES usando o programador Intel Quartus Prime
.pem Privado
Chave

.qky

quartus_pgm

Envolver a clave AES

AES.QSKigYnature RootCPhuabilnic Chave

Xerar chave envuelta PUF

Chave AES envuelta

SDM

Cifrado .qek
Chave

.wkey Envoltura de PUF
Chave AES

1. Pode xerar a chave raíz AES envolveda en PUF IID (.wkey) co programador usando os seguintes argumentos:
· O .qky file que contén unha cadea de sinaturas con permiso de certificado de clave raíz AES
· O .pem privado file para a última chave da cadea de sinaturas
· O .qek file mantendo a tecla raíz AES
· O vector de inicialización de 16 bytes (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Como alternativa, pode xerar un certificado de clave raíz AES IID PUF sen asinar coa programación. File Xerador utilizando os seguintes argumentos:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Asina o certificado sen asinar coas súas propias ferramentas de sinatura ou coa ferramenta quartus_sign mediante o seguinte comando:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. A continuación, utiliza o programador para enviar o certificado AES asinado e devolver a chave empaquetada (.wkey) file:

cuartos_pgm -c 1 -m jtag –ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Nota: a operación i non é necesaria se previamente cargou a imaxe auxiliar do firmware de provisión, por exemploample, para inscribir a PUF.

4.9.2.3. Datos auxiliares de programación e chave envolto na memoria flash QSPI
Usas a programación Quartus File Interface gráfica xeradora para construír unha imaxe flash QSPI inicial que contén unha partición PUF. Debe xerar e programar unha imaxe de programación flash completa para engadir unha partición PUF ao flash QSPI. Creación da PUF

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 36

Enviar comentarios

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX

Figura 9.

partición de datos e uso dos datos auxiliares PUF e da chave envolvente files para a xeración de imaxes flash non é compatible a través da Programación File Interface de liña de comandos do xerador.
Os seguintes pasos demostran a creación dunha imaxe de programación flash cos datos de axuda PUF e a chave envolvente:
1. Sobre o File menú, haga clic en Programación File Xerador. Na Saída FileA pestana fai as seguintes seleccións:
a. Para a familia de dispositivos, seleccione Agilex 7.
b. Para o modo de configuración, seleccione Active Serial x4.
c. Para o directorio de saída, busque a súa saída file directorio. Este example usa output_files.
d. Para Nome, especifique un nome para a programación file a xerar. Este example usa output_file.
e. En Descrición seleccione a programación files xerar. Este example xera o JTAG Configuración indirecta File (.jic) para a configuración do dispositivo e o binario bruto File de Imaxe de axuda de programación (.rbf) para a imaxe de axuda de dispositivo. Este example tamén selecciona o mapa de memoria opcional File (.map) e datos de programación en bruto File (.rpd). Datos brutos de programación file é necesario só se planea utilizar un programador de terceiros no futuro.
Programación File Xerador - Saída Files Ficha: seleccione JTAG Configuración indirecta

Modo de configuración da familia de dispositivos
Saída file ficha
Directorio de saída
JTAG Mapa de memoria indirecto (.jic). File Axudante de programación Datos de programación en bruto
Na entrada Files, faga as seguintes seleccións: 1. Faga clic en Engadir Bitstream e busque o seu .sof. 2. Seleccione o seu .sof file e logo faga clic en Propiedades.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 37

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX
a. Activa Activar ferramenta de sinatura. b. Para chave privada file selecciona o teu .pem file. c. Activa Finalizar cifrado. d. Para a clave de cifrado file selecciona o teu .qek file. e. Fai clic en Aceptar para volver á xanela anterior. 3. Para especificar os seus datos de axuda PUF file, fai clic en Engadir datos brutos. Cambia o Files de tipo menú despregable para Quartus Physical Unclonable Function File (*.puf). Navega ata o teu .puf file. Se está a usar tanto o IID PUF como o UDS IID PUF, repita este paso para que .puf files para cada PUF engádense como entrada files. 4. Para especificar a súa clave AES envolveda file, fai clic en Engadir datos brutos. Cambia o Files de tipo menú despregable a Quartus Wrapped Key File (*.wkey). Navega ata o teu .wkey file. Se envolveu claves AES usando tanto o IID PUF como o UDS IID PUF, repita este paso para que .wkey files para cada PUF engádense como entrada files.
Figura 10. Especificar a entrada Files para Configuración, Autenticación e Cifrado

Engadir bitstream Engadir datos brutos
Propiedades
Chave privada file
Finalizar o cifrado Chave de cifrado
Na pestana Dispositivo de configuración, faga as seguintes seleccións: 1. Faga clic en Engadir dispositivo e seleccione o seu dispositivo flash na lista de flash dispoñibles.
dispositivos. 2. Seleccione o dispositivo de configuración que acaba de engadir e prema Engadir partición. 3. No cadro de diálogo Editar partición para a entrada file e selecciona o teu .sof do
lista despregable. Pode manter os valores predeterminados ou editar os outros parámetros no cadro de diálogo Editar partición.

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 38

Enviar comentarios

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX
Figura 11. Especificación da súa partición de bitstream de configuración .sof

Dispositivo de configuración
Editar partición Engadir .sof file

Engadir partición

4. Cando engade a tecla .puf e .wkey como entrada files, a Programación File Generator crea automaticamente unha partición PUF no teu dispositivo de configuración. Para almacenar as teclas .puf e .wkey na partición PUF, seleccione a partición PUF e prema en Editar. No cadro de diálogo Editar partición, seleccione o seu .puf e .wkey files das listas despregábeis. Se elimina a partición PUF, debe eliminar e engadir de novo o dispositivo de configuración para a programación File Xerador para crear outra partición PUF. Debe asegurarse de seleccionar os .puf e .wkey correctos file para IID PUF e UDS IID PUF, respectivamente.
Figura 12. Engade as teclas .puf e .wkey files á partición PUF

Partición PUF

Editar

Editar partición

Flash Loader

Seleccione Xerar

5. Para o parámetro Flash Loader, seleccione a familia de dispositivos Intel Agilex 7 e o nome do dispositivo que coincida co seu OPN Intel Agilex 7.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 39

