Intel Agilex 7 Device Security felhasználói kézikönyv

Az Intel elkötelezett a termékbiztonság mellett, és azt javasolja a felhasználóknak, hogy ismerkedjenek meg a termékbiztonsági erőforrásokkal. Ezeket az erőforrásokat az Intel termékének teljes élettartama alatt ki kell használni.

2. Tervezett biztonsági funkciók

Az Intel Quartus Prime Pro Edition szoftver jövőbeli kiadásához a következő biztonsági funkciókat tervezzük:

Részleges újrakonfigurálási bitfolyam-biztonsági ellenőrzés: További biztosítékot nyújt arra vonatkozóan, hogy a részleges újrakonfigurálási (PR) bitfolyamok nem férhetnek hozzá más PR persona bitfolyamokhoz, és nem zavarhatják meg őket.

Eszköz öngyilkosság a fizikai anti-Tamper: Eszköztörlést vagy eszköz nullázási választ hajt végre, és beprogramozza az eFuses-eket, hogy megakadályozza az eszköz újbóli konfigurálását.

3. Elérhető biztonsági dokumentáció

Az alábbi táblázat felsorolja az Intel FPGA és Structured ASIC eszközök eszközbiztonsági funkcióinak elérhető dokumentációját:

Dokumentum neve	Cél
Biztonsági módszertan Intel FPGA-k és strukturált ASIC-felhasználók számára Útmutató	Legfelső szintű dokumentum, amely részletes leírásokat tartalmaz a biztonsági funkciók és technológiák az Intel programozható megoldásokban Termékek. Segít a felhasználóknak kiválasztani a szükséges biztonsági funkciókat teljesítik biztonsági céljaikat.
Intel Stratix 10 Device Security felhasználói kézikönyv	Útmutató az Intel Stratix 10 eszközök felhasználóinak megvalósításához a Biztonsági módszertan segítségével azonosított biztonsági jellemzőket Felhasználói kézikönyv.
Intel Agilex 7 Device Security felhasználói kézikönyv	Útmutató az Intel Agilex 7 eszközök felhasználóinak megvalósításához a Biztonsági módszertan segítségével azonosított biztonsági jellemzőket Felhasználói kézikönyv.
Intel eASIC N5X Device Security felhasználói kézikönyv	Útmutató az Intel eASIC N5X eszközök felhasználóinak megvalósításához a Biztonsági módszertan segítségével azonosított biztonsági jellemzőket Felhasználói kézikönyv.
Intel Agilex 7 és Intel eASIC N5X HPS Cryptographic Services Felhasználói kézikönyv	Tájékoztatás HPS szoftvermérnökök számára a megvalósításról és HPS szoftverkönyvtárak használata kriptográfiai szolgáltatások eléréséhez az SDM biztosítja.
AN-968 Black Key Provisioning Service Gyors üzembe helyezési útmutató	A Black Key Provisioning beállításához szükséges lépések teljes készlete szolgáltatás.

Gyakran Ismételt Kérdések

K: Mi a Biztonsági módszertani használati útmutató célja?

V: A Security Methodology User Guide részletes leírást ad az Intel Programable Solutions Products biztonsági funkcióiról és technológiáiról. Segít a felhasználóknak kiválasztani a szükséges biztonsági funkciókat a biztonsági céljaik eléréséhez.

K: Hol találom az Intel Agilex 7 Device Security felhasználói kézikönyvét?

V: Az Intel Agilex 7 Device Security User Guide az Intel Resource and Design Centerben található webtelek.

K: Mi az a Black Key Provisioning szolgáltatás?

V: A Black Key Provisioning szolgáltatás egy olyan szolgáltatás, amely lépések teljes készletét biztosítja a biztonságos műveletekhez szükséges kulcskiépítés beállításához.

View Fullscreen

Intel Agilex® 7 Device Security felhasználói kézikönyv
Frissítve az Intel® Quartus® Prime Design Suite számára: 23.1

Online verzió Visszajelzés küldése

UG-20335

683823 2023.05.23

Intel Agilex® 7 Device Security felhasználói kézikönyv 2

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 3

683823 | 2023.05.23 Visszajelzés küldése
1. Intel Agilex® 7

Az eszközbiztonság végeview

Az Intel® az Intel Agilex® 7 eszközöket dedikált, jól konfigurálható biztonsági hardverrel és firmware-rel tervezi.
Ez a dokumentum útmutatást tartalmaz az Intel Quartus® Prime Pro Edition szoftver használatához az Intel Agilex 7 eszközök biztonsági funkcióinak megvalósításához.
Ezenkívül az Intel FPGA-k és strukturált ASIC-k biztonsági módszertana felhasználói kézikönyve elérhető az Intel Resource & Design Centerben. Ez a dokumentum részletes leírást tartalmaz az Intel Programmable Solutions termékeken keresztül elérhető biztonsági szolgáltatásokról és technológiákról, amelyek segítenek kiválasztani a biztonsági célok eléréséhez szükséges biztonsági funkciókat. Lépjen kapcsolatba az Intel ügyfélszolgálatával a 14014613136 hivatkozási számmal az Intel FPGA-k és strukturált ASIC-k felhasználói kézikönyvének eléréséhez.
A dokumentum a következőképpen van felszerelve: · Hitelesítés és engedélyezés: A létrehozáshoz ad utasításokat
hitelesítési kulcsok és aláírási láncok, engedélyek és visszavonások alkalmazása, objektumok aláírása és programhitelesítési szolgáltatások az Intel Agilex 7 eszközökön. · AES bitfolyam titkosítás: Utasításokat ad az AES gyökérkulcs létrehozásához, a konfigurációs bitfolyamok titkosításához és az AES gyökérkulcs kiépítéséhez az Intel Agilex 7 eszközökhöz. · Eszközellátás: Útmutatást ad az Intel Quartus Prime Programmer és Secure Device Manager (SDM) szolgáltatás firmware használatához az Intel Agilex 7 eszközök biztonsági funkcióinak programozásához. · Speciális szolgáltatások: Útmutatást ad a fejlett biztonsági funkciók engedélyezéséhez, beleértve a biztonságos hibakeresési engedélyezést, a hardverprocesszoros rendszer (HPS) hibakeresését és a távoli rendszerfrissítést.
1.1. Elkötelezettség a termékbiztonság iránt
Az Intel biztonság iránti hosszú távú elkötelezettsége soha nem volt erősebb. Az Intel nyomatékosan javasolja, hogy ismerkedjen meg termékbiztonsági erőforrásainkkal, és tervezze azok felhasználását Intel-terméke teljes élettartama alatt.
Kapcsolódó információk · Termékbiztonság az Intelnél · Intel Product Security Center Tanácsok

Intel Corporation. Minden jog fenntartva. Az Intel, az Intel logó és más Intel védjegyek az Intel Corporation vagy leányvállalatai védjegyei. Az Intel szavatolja FPGA és félvezető termékeinek aktuális specifikációi szerinti teljesítményét, az Intel szabványos garanciájával összhangban, de fenntartja a jogot, hogy bármely terméket és szolgáltatást előzetes értesítés nélkül módosítson. Az Intel nem vállal felelősséget az itt leírt információk, termékek vagy szolgáltatások alkalmazásából vagy használatából eredően, kivéve, ha az Intel kifejezetten írásban beleegyezik. Az Intel ügyfeleinek azt tanácsoljuk, hogy szerezzék be az eszközspecifikációk legfrissebb verzióját, mielőtt bármilyen közzétett információra hagyatkoznának, és mielőtt megrendelnék termékeket vagy szolgáltatásokat. *Más nevek és márkák mások tulajdonát képezhetik.

ISO 9001: 2015 bejegyezve

1. Intel Agilex® 7 Device Security Overview 683823 | 2023.05.23

1.2. Tervezett biztonsági funkciók

Az ebben a részben említett funkciókat az Intel Quartus Prime Pro Edition szoftver jövőbeli kiadásában tervezik.

Jegyzet:

Az ebben a részben található információk előzetesek.

1.2.1. Részleges újrakonfigurálási bitfolyam-biztonsági ellenőrzés
A részleges újrakonfigurálás (PR) bitfolyam biztonsági ellenőrzése további biztosítékot nyújt arra vonatkozóan, hogy a PR persona bitfolyamok nem férhetnek hozzá más PR persona bitfolyamokhoz, és nem zavarhatják meg őket.

1.2.2. Eszköz öngyilkosság a fizikai anti-Tamper
Az eszköz önkioltása eszköztörlési vagy nullázási választ hajt végre, és emellett programozza az eFuses-eket, hogy megakadályozza az eszköz újbóli konfigurálását.

1.3. Elérhető biztonsági dokumentáció

Az alábbi táblázat felsorolja az Intel FPGA és Structured ASIC eszközök eszközbiztonsági funkcióinak elérhető dokumentációját:

1. táblázat.

Elérhető eszközbiztonsági dokumentáció

Dokumentum neve
Biztonsági módszertan Intel FPGA-khoz és strukturált ASIC-ekhez Felhasználói útmutató

Cél
Legfelső szintű dokumentum, amely részletes leírásokat tartalmaz az Intel programozható megoldások termékei biztonsági funkcióiról és technológiáiról. Célja, hogy segítsen kiválasztani a biztonsági céljai eléréséhez szükséges biztonsági funkciókat.

Okmányazonosító 721596

Intel Stratix 10 Device Security felhasználói kézikönyv
Intel Agilex 7 Device Security felhasználói kézikönyv

Az Intel Stratix 10 eszközök felhasználói számára ez az útmutató utasításokat tartalmaz az Intel Quartus Prime Pro Edition szoftver használatára vonatkozóan a Biztonsági módszertani felhasználói kézikönyvben azonosított biztonsági szolgáltatások megvalósításához.
Az Intel Agilex 7 eszközök felhasználói számára ez az útmutató utasításokat tartalmaz az Intel Quartus Prime Pro Edition szoftver használatához a Biztonsági módszertani felhasználói kézikönyvben azonosított biztonsági szolgáltatások megvalósításához.

683642 683823

Intel eASIC N5X Device Security felhasználói kézikönyv

Az Intel eASIC N5X eszközök felhasználói számára ez az útmutató utasításokat tartalmaz az Intel Quartus Prime Pro Edition szoftver használatához a Biztonsági módszertani felhasználói kézikönyvben azonosított biztonsági szolgáltatások megvalósításához.

626836

Intel Agilex 7 és Intel eASIC N5X HPS Cryptographic Services felhasználói kézikönyv

Ez az útmutató olyan információkat tartalmaz, amelyek segítséget nyújtanak a HPS szoftvermérnökök számára a HPS szoftverkönyvtárak megvalósításában és használatában az SDM által biztosított kriptográfiai szolgáltatások eléréséhez.

713026

AN-968 Black Key Provisioning Service Gyors üzembe helyezési útmutató

Ez az útmutató a Black Key Provisioning szolgáltatás beállításához szükséges lépések teljes készletét tartalmazza.

739071

Hely Intel erőforrás és
Tervező Központ
Intel.com
Intel.com
Intel Resource and Design Center
Intel Resource and Design Center
Intel Resource and Design Center

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 5

683823 | 2023.05.23 Visszajelzés küldése

Hitelesítés és engedélyezés

Az Intel Agilex 7 eszközök hitelesítési funkcióinak engedélyezéséhez először használja az Intel Quartus Prime Pro Edition szoftvert és a kapcsolódó eszközöket az aláírási lánc felépítéséhez. Az aláírási lánc egy gyökérkulcsból, egy vagy több aláíró kulcsból és a vonatkozó jogosultságokból áll. Alkalmazza az aláírási láncot az Intel Quartus Prime Pro Edition projekthez és a lefordított programozáshoz files. Használja az Eszközkiépítés utasításait a gyökérkulcs beprogramozásához az Intel Agilex 7 eszközökbe.
Kapcsolódó információk
Eszközellátás a 25. oldalon

2.1. Aláírási lánc létrehozása
Az aláírási lánc műveletek végrehajtásához használhatja a quartus_sign eszközt vagy az agilex_sign.py hivatkozási implementációt. Ez a dokumentum plamples a quartus_sign használatával.
A referencia-megvalósítás használatához helyettesítse az Intel Quartus Prime szoftverben található Python interpreter hívását, és hagyja ki a –family=agilex beállítást; minden más lehetőség egyenértékű. Plample, a quartus_sign parancs, amely ebben a szakaszban később található
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky konvertálható a referencia-megvalósítás egyenértékű hívásává az alábbiak szerint
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Az Intel Quartus Prime Pro Edition szoftver tartalmazza a quartus_sign, pgm_py és agilex_sign.py eszközöket. Használhatja a Nios® II parancshéj eszközt, amely automatikusan beállítja a megfelelő környezeti változókat az eszközök eléréséhez.

Kövesse ezeket az utasításokat a Nios II parancshéj megjelenítéséhez. 1. Hozz létre egy Nios II parancshéjat.

Opció Windows
Linux

Leírás
A Start menüben mutasson a Programok Intel FPGA Nios II EDS pontra és kattintson a Nios II gombra Command Shell.
A parancshéjban módosítsa a /nios2eds, és futtassa a következő parancsot:
./nios2_command_shell.sh

Az exampEbben a szakaszban az aláírási láncot és a konfigurációs bitfolyamot feltételezik files az aktuális munkakönyvtárban találhatók. Ha úgy dönt, hogy követi az examples hol kulcs files tartják a file rendszer, azok plamples vegyük fel a kulcsot files vannak

ISO 9001: 2015 bejegyezve

2. Hitelesítés és engedélyezés 683823 | 2023.05.23
az aktuális munkakönyvtárban található. Kiválaszthatja, hogy mely könyvtárakat használja, és az eszközök relatív támogatást nyújtanak file utak. Ha a kulcs megtartását választja files a file rendszert, gondosan kell kezelnie az ezekhez való hozzáférési engedélyeket files.
Az Intel azt javasolja, hogy egy kereskedelmi forgalomban kapható hardverbiztonsági modult (HSM) használjon a kriptográfiai kulcsok tárolására és a kriptográfiai műveletek végrehajtására. A quartus_sign eszköz és a referencia implementáció tartalmaz egy nyilvános kulcsú titkosítási szabvány #11 (PKCS #11) alkalmazásprogramozási felületet (API), amely interakcióba lép a HSM-mel az aláírási lánc műveletek végrehajtása során. Az agilex_sign.py hivatkozás megvalósítása tartalmaz egy interfész-absztraktot, valamint egy exampinterfész a SoftHSM-hez.
Használhatja ezeket plample interfaces interfész megvalósításához a HSM-hez. Tekintse meg a HSM szállítója dokumentációját a HSM-hez való interfész megvalósításával és üzemeltetésével kapcsolatos további információkért.
A SoftHSM egy általános kriptográfiai eszköz szoftveres megvalósítása PKCS #11 interfésszel, amelyet az OpenDNSSEC® projekt tesz elérhetővé. Az OpenDNSSEC projektben további információkat találhat, beleértve az OpenHSM letöltésével, felépítésével és telepítésével kapcsolatos utasításokat is. Az exampEbben a részben a SoftHSM 2.6.1-es verzióját használják. Az exampEbben a szakaszban az OpenSC pkcs11-tool segédprogramját is használja további PKCS #11 műveletek végrehajtásához egy SoftHSM tokennel. További információkat találhat, beleértve a pkcs11tool OpenSC-ből történő letöltésére, összeállítására és telepítésére vonatkozó utasításokat is.
Kapcsolódó információk
· Az OpenDNSSEC projekt házirend-alapú zónaaláíró a DNSSEC kulcsok nyomon követésének automatizálására.
· SoftHSM Információk a PKCS #11 interfészen keresztül elérhető kriptográfiai tároló megvalósításáról.
· OpenSC Az intelligens kártyákkal való együttműködésre képes könyvtárakat és segédprogramokat kínál.
2.1.1. Hitelesítési kulcspárok létrehozása a helyi hálózaton File Rendszer
A quartus_sign eszközzel hitelesítési kulcspárokat hozhat létre a lokálison file rendszer a make_private_pem és make_public_pem eszközműveletekkel. Először létrehoz egy privát kulcsot a make_private_pem művelettel. Megadhatja a használandó elliptikus görbét, a privát kulcsot filenevet, és opcionálisan, hogy védje-e a privát kulcsot jelmondattal. Az Intel a secp384r1 görbe használatát és az iparág bevált gyakorlatainak követését javasolja erős, véletlenszerű jelmondat létrehozásához minden privát kulcson files. Az Intel azt is javasolja, hogy korlátozzák a file rendszerengedélyek a .pem privát kulcson files csak a tulajdonos olvassa el. A nyilvános kulcsot a privát kulcsból a make_public_pem művelettel származtatja. Hasznos a kulcs .pem elnevezése files leírólag. Ez a dokumentum az egyezményt használja _ .pem a következő examples.
1. A Nios II parancshéjban futtassa a következő parancsot egy privát kulcs létrehozásához. Az alább látható privát kulcsot gyökérkulcsként használjuk a későbbiekben, plampamelyek aláírási láncot hoznak létre. Az Intel Agilex 7 eszközök több gyökérkulcsot támogatnak, így Ön

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 7

2. Hitelesítés és engedélyezés 683823 | 2023.05.23

ismételje meg ezt a lépést a szükséges számú gyökérkulcs létrehozásához. VoltampEbben a dokumentumban mind az első gyökérkulcsra hivatkoznak, bár az aláírási láncokat hasonló módon bármilyen gyökérkulccsal építheti fel.

