Intel Agilex 7 डिवाइस सुरक्षा उपयोगकर्ता मैनुअल

इंटेल उत्पाद सुरक्षा के लिए प्रतिबद्ध है और उपयोगकर्ताओं को सलाह देता है कि वे उपलब्ध कराए गए उत्पाद सुरक्षा संसाधनों से खुद को परिचित करें। इन संसाधनों का उपयोग इंटेल उत्पाद के पूरे जीवनकाल में किया जाना चाहिए।

2. नियोजित सुरक्षा सुविधाएँ

इंटेल क्वार्टस प्राइम प्रो संस्करण सॉफ्टवेयर के भावी रिलीज के लिए निम्नलिखित सुरक्षा सुविधाओं की योजना बनाई गई है:

आंशिक पुनर्विन्यास बिटस्ट्रीम सुरक्षा सत्यापन: अतिरिक्त आश्वासन प्रदान करता है कि आंशिक पुनर्विन्यास (पीआर) बिटस्ट्रीम अन्य पीआर व्यक्तित्व बिटस्ट्रीम तक पहुंच या हस्तक्षेप नहीं कर सकता है।

भौतिक एंटी-टी के लिए डिवाइस स्व-हत्याamper: डिवाइस वाइप या डिवाइस ज़ीरोइज़ेशन प्रतिक्रिया निष्पादित करता है और डिवाइस को फिर से कॉन्फ़िगर करने से रोकने के लिए eFuses को प्रोग्राम करता है।

3. उपलब्ध सुरक्षा दस्तावेज़

निम्न तालिका Intel FPGA और संरचित ASIC उपकरणों पर डिवाइस सुरक्षा सुविधाओं के लिए उपलब्ध दस्तावेज़ों को सूचीबद्ध करती है:

दस्तावेज़ का नाम	उद्देश्य
इंटेल FPGAs और संरचित ASICs उपयोगकर्ता के लिए सुरक्षा पद्धति मार्गदर्शक	शीर्ष-स्तरीय दस्तावेज़ जो विस्तृत विवरण प्रदान करता है इंटेल प्रोग्रामेबल सॉल्यूशंस में सुरक्षा सुविधाएँ और प्रौद्योगिकियाँ उत्पाद। उपयोगकर्ताओं को आवश्यक सुरक्षा सुविधाओं का चयन करने में मदद करता है अपने सुरक्षा उद्देश्यों को पूरा करें।
इंटेल स्ट्रैटिक्स 10 डिवाइस सुरक्षा उपयोगकर्ता गाइड	इंटेल स्ट्रैटिक्स 10 डिवाइस के उपयोगकर्ताओं के लिए कार्यान्वयन हेतु निर्देश सुरक्षा पद्धति का उपयोग करके पहचानी गई सुरक्षा विशेषताएँ उपयोगकर्ता गाइड।
इंटेल एजिलेक्स 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड	इंटेल एजिलेक्स 7 डिवाइस के उपयोगकर्ताओं के लिए कार्यान्वयन हेतु निर्देश सुरक्षा पद्धति का उपयोग करके पहचानी गई सुरक्षा विशेषताएँ उपयोगकर्ता गाइड।
इंटेल eASIC N5X डिवाइस सुरक्षा उपयोगकर्ता गाइड	इंटेल eASIC N5X डिवाइस के उपयोगकर्ताओं के लिए कार्यान्वयन हेतु निर्देश सुरक्षा पद्धति का उपयोग करके पहचानी गई सुरक्षा विशेषताएँ उपयोगकर्ता गाइड।
इंटेल एजिलेक्स 7 और इंटेल ईएएसआईसी एन5एक्स एचपीएस क्रिप्टोग्राफिक सेवाएं उपयोगकर्ता गाइड	कार्यान्वयन पर एचपीएस सॉफ्टवेयर इंजीनियरों के लिए जानकारी और क्रिप्टोग्राफ़िक सेवाओं तक पहुँचने के लिए एचपीएस सॉफ़्टवेयर लाइब्रेरी का उपयोग एसडीएम द्वारा प्रदान किया गया।
AN-968 ब्लैक की प्रोविजनिंग सेवा त्वरित आरंभ गाइड	ब्लैक की प्रोविजनिंग सेट अप करने के लिए चरणों का पूरा सेट सेवा।

अक्सर पूछे जाने वाले प्रश्नों

प्रश्न: सुरक्षा पद्धति उपयोगकर्ता मार्गदर्शिका का उद्देश्य क्या है?

उत्तर: सुरक्षा पद्धति उपयोगकर्ता गाइड इंटेल प्रोग्रामेबल सॉल्यूशन उत्पादों में सुरक्षा सुविधाओं और प्रौद्योगिकियों का विस्तृत विवरण प्रदान करता है। यह उपयोगकर्ताओं को उनके सुरक्षा उद्देश्यों को पूरा करने के लिए आवश्यक सुरक्षा सुविधाओं का चयन करने में मदद करता है।

प्रश्न: मैं इंटेल एजिलेक्स 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड कहां पा सकता हूं?

उत्तर: इंटेल एजिलेक्स 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड इंटेल संसाधन और डिज़ाइन केंद्र पर पाया जा सकता है webसाइट।

प्रश्न: ब्लैक की प्रोविजनिंग सेवा क्या है?

उत्तर: ब्लैक की प्रोविजनिंग सेवा एक ऐसी सेवा है जो सुरक्षित परिचालनों के लिए कुंजी प्रोविजनिंग स्थापित करने हेतु चरणों का एक पूरा सेट प्रदान करती है।

View Fullscreen

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड
Intel® Quartus® Prime Design Suite के लिए अपडेट किया गया: 23.1

ऑनलाइन संस्करण फीडबैक भेजें

यूजी -20335

683823 २०

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 2

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 3

683823 | 2023.05.23 प्रतिक्रिया भेजें
1. इंटेल एजिलेक्स® 7

डिवाइस सुरक्षा समाप्तview

इंटेल® इंटेल एजिलेक्स® 7 डिवाइस को समर्पित, उच्च-कॉन्फ़िगर करने योग्य सुरक्षा हार्डवेयर और फर्मवेयर के साथ डिज़ाइन करता है।
इस दस्तावेज़ में आपके Intel Agilex 7 डिवाइस पर सुरक्षा सुविधाओं को लागू करने के लिए Intel Quartus® Prime Pro Edition सॉफ़्टवेयर का उपयोग करने में आपकी सहायता के लिए निर्देश दिए गए हैं।
इसके अतिरिक्त, Intel FPGAs और संरचित ASICs उपयोगकर्ता गाइड के लिए सुरक्षा पद्धति Intel संसाधन और डिज़ाइन केंद्र पर उपलब्ध है। इस दस्तावेज़ में Intel प्रोग्रामेबल समाधान उत्पादों के माध्यम से उपलब्ध सुरक्षा सुविधाओं और तकनीकों का विस्तृत विवरण है, ताकि आपको अपने सुरक्षा उद्देश्यों को पूरा करने के लिए आवश्यक सुरक्षा सुविधाओं का चयन करने में मदद मिल सके। Intel FPGAs और संरचित ASICs उपयोगकर्ता गाइड के लिए सुरक्षा पद्धति तक पहुँचने के लिए संदर्भ संख्या 14014613136 के साथ Intel सहायता से संपर्क करें।
दस्तावेज़ इस प्रकार व्यवस्थित है: · प्रमाणीकरण और प्राधिकरण: बनाने के लिए निर्देश प्रदान करता है
प्रमाणीकरण कुंजी और हस्ताक्षर श्रृंखला, अनुमतियाँ और निरसन लागू करें, ऑब्जेक्ट पर हस्ताक्षर करें, और Intel Agilex 7 डिवाइस पर प्रमाणीकरण सुविधाएँ प्रोग्राम करें। · AES बिटस्ट्रीम एन्क्रिप्शन: AES रूट कुंजी बनाने, कॉन्फ़िगरेशन बिटस्ट्रीम एन्क्रिप्ट करने और Intel Agilex 7 डिवाइस पर AES रूट कुंजी का प्रावधान करने के निर्देश प्रदान करता है। · डिवाइस प्रोविजनिंग: Intel Agilex 7 डिवाइस पर सुरक्षा सुविधाओं को प्रोग्राम करने के लिए Intel Quartus Prime प्रोग्रामर और सिक्योर डिवाइस मैनेजर (SDM) प्रावधान फर्मवेयर का उपयोग करने के निर्देश प्रदान करता है। · उन्नत सुविधाएँ: सुरक्षित डीबग प्राधिकरण, हार्ड प्रोसेसर सिस्टम (HPS) डीबग और दूरस्थ सिस्टम अपडेट सहित उन्नत सुरक्षा सुविधाओं को सक्षम करने के निर्देश प्रदान करता है।
1.1. उत्पाद सुरक्षा के प्रति प्रतिबद्धता
सुरक्षा के प्रति इंटेल की दीर्घकालिक प्रतिबद्धता पहले कभी इतनी मजबूत नहीं रही। इंटेल दृढ़ता से अनुशंसा करता है कि आप हमारे उत्पाद सुरक्षा संसाधनों से परिचित हो जाएं और अपने इंटेल उत्पाद के पूरे जीवनकाल में उनका उपयोग करने की योजना बनाएं।
संबंधित जानकारी · इंटेल पर उत्पाद सुरक्षा · इंटेल उत्पाद सुरक्षा केंद्र सलाह

इंटेल कॉर्पोरेशन। सर्वाधिकार सुरक्षित। Intel, Intel लोगो और अन्य Intel चिह्न Intel Corporation या उसकी सहायक कंपनियों के ट्रेडमार्क हैं। Intel अपने FPGA और सेमीकंडक्टर उत्पादों के प्रदर्शन को Intel की मानक वारंटी के अनुसार वर्तमान विनिर्देशों के अनुसार वारंट करता है, लेकिन बिना किसी सूचना के किसी भी समय किसी भी उत्पाद और सेवाओं में परिवर्तन करने का अधिकार सुरक्षित रखता है। इंटेल यहां वर्णित किसी भी जानकारी, उत्पाद या सेवा के आवेदन या उपयोग से उत्पन्न होने वाली कोई जिम्मेदारी या दायित्व नहीं लेता है, सिवाय इसके कि इंटेल द्वारा लिखित रूप से सहमति व्यक्त की गई है। Intel ग्राहकों को सलाह दी जाती है कि किसी भी प्रकाशित जानकारी पर भरोसा करने से पहले और उत्पादों या सेवाओं के लिए ऑर्डर देने से पहले डिवाइस विनिर्देशों का नवीनतम संस्करण प्राप्त करें। *अन्य नामों और ब्रांडों पर दूसरों की संपत्ति के रूप में दावा किया जा सकता है।

आईएसओ 9001:2015 पंजीकृत

1. इंटेल एजिलेक्स® 7 डिवाइस सुरक्षा खत्मview 683823 | 2023.05.23

1.2. नियोजित सुरक्षा सुविधाएँ

इस अनुभाग में उल्लिखित विशेषताएं इंटेल क्वार्टस प्राइम प्रो संस्करण सॉफ्टवेयर के भविष्य के रिलीज के लिए योजनाबद्ध हैं।

टिप्पणी:

इस अनुभाग में दी गई जानकारी प्रारंभिक है।

1.2.1. आंशिक पुनर्संरचना बिटस्ट्रीम सुरक्षा सत्यापन
आंशिक पुनर्संरचना (पीआर) बिटस्ट्रीम सुरक्षा सत्यापन अतिरिक्त आश्वासन प्रदान करने में मदद करता है कि पीआर व्यक्तित्व बिटस्ट्रीम अन्य पीआर व्यक्तित्व बिटस्ट्रीम तक पहुंच या हस्तक्षेप नहीं कर सकता है।

1.2.2. भौतिक एंटी-टी के लिए डिवाइस सेल्फ-किलamper
डिवाइस सेल्फ-किल, डिवाइस वाइप या डिवाइस ज़ीरोइज़ेशन प्रतिक्रिया करता है और इसके अतिरिक्त डिवाइस को पुनः कॉन्फ़िगर करने से रोकने के लिए ईफ़्यूज़ को प्रोग्राम करता है।

1.3. उपलब्ध सुरक्षा दस्तावेज़

निम्न तालिका इंटेल FPGA और संरचित ASIC उपकरणों पर डिवाइस सुरक्षा सुविधाओं के लिए उपलब्ध दस्तावेज़ों को सूचीबद्ध करती है:

तालिका 1.

उपलब्ध डिवाइस सुरक्षा दस्तावेज़

दस्तावेज़ का नाम
इंटेल FPGAs और संरचित ASICs के लिए सुरक्षा पद्धति उपयोगकर्ता गाइड

उद्देश्य
शीर्ष-स्तरीय दस्तावेज़ जिसमें इंटेल प्रोग्रामेबल सॉल्यूशन उत्पादों में सुरक्षा सुविधाओं और तकनीकों का विस्तृत विवरण शामिल है। आपके सुरक्षा उद्देश्यों को पूरा करने के लिए आवश्यक सुरक्षा सुविधाओं का चयन करने में आपकी मदद करने के लिए बनाया गया है।

दस्तावेज़ आईडी 721596

इंटेल स्ट्रैटिक्स 10 डिवाइस सुरक्षा उपयोगकर्ता गाइड
इंटेल एजिलेक्स 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड

इंटेल स्ट्रैटिक्स 10 डिवाइस के उपयोगकर्ताओं के लिए, इस गाइड में सुरक्षा पद्धति उपयोगकर्ता गाइड का उपयोग करके पहचानी गई सुरक्षा सुविधाओं को लागू करने के लिए इंटेल क्वार्टस प्राइम प्रो संस्करण सॉफ्टवेयर का उपयोग करने के निर्देश शामिल हैं।
इंटेल एजिलेक्स 7 डिवाइस के उपयोगकर्ताओं के लिए, इस गाइड में सुरक्षा पद्धति उपयोगकर्ता गाइड का उपयोग करके पहचानी गई सुरक्षा सुविधाओं को लागू करने के लिए इंटेल क्वार्टस प्राइम प्रो संस्करण सॉफ्टवेयर का उपयोग करने के निर्देश शामिल हैं।

683642 २०

इंटेल eASIC N5X डिवाइस सुरक्षा उपयोगकर्ता गाइड

Intel eASIC N5X डिवाइस के उपयोगकर्ताओं के लिए, इस गाइड में सुरक्षा पद्धति उपयोगकर्ता गाइड का उपयोग करके पहचानी गई सुरक्षा सुविधाओं को लागू करने के लिए Intel Quartus Prime Pro Edition सॉफ़्टवेयर का उपयोग करने के निर्देश दिए गए हैं।

626836

इंटेल एजिलेक्स 7 और इंटेल eASIC N5X HPS क्रिप्टोग्राफ़िक सेवाएँ उपयोगकर्ता गाइड

इस गाइड में एचपीएस सॉफ्टवेयर इंजीनियरों को एसडीएम द्वारा प्रदान की गई क्रिप्टोग्राफिक सेवाओं तक पहुंचने के लिए एचपीएस सॉफ्टवेयर लाइब्रेरीज़ के कार्यान्वयन और उपयोग में सहायता करने के लिए जानकारी शामिल है।

713026

AN-968 ब्लैक की प्रोविजनिंग सेवा त्वरित आरंभ गाइड

इस गाइड में ब्लैक की प्रोविजनिंग सेवा को सेट अप करने के लिए चरणों का पूरा सेट शामिल है।

739071

स्थान इंटेल संसाधन और
डिज़ाइन केंद्र
इंटेल.कॉम
इंटेल.कॉम
इंटेल संसाधन और डिजाइन केंद्र
इंटेल संसाधन और डिजाइन केंद्र
इंटेल संसाधन और डिजाइन केंद्र

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 5

683823 | 2023.05.23 प्रतिक्रिया भेजें

सत्यापन और प्राधिकरण

Intel Agilex 7 डिवाइस की प्रमाणीकरण सुविधाओं को सक्षम करने के लिए, आप Intel Quartus Prime Pro Edition सॉफ़्टवेयर और संबंधित टूल का उपयोग करके हस्ताक्षर श्रृंखला बनाना शुरू करते हैं। एक हस्ताक्षर श्रृंखला में एक रूट कुंजी, एक या अधिक हस्ताक्षर कुंजियाँ और लागू प्राधिकरण शामिल होते हैं। आप अपने Intel Quartus Prime Pro Edition प्रोजेक्ट और संकलित प्रोग्रामिंग पर हस्ताक्षर श्रृंखला लागू करते हैं fileइंटेल एजिलेक्स 7 डिवाइस में अपनी रूट कुंजी को प्रोग्राम करने के लिए डिवाइस प्रोविजनिंग में दिए गए निर्देशों का उपयोग करें।
संबंधित जानकारी
डिवाइस प्रोविजनिंग पृष्ठ 25 पर

2.1. हस्ताक्षर श्रृंखला बनाना
आप हस्ताक्षर श्रृंखला संचालन करने के लिए quartus_sign टूल या agilex_sign.py संदर्भ कार्यान्वयन का उपयोग कर सकते हैं। यह दस्तावेज़ उदाहरण प्रदान करता हैampquartus_sign का उपयोग कर.
संदर्भ कार्यान्वयन का उपयोग करने के लिए, आप इंटेल क्वार्टस प्राइम सॉफ़्टवेयर के साथ शामिल पायथन इंटरप्रेटर को कॉल करते हैं और –family=agilex विकल्प को छोड़ देते हैं; अन्य सभी विकल्प समान हैं। उदाहरण के लिएample, quartus_sign कमांड इस अनुभाग में बाद में पाया गया
क्वार्टस_साइन –फैमिली=एजिलेक्स –ऑपरेशन=मेक_रूट रूट_पब्लिक.पेम रूट.क्यूकेवाई को संदर्भ कार्यान्वयन के समतुल्य कॉल में निम्नानुसार परिवर्तित किया जा सकता है
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

इंटेल क्वार्टस प्राइम प्रो एडिशन सॉफ्टवेयर में क्वार्टस_साइन, pgm_py और agilex_sign.py टूल शामिल हैं। आप Nios® II कमांड शेल टूल का उपयोग कर सकते हैं, जो टूल तक पहुँचने के लिए स्वचालित रूप से उपयुक्त पर्यावरण चर सेट करता है।

Nios II कमांड शेल लाने के लिए इन निर्देशों का पालन करें। 1. Nios II कमांड शेल लाएँ।

विकल्प विंडोज़
लिनक्स

विवरण
स्टार्ट मेनू पर, प्रोग्राम्स इंटेल FPGA Nios II EDS पर जाएँ और Nios II पर क्लिक करें कमांड शेल.
कमांड शेल में परिवर्तन करें /nios2eds और निम्नलिखित कमांड चलाएँ:
./nios2_command_shell.sh

भूतपूर्वampइस अनुभाग में दिए गए विवरण हस्ताक्षर श्रृंखला और कॉन्फ़िगरेशन बिटस्ट्रीम को मानते हैं files वर्तमान कार्यशील निर्देशिका में स्थित हैं। यदि आप पूर्व का अनुसरण करना चुनते हैंampलेस जहां कुंजी fileपर रखा जाता है file प्रणाली, उन पूर्वampलेस कुंजी मान fileएस हैं

आईएसओ 9001:2015 पंजीकृत

2. प्रमाणीकरण और प्राधिकरण 683823 | 2023.05.23
वर्तमान कार्यशील निर्देशिका में स्थित है। आप चुन सकते हैं कि कौन सी निर्देशिका का उपयोग करना है, और उपकरण सापेक्ष का समर्थन करते हैं file पथ। यदि आप कुंजी रखना चुनते हैं fileपर file सिस्टम में, आपको उन तक पहुंच अनुमतियों का सावधानीपूर्वक प्रबंधन करना चाहिए files.
इंटेल अनुशंसा करता है कि क्रिप्टोग्राफ़िक कुंजियों को संग्रहीत करने और क्रिप्टोग्राफ़िक संचालन करने के लिए व्यावसायिक रूप से उपलब्ध हार्डवेयर सुरक्षा मॉड्यूल (HSM) का उपयोग किया जाना चाहिए। क्वार्टस_साइन टूल और संदर्भ कार्यान्वयन में हस्ताक्षर श्रृंखला संचालन करते समय HSM के साथ बातचीत करने के लिए एक सार्वजनिक कुंजी क्रिप्टोग्राफ़ी मानक #11 (PKCS #11) एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (API) शामिल है। agilex_sign.py संदर्भ कार्यान्वयन में एक इंटरफ़ेस सार के साथ-साथ एक एक्स भी शामिल हैampसॉफ्टएचएसएम के लिए इंटरफ़ेस।
आप इन उदाहरणों का उपयोग कर सकते हैंampअपने HSM के लिए इंटरफ़ेस लागू करने के लिए इंटरफ़ेस का चयन करें। अपने HSM के लिए इंटरफ़ेस लागू करने और उसे संचालित करने के बारे में अधिक जानकारी के लिए अपने HSM विक्रेता से दस्तावेज़ देखें।
सॉफ्टएचएसएम एक जेनेरिक क्रिप्टोग्राफ़िक डिवाइस का सॉफ़्टवेयर कार्यान्वयन है जिसमें पीकेसीएस #11 इंटरफ़ेस है जिसे ओपनडीएनएसएसईसी® प्रोजेक्ट द्वारा उपलब्ध कराया गया है। आप ओपनडीएनएसएसईसी प्रोजेक्ट पर ओपनएचएसएम को डाउनलोड करने, बनाने और इंस्टॉल करने के निर्देशों सहित अधिक जानकारी पा सकते हैं।ampइस अनुभाग में दिए गए भाग SoftHSM संस्करण 2.6.1 का उपयोग करते हैं।ampइस अनुभाग में शामिल लोग सॉफ्टएचएसएम टोकन के साथ अतिरिक्त पीकेसीएस #11 संचालन करने के लिए ओपनएससी से pkcs11-tool उपयोगिता का अतिरिक्त उपयोग करते हैं। आपको ओपनएससी से pkcs11tool डाउनलोड करने, बनाने और इंस्टॉल करने के निर्देशों सहित अधिक जानकारी मिल सकती है।
संबंधित जानकारी
· DNSSEC कुंजी ट्रैकिंग की प्रक्रिया को स्वचालित करने के लिए OpenDNSSEC परियोजना नीति-आधारित ज़ोन हस्ताक्षरकर्ता।
· सॉफ्टएचएसएम पीकेसीएस #11 इंटरफेस के माध्यम से सुलभ क्रिप्टोग्राफिक स्टोर के कार्यान्वयन के बारे में जानकारी।
· ओपनएससी स्मार्ट कार्ड के साथ काम करने में सक्षम पुस्तकालयों और उपयोगिताओं का सेट प्रदान करता है।
2.1.1. स्थानीय स्तर पर प्रमाणीकरण कुंजी युग्म बनाना File प्रणाली
आप स्थानीय पर प्रमाणीकरण कुंजी जोड़े बनाने के लिए क्वार्टस_साइन टूल का उपयोग करते हैं file सिस्टम make_private_pem और make_public_pem टूल ऑपरेशन का उपयोग करता है। आप सबसे पहले make_private_pem ऑपरेशन के साथ एक निजी कुंजी उत्पन्न करते हैं। आप उपयोग करने के लिए दीर्घवृत्तीय वक्र निर्दिष्ट करते हैं, निजी कुंजी fileनाम, और वैकल्पिक रूप से निजी कुंजी को पासफ़्रेज़ से सुरक्षित करना है या नहीं। इंटेल सभी निजी कुंजी पर एक मजबूत, यादृच्छिक पासफ़्रेज़ बनाने के लिए secp384r1 वक्र के उपयोग और उद्योग की सर्वोत्तम प्रथाओं का पालन करने की अनुशंसा करता है fileइंटेल भी प्रतिबंधित करने की सिफारिश करता है file निजी कुंजी .pem पर सिस्टम अनुमतियाँ files को केवल स्वामी द्वारा पढ़ा जाना चाहिए। आप make_public_pem ऑपरेशन के साथ निजी कुंजी से सार्वजनिक कुंजी प्राप्त करते हैं। कुंजी को .pem नाम देना सहायक है fileयह दस्तावेज़ वर्णनात्मक रूप से कन्वेंशन का उपयोग करता है _ .pem निम्नलिखित उदाहरण मेंampलेस.
1. Nios II कमांड शेल में, निजी कुंजी बनाने के लिए निम्न कमांड चलाएँ। नीचे दिखाई गई निजी कुंजी का उपयोग बाद के उदाहरणों में रूट कुंजी के रूप में किया जाता है।ampऐसी लेस जो एक हस्ताक्षर श्रृंखला बनाती हैं। इंटेल एजिलेक्स 7 डिवाइस कई रूट कुंजियों का समर्थन करते हैं, इसलिए आप