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX
6. Faga clic en Xerar para xerar a saída files que especificaches na Saída Filepestana s.
7. A Programación File Generator le o teu .qek file e pídelle o seu contrasinal. Escribe o teu contrasinal en resposta ao indicador Introduza a frase de acceso QEK. Fai clic na tecla Intro.
8. Faga clic en Aceptar cando apareza Programación File Generator informa da xeración exitosa.
Usa o programador Intel Quartus Prime para escribir a imaxe de programación QSPI na memoria flash QSPI. 1. No menú Intel Quartus Prime Tools, seleccione Programador. 2. No Programador, faga clic en Configuración de hardware e, a continuación, seleccione un Intel conectado
Cable de descarga FPGA. 3. Faga clic en Engadir File e navegue ata o seu .jic file.
Figura 13. Programa .jic

Programación file

Programa/Configurar

JTAG cadea de exploración
4. Desmarque a caixa asociada á imaxe de Axudante. 5. Seleccione Programa/Configurar para a saída .jic file. 6. Activa o botón Inicio para programar a túa memoria flash quad SPI. 7. Encender o taboleiro. O deseño programado para a memoria flash quad SPI
o dispositivo cárgase posteriormente na FPGA de destino.
Debe xerar e programar unha imaxe de programación flash completa para engadir unha partición PUF ao flash SPI cuádruple.
Cando xa existe unha partición PUF no flash, é posible usar o programador Intel Quartus Prime para acceder directamente aos datos auxiliares PUF e á chave envolvente. files. Por example, se a activación non ten éxito, é posible volver rexistrar o PUF, volver envolver a chave AES e, posteriormente, só programar o PUF files sen ter que sobrescribir o flash completo.

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 40

Enviar comentarios

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX
O programador Intel Quartus Prime admite o seguinte argumento de operación para PUF files nunha partición PUF preexistente:
· p: programa
· v: verificar
· r: borrar
· b: cheque en branco
Debe seguir as mesmas restricións para a inscrición PUF, aínda que exista unha partición PUF.
1. Use o argumento de operación i para cargar a imaxe auxiliar do firmware de provisión para a primeira operación. Por example, a seguinte secuencia de comandos rexistra de novo o PUF, volve envolver a clave raíz AES, borra os datos de axuda PUF antigos e a chave envolvente, despois programa e verifica os novos datos de axuda PUF e a clave raíz AES.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o "v;new.wkey"
4.9.2.4. Consultando o estado de activación de PUF de ID intrínseco
Despois de rexistrar o ID intrínseco PUF, envolve unha clave AES e xera a programación flash files, e actualiza o flash SPI cuádruple, encender o dispositivo para activar a activación e configuración de PUF desde o fluxo de bits cifrado. O SDM informa do estado de activación do PUF xunto co estado da configuración. Se a activación de PUF falla, o SDM informa do estado de erro PUF. Use o comando quartus_pgm para consultar o estado da configuración.
1. Use o seguinte comando para consultar o estado de activación:
quartus_pgm -c 1 -mjtag –status –status_type="CONFIG"
Aquí está sampSaída do ficheiro dunha activación exitosa:
Información (21597): a resposta do dispositivo CONFIG_STATUS está a executarse no modo de usuario 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Versión C000007B MSEL=QSPI_NORMAL, nCONFIG=1, nCONFIG=1, nCONFIG=1, nCONFIG=XNUMX,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Localización do erro 00000000 Detalles do erro Resposta de PUF_STATUS 00002000 2 00000500 STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 41

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX

Se só está a usar o IID PUF ou o UDS IID PUF e non ten programado un .puf de datos auxiliares file para calquera PUF no flash QSPI, ese PUF non se activa e o estado PUF reflicte que os datos auxiliares de PUF non son válidos. Os seguintes exampO ficheiro mostra o estado do PUF cando os datos auxiliares do PUF non foron programados para ningún dos PUF:
Resposta de PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Localización do PUF na memoria flash
A localización da PUF file é diferente para os deseños que admiten RSU e os deseños que non admiten a función RSU.

Para os deseños que non admiten RSU, debes incluír o .puf e .wkey files cando crea imaxes flash actualizadas. Para os deseños que admiten RSU, o SDM non sobrescribe as seccións de datos PUF durante as actualizacións de imaxes de fábrica ou de aplicacións.

Táboa 2.

Disposición de subparticións de Flash sen soporte de RSU

Desfase de flash (en bytes)

Tamaño (en bytes)

Contidos

Descrición

0K 256K

256K 256K

Firmware de xestión de configuración Firmware de xestión de configuración

Firmware que se executa en SDM.

512 mil

256 mil

Firmware de xestión de configuración

768 mil

256 mil

Firmware de xestión de configuración

32 mil

Copia de datos PUF 0

Estrutura de datos para almacenar datos auxiliares de PUF e copia da clave raíz AES envuelta en PUF 0

1M+32K

32 mil

Copia de datos PUF 1

Estrutura de datos para almacenar datos auxiliares de PUF e copia da clave raíz AES envuelta en PUF 1

Táboa 3.

Disposición de subparticións de Flash con soporte de RSU

Desfase de flash (en bytes)

Tamaño (en bytes)

Contidos

Descrición

0K 512K

512K 512K

Firmware de decisión Firmware de decisión

Firmware para identificar e cargar a imaxe de maior prioridade.

1M 1.5M

512K 512K

Firmware de decisión Firmware de decisión

8K + 24K

Datos de firmware de decisión

Acolchado

Reservado para uso do firmware Decision.

2M + 32K

32 mil

Reservado para SDM

Reservado para SDM.

2M + 64K

Variable

Imaxe da fábrica

Unha imaxe sinxela que crea como copia de seguranza se non se cargan todas as outras imaxes da aplicación. Esta imaxe inclúe o CMF que se executa no SDM.

