Intel Agilex 7 Manyèl Itilizatè Sekirite Aparèy

Intel angaje nan sekirite pwodwi epi li rekòmande itilizatè yo familyarize yo ak resous sekirite pwodwi yo bay yo. Resous sa yo ta dwe itilize pandan tout lavi pwodwi Intel a.

2. Karakteristik Sekirite Planifye

Karakteristik sekirite sa yo planifye pou yon lage pwochen lojisyèl Intel Quartus Prime Pro Edition:

Verifikasyon Sekirite Bitstream Rekonfigurasyon Pasyèl: Bay plis asirans ke bitstreams Rekonfigurasyon Pasyèl (PR) pa ka jwenn aksè oswa entèfere ak lòt bitstreams PR pèsonaj.

Aparèy Self-Kill pou Anti-T fizikamper: Fè yon aparèy siye oswa repons zewoze aparèy ak pwogram eFuses pou anpeche aparèy la konfigirasyon ankò.

3. Dokimantasyon sekirite ki disponib

Tablo sa a bay lis dokiman ki disponib pou karakteristik sekirite aparèy sou aparèy Intel FPGA ak ASIC estriktire:

Non dokiman an	Objektif
Metodoloji sekirite pou Intel FPGA ak Itilizatè ASIC estriktire Gid	Dokiman wo nivo ki bay deskripsyon detaye sou karakteristik sekirite ak teknoloji nan Intel Programmable Solutions Pwodwi yo. Ede itilizatè yo chwazi karakteristik sekirite ki nesesè yo satisfè objektif sekirite yo.
Intel Stratix 10 Gid itilizatè sekirite aparèy	Enstriksyon pou itilizatè aparèy Intel Stratix 10 pou aplike karakteristik sekirite yo idantifye lè l sèvi avèk Metodoloji Sekirite a Gid itilizatè.
Intel Agilex 7 Aparèy Sekirite Itilizatè Gid	Enstriksyon pou itilizatè Intel Agilex 7 aparèy pou aplike karakteristik sekirite yo idantifye lè l sèvi avèk Metodoloji Sekirite a Gid itilizatè.
Intel eASIC N5X Gid itilizatè sekirite aparèy	Enstriksyon pou itilizatè aparèy Intel eASIC N5X pou aplike karakteristik sekirite yo idantifye lè l sèvi avèk Metodoloji Sekirite a Gid itilizatè.
Intel Agilex 7 ak Intel eASIC N5X HPS sèvis kriptografik Gid itilizatè	Enfòmasyon pou enjenyè lojisyèl HPS sou aplikasyon an ak itilizasyon bibliyotèk lojisyèl HPS pou jwenn aksè nan sèvis kriptografik yo SDM bay.
AN-968 Black Key Provisioning Service Quick Start Guide	Ranpli seri etap pou mete sou pye Black Key Provisioning la sèvis.

Kesyon yo poze souvan

K: Ki objektif Gid Itilizatè Metodoloji Sekirite a?

A: Gid Itilizatè Metodoloji Sekirite a bay deskripsyon detaye sou karakteristik sekirite ak teknoloji nan pwodwi Intel Programmable Solutions. Li ede itilizatè yo chwazi karakteristik sekirite ki nesesè yo pou satisfè objektif sekirite yo.

K: Ki kote mwen ka jwenn Gid itilizatè Intel Agilex 7 Aparèy Sekirite a?

R: Ou ka jwenn Gid itilizatè Intel Agilex 7 Aparèy Sekirite a nan Sant Resous ak Design Intel websit.

K: Ki sèvis Black Key Provisioning la ye?

A: Sèvis Black Key Provisioning se yon sèvis ki bay yon seri etap konplè pou mete sou pye pwovizyon kle pou operasyon an sekirite.

View Fullscreen

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy
Mizajou pou Intel® Quartus® Prime Design Suite: 23.1

Vèsyon sou entènèt Voye Feedback

UG-20335

683823 2023.05.23

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 2

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 3

683823 | 2023.05.23 Voye Feedback
1. Intel Agilex® 7

Sekirite Aparèy souview

Intel® desine aparèy Intel Agilex® 7 yo ak pyès ki nan konpitè sekirite ak firmwèr devwe, ki trè konfigirab.
Dokiman sa a gen enstriksyon pou ede w itilize lojisyèl Intel Quartus® Prime Pro Edition pou aplike karakteristik sekirite sou aparèy Intel Agilex 7 ou yo.
Anplis de sa, Metòd Sekirite pou Intel FPGA ak Gid Itilizatè ASIC estriktire disponib sou Intel Resource & Design Center. Dokiman sa a gen deskripsyon detaye sou karakteristik sekirite ak teknoloji ki disponib atravè pwodwi Intel Programmable Solutions pou ede w chwazi karakteristik sekirite ki nesesè pou atenn objektif sekirite ou yo. Kontakte Intel Support ak nimewo referans 14014613136 pou jwenn aksè nan Metòd Sekirite pou Intel FPGA ak Gid Itilizatè ASIC Structured.
Dokiman an òganize jan sa a: · Otantifikasyon ak Otorizasyon: Bay enstriksyon pou kreye
kle otantifikasyon ak chenn siyati, aplike otorizasyon ak anilasyon, siyen objè, ak pwogram otantifikasyon karakteristik sou aparèy Intel Agilex 7. · AES Bitstream Encryption: Bay enstriksyon pou kreye yon kle rasin AES, ankripte konfigirasyon bitstreams, epi bay kle rasin AES nan aparèy Intel Agilex 7. · Pwovizyon pou Aparèy: Bay enstriksyon pou itilize mikrolojisyèl pwovizyon Intel Quartus Prime Programmer ak Secure Device Manager (SDM) pou pwograme karakteristik sekirite sou aparèy Intel Agilex 7. · Karakteristik avanse: Bay enstriksyon pou pèmèt karakteristik sekirite avanse, ki gen ladan otorizasyon debogaj an sekirite, debogaj Hard Processor System (HPS) ak aktyalizasyon sistèm aleka.
1.1. Angajman pou pwodwi sekirite
Angajman ki dire lontan Intel pou sekirite pa janm te pi fò. Intel rekòmande anpil pou w vin abitye ak resous sekirite pwodwi nou yo epi planifye pou w itilize yo pandan tout lavi pwodwi Intel ou a.
Enfòmasyon ki gen rapò · Sekirite pwodwi nan Intel · Avitasyon Sant Sekirite pwodwi Intel

Intel Corporation. Tout dwa rezève. Intel, logo Intel ak lòt mak Intel yo se mak komèsyal Intel Corporation oswa filiales li yo. Intel garanti pèfòmans pwodwi FPGA ak semiconductor li yo selon espesifikasyon aktyèl yo an akò ak garanti estanda Intel a, men li rezève dwa pou fè chanjman nan nenpòt pwodwi ak sèvis nenpòt ki lè san avètisman. Intel pa asime okenn responsablite oswa responsablite ki soti nan aplikasyon an oswa itilizasyon nenpòt enfòmasyon, pwodwi oswa sèvis ki dekri la a eksepte si Intel te dakò ekspreseman alekri. Yo konseye kliyan Intel yo pou yo jwenn dènye vèsyon espesifikasyon aparèy yo anvan yo konte sou nenpòt enfòmasyon ki pibliye epi anvan yo pase lòd pou pwodwi oswa sèvis yo. *Yo ka reklame lòt non ak mak kòm pwopriyete lòt moun.

ISO 9001:2015 anrejistre

1. Intel Agilex® 7 Sekirite Aparèy finiview 683823 | 2023.05.23

1.2. Karakteristik Sekirite Planifye

Karakteristik ki mansyone nan seksyon sa a yo planifye pou yon lage pwochen lojisyèl Intel Quartus Prime Pro Edition.

Nòt:

Enfòmasyon ki nan seksyon sa a se preliminè.

1.2.1. Pasyèl Rekonfigurasyon Bitstream Verifikasyon Sekirite
Validasyon sekirite bitstream reconfiguration pasyèl (PR) ede bay plis asirans ke PR persona bitstreams pa kapab jwenn aksè oswa entèfere ak lòt bitstreams PR persona.

1.2.2. Aparèy Self-Kill pou Anti-T fizikamper
Aparèy pwòp tèt ou touye moun fè yon aparèy siye oswa repons zewoze aparèy epi anplis pwogram eFuses pou anpeche aparèy la konfigirasyon ankò.

1.3. Dokimantasyon sekirite ki disponib

Tablo ki anba la a endike dokiman ki disponib pou karakteristik sekirite aparèy yo sou aparèy Intel FPGA ak ASIC estriktire:

Tablo 1.

Dokimantasyon Sekirite Aparèy ki Disponib

Non dokiman an
Metodoloji sekirite pou Intel FPGA ak Gid Itilizatè ASIC estriktire

Objektif
Dokiman wo nivo ki gen deskripsyon detaye sou karakteristik sekirite ak teknoloji nan pwodwi Intel Programmable Solutions. Gen entansyon ede w chwazi karakteristik sekirite ki nesesè pou satisfè objektif sekirite ou yo.

Dokiman ID 721596

Intel Stratix 10 Gid itilizatè sekirite aparèy
Intel Agilex 7 Aparèy Sekirite Itilizatè Gid

Pou itilizatè aparèy Intel Stratix 10, gid sa a gen enstriksyon pou itilize lojisyèl Intel Quartus Prime Pro Edition pou aplike karakteristik sekirite yo idantifye lè l sèvi avèk Gid Itilizatè Metodoloji Sekirite a.
Pou itilizatè aparèy Intel Agilex 7, gid sa a gen enstriksyon pou itilize lojisyèl Intel Quartus Prime Pro Edition pou aplike karakteristik sekirite yo idantifye lè l sèvi avèk Gid Itilizatè Metodoloji Sekirite a.

683642 683823

Intel eASIC N5X Gid itilizatè sekirite aparèy

Pou itilizatè aparèy Intel eASIC N5X, gid sa a gen enstriksyon pou itilize lojisyèl Intel Quartus Prime Pro Edition pou aplike karakteristik sekirite yo idantifye lè l sèvi avèk Gid Itilizatè Metodoloji Sekirite a.

626836

Intel Agilex 7 ak Intel eASIC N5X HPS Gid itilizatè sèvis kriptografik

Gid sa a gen enfòmasyon pou ede enjenyè lojisyèl HPS yo nan aplikasyon ak itilizasyon bibliyotèk lojisyèl HPS pou jwenn aksè nan sèvis kriptografik SDM yo ofri.

713026

AN-968 Black Key Provisioning Service Quick Start Guide

Gid sa a gen yon seri etap konplè pou mete sou pye sèvis Black Key Provisioning la.

739071

Kote Intel Resource ak
Sant konsepsyon
Intel.com
Intel.com
Sant Resous ak Design Intel
Sant Resous ak Design Intel
Sant Resous ak Design Intel

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 5

683823 | 2023.05.23 Voye Feedback

Otantifikasyon ak Otorizasyon

Pou pèmèt karakteristik otantifikasyon yon aparèy Intel Agilex 7, ou kòmanse itilize lojisyèl Intel Quartus Prime Pro Edition ak zouti ki asosye pou konstwi yon chèn siyati. Yon chèn siyati konsiste de yon kle rasin, youn oswa plizyè kle siyati, ak otorizasyon ki aplikab yo. Ou aplike chèn siyati a nan pwojè Intel Quartus Prime Pro Edition ak pwogram konpile w la files. Sèvi ak enstriksyon ki nan Aparèy Pwovizyon pou pwograme kle rasin ou a nan aparèy Intel Agilex 7.
Enfòmasyon ki gen rapò
Pwovizyon pou Aparèy nan paj 25

2.1. Kreye yon chèn siyati
Ou ka itilize zouti quartus_sign oswa aplikasyon referans agilex_sign.py pou fè operasyon chèn siyati. Dokiman sa a bay examples lè l sèvi avèk quartus_sign.
Pou itilize aplikasyon referans lan, ou ranplase yon apèl nan entèprèt Python ki enkli ak lojisyèl Intel Quartus Prime epi kite opsyon –family=agilex; tout lòt opsyon yo ekivalan. Pou egzanpample, kòmand quartus_sign yo jwenn pita nan seksyon sa a
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky ka konvèti nan apèl ekivalan a aplikasyon referans jan sa a
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Lojisyèl Intel Quartus Prime Pro Edition gen ladan zouti quartus_sign, pgm_py, ak agilex_sign.py. Ou gendwa itilize zouti kokiy lòd Nios® II, ki otomatikman mete varyab anviwònman ki apwopriye pou jwenn aksè nan zouti yo.

Swiv enstriksyon sa yo pou pote yon kokiy lòd Nios II. 1. Pote yon kokiy lòd Nios II.

Opsyon Windows
Linux

Deskripsyon
Nan meni an Kòmanse, lonje dwèt sou Pwogram Intel FPGA Nios II EDS epi klike sou Nios II Kòmand Shell.
Nan yon shell kòmand chanje a /nios2eds epi kouri lòd sa a:
./nios2_command_shell.sh

Ansyen anamples nan seksyon sa a sipoze chèn siyati ak konfigirasyon bitstream fileyo sitiye nan anyè travay aktyèl la. Si w chwazi swiv ansyen anamples kote kle files yo kenbe sou la file sistèm, sa yo ansyenamples asime kle a fileyo ye

ISO 9001:2015 anrejistre

2. Otantifikasyon ak Otorizasyon 683823 | 2023.05.23
ki sitiye nan anyè travay aktyèl la. Ou ka chwazi ki anyè pou itilize, ak zouti yo sipòte relatif file chemen. Si w chwazi kenbe kle files sou la file sistèm, ou dwe ak anpil atansyon jere otorizasyon aksè a sa yo files.
Intel rekòmande pou itilize yon Modil Sekirite Materyèl (HSM) ki disponib nan komès pou estoke kle kriptografik epi fè operasyon kriptografik. Zouti quartus_sign ak aplikasyon referans gen ladann yon Creole Kryptografi Piblik #11 (PKCS #11) Entèfas Programming Aplikasyon (API) pou kominike avèk yon HSM pandan y ap fè operasyon chèn siyati. Enplemantasyon referans agilex_sign.py gen ladan yon abstrè koòdone ak yon ansyenampkoòdone pou SoftHSM.
Ou ka itilize ansyen sa yoample interfaces pou aplike yon koòdone nan HSM ou a. Ale nan dokiman ki soti nan vandè HSM ou a pou plis enfòmasyon sou aplikasyon yon koòdone ak opere HSM ou a.
SoftHSM se yon aplikasyon lojisyèl yon aparèy kriptografik jenerik ak yon koòdone PKCS #11 ki disponib pa pwojè OpenDNSSEC® la. Ou ka jwenn plis enfòmasyon, tankou enstriksyon sou fason pou telechaje, konstwi ak enstale OpenHSM, nan pwojè OpenDNSSEC. Ansyen anamples nan seksyon sa a itilize SoftHSM vèsyon 2.6.1. Ansyen anamples nan seksyon sa a anplis itilize sèvis piblik pkcs11-zouti ki soti nan OpenSC pou fè lòt operasyon PKCS #11 ak yon siy SoftHSM. Ou ka jwenn plis enfòmasyon, tankou enstriksyon sou fason pou telechaje, konstwi, ak enstale pkcs11tool nan OpenSC.
Enfòmasyon ki gen rapò
· Pwojè OpenDNSSEC Siyatè zòn ki baze sou politik pou otomatize pwosesis swiv kle DNSSEC.
· SoftHSM Enfòmasyon sou aplikasyon yon magazen kriptografik aksesib atravè yon koòdone PKCS #11.
· OpenSC Bay yon seri bibliyotèk ak sèvis piblik ki kapab travay avèk kat entelijan.
2.1.1. Kreye pè kle otantifikasyon sou lokal la File Sistèm
Ou itilize zouti quartus_sign pou kreye pè kle otantifikasyon sou lokal la file sistèm ki sèvi ak operasyon zouti make_private_pem ak make_public_pem. Ou premye jenere yon kle prive ak operasyon make_private_pem. Ou presize koub eliptik pou itilize, kle prive a filenon, epi si ou vle pwoteje kle prive a ak yon fraz pas. Intel rekòmande pou sèvi ak koub secp384r1 ak swiv meyè pratik endistri yo pou kreye yon pasfraz solid, o aza sou tout kle prive. files. Intel rekòmande tou mete restriksyon sou la file otorizasyon sistèm sou kle prive a .pem files pou li pa mèt kay sèlman. Ou tire kle piblik la nan kle prive a ak operasyon make_public_pem. Li itil pou nonmen kle a .pem files deskriptif. Dokiman sa a sèvi ak konvansyon an _ .pem nan egzanp sa aamples.
1. Nan kokiy lòd Nios II a, kouri lòd sa a pou kreye yon kle prive. Kle prive a, ki montre anba a, yo itilize kòm kle rasin nan pita ansyenamples ki kreye yon chèn siyati. Aparèy Intel Agilex 7 sipòte plizyè kle rasin, kidonk ou menm

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 7

2. Otantifikasyon ak Otorizasyon 683823 | 2023.05.23

repete etap sa a pou kreye kantite kle rasin ki nesesè yo. Egzamples nan dokiman sa a tout refere a premye kle rasin lan, menm si ou ka bati chenn siyati nan yon mòd menm jan ak nenpòt kle rasin.

