Korisnički priručnik za sigurnost uređaja Intel Agilex 7

Intel je predan sigurnosti proizvoda i preporučuje korisnicima da se upoznaju s osiguranim resursima za sigurnost proizvoda. Ove resurse treba koristiti tijekom cijelog životnog vijeka Intel proizvoda.

2. Planirane sigurnosne značajke

Sljedeće sigurnosne značajke planirane su za buduće izdanje softvera Intel Quartus Prime Pro Edition:

Sigurnosna provjera bitstreama djelomične rekonfiguracije: pruža dodatnu sigurnost da tokovi bitova djelomične rekonfiguracije (PR) ne mogu pristupiti ili ometati druge tokove bitova PR osobe.

Samoubijanje uređaja za fizički anti-Tamper: Izvodi brisanje uređaja ili reakciju nuliranja uređaja i programira eFuse kako bi spriječio ponovno konfiguriranje uređaja.

3. Dostupna sigurnosna dokumentacija

Sljedeća tablica navodi dostupnu dokumentaciju za sigurnosne značajke uređaja na Intel FPGA i Structured ASIC uređajima:

Naziv dokumenta	Svrha
Sigurnosna metodologija za korisnika Intelovih FPGA i strukturiranih ASIC-ova Vodič	Dokument najviše razine koji daje detaljne opise sigurnosne značajke i tehnologije u Intelovim programabilnim rješenjima Proizvodi. Pomaže korisnicima u odabiru potrebnih sigurnosnih značajki ispunjavaju svoje sigurnosne ciljeve.
Korisnički priručnik za sigurnost uređaja Intel Stratix 10	Upute za implementaciju za korisnike Intel Stratix 10 uređaja sigurnosne značajke identificirane pomoću sigurnosne metodologije Upute za korištenje.
Korisnički priručnik za sigurnost uređaja Intel Agilex 7	Upute za implementaciju korisnika Intel Agilex 7 uređaja sigurnosne značajke identificirane pomoću sigurnosne metodologije Upute za korištenje.
Korisnički priručnik za zaštitu uređaja Intel eASIC N5X	Upute za implementaciju za korisnike Intel eASIC N5X uređaja sigurnosne značajke identificirane pomoću sigurnosne metodologije Upute za korištenje.
Intel Agilex 7 i Intel eASIC N5X HPS kriptografske usluge Upute za korištenje	Informacije za HPS softverske inženjere o implementaciji i korištenje HPS softverskih biblioteka za pristup kriptografskim uslugama pruža SDM.
AN-968 Black Key Provisioning Service Kratki vodič za početak	Kompletan skup koraka za postavljanje Black Key Provisioning servis.

Često postavljana pitanja

P: Koja je svrha korisničkog priručnika za sigurnosnu metodologiju?

O: Korisnički priručnik za sigurnosnu metodologiju pruža detaljne opise sigurnosnih značajki i tehnologija u proizvodima Intel programabilnih rješenja. Pomaže korisnicima odabrati potrebne sigurnosne značajke kako bi ispunili svoje sigurnosne ciljeve.

P: Gdje mogu pronaći korisnički priručnik za Intel Agilex 7 Device Security?

O: Korisnički priručnik za Intel Agilex 7 Device Security možete pronaći u Intel Resource and Design Center webmjesto.

P: Što je usluga Black Key Provisioning?

O: Usluga Black Key Provisioning je usluga koja pruža kompletan skup koraka za postavljanje ključa za sigurne operacije.

View Fullscreen

Korisnički priručnik za sigurnost uređaja Intel Agilex® 7
Ažurirano za Intel® Quartus® Prime Design Suite: 23.1

Mrežna verzija Pošaljite povratne informacije

UG-20335

683823 2023.05.23

Korisnički priručnik za Intel Agilex® 7 Device Security 2

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 3

683823 | 2023.05.23. Pošaljite povratne informacije
1. Intel Agilex® 7

Sigurnost uređaja završenaview

Intel® dizajnira Intel Agilex® 7 uređaje s namjenskim, visoko konfigurabilnim sigurnosnim hardverom i firmverom.
Ovaj dokument sadrži upute koje će vam pomoći u korištenju softvera Intel Quartus® Prime Pro Edition za implementaciju sigurnosnih značajki na vašim Intel Agilex 7 uređajima.
Dodatno, Sigurnosna metodologija za Intel FPGA i Structured ASIC korisnički priručnik je dostupna na Intel Resource & Design Center. Ovaj dokument sadrži detaljne opise sigurnosnih značajki i tehnologija koje su dostupne putem proizvoda Intel Programmable Solutions kako bi vam pomogli u odabiru sigurnosnih značajki potrebnih za postizanje vaših sigurnosnih ciljeva. Obratite se Intelovoj podršci s referentnim brojem 14014613136 kako biste pristupili Sigurnosnoj metodologiji za Intelov korisnički priručnik za FPGA i strukturirane ASIC-ove.
Dokument je organiziran na sljedeći način: · Autentifikacija i autorizacija: pruža upute za izradu
ključeve za provjeru autentičnosti i lance potpisa, primijenite dozvole i opoziva, potpišite objekte i značajke provjere autentičnosti programa na Intel Agilex 7 uređajima. · AES Bitstream enkripcija: pruža upute za stvaranje AES korijenskog ključa, šifriranje konfiguracijskih bitstreamova i dodjelu AES korijenskog ključa za Intel Agilex 7 uređaje. · Omogućavanje uređaja: pruža upute za korištenje firmvera za pružanje Intel Quartus Prime Programmera i Secure Device Manager (SDM) za programiranje sigurnosnih značajki na Intel Agilex 7 uređajima. · Napredne značajke: Pruža upute za omogućavanje naprednih sigurnosnih značajki, uključujući sigurnu autorizaciju otklanjanja pogrešaka, uklanjanje pogrešaka Hard Processor System (HPS) i udaljeno ažuriranje sustava.
1.1. Predanost sigurnosti proizvoda
Intelova dugotrajna predanost sigurnosti nikada nije bila jača. Intel toplo preporučuje da se upoznate s našim sigurnosnim resursima proizvoda i planirate ih koristiti tijekom cijelog životnog vijeka vašeg Intel proizvoda.
Povezane informacije · Sigurnost proizvoda u Intelu · Savjeti Intelovog centra za sigurnost proizvoda

Intel Corporation. Sva prava pridržana. Intel, Intelov logotip i druge Intelove oznake zaštitni su znakovi Intel Corporation ili njegovih podružnica. Intel jamči performanse svojih FPGA i poluvodičkih proizvoda prema trenutnim specifikacijama u skladu s Intelovim standardnim jamstvom, ali zadržava pravo izmjene bilo kojeg proizvoda i usluge u bilo koje vrijeme bez prethodne najave. Intel ne preuzima nikakvu odgovornost niti obvezu proizašlu iz primjene ili upotrebe bilo koje informacije, proizvoda ili usluge opisane ovdje, osim ako je Intel izričito pismeno pristao. Intelovim kupcima savjetuje se da nabave najnoviju verziju specifikacija uređaja prije nego što se pouzdaju u bilo kakve objavljene informacije i prije naručivanja proizvoda ili usluga. *Druga imena i robne marke mogu se smatrati vlasništvom drugih.

ISO 9001:2015 Registriran

1. Intel Agilex® 7 Device Security Overview 683823 | 2023.05.23

1.2. Planirane sigurnosne značajke

Značajke spomenute u ovom odjeljku planirane su za buduće izdanje softvera Intel Quartus Prime Pro Edition.

Bilješka:

Podaci u ovom odjeljku su preliminarni.

1.2.1. Sigurnosna provjera bitstreama djelomične rekonfiguracije
Provjera sigurnosti bitstreama djelomične rekonfiguracije (PR) pomaže u pružanju dodatne sigurnosti da PR persona bitstreamovi ne mogu pristupiti ili ometati druge PR persone bitstreamove.

1.2.2. Samoubijanje uređaja za fizički anti-Tamper
Device self-kill izvodi brisanje uređaja ili reakciju nuliranja uređaja i dodatno programira eFuse kako bi se spriječilo ponovno konfiguriranje uređaja.

1.3. Dostupna sigurnosna dokumentacija

Sljedeća tablica nabraja dostupnu dokumentaciju za sigurnosne značajke uređaja na Intel FPGA i Structured ASIC uređajima:

Tablica 1.

Dostupna dokumentacija o sigurnosti uređaja

Naziv dokumenta
Sigurnosna metodologija za Intel FPGA i Structured ASIC korisnički priručnik

Svrha
Dokument najviše razine koji sadrži detaljne opise sigurnosnih značajki i tehnologija u proizvodima Intel programabilnih rješenja. Namijenjen da vam pomogne u odabiru sigurnosnih značajki potrebnih za postizanje vaših sigurnosnih ciljeva.

ID dokumenta 721596

Korisnički priručnik za sigurnost uređaja Intel Stratix 10
Korisnički priručnik za sigurnost uređaja Intel Agilex 7

Za korisnike Intel Stratix 10 uređaja, ovaj vodič sadrži upute za korištenje softvera Intel Quartus Prime Pro Edition za implementaciju sigurnosnih značajki identificiranih pomoću Korisničkog vodiča za sigurnosnu metodologiju.
Za korisnike Intel Agilex 7 uređaja, ovaj vodič sadrži upute za korištenje softvera Intel Quartus Prime Pro Edition za implementaciju sigurnosnih značajki identificiranih pomoću Korisničkog vodiča za sigurnosnu metodologiju.

683642 683823

Korisnički priručnik za zaštitu uređaja Intel eASIC N5X

Za korisnike Intel eASIC N5X uređaja, ovaj vodič sadrži upute za korištenje softvera Intel Quartus Prime Pro Edition za implementaciju sigurnosnih značajki identificiranih pomoću Korisničkog vodiča za sigurnosnu metodologiju.

626836

Korisnički priručnik za Intel Agilex 7 i Intel eASIC N5X HPS kriptografske usluge

Ovaj vodič sadrži informacije koje će pomoći HPS softverskim inženjerima u implementaciji i korištenju HPS softverskih biblioteka za pristup kriptografskim uslugama koje pruža SDM.

713026

AN-968 Black Key Provisioning Service Kratki vodič za početak

Ovaj vodič sadrži kompletan skup koraka za postavljanje usluge Black Key Provisioning.

739071

Lokacija Intel Resource i
Centar za dizajn
Intel.com
Intel.com
Intelov centar za resurse i dizajn
Intelov centar za resurse i dizajn
Intelov centar za resurse i dizajn

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 5

683823 | 2023.05.23. Pošaljite povratne informacije

Autentifikacija i autorizacija

Da biste omogućili značajke provjere autentičnosti uređaja Intel Agilex 7, počinjete korištenjem softvera Intel Quartus Prime Pro Edition i povezanih alata za izgradnju lanca potpisa. Lanac potpisa sastoji se od korijenskog ključa, jednog ili više ključeva za potpisivanje i primjenjivih autorizacija. Primijenite lanac potpisa na svoj Intel Quartus Prime Pro Edition projekt i kompilirano programiranje files. Upotrijebite upute u Device Provisioning za programiranje vašeg korijenskog ključa u Intel Agilex 7 uređaje.
Povezane informacije
Pružanje uređaja na stranici 25

2.1. Stvaranje lanca potpisa
Možete koristiti alat quartus_sign ili referentnu implementaciju agilex_sign.py za izvođenje operacija lanca potpisa. Ovaj dokument pruža examples koristeći quartus_sign.
Da biste koristili referentnu implementaciju, zamijenite poziv Python tumaču koji je uključen u softver Intel Quartus Prime i izostavite opciju –family=agilex; sve ostale opcije su ekvivalentne. Na primjerample, naredba quartus_sign koja se nalazi kasnije u ovom odjeljku
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky može se pretvoriti u ekvivalentni poziv referentne implementacije kako slijedi
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Softver Intel Quartus Prime Pro Edition uključuje alate quartus_sign, pgm_py i agilex_sign.py. Možete koristiti Nios® II alat za naredbenu ljusku, koji automatski postavlja odgovarajuće varijable okoline za pristup alatima.

Slijedite ove upute da biste prikazali naredbenu ljusku Nios II. 1. Otvorite naredbenu ljusku Nios II.

Opcija Windows
Linux

Opis
Na izborniku Start pokažite na Programs Intel FPGA Nios II EDS i kliknite Nios II Naredbena ljuska.
U naredbenoj ljusci promijenite u /nios2eds i pokrenite sljedeću naredbu:
./nios2_command_shell.sh

Bivšiampdatoteke u ovom odjeljku pretpostavljaju lanac potpisa i konfiguracijski bitstream files nalaze se u trenutnom radnom direktoriju. Ako odlučite slijediti examples gdje ključ files se drže na file sustava, one prampda preuzmemo ključ files su

ISO 9001:2015 Registriran

2. Autentifikacija i autorizacija 683823 | 2023.05.23
nalazi se u trenutnom radnom direktoriju. Možete odabrati koje ćete direktorije koristiti, a alati za podršku su relativni file staze. Ako odlučite zadržati ključ files na file sustava, morate pažljivo upravljati dopuštenjima za pristup tim files.
Intel preporučuje korištenje komercijalno dostupnog hardverskog sigurnosnog modula (HSM) za pohranu kriptografskih ključeva i izvođenje kriptografskih operacija. Alat quartus_sign i referentna implementacija uključuju Standard kriptografije javnog ključa #11 (PKCS #11) Programsko sučelje aplikacije (API) za interakciju s HSM-om tijekom izvođenja operacija lanca potpisa. Referentna implementacija agilex_sign.py uključuje sažetak sučelja kao i example sučelje za SoftHSM.
Možete koristiti ove prample sučelja za implementaciju sučelja na vaš HSM. Za više informacija o implementaciji sučelja i upravljanju vašim HSM-om pogledajte dokumentaciju dobavljača HSM-a.
SoftHSM je softverska implementacija generičkog kriptografskog uređaja s PKCS #11 sučeljem koje je dostupno putem projekta OpenDNSSEC®. Više informacija, uključujući upute o tome kako preuzeti, izgraditi i instalirati OpenHSM, možete pronaći na projektu OpenDNSSEC. Bivšiampdatoteke u ovom odjeljku koriste SoftHSM verziju 2.6.1. Bivšiampdatoteke u ovom odjeljku dodatno koriste uslužni program pkcs11-tool iz OpenSC-a za izvođenje dodatnih PKCS #11 operacija s SoftHSM tokenom. Možda ćete pronaći više informacija, uključujući upute o tome kako preuzeti, izgraditi i instalirati pkcs11tool s OpenSC-a.
Povezane informacije
· Projekt OpenDNSSEC Potpisnik zona temeljen na pravilima za automatizaciju procesa praćenja DNSSEC ključeva.
· SoftHSM Informacije o implementaciji kriptografske pohrane dostupne preko PKCS #11 sučelja.
· OpenSC Omogućuje skup knjižnica i uslužnih programa koji mogu raditi sa pametnim karticama.
2.1.1. Stvaranje parova ključeva za autentifikaciju na lokalnoj razini File sustav
Koristite alat quartus_sign za stvaranje parova ključeva za provjeru autentičnosti na lokalu file sustav pomoću operacija alata make_private_pem i make_public_pem. Prvo generirate privatni ključ operacijom make_private_pem. Vi određujete eliptičnu krivulju koju ćete koristiti, privatni ključ fileime i izborno treba li privatni ključ zaštititi zaporkom. Intel preporučuje korištenje krivulje secp384r1 i praćenje najboljih praksi u industriji za stvaranje jake, nasumične šifre na svim privatnim ključevima files. Intel također preporučuje ograničavanje file dopuštenja sustava na privatnom ključu .pem filečita samo vlasnik. Javni ključ izvodite iz privatnog ključa pomoću operacije make_public_pem. Korisno je nazvati ključ .pem files opisno. Ovaj dokument koristi konvenciju _ .pem u sljedećem pramples.
1. U naredbenoj ljusci Nios II pokrenite sljedeću naredbu za stvaranje privatnog ključa. Privatni ključ, prikazan dolje, koristi se kao korijenski ključ u kasnijim exampdatoteke koje stvaraju lanac potpisa. Intel Agilex 7 uređaji podržavaju više korijenskih ključeva, tako da vi

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 7

2. Autentifikacija i autorizacija 683823 | 2023.05.23

ponovite ovaj korak za stvaranje potrebnog broja korijenskih ključeva. nprampSve datoteke u ovom dokumentu odnose se na prvi korijenski ključ, iako možete graditi lance potpisa na sličan način s bilo kojim korijenskim ključem.