A continuación

32 mil

Copia de datos PUF 0

Estrutura de datos para almacenar datos auxiliares de PUF e copia da clave raíz AES envuelta en PUF 0
continuou…

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 42

Enviar comentarios

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX

Desfase de flash (en bytes)

Tamaño (en bytes)

Seguinte +32K 32K

Contido Copia de datos PUF 1

Seguinte + 256K 4K Seguinte +32K 4K Seguinte +32K 4K

Copia da táboa de subparticións 0 Copia da táboa de subparticións 1 Copia do bloque de punteiros CMF 0

Seguinte +32K _

Copia do bloque do punteiro CMF 1

Variable Variable

Imaxe da aplicación 1 Imaxe da aplicación 2

4.9.3. Aprovisionamento de chave negra

Descrición
Estrutura de datos para almacenar datos auxiliares de PUF e copia da clave raíz AES envuelta en PUF 1
Estrutura de datos para facilitar a xestión do almacenamento flash.
Unha lista de punteiros ás imaxes da aplicación por orde de prioridade. Cando engades unha imaxe, esa imaxe pasa a ser a máis alta.
Unha segunda copia da lista de punteiros ás imaxes da aplicación.
A túa primeira imaxe da aplicación.
A túa segunda imaxe da aplicación.

Nota:

O Intel Quartus PrimeProgrammer axuda a establecer unha conexión segura mutuamente autenticada entre o dispositivo Intel Agilex 7 e o servizo de subministración de chave negra. A conexión segura establécese a través de https e require varios certificados identificados mediante un texto file.
Ao usar Black Key Provisioning, Intel recomenda que evite conectar externamente o pin TCK para tirar cara arriba ou baixar unha resistencia mentres aínda a usa para JTAG. Non obstante, pode conectar o pin TCK á fonte de alimentación VCCIO SDM usando unha resistencia de 10 k. Inclúese a orientación existente nas Directrices de conexión de pines para conectar TCK a unha resistencia desplegable de 1 k para a supresión de ruído. O cambio na guía a unha resistencia pull-up de 10 k non afecta funcionalmente ao dispositivo. Para obter máis información sobre a conexión do pin TCK, consulte as directrices de conexión de Intel Agilex 7 Pin.
Thebkp_tls_ca_certcertificate autentica a súa instancia de servizo de aprovisionamento de chave negra na súa instancia de programador de aprovisionamento de chave negra. Os certificados bkp_tls_* autentican a súa instancia de programador de aprovisionamento de chave negra na súa instancia de servizo de aprovisionamento de chave negra.
Vostede crea un texto file que contén a información necesaria para que o programador Intel Quartus Prime se conecte ao servizo de subministración de chave negra. Para iniciar o aprovisionamento da tecla negra, use a interface da liña de comandos do programador para especificar o texto das opcións de aprovisionamento da tecla negra file. O aprovisionamento da chave negra procede entón automaticamente. Para acceder ao servizo de subministración de chaves negras e á documentación asociada, póñase en contacto co soporte de Intel.
Podes activar o aprovisionamento da tecla negra usando o comando quarttus_pgm:
quartus_pgm -c -m -dispositivo –bkp_options=bkp_options.txt
Os argumentos do comando especifican a seguinte información:

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 43

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX

· -c: número de cable · -m: especifica o modo de programación como JTAG · –dispositivo: especifica un índice de dispositivo en JTAG cadea. O valor predeterminado é 1. · –bkp_options: especifica un texto file que contén opcións de subministración de chaves negras.
Información relacionada Directrices de conexión de pins da familia de dispositivos Intel Agilex 7

4.9.3.1. Opcións de aprovisionamento de chave negra
As opcións de aprovisionamento da tecla negra son un texto file pasou ao programador a través do comando quartus_pgm. O file contén información necesaria para activar o aprovisionamento de clave negra.
O seguinte é un examplieiro do bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = raíz. ://1234:192.167.5.5 bkp_proxy_user = usuario_proxy bkp_proxy_password = contrasinal_proxy

Táboa 4.

Opcións de aprovisionamento de chave negra
Esta táboa mostra as opcións necesarias para activar o aprovisionamento de teclas negras.

Nome da opción

Tipo

Descrición

bkp_ip

Obrigatorio

Especifica o enderezo IP do servidor que executa o servizo de subministración de chave negra.

bkp_port

Obrigatorio

Especifica o porto de servizo de subministración de chave negra necesario para conectarse ao servidor.

bkp_cfg_id

Obrigatorio

Identifica o ID do fluxo de configuración de aprovisionamento de chave negra.
O servizo de aprovisionamento de chave negra crea os fluxos de configuración de aprovisionamento de chave negra, incluíndo unha clave raíz AES, a configuración eFuse desexada e outras opcións de autorización de aprovisionamento de chave negra. O número asignado durante a configuración do servizo de aprovisionamento de chave negra identifica os fluxos de configuración de aprovisionamento de chave negra.
Nota: É posible que varios dispositivos se refiran ao mesmo fluxo de configuración do servizo de subministración de chave negra.

bkp_tls_ca_cert

Obrigatorio

O certificado TLS raíz utilizado para identificar os servizos de subministración de chave negra ao programador (programador) Intel Quartus Prime. Unha autoridade de certificación de confianza para a instancia do servizo de subministración de chave negra emite este certificado.
Se executa o programador nun ordenador co sistema operativo Microsoft® Windows® (Windows), debe instalar este certificado no almacén de certificados de Windows.

bkp_tls_prog_cert

Obrigatorio

Un certificado creado para a instancia do programador de aprovisionamento de chave negra (programador BKP). Este é o certificado de cliente https usado para identificar esta instancia de programador BKP
continuou…

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 44

Enviar comentarios

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX

Nome da opción

Tipo

bkp_tls_prog_key

Obrigatorio

bkp_tls_prog_key_pass Opcional

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Opcional Opcional Opcional

Descrición
ao servizo de subministración de chave negra. Debe instalar e autorizar este certificado no servizo de subministración de chave negra antes de iniciar unha sesión de aprovisionamento de chave negra. Se executa o programador en Windows, esta opción non está dispoñible. Neste caso, a bkp_tls_prog_key xa inclúe este certificado.
A clave privada correspondente ao certificado de programador BKP. A clave valida a identidade da instancia do programador BKP para o servizo de subministración de chave negra. Se executa o programador en Windows, o .pfx file combina o certificado bkp_tls_prog_cert e a clave privada. A opción bkp_tlx_prog_key pasa o .pfx file no bkp_options.txt file.
O contrasinal da chave privada bkp_tls_prog_key. Non é necesario no texto das opcións de configuración de aprovisionamento de chave negra (bkp_options.txt). file.
Especifica o servidor proxy URL enderezo.
Especifica o nome de usuario do servidor proxy.
Especifica o contrasinal de autenticación do proxy.

