Panduan Pengguna Keamanan Perangkat Intel Agilex 7

Intel berkomitmen terhadap keamanan produk dan menyarankan pengguna untuk membiasakan diri dengan sumber daya keamanan produk yang disediakan. Sumber daya ini harus digunakan sepanjang masa pakai produk Intel.

2. Fitur Keamanan yang Direncanakan

Fitur keamanan berikut direncanakan untuk rilis perangkat lunak Intel Quartus Prime Pro Edition mendatang:

Verifikasi Keamanan Bitstream Konfigurasi Ulang Sebagian: Memberikan jaminan tambahan bahwa bitstream Konfigurasi Ulang Sebagian (PR) tidak dapat mengakses atau mengganggu bitstream persona PR lainnya.

Perangkat Self-Kill untuk Anti-T Fisikamper: Melakukan penghapusan perangkat atau respons penol-an perangkat dan memprogram eFuses untuk mencegah perangkat dikonfigurasikan lagi.

3. Dokumentasi Keamanan yang Tersedia

Tabel berikut mencantumkan dokumentasi yang tersedia untuk fitur keamanan perangkat pada perangkat Intel FPGA dan Structured ASIC:

Nama Dokumen	Tujuan
Metodologi Keamanan untuk Intel FPGA dan ASIC Terstruktur Pengguna Memandu	Dokumen tingkat atas yang memberikan deskripsi terperinci tentang fitur dan teknologi keamanan dalam Intel Programmable Solutions Produk. Membantu pengguna memilih fitur keamanan yang diperlukan untuk memenuhi tujuan keamanan mereka.
Panduan Pengguna Keamanan Perangkat Intel Stratix 10	Petunjuk bagi pengguna perangkat Intel Stratix 10 untuk menerapkan fitur keamanan yang diidentifikasi menggunakan Metodologi Keamanan Panduan Pengguna.
Panduan Pengguna Keamanan Perangkat Intel Agilex 7	Petunjuk bagi pengguna perangkat Intel Agilex 7 untuk menerapkan fitur keamanan yang diidentifikasi menggunakan Metodologi Keamanan Panduan Pengguna.
Panduan Pengguna Keamanan Perangkat Intel eASIC N5X	Petunjuk bagi pengguna perangkat Intel eASIC N5X untuk menerapkan fitur keamanan yang diidentifikasi menggunakan Metodologi Keamanan Panduan Pengguna.
Layanan Kriptografi Intel Agilex 7 dan Intel eASIC N5X HPS Panduan Pengguna	Informasi untuk insinyur perangkat lunak HPS tentang implementasi dan penggunaan pustaka perangkat lunak HPS untuk mengakses layanan kriptografi disediakan oleh SDM.
Panduan Memulai Cepat Layanan Penyediaan Kunci Hitam AN-968	Rangkaian lengkap langkah-langkah untuk menyiapkan Penyediaan Kunci Hitam melayani.

Pertanyaan yang Sering Diajukan

T: Apa tujuan dari Panduan Pengguna Metodologi Keamanan?

J: Panduan Pengguna Metodologi Keamanan menyediakan deskripsi terperinci tentang fitur dan teknologi keamanan dalam Produk Solusi Terprogram Intel. Panduan ini membantu pengguna memilih fitur keamanan yang diperlukan untuk memenuhi tujuan keamanan mereka.

T: Di mana saya dapat menemukan Panduan Pengguna Keamanan Perangkat Intel Agilex 7?

A: Panduan Pengguna Keamanan Perangkat Intel Agilex 7 dapat ditemukan di Pusat Sumber Daya dan Desain Intel weblokasi.

T: Apa itu layanan Penyediaan Kunci Hitam?

A: Layanan Penyediaan Kunci Hitam adalah layanan yang menyediakan serangkaian langkah lengkap untuk menyiapkan penyediaan kunci bagi operasi yang aman.