Opcija s zaporkom

Opis
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Unesite zaporku kada se to od vas zatraži.

Bez zaporke

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Izvedite sljedeću naredbu za stvaranje javnog ključa koristeći privatni ključ generiran u prethodnom koraku. Ne morate štititi povjerljivost javnog ključa.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Ponovo pokrenite naredbe za kreiranje para ključeva koji se koristi kao ključ za potpisivanje dizajna u lancu potpisa.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Stvaranje parova ključeva za provjeru autentičnosti u SoftHSM-u
SoftHSM exampdatoteke u ovom poglavlju su dosljedne same sebi. Određeni parametri ovise o vašoj instalaciji SoftHSM-a i inicijalizaciji tokena unutar SoftHSM-a.
Alat quartus_sign ovisi o PKCS #11 API biblioteci iz vašeg HSM-a.
Bivšiampdatoteke u ovom odjeljku pretpostavljaju da je biblioteka SoftHSM instalirana na jednu od sljedećih lokacija: · /usr/local/lib/softhsm2.so na Linuxu · C:SoftHSM2libsofthsm2.dll na 32-bitnoj verziji sustava Windows · C:SoftHSM2libsofthsm2-x64 .dll na 64-bitnoj verziji sustava Windows.
Inicijalizirajte token unutar SoftHSM-a pomoću alata softhsm2-util:
softhsm2-util –init-token –oznaka agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Opcijski parametri, posebno oznaka tokena i pin tokena su exampkoje se koriste u ovom poglavlju. Intel preporučuje da slijedite upute dobavljača HSM-a za stvaranje i upravljanje tokenima i ključevima.
Parove ključeva za provjeru autentičnosti stvarate pomoću uslužnog programa pkcs11-tool za interakciju s tokenom u SoftHSM-u. Umjesto eksplicitnog pozivanja na privatni i javni ključ .pem files u file sustav prampdatoteke, upućujete na par ključeva prema njegovoj oznaci i alat automatski odabire odgovarajući ključ.

Korisnički priručnik za Intel Agilex® 7 Device Security 8

Pošaljite povratne informacije

2. Autentifikacija i autorizacija 683823 | 2023.05.23

Pokrenite sljedeće naredbe za stvaranje para ključeva koji se koristi kao korijenski ključ u kasnijim exampdatoteke kao i par ključeva koji se koristi kao ključ za potpisivanje dizajna u lancu potpisa:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mehanizam ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mehanizam ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

Bilješka:

ID opcija u ovom koraku mora biti jedinstvena za svaki ključ, ali koristi je samo HSM. Ova opcija ID-a nije povezana s ID-om otkazivanja ključa dodijeljenim u lancu potpisa.

2.1.3. Stvaranje korijenskog unosa lanca potpisa
Pretvorite korijenski javni ključ u korijenski unos lanca potpisa, pohranjen na lokalu file sustav u formatu ključa Intel Quartus Prime (.qky). file, s operacijom make_root. Ponovite ovaj korak za svaki korijenski ključ koji generirate.
Pokrenite sljedeću naredbu za stvaranje lanca potpisa s root unosom, koristeći root javni ključ iz file sustav:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
Pokrenite sljedeću naredbu za stvaranje lanca potpisa s korijenskim unosom, koristeći korijenski ključ iz SoftHSM tokena uspostavljenog u prethodnom odjeljku:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so ” root0 root0.qky

2.1.4. Stvaranje unosa javnog ključa u lancu potpisa
Stvorite novi unos javnog ključa za lanac potpisa s operacijom append_key. Navodite prethodni lanac potpisa, privatni ključ za posljednji unos u prethodnom lancu potpisa, javni ključ sljedeće razine, dopuštenja i ID otkazivanja koje dodjeljujete javnom ključu sljedeće razine i novi lanac potpisa file.
Imajte na umu da biblioteka softHSM nije dostupna s instalacijom Quartusa i umjesto toga treba je instalirati zasebno. Za više informacija o softHSM-u pogledajte gornji odjeljak Stvaranje lanca potpisa.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 9

2. Autentifikacija i autorizacija 683823 | 2023.05.23
Ovisno o vašoj uporabi tipki na file sustavu ili u HSM-u koristite jedan od sljedećih nprample naredbe za dodavanje javnog ključa design0_sign korijenskom lancu potpisa kreiranom u prethodnom odjeljku:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Možete ponoviti operaciju append_key još dva puta za najviše tri unosa javnih ključeva između korijenskog unosa i bloka zaglavlja u bilo kojem lancu potpisa.
Sljedeći prample pretpostavlja da ste kreirali drugi javni ključ za provjeru autentičnosti s istim dozvolama i dodijeljenim ID-om otkazivanja 1 pod nazivom design1_sign_public.pem, te dodajete ovaj ključ lancu potpisa iz prethodnog exampono:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Uređaji Intel Agilex 7 uključuju dodatni brojač otkazivanja ključa za olakšavanje upotrebe ključa koji se može povremeno mijenjati tijekom životnog vijeka određenog uređaja. Ovaj brojač otkazivanja ključa možete odabrati mijenjanjem argumenta opcije –cancel u pts:pts_value.
2.2. Potpisivanje konfiguracijskog bitstreama
Uređaji Intel Agilex 7 podržavaju brojače sigurnosnog broja verzije (SVN), koji vam omogućuju da opozovete autorizaciju objekta bez otkazivanja ključa. Dodjeljujete SVN brojač i odgovarajuću vrijednost SVN brojača tijekom potpisivanja bilo kojeg objekta, kao što je bitstream odjeljak, firmware .zip file, ili kompaktni certifikat. SVN brojač i SVN vrijednost dodjeljujete koristeći opciju –cancel i svn_counter:svn_value kao argument. Valjane vrijednosti za svn_counter su svnA, svnB, svnC i svnD. Svn_vrijednost je cijeli broj unutar raspona [0,63].

Korisnički priručnik za Intel Agilex® 7 Device Security 10

Pošaljite povratne informacije

2. Autentifikacija i autorizacija 683823 | 2023.05.23
2.2.1. Kvartov ključ File Zadatak
Navodite lanac potpisa u svom Intel Quartus Prime softverskom projektu kako biste omogućili značajku provjere autentičnosti za taj dizajn. U izborniku Assignments odaberite Device Device and Pin Options Security Quartus Key File, zatim potražite lanac potpisa .qky file stvorio si da potpišeš ovaj dizajn.
Slika 1. Omogućite postavke bitstreama konfiguracije

Alternativno, možete dodati sljedeću izjavu o dodjeli u svoje Intel Quartus Prime postavke file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
Za generiranje .sof file iz prethodno kompajliranog dizajna, koji uključuje ovu postavku, iz izbornika Processing odaberite Start Start Assembler. Novi izlaz .sof file uključuje dodjele za omogućavanje provjere autentičnosti s danim lancem potpisa.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 11

2. Autentifikacija i autorizacija 683823 | 2023.05.23
2.2.2. Zajedničko potpisivanje SDM firmvera
Alat quartus_sign koristite za izdvajanje, potpisivanje i instaliranje primjenjivog SDM firmvera .zip file. Supotpisani firmware zatim je uključen u programiranje file alat za generator kada pretvorite .sof file u konfiguracijski bitstream .rbf file. Koristite sljedeće naredbe za stvaranje novog lanca potpisa i potpisivanje SDM firmvera.
1. Stvorite novi par ključeva za potpisivanje.
a. Stvorite novi par ključeva za potpisivanje na file sustav:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Stvorite novi par ključeva za potpisivanje u HSM-u:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mehanizam ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. Napravite novi lanac potpisa koji sadrži novi javni ključ:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Kopirajte firmware .zip file iz direktorija za instalaciju softvera Intel Quartus Prime Pro Edition ( /devices/programmer/firmware/ agilex.zip) u trenutni radni direktorij.
quartus_sign –family=agilex –get_firmware=.
4. Potpišite firmware .zip file. Alat automatski raspakira .zip file i pojedinačno potpisuje sav firmware .cmf files, zatim ponovno gradi .zip file za korištenje pomoću alata u sljedećim odjeljcima:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Korisnički priručnik za Intel Agilex® 7 Device Security 12

Pošaljite povratne informacije

2. Autentifikacija i autorizacija 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Bitstream konfiguracije potpisivanja pomoću naredbe quartus_sign
Da biste potpisali konfiguracijski bitstream pomoću naredbe quartus_sign, prvo pretvorite .sof file u neobrađenu binarnu datoteku bez predznaka file (.rbf) formatu. Opcionalno možete navesti supotpisani firmver pomoću opcije fw_source tijekom koraka konverzije.
Možete generirati nepotpisani sirovi bitstream u .rbf formatu pomoću sljedeće naredbe:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Pokrenite jednu od sljedećih naredbi za potpisivanje bitstreama pomoću alata quartus_sign ovisno o lokaciji vaših ključeva:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Možete pretvoriti potpisani .rbf files u drugi bitstream konfiguracije file formati.
Na primjerample, ako koristite Jam* Standard Test and Programming Language (STAPL) Player za programiranje bitstreama preko JTAG, koristite sljedeću naredbu za pretvaranje .rbf file u .jam format koji Jam STAPL Player zahtijeva:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Podrška s više ovlaštenja za djelomičnu rekonfiguraciju

Intel Agilex 7 uređaji podržavaju autentifikaciju s više autoriteta djelomične rekonfiguracije, pri čemu vlasnik uređaja stvara i potpisuje statički tok bitova, a zasebni PR vlasnik stvara i potpisuje tokove bitova PR osobe. Uređaji Intel Agilex 7 implementiraju podršku za više ovlaštenja dodjeljivanjem prvih utora za korijenski ključ provjere autentičnosti vlasniku uređaja ili statičkog protoka bitova i dodjeljivanjem konačnog utora za korijenski ključ za provjeru autentičnosti vlasniku bitstreama osobe djelomične rekonfiguracije.
Ako je značajka provjere autentičnosti omogućena, sve slike PR osoba moraju biti potpisane, uključujući ugniježđene slike PR osoba. Slike PR osoba mogu potpisati ili vlasnik uređaja ili PR vlasnik; međutim, bitstreamove statične regije mora potpisati vlasnik uređaja.

Bilješka:

Djelomična rekonfiguracija statičke i personalne bitstream enkripcije kada je omogućena podrška za više ovlaštenja planirana je u budućem izdanju.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 13

2. Autentifikacija i autorizacija 683823 | 2023.05.23

Slika 2.

Implementacija podrške za više ovlaštenja djelomične rekonfiguracije zahtijeva nekoliko koraka:
1. Vlasnik uređaja ili statičkog bitstreama generira jedan ili više korijenskih ključeva za provjeru autentičnosti kao što je opisano u Stvaranje parova ključeva za provjeru autentičnosti u SoftHSM-u na stranici 8, gdje opcija –key_type ima vrijednost vlasnik.
2. Vlasnik bitstreama djelomične rekonfiguracije generira korijenski ključ provjere autentičnosti, ali mijenja vrijednost opcije –key_type u secondary_owner.
3. Vlasnici dizajna statičkog toka bitova i djelomične rekonfiguracije osiguravaju da je potvrdni okvir Omogući podršku za više ovlaštenja omogućen na kartici Dodjela Uređaj Uređaj i Opcije PIN-a Sigurnost.
Intel Quartus Prime Enable Multi-Authority Option Settings

4. I vlasnici statičkog bitstreama i djelomične rekonfiguracije kreiraju lance potpisa na temelju svojih odgovarajućih korijenskih ključeva kao što je opisano u Stvaranje lanca potpisa na stranici 6.
5. I statični bitstream i vlasnici dizajna djelomične rekonfiguracije pretvaraju svoje kompajlirane dizajne u .rbf format files i potpišite .rbf files.
6. Vlasnik uređaja ili statičkog protoka bitova generira i potpisuje kompaktni certifikat PR javnog ključa programa autorizacije.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Korisnički priručnik za Intel Agilex® 7 Device Security 14

Pošaljite povratne informacije

2. Autentifikacija i autorizacija 683823 | 2023.05.23

7. Vlasnik uređaja ili statičkog bitstreama daje svoj autentifikacijski hash korijenskog ključa uređaju, zatim programira kompaktni certifikat autorizacije PR javnog ključa programa i na kraju daje uređaju djelomični rekonfiguracijski korijenski ključ vlasnika bitstreama. Odjeljak Device Provisioning opisuje ovaj postupak opskrbe.
8. Intel Agilex 7 uređaj je konfiguriran sa statičkom regijom .rbf file.
9. Intel Agilex 7 uređaj je djelomično rekonfiguriran s persona dizajnom .rbf file.
Povezane informacije
· Stvaranje lanca potpisa na stranici 6
· Stvaranje parova ključeva za provjeru autentičnosti u SoftHSM-u na stranici 8
· Omogućavanje uređaja na stranici 25