Opsyon Avèk pasfraz

Deskripsyon
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Antre pasfraz la lè yo mande pou fè sa.

San pasfraz

quartus_sign –fanmi=agilex –operasyon=make_private_pem –koub=secp384r1 –no_passphrase root0_private.pem

2. Kouri lòd sa a pou kreye yon kle piblik lè l sèvi avèk kle prive ki te pwodwi nan etap anvan an. Ou pa bezwen pwoteje konfidansyalite yon kle piblik.
quartus_sign –fanmi=agilex –operasyon=make_public_pem root0_private.pem root0_public.pem
3. Kouri kòmandman yo ankò pou kreye yon pè kle yo itilize kòm kle siyati konsepsyon nan chèn siyati a.
quartus_sign –fanmi=agilex –operasyon=make_private_pem –koub=secp384r1 design0_sign_private.pem

quartus_sign –fanmi=agilex –operasyon=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Kreye pè kle otantifikasyon nan SoftHSM
SoftHSM ansyenamples nan chapit sa a yo konsistan. Sèten paramèt depann sou enstalasyon SoftHSM ou a ak yon inisyalizasyon siy nan SoftHSM.
Zouti quartus_sign la depann de bibliyotèk PKCS #11 API ki soti nan HSM ou a.
Ansyen anamples nan seksyon sa a sipoze ke bibliyotèk SoftHSM enstale nan youn nan kote sa yo: · /usr/local/lib/softhsm2.so sou Linux · C:SoftHSM2libsofthsm2.dll sou vèsyon 32-bit nan Windows · C:SoftHSM2libsofthsm2-x64 .dll sou vèsyon 64-bit nan Windows.
Inisyalize yon siy nan SoftHSM lè l sèvi avèk zouti softhsm2-util la:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –gratis
Paramèt opsyon yo, patikilyèman etikèt jeton ak peny jeton yo se ansyenamples yo itilize nan tout chapit sa a. Intel rekòmande pou ou swiv enstriksyon machann HSM ou a pou kreye ak jere marqueur ak kle.
Ou kreye pè kle otantifikasyon lè l sèvi avèk sèvis piblik pkcs11-zouti pou kominike avèk siy la nan SoftHSM. Olye pou yo fè referans klèman ak kle prive ak piblik .pem files nan file sistèm ekzamples, ou refere a pè kle a pa etikèt li yo ak zouti a chwazi kle ki apwopriye a otomatikman.

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 8

Voye Feedback

2. Otantifikasyon ak Otorizasyon 683823 | 2023.05.23

Kouri kòmandman sa yo pou kreye yon pè kle itilize kòm kle rasin nan pita ansyenamples ansanm ak yon pè kle yo itilize kòm yon kle siyati konsepsyon nan chèn siyati a:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mekanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mekanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

Nòt:

Opsyon ID nan etap sa a dwe inik nan chak kle, men li se sèlman itilize pa HSM la. Opsyon ID sa a pa gen rapò ak ID anilasyon kle yo asiyen nan chèn siyati a.

2.1.3. Kreye antre nan rasin chèn siyati
Konvèti kle piblik rasin lan nan yon antre rasin chèn siyati, ki estoke sou lokal la file sistèm nan fòma Intel Quartus Prime kle (.qky). file, ak operasyon make_root. Repete etap sa a pou chak kle rasin ou jenere.
Kouri kòmandman sa a pou kreye yon chèn siyati ak yon antre rasin, lè l sèvi avèk yon kle piblik rasin ki soti nan file sistèm:
quartus_sign –fanmi=agilex –operasyon=make_root –key_type=pwopriyetè root0_public.pem root0.qky
Kouri lòd sa a pou kreye yon chèn siyati ak yon antre rasin, lè l sèvi avèk kle rasin ki soti nan siy SoftHSM ki te etabli nan seksyon anvan an:
quartus_sign –family=agilex –operasyon=make_root –key_type=pwopriyetè –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. ” root0 root0.qky

2.1.4. Kreye yon chèn siyati antre kle piblik
Kreye yon nouvo antre kle piblik pou yon chèn siyati ak operasyon append_key. Ou presize chèn siyati anvan an, kle prive pou dènye antre nan chèn siyati anvan an, kle piblik pwochen nivo, otorizasyon ak idantite anilasyon ou bay kle piblik nivo pwochen an, ak nouvo chèn siyati a. file.
Remake ke bibliyotèk softHSM la pa disponib ak enstalasyon Quartus epi olye li bezwen enstale separeman. Pou plis enfòmasyon sou softHSM, al gade nan Seksyon Kreye yon Chèn Siyati pi wo a.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 9

2. Otantifikasyon ak Otorizasyon 683823 | 2023.05.23
Tou depan de itilizasyon ou nan kle sou la file sistèm oswa nan yon HSM, ou itilize youn nan egzanp sa yoampkòmandman pou ajoute kle piblik design0_sign nan chèn siyati rasin ki te kreye nan seksyon anvan an:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”=previous_keyname root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Ou ka repete operasyon append_key la jiska de fwa plis pou yon maksimòm twa antre kle piblik ant antre rasin lan ak antre blòk header nan nenpòt chèn siyati.
Egzanp sa aampsipoze ou te kreye yon lòt kle piblik otantifikasyon ak menm otorizasyon yo ak idantite anilasyon 1 ki te asiyen yo rele design1_sign_public.pem, epi w ap ajoute kle sa a nan chèn siyati ansyen an.ample:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”=previous_keyname design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Aparèy Intel Agilex 7 yo genyen yon kontwa anile kle adisyonèl pou fasilite itilizasyon yon kle ki ka chanje detanzantan pandan tout lavi yon aparèy yo bay yo. Ou ka chwazi kontwa anile kle sa a lè w chanje agiman opsyon –cancel la an pts:pts_value.
2.2. Siyen yon Bitstream Konfigirasyon
Aparèy Intel Agilex 7 sipòte kontè Nimewo Vèsyon Sekirite (SVN), ki pèmèt ou anile otorizasyon yon objè san yo pa anile yon kle. Ou bay kontwa SVN a ak valè kontwa SVN apwopriye a pandan siyen nenpòt objè, tankou yon seksyon bitstream, firmwèr .zip. file, oswa sètifika kontra enfòmèl ant. Ou bay kontwa SVN ak valè SVN lè l sèvi avèk opsyon –anile ak svn_counter:svn_value kòm agiman an. Valè valab pou svn_counter se svnA, svnB, svnC, ak svnD. svn_value se yon nonb antye ki nan seri [0,63].

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 10

Voye Feedback

2. Otantifikasyon ak Otorizasyon 683823 | 2023.05.23
2.2.1. Kle Quartus File Plasman
Ou presize yon chèn siyati nan pwojè lojisyèl Intel Quartus Prime ou a pou pèmèt karakteristik otantifikasyon an pou konsepsyon sa a. Soti nan meni Devwa yo, chwazi Aparèy Aparèy ak Opsyon PIN Sekirite Kle Quartus File, Lè sa a, browse nan chèn nan siyati .qky file ou te kreye pou siyen konsepsyon sa a.
Figi 1. Pèmèt Anviwònman Bitstream Konfigirasyon

Altènativman, ou ka ajoute deklarasyon plasman sa a nan paramèt Intel Quartus Prime ou a file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
Pou jenere yon .sof file soti nan yon konsepsyon deja konpile, ki gen ladan anviwònman sa a, nan meni an Processing, chwazi Start Start Assembler. Nouvo pwodiksyon an .sof file gen ladan devwa yo pou pèmèt otantifikasyon ak chèn siyati yo bay la.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 11

2. Otantifikasyon ak Otorizasyon 683823 | 2023.05.23
2.2.2. Ko-siyen SDM Firmware
Ou sèvi ak zouti quartus_sign pou ekstrè, siyen, epi enstale mikrolojisyèl SDM ki aplikab .zip la file. Se ko-siyen firmwèr la Lè sa a, enkli nan pwogramasyon an file zouti dèlko lè ou konvèti .sof file nan yon konfigirasyon bitstream .rbf file. Ou sèvi ak kòmandman sa yo pou kreye yon nouvo chèn siyati epi siyen firmwèr SDM.
1. Kreye yon nouvo pè kle siyen.
a. Kreye yon nouvo pè kle siyati sou la file sistèm:
quartus_sign –fanmi=agilex –operasyon=make_private_pem –koub=secp384r1 firmware1_private.pem
quartus_sign –fanmi=agilex –operasyon=make_public_pem firmware1_private.pem firmware1_public.pem
b. Kreye yon nouvo pè kle siyen nan HSM la:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. Kreye yon nouvo chèn siyati ki gen nouvo kle piblik la:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”=previous_keyname root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Kopi firmwèr .zip la file soti nan anyè enstalasyon lojisyèl Intel Quartus Prime Pro Edition ou a ( /devices/programmer/firmware/agilex.zip) nan anyè k ap travay kounye a.
quartus_sign –fanmi=agilex –get_firmware=.
4. Siyen firmwèr .zip la file. Zouti a otomatikman depake .zip la file epi endividyèlman siyen tout firmwèr .cmf files, Lè sa a, rebati .zip la file pou itilize pa zouti yo nan seksyon sa yo:
quartus_sign –family=agilex –operasyon=siy –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 12

Voye Feedback

2. Otantifikasyon ak Otorizasyon 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Siyen Konfigirasyon Bitstream Sèvi ak Kòmandman quartus_sign la
Pou siyen yon bitstream konfigirasyon lè l sèvi avèk lòd quartus_sign la, ou premye konvèti .sof la file nan binè a anvan tout koreksyon ki pa siyen file (.rbf) fòma. Si ou vle, ou ka presize firmwèr ki siyen ansanm ak opsyon fw_source la pandan etap konvèsyon an.
Ou ka jenere bitstream anvan tout koreksyon ki pa siyen an nan fòma .rbf lè l sèvi avèk lòd sa a:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Kouri youn nan kòmandman sa yo pou siyen bitstream la lè l sèvi avèk zouti quartus_sign depann sou kote kle ou yo:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Ou ka konvèti siyen .rbf files nan lòt bitstream konfigirasyon file fòma.
Pou egzanpample, si w ap itilize Jwè STAPL (Jam* Standard Test and Programming Language) pou pwograme yon bitstream sou J.TAG, ou itilize kòmandman sa a pou konvèti yon .rbf file nan fòma .jam ke Jwè STAPL Jam mande a:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Rekonfigurasyon pasyèl sipò milti-otorite

Aparèy Intel Agilex 7 yo sipòte otantifikasyon milti-otorite rekonfigirasyon pasyèl, kote pwopriyetè aparèy la kreye epi siyen bitstream estatik la, epi yon pwopriyetè PR separe kreye ak siyen bitstreams PR. Aparèy Intel Agilex 7 yo aplike sipò milti-otorite lè yo bay premye plas kle rasin otantifikasyon yo bay pwopriyetè aparèy la oswa pwopriyetè bitstream estatik epi yo bay emplacement kle rasin otantifikasyon final la bay pwopriyetè bitstream pèsonaj la rekonfigurasyon pasyèl la.
Si karakteristik otantifikasyon an aktive, Lè sa a, tout imaj PR persona yo dwe siyen, ki gen ladan imaj PR persona ki enbrike. Pwopriyetè aparèy la oswa pwopriyetè PR a kapab siyen imaj pèsonaj PR yo; sepandan, pwopriyetè aparèy la dwe siyen bitstream rejyon estatik.

Nòt:

Rekonfigurasyon pasyèl cryptage estatik ak pèsonaj bitstream lè sipò milti-otorite pèmèt yo planifye nan yon lage nan lavni.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 13

2. Otantifikasyon ak Otorizasyon 683823 | 2023.05.23

Figi 2.