View Fullscreen

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7
Diperbarui untuk Intel® Quartus® Prime Design Suite: 23.1

Versi Online Kirim Umpan Balik

UG-20335

683823 2023.05.23

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 2

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 3

683823 | 2023.05.23 Kirim Umpan Balik
1. Intel Agilex® 7

Keamanan Perangkat Berakhirview

Intel® merancang perangkat Intel Agilex® 7 dengan perangkat keras dan firmware keamanan khusus yang dapat dikonfigurasi dengan sangat baik.
Dokumen ini berisi petunjuk untuk membantu Anda menggunakan perangkat lunak Intel Quartus® Prime Pro Edition untuk menerapkan fitur keamanan pada perangkat Intel Agilex 7 Anda.
Selain itu, Panduan Pengguna Metodologi Keamanan untuk Intel FPGA dan ASIC Terstruktur tersedia di Intel Resource & Design Center. Dokumen ini berisi deskripsi terperinci tentang fitur dan teknologi keamanan yang tersedia melalui produk Intel Programmable Solutions untuk membantu Anda memilih fitur keamanan yang diperlukan guna memenuhi tujuan keamanan Anda. Hubungi Dukungan Intel dengan nomor referensi 14014613136 untuk mengakses Panduan Pengguna Metodologi Keamanan untuk Intel FPGA dan ASIC Terstruktur.
Dokumen ini disusun sebagai berikut: · Otentikasi dan Otorisasi: Memberikan instruksi untuk membuat
kunci autentikasi dan rantai tanda tangan, menerapkan izin dan pencabutan, menandatangani objek, dan memprogram fitur autentikasi pada perangkat Intel Agilex 7. · Enkripsi Bitstream AES: Memberikan petunjuk untuk membuat kunci root AES, mengenkripsi bitstream konfigurasi, dan menyediakan kunci root AES ke perangkat Intel Agilex 7. · Penyediaan Perangkat: Memberikan petunjuk untuk menggunakan Intel Quartus Prime Programmer dan firmware penyediaan Secure Device Manager (SDM) untuk memprogram fitur keamanan pada perangkat Intel Agilex 7. · Fitur Lanjutan: Memberikan petunjuk untuk mengaktifkan fitur keamanan lanjutan, termasuk otorisasi debug aman, debug Hard Processor System (HPS), dan pembaruan sistem jarak jauh.
1.1. Komitmen terhadap Keamanan Produk
Komitmen Intel yang berkelanjutan terhadap keamanan tidak pernah sekuat ini. Intel sangat menyarankan agar Anda memahami sumber daya keamanan produk kami dan berencana untuk memanfaatkannya sepanjang masa pakai produk Intel Anda.
Informasi Terkait · Keamanan Produk di Intel · Saran Pusat Keamanan Produk Intel

Perusahaan Intel. Seluruh hak cipta. Intel, logo Intel, dan merek Intel lainnya adalah merek dagang dari Intel Corporation atau anak perusahaannya. Intel menjamin kinerja produk FPGA dan semikonduktornya dengan spesifikasi terkini sesuai dengan garansi standar Intel, tetapi berhak untuk membuat perubahan pada produk dan layanan apa pun kapan saja tanpa pemberitahuan. Intel tidak bertanggung jawab atau berkewajiban yang timbul dari aplikasi atau penggunaan informasi, produk, atau layanan apa pun yang dijelaskan di sini kecuali secara tegas disetujui secara tertulis oleh Intel. Pelanggan Intel disarankan untuk mendapatkan spesifikasi perangkat versi terbaru sebelum mengandalkan informasi yang dipublikasikan dan sebelum melakukan pemesanan produk atau layanan. *Nama dan merek lain dapat diklaim sebagai milik orang lain.

ISO 9001: 2015 Terdaftar

1. Keamanan Perangkat Intel Agilex® 7view 683823 | 2023.05.23

1.2. Fitur Keamanan yang Direncanakan

Fitur yang disebutkan dalam bagian ini direncanakan untuk rilis perangkat lunak Intel Quartus Prime Pro Edition mendatang.

Catatan:

Informasi dalam bagian ini bersifat awal.