4.10. Convertendo a clave raíz do propietario, os certificados de clave raíz AES e Fuse files para Jam STAPL File Formatos

Podes usar o comando de liña de comandos quartus_pfg para converter .qky, clave raíz AES .ccert e .fuse files to Jam Formato STAPL File (.jam) e Jam Byte Code Format File (.jbc). Podes usar estes files para programar Intel FPGA usando Jam STAPL Player e Jam STAPL Byte-Code Player, respectivamente.

Un único .jam ou .jbc contén varias funcións, incluíndo unha configuración e un programa de imaxe auxiliar de firmware, verificación en branco e verificación da programación de chaves e fusibles.

Atención:

Cando convertes a clave raíz AES .ccert file ao formato .jam, o .jam file contén a clave AES en texto plano pero en forma ofuscada. En consecuencia, debes protexer o .jam file ao almacenar a clave AES. Podes facelo proporcionando a clave AES nun ambiente seguro.

Aquí están exampficheiros de comandos de conversión quartus_pfg:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky.” quartus_pfg_root014.qky; c -o helper_device=AGFB24R014A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB24R014A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB24R014A configuración de axuda quartus_fusef. Configuración de AGFB24RXNUMXA. configuración de fusibles_fuse.jbc

Para obter máis información sobre o uso de Jam STAPL Player para a programación de dispositivos, consulte AN 425: Usando a solución Jam STAPL de liña de comandos para a programación de dispositivos.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 45

4. Aprovisionamento de dispositivos 683823 | 2023.05.23/XNUMX/XNUMX
Executa os seguintes comandos para programar a clave pública raíz do propietario e a clave de cifrado AES:
//Para cargar o fluxo de bits auxiliar no FPGA. // O fluxo de bits auxiliar inclúe o firmware de provisión quartus_jli -c 1 -a CONFIGURAR RootKey.jam
//Para programar a chave pública raíz do propietario en eFuses virtuais quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Para programar a chave pública raíz do propietario en eFuses físicos quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Para programar a chave pública raíz do propietario de PR en eFuses virtuais quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Para programar a chave pública raíz do propietario de PR en eFuses físicos quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Para programar a clave de cifrado AES CCERT en BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Para programar a clave de cifrado AES CCERT en eFuses físicos quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Información relacionada AN 425: Uso da solución STAPL de Jam de liña de comandos para a programación de dispositivos

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 46

Enviar comentarios

683823 | 2023.05.23/XNUMX/XNUMX Enviar comentarios

Funcións avanzadas

5.1. Autorización de depuración segura
Para habilitar a autorización de depuración segura, o propietario da depuración debe xerar un par de claves de autenticación e utilizar o programador Intel Quartus Prime Pro para xerar información do dispositivo. file para o dispositivo que executa a imaxe de depuración:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
O propietario do dispositivo utiliza a ferramenta quartus_sign ou a implementación de referencia para engadir unha entrada de clave pública condicional a unha cadea de sinaturas destinada a operacións de depuración mediante a clave pública do propietario da depuración, as autorizacións necesarias, o texto da información do dispositivo. file, e outras restricións aplicables:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″, XNUMX debug_authorization_public_key.pem secure_debug_auth_chain.qky
O propietario do dispositivo devolve a cadea de sinaturas completa ao propietario da depuración, que utiliza a cadea de sinaturas e a súa clave privada para asinar a imaxe de depuración:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Podes usar o comando quartus_pfg para inspeccionar a cadea de sinaturas de cada sección deste fluxo de bits de depuración segura asinado do seguinte xeito:
quartus_pfg –check_integrity authorized_debug_design.rbf
A saída deste comando imprime os valores de restrición 1,2,17,18 da chave pública condicional que se utilizou para xerar o fluxo de bits asinado.
O propietario da depuración pode entón programar o deseño de depuración autorizado de forma segura:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
O propietario do dispositivo pode revogar a autorización de depuración segura cancelando o ID explícito de cancelación de clave asignado na cadea de sinaturas de autorización de depuración segura.
5.2. Certificados de depuración de HPS
Habilitando só o acceso autorizado ao porto de acceso de depuración de HPS (DAP) a través de JTAG interface require varios pasos:

Certificado ISO 9001:2015

5. Funcións avanzadas 683823 | 2023.05.23/XNUMX/XNUMX
1. Fai clic no menú Asignacións do software Intel Quartus Prime e selecciona a pestana Configuración do dispositivo e as opcións de pin.
2. Na pestana Configuración, active o porto de acceso de depuración de HPS (DAP) seleccionando Pins HPS ou Pins SDM no menú despregable e asegúrese de que a caixa de verificación Permitir depuración de HPS sen certificados non estea seleccionada.
Figura 14. Especifique os pinos HPS ou SDM para o HPS DAP

Porto de acceso de depuración de HPS (DAP)
Alternativamente, pode definir a asignación a continuación na configuración de Quartus Prime .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE "SDM PINS"
3. Compila e carga o deseño con esta configuración. 4. Cree unha cadea de sinaturas cos permisos axeitados para asinar unha depuración de HPS
certificado:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_cert_sign_cha
5. Solicite un certificado de depuración HPS sen asinar do dispositivo onde se carga o deseño de depuración:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. Asina o certificado de depuración de HPS sen asinar mediante a ferramenta quartus_sign ou a implementación de referencia e a cadea de sinaturas de depuración de HPS:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 48