2.2.5. Provjera lanaca potpisa konfiguracije bitstreama
Nakon što stvorite lance potpisa i potpisane tokove bitova, možete provjeriti konfigurira li potpisani tok bitova ispravno uređaj programiran s danim korijenskim ključem. Prvo upotrijebite operaciju fuse_info naredbe quartus_sign za ispis hash-a korijenskog javnog ključa u tekst file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Zatim koristite opciju check_integrity naredbe quartus_pfg za pregled lanca potpisa na svakom odjeljku potpisanog bitstreama u .rbf formatu. Opcija check_integrity ispisuje sljedeće informacije:
· Status cjelokupne provjere integriteta bitstreama
· Sadržaj svakog unosa u svakom lancu potpisa priloženom svakom odjeljku u bitstreamu .rbf file,
· Očekivana vrijednost osigurača za hash korijenskog javnog ključa za svaki lanac potpisa.
Vrijednost iz izlaza fuse_info trebala bi odgovarati linijama osigurača u izlazu check_integrity.
quartus_pfg –provjeri_integritet signed_bitstream.rbf

Evo jednog bivšegampdatoteka izlaza naredbe check_integrity:

Info: Naredba: quartus_pfg –check_integrity signed_bitstream.rbf Status integriteta: OK

Odjeljak

Vrsta: CMF

Deskriptor potpisa…

Lanac potpisa #0 (unosi: -1, pomak: 96)

Unos # 0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Generiraj ključ…

Krivulja: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Generiraj ključ…

Krivulja: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 15

2. Autentifikacija i autorizacija 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Unos # 1

Generiraj ključ…

Krivulja: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Unos #2 Dozvola za privjesak ključeva: SIGN_CODE Privjesak za ključeve može se poništiti pomoću ID-a: 3 Lanac potpisa #1 (unosi: -1, pomak: 648)

Unos # 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generiraj ključ…

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generiraj ključ…

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Unos # 1

Generiraj ključ…

Krivulja: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Unos # 2

Generiraj ključ…

Krivulja: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Unos #3 Dozvola za privjesak ključeva: SIGN_CODE Privjesak za ključeve može se poništiti pomoću ID-a: 15 Lanac potpisa #2 (unosi: -1, pomak: 0) Lanac potpisa #3 (unosi: -1, pomak: 0) Lanac potpisa #4 (unosi: -1, pomak: 0) Lanac potpisa #5 (unosi: -1, pomak: 0) Lanac potpisa #6 (unosi: -1, pomak: 0) Lanac potpisa #7 (unosi: -1, pomak: 0)

Vrsta odjeljka: IO deskriptor potpisa … Lanac potpisa #0 (unosi: -1, pomak: 96)

Unos # 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generiraj ključ…

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Korisnički priručnik za Intel Agilex® 7 Device Security 16

Pošaljite povratne informacije

2. Autentifikacija i autorizacija 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generiraj ključ…

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Unos # 1

Generiraj ključ…

Krivulja: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Unos # 2

Generiraj ključ…

Krivulja: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Unos #3 Dozvola za privjesak ključeva: SIGN_CORE Privjesak za ključeve može se poništiti pomoću ID-a: 15 Lanac potpisa #1 (unosi: -1, pomak: 0) Lanac potpisa #2 (unosi: -1, pomak: 0) Lanac potpisa #3 (unosi: -1, pomak: 0) Lanac potpisa #4 (unosi: -1, pomak: 0) Lanac potpisa #5 (unosi: -1, pomak: 0) Lanac potpisa #6 (unosi: -1, pomak: 0) Potpis lanac #7 (unosi: -1, pomak: 0)

Odjeljak

Tip: HPS

Deskriptor potpisa…

Lanac potpisa #0 (unosi: -1, pomak: 96)

Unos # 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generiraj ključ…

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generiraj ključ…

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Unos # 1

Generiraj ključ…

Krivulja: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Unos # 2

Generiraj ključ…

Krivulja: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 17

2. Autentifikacija i autorizacija 683823 | 2023.05.23

Unos #3 Dozvola za privjesak ključeva: SIGN_HPS Privjesak za ključeve može se poništiti pomoću ID-a: 15 Lanac potpisa #1 (unosi: -1, pomak: 0) Lanac potpisa #2 (unosi: -1, pomak: 0) Lanac potpisa #3 (unosi: -1, pomak: 0) Lanac potpisa #4 (unosi: -1, pomak: 0) Lanac potpisa #5 (unosi: -1, pomak: 0) Lanac potpisa #6 (unosi: -1, pomak: 0) Potpis lanac #7 (unosi: -1, pomak: 0)

Vrsta odjeljka: CORE Deskriptor potpisa … Lanac potpisa #0 (unosi: -1, pomak: 96)

Unos # 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generiraj ključ…

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generiraj ključ…

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Unos # 1

Generiraj ključ…

Krivulja: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Unos # 2

Generiraj ključ…

Krivulja: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Korisnički priručnik za Intel Agilex® 7 Device Security 18

Pošaljite povratne informacije

683823 | 2023.05.23. Pošaljite povratne informacije

AES bitstream enkripcija

Advanced Encryption Standard (AES) bitstream enkripcija značajka je koja vlasniku uređaja omogućuje zaštitu povjerljivosti intelektualnog vlasništva u konfiguracijskom bitstreamu.
Kako bi se zaštitila povjerljivost ključeva, bitstream enkripcija konfiguracije koristi lanac AES ključeva. Ovi se ključevi koriste za šifriranje podataka vlasnika u konfiguracijskom bitstreamu, gdje je prvi posredni ključ šifriran AES korijenskim ključem.

3.1. Stvaranje AES korijenskog ključa

Možete upotrijebiti alat quartus_encrypt ili referentnu implementaciju stratix10_encrypt.py za stvaranje korijenskog ključa AES u formatu softverskog ključa za šifriranje Intel Quartus Prime (.qek) file.

Bilješka:

Stratix10_encrypt.py file koristi se za Intel Stratix® 10 i Intel Agilex 7 uređaje.

Po želji možete navesti osnovni ključ koji se koristi za izvođenje AES korijenskog ključa i ključa za derivaciju ključa, vrijednost za AES korijenski ključ izravno, broj međuključeva i maksimalnu upotrebu po međuključu.

Morate navesti obitelj uređaja, izlaz .qek file lokaciju i zaporku kada se to od vas zatraži.
Izvedite sljedeću naredbu za generiranje korijenskog ključa AES koristeći nasumične podatke za osnovni ključ i zadane vrijednosti za broj međuključeva i maksimalnu upotrebu ključa.
Da biste koristili referentnu implementaciju, zamijenite poziv Python tumaču koji je uključen u softver Intel Quartus Prime i izostavite opciju –family=agilex; sve ostale opcije su ekvivalentne. Na primjerample, naredba quartus_encrypt koja se nalazi kasnije u odjeljku

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

može se pretvoriti u ekvivalentni poziv referentnoj implementaciji kako slijedi pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Postavke Quartus enkripcije
Da biste omogućili bitstream enkripciju za dizajn, morate navesti odgovarajuće opcije koristeći ploču Assignments Device Device and Pin Options Security. Odabirete potvrdni okvir Omogući bitstream enkripciju konfiguracije i željenu lokaciju za pohranu ključa šifriranja s padajućeg izbornika.

ISO 9001:2015 Registriran

Slika 3. Postavke šifriranja Intel Quartus Prime

3. AES šifriranje bitstreama 683823 | 2023.05.23

Alternativno, možete dodati sljedeću izjavu o dodjeli svojim Intel Quartus Prime postavkama file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM na set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Ako želite omogućiti dodatna ublažavanja protiv vektora napada bočnih kanala, možete omogućiti padajući izbornik Omjer ažuriranja šifriranja i potvrdni okvir Omogući kodiranje.

Korisnički priručnik za Intel Agilex® 7 Device Security 20

Pošaljite povratne informacije

3. AES šifriranje bitstreama 683823 | 2023.05.23

Odgovarajuće promjene u .qsf su:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING na set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Šifriranje konfiguracijskog bitstreama
Bitstream konfiguracije šifrirate prije potpisivanja bitstreama. Intel Quartus Prime programiranje File Alat Generator može automatski šifrirati i potpisati konfiguracijski bitstream pomoću grafičkog korisničkog sučelja ili naredbenog retka.
Po želji možete stvoriti djelomično šifrirani bitstream za korištenje s alatima quartus_encrypt i quartus_sign ili ekvivalentima referentne implementacije.

3.3.1. Konfiguracija Enkripcija bitstreama korištenjem programiranja File Grafičko sučelje generatora
Možete koristiti programiranje File Generator za šifriranje i potpisivanje slike vlasnika.

Slika 4.

1. Na Intel Quartus Prime File u izborniku odaberite Programiranje File Generator. 2. Na izlazu Files, navedite izlaz file tip za svoju konfiguraciju
shema.
Izlaz File Specifikacija

Izlaz konfiguracijske sheme file tab
Izlaz file tip

3. Na ulazu Files, kliknite Add Bitstream i potražite svoj .sof. 4. Za navođenje opcija šifriranja i provjere autentičnosti odaberite .sof i kliknite
Svojstva. a. Uključite Omogući alat za potpisivanje. b. Za privatni ključ file odaberite svoj ključ za potpisivanje privatni .pem file. c. Uključite Finalize encryption.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 21

3. AES šifriranje bitstreama 683823 | 2023.05.23

Slika 5.

d. Za ključ šifriranja file, odaberite svoj AES .qek file. Unos (.sof) File Svojstva za provjeru autentičnosti i šifriranje

Omogući autentifikaciju Navedite privatni korijen .pem
Omogući enkripciju Navedite ključ šifriranja
5. Za generiranje potpisanog i šifriranog bitstreama, na ulazu Files, kliknite Generiraj. Pojavljuju se dijaloški okviri za zaporke u koje možete unijeti zaporku za svoj AES ključ .qek file i potpisivanje privatnog ključa .pem file. Programiranje file generator stvara šifrirani i potpisani izlaz_file.rbf.
3.3.2. Konfiguracija Enkripcija bitstreama korištenjem programiranja File Sučelje naredbenog retka generatora
Generirajte šifrirani i potpisani konfiguracijski bitstream u .rbf formatu sa sučeljem naredbenog retka quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
Možete pretvoriti šifrirani i potpisani konfiguracijski bitstream u .rbf formatu u drugi konfiguracijski bitstream file formati.
3.3.3. Generiranje bitstreama djelomično šifrirane konfiguracije pomoću sučelja naredbenog retka
Možete generirati djelomično šifrirano programiranje file kako biste kasnije dovršili šifriranje i potpisali sliku. Generirajte djelomično šifrirano programiranje file u .rbf formatu sa sučeljem naredbenog retkaquartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Korisnički priručnik za Intel Agilex® 7 Device Security 22

Pošaljite povratne informacije

3. AES šifriranje bitstreama 683823 | 2023.05.23
Koristite alat naredbenog retka quartus_encrypt da biste finalizirali bitstream enkripciju:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Koristite alat naredbenog retka quartus_sign za potpisivanje šifriranog konfiguracijskog bitstreama:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Enkripcija bitstreama djelomične rekonfiguracije
Možete omogućiti bitstream enkripciju na nekim Intel Agilex 7 FPGA dizajnima koji koriste djelomičnu rekonfiguraciju.
Dizajni djelomične rekonfiguracije koji koriste hijerarhijsku djelomičnu rekonfiguraciju (HPR) ili djelomičnu rekonfiguraciju statičkog ažuriranja (SUPR) ne podržavaju bitstream enkripciju. Ako vaš dizajn sadrži više PR regija, morate šifrirati sve osobe.
Da biste omogućili šifriranje bitstreama djelomične rekonfiguracije, slijedite isti postupak u svim revizijama dizajna. 1. Na Intel Quartus Prime File izborniku odaberite Assignments Device Device
i Sigurnost opcija PIN-a. 2. Odaberite željenu lokaciju za pohranu ključa za šifriranje.
Slika 6. Postavka šifriranja bitstreama djelomične rekonfiguracije

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 23

3. AES šifriranje bitstreama 683823 | 2023.05.23
Alternativno, možete dodati sljedeću izjavu o dodjeli u Quartus Prime postavkama file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION na
Nakon što sastavite svoj osnovni dizajn i revizije, softver generira a.soffile i jedan ili više.pmsffiles, predstavljajući persone. 3. Stvorite šifrirano i potpisano programiranje files iz.sof i.pmsf filena sličan način kao dizajni bez omogućene djelomične rekonfiguracije. 4. Pretvorite kompilirani persona.pmsf file na djelomično šifriranu.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Dovršite bitstream enkripciju pomoću alata naredbenog retka quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Potpišite šifrirani konfiguracijski bitstream pomoću alata naredbenog retka quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Korisnički priručnik za Intel Agilex® 7 Device Security 24

Pošaljite povratne informacije

683823 | 2023.05.23. Pošaljite povratne informacije

Omogućavanje uređaja

Početno pružanje sigurnosnih značajki podržano je samo u firmveru pružanja SDM-a. Upotrijebite Intel Quartus Prime programer za učitavanje firmware-a SDM opskrbe i izvođenje operacija opskrbe.
Možete koristiti bilo koju vrstu JTAG preuzmite kabel za povezivanje Quartus Programmera s Intel Agilex 7 uređajem za izvođenje operacija pružanja.
4.1. Korištenje SDM Provision Firmware
Intel Quartus Prime programer automatski stvara i učitava tvornički zadanu pomoćnu sliku kada odaberete operaciju inicijalizacije i naredbu za programiranje nečega što nije konfiguracijski bitstream.
Ovisno o navedenoj programskoj naredbi, tvornički zadana pomoćna slika je jedna od dvije vrste:
· Pomoćna slika za pružanje—sastoji se od jednog dijela bitstreama koji sadrži firmver za pružanje SDM-a.
· Pomoćna slika QSPI–sastoji se od dva bitstream odjeljka, jedan sadrži SDM glavni firmware i jedan I/O odjeljak.
Možete stvoriti tvornički zadanu pomoćnu sliku file učitati u vaš uređaj prije izvođenja bilo koje programske naredbe. Nakon programiranja hash korijenskog ključa provjere autentičnosti, morate stvoriti i potpisati QSPI tvornički zadanu pomoćnu sliku zbog uključenog I/O odjeljka. Ako dodatno programirate supotpisanu sigurnosnu postavku firmvera eFuse, morate stvoriti tvornički zadane pomoćne slike za pružanje usluga i QSPI sa supotpisanim firmverom. Možete koristiti supotpisanu tvornički zadanu pomoćnu sliku na neopredijeljenom uređaju jer neopredijeljeni uređaj zanemaruje lance potpisa koji nisu Intelovi preko SDM firmvera. Pogledajte Korištenje QSPI tvornički zadane pomoćne slike na uređajima u vlasništvu na stranici 26 za više detalja o stvaranju, potpisivanju i korištenju QSPI tvornički zadane pomoćne slike.
Tvornički zadana pomoćna slika za pružanje usluga izvodi radnje za pružanje usluga, kao što je programiranje raspršivanja korijenskog ključa za provjeru autentičnosti, spajanja sigurnosnih postavki, PUF upisa ili dodjele crnog ključa. Koristite Intel Quartus Prime programiranje File Alat naredbenog retka Generator za stvaranje pomoćne slike za pružanje usluga, navodeći opciju helper_image, naziv vašeg pomoćnog_uređaja, podvrstu pomoćne slike za pružanje i opcionalno supotpisani .zip firmvera file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Programirajte pomoćnu sliku pomoću alata Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force

ISO 9001:2015 Registriran

4. Pružanje uređaja 683823 | 2023.05.23

Bilješka:

Možete izostaviti operaciju inicijalizacije iz naredbi, uključujući nprampdatoteke navedene u ovom poglavlju, nakon bilo programiranja pomoćne slike pružanja ili korištenja naredbe koja sadrži operaciju inicijalizacije.