1.2.1. Verifikasi Keamanan Bitstream Konfigurasi Ulang Sebagian
Validasi keamanan bitstream konfigurasi ulang parsial (PR) membantu memberikan jaminan tambahan bahwa bitstream persona PR tidak dapat mengakses atau mengganggu bitstream persona PR lainnya.

1.2.2. Perangkat Self-Kill untuk Anti-T Fisikamper
Pemusnahan perangkat secara otomatis melakukan respons penghapusan perangkat atau penol-an perangkat dan sebagai tambahan memprogram eFuses untuk mencegah perangkat melakukan konfigurasi lagi.

1.3. Dokumentasi Keamanan yang Tersedia

Tabel berikut ini mencantumkan dokumentasi yang tersedia untuk fitur keamanan perangkat pada perangkat Intel FPGA dan Structured ASIC:

Tabel 1.

Dokumentasi Keamanan Perangkat yang Tersedia

Nama Dokumen
Panduan Pengguna Metodologi Keamanan untuk Intel FPGA dan ASIC Terstruktur

Tujuan
Dokumen tingkat atas yang berisi deskripsi terperinci tentang fitur dan teknologi keamanan dalam Produk Solusi Terprogram Intel. Ditujukan untuk membantu Anda memilih fitur keamanan yang diperlukan untuk memenuhi tujuan keamanan Anda.

ID Dokumen 721596

Panduan Pengguna Keamanan Perangkat Intel Stratix 10
Panduan Pengguna Keamanan Perangkat Intel Agilex 7

Untuk pengguna perangkat Intel Stratix 10, panduan ini berisi petunjuk untuk menggunakan perangkat lunak Intel Quartus Prime Pro Edition untuk menerapkan fitur keamanan yang diidentifikasi menggunakan Panduan Pengguna Metodologi Keamanan.
Untuk pengguna perangkat Intel Agilex 7, panduan ini berisi petunjuk untuk menggunakan perangkat lunak Intel Quartus Prime Pro Edition untuk menerapkan fitur keamanan yang diidentifikasi menggunakan Panduan Pengguna Metodologi Keamanan.

683642 683823

Panduan Pengguna Keamanan Perangkat Intel eASIC N5X

Untuk pengguna perangkat Intel eASIC N5X, panduan ini berisi petunjuk untuk menggunakan perangkat lunak Intel Quartus Prime Pro Edition untuk menerapkan fitur keamanan yang diidentifikasi menggunakan Panduan Pengguna Metodologi Keamanan.

626836

Panduan Pengguna Layanan Kriptografi Intel Agilex 7 dan Intel eASIC N5X HPS

Panduan ini berisi informasi untuk membantu teknisi perangkat lunak HPS dalam penerapan dan penggunaan pustaka perangkat lunak HPS untuk mengakses layanan kriptografi yang disediakan oleh SDM.

713026

Panduan Memulai Cepat Layanan Penyediaan Kunci Hitam AN-968

Panduan ini berisi serangkaian langkah lengkap untuk menyiapkan layanan Penyediaan Kunci Hitam.

739071

Lokasi Intel Sumber Daya dan
Pusat Desain
Intel.com
Intel.com
Pusat Sumber Daya dan Desain Intel
Pusat Sumber Daya dan Desain Intel
Pusat Sumber Daya dan Desain Intel

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 5

683823 | 2023.05.23 Kirim Umpan Balik

Autentikasi dan Otorisasi

Untuk mengaktifkan fitur autentikasi perangkat Intel Agilex 7, Anda mulai dengan menggunakan perangkat lunak Intel Quartus Prime Pro Edition dan alat terkait untuk membangun rantai tanda tangan. Rantai tanda tangan terdiri dari kunci root, satu atau beberapa kunci penandatanganan, dan otorisasi yang berlaku. Anda menerapkan rantai tanda tangan ke proyek Intel Quartus Prime Pro Edition dan pemrograman yang dikompilasi files. Gunakan petunjuk dalam Penyediaan Perangkat untuk memprogram kunci root Anda ke dalam perangkat Intel Agilex 7.
Informasi Terkait
Penyediaan Perangkat pada halaman 25