Enviar comentarios

5. Funcións avanzadas 683823 | 2023.05.23/XNUMX/XNUMX
7. Envía o certificado de depuración de HPS asinado de volta ao dispositivo para habilitar o acceso ao porto de acceso de depuración de HPS (DAP):
quartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
O certificado de depuración de HPS só é válido desde o momento en que se xerou ata o seguinte ciclo de acendido do dispositivo ou ata que se cargue un tipo ou versión diferente de firmware SDM. Debe xerar, asinar e programar o certificado de depuración de HPS asinado e realizar todas as operacións de depuración antes de apagar o dispositivo. Pode invalidar o certificado de depuración de HPS asinado apagando o dispositivo.
5.3. Certificación de plataforma
Pode xerar un manifesto de integridade de referencia (.rim) file utilizando a programación file ferramenta xeradora:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Siga estes pasos para garantir a certificación da plataforma no seu deseño: 1. Use o programador Intel Quartus Prime Pro para configurar o dispositivo co
deseño para o que creaches un manifesto de integridade de referencia. 2. Use un verificador de certificación de plataforma para rexistrar o dispositivo emitindo comandos para o
SDM a través da caixa de correo SDM para crear o certificado de ID do dispositivo e o certificado de firmware ao recargar. 3. Use o programador Intel Quartus Prime Pro para reconfigurar o seu dispositivo co deseño. 4. Use o verificador de certificación da plataforma para emitir comandos ao SDM para obter o ID do dispositivo de certificación, o firmware e os certificados de alias. 5. Use o verificador de certificación para emitir o comando da caixa de correo SDM para obter a proba de certificación e o verificador comproba as probas devoltas.
Pode implementar o seu propio servizo de verificador mediante os comandos da caixa de correo SDM ou utilizar o servizo de verificación de certificación da plataforma Intel. Para obter máis información sobre o software do servizo de verificador de certificación da plataforma Intel, a dispoñibilidade e a documentación, póñase en contacto con Intel Support.
Información relacionada Directrices de conexión de pins da familia de dispositivos Intel Agilex 7
5.4. Físico Anti-Tamper
Activa o anti-t físicoamper características mediante os seguintes pasos: 1. Seleccionando a resposta desexada a un t detectadoamper evento 2. Configurando o t desexadoamper métodos de detección e parámetros 3. Incluíndo o anti-tamper IP na súa lóxica de deseño para axudar a xestionar anti-tamper
eventos

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 49

5. Funcións avanzadas 683823 | 2023.05.23/XNUMX/XNUMX
5.4.1. Anti-Tamper Respostas
Activas o anti-t físicoamper seleccionando unha resposta do Anti-tamper resposta: lista despregable na Asignacións Dispositivo Opcións de dispositivo e PIN Seguridade Anti-Tamper ficha. Por defecto, o anti-tampA súa resposta está desactivada. Cinco categorías de anti-tampa súa resposta está dispoñible. Cando selecciona a resposta desexada, habilitáronse as opcións para activar un ou máis métodos de detección.
Figura 15. Dispoñible Anti-Tamper Opcións de resposta

A asignación correspondente na configuración de Quartus Prime .gsf file é o seguinte:
set_global_assignment -name ANTI_TAMPER_RESPONSE "BLOQUEO E PUESTA A cero do DISPOSITIVO DE NOTIFICACIÓN"
Cando activas un anti-tampNa resposta, pode escoller dous pins de E/S dedicados SDM dispoñibles para emitir o tampa detección de eventos e o estado de resposta mediante a xanela Opcións de configuración do dispositivo e do PIN de asignacións.

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 50

Enviar comentarios

5. Funcións avanzadas 683823 | 2023.05.23/XNUMX/XNUMX
Figura 16. Pins de E/S dedicados SDM dispoñibles para Tamper Detección de eventos

Tamén podes facer as seguintes asignacións de pin na configuración file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Detección

Podes activar individualmente a frecuencia, a temperatura e o volumetage características de detección do SDM. A detección FPGA depende de incluír o Anti-Tamper Lite Intel FPGA IP no seu deseño.

Nota:

Frecuencia SDM e voltagetampOs métodos de detección dependen de referencias internas e hardware de medición que poden variar entre os dispositivos. Intel recomenda que caracterice o comportamento de tamper configuración de detección.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 51

5. Funcións avanzadas 683823 | 2023.05.23/XNUMX/XNUMX
Frecuencia tampA detección opera na fonte do reloxo de configuración. Para activar a frecuencia tampDespois da detección, debes especificar unha opción que non sexa oscilador interno no menú despregable Fonte do reloxo de configuración na pestana Xeral de dispositivos e opcións de pin de asignacións. Debes asegurarte de que a caixa de verificación Executar configuración CPU desde o oscilador interno estea activada antes de activar a frecuencia tamper detección. Figura 17. Configuración do SDM como oscilador interno
Para activar a frecuencia tampDespois da detección, seleccione a frecuencia Activar tamper caixa de verificación de detección e seleccione a Frecuencia t desexadaampo rango de detección no menú despregable. Figura 18. Habilitación da frecuencia Tamper Detección

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 52

Enviar comentarios

5. Funcións avanzadas 683823 | 2023.05.23/XNUMX/XNUMX
Alternativamente, pode activar a Frecuencia Tamper Detección realizando os seguintes cambios na configuración de Quartus Prime .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -name ENABLETFREQUEQUEAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Para activar a temperatura tampDespois da detección, seleccione Activar temperatura tamper caixa de verificación de detección e seleccione os límites superior e inferior da temperatura desexada nos campos correspondentes. Os límites superior e inferior enchéganse de forma predeterminada co intervalo de temperatura relacionado para o dispositivo seleccionado no deseño.
Para habilitar o voltagetampDespois da detección, seleccione unha das opcións Activar VCCL voltagetamper detección ou Activar VCCL_SDM voltagetamper caixas de verificación de detección e seleccione o Voltagetamper disparador de detección porcenttage no campo correspondente.
Figura 19. Habilitación Voltage Tamper Detección

Alternativamente, pode activar Voltage Tamper Detección especificando as seguintes asignacións no .qsf file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ON
5.4.3. Anti-Tamper Lite Intel FPGA IP
O Anti-Tamper Lite Intel FPGA IP, dispoñible no catálogo IP no software Intel Quartus Prime Pro Edition, facilita a comunicación bidireccional entre o seu deseño e o SDM para tamper eventos.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 53

Figura 20. Anti-Tamper Lite Intel FPGA IP

5. Funcións avanzadas 683823 | 2023.05.23/XNUMX/XNUMX

A IP proporciona os seguintes sinais de que se conecta ao seu deseño segundo sexa necesario:

Táboa 5.