4.2. Korištenje QSPI tvornički zadane pomoćne slike na uređajima u vlasništvu
Intel Quartus Prime programer automatski stvara i učitava QSPI tvornički zadanu pomoćnu sliku kada odaberete operaciju inicijalizacije za QSPI flash programiranje file. Nakon programiranja hash korijenskog ključa provjere autentičnosti, morate kreirati i potpisati QSPI tvornički zadanu pomoćnu sliku i posebno programirati potpisanu QSPI tvorničku pomoćnu sliku prije programiranja QSPI flasha. 1. Koristite Intel Quartus Prime programiranje File Alat za naredbeni redak generatora
kreirajte pomoćnu sliku QSPI, navodeći opciju helper_image, vrstu vašeg pomoćnog_uređaja, podvrstu QSPI pomoćne slike i opcionalno potpisani firmware .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Potpisujete QSPI tvornički zadanu pomoćnu sliku:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Možete koristiti bilo koje QSPI flash programiranje file format. Sljedeći prampkoriste konfiguracijski bitstream pretvoren u .jic file format:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Programirate potpisanu pomoćnu sliku pomoću alata Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –force
5. Programirate .jic sliku da treperi pomoću alata Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”

4.3. Autentifikacijski glavni ključ
Da biste programirali hashove vlasničkog korijenskog ključa na fizičke osigurače, prvo morate učitati programski softver za pružanje, zatim programirati hashove vlasničkog korijenskog ključa, a zatim odmah izvršiti resetiranje pri uključivanju. Resetiranje pri uključivanju nije potrebno ako programirate hashove korijenskih ključeva na virtualne osigurače.

Korisnički priručnik za Intel Agilex® 7 Device Security 26

Pošaljite povratne informacije

4. Pružanje uređaja 683823 | 2023.05.23
Da biste programirali raspršivanje korijenskog ključa za provjeru autentičnosti, programirajte pomoćnu sliku firmvera za pružanje i pokrenite jednu od sljedećih naredbi za programiranje korijenskog ključa .qky files.
// Za fizičke (neisparljive) eFuse quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –nepromjenjiv_ključ
// Za virtualne (nestalne) eFuse quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky”
4.3.1. Programiranje korijenskog ključa s više ovlaštenja djelomične rekonfiguracije
Nakon dodjele korijenskih ključeva vlasnika bitstreama uređaja ili statične regije, ponovno učitavate pomoćnu sliku za pružanje uređaja, programirate kompaktni certifikat autorizacije programa javnog ključa s potpisom PR-a, a zatim osiguravate korijenski ključ vlasnika bitstreama PR osobe.
// Za fizičke (neisparljive) eFuse quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Za virtualne (nestalne) eFuse quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Programiranje ID osigurača za otkazivanje ključa
Počevši od verzije softvera Intel Quartus Prime Pro Edition 21.1, programiranje osigurača za otkazivanje ID-a Intela i vlasničkog ključa zahtijeva upotrebu potpisanog kompaktnog certifikata. Kompaktni certifikat ID-a za otkazivanje ključa možete potpisati lancem potpisa koji ima dopuštenja za potpisivanje odjeljka FPGA. Programiranjem stvarate kompaktni certifikat file generator naredbenog retka alat. Potpisujete nepotpisani certifikat pomoću alata quartus_sign ili referentne implementacije.
Uređaji Intel Agilex 7 podržavaju zasebne banke ID-ova otkazivanja vlasničkog ključa za svaki korijenski ključ. Kada se kompaktni certifikat ID-a za otkazivanje vlasničkog ključa programira u Intel Agilex 7 FPGA, SDM utvrđuje koji je korijenski ključ potpisao kompaktni certifikat i pregori ID osigurač za otkazivanje ključa koji odgovara tom ključu.
Sljedeći prampkreirajte certifikat za otkazivanje Intel ključa za Intel ID ključa 7. Možete zamijeniti 7 primjenjivim ID-om za otkazivanje Intel ključa od 0-31.
Pokrenite sljedeću naredbu za stvaranje nepotpisanog kompaktnog certifikata ID-a otkazivanja Intel ključa:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Pokrenite jednu od sljedećih naredbi za potpisivanje nepotpisanog kompaktnog certifikata ID-a otkazivanja Intel ključa:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 27

4. Pružanje uređaja 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Izvedite sljedeću naredbu za stvaranje nepotpisanog kompaktnog certifikata ID-a otkazivanja ključa vlasnika:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Izvedite jednu od sljedećih naredbi za potpisivanje nepotpisanog kompaktnog certifikata ID-a otkazivanja ključa vlasnika:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Nakon što ste izradili potpisani kompaktni certifikat ID-a za otkazivanje ključa, koristite Intel Quartus Prime Programmer za programiranje kompaktnog certifikata na uređaj putem JTAG.
//Za fizičke (neisparljive) eFuse quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
//Za virtualne (nestalne) eFuse quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
Dodatno možete poslati kompaktni certifikat SDM-u koristeći sučelje FPGA ili HPS poštanskog sandučića.
4.5. Otkazivanje korijenskih ključeva
Uređaji Intel Agilex 7 omogućuju vam da poništite raspršivanje korijenskog ključa kada je prisutan drugi neponišteni raspršivanje korijenskog ključa. Raspršivanje korijenskog ključa poništavate tako da prvo konfigurirate uređaj s dizajnom čiji je lanac potpisa ukorijenjen u različitom raspršivanju korijenskog ključa, a zatim programirate potpisani kompaktni certifikat za otkazivanje raspršivanja korijenskog ključa. Morate potpisati kompaktni certifikat za otkazivanje raspršivanja korijenskog ključa s lancem potpisa ukorijenjenim u korijenskom ključu koji treba poništiti.
Izvedite sljedeću naredbu za generiranje nepotpisanog kompaktnog certifikata za otkazivanje hashiranja korijenskog ključa:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Korisnički priručnik za Intel Agilex® 7 Device Security 28

Pošaljite povratne informacije

4. Pružanje uređaja 683823 | 2023.05.23

Izvedite jednu od sljedećih naredbi za potpisivanje nepotpisanog kompaktnog certifikata za otkazivanje hashiranja korijenskog ključa:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Kompaktni certifikat za otkazivanje hashiranja korijenskog ključa možete programirati putem JTAG, FPGA ili HPS poštanski sandučići.

4.6. Programiranje protuosigurača
Ažurirate broj sigurnosne verzije (SVN) i Pseudo Time Stamp (PTS) protuosigurači pomoću potpisanih kompaktnih certifikata.

Bilješka:

SDM prati minimalnu vrijednost brojača viđenu tijekom dane konfiguracije i ne prihvaća certifikate povećanja brojača kada je vrijednost brojača manja od minimalne vrijednosti. Morate ažurirati sve objekte dodijeljene brojaču i ponovno konfigurirati uređaj prije programiranja kompaktnog certifikata povećanja brojača.

Izvedite jednu od sljedećih naredbi koje odgovaraju certifikatu povećanja brojača koji želite generirati.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Vrijednost brojača 1 stvara autorizacijski certifikat povećanja brojača. Programiranje kompaktnog certifikata autorizacije povećanja brojača omogućuje vam programiranje daljnjih nepotpisanih certifikata povećanja brojača za ažuriranje odgovarajućeg brojača. Alat quartus_sign koristite za potpisivanje kompaktnih certifikata brojača na sličan način kao kompaktni certifikati ID-a otkazivanja ključa.
Kompaktni certifikat za otkazivanje hashiranja korijenskog ključa možete programirati putem JTAG, FPGA ili HPS poštanski sandučići.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 29

4. Pružanje uređaja 683823 | 2023.05.23

4.7. Osiguravanje korijenskog ključa usluge sigurnog podatkovnog objekta
Koristite Intel Quartus Prime Programmer za dodjelu korijenskog ključa Secure Data Object Service (SDOS). Programer automatski učitava pomoćnu sliku firmvera za pružanje SDOS korijenskog ključa.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

4.8. Sigurnosna postavka Osiguranje osigurača
Upotrijebite Intel Quartus Prime Programmer da ispitate osigurače sigurnosnih postavki uređaja i zapišete ih u tekstualni .fuse file kako slijedi:
quartus_pgm -c 1 -mjtag -o “ei;programiranje_file.osigurač;AGFB014R24B”

Opcije · i: Programer učitava pomoćnu sliku firmvera za pripremu na uređaj. · e: Programator čita osigurač s uređaja i pohranjuje ga u .osigurač file.

Osigurač file sadrži popis parova naziv-vrijednost osigurača. Vrijednost određuje je li osigurač pregorio ili sadržaj polja osigurača.

Sljedeći prample prikazuje format .osigurača file:

# Supotpisani firmware

= “Nije propuhano”

# Device Permit Kill

= “Nije propuhano”

# Uređaj nije siguran

= “Nije propuhano”

# Onemogući HPS debug

= “Nije propuhano”

# Onemogući PUF upis unutarnjeg ID-a

= “Nije propuhano”

# Onemogući JTAG

= “Nije propuhano”

# Onemogući ključ za šifriranje omotan u PUF

= “Nije propuhano”

# Onemogući vlasnički ključ za enkripciju u BBRAM-u = “Nije uništeno”

# Onemogući vlasnički ključ za enkripciju u eFuses = “Nije pregoreno”

# Onemogući korijenski hash javnog ključa vlasnika 0

= “Nije propuhano”

# Onemogući korijenski hash javnog ključa vlasnika 1

= “Nije propuhano”

# Onemogući korijenski hash javnog ključa vlasnika 2

= “Nije propuhano”

# Onemogućite virtualne eFuse

= “Nije propuhano”

# Prisilni SDM takt na interni oscilator = "Nije pregoreno"

# Prisilno ažuriranje ključa za šifriranje

= “Nije propuhano”

# Intel eksplicitno otkazivanje ključa

= “0”

# Zaključajte sigurnosne osigurače

= “Nije propuhano”

# Program vlasničkog ključa za šifriranje gotov

= “Nije propuhano”

# Pokretanje programa ključa za šifriranje vlasnika

= “Nije propuhano”

# Izričito otkazivanje ključa vlasnika 0

= “”

# Izričito otkazivanje ključa vlasnika 1

= “”

# Izričito otkazivanje ključa vlasnika 2

= “”

# Vlasnički osigurači

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Vlasnički korijenski javni ključ hash 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Vlasnički korijenski javni ključ hash 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Vlasnički korijenski javni ključ hash 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Veličina korijenskog javnog ključa vlasnika

= “Ništa”

# PTS brojač

= “0”

# PTS baza brojača

= “0”

Korisnički priručnik za Intel Agilex® 7 Device Security 30

Pošaljite povratne informacije

4. Pružanje uređaja 683823 | 2023.05.23

# QSPI odgoda pokretanja # RMA brojač # SDMIO0 je I2C # SVN brojač A # SVN brojač B # SVN brojač C # SVN brojač D

= “10ms” = “0” = “Nije pregorjelo” = “0” = “0” = “0” = “0”

Izmijenite osigurač file kako biste postavili željene sigurnosne postavke osigurača. Redak koji počinje s # tretira se kao redak komentara. Za programiranje osigurača sigurnosnih postavki uklonite vodeći # i postavite vrijednost na Pregorjelo. Na primjerample, da biste omogućili osigurač sigurnosnih postavki supotpisanog firmvera, izmijenite prvu liniju osigurača file na sljedeće:
Supotpisani firmware = “Blown”

Također možete dodijeliti i programirati osigurače vlasnika na temelju vaših zahtjeva.
Možete koristiti sljedeću naredbu za izvođenje prazne provjere, programiranje i provjeru vlasničkog korijenskog javnog ključa:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

Opcije · i: Učitava pomoćnu sliku firmvera za pripremu na uređaj. · b: Obavlja praznu provjeru kako bi se potvrdilo da osigurači željene sigurnosne postavke nisu
već ispuhan. · p: Programira osigurač. · v: Provjerava programirani ključ na uređaju.
Nakon programiranja .qky file, možete provjeriti podatke o osiguraču tako da ponovno provjerite podatke o osiguraču kako biste bili sigurni da i hash javnog ključa vlasnika i veličina javnog ključa vlasnika imaju vrijednosti različite od nule.
Iako se u sljedeća polja ne može pisati kroz .fuse file metoda, oni su uključeni tijekom izlaza operacije ispitivanja za provjeru: · Uređaj nije siguran · Device permit kill · Onemogući hash korijenskog ključa vlasnika 0 · Onemogući hash javnog ključa vlasnika 1 · Onemogući hash javnog ključa vlasnika 2 · Otkazivanje Intel ključa · Početak programa vlasničkog ključa za enkripciju · Program vlasničkog ključa za šifriranje završen · Otkazivanje vlasničkog ključa · Raspršivanje javnog ključa vlasnika · Veličina javnog ključa vlasnika · Raspršivanje javnog ključa vlasnika 0 · Raspršivanje javnog ključa vlasnika 1 · Raspršivanje javnog korijenskog ključa vlasnika 2

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 31

4. Pružanje uređaja 683823 | 2023.05.23
· PTS brojač · PTS baza brojača · QSPI odgoda pokretanja · RMA brojač · SDMIO0 je I2C · SVN brojač A · SVN brojač B · SVN brojač C · SVN brojač D
Upotrijebite Intel Quartus Prime programer za programiranje osigurača file natrag na uređaj. Ako dodate opciju i, programator automatski učitava ugrađeni softver za programiranje sigurnosnih postavki.
//Za fizičke (neisparljive) eFuse quartus_pgm -c 1 -mjtag -o “pi;programiranje_file.osigurač” –nepostojan_ključ
//Za virtualne (nestalne) eFuse quartus_pgm -c 1 -mjtag -o “pi;programiranje_file.osigurač"
Možete koristiti sljedeću naredbu da provjerite je li hash korijenskog ključa uređaja isti kao .qky naveden u naredbi:
quartus_pgm -c 1 -mjtag -o “v;root0_another.qky”
Ako se ključevi ne podudaraju, programator pada s porukom o pogrešci Operacija nije uspjela.
4.9. Omogućavanje AES korijenskog ključa
Za programiranje AES korijenskog ključa na Intel Agilex 7 uređaju morate koristiti potpisani kompaktni certifikat korijenskog ključa AES.
4.9.1. AES Root Key Compact Certificate
Koristite alat naredbenog retka quartus_pfg za pretvaranje vašeg AES korijenskog ključa .qek file u format kompaktnog certifikata .ccert. Lokaciju pohrane ključa određujete tijekom izrade kompaktnog certifikata. Možete koristiti alat quartus_pfg za izradu nepotpisanog certifikata za kasnije potpisivanje. Morate koristiti lanac potpisa s omogućenom dozvolom za potpisivanje certifikata korijenskog ključa AES, bit 6 dozvole, kako biste uspješno potpisali kompaktni certifikat korijenskog ključa AES.