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 7

2. प्रमाणीकरण और प्राधिकरण 683823 | 2023.05.23

अपनी आवश्यक संख्या में रूट कुंजियाँ बनाने के लिए इस चरण को दोहराएँ।ampइस दस्तावेज़ में सभी फ़ाइलें पहली रूट कुंजी को संदर्भित करती हैं, हालांकि आप किसी भी रूट कुंजी के साथ इसी तरह से हस्ताक्षर श्रृंखला बना सकते हैं।

पासफ़्रेज़ के साथ विकल्प

विवरण
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem जब ऐसा करने के लिए कहा जाए तो पासफ़्रेज़ दर्ज करें।

बिना पासफ़्रेज़ के

क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=मेक_प्राइवेट_पेम –कर्व=सेकप384आर1 –नो_पासफ़्रेज़ रूट0_प्राइवेट.पेम

2. पिछले चरण में जनरेट की गई निजी कुंजी का उपयोग करके सार्वजनिक कुंजी बनाने के लिए निम्न कमांड चलाएँ। आपको सार्वजनिक कुंजी की गोपनीयता की रक्षा करने की आवश्यकता नहीं है।
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=make_public_pem root0_private.pem root0_public.pem
3. हस्ताक्षर श्रृंखला में डिज़ाइन हस्ताक्षर कुंजी के रूप में उपयोग की जाने वाली कुंजी जोड़ी बनाने के लिए कमांड को फिर से चलाएँ।
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=मेक_प्राइवेट_पेम –कर्व=सेकप384आर1 डिज़ाइन0_साइन_प्राइवेट.पेम

क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=make_public_pem डिज़ाइन0_साइन_प्राइवेट.pem डिज़ाइन0_साइन_पब्लिक.pem

2.1.2. सॉफ्टएचएसएम में प्रमाणीकरण कुंजी जोड़े बनाना
सॉफ्टएचएसएम एक्सampइस अध्याय में दिए गए पैरामीटर स्व-संगत हैं। कुछ पैरामीटर आपके SoftHSM इंस्टॉलेशन और SoftHSM के भीतर टोकन आरंभीकरण पर निर्भर करते हैं।
क्वार्टस_साइन टूल आपके HSM से PKCS #11 API लाइब्रेरी पर निर्भर करता है।
भूतपूर्वampइस अनुभाग में फ़ाइलें मानती हैं कि SoftHSM लाइब्रेरी निम्न स्थानों में से एक पर स्थापित है: · Linux पर /usr/local/lib/softhsm2.so · Windows के 2-बिट संस्करण पर C:SoftHSM2libsofthsm32.dll · Windows के 2-बिट संस्करण पर C:SoftHSM2libsofthsm64-x64.dll.
softhsm2-util टूल का उपयोग करके SoftHSM के भीतर एक टोकन आरंभ करें:
softhsm2-util –init-टोकन –लेबल agilex-टोकन –पिन agilex-टोकन-पिन –so-पिन agilex-so-पिन –मुक्त
विकल्प पैरामीटर, विशेष रूप से टोकन लेबल और टोकन पिन exampइस अध्याय में उपयोग की गई जानकारी। इंटेल अनुशंसा करता है कि आप टोकन और कुंजियाँ बनाने और प्रबंधित करने के लिए अपने HSM विक्रेता के निर्देशों का पालन करें।
आप SoftHSM में टोकन के साथ इंटरैक्ट करने के लिए pkcs11-tool यूटिलिटी का उपयोग करके प्रमाणीकरण कुंजी जोड़े बनाते हैं। निजी और सार्वजनिक कुंजी .pem को स्पष्ट रूप से संदर्भित करने के बजाय fileमें है file सिस्टम एक्सampइसमें, आप कुंजी युग्म को उसके लेबल से संदर्भित करते हैं और उपकरण स्वचालित रूप से उपयुक्त कुंजी का चयन कर लेता है।

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 8

प्रतिक्रिया भेजें

2. प्रमाणीकरण और प्राधिकरण 683823 | 2023.05.23

बाद के उदाहरणों में रूट कुंजी के रूप में उपयोग की जाने वाली कुंजी जोड़ी बनाने के लिए निम्नलिखित कमांड चलाएँampहस्ताक्षर श्रृंखला में डिज़ाइन हस्ताक्षर कुंजी के रूप में उपयोग की जाने वाली कुंजी जोड़ी के साथ-साथ:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC:secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC:secp384r1 –usage-sign –label design0_sign –id 1

टिप्पणी:

इस चरण में ID विकल्प प्रत्येक कुंजी के लिए अद्वितीय होना चाहिए, लेकिन इसका उपयोग केवल HSM द्वारा किया जाता है। यह ID विकल्प हस्ताक्षर श्रृंखला में निर्दिष्ट कुंजी रद्दीकरण ID से संबंधित नहीं है।

2.1.3. हस्ताक्षर श्रृंखला रूट प्रविष्टि बनाना
रूट सार्वजनिक कुंजी को स्थानीय पर संग्रहीत हस्ताक्षर श्रृंखला रूट प्रविष्टि में परिवर्तित करें file इंटेल क्वार्टस प्राइम कुंजी (.qky) प्रारूप में सिस्टम file, make_root ऑपरेशन के साथ। आपके द्वारा जनरेट की गई प्रत्येक रूट कुंजी के लिए इस चरण को दोहराएँ।
रूट सार्वजनिक कुंजी का उपयोग करके रूट प्रविष्टि के साथ हस्ताक्षर श्रृंखला बनाने के लिए निम्नलिखित कमांड चलाएँ file प्रणाली:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=मेक_रूट –की_टाइप=स्वामी रूट0_पब्लिक.पेम रूट0.qky
पूर्व अनुभाग में स्थापित सॉफ्टएचएसएम टोकन से रूट कुंजी का उपयोग करके, रूट प्रविष्टि के साथ हस्ताक्षर श्रृंखला बनाने के लिए निम्नलिखित कमांड चलाएँ:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=मेक_रूट –की_टाइप=स्वामी –मॉड्यूल=सॉफ्टएचएसएम –मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एजिलेक्स-टोकन –यूजर_पिन=एजिलेक्स-टोकन-पिन –एचएसएम_लिब=/usr/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो” रूट0 रूट0.qky

2.1.4. हस्ताक्षर श्रृंखला सार्वजनिक कुंजी प्रविष्टि बनाना
append_key ऑपरेशन के साथ हस्ताक्षर श्रृंखला के लिए एक नई सार्वजनिक कुंजी प्रविष्टि बनाएँ। आप पिछली हस्ताक्षर श्रृंखला, पिछली हस्ताक्षर श्रृंखला में अंतिम प्रविष्टि के लिए निजी कुंजी, अगले स्तर की सार्वजनिक कुंजी, अनुमतियाँ और रद्दीकरण आईडी जो आप अगले स्तर की सार्वजनिक कुंजी को देते हैं, और नई हस्ताक्षर श्रृंखला निर्दिष्ट करते हैं file.
ध्यान दें कि क्वार्टस इंस्टॉलेशन के साथ softHSM लाइब्रेरी उपलब्ध नहीं है और इसके बजाय इसे अलग से इंस्टॉल करने की आवश्यकता है। softHSM के बारे में अधिक जानकारी के लिए ऊपर दिए गए सेक्शन सिग्नेचर चेन बनाना देखें।

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 9

2. प्रमाणीकरण और प्राधिकरण 683823 | 2023.05.23
आपके द्वारा कुंजियों के उपयोग पर निर्भर करता है file सिस्टम या HSM में, आप निम्न में से किसी एक उदाहरण का उपयोग करते हैंample कमांड पूर्व अनुभाग में बनाए गए रूट हस्ताक्षर श्रृंखला में design0_sign सार्वजनिक कुंजी को जोड़ने के लिए:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=एपेंड_की –प्रीवियस_पेम=रूट0_प्राइवेट.पेम –प्रीवियस_क्यूकी=रूट0.क्यूकी –अनुमति=6 –रद्द=0 –इनपुट_पेम=डिज़ाइन0_साइन_पब्लिक.पेम डिज़ाइन0_साइन_चेन.क्यूकी
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=एपेंड_की –मॉड्यूल=सॉफ्टएचएसएम –मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एजिलेक्स-टोकन –यूजर_पिन=एजिलेक्स-टोकन-पिन –एचएसएम_लिब=/usr/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो” –पिछला_कीनाम=रूट0 –पिछला_qky=रूट0.qky –अनुमति=6 –रद्द=0 –इनपुट_कीनाम=डिज़ाइन0_साइन डिज़ाइन0_साइन_चेन.qky
आप किसी भी एक हस्ताक्षर श्रृंखला में रूट प्रविष्टि और हेडर ब्लॉक प्रविष्टि के बीच अधिकतम तीन सार्वजनिक कुंजी प्रविष्टियों के लिए append_key ऑपरेशन को दो बार तक दोहरा सकते हैं।
निम्नलिखित पूर्वample मानता है कि आपने समान अनुमतियों के साथ एक और प्रमाणीकरण सार्वजनिक कुंजी बनाई है और design1_sign_public.pem नामक रद्दीकरण आईडी 1 निर्दिष्ट की है, और इस कुंजी को पिछले निष्पादन से हस्ताक्षर श्रृंखला में जोड़ रहे हैं।ampपर:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=एपेंड_की –प्रीवियस_पेम=डिज़ाइन0_साइन_प्राइवेट.पेम –प्रीवियस_क्यूकी=डिज़ाइन0_साइन_चेन.क्यूकी –अनुमति=6 –रद्द=1 –इनपुट_पेम=डिज़ाइन1_साइन_पब्लिक.पेम डिज़ाइन1_साइन_चेन.क्यूकी
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=एपेंड_की –मॉड्यूल=सॉफ्टएचएसएम –मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एजिलेक्स-टोकन –यूजर_पिन=एजिलेक्स-टोकन-पिन –एचएसएम_लिब=/usr/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो” –पिछला_कीनाम=डिज़ाइन0_साइन –पिछला_qky=डिज़ाइन0_साइन_चेन.qky –अनुमति=6 –रद्द=1 –इनपुट_कीनाम=डिज़ाइन1_साइन डिज़ाइन1_साइन_चेन.qky
इंटेल एजिलेक्स 7 डिवाइस में एक अतिरिक्त कुंजी रद्दीकरण काउंटर शामिल है जो किसी कुंजी के उपयोग को सुविधाजनक बनाता है जो किसी दिए गए डिवाइस के पूरे जीवनकाल में समय-समय पर बदल सकता है। आप –cancel विकल्प के तर्क को pts:pts_value में बदलकर इस कुंजी रद्दीकरण काउंटर का चयन कर सकते हैं।
2.2. कॉन्फ़िगरेशन बिटस्ट्रीम पर हस्ताक्षर करना
इंटेल एजिलेक्स 7 डिवाइस सिक्योरिटी वर्जन नंबर (SVN) काउंटर का समर्थन करते हैं, जो आपको कुंजी को रद्द किए बिना किसी ऑब्जेक्ट के प्राधिकरण को रद्द करने की अनुमति देता है। आप किसी भी ऑब्जेक्ट, जैसे कि बिटस्ट्रीम सेक्शन, फ़र्मवेयर .zip पर हस्ताक्षर करते समय SVN काउंटर और उचित SVN काउंटर मान निर्दिष्ट करते हैं file, या कॉम्पैक्ट प्रमाणपत्र। आप SVN काउंटर और SVN मान को –cancel विकल्प और svn_counter:svn_value को तर्क के रूप में उपयोग करके असाइन करते हैं। svn_counter के लिए मान्य मान svnA, svnB, svnC और svnD हैं। svn_value [0,63] की सीमा के भीतर एक पूर्णांक है।

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 10

प्रतिक्रिया भेजें

2. प्रमाणीकरण और प्राधिकरण 683823 | 2023.05.23
2.2.1. क्वार्टस कुंजी File कार्यभार
आप अपने इंटेल क्वार्टस प्राइम सॉफ्टवेयर प्रोजेक्ट में उस डिज़ाइन के लिए प्रमाणीकरण सुविधा को सक्षम करने के लिए एक हस्ताक्षर श्रृंखला निर्दिष्ट करते हैं। असाइनमेंट मेनू से, डिवाइस डिवाइस और पिन विकल्प सुरक्षा क्वार्टस कुंजी चुनें File, फिर हस्ताक्षर श्रृंखला .qky पर ब्राउज़ करें file आपने इस डिज़ाइन पर हस्ताक्षर करने के लिए बनाया है।
चित्र 1. कॉन्फ़िगरेशन बिटस्ट्रीम सेटिंग सक्षम करें

वैकल्पिक रूप से, आप अपने इंटेल क्वार्टस प्राइम सेटिंग्स में निम्नलिखित असाइनमेंट स्टेटमेंट जोड़ सकते हैं file (.क्यूएसएफ):
set_global_assignment -नाम QKY_FILE design0_sign_chain.qky
.sof उत्पन्न करने के लिए file पहले से संकलित डिज़ाइन से, जिसमें यह सेटिंग शामिल है, प्रोसेसिंग मेनू से, स्टार्ट स्टार्ट असेंबलर चुनें। नया आउटपुट .sof file इसमें प्रदान की गई हस्ताक्षर श्रृंखला के साथ प्रमाणीकरण को सक्षम करने के लिए असाइनमेंट शामिल हैं।

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 11

2. प्रमाणीकरण और प्राधिकरण 683823 | 2023.05.23
2.2.2. सह-हस्ताक्षरित एस.डी.एम. फर्मवेयर
आप लागू SDM फर्मवेयर .zip को निकालने, हस्ताक्षर करने और स्थापित करने के लिए quartus_sign टूल का उपयोग करते हैं file. सह-हस्ताक्षरित फर्मवेयर को प्रोग्रामिंग द्वारा शामिल किया जाता है file जनरेटर उपकरण जब आप .sof कन्वर्ट file कॉन्फ़िगरेशन बिटस्ट्रीम .rbf में fileआप एक नई हस्ताक्षर श्रृंखला बनाने और एसडीएम फर्मवेयर पर हस्ताक्षर करने के लिए निम्नलिखित कमांड का उपयोग करते हैं।
1. एक नई हस्ताक्षर कुंजी जोड़ी बनाएँ.
a. पर एक नई हस्ताक्षर कुंजी जोड़ी बनाएँ file प्रणाली:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=मेक_प्राइवेट_पेम –कर्व=सेकप384आर1 फर्मवेयर1_प्राइवेट.पेम
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=मेक_पब्लिक_पेम फ़र्मवेयर1_प्राइवेट.पेम फ़र्मवेयर1_पब्लिक.पेम
b. HSM में एक नया हस्ताक्षर कुंजी युग्म बनाएँ:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mechanism ECDSA-KEY-PAIR-GEN –key-type EC:secp384r1 –usage-sign –label Firmware1 –id 1
2. नई सार्वजनिक कुंजी युक्त एक नई हस्ताक्षर श्रृंखला बनाएं:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=एपेंड_की –प्रीवियस_पेम=रूट0_प्राइवेट.पेम –प्रीवियस_क्यूकी=रूट0.क्यूकी –अनुमति=0x1 –रद्द=1 –इनपुट_पेम=फर्मवेयर1_पब्लिक.पेम फ़र्मवेयर1_साइन_चेन.क्यूकी
क्वार्टस_साइन –फैमिली=एजिलेक्स –ऑपरेशन=एपेंड_की –मॉड्यूल=सॉफ्टएचएसएम –मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एजिलेक्स-टोकन –यूजर_पिन=एजिलेक्स-टोकन-पिन –एचएसएम_लिब=/यूएसआर/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो” –पिछला_कीनाम=रूट0 –पिछला_क्यूकी=रूट0.क्यूकी –अनुमति=1 –रद्द=1 –इनपुट_कीनाम=फर्मवेयर1 फर्मवेयर1_साइन_चेन.क्यूकी
3. फर्मवेयर .zip कॉपी करें file अपने इंटेल क्वार्टस प्राइम प्रो संस्करण सॉफ्टवेयर स्थापना निर्देशिका से ( /devices/programmer/firmware/ agilex.zip) को वर्तमान कार्यशील निर्देशिका में ले जाएँ।
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –get_firmware=.
4. फर्मवेयर .zip पर हस्ताक्षर करें fileयह टूल .zip फाइल को अपने आप अनपैक कर देता है। file और सभी फर्मवेयर .cmf पर व्यक्तिगत रूप से हस्ताक्षर करता है files, फिर .zip को पुनः बनाता है file निम्नलिखित अनुभागों में दिए गए उपकरणों द्वारा उपयोग हेतु:
क्वार्टस_साइन –फैमिली=एजिलेक्स –ऑपरेशन=साइन –qky=फर्मवेयर1_साइन_चेन.qky –रद्द करें=svnA:0 –pem=फर्मवेयर1_प्राइवेट.pem एजिलेक्स.ज़िप signed_agilex.zip
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –मॉड्यूल=सॉफ्टएचएसएम –मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एजिलेक्स-टोकन –यूजर_पिन=एजिलेक्स-टोकन-पिन –एचएसएम_लिब=/usr/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो”

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 12

प्रतिक्रिया भेजें

2. प्रमाणीकरण और प्राधिकरण 683823 | 2023.05.23

–keyname=फर्मवेयर1 –cancel=svnA:0 –qky=फर्मवेयर1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. क्वार्टस_साइन कमांड का उपयोग करके कॉन्फ़िगरेशन बिटस्ट्रीम पर हस्ताक्षर करना
क्वार्टस_साइन कमांड का उपयोग करके कॉन्फ़िगरेशन बिटस्ट्रीम पर हस्ताक्षर करने के लिए, आप पहले .sof को परिवर्तित करते हैं file अहस्ताक्षरित कच्ची बाइनरी के लिए file (.rbf) प्रारूप में। आप रूपांतरण चरण के दौरान fw_source विकल्प का उपयोग करके वैकल्पिक रूप से सह-हस्ताक्षरित फ़र्मवेयर निर्दिष्ट कर सकते हैं।
आप निम्न आदेश का उपयोग करके .rbf प्रारूप में अहस्ताक्षरित कच्ची बिटस्ट्रीम उत्पन्न कर सकते हैं:
क्वार्टस_पीएफजी सी ओ fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
अपनी कुंजियों के स्थान के आधार पर क्वार्टस_साइन टूल का उपयोग करके बिटस्ट्रीम पर हस्ताक्षर करने के लिए निम्नलिखित में से कोई एक कमांड चलाएँ:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –रद्द करें=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –मॉड्यूल=सॉफ्टएचएसएम –मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एजिलेक्स-टोकन –यूजर_पिन=एजिलेक्स-टोकन-पिन –एचएसएम_लिब=/usr/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो” –कीनाम=डिज़ाइन0_साइन –qky=डिज़ाइन0_साइन_चेन.qky –रद्द करें=एसवीएनए:0 अनसाइनड_बिटस्ट्रीम.आरबीएफ साइनड_बिटस्ट्रीम.आरबीएफ
आप हस्ताक्षरित .rbf को परिवर्तित कर सकते हैं files को अन्य कॉन्फ़िगरेशन बिटस्ट्रीम में बदलें file प्रारूप.
उदाहरणार्थampयदि आप जैम मानक परीक्षण और प्रोग्रामिंग भाषा (STAPL) प्लेयर का उपयोग जैम पर बिटस्ट्रीम प्रोग्राम करने के लिए कर रहे हैं, तो यह एक अच्छा विचार है।TAG, आप .rbf को परिवर्तित करने के लिए निम्न कमांड का उपयोग करते हैं file .jam प्रारूप में जिसकी Jam STAPL प्लेयर को आवश्यकता होती है:
क्वार्टस_पीएफजी -सी signed_bitstream.rbf signed_bitstream.jam

2.2.4. आंशिक पुनर्संरचना बहु-प्राधिकरण समर्थन

इंटेल एजिलेक्स 7 डिवाइस आंशिक पुनर्संरचना बहु-प्राधिकरण प्रमाणीकरण का समर्थन करते हैं, जहां डिवाइस स्वामी स्थिर बिटस्ट्रीम बनाता है और उस पर हस्ताक्षर करता है, और एक अलग पीआर स्वामी पीआर व्यक्तित्व बिटस्ट्रीम बनाता है और उस पर हस्ताक्षर करता है। इंटेल एजिलेक्स 7 डिवाइस डिवाइस या स्थिर बिटस्ट्रीम स्वामी को पहला प्रमाणीकरण रूट कुंजी स्लॉट असाइन करके और आंशिक पुनर्संरचना व्यक्तित्व बिटस्ट्रीम स्वामी को अंतिम प्रमाणीकरण रूट कुंजी स्लॉट असाइन करके बहु-प्राधिकरण समर्थन लागू करते हैं।
यदि प्रमाणीकरण सुविधा सक्षम है, तो सभी PR व्यक्तित्व छवियों पर हस्ताक्षर किए जाने चाहिए, जिसमें नेस्टेड PR व्यक्तित्व छवियां भी शामिल हैं। PR व्यक्तित्व छवियों पर डिवाइस स्वामी या PR स्वामी द्वारा हस्ताक्षर किए जा सकते हैं; हालाँकि, स्थिर क्षेत्र बिटस्ट्रीम पर डिवाइस स्वामी द्वारा हस्ताक्षर किए जाने चाहिए।

टिप्पणी:

भविष्य के रिलीज में बहु-प्राधिकरण समर्थन सक्षम होने पर आंशिक पुनर्संरचना स्थैतिक और व्यक्तित्व बिटस्ट्रीम एन्क्रिप्शन की योजना बनाई गई है।

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 13

2. प्रमाणीकरण और प्राधिकरण 683823 | 2023.05.23

चित्र 2.