Anti-Tamper Sinais de E/S IP Intel FPGA Lite

Nome do sinal

Dirección

Descrición

gpo_sdm_at_event gpi_fpga_at_event

Entrada de saída

Sinal SDM á lóxica de tecido FPGA de que un SDM detectou un tamper evento. A lóxica FPGA ten aproximadamente 5 ms para realizar a limpeza desexada e responder ao SDM mediante gpi_fpga_at_response_done e gpi_fpga_at_zeroization_done. O SDM procede co tampAccións de resposta cando se afirma gpi_fpga_at_response_done ou despois de que non se reciba ningunha resposta no tempo previsto.
FPGA interrompe a SDM que deseñaches anti-tampO circuíto de detección detectou un tamper evento e o SDM tampA resposta debe ser activada.

gpi_fpga_at_response_done

Entrada

FPGA interrompe a SDM que a lóxica FPGA realizou a limpeza desexada.

gpi_fpga_at_zeroization_d un

Entrada

FPGA sinala a SDM que a lóxica FPGA completou a ceroización desexada dos datos de deseño. Este sinal é sampled cando se afirma gpi_fpga_at_response_done.

5.4.3.1. Información de lanzamento

O número do esquema de versión IP (X.Y.Z) cambia dunha versión de software a outra. Un cambio en:
· X indica unha revisión importante da IP. Se actualiza o seu software Intel Quartus Prime, debe rexenerar a IP.
· Y indica que a IP inclúe novas funcións. Rexenera a túa IP para incluír estas novas funcións.
· Z indica que a IP inclúe cambios menores. Rexenera a túa IP para incluír estes cambios.

Táboa 6.

Anti-TampInformación de lanzamento de IP de Intel FPGA Lite

Versión IP

Elemento

Descrición 20.1.0

Versión Intel Quartus Prime

21.2

Data de lanzamento

2021.06.21

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 54

Enviar comentarios

5. Funcións avanzadas 683823 | 2023.05.23/XNUMX/XNUMX
5.5. Usando funcións de seguranza de deseño coa actualización do sistema remota
A actualización do sistema remoto (RSU) é unha función de FPGA Intel Agilex 7 que axuda a actualizar a configuración files dun xeito robusto. RSU é compatible con funcións de seguranza de deseño, como a autenticación, a sinatura conjunta de firmware e o cifrado de fluxos de bits, xa que RSU non depende do contido do deseño dos fluxos de bits de configuración.
Construíndo imaxes RSU con .sof Files
Se estás almacenando claves privadas no teu local filesistema, pode xerar imaxes RSU con funcións de seguranza de deseño utilizando un fluxo simplificado con .sof files como entradas. Para xerar imaxes RSU co .sof file, pode seguir as instrucións da sección Xerar imaxe de actualización do sistema remoto Files Usando a Programación File Xerador da Guía de usuario de configuración de Intel Agilex 7. Para cada .sof file especificado na entrada Files, faga clic no botón Propiedades... e especifique a configuración e as claves adecuadas para as ferramentas de sinatura e cifrado. A programación file A ferramenta xeradora asina e cifra automaticamente as imaxes de fábrica e aplicación mentres crea a programación RSU files.
Alternativamente, se está a almacenar claves privadas nun HSM, debe usar a ferramenta quartus_sign e, polo tanto, usar .rbf files. O resto desta sección detalla os cambios no fluxo para xerar imaxes RSU con .rbf files como entradas. Debes cifrar e asinar o formato .rbf files antes de seleccionalos como entrada files para imaxes RSU; con todo, a información de arranque da RSU file non debe estar cifrado, senón que só debe estar asinado. A Programación File O xerador non admite a modificación das propiedades do formato .rbf files.
Os seguintes exampos mostran as modificacións necesarias dos comandos na sección Xeración de imaxes de actualización do sistema remota Files Usando a Programación File Xerador da Guía de usuario de configuración de Intel Agilex 7.
Xerando a imaxe RSU inicial usando .rbf Files: Modificación de comandos
Desde a xeración da imaxe RSU inicial usando .rbf Files, modifique os comandos do paso 1. para activar as funcións de seguranza do deseño segundo o desexe utilizando as instrucións das seccións anteriores deste documento.
Por example, especificarías un firmware asinado file se estaba a usar o cosigning de firmware, use a ferramenta de cifrado Quartus para cifrar cada .rbf file, e, finalmente, use a ferramenta quartus_sign para asinar cada un file.
No paso 2, se habilitou a sinatura conjunta de firmware, debe usar unha opción adicional na creación do .rbf de arranque a partir da imaxe de fábrica file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Despois de crear a información de arranque .rbf file, use a ferramenta quartus_sign para asinar o .rbf file. Non debe cifrar a información de arranque .rbf file.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 55