Enplemante sipò milti-otorite pou rekonfigirasyon pasyèl mande plizyè etap:
1. Pwopriyetè aparèy la oswa pwopriyetè bitstream estatik jenere youn oswa plis kle rasin otantifikasyon jan sa dekri nan Kreye Pè Kle Otantifikasyon nan SoftHSM nan paj 8, kote opsyon –key_type a gen valè pwopriyetè.
2. Pwopriyetè bitstream rekonfigirasyon pasyèl la jenere yon kle rasin otantifikasyon men chanje valè opsyon –key_type nan secondary_owner.
3. Tou de pwopriyetè konsepsyon bitstream estatik ak yon pati nan rekonfigirasyon asire ke kaz la Pèmèt sipò milti-otorite yo aktive nan tab la Sekirite Aparèy Devwa ak Opsyon Pin.
Intel Quartus Prime Pèmèt Anviwònman Opsyon Multi-Otorite

4. Tou de pwopriyetè konsepsyon bitstream estatik ak rekonfigirasyon pasyèl yo kreye chenn siyati ki baze sou kle rasin respektif yo jan sa dekri nan Kreye yon chèn siyati nan paj 6.
5. Tou de pwopriyetè konsepsyon bitstream estatik ak yon pati nan rekonfigirasyon konvèti desen konpile yo nan fòma .rbf. files epi siyen .rbf la files.
6. Pwopriyetè aparèy la oswa pwopriyetè bitstream estatik jenere epi siyen yon sètifika kontra enfòmèl ant otorizasyon pwogram kle piblik PR.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 14

Voye Feedback

2. Otantifikasyon ak Otorizasyon 683823 | 2023.05.23

7. Aparèy la oswa pwopriyetè bitstream estatik bay hashes kle rasin otantifikasyon yo nan aparèy la, Lè sa a, pwogram PR pwogram kle piblik otorizasyon kontra enfòmèl ant sètifika a, epi finalman pwovizyon an pati rekonfigirasyon pwopriyetè bitstream kle rasin nan aparèy la. Seksyon Pwovizyon pou Aparèy la dekri pwosesis pwovizyon sa a.
8. Aparèy Intel Agilex 7 configuré ak rejyon estatik .rbf file.
9. Aparèy Intel Agilex 7 pasyèlman rekonfigire ak konsepsyon pèsonaj la .rbf file.
Enfòmasyon ki gen rapò
· Kreye yon chèn siyati nan paj 6
· Kreye Pè Kle Otantifikasyon nan SoftHSM nan paj 8
· Pwovizyon pou Aparèy nan paj 25

2.2.5. Verifye chèn siyati Bitstream konfigirasyon
Apre ou fin kreye chenn siyati ak bitstream siyen, ou ka verifye ke yon bitstream siyen kòrèkteman konfigirasyon yon aparèy pwograme ak yon kle rasin bay yo. Ou premye itilize operasyon fuse_info kòmand quartus_sign la pou enprime hash kle piblik rasin lan nan yon tèks. file:
quartus_sign –fanmi=agilex –operasyon=fuse_info root0.qky hash_fuse.txt

Lè sa a, ou sèvi ak opsyon check_integrity nan lòd quartus_pfg la pou enspekte chèn siyati a sou chak seksyon nan yon bitstream siyen nan fòma .rbf. Opsyon check_integrity la enprime enfòmasyon sa yo:
· Estati tcheke an jeneral entegrite bitstream la
· Sa ki nan chak antre nan chak chèn siyati tache ak chak seksyon nan bitstream .rbf la file,
· Valè fuse espere pou hash kle piblik rasin lan pou chak chèn siyati.
Valè soti nan pwodiksyon fuse_info a ta dwe matche ak liy yo Fuse nan pwodiksyon check_integrity la.
quartus_pfg –check_integrity signed_bitstream.rbf

Isit la se yon ansyenampchiyè pwodiksyon lòd check_integrity:

Enfòmasyon: Kòmandman: quartus_pfg –check_integrity signed_bitstream.rbf Estati entegrite: OK

Seksyon

Kalite: CMF

Deskriptè siyati...

Chèn siyati #0 (antre: -1, konpanse: 96)

Antre #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Jenere kle...

Koub: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Jenere kle...

Koub: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 15

2. Otantifikasyon ak Otorizasyon 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Antre #1

Jenere kle...

Koub: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Entry #2 Keychain otorizasyon: SIGN_CODE Keychain ka anile pa ID: 3 Chèn siyati #1 (antre: -1, offset: 648)

Antre #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Jenere kle...

Koub: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Jenere kle...

Koub: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Antre #1

Jenere kle...

Koub: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Antre #2

Jenere kle...

Koub: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entry #3 Keychain pèmisyon: SIGN_CODE Keychain ka anile pa ID: 15 Chèn siyati #2 (antre: -1, konpanse: 0) Chèn siyati #3 (antre: -1, konpanse: 0) Chèn siyati #4 (antre: -1, konpanse: 0) Chèn siyati #5 (antre: -1, konpanse: 0) Chèn siyati #6 (antre: -1, konpanse: 0) Chèn siyati #7 (antre: -1, konpanse: 0)

Kalite Seksyon: Deskriptè Siyati IO … Chèn siyati #0 (antre: -1, konpanse: 96)

Antre #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Jenere kle...

Koub: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 16

Voye Feedback

2. Otantifikasyon ak Otorizasyon 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Jenere kle...

Koub: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Antre #1

Jenere kle...

Koub: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Antre #2

Jenere kle...

Koub: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entry #3 Keychain pèmisyon: SIGN_CORE Keychain ka anile pa ID: 15 Chèn siyati #1 (antre: -1, konpanse: 0) Chèn siyati #2 (antre: -1, konpanse: 0) Chèn siyati #3 (antre: -1, konpanse: 0) Chèn siyati #4 (antre: -1, konpanse: 0) Chèn siyati #5 (antre: -1, konpanse: 0) Chèn siyati #6 (antre: -1, konpanse: 0) Siyati chèn #7 (antre: -1, konpanse: 0)

Seksyon

Kalite: HPS

Deskriptè siyati...

Chèn siyati #0 (antre: -1, konpanse: 96)

Antre #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Jenere kle...

Koub: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Jenere kle...

Koub: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Antre #1

Jenere kle...

Koub: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Antre #2

Jenere kle...

Koub: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 17

2. Otantifikasyon ak Otorizasyon 683823 | 2023.05.23

Entry #3 Keychain pèmisyon: SIGN_HPS Keychain ka anile pa ID: 15 Chèn siyati #1 (antre: -1, konpanse: 0) Chèn siyati #2 (antre: -1, konpanse: 0) Chèn siyati #3 (antre: -1, konpanse: 0) Chèn siyati #4 (antre: -1, konpanse: 0) Chèn siyati #5 (antre: -1, konpanse: 0) Chèn siyati #6 (antre: -1, konpanse: 0) Siyati chèn #7 (antre: -1, konpanse: 0)

Kalite Seksyon: CORE Deskriptè Siyati … Chèn siyati #0 (antre: -1, konpanse: 96)

Antre #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Jenere kle...

Koub: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Jenere kle...

Koub: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Antre #1

Jenere kle...

Koub: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Antre #2

Jenere kle...

Koub: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 18

Voye Feedback

683823 | 2023.05.23 Voye Feedback

AES Bitstream chifreman

Avanse chifreman estanda (AES) chifreman bitstream se yon karakteristik ki pèmèt yon pwopriyetè aparèy pwoteje konfidansyalite nan pwopriyete entelektyèl nan yon bitstream konfigirasyon.
Pou ede pwoteje konfidansyalite kle yo, konfigirasyon bitstream chifreman itilize yon chèn kle AES. Kle sa yo yo itilize pou ankripte done pwopriyetè a nan konfigirasyon bitstream la, kote premye kle entèmedyè a ankripte ak kle rasin AES la.

3.1. Kreye kle rasin AES

Ou ka itilize zouti quartus_encrypt oswa aplikasyon referans stratix10_encrypt.py pou kreye yon kle rasin AES nan fòma kle chifreman lojisyèl Intel Quartus Prime (.qek). file.

Nòt:

stratix10_encrypt.py la file yo itilize pou Intel Stratix® 10, ak Intel Agilex 7 aparèy.

Si ou vle, ou ka presize kle debaz yo itilize pou tire kle rasin AES ak kle derivasyon kle, valè pou kle rasin AES dirèkteman, kantite kle entèmedyè, ak itilizasyon maksimòm pou chak kle entèmedyè.

Ou dwe presize fanmi aparèy la, pwodiksyon .qek file kote, ak pasfraz lè yo mande.
Kouri lòd sa a pou jenere kle rasin AES la lè l sèvi avèk done o aza pou kle debaz la ak valè default pou kantite kle entèmedyè ak itilizasyon maksimòm kle.
Pou itilize aplikasyon referans lan, ou ranplase yon apèl nan entèprèt Python ki enkli ak lojisyèl Intel Quartus Prime epi kite opsyon –family=agilex; tout lòt opsyon yo ekivalan. Pou egzanpample, kòmand quartus_encrypt yo jwenn pita nan seksyon an

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

ka konvèti nan apèl ekivalan a aplikasyon referans jan sa a pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Anviwònman chifreman Quartus
Pou pèmèt chifreman bitstream pou yon konsepsyon, ou dwe presize opsyon ki apwopriye yo lè l sèvi avèk panèl Sekirite Aparèy Devwa ak Opsyon Pin. Ou chwazi kaz la Pèmèt konfigirasyon bitstream chifreman, ak kote ou vle depo kle chifreman an nan meni an deroulant.

ISO 9001:2015 anrejistre

Figi 3. Intel Quartus Prime Anviwònman chifreman

3. AES Bitstream chifreman 683823 | 2023.05.23

Altènativman, ou ka ajoute deklarasyon plasman sa a nan paramèt Intel Quartus Prime ou a file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM sou set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Si ou vle pèmèt alèjman adisyonèl kont vektè atak bò-chanèl, ou ka aktive deroule chifreman aktyalizasyon chifreman an ak Pèmèt kaz koche.

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 20

Voye Feedback

3. AES Bitstream chifreman 683823 | 2023.05.23

Chanjman korespondan yo nan .qsf la se:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING sou set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Chifre yon Bitstream Konfigirasyon
Ou ankripte yon bitstream konfigirasyon anvan ou siyen bitstream la. Programmasyon Intel Quartus Prime File Zouti dèlko ka otomatikman ankripte ak siyen yon bitstream konfigirasyon lè l sèvi avèk koòdone itilizatè grafik la oswa liy lòd.
Opsyonèlman, ou ka kreye yon bitstream pasyèlman ankripte pou itilize ak zouti quartus_encrypt ak quartus_sign oswa ekivalan aplikasyon referans.

3.3.1. Konfigirasyon Bitstream chifreman lè l sèvi avèk pwogramasyon an File Entèfas grafik jeneratè
Ou ka itilize pwogramasyon an File Jeneratè pou ankripte epi siyen imaj pwopriyetè a.

Figi 4.

1. Sou Intel Quartus Prime la File meni chwazi Programming File Dèlko. 2. Sou Sòti a Files tab, presize pwodiksyon an file tape pou konfigirasyon ou
konplo.
Sòti File Spesifikasyon

Konfigirasyon konplo Sòti file tab
Sòti file kalite

3. Sou Antre a Files tab, klike sou Add Bitstream epi browse nan .sof ou a. 4. Pou presize opsyon chifreman ak otantifikasyon chwazi .sof la epi klike
Pwopriyete. a. Limen Pèmèt zouti siyen an. b. Pou kle prive file chwazi kle siyati prive ou .pem file. c. Limen Finalize chifreman.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 21

3. AES Bitstream chifreman 683823 | 2023.05.23

Figi 5.

d. Pou kle chifreman file, chwazi .qek AES ou a file. Antre (.sof) File Pwopriyete pou Otantifikasyon ak chifreman

Pèmèt otantifikasyon Espesifye rasin prive .pem
Pèmèt chifreman Espesifye kle chifreman
5. Pou jenere bitstream la siyen ak chiffres, sou Antre a Files tab, klike sou Jenere. Bwat dyalòg modpas yo parèt pou ou antre pasfraz ou pou kle AES ou .qek file epi siyen kle prive .pem file. Pwogramasyon an file dèlko kreye pwodiksyon an chiffres ak siyen_file.rbf.
3.3.2. Konfigirasyon Bitstream chifreman lè l sèvi avèk pwogramasyon an File Entèfas liy kòmand jeneratè
Jenere yon bitstream konfigirasyon chiffres ak siyen nan fòma .rbf ak koòdone liy lòd quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
Ou ka konvèti yon bitstream konfigirasyon ankripte ak siyen nan fòma .rbf nan lòt bitstream konfigirasyon file fòma.
3.3.3. Pasyèlman chiffres Konfigirasyon Bitstream Jenerasyon lè l sèvi avèk koòdone liy lòd la
Ou ka jenere yon pwogram ki pasyèlman chiffres file finalize chifreman epi siyen imaj la pita. Jenere pwogramasyon an pasyèlman chiffres file nan fòma .rbf ak koòdone liy kòmand quartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 22

Voye Feedback

3. AES Bitstream chifreman 683823 | 2023.05.23
Ou itilize zouti liy kòmand quartus_encrypt la pou finalize chifreman bitstream:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Ou sèvi ak zouti liy kòmand quartus_sign pou siyen konfigirasyon an chiffres:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Rekonfigurasyon pasyèl Bitstream chifreman
Ou ka pèmèt chifreman bitstream sou kèk desen Intel Agilex 7 FPGA ki sèvi ak rekonfigurasyon pasyèl.
Konfigurasyon pasyèl yo ki itilize Hierarchical Patial Reconfiguration (HPR), oswa Static Update Partial Reconfiguration (SUPR) pa sipòte chifreman bitstream la. Si konsepsyon ou a gen plizyè rejyon PR, ou dwe ankripte tout pèsonaj yo.
Pou pèmèt rekonfigirasyon pasyèl chifreman bitstream, swiv menm pwosedi a nan tout revizyon konsepsyon. 1. Sou Intel Quartus Prime la File meni, chwazi Devwa Aparèy Aparèy
ak Pin Opsyon Sekirite. 2. Chwazi kote depo kle chifreman vle a.
Figi 6. Anviwònman chifreman Bitstream Rekonfigurasyon Pasyèl

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 23

3. AES Bitstream chifreman 683823 | 2023.05.23
Altènativman, ou ka ajoute deklarasyon plasman sa a nan paramèt Quartus Prime yo file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION sou
Apre ou fin konpile konsepsyon baz ou ak revizyon, lojisyèl an jenere a.soffile ak youn oswa plis.pmsffiles, ki reprezante pèsonaj yo. 3. Kreye pwogramasyon chiffres ak siyen files soti nan.sof ak.pmsf files nan yon mòd menm jan ak desen ki pa gen okenn rekonfigirasyon pasyèl pèmèt. 4. Konvèti persona.pmsf konpile a file nan yon pasyèlman encrypted.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Finalize chifreman bitstream lè l sèvi avèk zouti liy kòmand quartus_encrypt la:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Siyen bitstream konfigirasyon chiffres la lè l sèvi avèk zouti liy kòmand quartus_sign la:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 24

Voye Feedback

683823 | 2023.05.23 Voye Feedback

Pwovizyon pou Aparèy

Inisyal karakteristik sekirite pwovizyon sèlman sipòte nan firmwèr pwovizyon SDM la. Sèvi ak pwogramè Intel Quartus Prime pou chaje firmwèr pwovizyon SDM a epi fè operasyon pwovizyon.
Ou ka itilize nenpòt kalite JTAG telechaje kab konekte pwogramè Quartus la ak yon aparèy Intel Agilex 7 pou fè operasyon pwovizyon.
4.1. Sèvi ak SDM Provision Firmware
Programmateur Intel Quartus Prime a otomatikman kreye ak chaje yon imaj asistan default faktori lè ou chwazi operasyon inisyalize a ak yon lòd pou pwograme yon lòt bagay pase yon bitstream konfigirasyon.
Tou depan de lòd pwogramasyon an espesifye, imaj asistans default faktori a se youn nan de kalite:
· Imaj asistan pwovizyon – konsiste de yon seksyon bitstream ki gen firmwèr pwovizyon SDM.
· Imaj asistan QSPI-konsiste de de seksyon bitstream, youn ki gen firmwèr prensipal SDM ak yon seksyon I/O.
Ou ka kreye yon imaj asistan default faktori file pou chaje nan aparèy ou an anvan ou fè nenpòt kòmand pwogramasyon. Apre pwogramasyon yon hash kle rasin otantifikasyon, ou dwe kreye epi siyen yon imaj asistan QSPI faktori default akòz seksyon I/O ki enkli. Si w tou pwograme eFuse anviwònman sekirite firmwèr ki te siyen an ansanm, ou dwe kreye imaj asistan defo faktori QSPI ak pwovizyon ak firmwèr ki siyen ansanm. Ou ka sèvi ak yon imaj asistan defo faktori ko-siyen sou yon aparèy san pwovizyon kòm aparèy ki pa apwovizyone inyore chenn siyati ki pa Intel sou firmwèr SDM. Al gade nan Sèvi ak Imaj Asistan QSPI Factory Default sou Aparèy Posede yo nan paj 26 pou plis detay sou kreye, siyen, ak itilize imaj asistan QSPI faktori a.
Imaj asistan defo faktori pwovizyon an fè yon aksyon pwovizyon, tankou pwogramasyon hash kle rasin otantifikasyon, fyouz anviwònman sekirite, enskripsyon PUF, oswa pwovizyon kle nwa. Ou itilize Intel Quartus Prime Programming la File Zouti liy kòmand jeneratè pou kreye imaj asistan pwovizyon an, ki espesifye opsyon helper_image, non helper_device ou a, subtip imaj asistan pwovizyon an, epi opsyonèlman yon firmwèr .zip ki siyen ansanm. file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Pwograme imaj asistan an lè l sèvi avèk zouti Intel Quartus Prime Programmer la:
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" -fòs

ISO 9001:2015 anrejistre

4. Aparèy Pwovizyon 683823 | 2023.05.23

Nòt:

Ou ka omisyon operasyon inisyalize a nan kòmandman, ki gen ladan egzanpampchi yo bay nan chapit sa a, apre swa pwograme yon imaj asistan pwovizyon oswa lè w fin itilize yon kòmandman ki gen operasyon inisyalize a.