आंशिक पुनर्संरचना बहु-प्राधिकरण समर्थन को क्रियान्वित करने के लिए कई चरणों की आवश्यकता होती है:
1. डिवाइस या स्थिर बिटस्ट्रीम स्वामी एक या अधिक प्रमाणीकरण रूट कुंजियाँ उत्पन्न करता है जैसा कि पृष्ठ 8 पर सॉफ्टएचएसएम में प्रमाणीकरण कुंजी जोड़े बनाना में वर्णित है, जहाँ –key_type विकल्प का मान स्वामी है।
2. आंशिक पुनर्विन्यास बिटस्ट्रीम स्वामी एक प्रमाणीकरण रूट कुंजी उत्पन्न करता है लेकिन –key_type विकल्प मान को secondary_owner में बदल देता है।
3. स्थिर बिटस्ट्रीम और आंशिक पुनर्विन्यास डिज़ाइन स्वामी दोनों यह सुनिश्चित करते हैं कि असाइनमेंट डिवाइस डिवाइस और पिन विकल्प सुरक्षा टैब में बहु-प्राधिकरण समर्थन सक्षम करें चेकबॉक्स सक्षम है।
इंटेल क्वार्टस प्राइम मल्टी-अथॉरिटी विकल्प सेटिंग्स सक्षम करें

4. स्थैतिक बिटस्ट्रीम और आंशिक पुनर्विन्यास डिज़ाइन स्वामी दोनों ही अपने-अपने मूल कुंजियों के आधार पर हस्ताक्षर श्रृंखला बनाते हैं, जैसा कि पृष्ठ 6 पर हस्ताक्षर श्रृंखला बनाना में वर्णित है।
5. स्थैतिक बिटस्ट्रीम और आंशिक पुनर्संरचना डिज़ाइन स्वामी दोनों अपने संकलित डिज़ाइन को .rbf प्रारूप में परिवर्तित करते हैं files और .rbf पर हस्ताक्षर करें files.
6. डिवाइस या स्थिर बिटस्ट्रीम स्वामी एक पीआर सार्वजनिक कुंजी प्रोग्राम प्राधिकरण कॉम्पैक्ट प्रमाणपत्र तैयार करता है और उस पर हस्ताक्षर करता है।
क्वार्टस_पीएफजी –ccert या ccert_type=PR_PUBKEY_PROG_AUTH या owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –रद्द=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –मॉड्यूल=सॉफ्टएचएसएम –मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एस10-टोकन –यूजर_पिन=एस10-टोकन-पिन –एचएसएम_लिब=/usr/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो” –कीनाम=डिज़ाइन0_साइन –qky=डिज़ाइन0_साइन_चेन.qky –रद्द करें=एसवीएनए:0 अनसाइनड_पीआर_पबकी_प्रोग.सीसीर्ट साइनड_पीआर_पबकी_प्रोग.सीसीर्ट

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 14

प्रतिक्रिया भेजें

2. प्रमाणीकरण और प्राधिकरण 683823 | 2023.05.23

7. डिवाइस या स्टैटिक बिटस्ट्रीम स्वामी अपने प्रमाणीकरण रूट कुंजी हैश को डिवाइस में प्रोविज़न करता है, फिर PR पब्लिक की प्रोग्राम ऑथराइजेशन कॉम्पैक्ट सर्टिफिकेट को प्रोग्राम करता है, और अंत में आंशिक पुनर्संरचना बिटस्ट्रीम स्वामी रूट कुंजी को डिवाइस में प्रोविज़न करता है। डिवाइस प्रोविज़निंग अनुभाग इस प्रोविज़निंग प्रक्रिया का वर्णन करता है।
8. इंटेल एजिलेक्स 7 डिवाइस को स्थिर क्षेत्र .rbf के साथ कॉन्फ़िगर किया गया है file.
9. इंटेल एजिलेक्स 7 डिवाइस को आंशिक रूप से पर्सोना डिज़ाइन .rbf के साथ पुनः कॉन्फ़िगर किया गया है file.
संबंधित जानकारी
· पेज 6 पर हस्ताक्षर श्रृंखला बनाना
· सॉफ्टएचएसएम में प्रमाणीकरण कुंजी जोड़े बनाना पृष्ठ 8 पर
· डिवाइस प्रोविजनिंग पृष्ठ 25 पर

2.2.5. कॉन्फ़िगरेशन बिटस्ट्रीम सिग्नेचर चेन का सत्यापन
सिग्नेचर चेन और साइन किए गए बिटस्ट्रीम बनाने के बाद, आप यह सत्यापित कर सकते हैं कि साइन किए गए बिटस्ट्रीम किसी दिए गए रूट कुंजी के साथ प्रोग्राम किए गए डिवाइस को सही तरीके से कॉन्फ़िगर करता है। आप पहले रूट पब्लिक कुंजी के हैश को टेक्स्ट में प्रिंट करने के लिए क्वार्टस_साइन कमांड के फ़्यूज़_इन्फो ऑपरेशन का उपयोग करते हैं file:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=फ़्यूज़_इंफ़ो रूट0.qky हैश_फ़्यूज़.txt

फिर आप .rbf प्रारूप में हस्ताक्षरित बिटस्ट्रीम के प्रत्येक अनुभाग पर हस्ताक्षर श्रृंखला का निरीक्षण करने के लिए quartus_pfg कमांड के check_integrity विकल्प का उपयोग करते हैं। check_integrity विकल्प निम्नलिखित जानकारी प्रिंट करता है:
· समग्र बिटस्ट्रीम अखंडता जांच की स्थिति
· बिटस्ट्रीम .rbf में प्रत्येक अनुभाग से जुड़ी प्रत्येक हस्ताक्षर श्रृंखला में प्रत्येक प्रविष्टि की सामग्री file,
· प्रत्येक हस्ताक्षर श्रृंखला के लिए रूट सार्वजनिक कुंजी के हैश के लिए अपेक्षित फ़्यूज़ मान।
Fuse_info आउटपुट का मान check_integrity आउटपुट में Fuse लाइनों से मेल खाना चाहिए।
क्वार्टस_पीएफजी – चेक_इंटेग्रिटी signed_bitstream.rbf

यहाँ एक पूर्व हैampcheck_integrity कमांड आउटपुट का फ़ाइल:

जानकारी: कमांड: quartus_pfg –check_integrity signed_bitstream.rbf अखंडता स्थिति: ठीक

अनुभाग

प्रकार: सीएमएफ

हस्ताक्षर विवरणक…

हस्ताक्षर श्रृंखला #0 (प्रविष्टियाँ: -1, ऑफसेट: 96)

प्रवेश # 0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 15

2. प्रमाणीकरण और प्राधिकरण 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

प्रवेश # 1

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

प्रविष्टि #2 कीचेन अनुमति: SIGN_CODE कीचेन को ID: 3 द्वारा रद्द किया जा सकता है हस्ताक्षर श्रृंखला #1 (प्रविष्टियाँ: -1, ऑफसेट: 648)

प्रवेश # 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

प्रवेश # 1

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

प्रवेश # 2

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

प्रविष्टि #3 कीचेन अनुमति: SIGN_CODE कीचेन को ID: 15 द्वारा रद्द किया जा सकता है हस्ताक्षर श्रृंखला #2 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #3 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #4 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #5 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #6 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #7 (प्रविष्टियाँ: -1, ऑफसेट: 0)

अनुभाग प्रकार: IO हस्ताक्षर विवरणक… हस्ताक्षर श्रृंखला #0 (प्रविष्टियाँ: -1, ऑफसेट: 96)

प्रवेश # 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 16

प्रतिक्रिया भेजें

2. प्रमाणीकरण और प्राधिकरण 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

प्रवेश # 1

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

प्रवेश # 2

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

प्रविष्टि #3 कीचेन अनुमति: SIGN_CORE कीचेन को ID: 15 द्वारा रद्द किया जा सकता है हस्ताक्षर श्रृंखला #1 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #2 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #3 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #4 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #5 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #6 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #7 (प्रविष्टियाँ: -1, ऑफसेट: 0)

अनुभाग

प्रकार: एचपीएस

हस्ताक्षर विवरणक…

हस्ताक्षर श्रृंखला #0 (प्रविष्टियाँ: -1, ऑफसेट: 96)

प्रवेश # 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

प्रवेश # 1

कुंजी उत्पन्न करें...

वक्र : secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

प्रवेश # 2

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 17

2. प्रमाणीकरण और प्राधिकरण 683823 | 2023.05.23

प्रविष्टि #3 कीचेन अनुमति: SIGN_HPS कीचेन को ID: 15 द्वारा रद्द किया जा सकता है हस्ताक्षर श्रृंखला #1 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #2 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #3 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #4 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #5 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #6 (प्रविष्टियाँ: -1, ऑफसेट: 0) हस्ताक्षर श्रृंखला #7 (प्रविष्टियाँ: -1, ऑफसेट: 0)

अनुभाग प्रकार: कोर हस्ताक्षर विवरणक ... हस्ताक्षर श्रृंखला #0 (प्रविष्टियाँ: -1, ऑफसेट: 96)

प्रवेश # 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

प्रवेश # 1

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

प्रवेश # 2

कुंजी उत्पन्न करें...

वक्र : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 18

प्रतिक्रिया भेजें

683823 | 2023.05.23 प्रतिक्रिया भेजें

एईएस बिटस्ट्रीम एन्क्रिप्शन

उन्नत एन्क्रिप्शन स्टैंडर्ड (AES) बिटस्ट्रीम एन्क्रिप्शन एक ऐसी सुविधा है जो डिवाइस के मालिक को कॉन्फ़िगरेशन बिटस्ट्रीम में बौद्धिक संपदा की गोपनीयता की रक्षा करने में सक्षम बनाती है।
कुंजियों की गोपनीयता की सुरक्षा में मदद करने के लिए, कॉन्फ़िगरेशन बिटस्ट्रीम एन्क्रिप्शन AES कुंजियों की एक श्रृंखला का उपयोग करता है। इन कुंजियों का उपयोग कॉन्फ़िगरेशन बिटस्ट्रीम में स्वामी डेटा को एन्क्रिप्ट करने के लिए किया जाता है, जहाँ पहली मध्यवर्ती कुंजी को AES रूट कुंजी के साथ एन्क्रिप्ट किया जाता है।

3.1. AES रूट कुंजी बनाना

आप Intel Quartus Prime सॉफ़्टवेयर एन्क्रिप्शन कुंजी (.qek) प्रारूप में AES रूट कुंजी बनाने के लिए quartus_encrypt टूल या stratix10_encrypt.py संदर्भ कार्यान्वयन का उपयोग कर सकते हैं file.

टिप्पणी:

stratix10_encrypt.py file इसका उपयोग Intel Stratix® 10, और Intel Agilex 7 डिवाइसों के लिए किया जाता है।

आप वैकल्पिक रूप से AES रूट कुंजी और कुंजी व्युत्पत्ति कुंजी प्राप्त करने के लिए उपयोग की जाने वाली आधार कुंजी, सीधे AES रूट कुंजी के लिए मान, मध्यवर्ती कुंजियों की संख्या और प्रति मध्यवर्ती कुंजी अधिकतम उपयोग निर्दिष्ट कर सकते हैं।

आपको डिवाइस परिवार, आउटपुट .qek निर्दिष्ट करना होगा file स्थान, और पासफ़्रेज़ जब संकेत दिया जाए।
आधार कुंजी के लिए यादृच्छिक डेटा और मध्यवर्ती कुंजियों की संख्या और अधिकतम कुंजी उपयोग के लिए डिफ़ॉल्ट मानों का उपयोग करके AES रूट कुंजी उत्पन्न करने के लिए निम्नलिखित कमांड चलाएँ।
संदर्भ कार्यान्वयन का उपयोग करने के लिए, आप इंटेल क्वार्टस प्राइम सॉफ़्टवेयर के साथ शामिल पायथन इंटरप्रेटर को कॉल करते हैं और –family=agilex विकल्प को छोड़ देते हैं; अन्य सभी विकल्प समान हैं। उदाहरण के लिएample, quartus_encrypt कमांड अनुभाग में बाद में पाया गया

क्वार्टस_एन्क्रिप्ट –फ़ैमिली=एजिलेक्स –ऑपरेशन=MAKE_AES_KEY aes_root.qek

संदर्भ कार्यान्वयन के लिए समतुल्य कॉल में इस प्रकार परिवर्तित किया जा सकता है pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. क्वार्टस एन्क्रिप्शन सेटिंग्स
किसी डिज़ाइन के लिए बिटस्ट्रीम एन्क्रिप्शन सक्षम करने के लिए, आपको असाइनमेंट डिवाइस डिवाइस और पिन विकल्प सुरक्षा पैनल का उपयोग करके उपयुक्त विकल्प निर्दिष्ट करना होगा। आप कॉन्फ़िगरेशन बिटस्ट्रीम एन्क्रिप्शन सक्षम करें चेकबॉक्स और ड्रॉपडाउन मेनू से वांछित एन्क्रिप्शन कुंजी संग्रहण स्थान का चयन करते हैं।

आईएसओ 9001:2015 पंजीकृत

चित्र 3. इंटेल क्वार्टस प्राइम एन्क्रिप्शन सेटिंग्स

3. एईएस बिटस्ट्रीम एन्क्रिप्शन 683823 | 2023.05.23

वैकल्पिक रूप से, आप अपनी इंटेल क्वार्टस प्राइम सेटिंग्स में निम्नलिखित असाइनमेंट स्टेटमेंट जोड़ सकते हैं file .क्यूएसएफ:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM पर set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
यदि आप साइड-चैनल आक्रमण वैक्टर के विरुद्ध अतिरिक्त शमन सक्षम करना चाहते हैं, तो आप एन्क्रिप्शन अद्यतन अनुपात ड्रॉपडाउन और स्क्रैम्बलिंग सक्षम करें चेकबॉक्स को सक्षम कर सकते हैं।

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 20

प्रतिक्रिया भेजें

3. एईएस बिटस्ट्रीम एन्क्रिप्शन 683823 | 2023.05.23

.qsf में संगत परिवर्तन इस प्रकार हैं:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING पर set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. कॉन्फ़िगरेशन बिटस्ट्रीम को एन्क्रिप्ट करना
आप बिटस्ट्रीम पर हस्ताक्षर करने से पहले कॉन्फ़िगरेशन बिटस्ट्रीम को एन्क्रिप्ट करते हैं। इंटेल क्वार्टस प्राइम प्रोग्रामिंग File जेनरेटर टूल ग्राफिकल यूजर इंटरफेस या कमांड लाइन का उपयोग करके कॉन्फ़िगरेशन बिटस्ट्रीम को स्वचालित रूप से एन्क्रिप्ट और हस्ताक्षरित कर सकता है।
आप वैकल्पिक रूप से quartus_encrypt और quartus_sign टूल या संदर्भ कार्यान्वयन समकक्षों के साथ उपयोग के लिए आंशिक रूप से एन्क्रिप्टेड बिटस्ट्रीम बना सकते हैं।

3.3.1. प्रोग्रामिंग का उपयोग करके बिटस्ट्रीम एन्क्रिप्शन कॉन्फ़िगरेशन File जेनरेटर ग्राफिकल इंटरफ़ेस
आप प्रोग्रामिंग का उपयोग कर सकते हैं File स्वामी छवि को एन्क्रिप्ट और हस्ताक्षरित करने के लिए जेनरेटर।

चित्र 4.

1. इंटेल क्वार्टस प्राइम पर File मेनू प्रोग्रामिंग का चयन करें File जेनरेटर. 2. आउटपुट पर Files टैब पर, आउटपुट निर्दिष्ट करें file अपने कॉन्फ़िगरेशन के लिए टाइप करें
योजना।
उत्पादन File विनिर्देश

कॉन्फ़िगरेशन योजना आउटपुट file टैब
उत्पादन file प्रकार

3. इनपुट पर Files टैब पर, बिटस्ट्रीम जोड़ें पर क्लिक करें और अपने .sof पर ब्राउज़ करें। 4. एन्क्रिप्शन और प्रमाणीकरण विकल्प निर्दिष्ट करने के लिए .sof चुनें और क्लिक करें
गुण. a. हस्ताक्षर उपकरण सक्षम करें चालू करें. b. निजी कुंजी के लिए file अपनी हस्ताक्षर कुंजी निजी .pem का चयन करें file. सी. अंतिम एन्क्रिप्शन चालू करें.

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 21

3. एईएस बिटस्ट्रीम एन्क्रिप्शन 683823 | 2023.05.23

चित्र 5.

d. एन्क्रिप्शन कुंजी के लिए file, अपना AES .qek चुनें fileइनपुट (.sof) File प्रमाणीकरण और एन्क्रिप्शन के लिए गुण

प्रमाणीकरण सक्षम करें निजी रूट .pem निर्दिष्ट करें
एन्क्रिप्शन सक्षम करें एन्क्रिप्शन कुंजी निर्दिष्ट करें
5. इनपुट पर हस्ताक्षरित और एन्क्रिप्टेड बिटस्ट्रीम उत्पन्न करने के लिए Files टैब पर, जनरेट पर क्लिक करें। आपके AES कुंजी के लिए अपना पासफ़्रेज़ इनपुट करने के लिए पासवर्ड डायलॉग बॉक्स दिखाई देते हैं। qek file और निजी कुंजी .pem पर हस्ताक्षर करना file. प्रोग्रामिंग file जनरेटर एन्क्रिप्टेड और हस्ताक्षरित आउटपुट बनाता है_file.आरबीएफ.
3.3.2. प्रोग्रामिंग का उपयोग करके बिटस्ट्रीम एन्क्रिप्शन कॉन्फ़िगरेशन File जेनरेटर कमांड लाइन इंटरफ़ेस
quartus_pfg कमांड लाइन इंटरफ़ेस के साथ .rbf प्रारूप में एन्क्रिप्टेड और हस्ताक्षरित कॉन्फ़िगरेशन बिटस्ट्रीम उत्पन्न करें:
क्वार्टस_पीएफजी -सी एन्क्रिप्शन_सक्षम.एसओएफ टॉप.आरबीएफ -ओ फाइनलाइज़_एन्क्रिप्शन=चालू -ओ क्यूईके_file=aes_root.qek -o हस्ताक्षर=ON -o pem_file=design0_sign_private.pem
आप .rbf प्रारूप में एन्क्रिप्टेड और हस्ताक्षरित कॉन्फ़िगरेशन बिटस्ट्रीम को अन्य कॉन्फ़िगरेशन बिटस्ट्रीम में परिवर्तित कर सकते हैं file प्रारूप.
3.3.3. कमांड लाइन इंटरफ़ेस का उपयोग करके आंशिक रूप से एन्क्रिप्टेड कॉन्फ़िगरेशन बिटस्ट्रीम जनरेशन
आप आंशिक रूप से एन्क्रिप्टेड प्रोग्रामिंग उत्पन्न कर सकते हैं file एन्क्रिप्शन को अंतिम रूप देने और बाद में छवि पर हस्ताक्षर करने के लिए। आंशिक रूप से एन्क्रिप्टेड प्रोग्रामिंग उत्पन्न करें file .rbf प्रारूप में quartus_pfg कमांड लाइन इंटरफ़ेस के साथ: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 22

प्रतिक्रिया भेजें

3. एईएस बिटस्ट्रीम एन्क्रिप्शन 683823 | 2023.05.23
बिटस्ट्रीम एन्क्रिप्शन को अंतिम रूप देने के लिए आप quartus_encrypt कमांड लाइन टूल का उपयोग करते हैं:
क्वार्टस_एन्क्रिप्ट –फ़ैमिली=एजिलेक्स –ऑपरेशन=एन्क्रिप्ट –कुंजी=aes_root.qek टॉप.आरबीएफ एन्क्रिप्टेड_टॉप.आरबीएफ
एन्क्रिप्टेड कॉन्फ़िगरेशन बिटस्ट्रीम पर हस्ताक्षर करने के लिए आप quartus_sign कमांड लाइन टूल का उपयोग करते हैं:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –रद्द करें=svnA:0 एन्क्रिप्टेड_टॉप.rbf signed_encrypted_top.rbf
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –मॉड्यूल=सॉफ्टएचएसएम –मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एजिलेक्स-टोकन –यूजर_पिन=एजिलेक्स-टोकन-पिन –एचएसएम_लिब=/usr/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो” –कीनाम=डिज़ाइन0_साइन –qky=डिज़ाइन0_साइन_चेन.qky –रद्द करें=एसवीएनए:0 एन्क्रिप्टेड_टॉप.आरबीएफ signed_encrypted_top.rbf
3.3.4. आंशिक पुनर्संरचना बिटस्ट्रीम एन्क्रिप्शन
आप कुछ Intel Agilex 7 FPGA डिज़ाइनों पर बिटस्ट्रीम एन्क्रिप्शन सक्षम कर सकते हैं जो आंशिक पुनर्संरचना का उपयोग करते हैं।
आंशिक पुनर्विन्यास डिज़ाइन जो पदानुक्रमित आंशिक पुनर्विन्यास (HPR) या स्टेटिक अपडेट आंशिक पुनर्विन्यास (SUPR) का उपयोग करते हैं, बिटस्ट्रीम एन्क्रिप्शन का समर्थन नहीं करते हैं। यदि आपके डिज़ाइन में कई PR क्षेत्र हैं, तो आपको सभी व्यक्तित्वों को एन्क्रिप्ट करना होगा।
आंशिक पुनर्संरचना बिटस्ट्रीम एन्क्रिप्शन को सक्षम करने के लिए, सभी डिज़ाइन संशोधनों में समान प्रक्रिया का पालन करें। 1. इंटेल क्वार्टस प्राइम पर File मेनू में, असाइनमेंट डिवाइस डिवाइस चुनें
और पिन विकल्प सुरक्षा। 2. इच्छित एन्क्रिप्शन कुंजी भंडारण स्थान का चयन करें।
चित्र 6. आंशिक पुनर्संरचना बिटस्ट्रीम एन्क्रिप्शन सेटिंग

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 23

3. एईएस बिटस्ट्रीम एन्क्रिप्शन 683823 | 2023.05.23
वैकल्पिक रूप से, आप क्वार्टस प्राइम सेटिंग्स में निम्नलिखित असाइनमेंट स्टेटमेंट जोड़ सकते हैं file .क्यूएसएफ:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION चालू
आपके द्वारा अपने आधार डिज़ाइन और संशोधनों को संकलित करने के बाद, सॉफ़्टवेयर एक .sof उत्पन्न करता हैfile और एक या अधिक.pmsffiles, व्यक्तित्व का प्रतिनिधित्व करते हैं। 3. एन्क्रिप्टेड और हस्ताक्षरित प्रोग्रामिंग बनाएँ files.sof और.pmsf से files को बिना किसी आंशिक पुनर्संरचना सक्षम किए डिज़ाइन के समान तरीके से परिवर्तित करें। 4. संकलित persona.pmsf को रूपांतरित करें file आंशिक रूप से एन्क्रिप्टेड.rbf में file:
क्वार्टस_पीएफजी -सी -ओ फाइनलाइज_एन्क्रिप्शन_लेटर=चालू -ओ साइन_लेटर=चालू एन्क्रिप्शन_सक्षम_पर्सोना1.पीएमएसएफ पर्सोना1.आरबीएफ
5. क्वार्टस_एन्क्रिप्ट कमांड लाइन टूल का उपयोग करके बिटस्ट्रीम एन्क्रिप्शन को अंतिम रूप दें:
क्वार्टस_एन्क्रिप्ट –फ़ैमिली=एजिलेक्स –ऑपरेशन=एन्क्रिप्ट –कुंजी=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. क्वार्टस_साइन कमांड लाइन टूल का उपयोग करके एन्क्रिप्टेड कॉन्फ़िगरेशन बिटस्ट्रीम पर हस्ताक्षर करें:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem एन्क्रिप्टेड_व्यक्तित्व1.rbf signed_encrypted_persona1.rbf
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –मॉड्यूल=सॉफ्टएचएसएम –मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एजिलेक्स-टोकन –यूजर_पिन=एजिलेक्स-टोकन-पिन –एचएसएम_लिब=/usr/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो” –qky=डिज़ाइन0_साइन_चेन.qky –रद्द करें=svnA:0 –कुंजीनाम=डिज़ाइन0_साइन एन्क्रिप्टेड_पर्सन1.आरबीएफ signed_encrypted_persona1.rbf