2.1. Membuat Rantai Tanda Tangan
Anda dapat menggunakan alat quartus_sign atau implementasi referensi agilex_sign.py untuk melakukan operasi rantai tanda tangan. Dokumen ini menyediakan contohamples menggunakan quartus_sign.
Untuk menggunakan implementasi referensi, Anda mengganti panggilan ke interpreter Python yang disertakan dengan perangkat lunak Intel Quartus Prime dan menghilangkan opsi –family=agilex; semua opsi lainnya setara. Misalnyaample, perintah quartus_sign ditemukan kemudian di bagian ini
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky dapat diubah menjadi panggilan yang setara dengan implementasi referensi sebagai berikut
pgm_py agilex_sign.py –operasi=buat_root root_public.pem root.qky

Perangkat lunak Intel Quartus Prime Pro Edition mencakup alat quartus_sign, pgm_py, dan agilex_sign.py. Anda dapat menggunakan alat shell perintah Nios® II, yang secara otomatis menetapkan variabel lingkungan yang sesuai untuk mengakses alat tersebut.

Ikuti petunjuk berikut untuk membuka shell perintah Nios II. 1. Buka shell perintah Nios II.

Jendela Opsi
Bahasa Indonesia: Sistem Operasi Linux

Keterangan
Pada menu Mulai, arahkan ke Program Intel FPGA Nios II EDS dan klik Nios II Shell Perintah.
Dalam shell perintah ubah ke /nios2eds dan jalankan perintah berikut:
./nios2_perintah_shell.sh

Sang mantanamples dalam bagian ini mengasumsikan rantai tanda tangan dan konfigurasi bitstream files terletak di direktori kerja saat ini. Jika Anda memilih untuk mengikuti contohamples dimana kuncinya files disimpan di file sistem, mereka yang mantanamples mengasumsikan kuncinya files adalah

ISO 9001: 2015 Terdaftar

2. Autentikasi dan Otorisasi 683823 | 2023.05.23
terletak di direktori kerja saat ini. Anda dapat memilih direktori mana yang akan digunakan, dan alat-alat tersebut mendukung relatif file jalur. Jika Anda memilih untuk menyimpan kunci fileada di file sistem, Anda harus hati-hati mengelola izin akses ke mereka files.
Intel merekomendasikan agar Modul Keamanan Perangkat Keras (HSM) yang tersedia secara komersial digunakan untuk menyimpan kunci kriptografi dan melakukan operasi kriptografi. Alat quartus_sign dan implementasi referensi mencakup Antarmuka Pemrograman Aplikasi (API) Standar Kriptografi Kunci Publik #11 (PKCS #11) untuk berinteraksi dengan HSM saat melakukan operasi rantai tanda tangan. Implementasi referensi agilex_sign.py mencakup abstrak antarmuka serta exampantarmuka ke SoftHSM.
Anda dapat menggunakan contoh iniampantarmuka untuk mengimplementasikan antarmuka ke HSM Anda. Lihat dokumentasi dari vendor HSM Anda untuk informasi lebih lanjut tentang mengimplementasikan antarmuka ke dan mengoperasikan HSM Anda.
SoftHSM adalah implementasi perangkat lunak dari perangkat kriptografi generik dengan antarmuka PKCS #11 yang disediakan oleh proyek OpenDNSSEC®. Anda dapat menemukan informasi lebih lanjut, termasuk petunjuk tentang cara mengunduh, membangun, dan menginstal OpenHSM, di proyek OpenDNSSEC.ampfile dalam bagian ini menggunakan SoftHSM versi 2.6.1.ampFile dalam bagian ini juga menggunakan utilitas pkcs11-tool dari OpenSC untuk melakukan operasi PKCS #11 tambahan dengan token SoftHSM. Anda dapat menemukan informasi lebih lanjut, termasuk petunjuk tentang cara mengunduh, membuat, dan menginstal pkcs11tool dari OpenSC.
Informasi Terkait
· Proyek OpenDNSSEC Penandatangan zona berbasis kebijakan untuk mengotomatiskan proses pelacakan kunci DNSSEC.
· Informasi SoftHSM tentang implementasi penyimpanan kriptografi yang dapat diakses melalui antarmuka PKCS #11.
· OpenSC menyediakan seperangkat pustaka dan utilitas yang dapat bekerja dengan kartu pintar.
2.1.1. Membuat Pasangan Kunci Autentikasi di Jaringan Lokal File Sistem
Anda menggunakan alat quartus_sign untuk membuat pasangan kunci otentikasi di lokal file sistem menggunakan operasi alat make_private_pem dan make_public_pem. Anda pertama-tama membuat kunci privat dengan operasi make_private_pem. Anda menentukan kurva eliptik yang akan digunakan, kunci privat filenama, dan secara opsional apakah akan melindungi kunci pribadi dengan frasa sandi. Intel merekomendasikan penggunaan kurva secp384r1 dan mengikuti praktik terbaik industri untuk membuat frasa sandi acak yang kuat pada semua kunci pribadi files. Intel juga merekomendasikan pembatasan file izin sistem pada kunci pribadi .pem files hanya dapat dibaca oleh pemiliknya. Anda memperoleh kunci publik dari kunci pribadi dengan operasi make_public_pem. Sebaiknya beri nama kunci .pem filesecara deskriptif. Dokumen ini menggunakan konvensi _ .pem pada contoh berikutampsedikit.
1. Di shell perintah Nios II, jalankan perintah berikut untuk membuat kunci pribadi. Kunci pribadi, yang ditunjukkan di bawah ini, digunakan sebagai kunci root di contoh selanjutnya.ampfile yang membuat rantai tanda tangan. Perangkat Intel Agilex 7 mendukung beberapa kunci root, jadi Anda