4.2. Sèvi ak QSPI Factory Default Helper Imaj sou Aparèy posede yo
Programmateur Intel Quartus Prime otomatikman kreye ak chaje yon imaj asistan QSPI faktori default lè ou chwazi operasyon inisyalize pou yon pwogramasyon flash QSPI. file. Apre w fin pwograme yon hash kle rasin otantifikasyon, ou dwe kreye epi siyen imaj asistan faktori QSPI a, epi pwograme imaj asistan faktori QSPI siyen separeman anvan w pwograme flash QSPI la. 1. Ou itilize Intel Quartus Prime Programming la File Dèlko kòmand liy zouti pou
kreye imaj asistan QSPI a, espesifye opsyon helper_image, kalite helper_device ou a, subtip imaj asistan QSPI a, epi opsyonèlman yon firmwèr .zip ki siyen. file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Ou siyen imaj asistan QSPI faktori a:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Ou ka itilize nenpòt pwogram flash QSPI file fòma. Egzanp sa aamples sèvi ak yon konfigirasyon bitstream konvèti nan .jic la file fòma:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Ou pwograme imaj asistan siyen an lè l sèvi avèk zouti Intel Quartus Prime Programmer la:
quartus_pgm -c 1 -mjtag -o "p;signed_qspi_helper_image.rbf" -fòs
5. Ou pwograme imaj .jic la pou flash lè l sèvi avèk zouti Intel Quartus Prime Programmer la:
quartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. Otantifikasyon Rasin Kle Pwovizyon
Pou pwograme hash kle rasin pwopriyetè a nan fyouz fizik, premye ou dwe chaje firmwèr pwovizyon an, pwochen pwogram hash kle rasin pwopriyetè a, epi imedyatman fè yon reset pouvwa-sou. Yon reset pouvwa-sou pa obligatwa si pwogramasyon hashes kle rasin nan fuse vityèl.

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 26

Voye Feedback

4. Aparèy Pwovizyon 683823 | 2023.05.23
Pou pwograme otantifikasyon kle rasin, ou pwograme imaj asistan firmwèr pwovizyon epi kouri youn nan kòmandman sa yo pou pwograme kle rasin .qky. files.
// Pou fizik (ki pa temèt) eFuses quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky" -non_volatile_key
// Pou vityèl (temèt) eFuses quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. Rekonfigurasyon pasyèl milti-otorite Programmation kle rasin
Apre pwovizyon kle rasin pwopriyetè a aparèy oswa rejyon estatik bitstream, ou ankò chaje imaj asistan pwovizyon aparèy la, pwograme sètifika kontra enfòmèl ant pwogram otorizasyon pwogram piblik PR ki siyen, ak Lè sa a, pwovizyon kle rasin pwopriyetè PR persona bitstream la.
// Pou fizik (ki pa temèt) eFuses quartus_pgm -c 1 -mjtag -o "p;root_pr.qky" –pr_pubkey –non_volatile_key
// Pou vityèl (temèt) eFuses quartus_pgm -c 1 -mjtag -o "p;p;root_pr.qky" -pr_pubkey
4.4. Programming kle anilasyon ID fusibles
Kòmanse avèk vèsyon lojisyèl Intel Quartus Prime Pro Edition 21.1, pwogramasyon Intel ak kle pwopriyetè anilasyon ID fusibles mande pou itilize yon sètifika kontra enfòmèl ant siyen. Ou ka siyen sètifika kontra enfòmèl ant ID anile kle a avèk yon chèn siyati ki gen otorizasyon pou siyen seksyon FPGA. Ou kreye sètifika kontra enfòmèl ant ak pwogramasyon an file zouti liy lòd dèlko. Ou siyen sètifika a ki pa siyen lè l sèvi avèk zouti quartus_sign oswa aplikasyon referans.
Aparèy Intel Agilex 7 sipòte bank separe ID anile kle pwopriyetè pou chak kle rasin. Lè yon sètifika kontra enfòmèl ant ID anilasyon kle pwopriyetè pwograme nan yon Intel Agilex 7 FPGA, SDM detèmine ki kle rasin ki te siyen sètifika kontra enfòmèl ant an epi li soufle fuse ID anilasyon kle ki koresponn ak kle rasin sa a.
Egzanp sa aamples kreye yon sètifika anilasyon kle Intel pou ID kle Intel 7. Ou ka ranplase 7 ak ID anilasyon kle Intel ki aplikab ant 0-31.
Kouri kòmandman sa a pou kreye yon sètifika kontra ID anilasyon kle Intel san siyen:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Kouri youn nan kòmandman sa yo pou siyen sètifika kontra enfòmèl ant ID anilasyon kle Intel ki pa siyen:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 27

4. Aparèy Pwovizyon 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Kouri kòmandman sa a pou kreye yon sètifika kontra ID anile kle pwopriyetè ki pa siyen:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Kouri youn nan kòmandman sa yo pou siyen sètifika kontra enfòmèl ant ID anilasyon kle pwopriyetè a ki pa siyen:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Apre ou fin kreye yon sètifika kontra enfòmèl ant ID anilasyon kle ki siyen, ou sèvi ak pwogramè Intel Quartus Prime pou pwograme sètifika kontra enfòmèl ant aparèy la atravè J.TAG.
//Pou fizik (ki pa temèt) eFuses quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" -non_volatile_key quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert" -non_volatile_key
//Pou vityèl (temèt) eFuses quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert"
Anplis de sa, ou ka voye sètifika kontra enfòmèl ant SDM a lè l sèvi avèk koòdone bwat postal FPGA oswa HPS.
4.5. Anile kle rasin
Aparèy Intel Agilex 7 pèmèt ou anile hash kle rasin yo lè gen yon lòt hash kle rasin ki pa anile. Ou anile yon hash kle rasin pa premye konfigirasyon aparèy la ak yon konsepsyon ki gen chèn siyati anrasinen nan yon hash kle rasin diferan, Lè sa a, pwograme yon siyen anile kle rasin hash sètifika kontra enfòmèl ant. Ou dwe siyen sètifika kontra enfòmèl ant anile kle rasin anile ak yon chèn siyati ki anrasinen nan kle rasin yo dwe anile.
Kouri lòd sa a pou jenere yon sètifika kontra enfòmèl ant anile kle rasin ki pa siyen:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 28

Voye Feedback

4. Aparèy Pwovizyon 683823 | 2023.05.23

Kouri youn nan kòmandman sa yo pou siyen sètifika kontra enfòmèl ant anile kle rasin ki pa siyen an:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Ou ka pwograme yon sètifika kontra enfòmèl ant anile kle rasin atravè JTAG, FPGA, oswa bwat postal HPS.

4.6. Programmation Counter Fuses
Ou mete ajou Nimewo Vèsyon Sekirite (SVN) ak Pseudo Time Stamp (PTS) fyouz kontwa lè l sèvi avèk sètifika kontra enfòmèl ant siyen.

Nòt:

SDM a kenbe tras de valè kontwa minimòm yo wè pandan yon konfigirasyon bay epi li pa aksepte sètifika enkreman kontwa lè valè vann san preskripsyon an pi piti pase valè minimòm lan. Ou dwe mete ajou tout objè ki asiyen nan yon kontwa epi rekonfigire aparèy la anvan ou pwograme yon sètifika kontra enkreman kontwa.

Kouri youn nan kòmandman sa yo ki koresponn ak sètifika enkreman kontwa ou vle jenere.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Yon valè kontwa 1 kreye yon sètifika otorizasyon kont enkreman. Pwogramasyon yon sètifika kontra enkreman otorizasyon kontwa pèmèt ou pwograme plis sètifika enkreman kontwa ki pa siyen pou mete ajou kontwa respektif la. Ou sèvi ak zouti quartus_sign la pou siyen sètifika kontra enfòmèl ant kontwa yo menm jan ak sètifika kontrakte idantite anilasyon kle yo.
Ou ka pwograme yon sètifika kontra enfòmèl ant anile kle rasin atravè JTAG, FPGA, oswa bwat postal HPS.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 29

4. Aparèy Pwovizyon 683823 | 2023.05.23

4.7. Sekirize done objè sèvis rasin kle pwovizyon
Ou itilize Intel Quartus Prime Programmer pou bay kle rasin Secure Data Object Service (SDOS). Pwogramè a otomatikman chaje imaj asistan firmwèr pwovizyon pou bay kle rasin SDOS la.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

4.8. Sekirite Anviwònman Fuse Pwovizyon
Sèvi ak Intel Quartus Prime Programmer la pou egzamine aparèy sekirite anviwònman yo epi ekri yo nan yon .fuse ki baze sou tèks. file jan sa a:
quartus_pgm -c 1 -mjtag -o "ei;programasyon_file.fuse;AGFB014R24B"

Opsyon · mwen: Pwogramè a chaje imaj asistan firmwèr pwovizyon nan aparèy la. · e: Pwogramè a li fuse ki soti nan aparèy la epi li estoke li nan yon .fuse file.

.fuse a file gen yon lis pè non-valè fuse. Valè a presize si wi ou non yon fuse te kònen oswa sa ki nan jaden an fuse.

Egzanp sa aample montre fòma .fuse la file:

# ko-siyen firmwèr

= "Pa soufle"

# Aparèy Pèmi Touye

= "Pa soufle"

# Aparèy pa an sekirite

= "Pa soufle"

# Enfim HPS debug

= "Pa soufle"

# Enfim enskripsyon ID intrinsèque PUF

= "Pa soufle"

# Enfim JTAG

= "Pa soufle"

# Enfim kle chifreman ki anvlope PUF

= "Pa soufle"

# Enfim kle chifreman pwopriyetè a nan BBRAM = "Pa soufle"

# Enfim kle chifreman pwopriyetè a nan eFuses = "Pa soufle"

# Enfim pwopriyetè rasin kle piblik hash 0

= "Pa soufle"

# Enfim pwopriyetè rasin kle piblik hash 1

= "Pa soufle"

# Enfim pwopriyetè rasin kle piblik hash 2

= "Pa soufle"

# Enfim eFuses vityèl yo

= "Pa soufle"

# Fòse revèy SDM nan osilateur entèn = "Pa kònen"

# Fòse aktyalizasyon kle chifreman

= "Pa soufle"

# Intel eksplisit anile kle

= "0"

# Fèmen sekirite eFuses

= "Pa soufle"

# Pwopriyetè pwogram kle chifreman fè

= "Pa soufle"

# Pwopriyetè pwogram kle chifreman kòmanse

= "Pa soufle"

# Anilasyon kle eksplisit pwopriyetè a 0

= ""

# Anilasyon kle eksplisit pwopriyetè a 1

= ""

# Anilasyon kle eksplisit pwopriyetè a 2

= ""

# Pwopriyetè fusibles

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000"

# Pwopriyetè rasin kle piblik hash 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Pwopriyetè rasin kle piblik hash 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Pwopriyetè rasin kle piblik hash 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Pwopriyetè rasin gwosè kle piblik la

= "Okenn"

# PTS kontwa

= "0"

# baz kontwa PTS

= "0"

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 30

Voye Feedback

4. Aparèy Pwovizyon 683823 | 2023.05.23

# QSPI demaraj reta # RMA Counter # SDMIO0 se I2C # SVN kontwa A # SVN kontwa B # SVN kontwa C # SVN kontwa D

= "10ms" = "0" = "Pa soufle" = "0" = "0" = "0" = "0"

Modifye .fuse la file pou mete sekirite ou vle mete fusibles. Yon liy ki kòmanse ak # yo trete kòm yon liy kòmantè. Pou pwograme yon seri sekirite, retire # ki mennen nan epi mete valè a sou Blow. Pou egzanpample, pou pèmèt ko-siyen Firmware anviwònman sekirite fuse, modifye liy lan premye nan fuse a file sa ki annapre yo:
Firmware ko-siyen = "Blowed"

Ou kapab tou asiyen ak pwograme Pwopriyetè Fuses yo selon kondisyon ou yo.
Ou ka itilize kòmandman sa a pou fè yon chèk vid, pwograme, ak verifye kle piblik rasin pwopriyetè a:
quartus_pgm -c 1 -mjtag -o "ibpv;root0.qky"

Opsyon · mwen: Chaje imaj asistan firmwèr pwovizyon nan aparèy la. · b: Fè yon chèk vid pou verifye fyouz anviwònman sekirite vle yo pa
deja soufle. · p: Pwogram fuse a. · v: Verifye kle pwograme sou aparèy la.
Apre pwogramasyon .qky la file, ou gendwa egzamine enfòmasyon fuzib la lè w tcheke enfòmasyon sou fuzib la ankò pou asire ke tou de hash kle piblik pwopriyetè a ak gwosè kle piblik pwopriyetè a gen valè ki pa zewo.
Pandan ke jaden sa yo pa ekri nan .fuse la file metòd, yo enkli pandan pwodiksyon an egzamine operasyon pou verifikasyon: · Aparèy pa an sekirite · Aparèy pèmi touye · Enfim pwopriyetè rasin kle piblik hash 0 · Enfim pwopriyetè rasin kle piblik hash 1 · Enfim mèt kay rasin kle piblik hash 2 · Intel kle anile · Pwopriyetè pwogram kle chifreman kòmanse · Pwopriyetè pwogram kle chifreman fini · Anile kle pwopriyetè a · Pwopriyetè kle piblik hash · Pwopriyetè kle piblik gwosè · Pwopriyetè rasin kle piblik hash 0 · Pwopriyetè rasin kle piblik hash 1 · Pwopriyetè rasin kle piblik hash 2

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 31

4. Aparèy Pwovizyon 683823 | 2023.05.23
· PTS kontwa · PTS kontwa baz · QSPI demaraj reta · RMA kontwa · SDMIO0 se I2C · SVN kontwa A · SVN kontwa B · SVN kontwa C · SVN kontwa D
Sèvi ak pwogramè Intel Quartus Prime pou pwograme .fuse la file tounen nan aparèy la. Si ou ajoute opsyon i a, pwogramè a otomatikman chaje firmwèr dispozisyon pou pwograme fusibles anviwònman sekirite yo.
//Pou fizik (ki pa temèt) eFuses quartus_pgm -c 1 -mjtag -o "pi;pwogram_file.fuse” –non_volatile_key
//Pou vityèl (temèt) eFuses quartus_pgm -c 1 -mjtag -o "pi;pwogram_file.fuse"
Ou ka sèvi ak lòd sa a pou verifye si hash kle rasin aparèy la se menm jan ak .qky yo bay nan lòd la:
quartus_pgm -c 1 -mjtag -o "v;root0_another.qky"
Si kle yo pa matche, pwogramè a echwe ak yon mesaj erè Operasyon echwe.
4.9. AES Rasin Kle Pwovizyon
Ou dwe itilize yon sètifika kontra enfòmèl ant kle rasin AES ki siyen pou pwograme yon kle rasin AES sou yon aparèy Intel Agilex 7.
4.9.1. AES rasin kle kontra enfòmèl ant Sètifika
Ou sèvi ak zouti liy kòmand quartus_pfg pou konvèti kle rasin AES ou .qek file nan fòma sètifika kontra enfòmèl ant .ccert la. Ou presize kote depo kle a pandan w ap kreye sètifika kontra enfòmèl ant. Ou ka itilize zouti quartus_pfg pou kreye yon sètifika ki pa siyen pou siyen pita. Ou dwe itilize yon chèn siyati ak pèmisyon siyen sètifika rasin kle AES, ti pèmisyon 6, aktive pou w siyen avèk siksè yon sètifika kontra enfòmèl ant kle rasin AES.