Korisnički priručnik za Intel Agilex® 7 Device Security 32

Pošaljite povratne informacije

4. Pružanje uređaja 683823 | 2023.05.23
1. Stvorite dodatni par ključeva koji se koristi za potpisivanje kompaktnog certifikata AES ključa pomoću jedne od sljedećih naredbi npramples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mehanizam ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –oznaka aesccert1 –id 2
2. Stvorite lanac potpisa s ispravnim postavljenim bitovima dozvole pomoću jedne od sljedećih naredbi:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Stvorite nepotpisani AES kompaktni certifikat za željenu lokaciju pohrane korijenskog ključa AES-a. Dostupne su sljedeće opcije pohrane AES korijenskog ključa:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Stvorite eFuse AES korijenski ključ nepotpisani certifikat quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Potpišite kompaktni certifikat s quartus_sign naredbom ili referentnom implementacijom.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert signed_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 33

4. Pružanje uređaja 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert signed_ 1.ccert
5. Upotrijebite Intel Quartus Prime Programmer za programiranje kompaktnog certifikata korijenskog ključa AES na Intel Agilex 7 uređaju putem JTAG. Intel Quartus Prime Programmer prema zadanim postavkama programira virtualne eFuse kada koristi vrstu kompaktnog certifikata EFUSE_WRAPPED_AES_KEY.
Dodali ste opciju –non_volatile_key za određivanje programiranja fizičkih osigurača.
//Za fizički (nepostojani) eFuse AES korijenski ključ quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –nepromjenjiv_ključ

//Za virtualni (nepostojani) eFuse AES korijenski ključ quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”

//Za BBRAM AES korijenski ključ quartus_pgm -c 1 -mjtag -o “pi;signed_bbram1.ccert”

Programska oprema SDM pružanja i glavna firmvera podržavaju programiranje certifikata korijenskog ključa AES. Također možete koristiti sučelje SDM poštanskog sandučića iz FPGA tkanine ili HPS-a za programiranje AES korijenskog certifikata ključa.

Bilješka:

Naredba quartus_pgm ne podržava opcije b i v za kompaktne certifikate (.ccert).

4.9.2. Intrinsic ID® PUF AES Root Key Provisioning
Implementacija Intrinsic* ID PUF omotanog AES ključa uključuje sljedeće korake: 1. Upisivanje Intrinsic ID PUF putem JTAG. 2. Omotavanje AES korijenskog ključa. 3. Programiranje pomoćnih podataka i umotanog ključa u quad SPI flash memoriju. 4. Upit o statusu aktivacije Intrinsic ID PUF.
Korištenje Intrinsic ID tehnologije zahtijeva poseban licencni ugovor s Intrinsic ID-om. Softver Intel Quartus Prime Pro Edition ograničava PUF operacije bez odgovarajuće licence, kao što su upis, omatanje ključeva i programiranje PUF podataka na QSPI flash.

4.9.2.1. Intrinzični ID PUF upis
Da biste prijavili PUF, morate koristiti firmware za pružanje SDM-a. Firmware za pripremu mora biti prvi firmware koji se učitava nakon ciklusa napajanja i morate izdati naredbu PUF upisa prije bilo koje druge naredbe. Firmware za pružanje podržava druge naredbe nakon upisa PUF-a, uključujući omatanje AES korijenskog ključa i programiranje četverostrukog SPI-ja, međutim, morate ponovno uključiti uređaj da biste učitali konfiguracijski bitstream.
Koristite Intel Quartus Prime Programmer za pokretanje PUF upisa i generiranje PUF pomoćnih podataka .puf file.

Korisnički priručnik za Intel Agilex® 7 Device Security 34

Pošaljite povratne informacije

4. Pružanje uređaja 683823 | 2023.05.23

Slika 7.

Intrinzični ID PUF upis
quartus_pgm PUF Upis

Upis PUF pomoćnih podataka

Upravitelj sigurnih uređaja (SDM)

wrapper.puf Pomoćni podaci
Programer automatski učitava pomoćnu sliku firmvera za pripremu kada navedete i operaciju i i .puf argument.
quartus_pgm -c 1 -mjtag -o “ei;help_data.puf;AGFB014R24A”
Ako koristite supotpisani firmver, programirate supotpisanu pomoćnu sliku firmvera prije upotrebe PUF naredbe upisa.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o “e;help_data.puf;AGFB014R24A”
UDS IID PUF upisan je tijekom proizvodnje uređaja i nije dostupan za ponovni upis. Umjesto toga, koristite programer za određivanje lokacije UDS PUF pomoćnih podataka na IPCS-u, preuzmite .puf file izravno, a zatim koristite UDS .puf file na isti način kao i .puf file izvađen iz Intel Agilex 7 uređaja.
Upotrijebite sljedeću programersku naredbu za generiranje teksta file koji sadrži popis URLukazuje na specifičan uređaj files na IPCS:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Omotavanje AES korijenskog ključa
Generirate IID PUF omotani AES korijenski ključ .wkey file slanjem potpisanog certifikata SDM-u.
Možete koristiti Intel Quartus Prime Programmer za automatsko generiranje, potpisivanje i slanje certifikata za omotavanje vašeg AES korijenskog ključa ili možete koristiti Intel Quartus Prime Programming File Generator za generiranje nepotpisanog certifikata. Potpisujete nepotpisani certifikat pomoću vlastitih alata ili alata za potpisivanje Quartus. Zatim koristite programer za slanje potpisanog certifikata i zamatanje vašeg AES korijenskog ključa. Potpisani certifikat može se koristiti za programiranje svih uređaja koji mogu potvrditi lanac potpisa.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 35

4. Pružanje uređaja 683823 | 2023.05.23

Slika 8.

Omotavanje AES ključa pomoću Intel Quartus Prime programatora
.pem Privatno
Ključ

.qky

quartus_pgm

Zamotaj AES ključ

AES.QSKigYnature RootCPhuabilnic Key

Generiraj PUF omotani ključ

Zamotani AES ključ

SDM

.qek Enkripcija
Ključ

.wkey PUF omotan
AES ključ

1. Možete generirati IID PUF omotani AES korijenski ključ (.wkey) s programerom pomoću sljedećih argumenata:
· .qky file koji sadrži lanac potpisa s dozvolom certifikata korijenskog ključa AES
· Privatni .pem file za posljednji ključ u lancu potpisa
· .qek file držeći AES root ključ
· 16-bajtni inicijalizacijski vektor (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Alternativno, možete generirati nepotpisani IID PUF omotni certifikat AES korijenskog ključa s Programiranjem File Generator koristeći sljedeće argumente:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Potpisujete nepotpisani certifikat vlastitim alatima za potpisivanje ili alatom quartus_sign pomoću sljedeće naredbe:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Zatim koristite programer za slanje potpisanog AES certifikata i vraćanje zamotanog ključa (.wkey) file:

kvart_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Napomena: Operacija i nije potrebna ako ste prethodno učitali pomoćnu sliku firmvera, nprample, za upis na PUF.

4.9.2.3. Pomoćni podaci za programiranje i omotani ključ za QSPI flash memoriju
Vi koristite Quartus programiranje File Grafičko sučelje generatora za izgradnju početne QSPI flash slike koja sadrži PUF particiju. Morate generirati i programirati cijelu flash programsku sliku da dodate PUF particiju QSPI flashu. Stvaranje PUF-a

Korisnički priručnik za Intel Agilex® 7 Device Security 36

Pošaljite povratne informacije

4. Pružanje uređaja 683823 | 2023.05.23

Slika 9.

particija podataka i korištenje PUF pomoćnih podataka i omotanog ključa files za generiranje flash slike nije podržan kroz programiranje File Sučelje naredbenog retka generatora.
Sljedeći koraci pokazuju izgradnju flash programske slike s PUF pomoćnim podacima i zamotanim ključem:
1. Na File izborniku kliknite Programiranje File Generator. Na izlazu Files napravite sljedeće odabire:
a. Za obitelj uređaja odaberite Agilex 7.
b. Za način konfiguracije odaberite Active Serial x4.
c. Za izlazni direktorij potražite svoj izlaz file imenik. Ovaj bivšiample koristi output_files.
d. Za naziv navedite naziv za programiranje file biti generiran. Ovaj bivšiample koristi output_file.
e. Pod opisom odaberite programiranje files generirati. Ovaj bivšiample generira JTAG Neizravna konfiguracija File (.jic) za konfiguraciju uređaja i Raw Binary File pomoćne slike za programiranje (.rbf) za pomoćnu sliku uređaja. Ovaj bivšiample također odabire izbornu mapu memorije File (.map) i neobrađeni programski podaci File (.rpd). Sirovi programski podaci file potrebno je samo ako u budućnosti planirate koristiti programator treće strane.
Programiranje File Generator – Izlaz Files Kartica – Odaberite JTAG Neizravna konfiguracija

Način konfiguracije obitelji uređaja
Izlaz file tab
Izlazni direktorij
JTAG Indirektna (.jic) mapa pamćenja File Pomoćnik za programiranje Sirovi programski podaci
Na ulazu Files, napravite sljedeće odabire: 1. Pritisnite Add Bitstream i potražite svoj .sof. 2. Odaberite svoj .sof file a zatim kliknite Svojstva.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 37

4. Pružanje uređaja 683823 | 2023.05.23
a. Uključite Omogući alat za potpisivanje. b. Za privatni ključ file odaberite svoj .pem file. c. Uključite Finalize encryption. d. Za ključ šifriranja file odaberite svoj .qek file. e. Pritisnite OK za povratak na prethodni prozor. 3. Za navođenje vaših PUF pomoćnih podataka file, kliknite Dodaj neobrađene podatke. Promijeni Filepadajućeg izbornika tipa Quartus Physical Unclonable Function File (*.puf). Pronađite svoj .puf file. Ako koristite i IID PUF i UDS IID PUF, ponovite ovaj korak tako da .puf files za svaki PUF dodaju se kao ulaz files. 4. Za navođenje vašeg zamotanog AES ključa file, kliknite Dodaj neobrađene podatke. Promijeni Filepadajućeg izbornika tipa Quartus Wrapped Key File (*.wkey). Pronađite svoj .wkey file. Ako ste zamotali AES ključeve koristeći i IID PUF i UDS IID PUF, ponovite ovaj korak tako da .wkey files za svaki PUF dodaju se kao ulaz files.
Slika 10. Navedite unos Files za konfiguraciju, provjeru autentičnosti i šifriranje

Dodaj bitstream Dodaj neobrađene podatke
Svojstva
Privatni ključ file
Dovršite šifriranje Ključ šifriranja
Na kartici Konfiguracijski uređaj napravite sljedeće odabire: 1. Pritisnite Dodaj uređaj i odaberite svoj flash uređaj s popisa dostupnih flash uređaja.
uređaja. 2. Odaberite konfiguracijski uređaj koji ste upravo dodali i kliknite Dodaj particiju. 3. U dijaloškom okviru Uređivanje particije za Unos file i odaberite svoj .sof iz
padajući popis. Možete zadržati zadane postavke ili urediti druge parametre u dijaloškom okviru Uređivanje particije.

Korisnički priručnik za Intel Agilex® 7 Device Security 38

Pošaljite povratne informacije

4. Pružanje uređaja 683823 | 2023.05.23
Slika 11. Određivanje vaše .sof konfiguracijske bitstream particije

Konfiguracijski uređaj
Uredi particiju Dodaj .sof file

Dodaj particiju

4. Kada dodate .puf i .wkey kao unos files, Programiranje File Generator automatski stvara PUF particiju u vašem konfiguracijskom uređaju. Za pohranjivanje .puf i .wkey na PUF particiju odaberite PUF particiju i kliknite Uredi. U dijaloškom okviru Uređivanje particije odaberite .puf i .wkey files s padajućih popisa. Ako uklonite PUF particiju, morate ukloniti i ponovno dodati konfiguracijski uređaj za programiranje File Generator za stvaranje druge PUF particije. Morate osigurati da odaberete ispravan .puf i .wkey file za IID PUF odnosno UDS IID PUF.
Slika 12. Dodajte .puf i .wkey files na PUF particiju

PUF pregrada

Uredi

Uređivanje particije

Flash Loader

Odaberite Generiraj

5. Za parametar Flash Loader odaberite obitelj Intel Agilex 7 uređaja i naziv uređaja koji odgovara vašem Intel Agilex 7 OPN-u.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 39

4. Pružanje uređaja 683823 | 2023.05.23
6. Pritisnite Generiraj za generiranje izlaza files koje ste naveli na izlazu Files karticu.
7. Programiranje File Generator čita vaš .qek file i traži od vas lozinku. Unesite svoju zaporku kao odgovor na upit Enter QEK zaporka. Pritisnite tipku Enter.
8. Kliknite OK kada se prikaže Programming File Generator javlja uspješno generiranje.
Koristite Intel Quartus Prime programer za pisanje QSPI programske slike u QSPI flash memoriju. 1. Na izborniku Intel Quartus Prime Tools odaberite Programmer. 2. U programatoru kliknite Postavljanje hardvera i zatim odaberite povezani Intel
FPGA kabel za preuzimanje. 3. Pritisnite Dodaj File i potražite svoj .jic file.
Slika 13. Program .jic

Programiranje file

Program/Konfiguracija

JTAG lanac skeniranja
4. Poništite odabir okvira povezanog sa slikom pomoćnika. 5. Odaberite Program/Konfiguracija za .jic izlaz file. 6. Uključite gumb Start za programiranje vaše quad SPI flash memorije. 7. Isključite ploču. Dizajn programiran na quad SPI flash memoriju
uređaj se naknadno učitava u ciljni FPGA.
Morate generirati i programirati cijelu flash sliku za programiranje da biste dodali PUF particiju u quad SPI flash.
Kada PUF particija već postoji u flashu, moguće je koristiti Intel Quartus Prime Programmer za izravan pristup PUF pomoćnim podacima i zamotanom ključu files. Na primjerample, ako je aktivacija neuspješna, moguće je ponovno prijaviti PUF, ponovno zamotati AES ključ i naknadno samo programirati PUF files bez potrebe za brisanjem cijelog flasha.