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 7

2. Autentikasi dan Otorisasi 683823 | 2023.05.23

ulangi langkah ini untuk membuat jumlah kunci root yang Anda butuhkan.ampSemua file dalam dokumen ini merujuk pada kunci akar pertama, meskipun Anda dapat membuat rantai tanda tangan dengan cara yang sama dengan kunci akar mana pun.

Opsi Dengan frasa sandi

Keterangan
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Masukkan frasa sandi saat diminta untuk melakukannya.

Tanpa frasa sandi

quartus_sign –family=agilex –operasi=buat_privasi_pem –kurva=secp384r1 –tanpa_frasa_sandi root0_privasi.pem

2. Jalankan perintah berikut untuk membuat kunci publik menggunakan kunci privat yang dibuat pada langkah sebelumnya. Anda tidak perlu melindungi kerahasiaan kunci publik.
quartus_sign –keluarga=agilex –operasi=jadikan_publik_pem root0_privat.pem root0_publik.pem
3. Jalankan perintah lagi untuk membuat pasangan kunci yang digunakan sebagai kunci penandatanganan desain dalam rantai tanda tangan.
quartus_sign –family=agilex –operasi=buat_privasi_pem –kurva=secp384r1 design0_sign_privasi.pem

quartus_sign –keluarga=agilex –operasi=jadikan_publik_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Membuat Pasangan Kunci Autentikasi di SoftHSM
Mantan SoftHSMampFile dalam bab ini bersifat konsisten. Parameter tertentu bergantung pada instalasi SoftHSM dan inisialisasi token dalam SoftHSM.
Alat quartus_sign bergantung pada pustaka API PKCS #11 dari HSM Anda.
Sang mantanampFile dalam bagian ini mengasumsikan bahwa pustaka SoftHSM diinstal pada salah satu lokasi berikut: · /usr/local/lib/softhsm2.so pada Linux · C:SoftHSM2libsofthsm2.dll pada Windows versi 32-bit · C:SoftHSM2libsofthsm2-x64.dll pada Windows versi 64-bit.
Inisialisasi token dalam SoftHSM menggunakan alat softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –gratis
Parameter opsi, terutama label token dan pin token, adalahamples yang digunakan di seluruh bab ini. Intel menyarankan agar Anda mengikuti petunjuk dari vendor HSM Anda untuk membuat dan mengelola token dan kunci.
Anda membuat pasangan kunci autentikasi menggunakan utilitas pkcs11-tool untuk berinteraksi dengan token di SoftHSM. Alih-alih secara eksplisit merujuk ke kunci privat dan publik .pem fileada di dalam file sistem mantanamples, Anda merujuk ke pasangan kunci dengan labelnya dan alat akan memilih kunci yang sesuai secara otomatis.