Opció Jelmondattal

Leírás
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Adja meg a jelszót, amikor a rendszer kéri.

Jelszó nélkül

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Futtassa a következő parancsot egy nyilvános kulcs létrehozásához az előző lépésben generált privát kulccsal. Nem kell védenie a nyilvános kulcsok titkosságát.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Futtassa újra a parancsokat, és hozzon létre egy kulcspárt, amelyet az aláírási lánc tervezési aláíró kulcsaként használnak.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Hitelesítési kulcspárok létrehozása a SoftHSM-ben
A SoftHSM examples ebben a fejezetben önkonzisztensek. Bizonyos paraméterek a SoftHSM telepítésétől és a SoftHSM-en belüli token inicializálásától függenek.
A quartus_sign eszköz a HSM PKCS #11 API-könyvtárától függ.
Az exampEbben a szakaszban feltételezzük, hogy a SoftHSM könyvtár a következő helyek egyikére van telepítve: · /usr/local/lib/softhsm2.so Linuxon · C:SoftHSM2libsofthsm2.dll a Windows 32 bites verzióján · C:SoftHSM2libsofthsm2-x64 .dll a Windows 64 bites verzióján.
Inicializáljon egy tokent a SoftHSM-en belül a softhsm2-util eszközzel:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Az opció paraméterei, különösen a token címke és a token pin plampebben a fejezetben végig használjuk. Az Intel azt javasolja, hogy kövesse a HSM-szállító utasításait a tokenek és kulcsok létrehozásához és kezeléséhez.
A hitelesítési kulcspárokat a pkcs11-tool segédprogrammal hozhatja létre a SoftHSM tokennel való interakcióhoz. Ahelyett, hogy kifejezetten a privát és nyilvános kulcsra .pem hivatkozna files a file rendszer plampLes, akkor a címkéjével hivatkozik a kulcspárra, és az eszköz automatikusan kiválasztja a megfelelő kulcsot.

Intel Agilex® 7 Device Security felhasználói kézikönyv 8

Visszajelzés küldése

2. Hitelesítés és engedélyezés 683823 | 2023.05.23

Futtassa a következő parancsokat, hogy létrehozzon egy kulcspárt, amelyet gyökérkulcsként használnak a későbbiekben, plamples, valamint az aláírási láncban tervezési aláíró kulcsként használt kulcspár:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –használati jel –címke root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

Jegyzet:

Ebben a lépésben az ID opciónak egyedinek kell lennie minden kulcsnál, de csak a HSM használja. Ez az azonosító opció nem kapcsolódik az aláírási láncban hozzárendelt kulcslemondási azonosítóhoz.

2.1.3. Az aláírási lánc gyökérbejegyzésének létrehozása
Alakítsa át a nyilvános gyökérkulcsot aláírási lánc gyökérbejegyzéssé, amelyet a helyi kulcson tárol file rendszer Intel Quartus Prime kulcs (.qky) formátumban file, a make_root művelettel. Ismételje meg ezt a lépést minden generált gyökérkulcsnál.
Futtassa a következő parancsot egy aláírási lánc létrehozásához gyökér bejegyzéssel a gyökér nyilvános kulcs használatával file rendszer:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
Futtassa a következő parancsot egy aláírási lánc létrehozásához gyökérbejegyzéssel az előző szakaszban létrehozott SoftHSM token gyökérkulcsával:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libohsm ” root2 root0.qky

2.1.4. Aláírási lánc nyilvános kulcs bejegyzésének létrehozása
Hozzon létre egy új nyilvános kulcs bejegyzést egy aláírási lánchoz az append_key művelettel. Megadhatja az előző aláírási láncot, a privát kulcsot az előző aláírási lánc utolsó bejegyzéséhez, a következő szintű nyilvános kulcsot, a következő szintű nyilvános kulcshoz rendelt engedélyeket és törlési azonosítót, valamint az új aláírási láncot. file.
Vegye figyelembe, hogy a softHSM könyvtár nem érhető el a Quartus telepítésével, hanem külön kell telepíteni. A softHSM-mel kapcsolatos további információkért tekintse meg a fenti Aláírási lánc létrehozása című részt.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 9

2. Hitelesítés és engedélyezés 683823 | 2023.05.23
A gombok használatától függően file rendszerben vagy egy HSM-ben használja a következő plample parancsok a design0_sign nyilvános kulcs hozzáfűzéséhez az előző szakaszban létrehozott gyökér aláírási lánchoz:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –=previo root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Az append_key műveletet még kétszer megismételheti legfeljebb három nyilvános kulcs bejegyzéshez a gyökérbejegyzés és a fejlécblokk bejegyzése között bármely aláírási láncban.
A következő plampA le feltételezi, hogy egy másik hitelesítési nyilvános kulcsot hozott létre ugyanazokkal az engedélyekkel, és hozzárendelte a design1_sign_public.pem 1. törlési azonosítót, és ezt a kulcsot hozzáfűzi az előző ex aláírási láncához.ample:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –=previo design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Az Intel Agilex 7 eszközök tartalmaznak egy további kulcstörlés-számlálót, amely megkönnyíti a kulcsok használatát, amelyek az adott eszköz élettartama során időszakosan változhatnak. Ezt a kulcstörlési számlálót úgy választhatja ki, hogy a –cancel paraméter argumentumát pts:pts_value értékre módosítja.
2.2. Konfigurációs bitfolyam aláírása
Az Intel Agilex 7 eszközök támogatják a Security Version Number (SVN) számlálókat, amelyek lehetővé teszik egy objektum jogosultságának visszavonását kulcs törlése nélkül. Az SVN-számlálót és a megfelelő SVN-számlálóértéket bármely objektum, például bitfolyam-szakasz, firmware .zip aláírásakor kell hozzárendelnie. file, vagy kompakt tanúsítvány. Az SVN-számlálót és az SVN-értéket a –cancel kapcsolóval és az svn_counter:svn_value argumentumával rendelheti hozzá. Az svn_counter érvényes értékei: svnA, svnB, svnC és svnD. Az svn_value a [0,63] tartományon belüli egész szám.

Intel Agilex® 7 Device Security felhasználói kézikönyv 10

Visszajelzés küldése

2. Hitelesítés és engedélyezés 683823 | 2023.05.23
2.2.1. Quartus kulcs File Kijelölés
Megadhat egy aláírási láncot az Intel Quartus Prime szoftverprojektben, hogy engedélyezze az adott terv hitelesítési funkcióját. A Hozzárendelések menüben válassza az Eszköz eszköz és PIN-beállítások Biztonsági kvartuskulcs lehetőséget File, majd tallózással keresse meg a .qky aláírási láncot file Ön létrehozta, hogy aláírja ezt a tervet.
1. ábra: Konfigurációs bitfolyam beállítás engedélyezése

Alternatív megoldásként hozzáadhatja a következő hozzárendelési utasítást az Intel Quartus Prime beállításaihoz file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
.sof létrehozásához file egy korábban összeállított tervből, amely tartalmazza ezt a beállítást, a Feldolgozás menüből válassza az Összeszerelő indítása parancsot. Az új kimenet .sof file tartalmazza azokat a hozzárendeléseket, amelyek lehetővé teszik a hitelesítést a megadott aláírási lánccal.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 11

2. Hitelesítés és engedélyezés 683823 | 2023.05.23
2.2.2. Együtt-aláíró SDM firmware
A quartus_sign eszközzel kibonthatja, aláírhatja és telepítheti a megfelelő .zip SDM firmware-t file. A közösen aláírt firmware-t ezután a programozás tartalmazza file generátor eszköz a .sof konvertálásakor file konfigurációs bitfolyamba .rbf file. A következő parancsokkal új aláírási láncot hozhat létre és aláírhatja az SDM firmware-t.
1. Hozzon létre egy új aláíró kulcspárt.
a. Hozzon létre egy új aláíró kulcspárt a file rendszer:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Hozzon létre egy új aláíró kulcspárt a HSM-ben:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –használati jel –firmware1 címke –azonosító 1
2. Hozzon létre egy új aláírási láncot, amely tartalmazza az új nyilvános kulcsot:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –=previo root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Másolja a firmware-t .zip file az Intel Quartus Prime Pro Edition szoftver telepítési könyvtárából ( /devices/programmer/firmware/agilex.zip) az aktuális munkakönyvtárba.
quartus_sign –family=agilex –get_firmware=.
4. Írja alá a firmware-t .zip file. Az eszköz automatikusan kicsomagolja a .zip fájlt file és egyenként aláírja az összes firmware-t .cmf files, majd újraépíti a .zip file a következő szakaszokban található eszközök használatához:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 Device Security felhasználói kézikönyv 12

Visszajelzés küldése

2. Hitelesítés és engedélyezés 683823 | 2023.05.23

–kulcsnév=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Konfigurációs bitfolyam aláírása a quartus_sign paranccsal
Konfigurációs bitfolyam aláírásához a quartus_sign paranccsal először konvertálnia kell a .sof fájlt file az előjel nélküli nyers binárishoz file (.rbf) formátumban. A konverziós lépés során opcionálisan megadhatja a társaláírt firmware-t az fw_source beállítással.
Az aláíratlan nyers bitfolyamot .rbf formátumban állíthatja elő a következő paranccsal:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Futtassa a következő parancsok egyikét a bitfolyam aláírásához a quartus_sign eszközzel, a kulcsok helyétől függően:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Átalakíthatja az aláírt .rbf-et files más konfigurációs bitfolyamra file formátumok.
Plampha a Jam* Standard Test and Programming Language (STAPL) lejátszót használja bitfolyam programozására J felettTAG, a következő paranccsal konvertálhatja az .rbf fájlt file a Jam STAPL Player által igényelt .jam formátumra:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Részleges újrakonfigurálás többhatóságos támogatása

Az Intel Agilex 7 eszközök támogatják a részleges újrakonfigurálású többhatóságos hitelesítést, ahol az eszköz tulajdonosa hozza létre és írja alá a statikus bitfolyamot, és egy külön PR-tulajdonos hozza létre és írja alá a PR persona bitfolyamokat. Az Intel Agilex 7 eszközök több hatósági támogatást valósítanak meg azáltal, hogy az első hitelesítési gyökérkulcs-helyeket az eszköz vagy statikus bitfolyam tulajdonosához rendelik, és a végső hitelesítési gyökérkulcs-helyet a részleges újrakonfigurálást végző személy bitfolyam-tulajdonosához rendelik.
Ha a hitelesítési funkció engedélyezve van, akkor minden PR-személyi képet alá kell írni, beleértve a beágyazott PR-személyi képeket is. A PR-személyes képeket az eszköz tulajdonosa vagy a PR-tulajdonos aláírhatja; a statikus régiós bitfolyamokat azonban az eszköz tulajdonosának alá kell írnia.

Jegyzet:

Részleges újrakonfigurálású statikus és személyi bitfolyam-titkosítás, ha több hatóság támogatása engedélyezett, egy jövőbeli kiadásban tervezik.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 13

2. Hitelesítés és engedélyezés 683823 | 2023.05.23

2. ábra.

A részleges újrakonfigurálás több hatósági támogatásának megvalósítása több lépést igényel:
1. Az eszköz vagy a statikus bitfolyam tulajdonosa egy vagy több hitelesítési gyökérkulcsot állít elő a Hitelesítési kulcspárok létrehozása a SoftHSM-ben (8. oldal) című részben leírtak szerint, ahol a –key_type kapcsoló értéke tulajdonos.
2. A részleges újrakonfigurálás bitfolyam tulajdonosa létrehoz egy hitelesítési gyökérkulcsot, de a –key_type beállítás értékét Second_owner értékre módosítja.
3. Mind a statikus bitfolyam, mind a részleges újrakonfigurálási terv tulajdonosai biztosítják, hogy a Többhatóságos támogatás engedélyezése jelölőnégyzet engedélyezve legyen az Eszköz hozzárendelései és a PIN-beállítások biztonsága lapon.
Intel Quartus Prime Enable Multi-Authority Option Settings

4. Mind a statikus bitfolyam, mind a részleges újrakonfigurálási terv tulajdonosai aláírási láncokat hoznak létre a megfelelő gyökérkulcsok alapján, az Aláírási lánc létrehozása, 6. oldalon leírtak szerint.
5. Mind a statikus bitfolyam, mind a részleges újrakonfigurálási tervtulajdonosok az összeállított terveiket .rbf formátumba konvertálják files és írja alá az .rbf-et files.
6. Az eszköz vagy statikus bitfolyam tulajdonosa létrehoz és aláír egy PR nyilvános kulcsú programengedélyezési kompakt tanúsítványt.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o tulajdonos_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 Device Security felhasználói kézikönyv 14

Visszajelzés küldése

2. Hitelesítés és engedélyezés 683823 | 2023.05.23

7. Az eszköz vagy a statikus bitfolyam-tulajdonos létrehozza a hitelesítési gyökérkulcs-kivonatokat az eszköz számára, majd programozza a PR nyilvános kulcsú programengedélyezési kompakt tanúsítványt, és végül a részleges újrakonfigurálási bitfolyam-tulajdonos gyökérkulcsát biztosítja az eszköz számára. Az Eszközkiépítés szakasz leírja ezt a kiépítési folyamatot.
8. Az Intel Agilex 7 eszköz az .rbf statikus régióval van konfigurálva file.
9. Az Intel Agilex 7 eszköz részben át lett konfigurálva a persona design .rbf-vel file.
Kapcsolódó információk
· Aláírási lánc létrehozása a 6. oldalon
· Hitelesítési kulcspárok létrehozása a SoftHSM-ben, 8. oldal
· Eszközellátás a 25. oldalon

2.2.5. Konfigurációs bitfolyam aláírási láncok ellenőrzése
Az aláírási láncok és aláírt bitfolyamok létrehozása után ellenőrizheti, hogy az aláírt bitfolyam megfelelően konfigurálja-e az adott gyökérkulccsal programozott eszközt. Először használja a quartus_sign parancs fuse_info műveletét a nyilvános gyökérkulcs kivonatának kinyomtatásához egy szöveghez file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Ezután a quartus_pfg parancs check_integrity opciójával ellenőrizheti az aláírási láncot az aláírt bitfolyam minden szakaszán .rbf formátumban. A check_integrity opció a következő információkat nyomtatja ki:
· A teljes bitfolyam integritás-ellenőrzés állapota
· Az .rbf bitfolyam egyes szakaszaihoz csatolt aláírási láncok minden bejegyzésének tartalma file,
· A nyilvános gyökérkulcs kivonatának várt biztosítékértéke minden aláírási lánchoz.
A fuse_info kimenet értékének meg kell egyeznie a check_integrity kimenet Fuse soraival.
quartus_pfg –check_integrity signed_bitstream.rbf