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 32

Voye Feedback

4. Aparèy Pwovizyon 683823 | 2023.05.23
1. Kreye yon pè kle adisyonèl yo itilize pou siyen sètifika kontra enfòmèl ant kle AES lè l sèvi avèk youn nan lòd sa yo egzanpamples:
quartus_sign –fanmi=agilex –operasyon=make_private_pem –koub=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mécanisme ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. Kreye yon chèn siyati ak ti moso pèmisyon kòrèk la lè l sèvi avèk youn nan kòmandman sa yo:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Kreye yon sètifika kontra enfòmèl ant AES ki pa siyen pou kote depo kle rasin AES vle. Opsyon depo kle rasin AES sa yo disponib:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Kreye eFuse AES kle rasin sètifika san siyen quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Siyen sètifika kontra enfòmèl ant ak kòmandman quartus_sign oswa aplikasyon referans.
quartus_sign –fanmi=agilex –operasyon=siy –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.sèk siyen_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 33

4. Aparèy Pwovizyon 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.sèk siyen_ 1.ccert
5. Sèvi ak Intel Quartus Prime Programmer la pou pwograme sètifika kontra enfòmèl ant kle rasin AES sou aparèy Intel Agilex 7 la atravè J.TAG. Programmateur Intel Quartus Prime a pa pwograme eFuses vityèl lè w ap itilize kalite sètifika kontra enfòmèl ant EFUSE_WRAPPED_AES_KEY.
Ou ajoute opsyon –non_volatile_key pou presize pwogramasyon fuze fizik yo.
//Pou fizik (ki pa temèt) eFuse AES rasin kle quartus_pgm -c 1 -mjtag -o "pi;signed_fuse1.ccert" -non_volatile_key

//Pou vityèl (temèt) eFuse AES rasin kle quartus_pgm -c 1 -mjtag -o "pi;signed_fuse1.ccert"

//Pou kle rasin BBRAM AES quartus_pgm -c 1 -mjtag -o "pi;signed_bbram1.ccert"

SDM pwovizyon firmwèr ak firmwèr prensipal sipòte pwogramasyon sètifika rasin AES. Ou ka itilize tou koòdone bwat lèt SDM ki soti nan twal FPGA oswa HPS pou pwograme yon sètifika rasin kle AES.

Nòt:

Kòmand quartus_pgm a pa sipòte opsyon b ak v pou sètifika kontra enfòmèl ant (.ccert).

4.9.2. Intrinsic ID® PUF AES Rasin Key Provisioning
Mete an aplikasyon PUF ID intrinsèque ki anvlope AES kle a gen ladan etap sa yo: 1. Enskri PUF ID intrinsèque via J.TAG. 2. Anbalaj kle rasin AES la. 3. Pwogramasyon done asistan yo ak kle vlope nan memwa flash kwadwilatè SPI. 4. Demand estati deklanchman ID intrinsèque PUF la.
Sèvi ak teknoloji Intrinsic ID mande pou yon akò lisans separe ak Intrinsic ID. Lojisyèl Intel Quartus Prime Pro Edition mete restriksyon sou operasyon PUF san lisans apwopriye a, tankou enskripsyon, anbalaj kle, ak pwogramasyon done PUF nan QSPI flash.

4.9.2.1. Enskripsyon ID intrinsèque PUF
Pou enskri PUF a, ou dwe itilize firmwèr pwovizyon SDM la. Firmware pwovizyon an dwe premye firmwèr ki chaje apre yon sik pouvwa, epi ou dwe bay kòmandman enskripsyon PUF la anvan nenpòt lòt lòd. Firmware pwovizyon an sipòte lòt kòmandman apre enskripsyon PUF, ki gen ladan anbalaj kle rasin AES ak pwogramasyon kwadwilatè SPI, sepandan, ou dwe sikile aparèy la pou chaje yon konfigirasyon bitstream.
Ou itilize Intel Quartus Prime Programmer la pou deklanche enskripsyon PUF epi jenere done asistan PUF .puf. file.

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 34

Voye Feedback

4. Aparèy Pwovizyon 683823 | 2023.05.23

Figi 7.

Enskripsyon ID intrinsèque PUF
quartus_pgm Enskripsyon PUF

Done asistan PUF enskripsyon yo

Manadjè Aparèy Sekirize (SDM)

wrapper.puf Done Èd
Pwogramè a otomatikman chaje yon imaj asistan firmwèr pwovizyon lè ou presize tou de operasyon an i ak yon agiman .puf.
quartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
Si w ap itilize firmwèr ki ko-siyen an, ou pwograme imaj asistan firmwèr ki ko-siyen an anvan w sèvi ak kòmandman enskripsyon PUF la.
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" –force quartus_pgm -c 1 -mjtag -o "e;help_data.puf;AGFB014R24A"
UDS IID PUF enskri pandan fabrikasyon aparèy la, epi li pa disponib pou reenskripsyon. Olye de sa, ou sèvi ak pwogramè a pou detèmine kote done asistan UDS PUF yo sou IPCS, telechaje .puf la. file dirèkteman, ak Lè sa a, sèvi ak UDS .puf la file menm jan ak .puf la file ekstrè soti nan yon aparèy Intel Agilex 7.
Sèvi ak lòd pwogramè sa a pou jenere yon tèks file ki gen yon lis URLs lonje dwèt sou aparèy-espesifik files sou IPCS:
quartus_pgm -c 1 -mjtag -o "e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Anbalaj kle rasin AES la
Ou jenere IID PUF vlope AES rasin kle .wkey file pa voye yon sètifika siyen bay SDM la.
Ou ka itilize Intel Quartus Prime Programmer pou otomatikman jenere, siyen, epi voye sètifika a pou vlope kle rasin AES ou, oswa ou ka itilize Intel Quartus Prime Programming. File Jeneratè pou jenere yon sètifika ki pa siyen. Ou siyen sètifika a ki pa siyen lè l sèvi avèk pwòp zouti ou oswa zouti pou siyen Quartus la. Lè sa a, ou sèvi ak pwogramè a pou voye sètifika a siyen epi vlope kle rasin AES ou a. Sètifika ki siyen an ka itilize pou pwograme tout aparèy ki kapab valide chèn siyati a.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 35

4. Aparèy Pwovizyon 683823 | 2023.05.23

Figi 8.

Anbalaj kle AES la ak pwogramasyon Intel Quartus Prime
.pem Prive
Kle

.qky

quartus_pgm

Vlope AES kle

Kle AES.QSKigYnature RootCPhuabilnic

Jenere PUF vlope kle

Anvlope AES kle

SDM

.qek chifreman
Kle

.wkey PUF-Wrapped
AES kle

1. Ou ka jenere kle rasin IID PUF ki anvlope AES (.wkey) ak pwogramè a lè l sèvi avèk agiman sa yo:
· .qky la file ki gen yon chèn siyati ak pèmisyon sètifika rasin AES
· .pem prive a file pou dènye kle nan chèn siyati a
· .qek la file kenbe kle rasin AES la
· Vektè inisyalizasyon 16-byte (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Altènativman, ou ka jenere yon sètifika IID PUF ki pa siyen anvlope AES kle rasin ak Programming la. File Jeneratè lè l sèvi avèk agiman sa yo:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Ou siyen sètifika ki pa siyen an ak pwòp zouti siyen ou oswa zouti quartus_sign lè l sèvi avèk kòmandman sa a:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Lè sa a, ou sèvi ak pwogramè a pou voye sètifika AES ki siyen an epi retounen kle ki vlope a (.wkey) file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

Nòt: operasyon an i pa nesesè si ou te deja chaje dispozisyon firmwèr asistan imaj la, pa egzanpample, pou enskri PUF la.

4.9.2.3. Done èd pwogramasyon ak kle ki anvlope nan memwa flash QSPI
Ou itilize pwogram Quartus la File Jeneratè koòdone grafik pou konstwi yon premye imaj flash QSPI ki gen yon patisyon PUF. Ou dwe jenere ak pwograme tout yon imaj pwogramasyon flash pou ajoute yon patisyon PUF nan flash QSPI la. Kreyasyon PUF la

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 36

Voye Feedback

4. Aparèy Pwovizyon 683823 | 2023.05.23

Figi 9.

patisyon done ak itilizasyon done asistan PUF ak kle ki vlope files pou jenerasyon imaj flash pa sipòte atravè Programming la File Dèlko koòdone liy lòd.
Etap sa yo montre konstwi yon imaj pwogramasyon flash ak done asistan PUF la ak kle ki anvlope:
1. Sou la File meni, klike sou Programming File Dèlko. Sou Sòti a Filetab la fè seleksyon sa yo:
a. Pou Fanmi Aparèy chwazi Agilex 7.
b. Pou mòd Konfigirasyon chwazi aktif Serial x4.
c. Pou anyè pèsistans yap ogmante jiska browse pou pèsistans yap ogmante jiska ou file anyè. Ansyen sa aample itilize pwodiksyon_files.
d. Pou Non, presize yon non pou pwogramasyon an file yo dwe pwodwi. Ansyen sa aample itilize pwodiksyon_file.
e. Anba Deskripsyon, chwazi pwogramasyon an files pou jenere. Ansyen sa aample jenere JTAG Konfigirasyon endirèk File (.jic) pou konfigirasyon aparèy ak Binè kri File nan Programming Helper Image (.rbf) pou imaj asistan aparèy. Ansyen sa aample tou chwazi kat memwa opsyonèl File (.map) ak Done pwogramasyon kri File (.rpd). Done pwogramasyon anvan tout koreksyon yo file li nesesè sèlman si w gen plan pou itilize yon pwogramè twazyèm pati alavni.
Pwogramasyon File Dèlko - Sòti Files Tab – Chwazi JTAG Konfigirasyon endirèk

Aparèy Family Configuration mòd
Sòti file tab
Anyè Sòti
JTAG Endirèk (.jic) Kat memwa File Programming Helper Done Programming kri
Sou Antre a Files tab, fè seleksyon sa yo: 1. Klike sou Add Bitstream epi navige nan .sof ou a. 2. Chwazi .sof ou file ak Lè sa a klike sou Pwopriyete.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 37

4. Aparèy Pwovizyon 683823 | 2023.05.23
a. Vire sou Pèmèt zouti siyen. b. Pou kle prive file chwazi .pem ou file. c. Vire sou Finalize chifreman. d. Pou kle chifreman file chwazi .qek ou file. e. Klike sou OK pou retounen nan fenèt anvan an. 3. Pou presize done asistan PUF ou yo file, klike sou Add Raw Data. Chanje a Files nan kalite meni dewoulman nan Quartus Physical Unclonable Fonksyon File (*.puf). Navige sou .puf ou a file. Si w ap itilize tou de IID PUF ak UDS IID PUF, repete etap sa a pou .puf. files pou chak PUF yo ajoute kòm opinyon files. 4. Pou presize kle AES ki vlope w la file, klike sou Add Raw Data. Chanje a Files nan kalite meni dewoulman nan Quartus Wrapped Key File (*.wkey). Navige sou .wkey ou a file. Si ou vlope kle AES lè l sèvi avèk IID PUF ak UDS IID PUF, repete etap sa a pou .wkey. files pou chak PUF yo ajoute kòm opinyon files.
Figi 10. Espesifye Antre Files pou Konfigirasyon, Otantifikasyon, ak chifreman

Ajoute Bitstream Ajoute done kri
Pwopriyete
Kle prive file
Finalize chifreman Kle chifreman
Sou tab Konfigirasyon Aparèy la, fè seleksyon sa yo: 1. Klike sou Ajoute Aparèy epi chwazi aparèy flash ou nan lis flash ki disponib.
aparèy. 2. Chwazi aparèy la konfigirasyon ou te jis ajoute epi klike sou Add Partition. 3. Nan bwat dyalòg Edit patisyon pou Antre a file epi chwazi .sof ou nan
lis dropdown. Ou ka kenbe default yo oswa modifye lòt paramèt yo nan bwat dyalòg Edit Partition.

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 38

Voye Feedback

4. Aparèy Pwovizyon 683823 | 2023.05.23
Figi 11. Espesifye Patisyon Bitstream Konfigirasyon .sof ou a

Aparèy Konfigirasyon
Edit Partition Add .sof file

Ajoute patisyon

4. Lè ou ajoute .puf ak .wkey kòm opinyon files, Programmation a File Jeneratè otomatikman kreye yon patisyon PUF nan Aparèy Konfigirasyon ou a. Pou estoke .puf ak .wkey la nan patisyon PUF la, chwazi patisyon PUF la epi klike sou Edit. Nan bwat dyalòg Edit patisyon an, chwazi .puf ak .wkey ou files soti nan lis deroule yo. Si ou retire patisyon PUF la, ou dwe retire epi ajoute aparèy konfigirasyon an pou pwogramasyon an File Jeneratè pou kreye yon lòt patisyon PUF. Ou dwe asire w ke w chwazi .puf ak .wkey ki kòrèk la file pou IID PUF ak UDS IID PUF, respektivman.
Figi 12. Ajoute .puf ak .wkey la files pou patisyon PUF

PUF patisyon

Edit

Edit patisyon

Flash loader

Chwazi Jenere

5. Pou paramèt Flash Loader, chwazi fanmi aparèy Intel Agilex 7 ak non aparèy ki koresponn ak Intel Agilex 7 OPN ou.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 39

4. Aparèy Pwovizyon 683823 | 2023.05.23
6. Klike sou Jenere pou jenere pwodiksyon an files ke ou espesifye sou Sòti a Filetab s.
7. Pwogramasyon an File Jeneratè li .qek ou file epi mande w pou fraz pas ou a. Tape pasfraz ou an repons a Enter QEK pasfraz la. Klike sou antre nan kle.
8. Klike sou OK lè Programming la File Dèlko rapòte jenerasyon siksè.
Ou itilize Intel Quartus Prime Programmer pou ekri imaj pwogramasyon QSPI a nan memwa flash QSPI. 1. Nan meni Intel Quartus Prime Tools, chwazi Pwogramè. 2. Nan pwogramè a, klike sou Enstalasyon Materyèl epi chwazi yon Intel ki konekte
FPGA Telechaje Kab. 3. Klike sou Ajoute File epi ale nan .jic ou a file.
Figi 13. Pwogram .jic

Pwogramasyon file

Pwogram / Konfigirasyon

JTAG chèn eskanè
4. Déseleksyone bwat ki asosye ak imaj Helper la. 5. Chwazi Pwogram/Configure pou pwodiksyon .jic la file. 6. Vire bouton Start pou pwograme memwa flash SPI kwadwilatè ou a. 7. Pouvwa sik tablo ou. Konsepsyon an pwograme nan memwa flash kwadwilatè SPI
aparèy imedyatman chaje nan FPGA sib la.
Ou dwe jenere ak pwograme tout yon imaj pwogramasyon flash pou ajoute yon patisyon PUF nan flash SPI kwadwilatè a.
Lè yon patisyon PUF deja egziste nan flash la, li posib pou itilize pwogramè Intel Quartus Prime pou jwenn aksè dirèkteman nan done asistan PUF ak kle ki anvlope. files. Pou egzanpample, si aktivasyon an pa reyisi, li posib pou re-enskri PUF a, re-vlope kle AES la, epi apre sa sèlman pwograme PUF la. files san yo pa oblije ranplase tout flash la.