5. Funcións avanzadas 683823 | 2023.05.23/XNUMX/XNUMX
Xeración dunha imaxe de aplicación: modificación de comandos
Para xerar unha imaxe de aplicación con funcións de seguranza de deseño, modifica o comando en Xerar unha imaxe de aplicación para utilizar un .rbf coas funcións de seguranza de deseño activadas, incluído o firmware co-asinado se é necesario, en lugar da aplicación orixinal .sof file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Xerando unha imaxe de actualización de fábrica: modificación do comando
Despois de crear a información de arranque .rbf file, usa a ferramenta quartus_sign para asinar o .rbf file. Non debe cifrar a información de arranque .rbf file.
Para xerar unha imaxe de actualización de fábrica de RSU, modifique o comando de Xerar unha imaxe de actualización de fábrica para usar un .rbf file coas funcións de seguranza do deseño activadas e engade a opción para indicar o uso do firmware co-asinado:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Información relacionada Guía de usuario de configuración de Intel Agilex 7
5.6. Servizos criptográficos SDM
O SDM nos dispositivos Intel Agilex 7 ofrece servizos criptográficos que a lóxica de tecido FPGA ou o HPS poden solicitar a través da respectiva interface de caixa de correo SDM. Para obter máis información sobre os comandos da caixa de correo e os formatos de datos para todos os servizos criptográficos SDM, consulte o Apéndice B na Guía de usuario de Metodoloxía de seguranza para Intel FPGA e ASIC estruturados.
Para acceder á interface da caixa de correo SDM á lóxica de tecido FPGA para os servizos criptográficos SDM, debes crear unha instancia do IP FPGA de Intel Mailbox Client no teu deseño.
O código de referencia para acceder á interface da caixa de correo SDM desde o HPS inclúese no código ATF e Linux proporcionado por Intel.
Información relacionada Mailbox Client Intel FPGA IP User Guide
5.6.1. Arranque autorizado do vendedor
Intel ofrece unha implementación de referencia para o software HPS que utiliza a función de arranque autorizada polo provedor para autenticar o software de arranque de HPS desde o primeiro s.tago cargador de arranque ata o núcleo de Linux.
Información relacionada Deseño de demostración de arranque seguro do SoC Intel Agilex 7

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 56

Enviar comentarios

5. Funcións avanzadas 683823 | 2023.05.23/XNUMX/XNUMX
5.6.2. Servizo de obxectos de datos seguros
Envía os comandos a través da caixa de correo SDM para realizar o cifrado e descifrado de obxectos SDOS. Podes usar a función SDOS despois de aprovisionar a clave raíz SDOS.
Información relacionada Aprovisionamento de claves raíz do servizo de obxectos de datos seguros na páxina 30
5.6.3. Servizos primitivos criptográficos SDM
Envía os comandos a través da caixa de correo SDM para iniciar operacións de servizo primitivo criptográfico SDM. Algúns servizos criptográficos primitivos requiren que se transfiran máis datos a e dende o SDM dos que a interface da caixa de correo pode aceptar. Nestes casos, o comando do formato cambia para proporcionar punteiros aos datos na memoria. Ademais, debe cambiar a instanciación do IP FPGA de Intel FPGA Client Box para usar os servizos primitivos criptográficos SDM desde a lóxica de tecido FPGA. Ademais, debes establecer o parámetro Activar servizo criptográfico en 1 e conectar a interface do iniciador AXI recentemente exposta a unha memoria do teu deseño.
Figura 21. Habilitación dos servizos criptográficos SDM no Mailbox Client Intel FPGA IP

5.7. Configuración de seguranza de Bitstream (FM/S10)
As opcións de seguranza de FPGA Bitstream son unha colección de políticas que restrinxen a función ou o modo de operación especificados nun período definido.
As opcións de seguridade de Bitstream consisten en marcas que estableceu no software Intel Quartus Prime Pro Edition. Estas marcas cópianse automaticamente nos fluxos de bits de configuración.
Podes aplicar as opcións de seguranza permanentemente nun dispositivo mediante o uso da configuración de seguranza correspondente eFuse.
Para utilizar calquera configuración de seguranza no fluxo de bits de configuración ou eFuses do dispositivo, debes activar a función de autenticación.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 57

5. Funcións avanzadas 683823 | 2023.05.23/XNUMX/XNUMX
5.7.1. Selección e activación das opcións de seguranza
Para seleccionar e activar as opcións de seguranza, faga o seguinte: No menú Asignacións, seleccione Opcións de dispositivo e PIN Seguridade Máis opcións... Figura 22. Selección e activación das opcións de seguranza

E, a continuación, seleccione os valores das listas despregábeis para as opcións de seguridade que desexa activar, como se mostra no seguinte exemploampLe:
Figura 23. Selección de valores para as opcións de seguranza

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 58

Enviar comentarios

5. Funcións avanzadas 683823 | 2023.05.23/XNUMX/XNUMX
Os seguintes son os cambios correspondentes na configuración de Quartus Prime .qsf file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG "ON CHECK" set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE "ON STICKY" set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECU_OPTION_DISABLE_LOCK_DISABLE_LOCK_LOCK_NAME_CONFIGURACIÓN ITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_DISABLE_ENCRYPTION_KESY_NAME_CONFIGURACIÓN_ENCRYPTION_ENCRYPTION_ENCRYPTION_OPTION_global KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY ON

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 59

683823 | 2023.05.23/XNUMX/XNUMX Enviar comentarios

Resolución de problemas

Este capítulo describe os erros comúns e as mensaxes de aviso que pode atopar ao tentar utilizar as funcións de seguranza do dispositivo e as medidas para resolvelos.
6.1. Usando comandos Quartus nun erro do entorno de Windows
Erro quartus_pgm: comando non atopado Descrición Este erro móstrase cando se intenta usar comandos Quartus nun Shell NIOS II nun ambiente Windows mediante WSL. Resolución Este comando funciona no ambiente Linux; Para hosts Windows, use o seguinte comando: quartus_pgm.exe -h Do mesmo xeito, aplique a mesma sintaxe a outros comandos de Quartus Prime como quartus_pfg, quartus_sign, quartus_encrypt entre outros comandos.