Itt van egy exampa check_integrity parancs kimenetének le:

Információ: Parancs: quartus_pfg –check_integrity signed_bitstream.rbf Integritás állapota: OK

Szakasz

Típus: CMF

Aláírás leíró…

0. aláírási lánc (bejegyzések: -1, eltolás: 96)

Bejegyzés #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Kulcs generálása…

Görbe: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Kulcs generálása…

Görbe: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 15

2. Hitelesítés és engedélyezés 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Bejegyzés #1

Kulcs generálása…

Görbe: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

2. bejegyzés Kulcstartó engedély: SIGN_CODE A kulcstartó törölhető azonosítóval: 3 Aláírási lánc #1 (bejegyzések: -1, eltolás: 648)

Bejegyzés #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Kulcs generálása…

Görbe: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Kulcs generálása…

Görbe: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Bejegyzés #1

Kulcs generálása…

Görbe: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Bejegyzés #2

Kulcs generálása…

Görbe: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

3. bejegyzés Kulcstartó engedély: SIGN_CODE A kulcstartó törölhető a következő azonosítóval: 15. 2. aláírási lánc (bejegyzések: -1, eltolás: 0) 3. aláírási lánc (bejegyzések: -1, eltolás: 0) 4. aláírási lánc (bejegyzések: -1, eltolás: 0) 5. aláírási lánc (bejegyzések: -1, eltolás: 0) 6. aláírási lánc (bejegyzések: -1, eltolás: 0) 7. aláírási lánc (bejegyzések: -1, eltolás: 0)

Szakasz típusa: IO Aláírás Leíró … Aláírási lánc #0 (bejegyzések: -1, eltolás: 96)

Bejegyzés #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Kulcs generálása…

Görbe: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 Device Security felhasználói kézikönyv 16

Visszajelzés küldése

2. Hitelesítés és engedélyezés 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Kulcs generálása…

Görbe: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Bejegyzés #1

Kulcs generálása…

Görbe: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Bejegyzés #2

Kulcs generálása…

Görbe: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

3. bejegyzés kulcstartó engedélye: SIGN_CORE A kulcstartó törölhető azonosítóval: 15. 1. aláírási lánc (bejegyzések: -1, eltolás: 0) 2. aláírási lánc (bejegyzések: -1, eltolás: 0) 3. aláírási lánc (bejegyzések: -1, eltolás: 0) Aláírási lánc #4 (bejegyzések: -1, eltolás: 0) Aláírási lánc #5 (bejegyzések: -1, eltolás: 0) Aláírási lánc #6 (bejegyzések: -1, eltolás: 0) Aláírás 7. lánc (bejegyzések: -1, eltolás: 0)

Szakasz

Típus: HPS

Aláírás leíró…

0. aláírási lánc (bejegyzések: -1, eltolás: 96)

Bejegyzés #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Kulcs generálása…

Görbe: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Kulcs generálása…

Görbe: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Bejegyzés #1

Kulcs generálása…

Görbe: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Bejegyzés #2

Kulcs generálása…

Görbe: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 17

2. Hitelesítés és engedélyezés 683823 | 2023.05.23

3. bejegyzés kulcstartó engedélye: SIGN_HPS kulcstartó törölhető a következő azonosítóval: 15. 1. aláírási lánc (bejegyzések: -1, eltolás: 0) 2. aláírási lánc (bejegyzések: -1, eltolás: 0) 3. aláírási lánc (bejegyzések: -1, eltolás: 0) Aláírási lánc #4 (bejegyzések: -1, eltolás: 0) Aláírási lánc #5 (bejegyzések: -1, eltolás: 0) Aláírási lánc #6 (bejegyzések: -1, eltolás: 0) Aláírás 7. lánc (bejegyzések: -1, eltolás: 0)

Szakasz típusa: CORE Aláírás Leíró … Aláírási lánc #0 (bejegyzések: -1, eltolás: 96)

Bejegyzés #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Kulcs generálása…

Görbe: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Kulcs generálása…

Görbe: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Bejegyzés #1

Kulcs generálása…

Görbe: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Bejegyzés #2

Kulcs generálása…

Görbe: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Intel Agilex® 7 Device Security felhasználói kézikönyv 18

Visszajelzés küldése

683823 | 2023.05.23 Visszajelzés küldése

AES bitfolyam titkosítás

Az Advanced Encryption Standard (AES) bitfolyam-titkosítás egy olyan szolgáltatás, amely lehetővé teszi az eszköz tulajdonosának, hogy megvédje a szellemi tulajdon titkosságát a konfigurációs bitfolyamban.
A kulcsok titkosságának védelme érdekében a konfigurációs bitfolyam-titkosítás AES-kulcsok láncát használja. Ezek a kulcsok a tulajdonosi adatok titkosítására szolgálnak a konfigurációs bitfolyamban, ahol az első köztes kulcsot az AES gyökérkulccsal titkosítják.

3.1. Az AES gyökérkulcs létrehozása

Használhatja a quartus_encrypt eszközt vagy a stratix10_encrypt.py hivatkozási implementációt egy AES gyökérkulcs létrehozásához Intel Quartus Prime szoftver titkosítási kulcs (.qek) formátumban file.

Jegyzet:

A stratix10_encrypt.py file Intel Stratix® 10 és Intel Agilex 7 eszközökhöz használatos.

Opcionálisan megadhatja az AES gyökérkulcs és kulcs származékkulcs származtatásához használt alapkulcsot, az AES gyökérkulcs közvetlen értékét, a közbenső kulcsok számát és a közbenső kulcsonkénti maximális használatot.

Meg kell adnia az eszközcsaládot, kimenet .qek file helyét és jelmondatát, amikor a rendszer kéri.
Futtassa a következő parancsot az AES gyökérkulcs létrehozásához az alapkulcs véletlenszerű adataival, valamint a köztes kulcsok számának és a maximális kulcshasználatnak az alapértelmezett értékeivel.
A referencia-megvalósítás használatához helyettesítse az Intel Quartus Prime szoftverben található Python interpreter hívását, és hagyja ki a –family=agilex beállítást; minden más lehetőség egyenértékű. Plample, a szakasz későbbi részében található quartus_encrypt parancs

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

konvertálható a referenciamegvalósítás egyenértékű hívásává a következőképpen: pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Quartus titkosítási beállítások
A terv bitfolyam-titkosításának engedélyezéséhez meg kell adnia a megfelelő beállításokat az Eszköz hozzárendelése és a tűbeállítások biztonsága panelen. Be kell jelölni a Konfigurációs bitfolyam titkosítás engedélyezése jelölőnégyzetet, és a kívánt titkosítási kulcs tárolási helyét a legördülő menüből.

ISO 9001: 2015 bejegyezve

3. ábra: Intel Quartus Prime titkosítási beállítások

3. AES bitfolyam titkosítás 683823 | 2023.05.23

Alternatív megoldásként hozzáadhatja a következő hozzárendelési utasítást az Intel Quartus Prime beállításaihoz file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM on set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Ha további enyhítéseket szeretne engedélyezni az oldalcsatornás támadási vektorokkal szemben, engedélyezheti a Titkosítás frissítési aránya legördülő menüt és a Titkosítás engedélyezése jelölőnégyzetet.

Intel Agilex® 7 Device Security felhasználói kézikönyv 20

Visszajelzés küldése

3. AES bitfolyam titkosítás 683823 | 2023.05.23

A megfelelő változtatások a .qsf-ben a következők:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING on set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Konfigurációs bitfolyam titkosítása
A konfigurációs bitfolyamot a bitfolyam aláírása előtt titkosítja. Az Intel Quartus Prime programozás File A Generátor eszköz képes automatikusan titkosítani és aláírni a konfigurációs bitfolyamot a grafikus felhasználói felület vagy a parancssor használatával.
Opcionálisan létrehozhat egy részben titkosított bitfolyamot a quartus_encrypt és quartus_sign eszközökkel vagy referenciamegvalósítási megfelelőkkel való használatra.

3.3.1. Konfiguráció Bitfolyam titkosítás a Programozás segítségével File Generátor grafikus felület
Használhatja a Programozást File Generátor a tulajdonos képének titkosításához és aláírásához.

4. ábra.

1. Az Intel Quartus Prime-on File menüből válassza a Programozás lehetőséget File Generátor. 2. A kimeneten Files lapon adja meg a kimenetet file írja be a konfigurációhoz
rendszer.
Kimenet File Specifikáció

Konfigurációs séma Kimenet file lapon
Kimenet file típus

3. A Bemeneten Files lapon kattintson a Bitfolyam hozzáadása lehetőségre, és tallózzon a .sof fájlhoz. 4. A titkosítási és hitelesítési beállítások megadásához válassza ki a .sof fájlt, és kattintson a gombra
Tulajdonságok. a. Kapcsolja be az Aláíró eszköz engedélyezése lehetőséget. b. Privát kulcshoz file válassza ki a privát .pem aláíró kulcsát file. c. Kapcsolja be a Titkosítás véglegesítése lehetőséget.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 21

3. AES bitfolyam titkosítás 683823 | 2023.05.23

5. ábra.

d. A titkosítási kulcshoz file, válassza ki az AES .qek file. Bemenet (.sof) File A hitelesítés és a titkosítás tulajdonságai

Hitelesítés engedélyezése Adja meg a privát root .pem fájlt
Titkosítás engedélyezése Adja meg a titkosítási kulcsot
5. Az aláírt és titkosított bitfolyam előállítása a Bemeneten Files lapon kattintson a Generálás gombra. Jelszó párbeszédpanelek jelennek meg, ahol megadhatja az AES-kulcs .qek jelszavát file és aláíró magánkulcs .pem file. A programozás file generátor létrehozza a titkosított és aláírt kimenetet_file.rbf.
3.3.2. Konfiguráció Bitfolyam titkosítás a Programozás segítségével File Generátor parancssori interfész
Hozzon létre egy titkosított és aláírt konfigurációs bitfolyamot .rbf formátumban a quartus_pfg parancssori felülettel:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
A titkosított és aláírt konfigurációs bitfolyamot .rbf formátumban konvertálhatja más konfigurációs bitfolyammá file formátumok.
3.3.3. Részlegesen titkosított konfigurációs bitfolyam generálása a parancssori felület használatával
Létrehozhat egy részben titkosított programozást file a titkosítás véglegesítéséhez és a kép későbbi aláírásához. Készítse elő a részben titkosított programozást file .rbf formátumban a quartus_pfgparancssori felülettel: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 Device Security felhasználói kézikönyv 22

Visszajelzés küldése

3. AES bitfolyam titkosítás 683823 | 2023.05.23
A quartus_encrypt parancssori eszközzel véglegesítheti a bitfolyam-titkosítást:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
A quartus_sign parancssori eszközzel írja alá a titkosított konfigurációs bitfolyamot:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Részleges újrakonfigurálási bitfolyam titkosítás
Engedélyezheti a bitfolyam-titkosítást bizonyos Intel Agilex 7 FPGA-terveknél, amelyek részleges újrakonfigurálást használnak.
A hierarchikus részleges újrakonfigurálást (HPR) vagy a statikus frissítés részleges újrakonfigurálást (SUPR) használó részleges újrakonfigurálási tervek nem támogatják a bitfolyam-titkosítást. Ha a terv több PR-régiót tartalmaz, akkor az összes személyt titkosítania kell.
A részleges újrakonfigurálási bitfolyam-titkosítás engedélyezéséhez kövesse ugyanazt az eljárást az összes tervezési változatban. 1. Az Intel Quartus Prime-on File menüben válassza a Hozzárendelések eszköze lehetőséget
és Pin Options Security. 2. Válassza ki a kívánt titkosítási kulcs tárolási helyét.
6. ábra: Részleges újrakonfigurálási bitfolyam titkosítási beállítás

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 23

3. AES bitfolyam titkosítás 683823 | 2023.05.23
Alternatív megoldásként a következő hozzárendelési utasítást is hozzáadhatja a Quartus Prime beállításaihoz file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION bekapcsolva
Az alapterv és a revíziók összeállítása után a szoftver létrehozza a.soffile és egy vagy több.pmsffiles, amely a személyeket képviseli. 3. Hozzon létre titkosított és aláírt programozást files from.sof and.pmsf files hasonló módon, mint a részleges újrakonfigurálást nem engedélyező tervekhez. 4. Alakítsa át a lefordított persona.pmsf-et file egy részben titkosított.rbf-hez file:
quartus_pfg -c -o finalize_encryption_later=BE -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. A quartus_encrypt parancssori eszközzel fejezze be a bitfolyam-titkosítást:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Írja alá a titkosított konfigurációs bitfolyamot a quartus_sign parancssori eszközzel:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Intel Agilex® 7 Device Security felhasználói kézikönyv 24

Visszajelzés küldése

683823 | 2023.05.23 Visszajelzés küldése

Eszközellátás

A biztonsági szolgáltatások kezdeti kiépítése csak az SDM-kiépítési firmware-ben támogatott. Az Intel Quartus Prime Programmer segítségével töltse be az SDM-kiépítési firmware-t és hajtsa végre a kiépítési műveleteket.
Bármilyen típusú J-t használhatTAG letöltési kábel a Quartus Programmer és az Intel Agilex 7 eszköz csatlakoztatásához a kiépítési műveletek végrehajtásához.
4.1. Az SDM Provision firmware használata
Az Intel Quartus Prime Programmer automatikusan létrehoz és betölt egy gyári alapértelmezett segédképet, amikor kiválasztja az inicializálási műveletet és a konfigurációs bitfolyamon kívül más programozási parancsot.
A megadott programozási parancstól függően a gyári alapértelmezett segédkép a következő két típus egyike:
· Kiépítési segédkép – egy bitfolyam szakaszból áll, amely az SDM kiépítési firmware-t tartalmazza.
· QSPI helper image – két bitfolyam részből áll, az egyik az SDM fő firmware-t és egy I/O szakaszt tartalmazza.
Létrehozhat egy gyári alapértelmezett segédképet file programozási parancs végrehajtása előtt betölteni a készülékbe. A hitelesítési gyökérkulcs-kivonat programozása után létre kell hoznia és alá kell írnia egy QSPI gyári alapértelmezett segédképet a mellékelt I/O szakasz miatt. Ha emellett beprogramozza az eFuse közösen aláírt firmware biztonsági beállítást, létre kell hoznia a kiépítési és a QSPI gyári alapértelmezett segédképet az együtt aláírt firmware-rel. Használhat közösen aláírt gyári alapértelmezett segédképet egy nem kiépített eszközön, mivel a nem kiépített eszköz figyelmen kívül hagyja az SDM firmware-n keresztüli nem Intel aláírási láncokat. A QSPI gyári alapértelmezett súgóképének használata saját eszközökön, 26. oldal című témakörben talál további részleteket a QSPI gyári alapértelmezett segédképe létrehozásáról, aláírásáról és használatáról.
A kiépítési gyári alapértelmezett segítőkép kiépítési műveletet hajt végre, például beprogramozza a hitelesítési gyökérkulcs-kivonatokat, a biztonsági beállítás biztosítékait, a PUF-regisztrációt vagy a feketekulcs-kiépítést. Ön az Intel Quartus Prime programozást használja File Generátor parancssori eszköz a kiépítési segédkép létrehozásához, megadva a helper_image beállítást, a helper_device nevét, a kiépítési segédkép altípusát és opcionálisan egy közösen aláírt .zip firmware-t file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Programozza be a segédképet az Intel Quartus Prime Programmer eszközzel:
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" –force

ISO 9001: 2015 bejegyezve

4. Eszközellátás 683823 | 2023.05.23

Jegyzet:

Kihagyhatja az inicializálási műveletet a parancsokból, beleértve plampAz ebben a fejezetben ismertetett lehetőségeket egy kiépítési segédkép programozása vagy az inicializálási műveletet tartalmazó parancs használata után végezheti el.