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 40

Voye Feedback

4. Aparèy Pwovizyon 683823 | 2023.05.23
Intel Quartus Prime Programmer la sipòte agiman operasyon sa a pou PUF files nan yon patisyon PUF ki deja egziste:
· p: pwogram
· v: verifye
· r: efase
· b: chèk vid
Ou dwe swiv menm restriksyon yo pou enskripsyon PUF, menm si yon patisyon PUF egziste.
1. Sèvi ak agiman operasyon i pou chaje imaj asistan firmwèr pwovizyon pou premye operasyon an. Pou egzanpample, sekans lòd sa a re-enskri PUF a, re-vlope kle rasin AES la, efase ansyen done asistan PUF ak kle vlope, Lè sa a, pwograme ak verifye nouvo done asistan PUF ak kle rasin AES.
quartus_pgm -c 1 -mjtag -o "ei;new.puf;AGFB014R24A" quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "e;new.wkey;AGFB014R24A" quartus_pgm -c 1 -mjtag -o "r;old.puf" quartus_pgm -c 1 -mjtag -o "r;old.wkey" quartus_pgm -c 1 -mjtag -o "p;new.puf" quartus_pgm -c 1 -mjtag -o "p;new.wkey" quartus_pgm -c 1 -mjtag -o "v;new.puf" quartus_pgm -c 1 -mjtag -o "v;new.wkey"
4.9.2.4. Kesyon Entrinsèk ID PUF Aktivasyon Estati
Apre ou fin enskri ID intrinsèque PUF la, vlope yon kle AES, jenere pwogramasyon flash la files, ak mete ajou flash SPI kwadwilatè a, ou sikile aparèy ou an pou deklanche deklanchman PUF ak konfigirasyon soti nan bitstream la chiffres. SDM a rapòte estati deklanchman PUF ansanm ak estati konfigirasyon an. Si deklanchman PUF echwe, SDM a pito rapòte estati erè PUF la. Sèvi ak kòmand quartus_pgm pou mande estati konfigirasyon an.
1. Sèvi ak lòd sa a pou mande estati aktivasyon an:
quartus_pgm -c 1 -mjtag –status –status_type="CONFIG"
Isit la se sample pwodiksyon soti nan yon aktivasyon siksè:
Enfòmasyon (21597): Repons CONFIG_STATUS Aparèy ap kouri nan mòd itilizatè 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 ETA=IDLE 00160300 Version C000007B MSEL=QSPI_NORMAL, nCONFIG=1, nCONFIG=1, nCONFIG=1, nCONFIG=XNUMX
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Kote erè 00000000 Detay erè Repons PUF_STATUS 00002000 2 RESPONSABILIDAD = RESPONSE00000500 STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 41

4. Aparèy Pwovizyon 683823 | 2023.05.23

Si w ap itilize sèlman swa IID PUF oswa UDS IID PUF, epi w pa pwograme yon done asistan .puf file pou swa PUF nan flash QSPI a, PUF sa a pa aktive epi estati PUF la montre ke done asistan PUF yo pa valab. Egzanp sa aample montre estati PUF lè done asistan PUF yo pa te pwograme pou swa PUF:
Repons PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Kote PUF a nan memwa Flash
Kote PUF la file diferan pou desen ki sipòte RSU ak desen ki pa sipòte karakteristik RSU la.

Pou desen ki pa sipòte RSU, ou dwe mete .puf ak .wkey files lè ou kreye imaj ajou flash. Pou desen ki sipòte RSU, SDM a pa ranplase seksyon done PUF yo pandan mizajou imaj faktori oswa aplikasyon an.

Tablo 2.

Flash Sou-Partisyon Layout san sipò RSU

Flash Offset (an byte)

Gwosè (an byte)

Kontni

Deskripsyon

0K 256K

256K 256K

Konfigirasyon jesyon mikrolojisyèl konfigirasyon jesyon mikrolojisyèl

Firmware ki kouri sou SDM.

512K

256K

Konfigirasyon jesyon mikrolojisyèl

768K

256K

Konfigirasyon jesyon mikrolojisyèl

32K

PUF done kopi 0

Estrikti done pou estoke done asistan PUF ak kopi kle rasin AES ki anvlope PUF 0

1M+32K

32K

PUF done kopi 1

Estrikti done pou estoke done asistan PUF ak kopi kle rasin AES ki anvlope PUF 1

Tablo 3.

Flash Sub-Partisyon Layout ak sipò RSU

Flash Offset (an byte)

Gwosè (an byte)

Kontni

Deskripsyon

0K 512K

512K 512K

Desizyon firmwèr Desizyon firmwèr

Firmware pou idantifye ak chaje imaj ki pi gwo priyorite a.

1M 1.5M

512K 512K

Desizyon firmwèr Desizyon firmwèr

8K + 24K

Done firmwèr desizyon

Padding

Rezève pou itilize firmwèr Desizyon.

2M + 32K

32K

Rezève pou SDM

Rezève pou SDM.

2M + 64K

Varyab

Imaj faktori

Yon imaj senp ke ou kreye kòm yon sovgad si tout lòt imaj aplikasyon yo fail chaje. Imaj sa a gen ladan CMF ki kouri sou SDM la.

32K

PUF done kopi 0

Estrikti done pou estoke done asistan PUF ak kopi kle rasin AES ki anvlope PUF 0
kontinye…

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 42

Voye Feedback

4. Aparèy Pwovizyon 683823 | 2023.05.23

Flash Offset (an byte)

Gwosè (an byte)

Next +32K 32K

Kontni kopi done PUF 1

Next + 256K 4K Next +32K 4K Next +32K 4K

Kopi tab sub-patisyon 0 Kopi tab sub-patisyon 1 CMF pointer block copy 0

Next +32K _

Kopi blòk konsèy CMF 1

Varyab Varyab

Imaj aplikasyon 1 Imaj aplikasyon 2

4.9.3. Pwovizyon pou kle nwa

Deskripsyon
Estrikti done pou estoke done asistan PUF ak kopi kle rasin AES ki anvlope PUF 1
Estrikti done pou fasilite jesyon depo flash la.
Yon lis konsèy sou imaj aplikasyon an nan lòd priyorite. Lè ou ajoute yon imaj, imaj sa a vin pi wo a.
Yon dezyèm kopi lis konsèy sou imaj aplikasyon an.
Premye imaj aplikasyon w lan.
Dezyèm imaj aplikasyon w lan.

Nòt:

TheIntel Quartus PrimeProgrammer ede nan etabli yon koneksyon an sekirite mityèlman otantifye ant aparèy Intel Agilex 7 la ak sèvis pwovizyon kle nwa a. Koneksyon an sekirite etabli atravè https epi li mande plizyè sètifika idantifye lè l sèvi avèk yon tèks file.
Lè w ap itilize Black Key Provisioning, Intel rekòmande pou w evite konekte pin TCK a deyò pou rale oswa rale desann yon rezistans pandan w ap itilize li pou J.TAG. Sepandan, ou ka konekte PIN TCK a ak ekipman pou pouvwa VCCIO SDM lè l sèvi avèk yon rezistans 10 k. Gid ki egziste deja nan Gid Koneksyon Pin yo pou konekte TCK ak yon rezistans rale 1 k enkli pou sipresyon bri. Chanjman nan konsèy nan yon rezistans rale 10 k pa afekte aparèy la fonksyonèl. Pou plis enfòmasyon sou konekte PIN TCK a, al gade Gid Koneksyon Intel Agilex 7 Pin.
Thebkp_tls_ca_certcertificate otantifye egzanp sèvis pwovizyon kle nwa ou a nan egzanp pwogramè pwovizyon kle nwa ou. Thebkp_tls_*sètifika otantifye egzanp pwogramè pwovizyon kle nwa ou a nan egzanp sèvis pwovizyon kle nwa ou.
Ou kreye yon tèks file ki gen enfòmasyon ki nesesè pou pwogramè Intel Quartus Prime konekte ak sèvis pwovizyon kle nwa a. Pou kòmanse pwovizyon kle nwa, sèvi ak koòdone liy lòd pwogramè a pou presize tèks opsyon pwovizyon kle nwa a file. Lè sa a, pwovizyon kle nwa a kontinye otomatikman. Pou jwenn aksè nan sèvis pwovizyon kle nwa a ak dokiman ki asosye, tanpri kontakte Intel Support.
Ou ka pèmèt pwovizyon kle nwa a lè l sèvi avèk thequartus_pgmcommand:
quartus_pgm -c -m -aparèy –bkp_options=bkp_options.txt
Agiman lòd yo presize enfòmasyon sa yo:

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 43

4. Aparèy Pwovizyon 683823 | 2023.05.23

· -c: nimewo kab · -m: espesifye mòd nan pwogramasyon tankou JTAG · –aparèy: espesifye yon endèks aparèy sou JTAG chèn. Valè default se 1. · –bkp_options: espesifye yon tèks file ki gen opsyon pwovizyon kle nwa.
Enfòmasyon ki gen rapò Intel Agilex 7 Aparèy Fanmi Pin Koneksyon Gid

4.9.3.1. Opsyon pwovizyon kle nwa
Opsyon pwovizyon kle nwa yo se yon tèks file pase bay Pwogramè a atravè lòd quartus_pgm. La file gen enfòmasyon obligatwa pou deklanche pwovizyon kle nwa.
Sa ki anba la a se yon ansyenampchiyè bkp_options.txt la file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem = prog_key.pem = bkpdress1234__tls_pass_bkp_tls_prog__pass ://192.167.5.5:5000 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Tablo 4.

Opsyon pwovizyon kle nwa
Tablo sa a montre opsyon ki nesesè pou deklanche pwovizyon kle nwa.

Non Opsyon

Kalite

Deskripsyon

bkp_ip

Obligatwa

Espesifye adrès IP sèvè a kap kouri sèvis pwovizyon kle nwa a.

bkp_port

Obligatwa

Espesifye pò sèvis pwovizyon kle nwa ki nesesè pou konekte ak sèvè a.

bkp_cfg_id

Obligatwa

Idantifye ID koule konfigirasyon pwovizyon kle nwa a.
Sèvis pwovizyon kle nwa kreye konfigirasyon kle nwa a ki gen ladan yon kle rasin AES, paramèt eFuse vle, ak lòt opsyon otorizasyon pou pwovizyon kle nwa. Nimewo a bay pandan konfigirasyon sèvis pwovizyon kle nwa a idantifye koule konfigirasyon pwovizyon kle nwa yo.
Remak: Aparèy miltip ka refere a menm koule konfigirasyon sèvis pwovizyon kle nwa.

bkp_tls_ca_cert

Obligatwa

Sètifika TLS rasin yo itilize pou idantifye sèvis pwovizyon kle nwa yo bay Intel Quartus Prime Programmer (Programmer). Yon Otorite Sètifika ki fè konfyans pou egzanp sèvis pwovizyon kle nwa bay sètifika sa a.
Si ou kouri pwogramè a sou yon òdinatè ak sistèm operasyon Microsoft® Windows® (Windows), ou dwe enstale sètifika sa a nan magazen sètifika Windows la.

bkp_tls_prog_cert

Obligatwa

Yon sètifika ki te kreye pou egzanp pwogramè pwovizyon kle nwa (BKP Programmer). Sa a se sètifika kliyan https yo itilize pou idantifye egzanp pwogramè BKP sa a
kontinye…

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 44

Voye Feedback

4. Aparèy Pwovizyon 683823 | 2023.05.23

Non Opsyon

Kalite

bkp_tls_prog_key

Obligatwa

bkp_tls_prog_key_pass Si ou vle

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Si ou vle Si ou vle

Deskripsyon
nan sèvis la pwovizyon kle nwa. Ou dwe enstale ak otorize sètifika sa a nan sèvis pwovizyon kle nwa anvan ou kòmanse yon sesyon pwovizyon kle nwa. Si ou kouri pwogramè a sou Windows, opsyon sa a pa disponib. Nan ka sa a, bkp_tls_prog_key la deja gen ladan sètifika sa a.
Kle prive ki koresponn ak sètifika pwogramè BKP la. Kle a valide idantite egzanp pwogramè BKP a nan sèvis pwovizyon kle nwa. Si ou kouri pwogramè a sou Windows, .pfx la file konbine sètifika bkp_tls_prog_cert ak kle prive a. Opsyon bkp_tlx_prog_key la pase .pfx la file nan bkp_options.txt la file.
Modpas la pou kle prive bkp_tls_prog_key. Pa obligatwa nan opsyon konfigirasyon pwovizyon kle nwa (bkp_options.txt) tèks file.
Espesifye sèvè prokurasyon an URL adrès.
Espesifye non itilizatè proxy sèvè a.
Espesifye modpas otantifikasyon prokurasyon an.

4.10. Konvèti Kle Rasin Pwopriyetè, Sètifika Kle Rasin AES, ak Fuse files pou Jam STAPL File Fòma

Ou ka itilize kòmand liy kòmand quartus_pfg pou konvèti .qky, kle rasin AES .ccert, ak .fuse. files pou Jam STAPL Fòma File (.jam) ak Jam Byte Kòd Fòma File (.jbc). Ou ka sèvi ak sa yo files pou pwogram Intel FPGAs itilize Jam STAPL Player ak Jam STAPL Byte-Code Player, respektivman.

Yon sèl .jam oswa .jbc gen plizyè fonksyon ki gen ladan yon konfigirasyon imaj asistan firmwèr ak pwogram, chèk vid, ak verifikasyon nan pwogram kle ak fuse.

Atansyon:

Lè ou konvèti kle rasin AES .ccert file nan fòma .jam, .jam la file gen kle AES la nan tèks klè men fòm obfuscate. Kontinwe, ou dwe pwoteje .jam la file lè w estoke kle AES la. Ou ka fè sa lè w bay kle AES la nan yon anviwònman an sekirite.