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 24

प्रतिक्रिया भेजें

683823 | 2023.05.23 प्रतिक्रिया भेजें

डिवाइस प्रावधान

आरंभिक सुरक्षा सुविधा प्रावधान केवल SDM प्रावधान फर्मवेयर में समर्थित है। SDM प्रावधान फर्मवेयर लोड करने और प्रावधान संचालन करने के लिए Intel Quartus Prime Programmer का उपयोग करें।
आप किसी भी प्रकार के J का उपयोग कर सकते हैंTAG प्रोविजनिंग ऑपरेशन करने के लिए क्वार्टस प्रोग्रामर को इंटेल एजिलेक्स 7 डिवाइस से कनेक्ट करने के लिए केबल डाउनलोड करें।
4.1.एसडीएम प्रोविजन फर्मवेयर का उपयोग करना
जब आप आरंभिक ऑपरेशन और कॉन्फ़िगरेशन बिटस्ट्रीम के अलावा कुछ और प्रोग्राम करने के लिए कमांड का चयन करते हैं, तो इंटेल क्वार्टस प्राइम प्रोग्रामर स्वचालित रूप से एक फ़ैक्टरी डिफ़ॉल्ट हेल्पर छवि बनाता है और लोड करता है।
निर्दिष्ट प्रोग्रामिंग कमांड के आधार पर, फ़ैक्टरी डिफ़ॉल्ट हेल्पर छवि दो प्रकारों में से एक होती है:
· प्रोविजनिंग हेल्पर छवि-एसडीएम प्रोविजनिंग फर्मवेयर युक्त एक बिटस्ट्रीम अनुभाग से मिलकर बनी होती है।
· QSPI सहायक छवि-इसमें दो बिटस्ट्रीम अनुभाग होते हैं, जिनमें से एक में SDM मुख्य फर्मवेयर और एक I/O अनुभाग होता है।
आप फ़ैक्टरी डिफ़ॉल्ट हेल्पर छवि बना सकते हैं file किसी भी प्रोग्रामिंग कमांड को निष्पादित करने से पहले अपने डिवाइस में लोड करने के लिए। प्रमाणीकरण रूट कुंजी हैश को प्रोग्राम करने के बाद, आपको शामिल I/O अनुभाग के कारण QSPI फ़ैक्टरी डिफ़ॉल्ट हेल्पर छवि बनाना और उस पर हस्ताक्षर करना होगा। यदि आप सह-हस्ताक्षरित फ़र्मवेयर सुरक्षा सेटिंग eFuse को अतिरिक्त रूप से प्रोग्राम करते हैं, तो आपको सह-हस्ताक्षरित फ़र्मवेयर के साथ प्रोविज़निंग और QSPI फ़ैक्टरी डिफ़ॉल्ट हेल्पर छवियाँ बनानी होंगी। आप एक अप्रावधानित डिवाइस पर सह-हस्ताक्षरित फ़ैक्टरी डिफ़ॉल्ट हेल्पर छवि का उपयोग कर सकते हैं क्योंकि अप्रावधानित डिवाइस SDM फ़र्मवेयर पर गैर-Intel हस्ताक्षर श्रृंखलाओं को अनदेखा करता है। QSPI फ़ैक्टरी डिफ़ॉल्ट हेल्पर छवि बनाने, हस्ताक्षर करने और उपयोग करने के बारे में अधिक जानकारी के लिए पृष्ठ 26 पर स्वामित्व वाले डिवाइस पर QSPI फ़ैक्टरी डिफ़ॉल्ट हेल्पर छवि का उपयोग करना देखें।
प्रोविजनिंग फ़ैक्टरी डिफ़ॉल्ट हेल्पर इमेज एक प्रोविजनिंग क्रिया निष्पादित करती है, जैसे प्रमाणीकरण रूट कुंजी हैश, सुरक्षा सेटिंग फ़्यूज़, PUF नामांकन, या ब्लैक कुंजी प्रोविजनिंग को प्रोग्रामिंग करना। आप इंटेल क्वार्टस प्राइम प्रोग्रामिंग का उपयोग करते हैं File प्रोविजनिंग हेल्पर इमेज बनाने के लिए जेनरेटर कमांड लाइन टूल, जिसमें helper_image विकल्प, आपका helper_device नाम, प्रोविजन हेल्पर इमेज उपप्रकार, तथा वैकल्पिक रूप से एक सह-हस्ताक्षरित फर्मवेयर .zip निर्दिष्ट किया जाता है। file:
क्वार्टस_पीएफजी –हेल्पर_इमेज -o हेल्पर_डिवाइस=AGFB014R24A -o उपप्रकार=प्रावधान -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
इंटेल क्वार्टस प्राइम प्रोग्रामर टूल का उपयोग करके सहायक छवि को प्रोग्राम करें:
क्वार्टस_पीजीएम -सी 1 -एमजेtag -o “p;signed_provision_helper_image.rbf” –बल

आईएसओ 9001:2015 पंजीकृत

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23

टिप्पणी:

आप कमांड से इनिशियलाइज़ ऑपरेशन को छोड़ सकते हैं, जिसमें ex शामिल हैampइस अध्याय में दिए गए निर्देशों का पालन करें, या तो प्रावधान सहायक छवि को प्रोग्राम करने के बाद या आरंभीकरण ऑपरेशन वाले कमांड का उपयोग करके।

4.2. स्वामित्व वाले डिवाइस पर QSPI फ़ैक्टरी डिफ़ॉल्ट हेल्पर छवि का उपयोग करना
जब आप QSPI फ्लैश प्रोग्रामिंग के लिए आरंभीकरण ऑपरेशन का चयन करते हैं, तो इंटेल क्वार्टस प्राइम प्रोग्रामर स्वचालित रूप से QSPI फैक्टरी डिफ़ॉल्ट हेल्पर छवि बनाता है और लोड करता है fileप्रमाणीकरण रूट कुंजी हैश को प्रोग्राम करने के बाद, आपको QSPI फ़ैक्टरी डिफ़ॉल्ट हेल्पर छवि को बनाना और उस पर हस्ताक्षर करना होगा, और QSPI फ़्लैश को प्रोग्राम करने से पहले हस्ताक्षरित QSPI फ़ैक्टरी हेल्पर छवि को अलग से प्रोग्राम करना होगा। 1. आप इंटेल क्वार्टस प्राइम प्रोग्रामिंग का उपयोग करते हैं File जेनरेटर कमांड लाइन उपकरण
QSPI सहायक छवि बनाएं, helper_image विकल्प, अपना helper_device प्रकार, QSPI सहायक छवि उपप्रकार, और वैकल्पिक रूप से एक सह-हस्ताक्षरित फर्मवेयर .zip निर्दिष्ट करें file:
क्वार्टस_पीएफजी –हेल्पर_इमेज -o हेल्पर_डिवाइस=AGFB014R24A -o उपप्रकार=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. आप QSPI फ़ैक्टरी डिफ़ॉल्ट हेल्पर छवि पर हस्ताक्षर करते हैं:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. आप किसी भी QSPI फ़्लैश प्रोग्रामिंग का उपयोग कर सकते हैं file प्रारूप। निम्नलिखित उदाहरणamp.jic में परिवर्तित कॉन्फ़िगरेशन बिटस्ट्रीम का उपयोग करें file प्रारूप:
क्वार्टस_पीएफजी -सी signed_bitstream.rbf signed_flash.jic -ओ डिवाइस=MT25QU128 -ओ फ्लैश_लोडर=AGFB014R24A -ओ मोड=ASX4
4. आप इंटेल क्वार्टस प्राइम प्रोग्रामर टूल का उपयोग करके हस्ताक्षरित सहायक छवि को प्रोग्राम करते हैं:
क्वार्टस_पीजीएम -सी 1 -एमजेtag -o “p;signed_qspi_helper_image.rbf” –बल
5. आप इंटेल क्वार्टस प्राइम प्रोग्रामर टूल का उपयोग करके .jic छवि को फ्लैश करने के लिए प्रोग्राम करते हैं:
क्वार्टस_पीजीएम -सी 1 -एमजेtag -o “p;signed_flash.jic”

4.3. प्रमाणीकरण रूट कुंजी प्रावधान
भौतिक फ़्यूज़ के लिए स्वामी रूट कुंजी हैश को प्रोग्राम करने के लिए, पहले आपको प्रावधान फ़र्मवेयर लोड करना होगा, फिर स्वामी रूट कुंजी हैश को प्रोग्राम करना होगा, और फिर तुरंत पावर-ऑन रीसेट करना होगा। वर्चुअल फ़्यूज़ के लिए रूट कुंजी हैश को प्रोग्राम करने पर पावर-ऑन रीसेट की आवश्यकता नहीं होती है।

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 26

प्रतिक्रिया भेजें

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23
प्रमाणीकरण रूट कुंजी हैश को प्रोग्राम करने के लिए, आप प्रावधान फर्मवेयर हेल्पर छवि को प्रोग्राम करते हैं और रूट कुंजी .qky को प्रोग्राम करने के लिए निम्न आदेशों में से एक चलाते हैं files.
// भौतिक (गैर-वाष्पशील) ईफ्यूज़ के लिए quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –non_volatile_key
// वर्चुअल (वाष्पशील) ईफ्यूज़ के लिए quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky”
4.3.1. आंशिक पुनर्संरचना बहु-प्राधिकरण रूट कुंजी प्रोग्रामिंग
डिवाइस या स्थैतिक क्षेत्र बिटस्ट्रीम स्वामी रूट कुंजी का प्रावधान करने के बाद, आप फिर से डिवाइस प्रावधान सहायक छवि को लोड करते हैं, हस्ताक्षरित PR सार्वजनिक कुंजी प्रोग्राम प्राधिकरण कॉम्पैक्ट प्रमाणपत्र को प्रोग्राम करते हैं, और फिर PR व्यक्तित्व बिटस्ट्रीम स्वामी रूट कुंजी का प्रावधान करते हैं।
// भौतिक (गैर-वाष्पशील) ईफ्यूज़ के लिए quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// वर्चुअल (वाष्पशील) ईफ्यूज़ के लिए quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. कुंजी निरस्तीकरण आईडी फ़्यूज़ प्रोग्रामिंग
इंटेल क्वार्टस प्राइम प्रो एडिशन सॉफ्टवेयर संस्करण 21.1 से शुरू करते हुए, इंटेल और मालिक कुंजी रद्दीकरण आईडी फ़्यूज़ को प्रोग्राम करने के लिए एक हस्ताक्षरित कॉम्पैक्ट प्रमाणपत्र के उपयोग की आवश्यकता होती है। आप कुंजी रद्दीकरण आईडी कॉम्पैक्ट प्रमाणपत्र को एक हस्ताक्षर श्रृंखला के साथ हस्ताक्षरित कर सकते हैं जिसमें FPGA अनुभाग हस्ताक्षर अनुमतियाँ हैं। आप प्रोग्रामिंग के साथ कॉम्पैक्ट प्रमाणपत्र बनाते हैं file जनरेटर कमांड लाइन टूल। आप क्वार्टस_साइन टूल या संदर्भ कार्यान्वयन का उपयोग करके अहस्ताक्षरित प्रमाणपत्र पर हस्ताक्षर करते हैं।
इंटेल एजिलेक्स 7 डिवाइस प्रत्येक रूट कुंजी के लिए स्वामी कुंजी रद्दीकरण आईडी के अलग-अलग बैंकों का समर्थन करते हैं। जब एक स्वामी कुंजी रद्दीकरण आईडी कॉम्पैक्ट प्रमाणपत्र को इंटेल एजिलेक्स 7 FPGA में प्रोग्राम किया जाता है, तो SDM यह निर्धारित करता है कि किस रूट कुंजी ने कॉम्पैक्ट प्रमाणपत्र पर हस्ताक्षर किए हैं और उस रूट कुंजी से संबंधित कुंजी रद्दीकरण आईडी फ़्यूज़ को उड़ा देता है।
निम्नलिखित पूर्वampइंटेल कुंजी आईडी 7 के लिए इंटेल कुंजी रद्दीकरण प्रमाणपत्र बनाएं। आप 7 को 0-31 से लागू इंटेल कुंजी रद्दीकरण आईडी के साथ बदल सकते हैं।
एक अहस्ताक्षरित इंटेल कुंजी निरस्तीकरण आईडी कॉम्पैक्ट प्रमाणपत्र बनाने के लिए निम्नलिखित कमांड चलाएँ:
क्वार्टस_पीएफजी –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
अहस्ताक्षरित इंटेल कुंजी निरस्तीकरण आईडी कॉम्पैक्ट प्रमाणपत्र पर हस्ताक्षर करने के लिए निम्न में से कोई एक आदेश चलाएँ:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –रद्द करें=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –मॉड्यूल=सॉफ्टएचएसएम –मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एजिलेक्स-टोकन –यूजर_पिन=एजिलेक्स-टोकन-पिन –एचएसएम_लिब=/usr/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो”

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 27

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
एक अहस्ताक्षरित स्वामी कुंजी रद्दीकरण आईडी कॉम्पैक्ट प्रमाणपत्र बनाने के लिए निम्नलिखित कमांड चलाएँ:
क्वार्टस_पीएफजी –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
अहस्ताक्षरित स्वामी कुंजी निरस्तीकरण आईडी कॉम्पैक्ट प्रमाणपत्र पर हस्ताक्षर करने के लिए निम्न में से कोई एक आदेश चलाएँ:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –रद्द करें=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –मॉड्यूल=सॉफ्टएचएसएम –मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एजिलेक्स-टोकन –यूजर_पिन=एजिलेक्स-टोकन-पिन –एचएसएम_लिब=/usr/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो” –कीनाम=डिज़ाइन0_साइन –qky=डिज़ाइन0_साइन_चेन.qky –कैंसल=एसवीएनए:0 अनसाइनड_कैंसल_ओनर2.सीसीर्ट साइनड_कैंसल_ओनर2.सीसीर्ट
जब आप हस्ताक्षरित कुंजी निरस्तीकरण आईडी कॉम्पैक्ट प्रमाणपत्र बना लेते हैं, तो आप कॉम्पैक्ट प्रमाणपत्र को J के माध्यम से डिवाइस पर प्रोग्राम करने के लिए Intel Quartus Prime प्रोग्रामर का उपयोग करते हैंTAG.
//भौतिक (गैर-वाष्पशील) ईफ्यूज़ के लिए quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key क्वार्टस_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
//वर्चुअल (वाष्पशील) ईफ्यूज़ के लिए quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” क्वार्टस_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
आप FPGA या HPS मेलबॉक्स इंटरफ़ेस का उपयोग करके कॉम्पैक्ट प्रमाणपत्र को SDM को भी भेज सकते हैं।
4.5. रूट कुंजियाँ रद्द करना
इंटेल एजिलेक्स 7 डिवाइस आपको रूट कुंजी हैश को रद्द करने की अनुमति देते हैं जब कोई अन्य रद्द न किया गया रूट कुंजी हैश मौजूद होता है। आप पहले डिवाइस को ऐसे डिज़ाइन के साथ कॉन्फ़िगर करके रूट कुंजी हैश को रद्द करते हैं जिसकी हस्ताक्षर श्रृंखला किसी भिन्न रूट कुंजी हैश में निहित होती है, फिर एक हस्ताक्षरित रूट कुंजी हैश रद्दीकरण कॉम्पैक्ट प्रमाणपत्र प्रोग्राम करते हैं। आपको रूट कुंजी हैश रद्दीकरण कॉम्पैक्ट प्रमाणपत्र को रद्द किए जाने वाले रूट कुंजी में निहित हस्ताक्षर श्रृंखला के साथ हस्ताक्षरित करना होगा।
एक अहस्ताक्षरित रूट कुंजी हैश निरस्तीकरण कॉम्पैक्ट प्रमाणपत्र उत्पन्न करने के लिए निम्नलिखित कमांड चलाएँ:
क्वार्टस_पीएफजी –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 28

प्रतिक्रिया भेजें

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23

अहस्ताक्षरित रूट कुंजी हैश निरस्तीकरण कॉम्पैक्ट प्रमाणपत्र पर हस्ताक्षर करने के लिए निम्न में से कोई एक आदेश चलाएँ:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –रद्द करें=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –मॉड्यूल=सॉफ्टएचएसएम –मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एजिलेक्स-टोकन –यूजर_पिन=एजिलेक्स-टोकन-पिन –एचएसएम_लिब=/usr/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो” –कीनाम=डिज़ाइन0_साइन –qky=डिज़ाइन0_साइन_चेन.qky –रद्द करें=एसवीएनए:0 अनसाइनड_रूट_कैंसल.सीसीर्ट साइनड_रूट_कैंसल.सीसीर्ट
आप J के माध्यम से रूट कुंजी हैश रद्दीकरण कॉम्पैक्ट प्रमाणपत्र प्रोग्राम कर सकते हैंTAG, FPGA, या HPS मेलबॉक्स।

4.6. प्रोग्रामिंग काउंटर फ़्यूज़
आप सुरक्षा संस्करण संख्या (SVN) और छद्म समय सेंट को अपडेट करते हैंamp (पीटीएस) काउंटर फ़्यूज़ हस्ताक्षरित कॉम्पैक्ट प्रमाणपत्रों का उपयोग करते हुए।

टिप्पणी:

SDM किसी दिए गए कॉन्फ़िगरेशन के दौरान देखे गए न्यूनतम काउंटर मान का ट्रैक रखता है और काउंटर मान न्यूनतम मान से कम होने पर काउंटर वृद्धि प्रमाणपत्र स्वीकार नहीं करता है। आपको काउंटर को असाइन किए गए सभी ऑब्जेक्ट को अपडेट करना होगा और काउंटर वृद्धि कॉम्पैक्ट प्रमाणपत्र को प्रोग्राम करने से पहले डिवाइस को फिर से कॉन्फ़िगर करना होगा।

निम्नलिखित में से किसी एक कमांड को चलाएँ जो उस काउंटर वृद्धि प्रमाणपत्र से मेल खाता हो जिसे आप जनरेट करना चाहते हैं।
क्वार्टस_पीएफजी –ccert -o ccert_type=PTS_COUNTER -o काउंटर=<-1:495> unsigned_pts.ccert

क्वार्टस_पीएफजी –ccert -o ccert_type=SVN_COUNTER_A -o काउंटर=<-1:63> unsigned_svnA.ccert

क्वार्टस_पीएफजी –ccert -o ccert_type=SVN_COUNTER_B -o काउंटर=<-1:63> unsigned_svnB.ccert

क्वार्टस_पीएफजी –ccert -o ccert_type=SVN_COUNTER_C -o काउंटर=<-1:63> unsigned_svnC.ccert

क्वार्टस_पीएफजी –ccert -o ccert_type=SVN_COUNTER_D -o काउंटर=<-1:63> unsigned_svnD.ccert

1 का काउंटर मान एक काउंटर वृद्धि प्राधिकरण प्रमाणपत्र बनाता है। काउंटर वृद्धि प्राधिकरण कॉम्पैक्ट प्रमाणपत्र को प्रोग्रामिंग करने से आप संबंधित काउंटर को अपडेट करने के लिए आगे के अहस्ताक्षरित काउंटर वृद्धि प्रमाणपत्रों को प्रोग्राम कर सकते हैं। आप कुंजी रद्दीकरण आईडी कॉम्पैक्ट प्रमाणपत्रों के समान तरीके से काउंटर कॉम्पैक्ट प्रमाणपत्रों पर हस्ताक्षर करने के लिए क्वार्टस_साइन टूल का उपयोग करते हैं।
आप J के माध्यम से रूट कुंजी हैश रद्दीकरण कॉम्पैक्ट प्रमाणपत्र प्रोग्राम कर सकते हैंTAG, FPGA, या HPS मेलबॉक्स।

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 29

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23

4.7. सुरक्षित डेटा ऑब्जेक्ट सेवा रूट कुंजी प्रावधान
आप सिक्योर डेटा ऑब्जेक्ट सर्विस (SDOS) रूट कुंजी को प्रोविज़न करने के लिए Intel Quartus Prime प्रोग्रामर का उपयोग करते हैं। प्रोग्रामर SDOS रूट कुंजी को प्रोविज़न करने के लिए प्रोविज़न फ़र्मवेयर हेल्पर इमेज को स्वचालित रूप से लोड करता है।
क्वार्टस_पीजीएम सी 1 एमजेtag –सेवा_रूट_कुंजी –non_volatile_key

4.8. सुरक्षा सेटिंग फ़्यूज़ प्रावधान
डिवाइस सुरक्षा सेटिंग फ़्यूज़ की जांच करने और उन्हें टेक्स्ट-आधारित .fuse में लिखने के लिए Intel Quartus Prime प्रोग्रामर का उपयोग करें file निम्नलिखित नुसार:
क्वार्टस_पीजीएम -सी 1 -एमजेtag -ओ “ईआई;प्रोग्रामिंग_file.फ्यूज;AGFB014R24B”

विकल्प · i: प्रोग्रामर डिवाइस पर प्रावधान फर्मवेयर हेल्पर छवि लोड करता है। · e: प्रोग्रामर डिवाइस से फ़्यूज़ को पढ़ता है और इसे .fuse में संग्रहीत करता है file.

फ्यूज file इसमें फ़्यूज़ नाम-मान युग्मों की सूची होती है। मान निर्दिष्ट करता है कि फ़्यूज़ उड़ा है या फ़्यूज़ फ़ील्ड की सामग्री।

निम्नलिखित पूर्वample .fuse का प्रारूप दिखाता है file:

# सह-हस्ताक्षरित फर्मवेयर

= “नहीं उड़ा”

# डिवाइस परमिट किल

= “नहीं उड़ा”

# डिवाइस सुरक्षित नहीं है

= “नहीं उड़ा”

# HPS डिबग अक्षम करें

= “नहीं उड़ा”

# आंतरिक आईडी PUF नामांकन अक्षम करें

= “नहीं उड़ा”

# J अक्षम करेंTAG

= “नहीं उड़ा”

# PUF-रैप्ड एन्क्रिप्शन कुंजी अक्षम करें

= “नहीं उड़ा”

# BBRAM में स्वामी एन्क्रिप्शन कुंजी अक्षम करें = “नहीं उड़ा”

# eFuses में स्वामी एन्क्रिप्शन कुंजी अक्षम करें = “नहीं उड़ा”

# स्वामी रूट सार्वजनिक कुंजी हैश 0 अक्षम करें

= “नहीं उड़ा”

# स्वामी रूट सार्वजनिक कुंजी हैश 1 अक्षम करें

= “नहीं उड़ा”

# स्वामी रूट सार्वजनिक कुंजी हैश 2 अक्षम करें

= “नहीं उड़ा”

# वर्चुअल ईफ़्यूज़ अक्षम करें

= “नहीं उड़ा”

# एसडीएम घड़ी को आंतरिक ऑसिलेटर पर बलपूर्वक लगाएं = “नहीं उड़ा”

# एन्क्रिप्शन कुंजी अद्यतन को बाध्य करें

= “नहीं उड़ा”

# इंटेल स्पष्ट कुंजी रद्दीकरण

= “0”

# सुरक्षा ईफ़्यूज़ लॉक करें

= “नहीं उड़ा”

# स्वामी एन्क्रिप्शन कुंजी कार्यक्रम पूरा हुआ

= “नहीं उड़ा”

# स्वामी एन्क्रिप्शन कुंजी कार्यक्रम प्रारंभ

= “नहीं उड़ा”

# स्वामी स्पष्ट कुंजी निरस्तीकरण 0

= “”

# स्वामी स्पष्ट कुंजी निरस्तीकरण 1

= “”

# स्वामी स्पष्ट कुंजी निरस्तीकरण 2

= “”

# स्वामी फ़्यूज़

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# स्वामी रूट सार्वजनिक कुंजी हैश 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# स्वामी रूट सार्वजनिक कुंजी हैश 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# स्वामी रूट सार्वजनिक कुंजी हैश 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# स्वामी रूट सार्वजनिक कुंजी का आकार

= “कोई नहीं”

# पीटीएस काउंटर

= “0”

# पीटीएस काउंटर बेस

= “0”

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 30

प्रतिक्रिया भेजें

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23

# QSPI स्टार्ट अप विलंब # RMA काउंटर # SDMIO0 I2C है # SVN काउंटर A # SVN काउंटर B # SVN काउंटर C # SVN काउंटर D

= “10ms” = “0” = “नहीं उड़ा” = “0” = “0” = “0” = “0”

.fuse को संशोधित करें file अपनी इच्छित सुरक्षा सेटिंग फ़्यूज़ सेट करने के लिए। # से शुरू होने वाली लाइन को टिप्पणी लाइन के रूप में माना जाता है। सुरक्षा सेटिंग फ़्यूज़ को प्रोग्राम करने के लिए, अग्रणी # को हटा दें और मान को ब्लोन पर सेट करें। उदाहरण के लिएampले, सह-हस्ताक्षरित फ़र्मवेयर सुरक्षा सेटिंग फ़्यूज़ को सक्षम करने के लिए, फ़्यूज़ की पहली पंक्ति को संशोधित करें file निम्नलिखित के लिए:
सह-हस्ताक्षरित फर्मवेयर = “उड़ा”

आप अपनी आवश्यकताओं के आधार पर ओनर फ़्यूज़ का आवंटन और प्रोग्राम भी कर सकते हैं।
आप रिक्त जाँच करने, प्रोग्राम करने और स्वामी रूट सार्वजनिक कुंजी को सत्यापित करने के लिए निम्नलिखित कमांड का उपयोग कर सकते हैं:
क्वार्टस_पीजीएम -सी 1 -एमजेtag -o “ibpv;root0.qky”