4.2. QSPI Factory Default Helper Image használata saját eszközökön
Az Intel Quartus Prime Programmer automatikusan létrehoz és betölt egy QSPI gyári alapértelmezett segédképet, amikor kiválasztja az inicializálási műveletet egy QSPI flash programozáshoz. file. A hitelesítési gyökérkulcs-kivonat programozása után létre kell hoznia és alá kell írnia a QSPI gyári alapértelmezett segédképet, és külön kell programoznia az aláírt QSPI gyári segédképet a QSPI flash programozása előtt. 1. Az Intel Quartus Prime programozást használja File Generátor parancssori eszköz
hozza létre a QSPI segédképet, megadva a helper_image beállítást, a helper_device típusát, a QSPI helper kép altípusát, és opcionálisan egy társsignalt firmware .zip fájlt file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Aláírja a QSPI gyári alapértelmezett segédképet:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Bármilyen QSPI flash programozást használhat file formátum. A következő plampA .jic-re konvertált konfigurációs bitfolyamot használnak file formátum:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Az aláírt segédképet az Intel Quartus Prime Programmer eszközzel programozza:
quartus_pgm -c 1 -mjtag -o „p;signed_qspi_helper_image.rbf” –erő
5. Az Intel Quartus Prime Programmer eszközzel programozza be a .jic képet flash-re:
quartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. Hitelesítési gyökérkulcs-kiépítés
A tulajdonos gyökérkulcs-kivonatainak fizikai biztosítékokra való programozásához először be kell töltenie a kiépítési firmware-t, majd ezután be kell programoznia a tulajdonos gyökérkulcs-kivonatait, majd azonnal végre kell hajtania a bekapcsolási alaphelyzetbe állítást. Nincs szükség bekapcsolási alaphelyzetbe állításra, ha a gyökérkulcs programozása virtuális biztosítékokhoz hasonlít.

Intel Agilex® 7 Device Security felhasználói kézikönyv 26

Visszajelzés küldése

4. Eszközellátás 683823 | 2023.05.23
A hitelesítési gyökérkulcs-kivonatok programozásához programozza be a firmware-segítő képfájlt, és futtassa a következő parancsok egyikét a .qky gyökérkulcs programozásához files.
// Fizikai (nem illékony) eFuse-okhoz quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky" –non_volatile_key
// Virtuális (illékony) eFuses-ekhez quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. Részleges újrakonfigurálás többhatóságos gyökérkulcsos programozás
Az eszköz vagy a statikus régió bitfolyam-tulajdonosi gyökérkulcsainak kiépítése után újra betölti az eszköz-kiépítési segédképet, programozza az aláírt PR nyilvános kulcs programengedélyezési kompakt tanúsítványt, majd hozza létre a PR persona bitfolyam tulajdonos gyökérkulcsát.
// Fizikai (nem illékony) eFuse-okhoz quartus_pgm -c 1 -mjtag -o "p;root_pr.qky" –pr_pubkey –non_volatile_key
// Virtuális (illékony) eFuses-ekhez quartus_pgm -c 1 -mjtag -o "p;p;root_pr.qky" –pr_pubkey
4.4. Programozási kulcs törlési azonosító biztosítékok
Az Intel Quartus Prime Pro Edition szoftver 21.1-es verziójától kezdve az Intel és a tulajdonosi kulcs törlési azonosító biztosítékainak programozásához aláírt kompakt tanúsítvány szükséges. A kulcstörlési azonosító kompakt tanúsítványt aláírhatja egy aláírási lánccal, amely rendelkezik FPGA szakasz aláírási jogosultságokkal. A kompakt tanúsítványt a programozással hozza létre file generátor parancssori eszköz. Az aláíratlan tanúsítványt a quartus_sign eszközzel vagy referencia megvalósítással írja alá.
Az Intel Agilex 7 eszközök minden gyökérkulcshoz különálló tulajdonosi kulcs-levonási azonosítók bankjait támogatják. Amikor egy tulajdonosi kulcs törlési azonosító kompakt tanúsítványt programoznak egy Intel Agilex 7 FPGA-ba, az SDM meghatározza, hogy melyik gyökérkulcs írta alá a kompakt tanúsítványt, és kioldja az adott gyökérkulcsnak megfelelő kulcstörlési azonosító biztosítékot.
A következő plamphozzon létre egy Intel kulcstörlési tanúsítványt a 7-es Intel kulcsazonosítóhoz. A 7-est lecserélheti a megfelelő Intel kulcstörlési azonosítóra 0 és 31 között.
Futtassa a következő parancsot egy aláíratlan Intel kulcslemondási azonosító kompakt tanúsítvány létrehozásához:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Futtassa a következő parancsok egyikét az aláíratlan Intel kulcslemondási azonosító kompakt tanúsítvány aláírásához:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 27

4. Eszközellátás 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Futtassa a következő parancsot egy aláíratlan tulajdonosi kulcs törlési azonosító kompakt tanúsítvány létrehozásához:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Futtassa a következő parancsok egyikét az aláíratlan tulajdonosi kulcs törlési azonosító kompakt tanúsítvány aláírásához:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Miután létrehozott egy aláírt kulcstörlési azonosító kompakt tanúsítványt, az Intel Quartus Prime Programmer segítségével programozza a kompakt tanúsítványt az eszközre a J-n keresztül.TAG.
//Fizikai (nem illékony) eFuse-okhoz quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" –non_volatile_key quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert" –nem_volatile_key
//Virtuális (illékony) eFuses-ekhez quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert"
Ezenkívül a kompakt tanúsítványt elküldheti az SDM-nek az FPGA vagy a HPS postafiók felületén keresztül.
4.5. A gyökérkulcsok törlése
Az Intel Agilex 7 eszközök lehetővé teszik a gyökérkulcs-kivonat törlését, ha egy másik nem törölt gyökérkulcs-kivonat is jelen van. A gyökérkulcs-kivonat törléséhez először konfigurálja az eszközt egy olyan kialakítással, amelynek aláírási lánca egy másik gyökérkulcs-kivonatban gyökerezik, majd programozzon egy aláírt gyökérkulcs-kivonat törlési kompakt tanúsítványt. A törléshez alá kell írnia a gyökérkulcs hash törlési kompakt tanúsítványát a gyökérkulcsban gyökerező aláírási lánccal.
Futtassa a következő parancsot egy aláíratlan gyökérkulcs hash törlési kompakt tanúsítvány létrehozásához:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 Device Security felhasználói kézikönyv 28

Visszajelzés küldése

4. Eszközellátás 683823 | 2023.05.23

Futtassa a következő parancsok egyikét az aláíratlan gyökérkulcs-kivonattörlési kompakt tanúsítvány aláírásához:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Programozhat gyökérkulcs hash törlési kompakt tanúsítványt a J-n keresztülTAG, FPGA vagy HPS postafiókok.

4.6. Számláló biztosítékok programozása
Frissíti a biztonsági verziószámot (SVN) és a Pseudo Time Stamp (PTS) számlálóbiztosítékok aláírt kompakt tanúsítványok használatával.

Jegyzet:

Az SDM nyomon követi az adott konfiguráció során látható minimális számlálóértéket, és nem fogad el számlálónövekményes tanúsítványokat, ha a számláló értéke kisebb, mint a minimális érték. A számlálónövekményes kompakt tanúsítvány programozása előtt frissítenie kell a számlálóhoz rendelt összes objektumot, és újra kell konfigurálnia az eszközt.

Futtassa a következő parancsok egyikét, amely megfelel a generálni kívánt számlálónövekmény-tanúsítványnak.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Az 1-es számlálóérték létrehoz egy számlálónövekmény engedélyezési tanúsítványt. A számlálónövekmény engedélyezési kompakt tanúsítvány programozása lehetővé teszi további aláíratlan számlálónövekményes tanúsítványok programozását a megfelelő számláló frissítéséhez. A quartus_sign eszközzel írhatja alá a számláló-kompakt tanúsítványokat a kulcstörlési azonosító kompakt tanúsítványaihoz hasonló módon.
Programozhat gyökérkulcs hash törlési kompakt tanúsítványt a J-n keresztülTAG, FPGA vagy HPS postafiókok.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 29

4. Eszközellátás 683823 | 2023.05.23

4.7. Biztonságos adatobjektum-szolgáltatás gyökérkulcs-kiépítése
Az Intel Quartus Prime Programmer segítségével biztosíthatja a Secure Data Object Service (SDOS) gyökérkulcsát. A programozó automatikusan betölti a firmware segédképet az SDOS gyökérkulcs kiépítéséhez.
quartus_pgm c 1 mjtag –szolgáltatás_gyökér_kulcs –nem_volatile_kulcs

4.8. Biztonsági beállítás Biztosíték kiépítése
Az Intel Quartus Prime Programmer segítségével vizsgálja meg az eszköz biztonsági beállításainak biztosítékait, és írja be őket egy szöveges .fuse fájlba file alábbiak szerint:
quartus_pgm -c 1 -mjtag -o "ei;programozás_file.biztosíték;AGFB014R24B”

Opciók · i: A programozó betölti a firmware segédképet az eszközre. · e: A programozó kiolvassa a biztosítékot a készülékről, és egy .biztosítékban tárolja file.

A .biztosíték file biztosítéknév-érték párok listáját tartalmazza. Az érték határozza meg, hogy a biztosíték kiégett-e, vagy a biztosítékmező tartalma.

A következő plample mutatja a .fuse formátumát file:

# Társaláírt firmware

= "Nem fújt"

# Device Permit Kill

= "Nem fújt"

# Az eszköz nem biztonságos

= "Nem fújt"

# A HPS hibakeresés letiltása

= "Nem fújt"

# Az Intrinsic ID PUF-regisztráció letiltása

= "Nem fújt"

# J letiltásaTAG

= "Nem fújt"

# A PUF-be csomagolt titkosítási kulcs letiltása

= "Nem fújt"

# Tulajdonosi titkosítási kulcs letiltása a BBRAM-ban = „Nincs fújva”

# A tulajdonosi titkosítási kulcs letiltása az eFuses-ben = "Nem fújt"

# Tiltsa le a tulajdonos gyökér nyilvános kulcsának kivonatát 0

= "Nem fújt"

# Tiltsa le a tulajdonos gyökér nyilvános kulcsának kivonatát 1

= "Nem fújt"

# Tiltsa le a tulajdonos gyökér nyilvános kulcsának kivonatát 2

= "Nem fújt"

# Kapcsolja ki a virtuális eFuse-okat

= "Nem fújt"

# Az SDM óra belső oszcillátorra kényszerítése = "Nem fújt"

# A titkosítási kulcs frissítésének kényszerítése

= "Nem fújt"

# Intel explicit kulcs törlése

= "0"

# Biztonsági eFuses zárolása

= "Nem fújt"

# A tulajdonos titkosítókulcs-programja elkészült

= "Nem fújt"

# A tulajdonos titkosítási kulcsának programja elindul

= "Nem fújt"

# A tulajdonos kifejezett kulcsának törlése 0

= ""

# A tulajdonos kifejezett kulcsának törlése 1

= ""

# A tulajdonos kifejezett kulcsának törlése 2

= ""

# Tulajdonos biztosítékok

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# A tulajdonos gyökér nyilvános kulcsának hash 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# A tulajdonos gyökér nyilvános kulcsának hash 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# A tulajdonos gyökér nyilvános kulcsának hash 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# A tulajdonos gyökér nyilvános kulcsának mérete

= "Nincs"

# PTS számláló

= "0"

# PTS számlálóbázis

= "0"

Intel Agilex® 7 Device Security felhasználói kézikönyv 30

Visszajelzés küldése

4. Eszközellátás 683823 | 2023.05.23

# QSPI indítási késleltetés # RMA számláló # SDMIO0 I2C # SVN számláló A # SVN számláló B # SVN számláló C # SVN számláló D

= "10 ms" = "0" = "Nem fújt" = "0" = "0" = "0" = "0"

Módosítsa a .biztosítékot file a kívánt biztonsági beállítás biztosítékainak beállításához. A # karakterrel kezdődő sort a rendszer megjegyzéssorként kezeli. A biztonsági beállítás biztosítékának programozásához távolítsa el a bevezető #-et, és állítsa az értéket Kiégett értékre. Plample, a Co-signed Firmware biztonsági beállítás biztosítékának engedélyezéséhez módosítsa a biztosíték első sorát file a következőkre:
Társaláírt firmware = „Fújt”

A tulajdonosi biztosítékokat igénye szerint is kioszthatja és programozhatja.
A következő paranccsal üres ellenőrzést végezhet, programozhat és ellenőrizheti a tulajdonos nyilvános nyilvános kulcsát:
quartus_pgm -c 1 -mjtag -o „ibpv;root0.qky”

Opciók · i: Betölti a firmware segédképet az eszközre. · b: Üres ellenőrzést végez annak ellenőrzésére, hogy a biztosítékok nem megfelelőek-e
már fújva. · p: Programozza a biztosítékot. · v: Ellenőrzi az eszköz programozott kulcsát.
A .qky programozása után file, megvizsgálhatja a biztosíték információit a biztosíték információinak újbóli ellenőrzésével, hogy megbizonyosodjon arról, hogy a tulajdonos nyilvános kulcsának kivonata és a tulajdonos nyilvános kulcsának mérete nullától eltérő értéket tartalmaz.
Míg a következő mezők nem írhatók a .fuse segítségével file metódusban szerepelnek a vizsgálati művelet kimenete során ellenőrzés céljából: · Az eszköz nem biztonságos · Eszközengedély tiltása · Tulajdonos root nyilvános kulcs hash letiltása 0 · Tulajdonos gyökér nyilvános kulcs hash letiltása 1 · Tulajdonos gyökér nyilvános kulcs kivonat letiltása 2 · Intel kulcs törlése · Tulajdonos titkosítókulcs-program indítása · Tulajdonos titkosítási kulcs programja befejeződött · Tulajdonos kulcs törlése · Tulajdonos nyilvános kulcs hash · Tulajdonos nyilvános kulcs mérete · Tulajdonos gyökér nyilvános kulcs hash 0 · Tulajdonos gyökér nyilvános kulcs hash 1 · Tulajdonos gyökér nyilvános kulcs hash 2

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 31

4. Eszközellátás 683823 | 2023.05.23
· PTS számláló · PTS számláló alapja · QSPI indítási késleltetés · RMA számláló · SDMIO0 az I2C · SVN számláló A · SVN számláló B · SVN számláló C · SVN számláló D
Használja az Intel Quartus Prime programozót a .fuse programozásához file vissza a készülékhez. Ha hozzáadja az i opciót, a programozó automatikusan betölti a rendelkezésre álló firmware-t a biztonsági beállítás biztosítékainak programozásához.
//Fizikai (nem illékony) eFuse-okhoz quartus_pgm -c 1 -mjtag -o "pi;programozás_file.fuse” –non_volatile_key
//Virtuális (illékony) eFuses-ekhez quartus_pgm -c 1 -mjtag -o "pi;programozás_file.biztosíték"
A következő paranccsal ellenőrizheti, hogy az eszköz gyökérkulcs-kivonata megegyezik-e a parancsban megadott .qky-vel:
quartus_pgm -c 1 -mjtag -o „v;root0_anther.qky”
Ha a kulcsok nem egyeznek, a programozó meghibásodik, és a Művelet sikertelen hibaüzenet jelenik meg.
4.9. AES gyökérkulcs-kiépítés
Aláírt AES gyökérkulcs-kompakt tanúsítványt kell használnia, hogy AES gyökérkulcsot programozzon egy Intel Agilex 7 eszközre.
4.9.1. AES Root Key Compact tanúsítvány
A quartus_pfg parancssori eszközzel konvertálhatja az AES gyökérkulcsát .qek formátumba file a kompakt tanúsítvány .ccert formátumba. A kulcs tárolási helyét a kompakt tanúsítvány létrehozásakor adja meg. A quartus_pfg eszközzel aláíratlan tanúsítványt hozhat létre későbbi aláíráshoz. Az AES gyökérkulcs-tanúsítvány aláírási engedélyével, a 6-os engedélybittel rendelkező aláírási láncot kell használnia egy AES gyökérkulcs kompakt tanúsítvány sikeres aláírásához.