Certificado ISO 9001:2015

6. Solución de problemas 683823 | 2023.05.23/XNUMX/XNUMX

6.2. Xerando un aviso de chave privada

Aviso:

O contrasinal especificado considérase inseguro. Intel recomenda que se utilicen polo menos 13 caracteres de contrasinal. Recoméndase cambiar o contrasinal usando o executable OpenSSL.

openssl ec -in -fóra -aes256

Descrición
Esta advertencia está relacionada coa forza do contrasinal e móstrase cando se tenta xerar unha clave privada emitindo os seguintes comandos:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Resolución Use o executable openssl para especificar un contrasinal máis longo e, polo tanto, máis seguro.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 61

6. Solución de problemas 683823 | 2023.05.23/XNUMX/XNUMX
6.3. Engadindo unha clave de sinatura ao erro do proxecto Quartus
Erro...File contén información da clave raíz...
Descrición
Despois de engadir unha clave de sinatura .qky file ao proxecto Quartus, cómpre volver montar o .sof file. Cando engades este .sof rexenerado file ao dispositivo seleccionado mediante Quartus Programmer, a seguinte mensaxe de erro indica que o file contén información da clave raíz:
Produciuse un erro ao engadirfile-nome-ruta> ao programador. O file contén información da clave raíz (.qky). Non obstante, o programador non admite a función de sinatura de bitstream. Podes usar Programación File Xerador para converter file ao binario en bruto asinado file (.rbf) para a configuración.
Resolución
Use a programación Quartus file xerador para converter file nun binario bruto asinado File .rbf para a configuración.
Información relacionada Configuración da sinatura Bitstream Usando o comando quartus_sign na páxina 13

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 62

Enviar comentarios

6. Solución de problemas 683823 | 2023.05.23/XNUMX/XNUMX
6.4. Xerando programación Quartus Prime File non tivo éxito
Erro
Erro (20353): X da clave pública de QKY non coincide coa clave privada de PEM file.
Erro (20352): non se puido asinar o fluxo de bits mediante o script de Python agilex_sign.py.
Erro: programación de Quartus Prime File O xerador non tivo éxito.
Descrición Se tenta asinar un fluxo de bits de configuración usando unha chave privada incorrecta .pem file ou un .pem file que non coincide co .qky engadido ao proxecto, aparecen os erros comúns anteriores. Resolución Asegúrese de utilizar a clave privada correcta .pem para asinar o fluxo de bits.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 63

6. Solución de problemas 683823 | 2023.05.23/XNUMX/XNUMX
6.5. Erros de argumentos descoñecidos
Erro
Erro (23028): argumento descoñecido "ûc". Consulte –axuda para argumentos legais.
Erro (213008): a cadea de opcións de programación "ûp" é ilegal. Consulte –help para os formatos de opcións de programación legais.
Descrición Se copia e pega opcións de liña de comandos desde un .pdf file no Shell de Windows NIOS II, pode atopar erros de argumento descoñecido como se mostra arriba. Resolución Nestes casos, pode introducir manualmente os comandos en lugar de pegar desde o portapapeis.

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 64

Enviar comentarios

6. Solución de problemas 683823 | 2023.05.23/XNUMX/XNUMX
6.6. Erro da opción de cifrado de fluxo de bits desactivada
Erro
Non se puido finalizar o cifrado para o file deseño .sof porque foi compilado coa opción de cifrado de fluxo de bits desactivada.
Descrición Se tenta cifrar o fluxo de bits a través da GUI ou da liña de comandos despois de compilar o proxecto coa opción de cifrado de fluxo de bits desactivada, Quartus rexeita o comando como se mostra arriba.
Resolución Asegúrese de compilar o proxecto coa opción de cifrado de bitstream activada a través da GUI ou da liña de comandos. Para activar esta opción na GUI, debe marcar a caixa de verificación desta opción.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 65

6. Solución de problemas 683823 | 2023.05.23/XNUMX/XNUMX
6.7. Especificando o camiño correcto á chave
Erro
Erro (19516): Programación detectada File Erro de configuración do xerador: non se pode atopar "key_"file'. Asegúrese de que o file está situado na localización esperada ou actualice a configuración.sec
Erro (19516): Programación detectada File Erro de configuración do xerador: non se pode atopar "key_"file'. Asegúrese de que o file está situado na localización esperada ou actualice a configuración.
Descrición
Se está a usar claves almacenadas no ficheiro file sistema, debe asegurarse de que especifican a ruta correcta para as claves utilizadas para o cifrado e a sinatura de bitstream. Se a Programación File O xerador non pode detectar o camiño correcto, aparecen as mensaxes de erro anteriores.
Resolución
Consulte a configuración de Quartus Prime .qsf file para localizar os camiños correctos para as claves. Asegúrate de usar camiños relativos en lugar de camiños absolutos.

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 66

Enviar comentarios

6. Solución de problemas 683823 | 2023.05.23/XNUMX/XNUMX
6.8. Usando a saída non compatible File Tipo
Erro
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Erro (19511): saída non compatible file tipo (ebf). Use a opción "-l" ou "-list" para mostrar as opcións compatibles file información de tipo.
Descrición Durante o uso da programación Quartus File Xerador para xerar o fluxo de bits de configuración cifrado e asinado, é posible que vexa o erro anterior se unha saída non é compatible file se especifica o tipo. Resolución Use a opción -l ou –list para ver a lista de admitidos file tipos.

Enviar comentarios

Guía de usuario de seguranza de dispositivos Intel Agilex® 7 67

683823 | 2023.05.23/XNUMX/XNUMX Enviar comentarios
7. Arquivos da guía de usuario de seguridade do dispositivo Intel Agilex 7
Para consultar as versións máis recentes e anteriores desta guía de usuario, consulte a Guía de usuario de seguranza de dispositivos Intel Agilex 7. Se non aparece unha IP ou unha versión de software, aplícase a guía de usuario para a IP ou versión de software anterior.

Certificado ISO 9001:2015

683823 | 2023.05.23/XNUMX/XNUMX Enviar comentarios

8. Historial de revisións para a Guía de usuario de seguridade do dispositivo Intel Agilex 7

Versión do documento 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Documentos/Recursos

Seguridade do dispositivo Intel Agilex 7 [pdfManual do usuario
Agilex 7 Device Security, Agilex 7, Device Security, Security

Referencias

Manual de usuario

Seguridade do dispositivo Intel Agilex 7

Información do produto

Instrucións de uso do produto

Preguntas frecuentes

Seguridade do dispositivo superadaview

Autenticación e autorización

Cifrado AES Bitstream

Aprovisionamento de dispositivos

Funcións avanzadas

Resolución de problemas

Documentos/Recursos

Referencias

Deixa un comentario

Cancelar resposta