Korisnički priručnik za Intel Agilex® 7 Device Security 40

Pošaljite povratne informacije

4. Pružanje uređaja 683823 | 2023.05.23
Intel Quartus Prime Programmer podržava sljedeći operativni argument za PUF files u već postojećoj PUF particiji:
· p: program
· v: provjeriti
· r: brisanje
· b: bjanko ček
Morate slijediti ista ograničenja za PUF upis, čak i ako PUF particija postoji.
1. Upotrijebite argument operacije i za učitavanje pomoćne slike firmvera za pružanje prve operacije. Na primjerample, sljedeći niz naredbi ponovno upisuje PUF, ponovno omotava AES korijenski ključ, briše stare PUF pomoćne podatke i omotani ključ, zatim programira i provjerava nove PUF pomoćne podatke i AES korijenski ključ.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;novi.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;novi.puf” quartus_pgm -c 1 -mjtag -o “v;new.wkey”
4.9.2.4. Upit o statusu aktivacije unutarnjeg ID-a PUF
Nakon što prijavite Intrinsic ID PUF, omotajte AES ključ, generirajte flash programiranje files, i ažurirajte četverostruki SPI flash, uključite svoj uređaj kako biste pokrenuli PUF aktivaciju i konfiguraciju iz šifriranog bitstreama. SDM javlja status aktivacije PUF zajedno sa statusom konfiguracije. Ako aktivacija PUF-a ne uspije, SDM umjesto toga javlja status pogreške PUF-a. Koristite naredbu quartus_pgm za upit statusa konfiguracije.
1. Koristite sljedeću naredbu za upit o statusu aktivacije:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Ovdje je sample izlaz iz uspješne aktivacije:
Info (21597): Odgovor CONFIG_STATUS Uređaj radi u korisničkom načinu rada 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Verzija C000007B MSEL=QSPI_NORMAL, nSTATUS=1, nCONFIG=1, VID=1,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Lokacija pogreške 00000000 Detalji pogreške Odgovor PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000500 XNUMX USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 41

4. Pružanje uređaja 683823 | 2023.05.23

Ako koristite samo IID PUF ili UDS IID PUF, a niste programirali pomoćne podatke .puf file za bilo koji PUF u QSPI flashu, taj PUF se ne aktivira i status PUF-a odražava da PUF pomoćni podaci nisu valjani. Sljedeći prample prikazuje PUF status kada PUF pomoćni podaci nisu bili programirani ni za jedan PUF:
Odgovor PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Položaj PUF-a u Flash memoriji
Mjesto PUF-a file razlikuje se za dizajne koji podržavaju RSU i dizajne koji ne podržavaju značajku RSU.

Za dizajne koji ne podržavaju RSU, morate uključiti .puf i .wkey files kada stvarate ažurirane flash slike. Za dizajne koji podržavaju RSU, SDM ne prepisuje PUF podatkovne odjeljke tijekom ažuriranja tvorničke slike ili slike aplikacije.

Tablica 2.

Raspored Flash podparticija bez RSU podrške

Flash Offset (u bajtovima)

Veličina (u bajtovima)

Sadržaj

Opis

0K 256K

256K 256K

Firmware za upravljanje konfiguracijom Firmware za upravljanje konfiguracijom

Firmware koji radi na SDM-u.

512 tisuća

256 tisuća

Firmware za upravljanje konfiguracijom

768 tisuća

256 tisuća

Firmware za upravljanje konfiguracijom

32 tisuća

PUF kopija podataka 0

Struktura podataka za pohranjivanje PUF pomoćnih podataka i kopije 0 korijenskog ključa AES omotane u PUF

1M+32K

32 tisuća

PUF kopija podataka 1

Struktura podataka za pohranjivanje PUF pomoćnih podataka i kopije 1 korijenskog ključa AES omotane u PUF

Tablica 3.

Raspored Flash podparticija s RSU podrškom

Flash Offset (u bajtovima)

Veličina (u bajtovima)

Sadržaj

Opis

0K 512K

512K 512K

Decision firmware Decision firmware

Firmware za prepoznavanje i učitavanje slike najvišeg prioriteta.

1 milijuna 1.5 milijuna

512K 512K

Decision firmware Decision firmware

8K + 24K

Podaci o firmveru odluke

Padding

Rezervirano za korištenje firmvera Decision.

2M + 32K

32 tisuća

Rezervirano za SDM

Rezervirano za SDM.

2M + 64K

Varijabilna

Tvornička slika

Jednostavna slika koju stvarate kao rezervnu kopiju ako se sve ostale slike aplikacije ne uspiju učitati. Ova slika uključuje CMF koji radi na SDM-u.

Sljedeći

32 tisuća

PUF kopija podataka 0

Struktura podataka za pohranjivanje PUF pomoćnih podataka i kopije 0 korijenskog ključa AES omotane u PUF
nastavak…

Korisnički priručnik za Intel Agilex® 7 Device Security 42

Pošaljite povratne informacije

4. Pružanje uređaja 683823 | 2023.05.23

Flash Offset (u bajtovima)

Veličina (u bajtovima)

Sljedeći +32K 32K

Sadržaj PUF kopija podataka 1

Dalje + 256K 4K Dalje +32K 4K Dalje +32K 4K

Kopija tablice podparticije 0 Kopija tablice podparticije 1 CMF blok pokazivača kopija 0

Sljedeći +32K _

Kopija bloka CMF pokazivača 1

varijabla varijabla

Slika aplikacije 1 Slika aplikacije 2

4.9.3. Pružanje crnog ključa

Opis
Struktura podataka za pohranjivanje PUF pomoćnih podataka i kopije 1 korijenskog ključa AES omotane u PUF
Struktura podataka za olakšavanje upravljanja flash memorijom.
Popis pokazivača na slike aplikacije prema redoslijedu prioriteta. Kada dodate sliku, ta slika postaje najviša.
Druga kopija popisa pokazivača na slike aplikacije.
Vaša prva slika aplikacije.
Slika vaše druge aplikacije.

Bilješka:

Intel Quartus PrimeProgrammer pomaže u uspostavljanju međusobno provjerene sigurne veze između uređaja Intel Agilex 7 i usluge pružanja crnog ključa. Sigurna veza uspostavlja se putem https-a i zahtijeva nekoliko certifikata identificiranih pomoću teksta file.
Kada koristite Black Key Provisioning, Intel preporučuje da izbjegavate vanjsko povezivanje TCK pina za podizanje ili spuštanje otpornika dok ga i dalje koristite za JTAG. Međutim, možete spojiti TCK pin na VCCIO SDM napajanje pomoću otpornika od 10 k. Postojeće smjernice u Smjernicama za spajanje pinova za spajanje TCK na otpornik od 1 k padajuće uključene su radi suzbijanja šuma. Promjena smjernica za 10 k pull-up otpornik ne utječe na funkcionalnost uređaja. Za više informacija o povezivanju TCK pina, pogledajte Intel Agilex 7 Pin Connection Guidelines.
Thebkp_tls_ca_certcertificate provjerava autentičnost vaše instance usluge pružanja crnog ključa vašoj instanci programera za pružanje crnog ključa. Certifikati bkp_tls_* provjeravaju autentičnost vaše programske instance pružanja crnog ključa vašoj instanci usluge pružanja crnog ključa.
Vi kreirate tekst file koji sadrži potrebne informacije za povezivanje Intel Quartus Prime Programmera s uslugom pružanja crnog ključa. Da biste započeli dodjelu crne tipke, upotrijebite sučelje naredbenog retka Programmera da navedete tekst opcija opcije crne tipke file. Dodjela crnog ključa tada se nastavlja automatski. Za pristup usluzi pružanja crnog ključa i povezanoj dokumentaciji obratite se Intelovoj podršci.
Možete omogućiti dodjelu crnog ključa pomoću naredbequartus_pgm:
quartus_pgm -c -m -uređaj –bkp_options=bkp_options.txt
Argumenti naredbe navode sljedeće informacije:

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 43

4. Pružanje uređaja 683823 | 2023.05.23

· -c: broj kabela · -m: određuje način programiranja kao što je JTAG · –uređaj: navodi indeks uređaja na JTAG lanac. Zadana vrijednost je 1. · –bkp_options: specificira tekst file koji sadrži opcije pružanja crne tipke.
Povezane informacije Smjernice za spajanje pinova obitelji uređaja Intel Agilex 7

4.9.3.1. Black Key opcije pružanja
Opcije pružanja crne tipke su tekst file proslijeđen Programeru kroz naredbu quartus_pgm. The file sadrži potrebne informacije za pokretanje dodjele crnog ključa.
Sljedeći je bivšiampdatoteku bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem bkp_tls_prog_key_pass = 1234 bkp_pro xy_address = https://192.167.5.5:5000 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Tablica 4.

Black Key opcije pružanja
Ova tablica prikazuje opcije potrebne za pokretanje dodjele crnog ključa.

Naziv opcije

Tip

Opis

bkp_ip

Potreban

Određuje IP adresu poslužitelja koja pokreće uslugu pružanja crnog ključa.

bkp_port

Potreban

Određuje priključak usluge crnog ključa koji je potreban za povezivanje s poslužiteljem.

bkp_cfg_id

Potreban

Identificira ID tijeka konfiguracije pružanja crnog ključa.
Usluga pružanja crnog ključa stvara tijekove konfiguracije pružanja crnog ključa uključujući AES korijenski ključ, željene postavke eFuse i druge opcije autorizacije pružanja crnog ključa. Broj dodijeljen tijekom postavljanja usluge pružanja crnog ključa identificira tijekove konfiguracije pružanja crnog ključa.
Napomena: Više uređaja može se odnositi na isti tok konfiguracije usluge pružanja crnog ključa.

bkp_tls_ca_cert

Potreban

Korijenski TLS certifikat koji se koristi za identifikaciju usluga pružanja crnog ključa za Intel Quartus Prime Programmer (Programer). Pouzdano tijelo za izdavanje certifikata za instancu usluge pružanja crnog ključa izdaje ovaj certifikat.
Ako pokrenete Programer na računalu s operativnim sustavom Microsoft® Windows® (Windows), morate instalirati ovaj certifikat u Windows spremište certifikata.

bkp_tls_prog_cert

Potreban

Certifikat stvoren za instancu programera za dodjelu crnog ključa (BKP programer). Ovo je certifikat https klijenta koji se koristi za identifikaciju ove instance BKP programera
nastavak…

Korisnički priručnik za Intel Agilex® 7 Device Security 44

Pošaljite povratne informacije

4. Pružanje uređaja 683823 | 2023.05.23

Naziv opcije

Tip

bkp_tls_prog_ključ

Potreban

bkp_tls_prog_key_pass Opcijski

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Neobavezno Neobavezno Neobavezno

Opis
na uslugu pružanja crnog ključa. Morate instalirati i autorizirati ovaj certifikat u usluzi pružanja crnog ključa prije pokretanja sesije pružanja crnog ključa. Ako programer pokrenete u sustavu Windows, ova opcija nije dostupna. U ovom slučaju, bkp_tls_prog_key već uključuje ovaj certifikat.
Privatni ključ koji odgovara certifikatu BKP programera. Ključ potvrđuje identitet instance BKP Programmera za uslugu pružanja crnog ključa. Ako programer pokrenete u sustavu Windows, .pfx file kombinira bkp_tls_prog_cert certifikat i privatni ključ. Opcija bkp_tlx_prog_key prosljeđuje .pfx file u bkp_options.txt file.
Lozinka za privatni ključ bkp_tls_prog_key. Nije potrebno u tekstu opcija konfiguracije pružanja crne tipke (bkp_options.txt). file.
Određuje proxy poslužitelj URL adresa.
Određuje korisničko ime proxy poslužitelja.
Određuje proxy lozinku za provjeru autentičnosti.

4.10. Pretvaranje korijenskog ključa vlasnika, AES certifikata korijenskog ključa i osigurača files do Jam STAPL File Formati

Možete koristiti naredbu naredbenog retka quartus_pfg za pretvaranje .qky, AES korijenskog ključa .ccert i .fuse files za Jam STAPL Format File (.jam) i Jam Byte Code Format File (.jbc). Možete koristiti ove files za programiranje Intelovih FPGA-ova pomoću Jam STAPL Playera i Jam STAPL Byte-Code Playera.

Jedan .jam ili .jbc sadrži nekoliko funkcija uključujući konfiguraciju i program pomoćne slike firmvera, prazan ček i provjeru programiranja ključa i osigurača.

Oprez:

Kada pretvorite AES korijenski ključ .ccert file u .jam format, .jam file sadrži AES ključ u čistom, ali maskiranom obliku. Stoga morate zaštititi .jam file prilikom pohranjivanja AES ključa. To možete učiniti tako da osigurate AES ključ u sigurnom okruženju.