Intel Agilex® 7 Device Security felhasználói kézikönyv 32

Visszajelzés küldése

4. Eszközellátás 683823 | 2023.05.23
1. Hozzon létre egy további kulcspárt az AES kulcs-kompakt tanúsítvány aláírásához a következő parancsok egyikével, plamples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –kulcspárosítási mechanizmus ECDSA-KEY-PAIR-GEN –kulcs típusú EC: secp384r1 –használati jel –címke aesccert1 –id 2
2. Hozzon létre egy aláírási láncot a megfelelő engedélybitekkel a következő parancsok egyikével:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previo root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Hozzon létre egy aláíratlan AES kompakt tanúsítványt a kívánt AES gyökérkulcs tárolóhelyhez. A következő AES gyökérkulcs tárolási lehetőségek állnak rendelkezésre:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//EFuse AES gyökérkulcs aláírás nélküli tanúsítvány létrehozása quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Írja alá a kompakt tanúsítványt a quartus_sign paranccsal vagy hivatkozási implementációval.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert aláírt_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 33

4. Eszközellátás 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert aláírt_ 1.ccert
5. Az Intel Quartus Prime Programmer segítségével programozza be az AES gyökérkulcs kompakt tanúsítványt az Intel Agilex 7 eszközre a J segítségével.TAG. Az Intel Quartus Prime Programmer alapértelmezés szerint virtuális eFuse-okat programoz az EFUSE_WRAPPED_AES_KEY kompakt tanúsítványtípus használatakor.
A –non_volatile_key paraméter hozzáadásával megadhatja a fizikai biztosítékok programozását.
//Fizikai (nem felejtő) eFuse AES gyökérkulcshoz quartus_pgm -c 1 -mjtag -o "pi;signed_efuse1.ccert" –nem_volatile_key

//A virtuális (illékony) eFuse AES gyökérkulcshoz quartus_pgm -c 1 -mjtag -o "pi;signed_efuse1.ccert"

//BBRAM AES gyökérkulcs esetén quartus_pgm -c 1 -mjtag -o "pi;signed_bbram1.ccert"

Az SDM-szolgáltatás firmware és a fő firmware támogatja az AES gyökérkulcs tanúsítvány programozását. Használhatja az FPGA-szövetből vagy a HPS-ből származó SDM-postafiók interfészt is az AES gyökérkulcs-tanúsítvány programozásához.

Jegyzet:

A quartus_pgm parancs nem támogatja a b és v opciót a kompakt tanúsítványokhoz (.ccert).

4.9.2. Intrinsic ID® PUF AES gyökérkulcs-kiépítés
Az Intrinsic* ID PUF-be csomagolt AES-kulcs megvalósítása a következő lépéseket tartalmazza: 1. Az Intrinsic ID PUF regisztrálása a J-n keresztülTAG. 2. Az AES gyökérkulcs becsomagolása. 3. A segítő adatok és a becsomagolt kulcs programozása négy SPI flash memóriába. 4. Az Intrinsic ID PUF aktiválási állapotának lekérdezése.
Az Intrinsic ID technológia használatához külön licencszerződés szükséges az Intrinsic ID-vel. Az Intel Quartus Prime Pro Edition szoftver a megfelelő licenc nélkül korlátozza a PUF műveleteket, például a regisztrációt, a kulcscsomagolást és a PUF adatprogramozást a QSPI flashre.

4.9.2.1. Intrinsic ID PUF regisztráció
A PUF regisztrálásához az SDM-szolgáltatás firmware-jét kell használnia. Az üzembe helyezési firmware-nek az áramellátási ciklus után elsőként betöltött firmware-nek kell lennie, és minden más parancs előtt ki kell adnia a PUF regisztrációs parancsot. A rendelkezésre álló firmware a PUF-regisztráció után más parancsokat is támogat, beleértve az AES gyökérkulcs-csomagolást és a programozási négyes SPI-t, azonban a konfigurációs bitfolyam betöltéséhez be kell kapcsolnia az eszközt.
Az Intel Quartus Prime Programmer segítségével aktiválhatja a PUF-regisztrációt, és előállíthatja a PUF segédadatokat (.puf) file.

Intel Agilex® 7 Device Security felhasználói kézikönyv 34

Visszajelzés küldése

4. Eszközellátás 683823 | 2023.05.23

7. ábra.

Intrinsic ID PUF regisztráció
quartus_pgm PUF regisztráció

Beiratkozási PUF segítő adatok

Secure Device Manager (SDM)

wrapper.puf Helper Data
A programozó automatikusan betölt egy kiépítési firmware segédképet, amikor megadja az i műveletet és a .puf argumentumot is.
quartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
Ha közösen aláírt firmware-t használ, a PUF regisztrációs parancs használata előtt be kell programoznia az együtt aláírt firmware segédképet.
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" -force quartus_pgm -c 1 -mjtag -o "e;help_data.puf;AGFB014R24A"
Az UDS IID PUF regisztrálása az eszköz gyártása során történik, és nem érhető el újraregisztrálásra. Ehelyett a Programozó segítségével határozza meg az UDS PUF segédadatok helyét az IPCS-en, töltse le a .puf fájlt. file közvetlenül, majd használja az UDS .puf fájlt file ugyanúgy, mint a .puf file Intel Agilex 7 eszközről kinyerve.
Szöveg generálásához használja a következő Programozói parancsot file listáját tartalmazza URLs eszközspecifikusra mutat files az IPCS-en:
quartus_pgm -c 1 -mjtag -o „e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Az AES gyökérkulcs becsomagolása
Létrehozza az IID PUF-be csomagolt AES gyökérkulcsot (.wkey). file aláírt tanúsítvány elküldésével az SDM-nek.
Használhatja az Intel Quartus Prime programozót a tanúsítvány automatikus generálására, aláírására és elküldésére az AES gyökérkulcsának becsomagolásához, vagy használhatja az Intel Quartus Prime programozást File Generátor aláíratlan tanúsítvány generálásához. Az aláíratlan tanúsítványt saját eszközeivel vagy a Quartus aláíró eszközzel írja alá. Ezután a Programozó segítségével küldje el az aláírt tanúsítványt, és csomagolja be az AES gyökérkulcsát. Az aláírt tanúsítvány felhasználható minden olyan eszköz programozására, amely képes az aláírási lánc érvényesítésére.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 35

4. Eszközellátás 683823 | 2023.05.23

8. ábra.

Az AES kulcs becsomagolása az Intel Quartus Prime programozó segítségével
.pem Privát
Kulcsfontosságú

.qky

quartus_pgm

Csomagolja be az AES kulcsot

AES.QSKigYnature RootCPhuabilnic Key

PUF-csomagolt kulcs létrehozása

Becsomagolt AES kulcs

SDM

.qek titkosítás
Kulcsfontosságú

.wkey PUF-csomagolt
AES kulcs

1. Létrehozhatja az IID PUF-be csomagolt AES gyökérkulcsot (.wkey) a programozóval a következő argumentumok használatával:
· A .qky file AES gyökérkulcs tanúsítvány engedéllyel rendelkező aláírási láncot tartalmaz
· A privát .pem file az aláírási lánc utolsó kulcsához
· A .qek file tartva az AES gyökérkulcsot
· A 16 bájtos inicializálási vektor (iv).

quartus_pgm -c 1 -mjtag -qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o "ei;aes.wkey;AGFB014R24A"

2. Alternatív megoldásként létrehozhat egy aláíratlan IID PUF burkoló AES gyökérkulcs tanúsítványt a Programozással File Generátor a következő argumentumokkal:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Az aláíratlan tanúsítványt saját aláíró eszközeivel vagy a quartus_sign eszközzel írja alá a következő paranccsal:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Ezután a Programozó segítségével elküldi az aláírt AES-tanúsítványt, és visszaküldi a becsomagolt kulcsot (.wkey). file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

Megjegyzés: Az i művelet nem szükséges, ha korábban betöltötte a firmware-segítő képfájlt, plample, a PUF regisztrálásához.

4.9.2.3. Programozási segédadatok és becsomagolt kulcs a QSPI flash memóriához
Ön a Quartus programozást használja File Generátor grafikus felület egy PUF-partíciót tartalmazó kezdeti QSPI flash kép létrehozásához. Létre kell hoznia és programoznia kell egy teljes flash programozási képet, hogy PUF partíciót adjon a QSPI flashhez. A PUF létrehozása

Intel Agilex® 7 Device Security felhasználói kézikönyv 36

Visszajelzés küldése

4. Eszközellátás 683823 | 2023.05.23

9. ábra.

adatpartíció és a PUF segédadatok és a becsomagolt kulcs használata files a flash kép létrehozásához a programozás nem támogatja File Generátor parancssori felület.
A következő lépések bemutatják egy flash programozási kép létrehozását a PUF segédadatokkal és a becsomagolt kulccsal:
1. A File menüben kattintson a Programozás menüpontra File Generátor. A kimeneten Files lapon végezze el a következő beállításokat:
a. Az Eszközcsaládhoz válassza az Agilex 7 lehetőséget.
b. A Konfigurációs módhoz válassza az Active Serial x4 lehetőséget.
c. Az Output könyvtárhoz tallózzon a kimenethez file Könyvtár. Ez az example használ output_files.
d. A Név mezőben adjon meg egy nevet a programozáshoz file létre kell hozni. Ez az example használ output_file.
e. A Leírás alatt válassza ki a programozást files generálni. Ez az example generálja a JTAG Közvetett konfiguráció File (.jic) az eszközkonfigurációhoz és a Raw binárishoz File programozási segédkép (.rbf) az eszköz segítő képéhez. Ez az example kiválasztja az opcionális memóriatérképet is File (.map) és nyers programozási adatok File (.rpd). A nyers programozási adatok file csak akkor szükséges, ha a jövőben harmadik féltől származó programozót kíván használni.
Programozás File Generátor – Kimenet Files lap – Válassza a J lehetőségetTAG Közvetett konfiguráció

Eszközcsalád konfigurációs mód
Kimenet file lapon
Kimeneti könyvtár
JTAG Közvetett (.jic) memóriatérkép File Programozási Segítő Nyers programozási adatok
A Bemeneten Files lapon végezze el a következő beállításokat: 1. Kattintson a Bitfolyam hozzáadása elemre, és tallózzon a .sof fájlhoz. 2. Válassza ki a .sof fájlt file majd kattintson a Tulajdonságok parancsra.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 37

4. Eszközellátás 683823 | 2023.05.23
a. Kapcsolja be az Aláíró eszköz engedélyezése funkciót. b. Privát kulcshoz file válassza ki a .pem file. c. Kapcsolja be a Titkosítás véglegesítése lehetőséget. d. A titkosítási kulcshoz file válassza ki a .qek file. e. Kattintson az OK gombra az előző ablakhoz való visszatéréshez. 3. A PUF segítő adatainak megadása file, kattintson a Nyers adatok hozzáadása elemre. Változtasd meg a Files típusú legördülő menüből a Quartus Physical Unclonable Function menüponthoz File (*.puf). Böngésszen a .puf fájlhoz file. Ha az IID PUF-ot és az UDS IID PUF-ot is használja, ismételje meg ezt a lépést, hogy a .puf files minden PUF-hez hozzáadódik bemenetként files. 4. A becsomagolt AES kulcs megadása file, kattintson a Nyers adatok hozzáadása elemre. Változtasd meg a Files típusú legördülő menüből a Quartus Wrapped Key elemre File (*.wkey). Keresse meg a .wkey-t file. Ha az AES kulcsokat az IID PUF és az UDS IID PUF használatával is becsomagolta, ismételje meg ezt a lépést úgy, hogy a .wkey files minden PUF-hez hozzáadódik bemenetként files.
10. ábra. Adja meg a bemenetet Files a konfiguráláshoz, a hitelesítéshez és a titkosításhoz

Bitfolyam hozzáadása Nyers adatok hozzáadása
Tulajdonságok
Privát kulcs file
Titkosítás véglegesítése Titkosítási kulcs
A Konfigurációs eszköz lapon végezze el a következő beállításokat: 1. Kattintson az Eszköz hozzáadása elemre, és válassza ki a flash-eszközt az elérhető flashek listájából.
eszközöket. 2. Válassza ki az imént hozzáadott konfigurációs eszközt, majd kattintson a Partíció hozzáadása gombra. 3. A Partíció szerkesztése párbeszédpanelen a Bemenethez file és válassza ki a .sof fájlt a
legördülő lista. Megtarthatja az alapértelmezett értékeket, vagy szerkesztheti a többi paramétert a Partíció szerkesztése párbeszédpanelen.

Intel Agilex® 7 Device Security felhasználói kézikönyv 38

Visszajelzés küldése

4. Eszközellátás 683823 | 2023.05.23
11. ábra: A .sof konfigurációs bitfolyam partíció megadása

Konfigurációs eszköz
Partíció szerkesztése .sof hozzáadása file

Partíció hozzáadása

4. Amikor hozzáadja a .puf és a .wkey kódot bemenetként files, a Programozás File A Generator automatikusan létrehoz egy PUF-partíciót a konfigurációs eszközön. A .puf és .wkey PUF-partícióban való tárolásához válassza ki a PUF-partíciót, és kattintson a Szerkesztés gombra. A Partíció szerkesztése párbeszédpanelen válassza ki a .puf és a .wkey fájlokat files a legördülő listákból. Ha eltávolítja a PUF partíciót, el kell távolítania és újra hozzá kell adnia a programozás konfigurációs eszközét File Generátor egy másik PUF-partíció létrehozásához. Győződjön meg arról, hogy a megfelelő .puf és .wkey formátumot választotta ki file az IID PUF és az UDS IID PUF esetében.
12. ábra. Adja hozzá a .puf és a .wkey kódokat files a PUF-partícióra

PUF partíció

Szerkesztés

Partíció szerkesztése

Flash Loader

Válassza a Generálás lehetőséget

5. A Flash Loader paraméterben válassza ki azt az Intel Agilex 7 eszközcsaládot és eszköznevet, amely megfelel az Intel Agilex 7 OPN-jének.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 39

4. Eszközellátás 683823 | 2023.05.23
6. Kattintson a Generálás gombra a kimenet létrehozásához files amit a kimeneten megadott Files fülre.
7. A programozás File A generátor beolvassa a .qek-et file és bekéri a jelszót. Írja be jelmondatát az Enter QEK jelmondat parancsra válaszul. Kattintson az Enter billentyűre.
8. Kattintson az OK gombra, amikor a Programozás File A Generátor sikeres generációról számol be.
Az Intel Quartus Prime Programmer segítségével QSPI programozási képet írhat a QSPI flash memóriába. 1. Az Intel Quartus Prime Tools menüben válassza a Programozó lehetőséget. 2. A Programozóban kattintson a Hardverbeállítás elemre, majd válassza ki a csatlakoztatott Intel-t
FPGA letöltő kábel. 3. Kattintson a Hozzáadás gombra File és tallózással keresse meg a .jic-et file.
13. ábra Program .jic

Programozás file

Program/Configure

JTAG szkennelési lánc
4. Törölje a Helper képhez tartozó négyzet kijelölését. 5. Válassza a Program/Configure lehetőséget a .jic kimenethez file. 6. A négy SPI flash memória programozásához kapcsolja be a Start gombot. 7. Kapcsolja be a táblát. A kialakítás négy SPI flash memóriára van programozva
az eszköz ezt követően betöltődik a cél FPGA-ba.
Egy teljes flash programozási képet kell generálnia és programoznia, hogy PUF partíciót adjon a négyes SPI flashhez.
Ha már létezik PUF-partíció a flashben, az Intel Quartus Prime Programmer segítségével közvetlenül hozzáférhet a PUF-segédadatokhoz és a becsomagolt kulcshoz. files. Plampha az aktiválás sikertelen, lehetőség van a PUF újraregisztrálására, az AES kulcs újracsomagolására, majd csak a PUF programozására. files anélkül, hogy a teljes vakut felül kellene írnia.