Isit la yo se ansyenampti kòmand konvèsyon quartus_pfg:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky;” root014.qky;jroot24.qky; c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A settings_defuse. AGFBXNUMXRXNUMXA paramèt. fuse settings_fuse.jbc

Pou plis enfòmasyon sou itilizasyon Jam STAPL Player pou pwogramasyon aparèy, al gade nan AN 425: Sèvi ak Command-Line Jam STAPL Solution pou pwogramasyon aparèy.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 45

4. Aparèy Pwovizyon 683823 | 2023.05.23
Kouri kòmandman sa yo pou pwograme kle piblik rasin pwopriyetè a ak kle chifreman AES:
// Pou chaje bitstream asistan an nan FPGA la. // Bitstream asistan an gen ladan mikrolojisyèl pwovizyon quartus_jli -c 1 -a CONFIGURE RootKey.jam
//Pou pwograme kle piblik rasin mèt kay la nan eFuses vityèl quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Pou pwograme kle piblik rasin pwopriyetè a nan eFuses fizik quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Pou pwograme kle piblik rasin mèt PR nan eFuses vityèl quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Pou pwograme kle piblik rasin mèt PR nan eFuses fizik quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Pou pwograme CCERT kle chifreman AES la nan BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Pou pwograme CCERT kle chifreman AES la nan eFuses fizik quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Enfòmasyon ki gen rapò AN 425: Sèvi ak Liy Kòmandman STAPL solisyon an pou pwogramasyon aparèy

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 46

Voye Feedback

683823 | 2023.05.23 Voye Feedback

Karakteristik avanse

5.1. Secure Debug Otorizasyon
Pou pèmèt Otorizasyon Debug Sekirize, pwopriyetè debug la bezwen jenere yon pè kle otantifikasyon epi sèvi ak pwogramè Intel Quartus Prime Pro pou jenere yon enfòmasyon sou aparèy. file pou aparèy la ki kouri imaj la debug:
quartus_pgm -c 1 -mjtag -o "ei;device_info.txt;AGFB014R24A" -dev_info
Pwopriyetè aparèy la sèvi ak zouti quartus_sign la oswa aplikasyon referans pou mete yon antre kle piblik kondisyonèl nan yon chèn siyati ki gen entansyon pou operasyon debogaj lè l sèvi avèk kle piblik pwopriyetè debug la, otorizasyon ki nesesè yo, tèks enfòmasyon aparèy la. file, ak plis restriksyon ki aplikab:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″=,XNUMX_pem debug_authorization_public_key.pem secure_debug_auth_chain.qky
Pwopriyetè aparèy la voye chèn siyati konplè a tounen bay pwopriyetè debug la, ki sèvi ak chèn siyati a ak kle prive yo pou siyen imaj debug la:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Ou ka itilize lòd quartus_pfg pou enspekte chèn siyati chak seksyon bitstream debug sekirite ki siyen sa a jan sa a:
quartus_pfg –check_integrity authorized_debug_design.rbf
Pwodiksyon lòd sa a enprime valè restriksyon 1,2,17,18 nan kle piblik kondisyonèl ki te itilize pou jenere bitstream siyen an.
Lè sa a, pwopriyetè debug la ka pwograme konsepsyon debug ki otorize an sekirite:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
Pwopriyetè aparèy la ka anile otorizasyon debug an sekirite lè li anile ID anilasyon kle klè ki te plase nan chèn siyati otorizasyon debug an sekirite a.
5.2. Sètifika Debug HPS
Pèmèt sèlman aksè otorize nan pò aksè HPS debug (DAP) atravè JTAG koòdone mande pou plizyè etap:

ISO 9001:2015 anrejistre

5. Karakteristik avanse 683823 | 2023.05.23
1. Klike sou meni devwa lojisyèl Intel Quartus Prime epi chwazi onglet Konfigirasyon Aparèy Aparèy ak Opsyon Pin.
2. Nan tab la Konfigirasyon, pèmèt pò aksè HPS debug (DAP) lè w chwazi swa HPS Pins oswa SDM Pins nan meni an deroulant, epi asire kaz la Pèmèt HPS debug san sètifika pa chwazi.
Figi 14. Espesifye Swa HPS oswa SDM Pins pou HPS DAP la

HPS debug aksè pò (DAP)
Altènativman, ou ka mete plasman ki anba a nan Quartus Prime Settings .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE "SDM PINS"
3. Konpile epi chaje konsepsyon an ak paramèt sa yo. 4. Kreye yon chèn siyati ak otorizasyon apwopriye pou siyen yon debogaj HPS
sètifika:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_cert_sign_chain
5. Mande yon sètifika debug HPS ki pa siyen nan aparèy kote konsepsyon debug la chaje:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. Siyen sètifika debug HPS ki pa siyen lè l sèvi avèk zouti quartus_sign oswa aplikasyon referans ak chèn siyati HPS debug la:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 48

Voye Feedback

5. Karakteristik avanse 683823 | 2023.05.23
7. Voye sètifika debug HPS ki siyen an tounen nan aparèy la pou pèmèt aksè nan pò aksè HPS debug (DAP):
quartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
Sètifika debug HPS la valab sèlman depi lè li te pwodwi jiska pwochen sik pouvwa aparèy la oswa jiskaske yon lòt kalite oswa vèsyon SDM firmwèr chaje. Ou dwe jenere, siyen, ak pwograme sètifika debug HPS ki siyen an, epi fè tout operasyon debug, anvan ou mete aparèy la sou bisiklèt. Ou ka anile sètifika HPS debug ki siyen an lè w monte aparèy la sou bisiklèt.
5.3. Attestasyon platfòm
Ou ka jenere yon referans entegrite manifest (.rim) file lè l sèvi avèk pwogramasyon an file zouti dèlko:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Swiv etap sa yo pou asire atestasyon platfòm la nan konsepsyon ou: 1. Sèvi ak pwogramè Intel Quartus Prime Pro a pou konfigirasyon aparèy ou an ak
konsepsyon ou te kreye yon referans entegrite manifest pou. 2. Sèvi ak yon verifikatè atestasyon platfòm pou enskri aparèy la lè w bay kòmandman yo
SDM atravè bwat lèt SDM pou kreye sètifika ID aparèy la ak sètifika firmwèr sou rechaje. 3. Sèvi ak pwogramè Intel Quartus Prime Pro pou rkonfigirasyon aparèy ou an ak konsepsyon an. 4. Sèvi ak verifikatè atestasyon platfòm la pou bay SDM kòmandman pou jwenn ID aparèy atestasyon, firmwèr, ak sètifika alyas. 5. Sèvi ak verifikatè atestasyon an pou bay lòd bwat lèt SDM la pou jwenn prèv atestasyon an epi verifikatè a tcheke prèv ki retounen yo.
Ou ka aplike pwòp sèvis verifikatè w lè l sèvi avèk kòmandman bwat lèt SDM yo, oswa itilize sèvis verifikatè attestasyon platfòm Intel. Pou plis enfòmasyon sou lojisyèl sèvis verifikatè attestasyon platfòm Intel, disponiblite ak dokimantasyon, kontakte Intel Support.
Enfòmasyon ki gen rapò Intel Agilex 7 Aparèy Fanmi Pin Koneksyon Gid
5.4. Anti-T fizikamper
Ou pèmèt fizik anti-t laamper karakteristik lè l sèvi avèk etap sa yo: 1. Chwazi repons ou vle a pou yon t detekteamper evènman 2. Konfigirasyon t vle aamper metòd deteksyon ak paramèt 3. Ki gen ladan anti-t laamper IP nan lojik konsepsyon ou pou ede jere anti-tamper
evènman yo

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 49

5. Karakteristik avanse 683823 | 2023.05.23
5.4.1. Anti-Tamper Repons yo
Ou pèmèt fizik anti-tamper pa chwazi yon repons nan Anti-t laamper repons: lis dropdown sou Aparèy Devwa ak Opsyon PIN Sekirite Anti-Tamper tab. Pa default, anti-t laamprepons lan se enfim. Senk kategori anti-tamprepons yo disponib. Lè ou chwazi repons ou vle a, opsyon pou pèmèt youn oswa plizyè metòd deteksyon yo aktive.
Figi 15. Disponib Anti-TampOpsyon repons yo

Plasman ki koresponn lan nan anviwònman Quartus Prime .gsf file se sa ki annapre yo:
set_global_assignment -name ANTI_TAMPER_RESPONSE "APARÈY AVI WIPE BLOKE AK ZEROIZASYON APÈYÈ"
Lè ou pèmèt yon anti-tamper repons, ou ka chwazi de ki disponib SDM dedye I/O broch pou pwodiksyon t laampDeteksyon evènman ak sitiyasyon repons lè l sèvi avèk fenèt Opsyon PIN Konfigirasyon Aparèy Devwa ak Opsyon PIN.

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 50

Voye Feedback

5. Karakteristik avanse 683823 | 2023.05.23
Figi 16. Disponib SDM dedye I/O Pins pou Tamper Deteksyon Evènman

Ou ka fè tou devwa pin sa yo nan paramèt yo file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Deteksyon

Ou ka pèmèt endividyèlman frekans, tanperati, ak voltage karakteristik deteksyon nan SDM la. Deteksyon FPGA depann sou ki gen ladan Anti-T laamper Lite Intel FPGA IP nan konsepsyon ou.

Nòt:

SDM frekans ak voltagetampMetòd deteksyon yo depann de referans entèn ak pyès ki nan konpitè mezi ki ka varye atravè aparèy yo. Intel rekòmande pou ou karakterize konpòtman tamper paramèt deteksyon.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 51

5. Karakteristik avanse 683823 | 2023.05.23
Frekans tamper deteksyon opere sou sous la revèy konfigirasyon. Pou pèmèt frekans tampLè deteksyon an, ou dwe presize yon lòt opsyon pase Osilator Entèn nan deroule sous revèy Konfigirasyon an sou tab Jeneral Aparèy Devwa ak Opsyon Pin. Ou dwe asire ke kaz la Kouri konfigirasyon CPU soti nan osilateur entèn yo aktive anvan yo pèmèt frekans t laamper deteksyon. Figi 17. Mete SDM nan Osilator Entèn
Pou pèmèt frekans tamper deteksyon, chwazi Pèmèt frekans t laamper deteksyon kaz epi chwazi frekans ou vle aamper deteksyon ranje nan meni an deroulant. Figi 18. Pèmèt frekans Tamper Deteksyon

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 52

Voye Feedback

5. Karakteristik avanse 683823 | 2023.05.23
Altènativman, ou ka aktive Frekans Tamper Deteksyon lè w fè chanjman sa yo nan Paramèt Quartus Prime .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -name ENABLET_FREQUEQUEAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Pou pèmèt tanperati tamper deteksyon, chwazi Pèmèt tanperati a tampdeteksyon kaz la epi chwazi limit anwo ak pi ba tanperati vle a nan jaden korespondan yo. Limit anwo ak pi ba yo peple pa default ak seri tanperati ki gen rapò ak aparèy la chwazi nan konsepsyon an.
Pou pèmèt voltagetamper deteksyon, ou chwazi youn oswa toude nan Pèmèt VCCL voltagetamper deteksyon oswa Pèmèt VCCL_SDM voltagetamper deteksyon kaz yo epi chwazi Voltagetamper deteksyon trigger percenttage nan jaden ki koresponn lan.
Figi 19. Pèmèt Voltage Tamper Deteksyon

Altènativman, ou ka pèmèt Voltage Tamper Deteksyon lè w espesifye devwa sa yo nan .qsf la file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ON
5.4.3. Anti-TampLite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP, ki disponib nan katalòg IP nan lojisyèl Intel Quartus Prime Pro Edition, fasilite kominikasyon bidireksyon ant konsepsyon ou a ak SDM pou t.amper evènman yo.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 53

Figi 20. Anti-TampLite Intel FPGA IP

5. Karakteristik avanse 683823 | 2023.05.23

IP a bay siyal sa yo ke ou konekte ak konsepsyon ou jan sa nesesè:

Tablo 5.

Anti-Tamper Lite Intel FPGA IP I/O siyal yo

Non siyal

Direksyon

Deskripsyon

gpo_sdm_at_event gpi_fpga_at_event

Sòti Antre

SDM siyal nan lojik twal FPGA ke yon SDM te detekte nanamper evènman. Lojik FPGA a gen apeprè 5ms pou fè nenpòt netwayaj vle epi reponn a SDM a atravè gpi_fpga_at_response_done ak gpi_fpga_at_zeroization_done. SDM a kontinye ak tampAksyon repons yo lè yo deklare gpi_fpga_at_response_done oswa apre yo pa resevwa okenn repons nan tan yo bay la.
FPGA entèwonp pou SDM ke ou conçu anti-tamper sikwi deteksyon te detekte nanamper evènman ak SDM t laamprepons yo ta dwe deklanche.

gpi_fpga_at_response_done

Antre

FPGA entèwonp nan SDM ki lojik FPGA te fè netwayaj vle.

gpi_fpga_at_zeroization_d youn

Antre

FPGA siyal SDM ke lojik FPGA te konplete nenpòt zeroizasyon vle nan done konsepsyon. Siyal sa a se sampdirije lè gpi_fpga_at_response_done afime.

5.4.3.1. Divilge Enfòmasyon

Nimewo IP vèsyon an konplo (XYZ) chanje soti nan yon vèsyon lojisyèl nan yon lòt. Yon chanjman nan:
· X endike yon gwo revizyon nan IP a. Si ou mete ajou lojisyèl Intel Quartus Prime ou a, ou dwe rejenere IP la.
· Y endike IP a gen ladan nouvo karakteristik. Rejenere IP ou pou mete nouvo karakteristik sa yo.
· Z endike IP a gen ti chanjman. Rejenere IP ou pou mete chanjman sa yo.

Tablo 6.

Anti-Tamper Lite Intel FPGA IP Release Information

IP Version

Atik

Deskripsyon 20.1.0

Intel Quartus Prime Version

21.2

Dat lage

2021.06.21

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 54

Voye Feedback

5. Karakteristik avanse 683823 | 2023.05.23
5.5. Sèvi ak Karakteristik Sekirite Konsepsyon ak Mizajou Sistèm Remote
Mizajou Sistèm Remote (RSU) se yon karakteristik Intel Agilex 7 FPGA ki ede nan mete ajou konfigirasyon. files nan yon fason solid. RSU konpatib ak karakteristik sekirite konsepsyon tankou otantifikasyon, firmwèr ko-siyen, ak chifreman bitstream kòm RSU pa depann de sa ki konsepsyon nan bitstreams konfigirasyon.
Bati imaj RSU ak .sof Files
Si w ap estoke kle prive sou lokal ou a filesistèm, ou ka jenere imaj RSU ak karakteristik sekirite konsepsyon lè l sèvi avèk yon koule senplifye ak .sof files kòm entrées. Pou jenere imaj RSU ak .sof la file, ou ka swiv enstriksyon ki nan Seksyon Jenere Imaj Mizajou Sistèm Remote Files Sèvi ak pwogramasyon an File Jeneratè Intel Agilex 7 Konfigirasyon Gid Itilizatè a. Pou chak .sof file espesifye sou Antre a Files tab, klike sou Pwopriyete... bouton epi presize paramèt ak kle ki apwopriye pou zouti siyen ak chifreman yo. Pwogramasyon an file zouti dèlko otomatikman siyen ak ankripte imaj faktori ak aplikasyon pandan y ap kreye pwogram RSU files.
Altènativman, si w ap estoke kle prive nan yon HSM, ou dwe itilize zouti quartus_sign la epi kidonk itilize .rbf. files. Rès seksyon sa a detay chanjman ki fèt nan koule a pou jenere imaj RSU ak .rbf files kòm entrées. Ou dwe ankripte epi siyen fòma .rbf files anvan yo chwazi yo kòm opinyon files pou imaj RSU; sepandan, enfòmasyon bòt RSU la file pa dwe kode epi olye yo dwe siyen sèlman. Pwogramasyon an File Jeneratè pa sipòte modifye pwopriyete fòma .rbf files.
Egzanp sa aamples demontre modifikasyon ki nesesè yo nan kòmandman yo nan Seksyon Jenere Imaj Mizajou Sistèm Remote Files Sèvi ak pwogramasyon an File Jeneratè Intel Agilex 7 Konfigirasyon Gid Itilizatè a.
Jenere imaj RSU inisyal la lè l sèvi avèk .rbf Files: Modifikasyon kòmand
Soti nan jenere imaj RSU inisyal la lè l sèvi avèk .rbf Files seksyon, modifye kòmandman yo nan Etap 1. pou pèmèt karakteristik sekirite konsepsyon yo jan yo vle lè l sèvi avèk enstriksyon ki soti nan seksyon pi bonè nan dokiman sa a.
Pou egzanpample, ou ta presize yon firmwèr siyen file si w t ap itilize firmwèr cosigning, Lè sa a, sèvi ak zouti nan chifreman Quartus ankripte chak .rbf file, epi finalman itilize zouti quartus_sign pou siyen chak file.
Nan etap 2, si ou te pèmèt firmwèr ko-siyen, ou dwe itilize yon opsyon adisyonèl nan kreyasyon bòt la .rbf soti nan imaj la faktori. file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Apre ou fin kreye enfòmasyon bòt .rbf la file, sèvi ak zouti quartus_sign la pou siyen .rbf la file. Ou pa dwe ankripte enfòmasyon bòt la .rbf file.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 55