विकल्प · i: डिवाइस पर प्रावधान फर्मवेयर हेल्पर छवि लोड करता है। · b: वांछित सुरक्षा सेटिंग फ़्यूज़ नहीं हैं, यह सत्यापित करने के लिए एक खाली जाँच करता है
· p: फ्यूज को प्रोग्राम करता है। · v: डिवाइस पर प्रोग्राम की गई कुंजी को सत्यापित करता है।
.qky को प्रोग्रामिंग करने के बाद fileआप फ़्यूज़ जानकारी की दोबारा जाँच करके फ़्यूज़ जानकारी की जाँच कर सकते हैं ताकि यह सुनिश्चित हो सके कि स्वामी सार्वजनिक कुंजी हैश और स्वामी सार्वजनिक कुंजी आकार दोनों के मान शून्य से भिन्न हैं।
जबकि निम्नलिखित फ़ील्ड .fuse के माध्यम से लिखने योग्य नहीं हैं file विधि, वे सत्यापन के लिए जांच ऑपरेशन आउटपुट के दौरान शामिल हैं: · डिवाइस सुरक्षित नहीं है · डिवाइस परमिट मार · मालिक रूट सार्वजनिक कुंजी हैश 0 अक्षम करें · मालिक रूट सार्वजनिक कुंजी हैश 1 अक्षम करें · मालिक रूट सार्वजनिक कुंजी हैश 2 अक्षम करें · इंटेल कुंजी रद्दीकरण · मालिक एन्क्रिप्शन कुंजी प्रोग्राम प्रारंभ · मालिक एन्क्रिप्शन कुंजी प्रोग्राम किया · मालिक कुंजी रद्दीकरण · मालिक सार्वजनिक कुंजी हैश · मालिक सार्वजनिक कुंजी आकार · मालिक रूट सार्वजनिक कुंजी हैश 0 · मालिक रूट सार्वजनिक कुंजी हैश 1 · मालिक रूट सार्वजनिक कुंजी हैश 2

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 31

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23
· PTS काउंटर · PTS काउंटर बेस · QSPI स्टार्ट अप विलंब · RMA काउंटर · SDMIO0 I2C है · SVN काउंटर A · SVN काउंटर B · SVN काउंटर C · SVN काउंटर D
.fuse को प्रोग्राम करने के लिए इंटेल क्वार्टस प्राइम प्रोग्रामर का उपयोग करें file डिवाइस पर वापस जाएँ। यदि आप i विकल्प जोड़ते हैं, तो प्रोग्रामर स्वचालित रूप से सुरक्षा सेटिंग फ़्यूज़ को प्रोग्राम करने के लिए प्रावधान फ़र्मवेयर लोड करता है।
//भौतिक (गैर-वाष्पशील) ईफ्यूज़ के लिए quartus_pgm -c 1 -mjtag -o “pi;प्रोग्रामिंग_file.फ़्यूज़” –non_volatile_key
//वर्चुअल (वाष्पशील) ईफ्यूज़ के लिए quartus_pgm -c 1 -mjtag -o “pi;प्रोग्रामिंग_file.फ्यूज”
आप यह सत्यापित करने के लिए निम्नलिखित कमांड का उपयोग कर सकते हैं कि डिवाइस रूट कुंजी हैश कमांड में दिए गए .qky के समान है या नहीं:
क्वार्टस_पीजीएम -सी 1 -एमजेtag -o “v;root0_another.qky”
यदि कुंजियाँ मेल नहीं खातीं, तो प्रोग्रामर ऑपरेशन विफल त्रुटि संदेश के साथ विफल हो जाता है।
4.9. AES रूट कुंजी प्रावधान
आपको Intel Agilex 7 डिवाइस पर AES रूट कुंजी प्रोग्राम करने के लिए हस्ताक्षरित AES रूट कुंजी कॉम्पैक्ट प्रमाणपत्र का उपयोग करना होगा।
4.9.1. AES रूट कुंजी कॉम्पैक्ट प्रमाणपत्र
आप अपने AES रूट कुंजी को .qek में बदलने के लिए quartus_pfg कमांड लाइन टूल का उपयोग करते हैं file कॉम्पैक्ट प्रमाणपत्र .ccert प्रारूप में। कॉम्पैक्ट प्रमाणपत्र बनाते समय आप कुंजी संग्रहण स्थान निर्दिष्ट करते हैं। आप बाद में हस्ताक्षर करने के लिए एक अहस्ताक्षरित प्रमाणपत्र बनाने के लिए quartus_pfg उपकरण का उपयोग कर सकते हैं। AES रूट कुंजी कॉम्पैक्ट प्रमाणपत्र पर सफलतापूर्वक हस्ताक्षर करने के लिए आपको AES रूट कुंजी प्रमाणपत्र हस्ताक्षर अनुमति, अनुमति बिट 6, सक्षम के साथ एक हस्ताक्षर श्रृंखला का उपयोग करना चाहिए।

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 32

प्रतिक्रिया भेजें

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23
1. निम्नलिखित कमांड में से किसी एक का उपयोग करके AES कुंजी कॉम्पैक्ट प्रमाणपत्र पर हस्ताक्षर करने के लिए उपयोग की जाने वाली एक अतिरिक्त कुंजी जोड़ी बनाएंampलेस:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=मेक_प्राइवेट_पेम –कर्व=सेकप384आर1 एईएससीसर्ट1_प्राइवेट.पेम
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen तंत्र ECDSA-KEY-PAIR-GEN –key-type EC:secp384r1 –usage-sign –label aesccert1 –id 2
2. निम्नलिखित आदेशों में से किसी एक का उपयोग करके सही अनुमति बिट सेट के साथ एक हस्ताक्षर श्रृंखला बनाएं:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=एपेंड_की –प्रीवियस_पेम=रूट0_प्राइवेट.पेम –प्रीवियस_क्यूकी=रूट0.क्यूकी –अनुमति=0x40 –रद्द=1 –इनपुट_पेम=एसेसीसर्ट1_पब्लिक.पेम एसेसीसर्ट1_साइन_चेन.क्यूकी
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=एपेंड_की –मॉड्यूल=सॉफ्टएचएसएम -मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एजिलेक्स-टोकन –यूजर_पिन=एजिलेक्स-टोकन-पिन –एचएसएम_लिब=/usr/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो” –पिछला_कीनाम=रूट0 –पिछला_qky=रूट0.qky –अनुमति=0x40 –रद्द=1 –इनपुट_कीनाम=aesccert1 aesccert1_sign_chain.qky
3. वांछित AES रूट कुंजी संग्रहण स्थान के लिए एक अहस्ताक्षरित AES कॉम्पैक्ट प्रमाणपत्र बनाएँ। निम्नलिखित AES रूट कुंजी संग्रहण विकल्प उपलब्ध हैं:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
// eFuse AES रूट कुंजी अहस्ताक्षरित प्रमाणपत्र बनाएँ quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. क्वार्टस_साइन कमांड या संदर्भ कार्यान्वयन के साथ कॉम्पैक्ट प्रमाणपत्र पर हस्ताक्षर करें।
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky अहस्ताक्षरित_ 1.ccert हस्ताक्षरित_ 1.सीसीईआरटी
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –मॉड्यूल=सॉफ्टएचएसएम –मॉड्यूल_आर्ग्स=”–टोकन_लेबल=एजिलेक्स-टोकन –यूजर_पिन=एजिलेक्स-टोकन-पिन –एचएसएम_लिब=/usr/लोकल/लिब/सॉफ्टएचएसएम/लिबसॉफ्टएचएसएम2.सो”

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 33

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky अहस्ताक्षरित_ 1.ccert हस्ताक्षरित_ 1.सीसीईआरटी
5. इंटेल क्वार्टस प्राइम प्रोग्रामर का उपयोग करके इंटेल एजिलेक्स 7 डिवाइस पर J के माध्यम से AES रूट कुंजी कॉम्पैक्ट प्रमाणपत्र प्रोग्राम करें।TAGइंटेल क्वार्टस प्राइम प्रोग्रामर EFUSE_WRAPPED_AES_KEY कॉम्पैक्ट प्रमाणपत्र प्रकार का उपयोग करते समय वर्चुअल eFuses को प्रोग्राम करने के लिए डिफ़ॉल्ट होता है।
आप प्रोग्रामिंग भौतिक फ़्यूज़ निर्दिष्ट करने के लिए –non_volatile_key विकल्प जोड़ते हैं।
//भौतिक (गैर-वाष्पशील) eFuse AES रूट कुंजी के लिए quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –non_volatile_key

//वर्चुअल (अस्थिर) eFuse AES रूट कुंजी के लिए quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”

//BBRAM AES रूट कुंजी के लिए quartus_pgm -c 1 -mjtag -o “pi;signed_bbram1.ccert”

SDM प्रावधान फर्मवेयर और मुख्य फर्मवेयर AES रूट कुंजी प्रमाणपत्र प्रोग्रामिंग का समर्थन करते हैं। आप AES रूट कुंजी प्रमाणपत्र प्रोग्राम करने के लिए FPGA फैब्रिक या HPS से SDM मेलबॉक्स इंटरफ़ेस का भी उपयोग कर सकते हैं।

टिप्पणी:

क्वार्टस_पीजीएम कमांड कॉम्पैक्ट सर्टिफिकेट्स (.ccert) के लिए विकल्प b और v का समर्थन नहीं करता है।

4.9.2. आंतरिक ID® PUF AES रूट कुंजी प्रोविजनिंग
आंतरिक* आईडी PUF लिपटे एईएस कुंजी को लागू करने में निम्नलिखित चरण शामिल हैं: 1. J के माध्यम से आंतरिक आईडी PUF को नामांकित करनाTAG2. AES रूट कुंजी को लपेटना। 3. सहायक डेटा और लपेटी गई कुंजी को क्वाड SPI फ्लैश मेमोरी में प्रोग्रामिंग करना। 4. आंतरिक आईडी PUF सक्रियण स्थिति की क्वेरी करना।
इंट्रिन्सिक आईडी तकनीक के उपयोग के लिए इंट्रिन्सिक आईडी के साथ एक अलग लाइसेंस समझौते की आवश्यकता होती है। इंटेल क्वार्टस प्राइम प्रो एडिशन सॉफ्टवेयर उचित लाइसेंस के बिना PUF संचालन को प्रतिबंधित करता है, जैसे नामांकन, कुंजी रैपिंग, और PUF डेटा प्रोग्रामिंग QSPI फ्लैश के लिए।

4.9.2.1. आंतरिक आईडी PUF नामांकन
PUF को नामांकित करने के लिए, आपको SDM प्रावधान फर्मवेयर का उपयोग करना होगा। प्रावधान फर्मवेयर पावर साइकिल के बाद लोड किया जाने वाला पहला फर्मवेयर होना चाहिए, और आपको किसी भी अन्य कमांड से पहले PUF नामांकन कमांड जारी करना होगा। प्रावधान फर्मवेयर PUF नामांकन के बाद अन्य कमांड का समर्थन करता है, जिसमें AES रूट की रैपिंग और प्रोग्रामिंग क्वाड SPI शामिल है, हालाँकि, आपको कॉन्फ़िगरेशन बिटस्ट्रीम लोड करने के लिए डिवाइस को पावर साइकिल करना होगा।
आप PUF नामांकन को सक्रिय करने और PUF सहायक डेटा .puf उत्पन्न करने के लिए Intel Quartus Prime Programmer का उपयोग करते हैं file.

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 34

प्रतिक्रिया भेजें

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23

चित्र 7.

आंतरिक आईडी PUF नामांकन
quartus_pgm PUF नामांकन

नामांकन PUF सहायक डेटा

सुरक्षित डिवाइस प्रबंधक (एसडीएम)

wrapper.puf हेल्पर डेटा
जब आप i ऑपरेशन और .puf तर्क दोनों निर्दिष्ट करते हैं, तो प्रोग्रामर स्वचालित रूप से एक प्रावधान फर्मवेयर सहायक छवि लोड करता है।
क्वार्टस_पीजीएम -सी 1 -एमजेtag -o “ei;help_data.puf;AGFB014R24A”
यदि आप सह-हस्ताक्षरित फर्मवेयर का उपयोग कर रहे हैं, तो आप PUF नामांकन कमांड का उपयोग करने से पहले सह-हस्ताक्षरित फर्मवेयर सहायक छवि को प्रोग्राम करते हैं।
क्वार्टस_पीजीएम -सी 1 -एमजेtag -o “p;signed_provision_helper_image.rbf” –फोर्स क्वार्टस_पीजीएम -सी 1 -एमजेtag -o “ई;help_data.puf;AGFB014R24A”
UDS IID PUF को डिवाइस निर्माण के दौरान नामांकित किया जाता है, और यह पुनः नामांकन के लिए उपलब्ध नहीं है। इसके बजाय, आप IPCS पर UDS PUF हेल्पर डेटा का स्थान निर्धारित करने के लिए प्रोग्रामर का उपयोग करते हैं, .puf डाउनलोड करते हैं file सीधे, और फिर UDS .puf का उपयोग करें file उसी तरह जैसे .puf file इंटेल एजिलेक्स 7 डिवाइस से निकाला गया।
टेक्स्ट उत्पन्न करने के लिए निम्नलिखित प्रोग्रामर कमांड का उपयोग करें file जिसमें एक सूची शामिल है URLs डिवाइस-विशिष्ट की ओर इशारा करता है fileआईपीसीएस पर टिप्पणी:
क्वार्टस_पीजीएम -सी 1 -एमजेtag -ओ “ई;आईपीसीएस_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. AES रूट कुंजी को लपेटना
आप IID PUF लिपटे AES रूट कुंजी .wkey उत्पन्न करते हैं file एस.डी.एम. को हस्ताक्षरित प्रमाण पत्र भेजकर।
आप अपने AES रूट कुंजी को रैप करने के लिए प्रमाणपत्र को स्वचालित रूप से जनरेट करने, हस्ताक्षर करने और भेजने के लिए Intel Quartus Prime प्रोग्रामर का उपयोग कर सकते हैं, या आप Intel Quartus Prime प्रोग्रामिंग का उपयोग कर सकते हैं File एक अहस्ताक्षरित प्रमाणपत्र बनाने के लिए जेनरेटर। आप अपने खुद के उपकरण या क्वार्टस हस्ताक्षर उपकरण का उपयोग करके अहस्ताक्षरित प्रमाणपत्र पर हस्ताक्षर करते हैं। फिर आप हस्ताक्षरित प्रमाणपत्र भेजने और अपनी AES रूट कुंजी को लपेटने के लिए प्रोग्रामर का उपयोग करते हैं। हस्ताक्षरित प्रमाणपत्र का उपयोग उन सभी उपकरणों को प्रोग्राम करने के लिए किया जा सकता है जो हस्ताक्षर श्रृंखला को मान्य कर सकते हैं।

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 35

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23

चित्र 8.

इंटेल क्वार्टस प्राइम प्रोग्रामर का उपयोग करके AES कुंजी को लपेटना
.pem निजी
चाबी

.qky

क्वार्टस_pgm

AES कुंजी लपेटें

AES.QSKigYnature रूटCPhuabilnic कुंजी

PUF रैप्ड कुंजी उत्पन्न करें

लपेटा एईएस कुंजी

एसडीएम

.qek एन्क्रिप्शन
चाबी

.wkey PUF-लपेटा हुआ
एईएस कुंजी

1. आप निम्नलिखित तर्कों का उपयोग करके प्रोग्रामर के साथ IID PUF लिपटे AES रूट कुंजी (.wkey) उत्पन्न कर सकते हैं:
· .qky file एईएस रूट कुंजी प्रमाणपत्र अनुमति के साथ एक हस्ताक्षर श्रृंखला युक्त
· निजी .pem file हस्ताक्षर श्रृंखला में अंतिम कुंजी के लिए
· .qek file AES रूट कुंजी को दबाए रखें
· 16-बाइट आरंभीकरण वेक्टर (iv).

क्वार्टस_पीजीएम -सी 1 -एमजेtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. वैकल्पिक रूप से, आप प्रोग्रामिंग के साथ एक अहस्ताक्षरित IID PUF रैपिंग AES रूट कुंजी प्रमाणपत्र उत्पन्न कर सकते हैं File जनरेटर निम्नलिखित तर्कों का उपयोग कर:

क्वार्टस_पीएफजी –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. आप अपने स्वयं के हस्ताक्षर उपकरण या क्वार्टस_साइन उपकरण के साथ निम्नलिखित आदेश का उपयोग करके अहस्ताक्षरित प्रमाणपत्र पर हस्ताक्षर करते हैं:

क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. फिर आप हस्ताक्षरित AES प्रमाणपत्र भेजने के लिए प्रोग्रामर का उपयोग करते हैं और लपेटी गई कुंजी (.wkey) लौटाते हैं file:

क्वार्ट्स_पीजीएम -सी 1 -एमजेtag –सीसीईआरटी_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

नोट: यदि आपने पहले से प्रावधान फर्मवेयर हेल्पर छवि लोड की है, तो i ऑपरेशन आवश्यक नहीं है, उदाहरण के लिएample, PUF को नामांकित करने के लिए।

4.9.2.3. QSPI फ्लैश मेमोरी में हेल्पर डेटा और रैप्ड कुंजी को प्रोग्रामिंग करना
आप क्वार्टस प्रोग्रामिंग का उपयोग करते हैं File PUF पार्टीशन युक्त एक आरंभिक QSPI फ़्लैश छवि बनाने के लिए जेनरेटर ग्राफ़िकल इंटरफ़ेस। QSPI फ़्लैश में PUF पार्टीशन जोड़ने के लिए आपको एक संपूर्ण फ़्लैश प्रोग्रामिंग छवि उत्पन्न और प्रोग्राम करनी होगी। PUF का निर्माण

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 36

प्रतिक्रिया भेजें

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23

चित्र 9.

डेटा विभाजन और PUF सहायक डेटा और लिपटे कुंजी का उपयोग fileफ़्लैश छवि निर्माण के लिए प्रोग्रामिंग के माध्यम से समर्थित नहीं है File जेनरेटर कमांड लाइन इंटरफ़ेस.
निम्नलिखित चरण PUF हेल्पर डेटा और रैप्ड कुंजी के साथ फ्लैश प्रोग्रामिंग छवि का निर्माण प्रदर्शित करते हैं:
1. पर File मेनू में, प्रोग्रामिंग पर क्लिक करें File जेनरेटर. आउटपुट पर Files टैब पर क्लिक करके निम्नलिखित चयन करें:
a. डिवाइस फैमिली के लिए Agilex 7 का चयन करें.
b. कॉन्फ़िगरेशन मोड के लिए एक्टिव सीरियल x4 चुनें.
सी. आउटपुट निर्देशिका के लिए अपने आउटपुट को ब्राउज़ करें file निर्देशिका। यह पूर्वample आउटपुट_ का उपयोग करता हैfiles.
d. नाम के लिए, प्रोग्रामिंग के लिए एक नाम निर्दिष्ट करें file उत्पन्न किया जाना है। यह उदाहरणample आउटपुट_ का उपयोग करता हैfile.
ई. विवरण के अंतर्गत प्रोग्रामिंग का चयन करें files उत्पन्न करने के लिए। यह exampले जे उत्पन्न करता हैTAG अप्रत्यक्ष विन्यास File (.jic) डिवाइस कॉन्फ़िगरेशन और रॉ बाइनरी के लिए File डिवाइस हेल्पर इमेज के लिए प्रोग्रामिंग हेल्पर इमेज (.rbf) का उपयोग करें। यह एक्सample वैकल्पिक मेमोरी मैप का भी चयन करता है File (.map) और रॉ प्रोग्रामिंग डेटा File (.rpd). कच्चा प्रोग्रामिंग डेटा file यह केवल तभी आवश्यक है जब आप भविष्य में किसी तृतीय-पक्ष प्रोग्रामर का उपयोग करने की योजना बनाते हैं।
प्रोग्रामिंग File जनरेटर – आउटपुट Files टैब – J चुनेंTAG अप्रत्यक्ष विन्यास

डिवाइस परिवार कॉन्फ़िगरेशन मोड
उत्पादन file टैब
आउटपुट निर्देशिका
JTAG अप्रत्यक्ष (.jic) मेमोरी मैप File प्रोग्रामिंग हेल्पर रॉ प्रोग्रामिंग डेटा
इनपुट पर Files टैब पर, निम्न चयन करें: 1. Add Bitstream पर क्लिक करें और अपने .sof पर ब्राउज़ करें। 2. अपने .sof का चयन करें file और फिर गुण पर क्लिक करें।

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 37

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23
a. हस्ताक्षर उपकरण सक्षम करें चालू करें। b. निजी कुंजी के लिए file अपना .pem चुनें file. c. एन्क्रिप्शन को अंतिम रूप दें। d. एन्क्रिप्शन कुंजी के लिए file अपना .qek चुनें file. ई. पिछली विंडो पर वापस जाने के लिए ओके पर क्लिक करें। 3. अपना PUF हेल्पर डेटा निर्दिष्ट करने के लिए file, Add Raw Data पर क्लिक करें। Files प्रकार ड्रॉप-डाउन मेनू क्वार्टस फिजिकल अनक्लोनेबल फ़ंक्शन के लिए File (*.puf). अपने .puf को ब्राउज़ करें fileयदि आप IID PUF और UDS IID PUF दोनों का उपयोग कर रहे हैं, तो इस चरण को दोहराएं ताकि .puf fileप्रत्येक PUF के लिए s को इनपुट के रूप में जोड़ा जाता है file4. अपनी रैप्ड AES कुंजी निर्दिष्ट करने के लिए file, Add Raw Data पर क्लिक करें। Files प्रकार ड्रॉप-डाउन मेनू क्वार्टस रैप्ड कुंजी के लिए File (*.wkey). अपने .wkey पर ब्राउज़ करें fileयदि आपने IID PUF और UDS IID PUF दोनों का उपयोग करके AES कुंजियों को लपेटा है, तो इस चरण को दोहराएं ताकि .wkey fileप्रत्येक PUF के लिए s को इनपुट के रूप में जोड़ा जाता है files.
चित्र 10. इनपुट निर्दिष्ट करें Fileकॉन्फ़िगरेशन, प्रमाणीकरण और एन्क्रिप्शन के लिए

बिटस्ट्रीम जोड़ें कच्चा डेटा जोड़ें
गुण
निजी चाबी file
एन्क्रिप्शन को अंतिम रूप दें एन्क्रिप्शन कुंजी
कॉन्फ़िगरेशन डिवाइस टैब पर, निम्नलिखित चयन करें: 1. डिवाइस जोड़ें पर क्लिक करें और उपलब्ध फ़्लैश की सूची से अपना फ़्लैश डिवाइस चुनें
2. आपके द्वारा अभी-अभी जोड़ा गया कॉन्फ़िगरेशन डिवाइस चुनें और विभाजन जोड़ें पर क्लिक करें। 3. इनपुट के लिए विभाजन संपादित करें संवाद बॉक्स में file और अपना .sof चुनें
ड्रॉपडाउन सूची। आप डिफ़ॉल्ट को बनाए रख सकते हैं या संपादन विभाजन संवाद बॉक्स में अन्य पैरामीटर संपादित कर सकते हैं।

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 38

प्रतिक्रिया भेजें

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23
चित्र 11. अपना .sof कॉन्फ़िगरेशन बिटस्ट्रीम विभाजन निर्दिष्ट करना

कॉन्फ़िगरेशन डिवाइस
विभाजन संपादित करें .sof जोड़ें file

विभाजन जोड़ें

4. जब आप .puf और .wkey को इनपुट के रूप में जोड़ते हैं fileएस, प्रोग्रामिंग File जेनरेटर स्वचालित रूप से आपके कॉन्फ़िगरेशन डिवाइस में एक PUF पार्टीशन बनाता है। PUF पार्टीशन में .puf और .wkey को स्टोर करने के लिए, PUF पार्टीशन को चुनें और Edit पर क्लिक करें। Edit Partition डायलॉग बॉक्स में, अपना .puf और .wkey चुनें fileड्रॉपडाउन सूची से s चुनें। यदि आप PUF विभाजन हटाते हैं, तो आपको प्रोग्रामिंग के लिए कॉन्फ़िगरेशन डिवाइस को हटाना और फिर से जोड़ना होगा File जेनरेटर का उपयोग करके दूसरा PUF पार्टीशन बनाएँ। आपको यह सुनिश्चित करना होगा कि आपने सही .puf और .wkey का चयन किया है file क्रमशः IID PUF और UDS IID PUF के लिए।
चित्र 12. .puf और .wkey जोड़ें filePUF विभाजन के लिए