Intel Agilex® 7 Device Security felhasználói kézikönyv 40

Visszajelzés küldése

4. Eszközellátás 683823 | 2023.05.23
Az Intel Quartus Prime programozó a következő műveleti argumentumot támogatja a PUF-hez files egy már meglévő PUF-partícióban:
· p: program
· v: ellenőrzés
· r: törlés
· b: üres csekk
Ugyanazokat a korlátozásokat kell követnie a PUF-regisztrációhoz, még akkor is, ha létezik PUF-partíció.
1. Használja az i operation argumentumot az első művelethez tartozó firmware-segédkép betöltéséhez. Plample, a következő parancssor újra regisztrálja a PUF-ot, újracsomagolja az AES gyökérkulcsot, törölje a régi PUF segédadatokat és a becsomagolt kulcsot, majd programozza és ellenőrizze az új PUF segédadatokat és az AES gyökérkulcsot.
quartus_pgm -c 1 -mjtag -o "ei;új.puf;AGFB014R24A" quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "e;new.wkey;AGFB014R24A" quartus_pgm -c 1 -mjtag -o "r;old.puf" quartus_pgm -c 1 -mjtag -o "r;régi.wkey" quartus_pgm -c 1 -mjtag -o "p;új.puf" quartus_pgm -c 1 -mjtag -o "p;új.wkey" quartus_pgm -c 1 -mjtag -o "v;új.puf" quartus_pgm -c 1 -mjtag -o „v;új.wkey”
4.9.2.4. Intrinsic ID PUF aktiválási állapotának lekérdezése
Miután regisztrálta az Intrinsic ID PUF-et, csomagoljon be egy AES-kulcsot, és hozza létre a flash-programozást files, és frissíti a négyes SPI flasht, bekapcsolja az eszközt a PUF aktiválásához és a titkosított bitfolyamból történő konfiguráláshoz. Az SDM jelenti a PUF aktiválási állapotát a konfiguráció állapotával együtt. Ha a PUF-aktiválás sikertelen, az SDM ehelyett a PUF-hibaállapotot jelenti. A konfiguráció állapotának lekérdezéséhez használja a quartus_pgm parancsot.
1. Használja a következő parancsot az aktiválási állapot lekérdezéséhez:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Itt van sampsikeres aktiválás kimenete:
Információ (21597): CONFIG_STATUS válasza Az eszköz felhasználói módban fut
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Hiba helye 00000000 Hiba részletei Válasz a következőre: PUF_STATUS 00002000 USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 41

4. Eszközellátás 683823 | 2023.05.23

Ha csak az IID PUF-ot vagy az UDS IID PUF-ot használja, és nem programozott segédadatokat, .puf file a QSPI vakuban lévő PUF esetén a PUF nem aktiválódik, és a PUF állapota azt jelzi, hogy a PUF segédadatok nem érvényesek. A következő plample mutatja a PUF állapotát, amikor a PUF segédadatok egyik PUF-hez sem lettek programozva:
PUF_STATUS 00002000 válasz RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. A PUF helye a flash memóriában
A PUF helye file eltér az RSU-t támogató és az RSU szolgáltatást nem támogató kialakítások esetében.

Az RSU-t nem támogató tervekhez a .puf és a .wkey kódot kell megadni files amikor frissített flash képeket hoz létre. Az RSU-t támogató tervek esetében az SDM nem írja felül a PUF-adatszakaszt a gyári vagy alkalmazáskép-frissítések során.

2. táblázat.

Flash-alpartíciók elrendezése RSU támogatás nélkül

Flash eltolás (bájtban)

Méret (bájtban)

Tartalom

Leírás

0K 256K

256K 256K

Konfigurációkezelő firmware Konfigurációkezelő firmware

SDM-en futó firmware.

512 ezer

256 ezer

Konfigurációkezelő firmware

768 ezer

256 ezer

Konfigurációkezelő firmware

32 ezer

PUF adatmásolat 0

Adatstruktúra a PUF segédadatok és a PUF-csomagolt AES gyökérkulcs másolatának 0 tárolására

1M+32K

32 ezer

PUF adatmásolat 1

Adatstruktúra a PUF segédadatok és a PUF-csomagolt AES gyökérkulcs másolatának 1 tárolására

3. táblázat.

Flash-alpartíciók elrendezése RSU támogatással

Flash eltolás (bájtban)

Méret (bájtban)

Tartalom

Leírás

0K 512K

512K 512K

Döntés firmware Döntés firmware

Firmware a legmagasabb prioritású kép azonosításához és betöltéséhez.

1 millió 1.5 millió

512K 512K

Döntés firmware Döntés firmware

8K + 24K

Döntési firmware-adatok

Párnázás

Döntési firmware használatára fenntartva.

2M + 32K

32 ezer

SDM számára fenntartva

SDM számára fenntartva.

2M + 64K

Változó

Gyári kép

Egy egyszerű kép, amelyet biztonsági másolatként hoz létre, ha az összes többi alkalmazáskép betöltése sikertelen. Ez a kép tartalmazza az SDM-en futó CMF-et.

Következő

32 ezer

PUF adatmásolat 0

Adatstruktúra a PUF segédadatok és a PUF-csomagolt AES gyökérkulcs másolatának 0 tárolására
folytatás…

Intel Agilex® 7 Device Security felhasználói kézikönyv 42

Visszajelzés küldése

4. Eszközellátás 683823 | 2023.05.23

Flash eltolás (bájtban)

Méret (bájtban)

Következő +32K 32K

Tartalom PUF adatmásolat 1

Következő + 256K 4K Következő +32K 4K Következő +32K 4K

Alpartíciós tábla másolata 0 Alpartíciós tábla másolata 1 CMF mutatóblokk másolata 0

Következő +32K_

CMF mutatóblokk másolata 1

Változó Változó

Alkalmazáskép 1 Alkalmazáskép 2

4.9.3. Fekete kulcs kiosztás

Leírás
Adatstruktúra a PUF segédadatok és a PUF-csomagolt AES gyökérkulcs másolatának 1 tárolására
A flash tároló kezelését megkönnyítő adatstruktúra.
Alkalmazásképekre mutató mutatók listája prioritási sorrendben. Amikor hozzáad egy képet, az a kép lesz a legmagasabb.
Az alkalmazásképekre mutató mutatók listájának második példánya.
Az első alkalmazásképe.
A második alkalmazásképe.

Jegyzet:

Az Intel Quartus PrimeProgrammer segít kölcsönösen hitelesített biztonságos kapcsolat létrehozásában az Intel Agilex 7 eszköz és a feketekulcsos kiépítési szolgáltatás között. A biztonságos kapcsolat https-en keresztül jön létre, és több, szöveggel azonosított tanúsítványra van szükség file.
Black Key Provisioning használatakor az Intel azt javasolja, hogy kerülje a TCK érintkező külső csatlakoztatását az ellenállás felhúzásához vagy lehúzásához, miközben továbbra is használja a J-hez.TAG. A TCK érintkezőt azonban csatlakoztathatja a VCCIO SDM tápegységhez 10 k ellenállással. A TCK-nak egy 1 k-os lehúzó ellenálláshoz való csatlakoztatására vonatkozó, a Pin Connection Guidelines-ban található meglévő útmutatás a zajelnyomásra vonatkozik. A 10 k-os felhúzó ellenállásra való vezetés módosítása nincs hatással az eszköz működésére. A TCK tű csatlakoztatásával kapcsolatos további információkért tekintse meg az Intel Agilex 7 tűs csatlakozási útmutatóját.
A Thebkp_tls_ca_certcertificate hitelesíti a feketekulcs-kiépítési szolgáltatáspéldányt a feketekulcs-kiépítési programozópéldányhoz. A Thebkp_tls_*tanúsítványok hitelesítik a feketekulcs-kiépítési programozópéldányt a feketekulcs-kiépítési szolgáltatáspéldányhoz.
Létrehozol egy szöveget file tartalmazza a szükséges információkat ahhoz, hogy az Intel Quartus Prime programozó csatlakozhasson a feketekulcs-kiépítési szolgáltatáshoz. A feketekulcs-kiépítés elindításához használja a Programozó parancssori felületét a feketekulcs-kiépítési beállítások szövegének megadásához file. A fekete kulcs kiépítése ezután automatikusan folytatódik. A feketekulcs-kiépítési szolgáltatáshoz és a kapcsolódó dokumentációhoz való hozzáférésért forduljon az Intel ügyfélszolgálatához.
A fekete kulcs kiépítését a quartus_pgmcommand használatával engedélyezheti:
quartus_pgm -c -m -eszköz –bkp_options=bkp_options.txt
A parancs argumentumai a következő információkat adják meg:

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 43

4. Eszközellátás 683823 | 2023.05.23

· -c: kábelszám · -m: a programozási módot határozza meg, például JTAG · –device: eszközindexet ad meg a JTAG lánc. Az alapértelmezett érték 1. · –bkp_options: egy szöveget ad meg file fekete kulcs kiépítési opciókat tartalmaz.
Kapcsolódó információk Intel Agilex 7 Device Family Pin Connection Guidelines

4.9.3.1. Fekete kulcs kiépítési lehetőségek
A fekete kulcs kiépítési beállításai egy szöveg file át a programozónak a quartus_pgm paranccsal. A file tartalmazza a szükséges információkat a feketekulcs-kiépítés elindításához.
A következő egy example a bkp_options.txt fájlból file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key_key1234bsk_progp_key192.167.5.5bs5000 cím = https://XNUMX:XNUMX bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

4. táblázat.

Fekete kulcs kiépítési lehetőségek
Ez a táblázat a fekete kulcs kiépítésének aktiválásához szükséges beállításokat jeleníti meg.

Opció neve

Írja be

Leírás

bkp_ip

Kívánt

Megadja a fekete kulcs kiépítési szolgáltatást futtató kiszolgáló IP-címét.

bkp_port

Kívánt

Megadja a kiszolgálóhoz való csatlakozáshoz szükséges feketekulcs-kiépítési szolgáltatásportot.

bkp_cfg_id

Kívánt

Azonosítja a fekete kulcs kiépítési konfigurációs folyamatazonosítóját.
A feketekulcs-kiépítési szolgáltatás létrehozza a feketekulcs-kiépítési konfigurációs folyamatokat, beleértve az AES gyökérkulcsot, a kívánt eFuse-beállításokat és egyéb feketekulcs-kiépítési engedélyezési lehetőségeket. A feketekulcs-kiépítési szolgáltatás beállítása során hozzárendelt szám azonosítja a feketekulcs-kiépítési konfigurációs folyamatokat.
Megjegyzés: Több eszköz hivatkozhat ugyanarra a feketekulcsos kiépítési szolgáltatás konfigurációs folyamatára.

bkp_tls_ca_cert

Kívánt

A gyökér TLS-tanúsítvány az Intel Quartus Prime Programmer (Programmer) feketekulcs-kiépítési szolgáltatásainak azonosítására. A feketekulcs-kiépítési szolgáltatáspéldány megbízható tanúsító hatósága állítja ki ezt a tanúsítványt.
Ha a Programozót Microsoft® Windows® operációs rendszerrel (Windows) rendelkező számítógépen futtatja, telepítenie kell ezt a tanúsítványt a Windows tanúsítványtárolójába.

bkp_tls_prog_cert

Kívánt

A feketekulcs-kiépítési programozó (BKP programozó) példányához létrehozott tanúsítvány. Ez a https ügyféltanúsítvány a BKP programozópéldány azonosítására
folytatás…

Intel Agilex® 7 Device Security felhasználói kézikönyv 44

Visszajelzés küldése

4. Eszközellátás 683823 | 2023.05.23

Opció neve

Írja be

bkp_tls_prog_key

Kívánt

bkp_tls_prog_key_pass Nem kötelező

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Opcionális Opcionális Nem kötelező

Leírás
a feketekulcs-kiépítési szolgáltatáshoz. A feketekulcs-kiépítési munkamenet elindítása előtt telepítenie és engedélyeznie kell ezt a tanúsítványt a feketekulcs-kiépítési szolgáltatásban. Ha a Programozót Windows rendszeren futtatja, ez a lehetőség nem érhető el. Ebben az esetben a bkp_tls_prog_key már tartalmazza ezt a tanúsítványt.
A BKP Programozó tanúsítványának megfelelő privát kulcs. A kulcs ellenőrzi a BKP programozó példány azonosságát a feketekulcs-kiépítési szolgáltatás számára. Ha a Programozót Windows rendszeren futtatja, a .pfx file egyesíti a bkp_tls_prog_cert tanúsítványt és a privát kulcsot. A bkp_tlx_prog_key opció átadja a .pfx fájlt file a bkp_options.txt fájlban file.
A bkp_tls_prog_key privát kulcs jelszava. Nem szükséges a feketekulcs-kiépítési konfigurációs beállítások (bkp_options.txt) szövegében file.
Meghatározza a proxyszervert URL cím.
Megadja a proxyszerver felhasználónevét.
Megadja a proxy hitelesítési jelszavát.

4.10. Tulajdonosi gyökérkulcs, AES gyökérkulcs tanúsítványok és biztosíték konvertálása files a Jam STAPL-hez File Formátumok

A quartus_pfg parancssori paranccsal konvertálhatja a .qky, az AES gyökérkulcsot a .ccert és a .fuse fájlokat. files a Jam STAPL formátumba File (.jam) és Jam Byte Code Format File (.jbc). Ezeket használhatod files az Intel FPGA-k programozására a Jam STAPL Player és a Jam STAPL Byte-Code Player használatával.

Egyetlen .jam vagy .jbc számos funkciót tartalmaz, beleértve a firmware-segédkép konfigurációját és programját, az üres ellenőrzést, valamint a kulcs- és biztosítékprogramozás ellenőrzését.

Vigyázat:

Az AES gyökérkulcsának .ccert konvertálásakor file a .jam formátumba a .jam file az AES kulcsot egyszerű szövegben, de homályos formában tartalmazza. Következésképpen meg kell védenie a .jam file az AES kulcs tárolásakor. Ezt az AES-kulcs biztonságos környezetben való kiépítésével teheti meg.