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 8

Kirim Masukan

2. Autentikasi dan Otorisasi 683823 | 2023.05.23

Jalankan perintah berikut untuk membuat pasangan kunci yang digunakan sebagai kunci root di contoh selanjutnyaamples serta pasangan kunci yang digunakan sebagai kunci penandatanganan desain dalam rantai tanda tangan:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –label-token agilex-token –login –pin agilex-token-pin –keypairgen –mekanisme ECDSA-KEY-PAIR-GEN –jenis-kunci EC:secp384r1 –tanda-penggunaan –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –label-token agilex-token –login –pin agilex-token-pin –keypairgen –mekanisme ECDSA-KEY-PAIR-GEN –jenis-kunci EC:secp384r1 –tanda-penggunaan –label design0_sign –id 1

Catatan:

Opsi ID pada langkah ini harus unik untuk setiap kunci, tetapi hanya digunakan oleh HSM. Opsi ID ini tidak terkait dengan ID pembatalan kunci yang ditetapkan dalam rantai tanda tangan.

2.1.3. Membuat Entri Root Rantai Tanda Tangan
Konversi kunci publik root menjadi entri root rantai tanda tangan, disimpan di lokal file sistem dalam format kunci Intel Quartus Prime (.qky) file, dengan operasi make_root. Ulangi langkah ini untuk setiap kunci root yang Anda buat.
Jalankan perintah berikut untuk membuat rantai tanda tangan dengan entri root, menggunakan kunci publik root dari file sistem:
quartus_sign –family=agilex –operasi=buat_root –jenis_kunci=pemilik root0_publik.pem root0.qky
Jalankan perintah berikut untuk membuat rantai tanda tangan dengan entri root, menggunakan kunci root dari token SoftHSM yang ditetapkan di bagian sebelumnya:
quartus_sign –family=agilex –operasi=make_root –jenis_kunci=pemilik –modul=softHSM –arg_modul=”–label_token=token-agilex –pin_pengguna=pin-token-agilex –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” root0 root0.qky

2.1.4. Membuat Entri Kunci Publik Rantai Tanda Tangan
Buat entri kunci publik baru untuk rantai tanda tangan dengan operasi append_key. Anda menentukan rantai tanda tangan sebelumnya, kunci privat untuk entri terakhir dalam rantai tanda tangan sebelumnya, kunci publik tingkat berikutnya, ID izin dan pembatalan yang Anda tetapkan ke kunci publik tingkat berikutnya, dan rantai tanda tangan baru. file.
Perhatikan bahwa pustaka softHSM tidak tersedia dengan instalasi Quartus dan sebagai gantinya perlu diinstal secara terpisah. Untuk informasi lebih lanjut tentang softHSM, lihat Bagian Membuat Rantai Tanda Tangan di atas.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 9