PUF विभाजन

संपादन करना

विभाजन संपादित करें

फ्लैश लोडर

जेनरेट का चयन करें

5. फ्लैश लोडर पैरामीटर के लिए Intel Agilex 7 डिवाइस परिवार और डिवाइस नाम का चयन करें जो आपके Intel Agilex 7 OPN से मेल खाता हो।

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 39

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23
6. आउटपुट उत्पन्न करने के लिए जनरेट पर क्लिक करें fileआपके द्वारा आउटपुट पर निर्दिष्ट Fileएस टैब।
7. प्रोग्रामिंग File जेनरेटर आपके .qek को पढ़ता है file और आपसे आपका पासफ़्रेज़ पूछा जाएगा। Enter QEK पासफ़्रेज़ प्रॉम्प्ट के जवाब में अपना पासफ़्रेज़ लिखें। Enter कुंजी पर क्लिक करें।
8. जब प्रोग्रामिंग शुरू हो जाए तो ओके पर क्लिक करें File जनरेटर सफल उत्पादन की रिपोर्ट करता है।
आप QSPI प्रोग्रामिंग इमेज को QSPI फ़्लैश मेमोरी में लिखने के लिए Intel Quartus Prime प्रोग्रामर का उपयोग करते हैं। 1. Intel Quartus Prime Tools मेनू पर प्रोग्रामर चुनें। 2. प्रोग्रामर में, हार्डवेयर सेटअप पर क्लिक करें और फिर कनेक्टेड Intel प्रोग्रामर चुनें।
FPGA डाउनलोड केबल. 3. जोड़ें पर क्लिक करें File और अपने .jic पर ब्राउज़ करें file.
चित्र 13. प्रोग्राम .jic

प्रोग्रामिंग file

प्रोग्राम/कॉन्फ़िगर करें

JTAG स्कैन श्रृंखला
4. हेल्पर छवि से जुड़े बॉक्स को अनसेलेक्ट करें। 5. .jic आउटपुट के लिए प्रोग्राम/कॉन्फ़िगर चुनें file. 6. अपने क्वाड SPI फ्लैश मेमोरी को प्रोग्राम करने के लिए स्टार्ट बटन चालू करें। 7. अपने बोर्ड को पावर साइकिल करें। क्वाड SPI फ्लैश मेमोरी के लिए प्रोग्राम किया गया डिज़ाइन
डिवाइस बाद में लक्ष्य FPGA में लोड हो जाता है।
क्वाड SPI फ़्लैश में PUF पार्टीशन जोड़ने के लिए आपको एक संपूर्ण फ़्लैश प्रोग्रामिंग छवि तैयार और प्रोग्राम करनी होगी।
जब फ्लैश में PUF विभाजन पहले से मौजूद होता है, तो PUF हेल्पर डेटा और रैप्ड कुंजी तक सीधे पहुंचने के लिए इंटेल क्वार्टस प्राइम प्रोग्रामर का उपयोग करना संभव है fileउदाहरण के लिएampयदि सक्रियण असफल होता है, तो PUF को पुनः नामांकित करना, AES कुंजी को पुनः लपेटना, और तत्पश्चात केवल PUF को प्रोग्राम करना संभव है fileसंपूर्ण फ़्लैश को अधिलेखित किए बिना।

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 40

प्रतिक्रिया भेजें

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23
इंटेल क्वार्टस प्राइम प्रोग्रामर PUF के लिए निम्नलिखित ऑपरेशन तर्क का समर्थन करता है fileपहले से मौजूद PUF विभाजन में:
· पी: कार्यक्रम
· v: सत्यापित करें
· आर: मिटाना
· बी: खाली चेक
आपको PUF नामांकन के लिए समान प्रतिबंधों का पालन करना होगा, भले ही PUF विभाजन मौजूद हो।
1. पहले ऑपरेशन के लिए प्रोविज़न फ़र्मवेयर हेल्पर इमेज लोड करने के लिए i ऑपरेशन तर्क का उपयोग करें। उदाहरण के लिएample में, निम्नलिखित कमांड अनुक्रम PUF को पुनः नामांकित करता है, AES रूट कुंजी को पुनः लपेटता है, पुराने PUF सहायक डेटा और लपेटी गई कुंजी को मिटाता है, फिर नए PUF सहायक डेटा और AES रूट कुंजी को प्रोग्राम और सत्यापित करता है।
क्वार्टस_पीजीएम -सी 1 -एमजेtag -o “ei;new.puf;AGFB014R24A” क्वार्टस_pgm -c 1 -mjtag –सीसीईआरटी_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” क्वार्टस_pgm -c 1 -mjtag -o “r;old.puf” क्वार्टस_pgm -c 1 -mjtag -o “r;old.wkey” क्वार्टस_pgm -c 1 -mjtag -o “p;new.puf” क्वार्टस_pgm -c 1 -mjtag -o “p;new.wkey” क्वार्टस_pgm -c 1 -mjtag -o “v;new.puf” क्वार्टस_pgm -c 1 -mjtag -o “v;new.wkey”
4.9.2.4. आंतरिक आईडी PUF सक्रियण स्थिति की क्वेरी करना
जब आप इंट्रिन्सिक आईडी PUF नामांकित कर लें, AES कुंजी लपेटें, फ़्लैश प्रोग्रामिंग उत्पन्न करें files, और क्वाड SPI फ्लैश को अपडेट करने के बाद, आप एन्क्रिप्टेड बिटस्ट्रीम से PUF एक्टिवेशन और कॉन्फ़िगरेशन को ट्रिगर करने के लिए अपने डिवाइस को पावर साइकिल करते हैं। SDM कॉन्फ़िगरेशन स्थिति के साथ-साथ PUF एक्टिवेशन स्थिति की रिपोर्ट करता है। यदि PUF एक्टिवेशन विफल हो जाता है, तो SDM इसके बजाय PUF त्रुटि स्थिति की रिपोर्ट करता है। कॉन्फ़िगरेशन स्थिति की क्वेरी करने के लिए quartus_pgm कमांड का उपयोग करें।
1. सक्रियण स्थिति जानने के लिए निम्नलिखित कमांड का उपयोग करें:
क्वार्टस_पीजीएम -सी 1 -एमजेtag –स्थिति –स्थिति_प्रकार="कॉन्फ़िगरेशन"
यहाँ हैampसफल सक्रियण से आउटपुट:
जानकारी (21597): CONFIG_STATUS डिवाइस का प्रत्युत्तर उपयोगकर्ता मोड में चल रहा है 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 संस्करण C000007B MSEL=QSPI_NORMAL, nSTATUS=1, nCONFIG=1, VID=1,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 त्रुटि स्थान 00000000 त्रुटि विवरण PUF_STATUS का प्रत्युत्तर 00002000 RESPONSE_CODE=OK, LENGTH=2 00000500 USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID स्थिति=PUF_ACTIVATION_SUCCESS,
विश्वसनीयता_निदान_स्कोर=5, परीक्षण_मोड=0

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 41

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23

यदि आप केवल IID PUF या UDS IID PUF का उपयोग कर रहे हैं, और कोई सहायक डेटा .puf प्रोग्राम नहीं किया है file QSPI फ़्लैश में किसी भी PUF के लिए, वह PUF सक्रिय नहीं होता है और PUF स्थिति दर्शाती है कि PUF हेल्पर डेटा मान्य नहीं है। निम्नलिखित उदाहरणampयह PUF स्थिति को दर्शाता है जब PUF सहायक डेटा को किसी भी PUF के लिए प्रोग्राम नहीं किया गया था:
PUF_STATUS का प्रत्युत्तर 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID स्थिति=PUF_DATA_CORRUPTED,
विश्वसनीयता_निदान_स्कोर=0, परीक्षण_मोड=0

4.9.2.5. फ्लैश मेमोरी में PUF का स्थान
पीयूएफ का स्थान file यह उन डिज़ाइनों के लिए अलग है जो RSU का समर्थन करते हैं और उन डिज़ाइनों के लिए जो RSU सुविधा का समर्थन नहीं करते हैं।

उन डिज़ाइनों के लिए जो RSU का समर्थन नहीं करते हैं, आपको .puf और .wkey को शामिल करना होगा fileजब आप अपडेटेड फ्लैश इमेज बनाते हैं। RSU का समर्थन करने वाले डिज़ाइन के लिए, SDM फ़ैक्टरी या एप्लिकेशन इमेज अपडेट के दौरान PUF डेटा अनुभागों को अधिलेखित नहीं करता है।

तालिका 2.

RSU समर्थन के बिना फ़्लैश उप-विभाजन लेआउट

फ्लैश ऑफसेट (बाइट्स में)

आकार (बाइट्स में)

अंतर्वस्तु

विवरण

0के 256के

256के 256के

कॉन्फ़िगरेशन प्रबंधन फ़र्मवेयर कॉन्फ़िगरेशन प्रबंधन फ़र्मवेयर

फर्मवेयर जो SDM पर चलता है.

512 हजार

256 हजार

कॉन्फ़िगरेशन प्रबंधन फ़र्मवेयर

768 हजार

256 हजार

कॉन्फ़िगरेशन प्रबंधन फ़र्मवेयर

32 हजार

PUF डेटा कॉपी 0

PUF सहायक डेटा और PUF-लपेटे AES रूट कुंजी प्रतिलिपि 0 को संग्रहीत करने के लिए डेटा संरचना

1एम+32के

32 हजार

PUF डेटा कॉपी 1

PUF सहायक डेटा और PUF-लपेटे AES रूट कुंजी प्रतिलिपि 1 को संग्रहीत करने के लिए डेटा संरचना

तालिका 3.

RSU समर्थन के साथ फ़्लैश उप-विभाजन लेआउट

फ्लैश ऑफसेट (बाइट्स में)

आकार (बाइट्स में)

अंतर्वस्तु

विवरण

0के 512के

512के 512के

निर्णय फर्मवेयर निर्णय फर्मवेयर

सर्वोच्च प्राथमिकता वाली छवि को पहचानने और लोड करने के लिए फर्मवेयर।

1 एम 1.5 एम

512के 512के

निर्णय फर्मवेयर निर्णय फर्मवेयर

8के + 24के

निर्णय फर्मवेयर डेटा

पैडिंग

निर्णय फर्मवेयर उपयोग के लिए आरक्षित.

2एम + 32के

32 हजार

एस.डी.एम. के लिए आरक्षित

एस.डी.एम. के लिए आरक्षित।

2एम + 64के

चर

फैक्टरी छवि

एक सरल छवि जिसे आप बैकअप के रूप में बनाते हैं यदि अन्य सभी एप्लिकेशन छवियाँ लोड होने में विफल हो जाती हैं। इस छवि में CMF शामिल है जो SDM पर चलता है।

अगला

32 हजार

PUF डेटा कॉपी 0

PUF सहायक डेटा और PUF-लपेटे AES रूट कुंजी प्रतिलिपि 0 को संग्रहीत करने के लिए डेटा संरचना
जारी…

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 42

प्रतिक्रिया भेजें

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23

फ्लैश ऑफसेट (बाइट्स में)

आकार (बाइट्स में)

अगला +32K 32K

सामग्री PUF डेटा प्रतिलिपि 1

अगला + 256K 4K अगला +32K 4K अगला +32K 4K

उप-विभाजन तालिका प्रतिलिपि 0 उप-विभाजन तालिका प्रतिलिपि 1 CMF पॉइंटर ब्लॉक प्रतिलिपि 0

अगला +32K _

CMF पॉइंटर ब्लॉक कॉपी 1

परिवर्तनशील परिवर्तनशील

एप्लीकेशन छवि 1 एप्लीकेशन छवि 2

4.9.3. ब्लैक की प्रोविजनिंग

विवरण
PUF सहायक डेटा और PUF-लपेटे AES रूट कुंजी प्रतिलिपि 1 को संग्रहीत करने के लिए डेटा संरचना
फ्लैश भंडारण के प्रबंधन को सुविधाजनक बनाने के लिए डेटा संरचना।
प्राथमिकता के क्रम में एप्लिकेशन छवियों के लिए पॉइंटर्स की एक सूची। जब आप कोई छवि जोड़ते हैं, तो वह छवि सर्वोच्च हो जाती है।
अनुप्रयोग छवियों के लिए संकेतकों की सूची की दूसरी प्रति।
आपकी पहली आवेदन छवि.
आपकी दूसरी आवेदन छवि.

टिप्पणी:

इंटेल क्वार्टस प्राइम प्रोग्रामर इंटेल एजिलेक्स 7 डिवाइस और ब्लैक की प्रोविजनिंग सेवा के बीच पारस्परिक रूप से प्रमाणित सुरक्षित कनेक्शन स्थापित करने में सहायता करता है। सुरक्षित कनेक्शन https के माध्यम से स्थापित किया जाता है और इसके लिए टेक्स्ट का उपयोग करके पहचाने जाने वाले कई प्रमाणपत्रों की आवश्यकता होती है file.
ब्लैक की प्रोविजनिंग का उपयोग करते समय, इंटेल अनुशंसा करता है कि आप J के लिए इसका उपयोग करते समय किसी प्रतिरोधक को ऊपर या नीचे खींचने के लिए TCK पिन को बाहरी रूप से जोड़ने से बचें।TAG. हालाँकि, आप 10 k रेसिस्टर का उपयोग करके TCK पिन को VCCIO SDM पावर सप्लाई से जोड़ सकते हैं। TCK को 1 k पुल-डाउन रेसिस्टर से जोड़ने के लिए पिन कनेक्शन दिशा-निर्देशों में मौजूदा मार्गदर्शन शोर दमन के लिए शामिल किया गया है। 10 k पुल-अप रेसिस्टर के लिए दिशा-निर्देश में परिवर्तन डिवाइस को कार्यात्मक रूप से प्रभावित नहीं करता है। TCK पिन को जोड़ने के बारे में अधिक जानकारी के लिए, Intel Agilex 7 पिन कनेक्शन दिशा-निर्देश देखें।
Thebkp_tls_ca_certcertificate आपके ब्लैक की प्रोविजनिंग सर्विस इंस्टेंस को आपके ब्लैक की प्रोविजनिंग प्रोग्रामर इंस्टेंस में प्रमाणित करता है। Thebkp_tls_*certificates आपके ब्लैक की प्रोविजनिंग प्रोग्रामर इंस्टेंस को आपके ब्लैक की प्रोविजनिंग सर्विस इंस्टेंस में प्रमाणित करता है।
आप एक पाठ बनाते हैं file इंटेल क्वार्टस प्राइम प्रोग्रामर के लिए ब्लैक की प्रोविजनिंग सेवा से कनेक्ट होने के लिए आवश्यक जानकारी शामिल है। ब्लैक की प्रोविजनिंग आरंभ करने के लिए, ब्लैक की प्रोविजनिंग विकल्प टेक्स्ट निर्दिष्ट करने के लिए प्रोग्रामर कमांड लाइन इंटरफ़ेस का उपयोग करें file. फिर ब्लैक की प्रोविजनिंग अपने आप आगे बढ़ती है। ब्लैक की प्रोविजनिंग सेवा और संबंधित दस्तावेज़ों तक पहुँच के लिए, कृपया इंटेल सपोर्ट से संपर्क करें।
आप quartus_pgm कमांड का उपयोग करके ब्लैक कुंजी प्रोविजनिंग को सक्षम कर सकते हैं:
क्वार्टस_पीजीएम -सी -एम -उपकरण –bkp_options=bkp_options.txt
कमांड तर्क निम्नलिखित जानकारी निर्दिष्ट करते हैं:

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 43

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23

· -c: केबल संख्या · -m: प्रोग्रामिंग मोड निर्दिष्ट करता है जैसे JTAG · –device: J पर डिवाइस इंडेक्स निर्दिष्ट करता हैTAG चेन. डिफ़ॉल्ट मान 1 है. · –bkp_options: एक टेक्स्ट निर्दिष्ट करता है file जिसमें काली कुंजी प्रावधान विकल्प शामिल हैं।
संबंधित जानकारी इंटेल एजिलेक्स 7 डिवाइस फ़ैमिली पिन कनेक्शन दिशानिर्देश

4.9.3.1. ब्लैक की प्रोविजनिंग विकल्प
काली कुंजी प्रावधान विकल्प एक पाठ है file quartus_pgm कमांड के माध्यम से प्रोग्रामर को पास किया जाता है। file इसमें ब्लैक की प्रोविजनिंग को ट्रिगर करने के लिए आवश्यक जानकारी शामिल है।
निम्नलिखित एक पूर्व हैampbkp_options.txt का फ़ाइल नाम file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem bkp_tls_prog_key_pass = 1234 bkp_proxy_address = https://192.167.5.5:5000 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

तालिका 4.

ब्लैक की प्रोविजनिंग विकल्प
यह तालिका ब्लैक कुंजी प्रोविजनिंग को ट्रिगर करने के लिए आवश्यक विकल्प प्रदर्शित करती है।

विकल्प का नाम

प्रकार

विवरण

बीकेपी_आईपी

आवश्यक

ब्लैक की प्रोविजनिंग सेवा चलाने वाले सर्वर IP पते को निर्दिष्ट करता है।

बीकेपी_पोर्ट

आवश्यक

सर्वर से कनेक्ट करने के लिए आवश्यक ब्लैक की प्रोविजनिंग सेवा पोर्ट निर्दिष्ट करता है।

bkp_cfg_id

आवश्यक

ब्लैक की प्रोविज़निंग कॉन्फ़िगरेशन फ़्लो ID की पहचान करता है.
ब्लैक की प्रोविजनिंग सेवा ब्लैक की प्रोविजनिंग कॉन्फ़िगरेशन फ़्लो बनाती है जिसमें AES रूट की, वांछित eFuse सेटिंग और अन्य ब्लैक की प्रोविजनिंग प्राधिकरण विकल्प शामिल होते हैं। ब्लैक की प्रोविजनिंग सेवा सेटअप के दौरान निर्दिष्ट संख्या ब्लैक की प्रोविजनिंग कॉन्फ़िगरेशन फ़्लो की पहचान करती है।
नोट: एकाधिक डिवाइस एक ही ब्लैक की प्रोविज़निंग सेवा कॉन्फ़िगरेशन प्रवाह को संदर्भित कर सकते हैं।

bkp_tls_ca_cert

आवश्यक

रूट TLS प्रमाणपत्र का उपयोग Intel Quartus Prime Programmer (प्रोग्रामर) को ब्लैक की प्रोविजनिंग सेवाओं की पहचान करने के लिए किया जाता है। ब्लैक की प्रोविजनिंग सेवा इंस्टेंस के लिए एक विश्वसनीय प्रमाणपत्र प्राधिकरण यह प्रमाणपत्र जारी करता है।
यदि आप प्रोग्रामर को Microsoft® Windows® ऑपरेटिंग सिस्टम (Windows) वाले कंप्यूटर पर चलाते हैं, तो आपको यह प्रमाणपत्र Windows प्रमाणपत्र स्टोर में स्थापित करना होगा।

bkp_tls_prog_cert

आवश्यक

ब्लैक की प्रोविजनिंग प्रोग्रामर (BKP प्रोग्रामर) के इंस्टेंस के लिए बनाया गया प्रमाणपत्र। यह https क्लाइंट प्रमाणपत्र है जिसका उपयोग इस BKP प्रोग्रामर इंस्टेंस को पहचानने के लिए किया जाता है
जारी…

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 44

प्रतिक्रिया भेजें

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23

विकल्प का नाम

प्रकार

bkp_tls_prog_key

आवश्यक

bkp_tls_prog_key_pass वैकल्पिक

bkp_proxy_address bkp_proxy_user bkp_proxy_password

वैकल्पिक वैकल्पिक वैकल्पिक

विवरण
ब्लैक की प्रोविजनिंग सेवा के लिए। ब्लैक की प्रोविजनिंग सत्र शुरू करने से पहले आपको ब्लैक की प्रोविजनिंग सेवा में इस प्रमाणपत्र को स्थापित और अधिकृत करना होगा। यदि आप Windows पर प्रोग्रामर चलाते हैं, तो यह विकल्प उपलब्ध नहीं है। इस मामले में, bkp_tls_prog_key में पहले से ही यह प्रमाणपत्र शामिल है।
BKP प्रोग्रामर प्रमाणपत्र के अनुरूप निजी कुंजी। कुंजी ब्लैक की प्रोविजनिंग सेवा के लिए BKP प्रोग्रामर इंस्टेंस की पहचान को मान्य करती है। यदि आप Windows पर प्रोग्रामर चलाते हैं, तो .pfx file bkp_tls_prog_cert प्रमाणपत्र और निजी कुंजी को जोड़ता है। bkp_tlx_prog_key विकल्प .pfx को पास करता है file bkp_options.txt में file.
bkp_tls_prog_key निजी कुंजी के लिए पासवर्ड। ब्लैक की प्रोविज़निंग कॉन्फ़िगरेशन विकल्पों (bkp_options.txt) टेक्स्ट में इसकी आवश्यकता नहीं है file.
प्रॉक्सी सर्वर निर्दिष्ट करता है URL पता।
प्रॉक्सी सर्वर उपयोगकर्ता नाम निर्दिष्ट करता है.
प्रॉक्सी प्रमाणीकरण पासवर्ड निर्दिष्ट करता है.