Itt vannak az examples of quartus_pfg konverziós parancsok:

A c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB0R1A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFBA2R014A -súgóbeállítások. vice=AGFB24R0A beállítások. fuse settings_fuse.jbc

A Jam STAPL Player eszközprogramozásra való használatáról további információkat talál: AN 425: A Command-Line Jam STAPL megoldás használata eszközprogramozáshoz.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 45

4. Eszközellátás 683823 | 2023.05.23
Futtassa a következő parancsokat a tulajdonos nyilvános nyilvános kulcsának és az AES titkosítási kulcsának programozásához:
//A segítő bitfolyam betöltése az FPGA-ba. // A segítő bitfolyam tartalmazza a firmware-t quartus_jli -c 1 -a CONFIGURE RootKey.jam
//A tulajdonos nyilvános nyilvános kulcsának virtuális eFuses-be programozása quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//A tulajdonos nyilvános nyilvános kulcsának fizikai eFuses-be programozása quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//A PR-tulajdonos root nyilvános kulcsának virtuális eFuses-be programozása quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//A PR-tulajdonos root nyilvános kulcsának fizikai eFuses-be programozása quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//A CCERT AES titkosítási kulcs programozása a BBRAM-ba quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//A CCERT AES titkosítási kulcs fizikai eFuses-be programozása quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Kapcsolódó információk AN 425: A Command-Line Jam STAPL megoldás használata eszközprogramozáshoz

Intel Agilex® 7 Device Security felhasználói kézikönyv 46

Visszajelzés küldése

683823 | 2023.05.23 Visszajelzés küldése

Speciális funkciók

5.1. Biztonságos hibakeresési engedélyezés
A biztonságos hibakeresési engedélyezés engedélyezéséhez a hibakeresés tulajdonosának hitelesítési kulcspárt kell létrehoznia, és az Intel Quartus Prime Pro Programmer segítségével generálnia kell az eszközinformációkat. file a hibakeresési képet futtató eszközhöz:
quartus_pgm -c 1 -mjtag -o "ei;device_info.txt;AGFB014R24A" –dev_info
Az eszköz tulajdonosa a quartus_sign eszközzel vagy a referencia implementációval egy feltételes nyilvános kulcs bejegyzést fűz hozzá egy aláírási lánchoz, amely a hibakeresési műveletekre szolgál a hibakeresés tulajdonosától származó nyilvános kulcs, a szükséges jogosultságok és az eszközinformációs szöveg segítségével. fileés az alkalmazandó további korlátozások:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18 –in, debug_authorization_public_key.pem secure_debug_auth_chain.qky
Az eszköz tulajdonosa visszaküldi a teljes aláírási láncot a hibakeresés tulajdonosának, aki az aláírási láncot és a privát kulcsát használja a hibakeresési kép aláírásához:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorised_debug_design.rbf
A quartus_pfg paranccsal ellenőrizheti az aláírt biztonságos hibakeresési bitfolyam egyes szakaszainak aláírási láncát az alábbiak szerint:
quartus_pfg –check_integrity authorised_debug_design.rbf
A parancs kimenete kiírja az aláírt bitfolyam generálásához használt feltételes nyilvános kulcs 1,2,17,18 korlátozási értékeit.
A hibakeresés tulajdonosa ezután programozhatja a biztonságosan engedélyezett hibakeresési tervet:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
Az eszköz tulajdonosa visszavonhatja a biztonságos hibakeresési engedélyt a biztonságos hibakeresési engedélyezési aláírási láncban hozzárendelt kifejezett kulcstörlési azonosító törlésével.
5.2. HPS hibakeresési tanúsítványok
Csak engedélyezett hozzáférés engedélyezése a HPS hibakeresési hozzáférési portjához (DAP) a J-n keresztülTAG Az interfész több lépést igényel:

ISO 9001: 2015 bejegyezve

5. Speciális szolgáltatások 683823 | 2023.05.23
1. Kattintson az Intel Quartus Prime szoftverhozzárendelések menüre, és válassza a Device Device and Pin Options Configuration fület.
2. A Konfiguráció lapon engedélyezze a HPS hibakeresési hozzáférési portot (DAP) a HPS Pins vagy az SDM Pins kiválasztásával a legördülő menüből, és ügyeljen arra, hogy a HPS hibakeresés engedélyezése tanúsítványok nélkül jelölőnégyzet ne legyen bejelölve.
14. ábra. Adja meg a HPS vagy az SDM pineket a HPS DAP számára

HPS hibakeresési hozzáférési port (DAP)
Alternatív megoldásként beállíthatja az alábbi hozzárendelést a Quartus Prime Settings .qsf fájlban file:
set_global_assignment -name HPS_DAP_SPLIT_MODE „SDM PINS”
3. Fordítsa le és töltse be a tervet ezekkel a beállításokkal. 4. Hozzon létre egy aláírási láncot a megfelelő jogosultságokkal a HPS hibakeresés aláírásához
bizonyítvány:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign
5. Kérjen aláíratlan HPS hibakeresési tanúsítványt arról az eszközről, amelyre a hibakeresési terv be van töltve:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. Aláírja az aláíratlan HPS hibakeresési tanúsítványt a quartus_sign eszköz vagy referencia implementáció és a HPS hibakeresési aláírási lánc segítségével:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Intel Agilex® 7 Device Security felhasználói kézikönyv 48

Visszajelzés küldése

5. Speciális szolgáltatások 683823 | 2023.05.23
7. Küldje vissza az aláírt HPS hibakeresési tanúsítványt az eszközre, hogy engedélyezze a hozzáférést a HPS hibakeresési hozzáférési portjához (DAP):
quartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
A HPS hibakeresési tanúsítvány csak a létrehozásától számítva az eszköz következő tápciklusáig, vagy az SDM firmware egy másik típusának vagy verziójának betöltéséig érvényes. Az eszköz bekapcsolása előtt létre kell hoznia, alá kell írnia és programoznia kell az aláírt HPS hibakeresési tanúsítványt, és végre kell hajtania minden hibakeresési műveletet. Az aláírt HPS hibakeresési tanúsítványt érvénytelenítheti az eszköz bekapcsolásával.
5.3. Platform tanúsítvány
Létrehozhat egy referenciaintegritási jegyzéket (.rim) file a programozás segítségével file generátor eszköz:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Kövesse az alábbi lépéseket a platform tanúsításának biztosításához a tervezésben: 1. Az Intel Quartus Prime Pro Programmer segítségével konfigurálja az eszközt a
terv, amelyhez referenciaintegritási jegyzéket hozott létre. 2. Használjon platform tanúsítvány-ellenőrzőt az eszköz regisztrálásához úgy, hogy parancsokat ad ki a
SDM az SDM-postafiókon keresztül az eszközazonosító-tanúsítvány és a firmware-tanúsítvány létrehozásához újratöltéskor. 3. Az Intel Quartus Prime Pro Programmer segítségével konfigurálja újra az eszközt a tervezéssel. 4. A platform tanúsítvány-ellenőrzője segítségével adjon ki parancsokat az SDM-nek a tanúsító eszköz azonosítójának, firmware-ének és álnév-tanúsítványainak lekéréséhez. 5. A tanúsítvány-ellenőrzővel adja ki az SDM-postafiók parancsot a tanúsítási bizonyítékok lekéréséhez, és a hitelesítő ellenőrzi a visszaküldött bizonyítékokat.
Megvalósíthatja saját ellenőrző szolgáltatását az SDM-postafiók-parancsok használatával, vagy használhatja az Intel platform tanúsítvány-ellenőrző szolgáltatását. Az Intel platform tanúsítvány-ellenőrző szolgáltatásával, elérhetőségével és dokumentációjával kapcsolatos további információkért forduljon az Intel támogatásához.
Kapcsolódó információk Intel Agilex 7 Device Family Pin Connection Guidelines
5.4. Fizikai anti-Tamper
Engedélyezi a fizikai anti-tamper funkciókat a következő lépésekkel: 1. Válassza ki a kívánt választ egy észlelt tamper esemény 2. A kívánt t konfigurálásaamper kimutatási módszerek és paraméterek 3. Beleértve az anti-tamper IP a tervezési logikájában, hogy segítsen kezelni az anti-tamper
eseményeket

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 49

5. Speciális szolgáltatások 683823 | 2023.05.23
5.4.1. Anti-Tamper Válaszok
Engedélyezi a fizikai anti-tamper válasz kiválasztásával az Anti-tamper válasz: legördülő lista az Eszköz hozzárendelései Eszköz és PIN-beállítások Security Anti-T menübenamper lapon. Alapértelmezés szerint az anti-tampválasz le van tiltva. Öt kategóriájú anti-tampválasz áll rendelkezésre. Ha kiválasztja a kívánt választ, akkor egy vagy több észlelési módszer engedélyezése is engedélyezve van.
15. ábra: Elérhető Anti-Tamper Válaszbeállítások

A megfelelő hozzárendelés a Quartus Prime beállításaiban .gsf file a következő:
set_global_assignment -name ANTI_TAMPER_RESPONSE „AZ ÉRTESÍTÉSI ESZKÖZ TÖRLÉSE ESZKÖZ ZÁROLÁSA ÉS NULLÁZÁSA”
Ha engedélyezi az anti-tampválaszként választhat két rendelkezésre álló SDM dedikált I/O érintkezőt a t kimenetéreampAz eseményészlelés és a válasz állapota a Assignments Device Device and Pin Options Configuration Configuration Pin Options ablak használatával.

Intel Agilex® 7 Device Security felhasználói kézikönyv 50

Visszajelzés küldése

5. Speciális szolgáltatások 683823 | 2023.05.23
16. ábra: Elérhető SDM dedikált I/O tűk a T számáraamper Eseményészlelés

A beállításokban a következő tű-hozzárendeléseket is elvégezheti file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Észlelés

Egyénileg engedélyezheti a frekvenciát, a hőmérsékletet és a térfogatottagAz SDM észlelési funkciói. Az FPGA-felismerés az Anti-T beépítésétől függamper Lite Intel FPGA IP a tervezésben.

Jegyzet:

SDM frekvencia és térfogattagetampAz észlelési módszerek a belső referenciáktól és a mérőhardvertől függenek, amelyek eszközenként változhatnak. Az Intel azt javasolja, hogy jellemezze a t viselkedésétampészlelési beállításokat.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 51

5. Speciális szolgáltatások 683823 | 2023.05.23
frekvencia tampAz érzékelés a konfigurációs óraforráson működik. A t frekvencia engedélyezéséhezampÉrzékelés esetén a Belső oszcillátortól eltérő beállítást kell megadnia a Konfigurációs óraforrás legördülő menüjében az Eszköz hozzárendelései és a PIN-beállítások Általános lapon. A t frekvencia engedélyezése előtt meg kell győződnie arról, hogy a Konfigurációs CPU futtatása belső oszcillátorból jelölőnégyzet engedélyezve van.amper észlelés. 17. ábra: Az SDM beállítása belső oszcillátorra
A t frekvencia engedélyezéséhezampAz észlelésnél válassza a Frekvencia engedélyezése t lehetőségetamper észlelés jelölőnégyzetet, és válassza ki a kívánt Frekvencia tamper észlelési tartományt a legördülő menüből. 18. ábra: T frekvencia engedélyezéseamper Észlelés

Intel Agilex® 7 Device Security felhasználói kézikönyv 52

Visszajelzés küldése

5. Speciális szolgáltatások 683823 | 2023.05.23
Alternatív megoldásként engedélyezheti a T frekvenciátamper Az észlelés a Quartus Prime Settings .qsf következő módosításával file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC BE set_global_assignment -name ENNCY_FAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
A hőmérséklet engedélyezéséhez tampészlelésekor válassza a Hőmérséklet engedélyezése t lehetőségetamper észlelés jelölőnégyzetet, és válassza ki a kívánt hőmérséklet felső és alsó határát a megfelelő mezőkben. A felső és alsó határok alapértelmezés szerint a tervezésben kiválasztott eszköz kapcsolódó hőmérsékleti tartományával vannak kitöltve.
VoltagetampAz észleléskor kiválaszthatja az Enable VCCL voltagetamper észlelése vagy Enable VCCL_SDM voltagetamper észlelés jelölőnégyzeteket, és válassza ki a kívánt kötetettagetamper észlelési trigger százaléktage a megfelelő mezőben.
19. ábra Enableing Voltagés Tamper Észlelés

Alternatív megoldásként engedélyezheti a Voltagés Tamper Az észlelés a következő hozzárendelések megadásával történik a .qsf fájlban file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION BE
5.4.3. Anti-Tamper Lite Intel FPGA IP
Az Anti-TampAz Intel Quartus Prime Pro Edition szoftver IP katalógusában elérhető Lite Intel FPGA IP lehetővé teszi a kétirányú kommunikációt a tervezés és az SDM között.amper eseményeket.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 53

20. ábra Anti-Tamper Lite Intel FPGA IP

5. Speciális szolgáltatások 683823 | 2023.05.23

Az IP a következő jeleket biztosítja, amelyeket szükség szerint csatlakoztathat a tervezéshez:

5. táblázat.

Anti-Tamper Lite Intel FPGA IP I/O jelek

Jel neve

Irány

Leírás

gpo_sdm_at_event gpi_fpga_at_event

Kimenet bemenet

SDM-jel az FPGA-szövet logikájához, amelyet az SDM észleltamper esemény. Az FPGA-logikának körülbelül 5 ms-a van a kívánt tisztítás végrehajtására, és válaszol az SDM-re a gpi_fpga_at_response_done és gpi_fpga_at_zeroization_done segítségével. Az SDM a tampválaszműveletek, amikor a gpi_fpga_at_response_done érvényesül, vagy miután nem érkezik válasz a megadott időn belül.
FPGA megszakítás az SDM-hez, hogy az Ön által tervezett anti-tamper érzékelő áramkör észlelt a következő helyenamper esemény és az SDM tamper választ kell kiváltani.

gpi_fpga_at_response_done

Bemenet

FPGA megszakítása az SDM-nek, hogy az FPGA logika elvégezte a kívánt tisztítást.

gpi_fpga_at_zeroization_d one

Bemenet

Az FPGA jelet küld az SDM-nek, hogy az FPGA logika befejezte a tervezési adatok kívánt nullázását. Ez a jel sampvezet, amikor a gpi_fpga_at_response_done ki van állítva.

5.4.3.1. Kiadási információk

Az IP-verziós séma (XYZ) száma az egyik szoftververzióról a másikra változik. Változás a következőkben:
· X a vizsgálati időszak jelentős felülvizsgálatát jelzi. Ha frissíti az Intel Quartus Prime szoftvert, újra kell generálnia az IP-t.
· Y azt jelzi, hogy az IP új funkciókat tartalmaz. Újragenerálja az IP-címét, hogy tartalmazza ezeket az új funkciókat.
· Z azt jelzi, hogy az IP kisebb változtatásokat tartalmaz. Újragenerálja az IP-címét, hogy belefoglalja ezeket a változtatásokat.

6. táblázat.

Anti-Tamper Lite Intel FPGA IP kiadási információk

IP verzió

Tétel

Leírás 20.1.0

Intel Quartus Prime verzió

21.2

Megjelenés dátuma

2021.06.21

Intel Agilex® 7 Device Security felhasználói kézikönyv 54

Visszajelzés küldése

5. Speciális szolgáltatások 683823 | 2023.05.23
5.5. Tervezési biztonsági szolgáltatások használata távoli rendszerfrissítéssel
A Remote System Update (RSU) az Intel Agilex 7 FPGA-funkciója, amely segít a konfiguráció frissítésében files robusztus módon. Az RSU kompatibilis a tervezési biztonsági funkciókkal, például a hitelesítéssel, a firmware-aláírással és a bitfolyam-titkosítással, mivel az RSU nem függ a konfigurációs bitfolyamok tervezési tartalmától.
RSU képek készítése .sof segítségével Files
Ha privát kulcsokat tárol a helyi filerendszert, létrehozhat RSU-képeket tervezési biztonsági funkciókkal a .sof egyszerűsített folyamatával files bemenetként. RSU-képek generálásához a .sof fájllal file, kövesse a Távoli rendszerfrissítési kép létrehozása részben található utasításokat Files A programozás használata File Az Intel Agilex 7 konfigurációs felhasználói kézikönyv generátora. Minden .sof file megadva a Bemeneten Files lapon kattintson a Tulajdonságok… gombra, és adja meg a megfelelő beállításokat és kulcsokat az aláíró és titkosító eszközökhöz. A programozás file A generátor eszköz automatikusan aláírja és titkosítja a gyári és alkalmazási képeket az RSU programozás létrehozásakor files.
Alternatív megoldásként, ha privát kulcsokat tárol egy HSM-ben, akkor a quartus_sign eszközt kell használnia, és ezért az .rbf fájlt kell használnia. files. Ennek a szakasznak a további része az .rbf formátumú RSU-képek létrehozásához szükséges folyamat változásait részletezi files bemenetként. Titkosítania és alá kell írnia az .rbf formátumot files mielőtt kiválasztja őket bemenetként files RSU képekhez; azonban az RSU boot info file nem titkosítható, hanem csak aláírható. A Programozás File A Generátor nem támogatja az .rbf formátum tulajdonságainak módosítását files.
A következő plampbemutatja a parancsok szükséges módosításait a Távoli rendszerfrissítési kép létrehozása szakaszban Files A programozás használata File Az Intel Agilex 7 konfigurációs felhasználói kézikönyv generátora.
A kezdeti RSU kép létrehozása az .rbf használatával Files: Parancsmódosítás
A kezdeti RSU kép létrehozásából az .rbf használatával Files részben módosítsa az 1. lépésben szereplő parancsokat, hogy a dokumentum korábbi szakaszaiból származó utasítások segítségével tetszőlegesen engedélyezze a tervezési biztonsági funkciókat.
Plample, akkor aláírt firmware-t kell megadnia file ha firmware társsignálást használt, akkor használja a Quartus titkosító eszközt az egyes .rbf titkosításához file, és végül a quartus_sign eszközzel írja alá mindegyiket file.
A 2. lépésben, ha engedélyezte a firmware-társaláírást, egy további beállítást kell használnia a rendszerindító .rbf gyári lemezképből történő létrehozásához. file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
A rendszerindítási információ létrehozása után .rbf file, használja a quartus_sign eszközt az .rbf aláírásához file. Nem szabad titkosítani az .rbf rendszerindítási információkat file.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 55