Ovdje su bivšiampdatoteke quartus_pfg naredbi za pretvorbu:

quartus_pfg -c -o pomoćni_uređaj=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o pomoćni_uređaj=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jbc quartus_pfg - c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A settings.fuse settings_fuse.jam quartus_pfg -c -o helper_de vice=AGFB014R24A postavke. postavke osigurača_osigurač.jbc

Za više informacija o korištenju Jam STAPL Playera za programiranje uređaja pogledajte AN 425: Korištenje Jam STAPL rješenja iz naredbenog retka za programiranje uređaja.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 45

4. Pružanje uređaja 683823 | 2023.05.23
Pokrenite sljedeće naredbe za programiranje korijenskog javnog ključa vlasnika i AES ključa za šifriranje:
//Za učitavanje pomoćnog toka bitova u FPGA. // Pomoćni tok bitova uključuje osiguravanje firmvera quartus_jli -c 1 -a KONFIGURACIJA RootKey.jam
//Za programiranje korijenskog javnog ključa vlasnika u virtualne eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Za programiranje korijenskog javnog ključa vlasnika u fizičke eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Za programiranje korijenskog javnog ključa PR vlasnika u virtualne eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Za programiranje korijenskog javnog ključa PR vlasnika u fizičke eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Za programiranje AES enkripcijskog ključa CCERT u BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Za programiranje AES enkripcijskog ključa CCERT u fizičke eFuse quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Povezane informacije AN 425: Korištenje rješenja Jam STAPL iz naredbenog retka za programiranje uređaja

Korisnički priručnik za Intel Agilex® 7 Device Security 46

Pošaljite povratne informacije

683823 | 2023.05.23. Pošaljite povratne informacije

Napredne značajke

5.1. Sigurna autorizacija za uklanjanje pogrešaka
Kako bi omogućio autorizaciju sigurnog otklanjanja pogrešaka, vlasnik otklanjanja pogrešaka mora generirati par ključeva za provjeru autentičnosti i koristiti Intel Quartus Prime Pro programer za generiranje informacija o uređaju file za uređaj koji pokreće sliku za otklanjanje pogrešaka:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
Vlasnik uređaja koristi alat quartus_sign ili referentnu implementaciju za dodavanje uvjetnog unosa javnog ključa u lanac potpisa namijenjen za operacije otklanjanja pogrešaka korištenjem javnog ključa vlasnika otklanjanja pogrešaka, potrebne autorizacije, tekst informacija o uređaju file, i primjenjiva dodatna ograničenja:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″ –input_pem= debug_authorization_public_key.pem secure_debug_auth_chain.qky
Vlasnik uređaja šalje cijeli lanac potpisa natrag vlasniku debug-a, koji koristi lanac potpisa i svoj privatni ključ za potpisivanje slike debug-a:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Možete koristiti naredbu quartus_pfg za pregled lanca potpisa svakog odjeljka ovog potpisanog sigurnog bitstreama za otklanjanje pogrešaka na sljedeći način:
quartus_pfg –provjeri_integritet autorizirani_debug_design.rbf
Izlaz ove naredbe ispisuje vrijednosti ograničenja 1,2,17,18 uvjetnog javnog ključa koji je korišten za generiranje potpisanog toka bitova.
Vlasnik otklanjanja pogrešaka tada može programirati sigurno autorizirani dizajn otklanjanja pogrešaka:
quartus_pgm -c 1 -mjtag -o “p;authorized_debug_design.rbf”
Vlasnik uređaja može opozvati autorizaciju sigurne debug poništavanjem eksplicitnog ID-a otkazivanja ključa dodijeljenog u lancu potpisa autorizacije sigurne debug-a.
5.2. HPS certifikati za otklanjanje pogrešaka
Omogućivanje samo ovlaštenog pristupa HPS debug access portu (DAP) putem JTAG sučelje zahtijeva nekoliko koraka:

ISO 9001:2015 Registriran

5. Napredne značajke 683823 | 2023.05.23
1. Pritisnite izbornik Assignments softvera Intel Quartus Prime i odaberite karticu Device Device and Pin Options Configuration.
2. Na kartici Konfiguracija omogućite HPS debug access port (DAP) odabirom ili HPS Pins ili SDM Pins iz padajućeg izbornika, i osigurajte da potvrdni okvir Dopusti HPS debug bez certifikata nije označen.
Slika 14. Navedite ili HPS ili SDM pinove za HPS DAP

HPS pristupni priključak za otklanjanje pogrešaka (DAP)
Alternativno, možete postaviti dodjelu ispod u postavkama Quartus Prime .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE “SDM PINS”
3. Prevedite i učitajte dizajn s ovim postavkama. 4. Stvorite lanac potpisa s odgovarajućim dozvolama za potpisivanje HPS debug-a
potvrda:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_chain.qky
5. Zatražite nepotpisani HPS certifikat za otklanjanje pogrešaka s uređaja na kojem je učitan dizajn za otklanjanje pogrešaka:
quartus_pgm -c 1 -mjtag -o “e;unsigned_hps_debug.cert;AGFB014R24A”
6. Potpišite nepotpisani HPS certifikat za otklanjanje pogrešaka pomoću alata quartus_sign ili referentne implementacije i HPS lanca potpisa za otklanjanje pogrešaka:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Korisnički priručnik za Intel Agilex® 7 Device Security 48

Pošaljite povratne informacije

5. Napredne značajke 683823 | 2023.05.23
7. Pošaljite potpisani HPS debug certifikat natrag na uređaj kako biste omogućili pristup HPS debug access portu (DAP):
quartus_pgm -c 1 -mjtag -o “p;signed_hps_debug.cert”
HPS certifikat za otklanjanje pogrešaka valjan je samo od trenutka kada je generiran do sljedećeg ciklusa napajanja uređaja ili dok se ne učita druga vrsta ili verzija SDM firmvera. Morate generirati, potpisati i programirati potpisani HPS certifikat za otklanjanje pogrešaka i izvršiti sve operacije otklanjanja pogrešaka prije ponovnog uključivanja uređaja. Potpisani HPS certifikat za otklanjanje pogrešaka možete poništiti uključivanjem uređaja.
5.3. Potvrda platforme
Možete generirati manifest integriteta reference (.rim) file pomoću programiranja file alat za generator:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Slijedite ove korake kako biste osigurali atest platforme u svom dizajnu: 1. Upotrijebite Intel Quartus Prime Pro programator da konfigurirate svoj uređaj s
dizajn za koji ste izradili manifest referentnog integriteta. 2. Upotrijebite verifikator atestiranja platforme da prijavite uređaj izdavanjem naredbi za
SDM putem SDM poštanskog sandučića za stvaranje certifikata ID-a uređaja i certifikata firmvera pri ponovnom učitavanju. 3. Upotrijebite programator Intel Quartus Prime Pro za rekonfiguraciju uređaja prema dizajnu. 4. Upotrijebite verifikator atestiranja platforme za izdavanje naredbi SDM-u za dobivanje ID-a uređaja za atestiranje, firmvera i certifikata aliasa. 5. Upotrijebite verifikator atestiranja za izdavanje naredbe SDM poštanskog sandučića za dobivanje dokaza atestiranja i verifikator provjerava vraćeni dokaz.
Možete implementirati svoju vlastitu uslugu provjere pomoću naredbi SDM poštanskog sandučića ili koristiti uslugu provjere atestiranja Intel platforme. Za više informacija o servisnom softveru za provjeru atestiranja Intel platforme, dostupnosti i dokumentaciji, obratite se Intelovoj podršci.
Povezane informacije Smjernice za spajanje pinova obitelji uređaja Intel Agilex 7
5.4. Fizički anti-Tamper
Omogućujete fizički anti-tamper značajke korištenjem sljedećih koraka: 1. Odabir željenog odgovora na otkriveni tamper događaj 2. Konfiguriranje željenog tamper metode i parametri detekcije 3. Uključujući anti-tamper IP u vašoj logici dizajna za pomoć u upravljanju anti-tamper
događanja

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 49

5. Napredne značajke 683823 | 2023.05.23
5.4.1. Anti-Tamper Odgovori
Omogućujete fizički anti-tamper odabirom odgovora iz Anti-tampodgovor: padajući popis na Assignments Device Device and Pin Options Security Anti-Tamper tab. Prema zadanim postavkama, anti-tamper odgovor je onemogućen. Pet kategorija anti-tamper odgovor je dostupan. Kada odaberete željeni odgovor, omogućene su opcije za omogućavanje jedne ili više metoda detekcije.
Slika 15. Dostupni Anti-Tamper Opcije odgovora

Odgovarajuće dodjeljivanje u Quartus Prime postavkama .gsf file je sljedeće:
set_global_assignment -ime ANTI_TAMPER_RESPONSE “OBRISANJE UREĐAJA ZA OBAVIJESTI, ZAKLJUČAVANJE UREĐAJA I NULIZACIJA”
Kada omogućite anti-tamper odgovor, možete odabrati dva dostupna SDM namjenska I/O pina za izlaz tamper otkrivanje događaja i status odgovora pomoću prozora Assignments Device Device and Pin Options Configuration Configuration Pin Options.

Korisnički priručnik za Intel Agilex® 7 Device Security 50

Pošaljite povratne informacije

5. Napredne značajke 683823 | 2023.05.23
Slika 16. Dostupni SDM namjenski I/O pinovi za Tamper otkrivanje događaja

Također možete izvršiti sljedeće dodjele pinova u postavkama file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Detekcija

Možete pojedinačno omogućiti frekvenciju, temperaturu i voltagZnačajke detekcije SDM-a. FPGA detekcija ovisi o uključivanju Anti-Tamper Lite Intel FPGA IP u vašem dizajnu.

Bilješka:

SDM frekvencija i voltagetampMetode detekcije ovise o internim referencama i mjernom hardveru koji se može razlikovati od uređaja do uređaja. Intel preporučuje da karakterizirate ponašanje tamper postavke detekcije.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 51

5. Napredne značajke 683823 | 2023.05.23
Frekvencija tampOtkrivanje radi na konfiguracijskom izvoru takta. Za omogućavanje frekvencije tampNakon otkrivanja, morate navesti drugu opciju osim Internal Oscillator u padajućem izborniku Configuration clock source na kartici Assignments Device Device and Pin Options General. Morate osigurati da je potvrdni okvir Pokreni konfiguraciju CPU-a iz internog oscilatora omogućen prije nego omogućite frekvenciju tamper otkrivanje. Slika 17. Postavljanje SDM-a na unutarnji oscilator
Za omogućavanje frekvencije tamper otkrivanje, odaberite Omogući frekvenciju tamper detection potvrdni okvir i odaberite željenu frekvenciju tamper raspon detekcije iz padajućeg izbornika. Slika 18. Omogućavanje frekvencije Tamper Detekcija

Korisnički priručnik za Intel Agilex® 7 Device Security 52

Pošaljite povratne informacije

5. Napredne značajke 683823 | 2023.05.23
Alternativno, možete omogućiti Frekvenciju Tamper Otkrivanje uvođenjem sljedećih promjena u Quartus Prime Settings .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -name ENABLE_FREQUENCY_TAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Za omogućavanje temperature tamper detekcije, odaberite Omogući temperaturu tamppotvrdni okvir detekcije i odaberite željenu gornju i donju granicu temperature u odgovarajućim poljima. Gornje i donje granice su prema zadanim postavkama popunjene odgovarajućim temperaturnim rasponom za uređaj odabran u dizajnu.
Da biste omogućili voltagetamper detekcije, odabirete jednu ili obje opcije Enable VCCL voltagetamper otkrivanje ili Omogući VCCL_SDM voltagetamper detection potvrdne okvire i odaberite željeni Voltagetamper detekcija okidač postotage u odgovarajućem polju.
Slika 19. Omogućavanje Voltagi Tamper Detekcija

Alternativno, možete omogućiti Voltagi Tamper Detekcija određivanjem sljedećih dodjela u .qsf file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETEKCIJA UKLJUČENA
5.4.3. Anti-Tamper Lite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP, dostupan u IP katalogu u softveru Intel Quartus Prime Pro Edition, olakšava dvosmjernu komunikaciju između vašeg dizajna i SDM-a za tamper događaji.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 53

Slika 20. Anti-Tamper Lite Intel FPGA IP

5. Napredne značajke 683823 | 2023.05.23

IP pruža sljedeće signale koje povezujete sa svojim dizajnom prema potrebi:

Tablica 5.

Anti-Tamper Lite Intel FPGA IP I/O signali

Naziv signala

Smjer

Opis

gpo_sdm_at_event gpi_fpga_at_event

Izlaz Ulaz

SDM signal logici FPGA tkanine koju je SDM otkrioamper događaj. FPGA logika ima približno 5 ms za izvođenje željenog čišćenja i odgovor na SDM putem gpi_fpga_at_response_done i gpi_fpga_at_zeroization_done. SDM nastavlja s tamper radnje odgovora kada se potvrdi gpi_fpga_at_response_done ili nakon što nije primljen odgovor u dodijeljenom vremenu.
FPGA prekid SDM-a koji je vaš dizajnirani anti-tamper detekcijski krug je otkrio naamper događaj i SDM tamper bi odgovor trebao biti pokrenut.

gpi_fpga_at_response_done

Ulazni

FPGA prekid SDM-u da je FPGA logika izvršila željeno čišćenje.

gpi_fpga_at_zeroization_d jedan

Ulazni

FPGA signalizira SDM-u da je FPGA logika dovršila željeno nuliranje podataka o dizajnu. Ovaj signal je sampvodi kada se potvrdi gpi_fpga_at_response_done.

5.4.3.1. Informacije o izdanju

Broj sheme IP verzije (XYZ) mijenja se od jedne verzije softvera do druge. Promjena u:
· X označava veliku reviziju IP-a. Ako ažurirate svoj Intel Quartus Prime softver, morate ponovno generirati IP.
· Y označava da IP uključuje nove značajke. Ponovno generirajte svoj IP kako biste uključili ove nove značajke.
· Z označava da IP uključuje manje promjene. Ponovno generirajte svoj IP kako biste uključili ove promjene.

Tablica 6.