4.10. स्वामी रूट कुंजी, AES रूट कुंजी प्रमाणपत्र और फ़्यूज़ को परिवर्तित करना fileएस टू जैम एसटीएपीएल File प्रारूप

आप .qky, AES रूट कुंजी .ccert, और .fuse को परिवर्तित करने के लिए quartus_pfg कमांड-लाइन कमांड का उपयोग कर सकते हैं fileएस टू जैम STAPL प्रारूप File (.jam) और जाम बाइट कोड प्रारूप File (.jbc). आप इनका उपयोग कर सकते हैं fileक्रमशः जैम एसटीएपीएल प्लेयर और जैम एसटीएपीएल बाइट-कोड प्लेयर का उपयोग करके इंटेल एफपीजीए को प्रोग्राम करना।

एक एकल .jam या .jbc में कई फ़ंक्शन शामिल होते हैं, जिनमें फ़र्मवेयर हेल्पर इमेज कॉन्फ़िगरेशन और प्रोग्राम, ब्लैंक चेक, तथा कुंजी और फ़्यूज़ प्रोग्रामिंग का सत्यापन शामिल है।

सावधानी:

जब आप AES रूट कुंजी .ccert को परिवर्तित करते हैं file .jam प्रारूप में, .jam file इसमें AES कुंजी सादे टेक्स्ट में है, लेकिन अस्पष्ट रूप में है। इसलिए, आपको .jam को सुरक्षित रखना चाहिए file AES कुंजी को संग्रहीत करते समय। आप AES कुंजी को सुरक्षित वातावरण में प्रावधान करके ऐसा कर सकते हैं।

यहाँ पूर्व हैंampquartus_pfg रूपांतरण आदेश की सामग्री:

क्वार्टस_पीएफजी -सी -ओ हेल्पर_डिवाइस=AGFB014R24A “रूट0.qky;रूट1.qky;रूट2.qky” रूटकी.जाम क्वार्टस_पीएफजी -सी -ओ हेल्पर_डिवाइस=AGFB014R24A “रूट0.qky;रूट1.qky;रूट2.qky” रूटकी.जेबीसी क्वार्टस_पीएफजी -सी -ओ हेल्पर_डिवाइस=AGFB014R24A एईएस.सीसीर्ट एईएस_सीसीर्ट.जाम क्वार्टस_पीएफजी -सी -ओ हेल्पर_डिवाइस=AGFB014R24A एईएस.सीसीर्ट एईएस_सीसीर्ट.जेबीसी क्वार्टस_पीएफजी -सी -ओ हेल्पर_डिवाइस=AGFB014R24A सेटिंग्स.फ्यूज सेटिंग्स_फ्यूज.जाम क्वार्टस_पीएफजी -सी -ओ helper_device=AGFB014R24A सेटिंग्स.फ़्यूज़ सेटिंग्स_फ़्यूज़.jbc

डिवाइस प्रोग्रामिंग के लिए Jam STAPL प्लेयर का उपयोग करने के बारे में अधिक जानकारी के लिए AN 425: डिवाइस प्रोग्रामिंग के लिए कमांड-लाइन Jam STAPL समाधान का उपयोग करना देखें।

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 45

4. डिवाइस प्रोविजनिंग 683823 | 2023.05.23
स्वामी रूट सार्वजनिक कुंजी और AES एन्क्रिप्शन कुंजी को प्रोग्राम करने के लिए निम्नलिखित कमांड चलाएँ:
// FPGA में हेल्पर बिटस्ट्रीम को लोड करने के लिए। // हेल्पर बिटस्ट्रीम में प्रावधान फर्मवेयर quartus_jli -c 1 -a CONFIGURE RootKey.jam शामिल है
//वर्चुअल eFuses में स्वामी रूट सार्वजनिक कुंजी को प्रोग्राम करने के लिए quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
// स्वामी रूट सार्वजनिक कुंजी को भौतिक eFuses में प्रोग्राम करने के लिए quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//PR स्वामी रूट सार्वजनिक कुंजी को वर्चुअल eFuses में प्रोग्राम करने के लिए quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//PR स्वामी रूट सार्वजनिक कुंजी को भौतिक eFuses में प्रोग्राम करने के लिए quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//AES एन्क्रिप्शन कुंजी CCERT को BBRAM में प्रोग्राम करने के लिए quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//AES एन्क्रिप्शन कुंजी CCERT को भौतिक eFuses में प्रोग्राम करने के लिए quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
संबंधित जानकारी AN 425: डिवाइस प्रोग्रामिंग के लिए कमांड-लाइन जैम STAPL समाधान का उपयोग करना

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 46

प्रतिक्रिया भेजें

683823 | 2023.05.23 प्रतिक्रिया भेजें

उन्नत विशेषताएँ

5.1. सुरक्षित डीबग प्राधिकरण
सुरक्षित डीबग प्राधिकरण को सक्षम करने के लिए, डीबग स्वामी को प्रमाणीकरण कुंजी युग्म उत्पन्न करने और डिवाइस जानकारी उत्पन्न करने के लिए इंटेल क्वार्टस प्राइम प्रो प्रोग्रामर का उपयोग करने की आवश्यकता होती है file डिबग छवि चलाने वाले डिवाइस के लिए:
क्वार्टस_पीजीएम -सी 1 -एमजेtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
डिवाइस स्वामी क्वार्टस_साइन टूल या संदर्भ कार्यान्वयन का उपयोग करके हस्ताक्षर श्रृंखला में सशर्त सार्वजनिक कुंजी प्रविष्टि को जोड़ता है, जो डीबग स्वामी से सार्वजनिक कुंजी, आवश्यक प्राधिकरण, डिवाइस सूचना पाठ का उपयोग करके डीबग संचालन के लिए अभिप्रेत है। file, तथा लागू अन्य प्रतिबंध:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=एपेंड_की –पिछला_पेम=डिबग_चेन_प्राइवेट.पेम –पिछला_qky=डिबग_चेन.qky –अनुमति=0x6 –रद्द=1 –dev_info=device_info.txt –प्रतिबंध=”1,2,17,18″ –इनपुट_पेम=डिबग_ऑथराइजेशन_पब्लिक_की.पेम सिक्योर_डिबग_ऑथ_चेन.qky
डिवाइस स्वामी सम्पूर्ण हस्ताक्षर श्रृंखला को डीबग स्वामी को वापस भेजता है, जो डीबग छवि पर हस्ताक्षर करने के लिए हस्ताक्षर श्रृंखला और अपनी निजी कुंजी का उपयोग करता है:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –qky=सिक्योर_डिबग_ऑथ_चेन.qky –pem=डिबग_ऑथराइज़ेशन_प्राइवेट_की.pem अनसाइनड_डिबग_डिज़ाइन.आरबीएफ अधिकृत_डिबग_डिज़ाइन.आरबीएफ
आप इस हस्ताक्षरित सुरक्षित डीबग बिटस्ट्रीम के प्रत्येक अनुभाग की हस्ताक्षर श्रृंखला का निरीक्षण करने के लिए quartus_pfg कमांड का उपयोग कर सकते हैं, इस प्रकार:
क्वार्टस_पीएफजी – चेक_इंटेग्रिटी अधिकृत_डिबग_डिज़ाइन.आरबीएफ
इस कमांड का आउटपुट, हस्ताक्षरित बिटस्ट्रीम उत्पन्न करने के लिए उपयोग की गई सशर्त सार्वजनिक कुंजी के प्रतिबंध मान 1,2,17,18 को प्रिंट करता है।
इसके बाद डीबग स्वामी सुरक्षित रूप से अधिकृत डीबग डिज़ाइन को प्रोग्राम कर सकता है:
क्वार्टस_पीजीएम -सी 1 -एमजेtag -o “p;authorized_debug_design.rbf”
डिवाइस स्वामी सुरक्षित डिबग प्राधिकरण हस्ताक्षर श्रृंखला में निर्दिष्ट स्पष्ट कुंजी रद्दीकरण आईडी को रद्द करके सुरक्षित डिबग प्राधिकरण को रद्द कर सकता है।
5.2. एचपीएस डीबग प्रमाणपत्र
J के माध्यम से HPS डिबग एक्सेस पोर्ट (DAP) तक केवल अधिकृत पहुंच को सक्षम करनाTAG इंटरफ़ेस के लिए कई चरणों की आवश्यकता होती है:

आईएसओ 9001:2015 पंजीकृत

5. उन्नत सुविधाएँ 683823 | 2023.05.23
1. इंटेल क्वार्टस प्राइम सॉफ्टवेयर असाइनमेंट मेनू पर क्लिक करें और डिवाइस डिवाइस और पिन विकल्प कॉन्फ़िगरेशन टैब का चयन करें।
2. कॉन्फ़िगरेशन टैब में, ड्रॉपडाउन मेनू से HPS पिन या SDM पिन का चयन करके HPS डिबग एक्सेस पोर्ट (DAP) को सक्षम करें, और सुनिश्चित करें कि प्रमाणपत्र के बिना HPS डिबग की अनुमति दें चेकबॉक्स चयनित नहीं है।
चित्र 14. HPS DAP के लिए HPS या SDM पिन निर्दिष्ट करें

एचपीएस डिबग एक्सेस पोर्ट (डीएपी)
वैकल्पिक रूप से, आप क्वार्टस प्राइम सेटिंग्स में नीचे दिए गए असाइनमेंट को सेट कर सकते हैं। file:
set_global_assignment -name HPS_DAP_SPLIT_MODE “एसडीएम पिन”
3. इन सेटिंग्स के साथ डिज़ाइन को संकलित और लोड करें। 4. HPS डीबग पर हस्ताक्षर करने के लिए उचित अनुमतियों के साथ एक हस्ताक्षर श्रृंखला बनाएँ
प्रमाण पत्र:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=एपेंड_की –प्रीवियस_पेम=रूट_प्राइवेट.पेम –प्रीवियस_क्यूकी=रूट.क्यूकी –अनुमति=0x8 –रद्द=1 –इनपुट_पेम=एचपीएस_डिबग_सर्ट_पब्लिक_की.पेम एचपीएस_डिबग_सर्ट_साइन_चेन.क्यूकी
5. उस डिवाइस से एक अहस्ताक्षरित HPS डिबग प्रमाणपत्र का अनुरोध करें जहां डिबग डिज़ाइन लोड किया गया है:
क्वार्टस_पीजीएम -सी 1 -एमजेtag -o “e;unsigned_hps_debug.cert;AGFB014R24A”
6. क्वार्टस_साइन टूल या संदर्भ कार्यान्वयन और एचपीएस डीबग हस्ताक्षर श्रृंखला का उपयोग करके अहस्ताक्षरित एचपीएस डीबग प्रमाणपत्र पर हस्ताक्षर करें:
क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=साइन –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 48

प्रतिक्रिया भेजें

5. उन्नत सुविधाएँ 683823 | 2023.05.23
7. HPS डिबग एक्सेस पोर्ट (DAP) तक पहुंच सक्षम करने के लिए हस्ताक्षरित HPS डिबग प्रमाणपत्र को डिवाइस पर वापस भेजें:
क्वार्टस_पीजीएम -सी 1 -एमजेtag -o “p;signed_hps_debug.cert”
HPS डीबग प्रमाणपत्र केवल उस समय से वैध होता है जब इसे डिवाइस के अगले पावर साइकिल तक या जब तक कि SDM फ़र्मवेयर का कोई अलग प्रकार या संस्करण लोड न हो जाए। आपको डिवाइस को पावर साइकिल करने से पहले हस्ताक्षरित HPS डीबग प्रमाणपत्र को जनरेट, साइन और प्रोग्राम करना होगा और सभी डीबग ऑपरेशन करने होंगे। आप डिवाइस को पावर साइकिल करके हस्ताक्षरित HPS डीबग प्रमाणपत्र को अमान्य कर सकते हैं।
5.3. प्लेटफ़ॉर्म सत्यापन
आप एक संदर्भ अखंडता मैनिफ़ेस्ट (.rim) उत्पन्न कर सकते हैं file प्रोग्रामिंग का उपयोग करना file जनरेटर उपकरण:
क्वार्टस_पीएफजी -सी signed_encrypted_top.rbf top_rim.rim
अपने डिज़ाइन में प्लेटफ़ॉर्म सत्यापन सुनिश्चित करने के लिए इन चरणों का पालन करें: 1. अपने डिवाइस को कॉन्फ़िगर करने के लिए इंटेल क्वार्टस प्राइम प्रो प्रोग्रामर का उपयोग करें
डिज़ाइन जिसके लिए आपने एक संदर्भ अखंडता मैनिफ़ेस्ट बनाया है। 2. डिवाइस को नामांकित करने के लिए प्लेटफ़ॉर्म सत्यापन सत्यापनकर्ता का उपयोग करके आदेश जारी करें
पुनः लोड करने पर डिवाइस आईडी प्रमाणपत्र और फर्मवेयर प्रमाणपत्र बनाने के लिए SDM मेलबॉक्स के माध्यम से SDM। 3. डिज़ाइन के साथ अपने डिवाइस को पुनः कॉन्फ़िगर करने के लिए Intel Quartus Prime Pro प्रोग्रामर का उपयोग करें। 4. सत्यापन डिवाइस ID, फर्मवेयर और उपनाम प्रमाणपत्र प्राप्त करने के लिए SDM को आदेश जारी करने के लिए प्लेटफ़ॉर्म सत्यापन सत्यापनकर्ता का उपयोग करें। 5. सत्यापन साक्ष्य प्राप्त करने के लिए SDM मेलबॉक्स आदेश जारी करने के लिए सत्यापन सत्यापनकर्ता का उपयोग करें और सत्यापनकर्ता लौटाए गए साक्ष्य की जाँच करता है।
आप SDM मेलबॉक्स कमांड का उपयोग करके अपनी स्वयं की सत्यापनकर्ता सेवा लागू कर सकते हैं, या Intel प्लेटफ़ॉर्म सत्यापन सत्यापनकर्ता सेवा का उपयोग कर सकते हैं। Intel प्लेटफ़ॉर्म सत्यापन सत्यापनकर्ता सेवा सॉफ़्टवेयर, उपलब्धता और दस्तावेज़ीकरण के बारे में अधिक जानकारी के लिए, Intel सहायता से संपर्क करें।
संबंधित जानकारी इंटेल एजिलेक्स 7 डिवाइस फ़ैमिली पिन कनेक्शन दिशानिर्देश
5.4. भौतिक एंटी-टीamper
आप भौतिक एंटी-टी सक्षम करते हैंampनिम्नलिखित चरणों का उपयोग करके अपनी विशेषताओं को पहचानें: 1. किसी ज्ञात त्रुटि के लिए वांछित प्रतिक्रिया का चयन करनाampएर घटना 2. वांछित टी को कॉन्फ़िगर करनाampएर पता लगाने के तरीके और पैरामीटर 3. एंटी-टी सहितampएंटी-वायरस को प्रबंधित करने में मदद के लिए अपने डिज़ाइन लॉजिक में IP जोड़ेंamper
घटनाएँ

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 49

5. उन्नत सुविधाएँ 683823 | 2023.05.23
5.4.1. एंटी-टीampप्रतिक्रियाएँ
आप भौतिक एंटी-टी सक्षम करते हैंampएंटी-टी से प्रतिक्रिया का चयन करकेampएर प्रतिक्रिया: असाइनमेंट डिवाइस डिवाइस और पिन विकल्प सुरक्षा एंटी-टी पर ड्रॉपडाउन सूचीampएर टैब। डिफ़ॉल्ट रूप से, एंटी-टीampएर प्रतिक्रिया अक्षम है। एंटी-टी की पांच श्रेणियांampजब आप अपनी इच्छित प्रतिक्रिया चुनते हैं, तो एक या अधिक पहचान विधियों को सक्षम करने के विकल्प सक्षम हो जाते हैं।
चित्र 15. उपलब्ध एंटी-टीampप्रतिक्रिया विकल्प

क्वार्टस प्राइम सेटिंग्स में संबंधित असाइनमेंट .gsf file निम्नलखित में से कोई:
set_global_assignment -नाम ANTI_TAMPER_RESPONSE “नोटिफिकेशन डिवाइस वाइप डिवाइस लॉक और जीरोइज़ेशन”
जब आप एंटी-टी सक्षम करते हैंampईआर प्रतिक्रिया, आप आउटपुट के लिए दो उपलब्ध एसडीएम समर्पित I/O पिन चुन सकते हैंampअसाइनमेंट डिवाइस डिवाइस और पिन विकल्प कॉन्फ़िगरेशन कॉन्फ़िगरेशन पिन विकल्प विंडो का उपयोग करके ईवेंट का पता लगाना और प्रतिक्रिया स्थिति निर्धारित करना।

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 50

प्रतिक्रिया भेजें

5. उन्नत सुविधाएँ 683823 | 2023.05.23
चित्र 16. T के लिए उपलब्ध SDM समर्पित I/O पिनampएर इवेंट डिटेक्शन

आप सेटिंग में निम्नलिखित पिन असाइनमेंट भी कर सकते हैं file: set_global_assignment -नाम USE_TAMPER_DETECT SDM_IO15 set_global_assignment -नाम ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. एंटी-टीampएर डिटेक्शन

आप आवृत्ति, तापमान और वॉल्यूम को व्यक्तिगत रूप से सक्षम कर सकते हैंtagएसडीएम की ई पहचान विशेषताएं। एफपीजीए पहचान एंटी-टी को शामिल करने पर निर्भर करती हैampअपने डिजाइन में लाइट इंटेल FPGA आईपी शामिल करें।

टिप्पणी:

एस.डी.एम. आवृत्ति और वॉल्यूमtagएटampएर डिटेक्शन विधियाँ आंतरिक संदर्भों और माप हार्डवेयर पर निर्भर होती हैं जो डिवाइस के अनुसार अलग-अलग हो सकती हैं। इंटेल अनुशंसा करता है कि आप टी के व्यवहार को चिह्नित करेंampएर पहचान सेटिंग्स.

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 51

5. उन्नत सुविधाएँ 683823 | 2023.05.23
फ्रीक्वेंसी टीampएर डिटेक्शन कॉन्फ़िगरेशन क्लॉक स्रोत पर संचालित होता है। आवृत्ति टी को सक्षम करने के लिएampएर डिटेक्शन के लिए, आपको असाइनमेंट डिवाइस डिवाइस और पिन विकल्प सामान्य टैब पर कॉन्फ़िगरेशन क्लॉक सोर्स ड्रॉपडाउन में इंटरनल ऑसिलेटर के अलावा कोई दूसरा विकल्प निर्दिष्ट करना होगा। आपको यह सुनिश्चित करना होगा कि फ़्रीक्वेंसी को सक्षम करने से पहले आंतरिक ऑसिलेटर से सीपीयू कॉन्फ़िगरेशन चलाएँ चेकबॉक्स सक्षम हैampएर डिटेक्शन। चित्र 17. एसडीएम को इंटरनल ऑसिलेटर पर सेट करना
आवृत्ति सक्षम करने के लिएampएर का पता लगाने के लिए, सक्षम आवृत्ति टी का चयन करेंampएर डिटेक्शन चेकबॉक्स पर क्लिक करें और वांछित आवृत्ति का चयन करेंampड्रॉपडाउन मेनू से ईआर डिटेक्शन रेंज चुनें। चित्र 18. फ़्रीक्वेंसी टी सक्षम करनाampएर डिटेक्शन

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 52

प्रतिक्रिया भेजें

5. उन्नत सुविधाएँ 683823 | 2023.05.23
वैकल्पिक रूप से, आप फ़्रिक्वेंसी टी को सक्षम कर सकते हैंampक्वार्टस प्राइम सेटिंग्स में निम्नलिखित परिवर्तन करके डिटेक्शन करें। file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC चालू set_global_assignment -name ENABLE_FREQUENCY_TAMPER_DETECTION चालू set_global_assignment -नाम FREQUENCY_TAMPER_डिटेक्शन_रेंज 35
तापमान नियंत्रण सक्षम करने के लिएampतापमान जांच सक्षम करने के लिए, तापमान माप सक्षम करें बटन का चयन करेंampईआर डिटेक्शन चेकबॉक्स पर क्लिक करें और संबंधित फ़ील्ड में वांछित तापमान ऊपरी और निचली सीमा का चयन करें। ऊपरी और निचली सीमाएँ डिज़ाइन में चयनित डिवाइस के लिए संबंधित तापमान सीमा के साथ डिफ़ॉल्ट रूप से पॉप्युलेट होती हैं।
वॉल्यूम सक्षम करने के लिएtagएटampईआर पहचान के लिए, आप सक्षम VCCL वॉल्यूम में से एक या दोनों का चयन करते हैंtagएटampएर का पता लगाना या VCCL_SDM वॉल्यूम सक्षम करनाtagएटampएर डिटेक्शन चेकबॉक्स पर क्लिक करें और वांछित वॉल्यूम का चयन करेंtagएटampईआर डिटेक्शन ट्रिगर प्रतिशतtagई संबंधित क्षेत्र में.
चित्र 19. वॉल्यूम सक्षम करनाtagऔर टीampएर डिटेक्शन

वैकल्पिक रूप से, आप वॉल्यूम सक्षम कर सकते हैंtagऔर टीamp.qsf में निम्नलिखित असाइनमेंट निर्दिष्ट करके पता लगाना file:
set_global_assignment -नाम ENABLE_TEMPERATURE_TAMPER_DETECTION चालू set_global_assignment -नाम TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -नाम ENABLE_VCCL_VOLTAGई_टीAMPER_DETECTION चालू set_global_assignment -नाम ENABLE_VCCL_SDM_VOLTAGई_टीAMPER_DETECTION चालू
5.4.3. एंटी-टीampएर लाइट इंटेल FPGA आईपी
एंटी-टीampइंटेल क्वार्टस प्राइम प्रो संस्करण सॉफ्टवेयर में आईपी कैटलॉग में उपलब्ध एर लाइट इंटेल एफपीजीए आईपी, आपके डिजाइन और एसडीएम के बीच द्विदिश संचार की सुविधा देता हैampएर घटनाएँ.

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 53

चित्र 20. एंटी-टीampएर लाइट इंटेल FPGA आईपी

5. उन्नत सुविधाएँ 683823 | 2023.05.23

आईपी निम्नलिखित सिग्नल प्रदान करता है जिन्हें आप आवश्यकतानुसार अपने डिजाइन से जोड़ते हैं:

तालिका 5.

विरोधी टीampएर लाइट इंटेल FPGA आईपी I/O सिग्नल

सिग्नल का नाम

दिशा

विवरण

gpo_sdm_at_event gpi_fpga_at_event

आउटपुट इनपुट

एफपीजीए फैब्रिक लॉजिक को एसडीएम सिग्नल जिसे एसडीएम ने पता लगाया हैampएर इवेंट। FPGA लॉजिक के पास कोई भी वांछित सफाई करने और gpi_fpga_at_response_done और gpi_fpga_at_zeroization_done के माध्यम से SDM को जवाब देने के लिए लगभग 5ms का समय होता है। SDM टी के साथ आगे बढ़ता हैampजब gpi_fpga_at_response_done की पुष्टि की जाती है या आवंटित समय में कोई प्रतिक्रिया प्राप्त नहीं होती है, तो प्रतिक्रिया क्रियाएं की जाती हैं।
FPGA एसडीएम को बाधित करता है कि आपके द्वारा डिज़ाइन किया गया एंटी-टीampएर डिटेक्शन सर्किटरी ने पता लगाया हैampएर घटना और एस.डी.एम. टीampउसकी प्रतिक्रिया ट्रिगर होनी चाहिए.

gpi_fpga_at_response_done

इनपुट

FPGA द्वारा SDM को यह सूचित करना कि FPGA लॉजिक ने वांछित सफाई कर दी है।

gpi_fpga_at_zeroization_d एक

इनपुट

FPGA द्वारा SDM को संकेत दिया जाता है कि FPGA लॉजिक ने डिज़ाइन डेटा का वांछित शून्यकरण पूरा कर लिया है। यह संकेत sampजब gpi_fpga_at_response_done का दावा किया जाता है तो इसका नेतृत्व किया जाता है।

5.4.3.1। जानकारी जारी की

IP संस्करण योजना (XYZ) संख्या एक सॉफ़्टवेयर संस्करण से दूसरे में बदल जाती है। इसमें परिवर्तन:
· X IP के बड़े संशोधन को दर्शाता है। यदि आप अपना Intel Quartus Prime सॉफ़्टवेयर अपडेट करते हैं, तो आपको IP को फिर से बनाना होगा।
· Y दर्शाता है कि IP में नई सुविधाएँ शामिल हैं। इन नई सुविधाओं को शामिल करने के लिए अपने IP को पुनः जनरेट करें।
· Z दर्शाता है कि IP में छोटे-मोटे बदलाव शामिल हैं। इन बदलावों को शामिल करने के लिए अपना IP फिर से जनरेट करें।

तालिका 6.