5. Speciális szolgáltatások 683823 | 2023.05.23
Alkalmazáskép generálása: Parancsmódosítás
Tervezési biztonsági funkciókkal rendelkező alkalmazáskép létrehozásához módosítsa az Alkalmazáskép létrehozása részben lévő parancsot úgy, hogy az eredeti .sof alkalmazás helyett egy .rbf fájlt használjon engedélyezett tervezési biztonsági szolgáltatásokkal, beleértve, ha szükséges, társ-aláírt firmware-t is. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Gyári frissítési kép generálása: Parancsmódosítás
A rendszerindítási információ létrehozása után .rbf file, a quartus_sign eszközzel írja alá az .rbf fájlt file. Nem szabad titkosítani az .rbf rendszerindítási információkat file.
Az RSU gyári frissítési képfájl létrehozásához módosítsa a Gyári frissítési kép létrehozása parancsot .rbf használatára. file engedélyezve van a tervezési biztonsági funkciókkal, és hozzáadja a társ-aláírt firmware-használat jelzésének lehetőségét:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=BE -o fw_source=signed_agilex.zip
Kapcsolódó információk Intel Agilex 7 konfigurációs felhasználói kézikönyv
5.6. SDM kriptográfiai szolgáltatások
Az Intel Agilex 7 eszközök SDM-je olyan kriptográfiai szolgáltatásokat nyújt, amelyeket az FPGA-szövet logika vagy a HPS kérhet a megfelelő SDM-postafiók-interfészen keresztül. Az összes SDM kriptográfiai szolgáltatás postaláda-parancsairól és adatformátumairól további információt az Intel FPGA-k és strukturált ASIC-k felhasználói kézikönyvének B. függelékében talál.
Az SDM-postafiók-interfész eléréséhez az SDM-kriptográfiai szolgáltatások FPGA-szövet logikájához, példányosítania kell a Mailbox Client Intel FPGA IP-címét a tervben.
Az Intel által biztosított ATF- és Linux-kód tartalmazza az SDM-postafiók-interfész HPS-ről történő eléréséhez szükséges referenciakódot.
Kapcsolódó információk Postafiók-kliens Intel FPGA IP felhasználói kézikönyv
5.6.1. A gyártó által engedélyezett rendszerindítás
Az Intel referencia-megvalósítást biztosít a HPS-szoftverekhez, amely a gyártó által engedélyezett rendszerindítási funkciót használja a HPS rendszerindító szoftver hitelesítésére az első pillanattól kezdve.tage boot loader keresztül a Linux kernelig.
Kapcsolódó információk Intel Agilex 7 SoC Secure Boot Demo Design

Intel Agilex® 7 Device Security felhasználói kézikönyv 56

Visszajelzés küldése

5. Speciális szolgáltatások 683823 | 2023.05.23
5.6.2. Biztonságos adatobjektum szolgáltatás
A parancsokat az SDM-postafiókon keresztül kell elküldeni az SDOS-objektum titkosítására és visszafejtésére. Az SDOS funkciót az SDOS gyökérkulcsának kiépítése után használhatja.
Kapcsolódó információk Biztonságos adatobjektum szolgáltatás gyökérkulcs-kiépítése, 30. oldal
5.6.3. SDM kriptográfiai primitív szolgáltatások
A parancsokat az SDM-postafiókon keresztül kell elküldeni az SDM-kriptográfiai primitív szolgáltatási műveletek elindításához. Egyes kriptográfiai primitív szolgáltatások megkövetelik, hogy több adatot vigyenek át az SDM-be és onnan, mint amennyit a postafiók interfész képes fogadni. Ezekben az esetekben a formátum parancsa megváltozik, hogy mutatókat biztosítson a memóriában lévő adatokra. Ezenkívül módosítania kell a Mailbox Client Intel FPGA IP-címének példányosítását, hogy az FPGA-szövet logikából származó SDM kriptográfiai primitív szolgáltatásokat használhassa. Ezenkívül be kell állítania a Crypto Service engedélyezése paramétert 1-re, és csatlakoztatnia kell az újonnan közzétett AXI-kezdeményező interfészt egy memóriához a tervezésben.
21. ábra: SDM kriptográfiai szolgáltatások engedélyezése a postafiók kliensben Intel FPGA IP

5.7. Bitfolyam biztonsági beállítások (FM/S10)
Az FPGA Bitstream Security opciók olyan házirendek gyűjteményét jelentik, amelyek egy meghatározott időszakon belül korlátozzák a megadott szolgáltatást vagy működési módot.
A Bitstream Security opciók az Intel Quartus Prime Pro Edition szoftverben beállított jelzőkből állnak. Ezek a jelzők automatikusan bemásolódnak a konfigurációs bitfolyamokba.
A megfelelő eFuse biztonsági beállítás használatával véglegesen érvényesítheti a biztonsági beállításokat egy eszközön.
A konfigurációs bitfolyam vagy az eszköz eFuses biztonsági beállításainak használatához engedélyeznie kell a hitelesítési funkciót.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 57

5. Speciális szolgáltatások 683823 | 2023.05.23
5.7.1. Biztonsági beállítások kiválasztása és engedélyezése
A biztonsági beállítások kiválasztásához és engedélyezéséhez tegye a következőket: A Hozzárendelések menüből válassza az Eszköz és PIN-beállítások lehetőséget Biztonság További beállítások… 22. ábra: Biztonsági beállítások kiválasztása és engedélyezése

Ezután válassza ki az engedélyezni kívánt biztonsági beállítások értékeit a legördülő listákból, ahogy az a következő példában láthatóample:
23. ábra: Értékek kiválasztása a biztonsági beállításokhoz

Intel Agilex® 7 Device Security felhasználói kézikönyv 58

Visszajelzés küldése

5. Speciális szolgáltatások 683823 | 2023.05.23
Az alábbiak a Quartus Prime Settings .qsf megfelelő módosításai file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG „On Check” set_global_assignment -Name secu_option_force_encyption_key_update “On Sticky” Set_global_Assignment -Name Secu_option_force_Sdm_clock_to_INC_OSC_OSC_SCALMING of Set_Global_Assigning -name secu_opption_disable_virtual_efuses one set_global_lobal. Ity_efuses a set_global_assignment -name secu_option_disable_hps_debug a set_global_assignment -name secu_option_disable_key_key_in_efuses on set_global_assigning -secu_opption_dise_cryption_in_in_efuses of Encryption_key_in_efuses a set_global_assignment -name oldalon SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEYON

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 59

683823 | 2023.05.23 Visszajelzés küldése

Hibaelhárítás

Ez a fejezet leírja azokat a gyakori hibákat és figyelmeztető üzeneteket, amelyekkel az eszköz biztonsági funkcióinak használata során találkozhat, valamint a megoldásukra vonatkozó intézkedéseket.
6.1. A Quartus parancsok használata Windows környezetben Hiba
Hiba quartus_pgm: parancs nem található Leírás Ez a hiba akkor jelenik meg, ha Quartus parancsokat próbál meg használni egy NIOS II Shellben Windows környezetben WSL használatával. Megoldás Ez a parancs Linux környezetben működik; Windows-gazdagépek esetén használja a következő parancsot: quartus_pgm.exe -h Hasonlóképpen alkalmazza ugyanazt a szintaxist más Quartus Prime parancsokhoz, például a quartus_pfg, quartus_sign, quartus_encrypt parancsokhoz.

ISO 9001: 2015 bejegyezve

6. Hibaelhárítás 683823 | 2023.05.23

6.2. Privát kulcs figyelmeztetés generálása

Figyelmeztetés:

A megadott jelszó nem tekinthető biztonságosnak. Az Intel legalább 13 karakteres jelszó használatát javasolja. Javasoljuk, hogy a jelszót az OpenSSL végrehajtható fájl használatával módosítsa.

openssl ec -in -ki -aes256

Leírás
Ez a figyelmeztetés a jelszó erősségéhez kapcsolódik, és akkor jelenik meg, amikor a következő parancsok kiadásával próbál létrehozni egy privát kulcsot:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Felbontás Használja az openssl végrehajtható fájlt egy hosszabb és ezáltal erősebb jelszó megadásához.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 61

6. Hibaelhárítás 683823 | 2023.05.23
6.3. Aláíró kulcs hozzáadása a Quartus projekt hibájához
Hiba…File gyökérkulcs-információkat tartalmaz…
Leírás
Az aláíró kulcs hozzáadása után .qky file a Quartus projekthez újra össze kell szerelnie a .sof fájlt file. Amikor hozzáadja ezt a regenerált .sof file a kiválasztott eszközre a Quartus Programmer segítségével, a következő hibaüzenet azt jelzi, hogy a file root kulcs információkat tartalmaz:
Nem sikerült hozzáadnifile-útnév> a Programozóhoz. A file gyökérkulcs-információkat tartalmaz (.qky). A Programer azonban nem támogatja a bitfolyam aláírási funkciót. Használhatja a Programozást File Generátor átalakítani a file az aláírt Raw Binaryhoz file (.rbf) a konfigurációhoz.
Felbontás
Használja a Quartus programozást file generátor átalakítani a file aláírt nyers binárisba File .rbf a konfigurációhoz.
Kapcsolódó információ-aláírási konfigurációs bitfolyam A quartus_sign paranccsal (13. oldal).

Intel Agilex® 7 Device Security felhasználói kézikönyv 62

Visszajelzés küldése

6. Hibaelhárítás 683823 | 2023.05.23
6.4. Quartus Prime programozás generálása File sikertelen volt
Hiba
Hiba (20353): A QKY nyilvános kulcsának X nem egyezik a PEM-től származó privát kulccsal file.
Hiba (20352): Nem sikerült aláírni a bitfolyamot a python agilex_sign.py szkripten keresztül.
Hiba: Quartus Prime programozás File A generátor sikertelen volt.
Leírás Ha egy konfigurációs bitfolyamot egy helytelen .pem privát kulccsal próbál aláírni file vagy egy .pem file amely nem egyezik a projekthez hozzáadott .qky-vel, a fenti gyakori hibák jelennek meg. Megoldás Győződjön meg arról, hogy a megfelelő .pem titkos kulcsot használja a bitfolyam aláírásához.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 63

6. Hibaelhárítás 683823 | 2023.05.23
6.5. Ismeretlen érvelési hibák
Hiba
Hiba (23028): Ismeretlen „ûc” argumentum. A jogi érveket lásd a –súgóban.
Hiba (213008): Az „ûp” beállítási karakterlánc programozása illegális. A legális programozási opciók formátumaiért tekintse meg a –súgót.
Leírás Ha parancssori beállításokat másol és illeszt be .pdf fájlból file a Windows NIOS II Shellben a fentiek szerint ismeretlen argumentumhibákkal találkozhat. Megoldás Ilyen esetekben a vágólapról történő beillesztés helyett manuálisan is beírhatja a parancsokat.

Intel Agilex® 7 Device Security felhasználói kézikönyv 64

Visszajelzés küldése

6. Hibaelhárítás 683823 | 2023.05.23
6.6. Bitfolyam titkosítási opció letiltva hiba
Hiba
Nem lehet véglegesíteni a titkosítást a file design .sof, mert úgy lett lefordítva, hogy a bitfolyam titkosítási opció le van tiltva.
Leírás Ha GUI-n vagy parancssoron keresztül próbálja meg titkosítani a bitfolyamot, miután a projektet lefordította a bitfolyam titkosítási opció letiltásával, a Quartus a fentiek szerint elutasítja a parancsot.
Megoldás Győződjön meg arról, hogy a projektet úgy fordítja le, hogy a bitfolyam-titkosítási opció engedélyezve van a grafikus felhasználói felületen vagy a parancssoron keresztül. Ha engedélyezni szeretné ezt a lehetőséget a grafikus felhasználói felületen, be kell jelölnie a jelölőnégyzetet.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 65

6. Hibaelhárítás 683823 | 2023.05.23
6.7. A kulcs helyes elérési útjának megadása
Hiba
Hiba (19516): Programozás észlelve File Generátor beállítási hiba: nem található a 'kulcs_file'. Győződjön meg arról, hogy a file a várt helyen található, vagy frissítse a beállítást.sec
Hiba (19516): Programozás észlelve File Generátor beállítási hiba: nem található a 'kulcs_file'. Győződjön meg arról, hogy a file a várt helyen található, vagy frissítse a beállítást.
Leírás
Ha olyan kulcsokat használ, amelyek a file rendszerben, meg kell győződnie arról, hogy a bitfolyam titkosításhoz és aláíráshoz használt kulcsok helyes elérési útját adják meg. Ha a Programozás File A generátor nem tudja felismerni a helyes utat, a fenti hibaüzenetek jelennek meg.
Felbontás
Tekintse meg a Quartus Prime beállításait .qsf file hogy megtalálja a kulcsok megfelelő útvonalát. Győződjön meg róla, hogy relatív útvonalakat használ az abszolút útvonalak helyett.

Intel Agilex® 7 Device Security felhasználói kézikönyv 66

Visszajelzés küldése

6. Hibaelhárítás 683823 | 2023.05.23
6.8. Nem támogatott kimenet használata File Írja be
Hiba
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Hiba (19511): Nem támogatott kimenet file típus (ebf). Használja a „-l” vagy „–list” opciót a támogatott megjelenítéshez file típusú információkat.
Leírás A Quartus programozás használata közben File Generátor a titkosított és aláírt konfigurációs bitfolyam létrehozásához, a fenti hibaüzenetet láthatja, ha nem támogatott kimenet file típus van megadva. Felbontás A támogatottak listájának megtekintéséhez használja a -l vagy a -list kapcsolót file típusok.

Visszajelzés küldése

Intel Agilex® 7 Device Security felhasználói kézikönyv 67

683823 | 2023.05.23 Visszajelzés küldése
7. Intel Agilex 7 Device Security Felhasználói kézikönyv Archívum
A felhasználói kézikönyv legújabb és korábbi verzióiért tekintse meg az Intel Agilex 7 Device Security felhasználói kézikönyvét. Ha egy IP- vagy szoftververzió nem szerepel a listában, az előző IP- vagy szoftververzió felhasználói útmutatója érvényes.

ISO 9001: 2015 bejegyezve

683823 | 2023.05.23 Visszajelzés küldése

8. Az Intel Agilex 7 Device Security felhasználói kézikönyv felülvizsgálati előzményei

A dokumentum verziója 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumentumok / Források

Intel Agilex 7 Device Security [pdf] Felhasználói kézikönyv
Agilex 7 Device Security, Agilex 7, Eszközbiztonság, Biztonság

Hivatkozások

Felhasználói kézikönyv

Intel Agilex 7 Device Security

Termékinformáció

A termék használati útmutatója

Gyakran Ismételt Kérdések

Az eszközbiztonság végeview

Hitelesítés és engedélyezés

AES bitfolyam titkosítás

Eszközellátás

Speciális funkciók

Hibaelhárítás

Dokumentumok / Források

Hivatkozások

Hagyj megjegyzést

Válasz visszavonása