5. Karakteristik avanse 683823 | 2023.05.23
Jenere yon imaj aplikasyon: Modifikasyon kòmand
Pou jenere yon imaj aplikasyon ak karakteristik sekirite konsepsyon, ou modifye kòmandman an nan Jenere yon imaj aplikasyon pou itilize yon .rbf ak karakteristik sekirite konsepsyon aktive, ki gen ladan firmwèr ki siyen ansanm si sa nesesè, olye pou yo aplikasyon orijinal la .sof. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Jenere yon Imaj Mizajou Faktori: Modifikasyon Kòmandman
Apre ou fin kreye enfòmasyon bòt .rbf la file, ou itilize zouti quartus_sign pou siyen .rbf la file. Ou pa dwe ankripte enfòmasyon bòt la .rbf file.
Pou jenere yon imaj aktyalizasyon faktori RSU, ou modifye kòmandman ki soti nan Jenere yon imaj aktyalizasyon faktori pou itilize yon .rbf. file ak karakteristik sekirite konsepsyon aktive epi ajoute opsyon pou endike itilizasyon firmwèr ki ko-siyen an:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Enfòmasyon ki gen rapò Intel Agilex 7 Konfigirasyon Gid itilizatè
5.6. Sèvis kriptografik SDM
SDM sou aparèy Intel Agilex 7 bay sèvis kriptografik lojik twal FPGA oswa HPS ka mande atravè koòdone bwat lèt SDM respektif la. Pou plis enfòmasyon sou kòmandman bwat lèt yo ak fòma done pou tout sèvis kriptografik SDM, al gade nan Apendis B nan Metòd Sekirite pou Intel FPGA ak Gid Itilizatè ASIC estriktire.
Pou jwenn aksè nan koòdone bwat lèt SDM a nan lojik twal FPGA pou sèvis kriptografik SDM, ou dwe enstansye Bwat Mail Kliyan Intel FPGA IP nan konsepsyon ou a.
Kòd referans pou jwenn aksè nan koòdone bwat lèt SDM nan HPS la enkli nan kòd ATF ak Linux Intel bay.
Enfòmasyon ki gen rapò Bwat lèt Kliyan Intel FPGA IP Itilizatè Gid
5.6.1. Machann Otorize Boot
Intel bay yon aplikasyon referans pou lojisyèl HPS ki itilize karakteristik bòt machann ki otorize pou otantifye lojisyèl HPS depi premye a.tage loader bòt jiska nwayo Linux la.
Enfòmasyon ki gen rapò Intel Agilex 7 SoC Secure Boot Demo Design

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 56

Voye Feedback

5. Karakteristik avanse 683823 | 2023.05.23
5.6.2. Sèvis done objè sekirite
Ou voye kòmandman yo atravè bwat lèt SDM pou fè SDOS objè chifreman ak dechifre. Ou ka itilize karakteristik SDOS la apre ou fin bay kle rasin SDOS la.
Enfòmasyon ki gen rapò Secure Data Object Service Rasin Kle Pwovizyon nan paj 30
5.6.3. Sèvis Primitif SDM kriptografik
Ou voye kòmandman yo atravè bwat lèt SDM pou kòmanse operasyon sèvis primitif kriptografik SDM. Gen kèk sèvis primitif kriptografik ki mande pou yo transfere plis done nan ak soti nan SDM pase koòdone bwat lèt la ka aksepte. Nan ka sa yo, kòmandman an nan fòma a chanje pou bay konsèy sou done nan memwa. Anplis de sa, ou dwe chanje enstansyasyon an nan Mailbox Client Intel FPGA IP pou itilize SDM sèvis kriptografik primitif ki soti nan lojik twal FPGA la. Anplis de sa, ou dwe mete paramèt Enable Crypto Service a 1 epi konekte koòdone inisyatè AXI ki fèk ekspoze a nan yon memwa nan konsepsyon ou.
Figi 21. Pèmèt SDM sèvis kriptografik nan bwat lèt kliyan Intel FPGA IP la

5.7. Anviwònman Sekirite Bitstream (FM/S10)
Opsyon Sekirite FPGA Bitstream yo se yon koleksyon politik ki mete restriksyon sou karakteristik espesifik oswa mòd operasyon nan yon peryòd defini.
Opsyon Sekirite Bitstream konpoze de drapo ou mete nan lojisyèl Intel Quartus Prime Pro Edition. Drapo sa yo otomatikman kopye nan bitstreams konfigirasyon yo.
Ou ka aplike opsyon sekirite pou tout tan sou yon aparèy atravè itilizasyon paramèt sekirite ki koresponn lan eFuse.
Pou itilize nenpòt paramèt sekirite nan konfigirasyon bitstream oswa aparèy eFuses, ou dwe aktive karakteristik otantifikasyon an.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 57

5. Karakteristik avanse 683823 | 2023.05.23
5.7.1. Chwazi ak Pèmèt Opsyon Sekirite
Pou chwazi ak pèmèt opsyon sekirite, fè jan sa a: Nan meni Devwa yo, chwazi Aparèy Aparèy ak Opsyon PIN Sekirite Plis Opsyon... Figi 22. Chwazi ak Pèmèt Opsyon Sekirite

Lè sa a, chwazi valè yo nan lis drop-desann pou opsyon sekirite yo ke ou vle pèmèt jan yo montre nan ansyen sa a.ample:
Figi 23. Chwazi Valè pou Opsyon Sekirite

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 58

Voye Feedback

5. Karakteristik avanse 683823 | 2023.05.23
Sa ki anba la yo se chanjman ki koresponn yo nan Quartus Prime Anviwònman yo .qsf file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG "Sou chèk" set_global_assignment -name secu_option_force_encryption_key_update "sou kolan" set_global_assignment -name secu_option_force_sdm_clock_to_int Urity_efuses sou set_global_assignment -name secu_option_disable_hps_debug sou set_global_assignment -name secu_option_disable_encryption_key_in_efuses sou set_global_assignment - _Encryption_key_in_efuses sou set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY ON

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 59

683823 | 2023.05.23 Voye Feedback

Depanaj

Chapit sa a dekri erè komen ak mesaj avètisman ke ou ka rankontre pandan w ap eseye sèvi ak karakteristik sekirite aparèy ak mezi pou rezoud yo.
6.1. Sèvi ak kòmandman Quartus nan yon erè anviwònman Windows
Erè quartus_pgm: lòd pa jwenn Deskripsyon Erè sa a parèt lè w ap eseye sèvi ak kòmandman Quartus nan yon Shell NIOS II nan yon anviwònman Windows lè w ap itilize WSL. Rezolisyon Kòmandman sa a ap travay nan anviwònman Linux; Pou hôtes Windows, sèvi ak kòmandman sa a: quartus_pgm.exe -h Menm jan an tou, aplike menm sentaks pou lòt kòmand Quartus Prime tankou quartus_pfg, quartus_sign, quartus_encrypt pami lòt kòmandman.

ISO 9001:2015 anrejistre

6. Depanaj 683823 | 2023.05.23

6.2. Jenere yon avètisman kle prive

Avètisman:

Modpas espesifye a konsidere kòm ensekirite. Intel rekòmande pou yo itilize omwen 13 karaktè modpas. Yo rekòmande w chanje modpas la lè w sèvi ak ègzèkutabl OpenSSL la.

openssl ec -in -soti -aes256

Deskripsyon
Avètisman sa a gen rapò ak fòs modpas la ak montre lè w ap eseye jenere yon kle prive lè w bay kòmandman sa yo:

quartus_sign –fanmi=agilex –operasyon=make_private_pem –koub=secp3841 root.pem

Rezolisyon Sèvi ak ègzèkutabl openssl la pou presize yon modpas ki pi long e konsa pi fò.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 61

6. Depanaj 683823 | 2023.05.23
6.3. Ajoute yon kle siyen nan erè pwojè Quartus la
Erè…File gen enfòmasyon kle rasin...
Deskripsyon
Apre ajoute yon kle siyen .qky file nan pwojè Quartus la, ou bezwen re-rasanble .sof la file. Lè ou ajoute sa a rejenere .sof file nan aparèy la chwazi lè l sèvi avèk Quartus Programmer, mesaj erè sa a endike ke la file gen enfòmasyon kle rasin:
Echwe pou ajoutefile-path-name> nan pwogramè. La file gen enfòmasyon kle rasin (.qky). Sepandan, pwogramè pa sipòte karakteristik siyen bitstream. Ou ka itilize Programmation File Dèlko pou konvèti a file nan binè kri siyen an file (.rbf) pou konfigirasyon.
Rezolisyon
Sèvi ak pwogramasyon Quartus la file dèlko pou konvèti a file nan yon binè kri siyen File .rbf pou konfigirasyon.
Enfòmasyon ki gen rapò Siyen Konfigirasyon Bitstream Sèvi ak Kòmandman quartus_sign nan paj 13

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 62

Voye Feedback

6. Depanaj 683823 | 2023.05.23
6.4. Jenerasyon Quartus Prime Programming File te san siksè
Erè
Erè (20353): X nan kle piblik ki soti nan QKY pa matche ak kle prive ki soti nan PEM file.
Erè (20352): Echwe pou siyen bitstream la atravè script python agilex_sign.py.
Erè: Quartus Prime Programming File Jeneratè pa t reyisi.
Deskripsyon Si w eseye siyen yon konfigirasyon bitstream lè l sèvi avèk yon kle prive ki pa kòrèk .pem file oswa yon .pem file ki pa matche ak .qky a te ajoute nan pwojè a, pi wo a erè komen montre. Rezolisyon Asire w ke w itilize kòrèk kle prive .pem pou siyen bitstream la.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 63

6. Depanaj 683823 | 2023.05.23
6.5. Erè Agiman Unknown
Erè
Erè (23028): Enkoni agiman "ûc". Gade nan – èd pou agiman legal.
Erè (213008): Opsyon pwogramasyon kòd "ûp" ilegal. Gade nan – èd pou fòma opsyon pwogramasyon legal yo.
Deskripsyon Si w kopye epi kole opsyon liy kòmand ki soti nan yon .pdf file nan Windows NIOS II Shell la, ou ka rankontre erè agiman Unknown jan yo montre pi wo a. Rezolisyon Nan ka sa yo, ou ka manyèlman antre kòmandman yo olye pou yo kole nan clipboard la.

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 64

Voye Feedback

6. Depanaj 683823 | 2023.05.23
6.6. Bitstream Encryption Option Enfim Erè
Erè
Pa ka finalize chifreman an pou la file konsepsyon .sof paske li te konpile ak opsyon an chifreman bitstream enfim.
Deskripsyon Si ou eseye ankripte bitstream la atravè entèfas oswa liy kòmand apre ou fin konpile pwojè a ak opsyon an chifreman bitstream enfim, Quartus rejte kòmandman an jan yo montre pi wo a.
Rezolisyon Asire w ke ou konpile pwojè a ak opsyon an chifreman bitstream pèmèt swa atravè entèfas oswa liy lòd. Pou pèmèt opsyon sa a nan entèfas, ou dwe tcheke kaz pou opsyon sa a.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 65

6. Depanaj 683823 | 2023.05.23
6.7. Espesifye chemen ki kòrèk la nan kle a
Erè
Erè (19516): Detekte pwogramasyon File Erè paramèt dèlko: Pa ka jwenn 'key_file'. Asire w ke la file sitiye nan kote yo espere oswa mete ajou setting.sec la
Erè (19516): Detekte pwogramasyon File Erè paramèt dèlko: Pa ka jwenn 'key_file'. Asire w ke la file sitiye nan kote espere a oswa mete ajou anviwònman an.
Deskripsyon
Si w ap itilize kle ki estoke sou la file sistèm, ou bezwen asire yo ke yo presize chemen ki kòrèk la pou kle yo itilize pou chifreman bitstream ak siyen. Si la Programmation File Dèlko pa ka detekte chemen dwat la, mesaj erè ki anwo yo montre.
Rezolisyon
Gade nan Quartus Prime Anviwònman .qsf file pou jwenn chemen ki kòrèk pou kle yo. Asire w ou sèvi ak chemen relatif olye de chemen absoli.

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 66

Voye Feedback

6. Depanaj 683823 | 2023.05.23
6.8. Sèvi ak Sòti ki pa sipòte File Kalite
Erè
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Erè (19511): Pwodiksyon pa sipòte file kalite (ebf). Sèvi ak "-l" oswa "-list" opsyon pou montre sipòte file kalite enfòmasyon.
Deskripsyon Pandan w ap itilize Programmation Quartus la File Dèlko pou jenere konfigirasyon an chiffres ak siyen bitstream, ou ka wè erè ki anwo a si yon pwodiksyon ki pa sipòte file se kalite espesifye. Rezolisyon Sèvi ak -l oswa -list opsyon pou wè lis ki sipòte yo file kalite.

Voye Feedback

Intel Agilex® 7 Gid Itilizatè Sekirite Aparèy 67

683823 | 2023.05.23 Voye Feedback
7. Intel Agilex 7 Aparèy Sekirite Itilizatè Gid Achiv yo
Pou dènye vèsyon yo ak vèsyon anvan yo nan gid itilizatè sa a, al gade nan Intel Agilex 7 Device Security User Guide. Si yon IP oswa yon vèsyon lojisyèl pa nan lis la, gid itilizatè a pou IP oswa vèsyon lojisyèl anvan an aplike.

ISO 9001:2015 anrejistre

683823 | 2023.05.23 Voye Feedback

8. Istwa revizyon pou Gid itilizatè Intel Agilex 7 Aparèy Sekirite a

Vèsyon Dokiman 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokiman / Resous

Intel Agilex 7 Sekirite Aparèy [pdfManyèl Itilizatè
Agilex 7 Aparèy Sekirite, Agilex 7, Aparèy Sekirite, Sekirite

Referans

Manyèl itilizatè

Intel Agilex 7 Sekirite Aparèy

Enfòmasyon sou pwodwi

Enstriksyon Itilizasyon Pwodwi

Kesyon yo poze souvan

Sekirite Aparèy souview

Otantifikasyon ak Otorizasyon

AES Bitstream chifreman

Pwovizyon pou Aparèy

Karakteristik avanse

Depanaj

Dokiman / Resous

Referans

Kite yon kòmantè

Anile repons