विरोधी टीampएर लाइट इंटेल FPGA आईपी रिलीज जानकारी

आईपी संस्करण

वस्तु

विवरण 20.1.0

इंटेल क्वार्टस प्राइम संस्करण

21.2

रिलीज़ की तारीख

2021.06.21

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 54

प्रतिक्रिया भेजें

5. उन्नत सुविधाएँ 683823 | 2023.05.23
5.5. रिमोट सिस्टम अपडेट के साथ डिज़ाइन सुरक्षा सुविधाओं का उपयोग करना
रिमोट सिस्टम अपडेट (RSU) एक इंटेल एजिलेक्स 7 FPGAs सुविधा है जो कॉन्फ़िगरेशन को अपडेट करने में सहायता करती है fileRSU डिज़ाइन सुरक्षा सुविधाओं जैसे प्रमाणीकरण, फ़र्मवेयर सह-हस्ताक्षर और बिटस्ट्रीम एन्क्रिप्शन के साथ संगत है क्योंकि RSU कॉन्फ़िगरेशन बिटस्ट्रीम की डिज़ाइन सामग्री पर निर्भर नहीं करता है।
.sof के साथ RSU छवियाँ बनाना Files
यदि आप अपने स्थानीय कंप्यूटर पर निजी कुंजियाँ संग्रहीत कर रहे हैं fileसिस्टम में, आप .sof के साथ सरलीकृत प्रवाह का उपयोग करके डिज़ाइन सुरक्षा सुविधाओं के साथ RSU छवियाँ उत्पन्न कर सकते हैं files को इनपुट के रूप में उपयोग करें। .sof के साथ RSU छवियाँ उत्पन्न करने के लिए file, आप रिमोट सिस्टम अपडेट इमेज उत्पन्न करने वाले अनुभाग में दिए गए निर्देशों का पालन कर सकते हैं Fileप्रोग्रामिंग का उपयोग करना File इंटेल एजिलेक्स 7 कॉन्फ़िगरेशन उपयोगकर्ता गाइड का जेनरेटर। प्रत्येक .sof के लिए file इनपुट पर निर्दिष्ट Fileटैब पर, गुण… बटन पर क्लिक करें और हस्ताक्षर और एन्क्रिप्शन टूल के लिए उपयुक्त सेटिंग्स और कुंजियाँ निर्दिष्ट करें। प्रोग्रामिंग file जनरेटर उपकरण RSU प्रोग्रामिंग बनाते समय फ़ैक्टरी और एप्लिकेशन छवियों को स्वचालित रूप से हस्ताक्षरित और एन्क्रिप्ट करता है files.
वैकल्पिक रूप से, यदि आप HSM में निजी कुंजियाँ संग्रहीत कर रहे हैं, तो आपको quartus_sign टूल का उपयोग करना चाहिए और इसलिए .rbf का उपयोग करना चाहिए fileइस अनुभाग का शेष भाग .rbf के साथ RSU छवियाँ उत्पन्न करने के लिए प्रवाह में परिवर्तनों का विवरण देता है files को इनपुट के रूप में उपयोग करें। आपको .rbf प्रारूप को एन्क्रिप्ट और हस्ताक्षरित करना होगा fileउन्हें इनपुट के रूप में चुनने से पहले fileRSU छवियों के लिए; हालाँकि, RSU बूट जानकारी file एन्क्रिप्टेड नहीं होना चाहिए और इसके बजाय केवल हस्ताक्षरित होना चाहिए। प्रोग्रामिंग File जनरेटर .rbf प्रारूप के गुणों को संशोधित करने का समर्थन नहीं करता है files.
निम्नलिखित पूर्वampदूरस्थ सिस्टम अद्यतन छवि उत्पन्न करने वाले अनुभाग में दिए गए आदेशों में आवश्यक संशोधनों को प्रदर्शित करें Fileप्रोग्रामिंग का उपयोग करना File इंटेल एजिलेक्स 7 कॉन्फ़िगरेशन उपयोगकर्ता गाइड का जेनरेटर।
.rbf का उपयोग करके प्रारंभिक RSU छवि उत्पन्न करना Files: कमांड संशोधन
.rbf का उपयोग करके प्रारंभिक RSU छवि उत्पन्न करना Fileइस अनुभाग में, चरण 1 में दिए गए आदेशों को संशोधित करें। इस दस्तावेज़ के पिछले अनुभागों में दिए गए निर्देशों का उपयोग करके वांछित डिज़ाइन सुरक्षा सुविधाओं को सक्षम करने के लिए।
उदाहरणार्थampले, आप एक हस्ताक्षरित फर्मवेयर निर्दिष्ट करेंगे file यदि आप फर्मवेयर कोसाइनिंग का उपयोग कर रहे थे, तो प्रत्येक .rbf को एन्क्रिप्ट करने के लिए क्वार्टस एन्क्रिप्शन टूल का उपयोग करें file, और अंत में प्रत्येक पर हस्ताक्षर करने के लिए क्वार्टस_साइन टूल का उपयोग करें file.
चरण 2 में, यदि आपने फर्मवेयर सह-हस्ताक्षर सक्षम किया है, तो आपको फ़ैक्टरी छवि से बूट .rbf के निर्माण में एक अतिरिक्त विकल्प का उपयोग करना होगा file:
क्वार्टस_पीएफजी -सी फैक्ट्री.एसओएफ बूट.आरबीएफ -ओ आरएसयू_बूट=चालू -ओ एफडब्ल्यू_सोर्स=साइनड_एजिलेक्स.ज़िप
बूट जानकारी .rbf बनाने के बाद file.rbf पर हस्ताक्षर करने के लिए quartus_sign टूल का उपयोग करें file. आपको बूट जानकारी एन्क्रिप्ट नहीं करनी चाहिए .rbf file.

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 55

5. उन्नत सुविधाएँ 683823 | 2023.05.23
एप्लिकेशन छवि तैयार करना: कमांड संशोधन
डिज़ाइन सुरक्षा सुविधाओं के साथ एक एप्लिकेशन छवि उत्पन्न करने के लिए, आप मूल एप्लिकेशन .sof के बजाय, यदि आवश्यक हो तो सह-हस्ताक्षरित फर्मवेयर सहित डिज़ाइन सुरक्षा सुविधाओं के साथ .rbf का उपयोग करने के लिए एप्लिकेशन छवि उत्पन्न करने में कमांड को संशोधित करते हैं। file:
क्वार्टस_पीएफजी -सी कोसाइनड_एफडब्लू_साइनड_एन्क्रिप्टेड_एप्लिकेशन.आरबीएफ सुरक्षित_आरएसयू_एप्लिकेशन.आरपीडी -ओ मोड=एएसएक्स4 -ओ बिटस्वैप=चालू
फ़ैक्टरी अपडेट छवि तैयार करना: कमांड संशोधन
बूट जानकारी .rbf बनाने के बाद file, आप .rbf पर हस्ताक्षर करने के लिए quartus_sign टूल का उपयोग करते हैं file. आपको बूट जानकारी एन्क्रिप्ट नहीं करनी चाहिए .rbf file.
RSU फैक्ट्री अपडेट इमेज बनाने के लिए, आप .rbf का उपयोग करने के लिए फैक्ट्री अपडेट इमेज बनाने से कमांड को संशोधित करते हैं file डिज़ाइन सुरक्षा सुविधाएँ सक्षम करें और सह-हस्ताक्षरित फ़र्मवेयर उपयोग को इंगित करने का विकल्प जोड़ें:
क्वार्टस_पीएफजी -सी कोसाइनड_एफडब्लू_साइनड_एन्क्रिप्टेड_फैक्ट्री.आरबीएफ सुरक्षित_आरएसयू_फैक्ट्री_अपडेट.आरपीडी -ओ मोड=एएसएक्स4 -ओ बिटस्वैप=चालू -ओ आरएसयू_अपग्रेड=चालू -ओ एफडब्लू_सोर्स=साइनड_एजिलेक्स.ज़िप
संबंधित जानकारी इंटेल एजिलेक्स 7 कॉन्फ़िगरेशन उपयोगकर्ता गाइड
5.6. एसडीएम क्रिप्टोग्राफिक सेवाएँ
इंटेल एजिलेक्स 7 डिवाइस पर SDM क्रिप्टोग्राफ़िक सेवाएँ प्रदान करता है जिन्हें FPGA फ़ैब्रिक लॉजिक या HPS संबंधित SDM मेलबॉक्स इंटरफ़ेस के माध्यम से अनुरोध कर सकते हैं। सभी SDM क्रिप्टोग्राफ़िक सेवाओं के लिए मेलबॉक्स कमांड और डेटा फ़ॉर्मेट के बारे में अधिक जानकारी के लिए, Intel FPGAs और संरचित ASICs उपयोगकर्ता गाइड के लिए सुरक्षा पद्धति में परिशिष्ट B देखें।
SDM क्रिप्टोग्राफिक सेवाओं के लिए FPGA फैब्रिक लॉजिक के लिए SDM मेलबॉक्स इंटरफ़ेस तक पहुंचने के लिए, आपको अपने डिज़ाइन में मेलबॉक्स क्लाइंट Intel FPGA IP को इंस्टैंसिएट करना होगा।
एचपीएस से एसडीएम मेलबॉक्स इंटरफेस तक पहुंचने के लिए संदर्भ कोड इंटेल द्वारा प्रदान किए गए एटीएफ और लिनक्स कोड में शामिल है।
संबंधित जानकारी मेलबॉक्स क्लाइंट इंटेल FPGA IP उपयोगकर्ता गाइड
5.6.1. विक्रेता अधिकृत बूट
इंटेल एचपीएस सॉफ्टवेयर के लिए एक संदर्भ कार्यान्वयन प्रदान करता है जो पहले से ही एचपीएस बूट सॉफ्टवेयर को प्रमाणित करने के लिए विक्रेता अधिकृत बूट सुविधा का उपयोग करता है।tagबूट लोडर को लिनक्स कर्नेल से जोड़ना।
संबंधित जानकारी इंटेल एजिलेक्स 7 SoC सिक्योर बूट डेमो डिज़ाइन

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 56

प्रतिक्रिया भेजें

5. उन्नत सुविधाएँ 683823 | 2023.05.23
5.6.2. सुरक्षित डेटा ऑब्जेक्ट सेवा
आप SDOS ऑब्जेक्ट एन्क्रिप्शन और डिक्रिप्शन करने के लिए SDM मेलबॉक्स के ज़रिए कमांड भेजते हैं। आप SDOS रूट कुंजी प्रोविज़न करने के बाद SDOS सुविधा का उपयोग कर सकते हैं।
संबंधित जानकारी सुरक्षित डेटा ऑब्जेक्ट सेवा रूट कुंजी प्रावधान पृष्ठ 30 पर
5.6.3.एसडीएम क्रिप्टोग्राफिक प्रिमिटिव सर्विसेज
आप SDM क्रिप्टोग्राफ़िक प्रिमिटिव सेवा संचालन आरंभ करने के लिए SDM मेलबॉक्स के माध्यम से कमांड भेजते हैं। कुछ क्रिप्टोग्राफ़िक प्रिमिटिव सेवाओं के लिए यह आवश्यक है कि मेलबॉक्स इंटरफ़ेस द्वारा स्वीकार किए जाने वाले डेटा से अधिक डेटा SDM से और SDM में स्थानांतरित किया जाए। इन मामलों में, मेमोरी में डेटा के लिए पॉइंटर्स प्रदान करने के लिए फ़ॉर्मेट का कमांड बदल जाता है। इसके अतिरिक्त, आपको FPGA फ़ैब्रिक लॉजिक से SDM क्रिप्टोग्राफ़िक प्रिमिटिव सेवाओं का उपयोग करने के लिए मेलबॉक्स क्लाइंट Intel FPGA IP के इंस्टेंसिएशन को बदलना होगा। आपको अतिरिक्त रूप से क्रिप्टो सेवा सक्षम करें पैरामीटर को 1 पर सेट करना होगा और नए एक्सपोज़्ड AXI आरंभकर्ता इंटरफ़ेस को अपने डिज़ाइन में मेमोरी से कनेक्ट करना होगा।
चित्र 21. मेलबॉक्स क्लाइंट इंटेल FPGA IP में SDM क्रिप्टोग्राफ़िक सेवाएँ सक्षम करना

5.7. बिटस्ट्रीम सुरक्षा सेटिंग्स (FM/S10)
एफपीजीए बिटस्ट्रीम सुरक्षा विकल्प नीतियों का एक संग्रह है जो निर्दिष्ट सुविधा या संचालन मोड को एक निर्धारित अवधि के भीतर प्रतिबंधित करता है।
बिटस्ट्रीम सुरक्षा विकल्पों में वे फ़्लैग शामिल होते हैं जिन्हें आप Intel Quartus Prime Pro Edition सॉफ़्टवेयर में सेट करते हैं। ये फ़्लैग स्वचालित रूप से कॉन्फ़िगरेशन बिटस्ट्रीम में कॉपी हो जाते हैं।
आप संगत सुरक्षा सेटिंग eFuse के उपयोग के माध्यम से किसी डिवाइस पर सुरक्षा विकल्पों को स्थायी रूप से लागू कर सकते हैं।
कॉन्फ़िगरेशन बिटस्ट्रीम या डिवाइस ईफ़्यूज़ में किसी भी सुरक्षा सेटिंग का उपयोग करने के लिए, आपको प्रमाणीकरण सुविधा सक्षम करनी होगी।

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 57

5. उन्नत सुविधाएँ 683823 | 2023.05.23
5.7.1. सुरक्षा विकल्पों का चयन और सक्षम करना
सुरक्षा विकल्पों को चुनने और सक्षम करने के लिए, निम्न कार्य करें: असाइनमेंट मेनू से, डिवाइस डिवाइस और पिन विकल्प सुरक्षा अधिक विकल्प चुनें... चित्र 22. सुरक्षा विकल्पों को चुनना और सक्षम करना

और फिर उन सुरक्षा विकल्पों के लिए ड्रॉप-डाउन सूची से मानों का चयन करें जिन्हें आप सक्षम करना चाहते हैं जैसा कि निम्नलिखित उदाहरण में दिखाया गया हैampपर:
चित्र 23. सुरक्षा विकल्पों के लिए मानों का चयन करना

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 58

प्रतिक्रिया भेजें

5. उन्नत सुविधाएँ 683823 | 2023.05.23
क्वार्टस प्राइम सेटिंग्स में निम्नलिखित परिवर्तन किए गए हैं .qsf file:
set_global_assignment -नाम SECU_OPTION_DISABLE_JTAG “ऑन चेक” set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE “ऑन स्टिकी” set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECU_OPTION_DISABLE_VIRTUAL_EFUSES ON set_global_assignment -name SECU_OPTION_LOCK_SECURITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES चालू set_global_assignment -नाम SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES चालू set_global_assignment -नाम SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM चालू set_global_assignment -नाम SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY चालू

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 59

683823 | 2023.05.23 प्रतिक्रिया भेजें

समस्या निवारण

यह अध्याय उन सामान्य त्रुटियों और चेतावनी संदेशों का वर्णन करता है, जिनका सामना आपको डिवाइस सुरक्षा सुविधाओं का उपयोग करते समय हो सकता है और उन्हें हल करने के उपायों का वर्णन करता है।
6.1. विंडोज एनवायरनमेंट में क्वार्टस कमांड का उपयोग करने में त्रुटि
त्रुटि quartus_pgm: कमांड नहीं मिला विवरण यह त्रुटि तब प्रदर्शित होती है जब WSL का उपयोग करके Windows परिवेश में NIOS II शेल में Quartus कमांड का उपयोग करने का प्रयास किया जाता है। समाधान यह कमांड Linux परिवेश में काम करता है; Windows होस्ट के लिए, निम्न कमांड का उपयोग करें: quartus_pgm.exe -h इसी तरह, अन्य क्वार्टस प्राइम कमांड जैसे कि quartus_pfg, quartus_sign, quartus_encrypt आदि पर समान सिंटैक्स लागू करें।

आईएसओ 9001:2015 पंजीकृत

6. समस्या निवारण 683823 | 2023.05.23

6.2. निजी कुंजी चेतावनी उत्पन्न करना

चेतावनी:

निर्दिष्ट पासवर्ड असुरक्षित माना जाता है। इंटेल अनुशंसा करता है कि पासवर्ड के कम से कम 13 अक्षर इस्तेमाल किए जाएं। आपको OpenSSL निष्पादन योग्य का उपयोग करके पासवर्ड बदलने की सलाह दी जाती है।

ओपनएसएसएल ईसी-इन -बाहर -aes256

विवरण
यह चेतावनी पासवर्ड की मजबूती से संबंधित है और निम्नलिखित आदेश जारी करके निजी कुंजी उत्पन्न करने का प्रयास करते समय प्रदर्शित होती है:

क्वार्टस_साइन –फ़ैमिली=एजिलेक्स –ऑपरेशन=मेक_प्राइवेट_पेम –कर्व=सेकप3841 रूट.पेम

समाधान: एक लंबा और मजबूत पासवर्ड निर्दिष्ट करने के लिए openssl निष्पादनयोग्य का उपयोग करें।

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 61

6. समस्या निवारण 683823 | 2023.05.23
6.3. क्वार्टस प्रोजेक्ट त्रुटि में हस्ताक्षर कुंजी जोड़ना
गलती …File इसमें रूट कुंजी की जानकारी शामिल है…
विवरण
हस्ताक्षर कुंजी .qky जोड़ने के बाद file क्वार्टस प्रोजेक्ट के लिए, आपको .sof को पुनः इकट्ठा करना होगा file. जब आप इस पुनर्जीवित .sof को जोड़ते हैं file क्वार्टस प्रोग्रामर का उपयोग करके चयनित डिवाइस पर, निम्न त्रुटि संदेश इंगित करता है कि file इसमें मूल कुंजी जानकारी शामिल है:
जोड़ने में विफलfile-path-name> प्रोग्रामर के लिए. file इसमें रूट कुंजी जानकारी (.qky) शामिल है। हालाँकि, प्रोग्रामर बिटस्ट्रीम साइनिंग सुविधा का समर्थन नहीं करता है। आप प्रोग्रामिंग का उपयोग कर सकते हैं File जनरेटर को परिवर्तित करने के लिए file हस्ताक्षरित रॉ बाइनरी के लिए file (.rbf) कॉन्फ़िगरेशन के लिए.
संकल्प
क्वार्टस प्रोग्रामिंग का उपयोग करें file जनरेटर को परिवर्तित करने के लिए file एक हस्ताक्षरित रॉ बाइनरी में File कॉन्फ़िगरेशन के लिए .rbf.
संबंधित जानकारी क्वार्टस_साइन कमांड का उपयोग करके कॉन्फ़िगरेशन बिटस्ट्रीम पर हस्ताक्षर करना पृष्ठ 13 पर

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 62

प्रतिक्रिया भेजें

6. समस्या निवारण 683823 | 2023.05.23
6.4. क्वार्टस प्राइम प्रोग्रामिंग उत्पन्न करना File असफल रहा
गलती
त्रुटि (20353): QKY से सार्वजनिक कुंजी का X, PEM से निजी कुंजी से मेल नहीं खाता file.
त्रुटि (20352): पाइथन स्क्रिप्ट agilex_sign.py के माध्यम से बिटस्ट्रीम पर हस्ताक्षर करने में विफल।
त्रुटि: क्वार्टस प्राइम प्रोग्रामिंग File जेनरेटर असफल रहा.
विवरण यदि आप किसी गलत निजी कुंजी .pem का उपयोग करके कॉन्फ़िगरेशन बिटस्ट्रीम पर हस्ताक्षर करने का प्रयास करते हैं file या .pem file जो प्रोजेक्ट में जोड़े गए .qky से मेल नहीं खाता है, तो ऊपर दी गई सामान्य त्रुटियाँ प्रदर्शित होती हैं। समाधान सुनिश्चित करें कि आप बिटस्ट्रीम पर हस्ताक्षर करने के लिए सही निजी कुंजी .pem का उपयोग करते हैं।

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 63

6. समस्या निवारण 683823 | 2023.05.23
6.5. अज्ञात तर्क त्रुटियाँ
गलती
त्रुटि (23028): अज्ञात तर्क “ûc”। कानूनी तर्कों के लिए –help देखें।
त्रुटि (213008): प्रोग्रामिंग विकल्प स्ट्रिंग “ûp” अवैध है। वैध प्रोग्रामिंग विकल्प प्रारूपों के लिए –help देखें।
विवरण यदि आप .pdf से कमांड-लाइन विकल्प कॉपी और पेस्ट करते हैं file Windows NIOS II शेल में, आपको ऊपर दिखाए गए अनुसार अज्ञात तर्क त्रुटियाँ मिल सकती हैं। समाधान ऐसे मामलों में, आप क्लिपबोर्ड से पेस्ट करने के बजाय मैन्युअल रूप से कमांड दर्ज कर सकते हैं।

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 64

प्रतिक्रिया भेजें

6. समस्या निवारण 683823 | 2023.05.23
6.6. बिटस्ट्रीम एन्क्रिप्शन विकल्प अक्षम त्रुटि
गलती
के लिए एन्क्रिप्शन को अंतिम रूप नहीं दिया जा सकता file .sof डिज़ाइन करें क्योंकि इसे बिटस्ट्रीम एन्क्रिप्शन विकल्प को अक्षम करके संकलित किया गया था।
विवरण यदि आप बिटस्ट्रीम एन्क्रिप्शन विकल्प को अक्षम करके प्रोजेक्ट को संकलित करने के बाद GUI या कमांड-लाइन के माध्यम से बिटस्ट्रीम को एन्क्रिप्ट करने का प्रयास करते हैं, तो क्वार्टस ऊपर दिखाए अनुसार कमांड को अस्वीकार कर देता है।
समाधान सुनिश्चित करें कि आप प्रोजेक्ट को बिटस्ट्रीम एन्क्रिप्शन विकल्प के साथ GUI या कमांड-लाइन के माध्यम से सक्षम करके संकलित करते हैं। GUI में इस विकल्प को सक्षम करने के लिए, आपको इस विकल्प के लिए चेकबॉक्स को चेक करना होगा।

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 65

6. समस्या निवारण 683823 | 2023.05.23
6.7. कुंजी के लिए सही पथ निर्दिष्ट करना
गलती
त्रुटि (19516): प्रोग्रामिंग का पता चला File जेनरेटर सेटिंग त्रुटि: 'key_ नहीं मिल सकाfile'.सुनिश्चित करें कि file अपेक्षित स्थान पर स्थित है या सेटिंग अपडेट करें.sec
त्रुटि (19516): प्रोग्रामिंग का पता चला File जेनरेटर सेटिंग त्रुटि: 'key_ नहीं मिल सकाfile'.सुनिश्चित करें कि file अपेक्षित स्थान पर स्थित है या सेटिंग को अपडेट करें.
विवरण
यदि आप उन कुंजियों का उपयोग कर रहे हैं जो संग्रहीत हैं file सिस्टम, आपको यह सुनिश्चित करने की आवश्यकता है कि वे बिटस्ट्रीम एन्क्रिप्शन और हस्ताक्षर के लिए उपयोग की जाने वाली कुंजियों के लिए सही पथ निर्दिष्ट करते हैं। यदि प्रोग्रामिंग File जेनरेटर सही पथ का पता नहीं लगा सकता, उपरोक्त त्रुटि संदेश प्रदर्शित होता है।
संकल्प
क्वार्टस प्राइम सेटिंग्स देखें .qsf file कुंजियों के लिए सही पथ का पता लगाने के लिए। सुनिश्चित करें कि आप निरपेक्ष पथों के बजाय सापेक्ष पथों का उपयोग करते हैं।

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 66

प्रतिक्रिया भेजें

6. समस्या निवारण 683823 | 2023.05.23
6.8. असमर्थित आउटपुट का उपयोग करना File प्रकार
गलती
क्वार्टस_pfg -c design.sof आउटपुट_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o हस्ताक्षर=ON -o pem_file=sign_private.pem
त्रुटि (19511): असमर्थित आउटपुट file प्रकार (ebf)। समर्थित प्रदर्शित करने के लिए “-l” या “–list” विकल्प का उपयोग करें file प्रकार की जानकारी.
क्वार्टस प्रोग्रामिंग का उपयोग करते समय विवरण File एन्क्रिप्टेड और हस्ताक्षरित कॉन्फ़िगरेशन बिटस्ट्रीम उत्पन्न करने के लिए जेनरेटर, यदि असमर्थित आउटपुट है तो आपको उपरोक्त त्रुटि दिखाई दे सकती है file प्रकार निर्दिष्ट है। समाधान समर्थित की सूची देखने के लिए -l या –list विकल्प का उपयोग करें file प्रकार.

प्रतिक्रिया भेजें

इंटेल Agilex® 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड 67

683823 | 2023.05.23 प्रतिक्रिया भेजें
7. इंटेल एजिलेक्स 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड अभिलेखागार
इस उपयोगकर्ता गाइड के नवीनतम और पिछले संस्करणों के लिए, Intel Agilex 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड देखें। यदि कोई IP या सॉफ़्टवेयर संस्करण सूचीबद्ध नहीं है, तो पिछले IP या सॉफ़्टवेयर संस्करण के लिए उपयोगकर्ता गाइड लागू होता है।

आईएसओ 9001:2015 पंजीकृत

683823 | 2023.05.23 प्रतिक्रिया भेजें

8. इंटेल एजिलेक्स 7 डिवाइस सुरक्षा उपयोगकर्ता गाइड के लिए संशोधन इतिहास

दस्तावेज़ संस्करण 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

दस्तावेज़ / संसाधन

इंटेल एजिलेक्स 7 डिवाइस सुरक्षा [पीडीएफ] उपयोगकर्ता पुस्तिका
Agilex 7 डिवाइस सुरक्षा, Agilex 7, डिवाइस सुरक्षा, सुरक्षा

संदर्भ

उपयोगकर्ता पुस्तिका

इंटेल एजिलेक्स 7 डिवाइस सुरक्षा

उत्पाद की जानकारी

उत्पाद उपयोग निर्देश

अक्सर पूछे जाने वाले प्रश्नों

डिवाइस सुरक्षा समाप्तview

सत्यापन और प्राधिकरण

एईएस बिटस्ट्रीम एन्क्रिप्शन

डिवाइस प्रावधान

उन्नत विशेषताएँ

समस्या निवारण

दस्तावेज़ / संसाधन

संदर्भ

एक टिप्पणी छोड़ें

उत्तर रद्द