Anti-Tamper Lite Intel FPGA IP informacije o izdanju

IP verzija

Artikal

Opis 20.1.0

Intel Quartus Prime verzija

21.2

Datum izlaska

2021.06.21

Korisnički priručnik za Intel Agilex® 7 Device Security 54

Pošaljite povratne informacije

5. Napredne značajke 683823 | 2023.05.23
5.5. Korištenje sigurnosnih značajki dizajna s daljinskim ažuriranjem sustava
Udaljeno ažuriranje sustava (RSU) je značajka Intel Agilex 7 FPGA koja pomaže u ažuriranju konfiguracije files na robustan način. RSU je kompatibilan sa sigurnosnim značajkama dizajna kao što su provjera autentičnosti, zajedničko potpisivanje firmvera i enkripcija bitstreama jer RSU ne ovisi o sadržaju dizajna konfiguracijskih tokova bitova.
Izrada RSU slika s .sof Files
Ako privatne ključeve pohranjujete na lokalnom filesustava, možete generirati RSU slike sa sigurnosnim značajkama dizajna koristeći pojednostavljeni tok s .sof files kao ulazi. Za generiranje RSU slika s .sof file, možete slijediti upute u odjeljku Generiranje slike ažuriranja udaljenog sustava Files Korištenje programiranja File Generator korisničkog vodiča za konfiguraciju Intel Agilex 7. Za svaki .sof file navedeno na ulazu Files kliknite gumb Svojstva… i navedite odgovarajuće postavke i ključeve za alate za potpisivanje i šifriranje. Programiranje file generatorski alat automatski potpisuje i šifrira tvorničke i aplikacijske slike dok stvara RSU programiranje files.
Alternativno, ako pohranjujete privatne ključeve u HSM, morate koristiti alat quartus_sign i stoga koristiti .rbf files. Ostatak ovog odjeljka opisuje promjene u tijeku za generiranje RSU slika s .rbf files kao ulazi. Morate šifrirati i potpisati .rbf format fileprije nego što ih odaberete kao unos files za RSU slike; međutim, RSU boot info file ne smije biti šifriran i umjesto toga samo potpisan. Programiranje File Generator ne podržava mijenjanje svojstava .rbf formata files.
Sljedeći pramppokazuju potrebne izmjene naredbi u odjeljku Generiranje slike ažuriranja udaljenog sustava Files Korištenje programiranja File Generator korisničkog vodiča za konfiguraciju Intel Agilex 7.
Generiranje početne RSU slike pomoću .rbf Files: Izmjena naredbe
Od generiranja početne RSU slike pomoću .rbf Files odjeljak, izmijenite naredbe u koraku 1. kako biste omogućili sigurnosne značajke dizajna po želji koristeći upute iz ranijih odjeljaka ovog dokumenta.
Na primjerample, naveli biste potpisani firmware file ako ste koristili zajedničko potpisivanje firmvera, koristite alat za šifriranje Quartus da šifrirate svaki .rbf file, i na kraju upotrijebite alat quartus_sign za potpisivanje svakog file.
U koraku 2, ako ste omogućili zajedničko potpisivanje firmvera, morate koristiti dodatnu opciju u stvaranju boot .rbf iz tvorničke slike file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Nakon što stvorite podatke o pokretanju .rbf file, koristite alat quartus_sign za potpisivanje .rbf file. Ne smijete šifrirati informacije o pokretanju .rbf file.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 55

5. Napredne značajke 683823 | 2023.05.23
Generiranje slike aplikacije: Izmjena naredbe
Za generiranje slike aplikacije sa sigurnosnim značajkama dizajna, izmijenite naredbu u Generiranju slike aplikacije za korištenje .rbf s omogućenim sigurnosnim značajkama dizajna, uključujući supotpisani firmware ako je potrebno, umjesto originalne aplikacije .sof file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Generiranje slike tvorničkog ažuriranja: Izmjena naredbe
Nakon što stvorite podatke o pokretanju .rbf file, koristite alat quartus_sign za potpisivanje .rbf file. Ne smijete šifrirati informacije o pokretanju .rbf file.
Da biste generirali RSU tvorničku sliku ažuriranja, izmijenite naredbu iz Generiranja tvorničke ažurirane slike za korištenje .rbf file s omogućenim sigurnosnim značajkama dizajna i dodajte opciju za označavanje supotpisane upotrebe firmvera:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Povezane informacije Korisnički priručnik za konfiguraciju Intel Agilex 7
5.6. SDM kriptografske usluge
SDM na uređajima Intel Agilex 7 pruža kriptografske usluge koje logika FPGA tkanine ili HPS mogu zatražiti putem odgovarajućeg sučelja SDM poštanskog sandučića. Za više informacija o naredbama poštanskog sandučića i formatima podataka za sve SDM kriptografske usluge, pogledajte Dodatak B u Sigurnosnoj metodologiji za Intel FPGA i Structured ASIC korisnički priručnik.
Za pristup sučelju SDM poštanskog sandučića logici FPGA tkanine za SDM kriptografske usluge, morate instancirati klijent poštanskog sandučića Intel FPGA IP u svom dizajnu.
Referentni kod za pristup sučelju SDM poštanskog sandučića s HPS-a uključen je u ATF i Linux kod koji osigurava Intel.
Povezane informacije Klijent poštanskog sandučića Intel FPGA IP korisnički priručnik
5.6.1. Dizanje ovlašteno od dobavljača
Intel pruža referentnu implementaciju za HPS softver koji koristi značajku pokretanja ovlaštenog dobavljača za provjeru autentičnosti HPS softvera za pokretanje od prvog stage boot loader do Linux kernela.
Povezane informacije Intel Agilex 7 SoC Demo dizajn sigurnog pokretanja

Korisnički priručnik za Intel Agilex® 7 Device Security 56

Pošaljite povratne informacije

5. Napredne značajke 683823 | 2023.05.23
5.6.2. Usluga sigurnih podatkovnih objekata
Naredbe šaljete preko SDM poštanskog sandučića za izvođenje enkripcije i dešifriranja SDOS objekta. Značajku SDOS možete koristiti nakon dodjele SDOS korijenskog ključa.
Povezane informacije Osiguravanje korijenskog ključa usluge sigurnog podatkovnog objekta na stranici 30
5.6.3. SDM kriptografske primitivne usluge
Naredbe šaljete preko SDM poštanskog sandučića za pokretanje operacija SDM kriptografske primitivne usluge. Neke primitivne kriptografske usluge zahtijevaju da se na i sa SDM-a prenese više podataka nego što sučelje poštanskog sandučića može prihvatiti. U tim se slučajevima naredba formata mijenja kako bi pružila pokazivače na podatke u memoriji. Osim toga, morate promijeniti instanciranje klijenta poštanskog sandučića Intel FPGA IP za korištenje SDM kriptografskih primitivnih usluga iz logike FPGA tkanine. Morate dodatno postaviti parametar Enable Crypto Service na 1 i povezati novo izloženo AXI inicijatorsko sučelje na memoriju u vašem dizajnu.
Slika 21. Omogućavanje SDM kriptografskih usluga u klijentu poštanskog sandučića Intel FPGA IP

5.7. Bitstream sigurnosne postavke (FM/S10)
Sigurnosne opcije FPGA bitstreama skup su pravila koja ograničavaju određenu značajku ili način rada unutar definiranog razdoblja.
Sigurnosne opcije bitstreama sastoje se od oznaka koje postavljate u softveru Intel Quartus Prime Pro Edition. Ove se zastavice automatski kopiraju u konfiguracijske bitstreamove.
Možete trajno nametnuti sigurnosne opcije na uređaju korištenjem odgovarajuće sigurnosne postavke eFuse.
Za korištenje bilo koje sigurnosne postavke u konfiguracijskom bitstreamu ili eFuses uređaja, morate omogućiti značajku provjere autentičnosti.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 57

5. Napredne značajke 683823 | 2023.05.23
5.7.1. Odabir i uključivanje sigurnosnih opcija
Da biste odabrali i omogućili sigurnosne opcije, učinite sljedeće: Iz izbornika Assignments odaberite Device Device and Pin Options Security More Options… Slika 22. Odabir i omogućavanje sigurnosnih opcija

Zatim odaberite vrijednosti s padajućih popisa za sigurnosne opcije koje želite omogućiti kao što je prikazano u sljedećem primjeruampono:
Slika 23. Odabir vrijednosti za sigurnosne opcije

Korisnički priručnik za Intel Agilex® 7 Device Security 58

Pošaljite povratne informacije

5. Napredne značajke 683823 | 2023.05.23
Sljedeće su odgovarajuće promjene u postavkama Quartus Prime .qsf file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG “ON CHECK” set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE “ON STICKY” set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECU_OPTION_DISABLE_VIRTUAL_EFUSES ON set_global_assignment -name SECU_OPTION_LOCK_SECURITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY ON

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 59

683823 | 2023.05.23. Pošaljite povratne informacije

Rješavanje problema

Ovo poglavlje opisuje uobičajene pogreške i poruke upozorenja na koje možete naići dok pokušavate koristiti sigurnosne značajke uređaja i mjere za njihovo rješavanje.
6.1. Korištenje Quartus naredbi u pogrešci Windows okruženja
Pogreška quartus_pgm: naredba nije pronađena Opis Ova se pogreška prikazuje pri pokušaju korištenja Quartus naredbi u NIOS II ljusci u Windows okruženju pomoću WSL-a. Rješenje Ova naredba radi u Linux okruženju; Za Windows hostove koristite sljedeću naredbu: quartus_pgm.exe -h Slično, primijenite istu sintaksu na druge Quartus Prime naredbe kao što su quartus_pfg, quartus_sign, quartus_encrypt između ostalih naredbi.

ISO 9001:2015 Registriran

6. Rješavanje problema 683823 | 2023.05.23

6.2. Generiranje upozorenja o privatnom ključu

Upozorenje:

Navedena lozinka smatra se nesigurnom. Intel preporučuje korištenje lozinke od najmanje 13 znakova. Preporučuje se da promijenite lozinku pomoću OpenSSL izvršne datoteke.

openssl ec -in -van -aes256

Opis
Ovo upozorenje odnosi se na snagu lozinke i prikazuje se kada pokušavate generirati privatni ključ izdavanjem sljedećih naredbi:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Rješenje Upotrijebite izvršnu datoteku openssl za navođenje dulje i stoga jače lozinke.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 61

6. Rješavanje problema 683823 | 2023.05.23
6.3. Dodavanje ključa za potpisivanje pogrešci projekta Quartus
Greška...File sadrži informacije o korijenskom ključu...
Opis
Nakon dodavanja ključa za potpisivanje .qky file projektu Quartus, trebate ponovno sastaviti .sof file. Kad dodate ovaj regenerirani .sof file na odabrani uređaj pomoću Quartus Programmera, sljedeća poruka o pogrešci označava da je file sadrži informacije o korijenskom ključu:
Dodavanje nije uspjelofile-path-name> do Programera. The file sadrži informacije o korijenskom ključu (.qky). Međutim, Programmer ne podržava značajku potpisivanja bitstreama. Možete koristiti programiranje File Generator za pretvaranje file na potpisani Raw Binary file (.rbf) za konfiguraciju.
Rezolucija
Koristite Quartus programiranje file generator za pretvaranje file u potpisani Raw Binary File .rbf za konfiguraciju.
Povezane informacije Bitstream konfiguracije potpisivanja korištenjem naredbe quartus_sign na stranici 13

Korisnički priručnik za Intel Agilex® 7 Device Security 62

Pošaljite povratne informacije

6. Rješavanje problema 683823 | 2023.05.23
6.4. Generiranje Quartus Prime programiranja File bio neuspješan
Greška
Pogreška (20353): X javnog ključa iz QKY ne odgovara privatnom ključu iz PEM-a file.
Pogreška (20352): Nije uspjelo potpisivanje bitstreama putem python skripte agilex_sign.py.
Pogreška: Quartus Prime Programming File Generator je bio neuspješan.
Opis Ako pokušate potpisati konfiguracijski bitstream korištenjem netočnog privatnog ključa .pem file ili .pem file koji ne odgovara .qky dodanom projektu, prikazuju se gornje uobičajene pogreške. Rješenje Provjerite koristite li ispravan privatni ključ .pem za potpisivanje bitstreama.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 63

6. Rješavanje problema 683823 | 2023.05.23
6.5. Pogreške nepoznatih argumenata
Greška
Pogreška (23028): Nepoznat argument "ûc". Za pravne argumente pogledajte –pomoć.
Pogreška (213008): Niz opcije programiranja “ûp” je nedopušten. Pogledajte -help za legalne formate opcija programiranja.
Opis Ako kopirate i zalijepite opcije naredbenog retka iz .pdf file u Windows NIOS II ljusci, možete naići na pogreške nepoznatih argumenata kao što je prikazano gore. Rješenje U takvim slučajevima možete ručno unijeti naredbe umjesto lijepljenja iz međuspremnika.

Korisnički priručnik za Intel Agilex® 7 Device Security 64

Pošaljite povratne informacije

6. Rješavanje problema 683823 | 2023.05.23
6.6. Bitstream Encryption Option Disabled Greška
Greška
Nije moguće dovršiti šifriranje za file dizajn .sof jer je kompajliran s onemogućenom opcijom bitstream enkripcije.
Opis Ako pokušate šifrirati bitstream putem GUI-ja ili naredbenog retka nakon što ste kompajlirali projekt s onemogućenom opcijom šifriranja bitstreama, Quartus odbija naredbu kao što je prikazano gore.
Rješenje Provjerite jeste li kompajlirali projekt s omogućenom opcijom bitstream enkripcije putem GUI-ja ili naredbenog retka. Da biste omogućili ovu opciju u GUI-ju, morate potvrditi okvir za ovu opciju.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 65

6. Rješavanje problema 683823 | 2023.05.23
6.7. Navođenje točne staze do ključa
Greška
Pogreška (19516): Otkriveno programiranje File Pogreška postavki generatora: Ne mogu pronaći 'key_file'. Provjerite je li file nalazi se na očekivanom mjestu ili ažurirajte postavku.sek
Pogreška (19516): Otkriveno programiranje File Pogreška postavki generatora: Ne mogu pronaći 'key_file'. Provjerite je li file nalazi se na očekivanoj lokaciji ili ažurirajte postavku.
Opis
Ako koristite ključeve koji su pohranjeni na file sustava, morate osigurati da specificiraju ispravan put za ključeve koji se koriste za bitstream enkripciju i potpisivanje. Ako Programiranje File Generator ne može otkriti pravi put, prikazuju se gornje poruke pogreške.
Rezolucija
Pogledajte Quartus Prime postavke .qsf file kako biste locirali ispravne staze za ključeve. Pazite da koristite relativne putanje umjesto apsolutnih putanja.

Korisnički priručnik za Intel Agilex® 7 Device Security 66

Pošaljite povratne informacije

6. Rješavanje problema 683823 | 2023.05.23
6.8. Korištenje nepodržanog izlaza File Tip
Greška
quartus_pfg -c design.sof izlaz_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o potpisivanje=ON -o pem_file=znak_privatno.pem
Pogreška (19511): Nepodržani izlaz file vrsta (ebf). Koristite opciju “-l” ili “–list” za prikaz podržanih file vrsta informacija.
Opis Dok koristite Quartus programiranje File Generator za generiranje šifriranog i potpisanog bitstreama konfiguracije, možete vidjeti gornju pogrešku ako je izlaz nepodržan file navedena je vrsta. Rješenje Koristite opciju -l ili -list da biste vidjeli popis podržanih file vrste.

Pošaljite povratne informacije

Korisnički priručnik za Intel Agilex® 7 Device Security 67

683823 | 2023.05.23. Pošaljite povratne informacije
7. Arhiva korisničkog priručnika za sigurnost uređaja Intel Agilex 7
Najnoviju i prethodnu verziju ovog korisničkog priručnika potražite u korisničkom priručniku za Intel Agilex 7 Device Security. Ako IP ili verzija softvera nisu navedeni, primjenjuje se korisnički priručnik za prethodni IP ili verziju softvera.

ISO 9001:2015 Registriran

683823 | 2023.05.23. Pošaljite povratne informacije

8. Povijest revizija za Intel Agilex 7 Device Security korisnički priručnik

Verzija dokumenta 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumenti / Resursi

Intel Agilex 7 Sigurnost uređaja [pdf] Korisnički priručnik
Agilex 7 Sigurnost uređaja, Agilex 7, Sigurnost uređaja, Sigurnost

Reference

korisnički priručnik

Intel Agilex 7 Sigurnost uređaja

Informacije o proizvodu

Upute za uporabu proizvoda

Često postavljana pitanja

Sigurnost uređaja završenaview

Autentifikacija i autorizacija

AES bitstream enkripcija

Omogućavanje uređaja

Napredne značajke

Rješavanje problema

Dokumenti / Resursi

Reference

Ostavite komentar

Odustani od odgovora