2. Autentikasi dan Otorisasi 683823 | 2023.05.23
Tergantung pada penggunaan tombol Anda di file sistem atau dalam HSM, Anda menggunakan salah satu contoh berikutampperintah le untuk menambahkan kunci publik design0_sign ke rantai tanda tangan akar yang dibuat di bagian sebelumnya:
quartus_sign –keluarga=agilex –operasi=tambahkan_kunci –pem_sebelumnya=root0_private.pem –qky_sebelumnya=root0.qky –izin=6 –batal=0 –input_pem=desain0_sign_public.pem desain0_rantai_tanda.qky
quartus_sign –family=agilex –operasi=tambahkan_kunci –modul=softHSM –arg_modul=”–label_token=token-agilex –pin_pengguna=pin-token-agilex –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –nama_kunci_sebelumnya=root0 –qky_sebelumnya=root0.qky –izin=6 –batal=0 –nama_kunci_input=desain0_tanda desain0_rantai_tanda.qky
Anda dapat mengulangi operasi append_key hingga dua kali lagi untuk maksimum tiga entri kunci publik antara entri akar dan entri blok header dalam satu rantai tanda tangan.
Berikut ini contohnyaample mengasumsikan Anda membuat kunci publik autentikasi lain dengan izin yang sama dan menetapkan ID pembatalan 1 yang disebut design1_sign_public.pem, dan menambahkan kunci ini ke rantai tanda tangan dari contoh sebelumnyaampsaya:
quartus_sign –keluarga=agilex –operasi=tambahkan_kunci –pem_sebelumnya=design0_sign_private.pem –qky_sebelumnya=design0_sign_chain.qky –izin=6 –batal=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operasi=tambahkan_kunci –modul=softHSM –arg_modul=”–label_token=token-agilex –pin_pengguna=pin-token-agilex –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –nama_kunci_sebelumnya=design0_sign –qky_sebelumnya=rantai_tanda_desain0.qky –izin=6 –batal=1 –nama_kunci_masukan=sign_desain1 rantai_tanda_desain1.qky
Perangkat Intel Agilex 7 menyertakan penghitung pembatalan kunci tambahan untuk memudahkan penggunaan kunci yang dapat berubah secara berkala selama masa pakai perangkat tertentu. Anda dapat memilih penghitung pembatalan kunci ini dengan mengubah argumen opsi –cancel ke pts:pts_value.
2.2. Menandatangani Bitstream Konfigurasi
Perangkat Intel Agilex 7 mendukung penghitung Nomor Versi Keamanan (SVN), yang memungkinkan Anda mencabut otorisasi objek tanpa membatalkan kunci. Anda menetapkan penghitung SVN dan nilai penghitung SVN yang sesuai selama penandatanganan objek apa pun, seperti bagian bitstream, firmware .zip file, atau sertifikat ringkas. Anda menetapkan penghitung SVN dan nilai SVN menggunakan opsi –cancel dan svn_counter:svn_value sebagai argumen. Nilai yang valid untuk svn_counter adalah svnA, svnB, svnC, dan svnD. Nilai svn_value adalah bilangan bulat dalam rentang [0,63].

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 10

Kirim Masukan

2. Autentikasi dan Otorisasi 683823 | 2023.05.23
2.2.1. Kunci Kuartus File Penugasan
Anda menentukan rantai tanda tangan dalam proyek perangkat lunak Intel Quartus Prime Anda untuk mengaktifkan fitur autentikasi untuk desain tersebut. Dari menu Penugasan, pilih Perangkat Perangkat dan Opsi Pin Keamanan Kunci Quartus File, lalu telusuri rantai tanda tangan .qky file Anda buat untuk menandatangani desain ini.
Gambar 1. Aktifkan Pengaturan Bitstream Konfigurasi

Atau, Anda dapat menambahkan pernyataan penugasan berikut ke Pengaturan Intel Quartus Prime Anda file (.qsf):
set_penugasan_global -nama QKY_FILE desain0_rantai_tanda.qky
Untuk menghasilkan .sof file dari desain yang dikompilasi sebelumnya, yang mencakup pengaturan ini, dari menu Processing, pilih Start Start Assembler. Output baru .sof file mencakup tugas untuk mengaktifkan autentikasi dengan rantai tanda tangan yang disediakan.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 11

2. Autentikasi dan Otorisasi 683823 | 2023.05.23
2.2.2. Penandatanganan Bersama Firmware SDM
Anda menggunakan alat quartus_sign untuk mengekstrak, menandatangani, dan menginstal firmware SDM .zip yang berlaku fileFirmware yang ditandatangani bersama kemudian disertakan oleh pemrograman file alat generator saat Anda mengonversi .sof file ke dalam konfigurasi bitstream .rbf fileAnda menggunakan perintah berikut untuk membuat rantai tanda tangan baru dan menandatangani firmware SDM.
1. Buat pasangan kunci penandatanganan baru.
a. Buat pasangan kunci penandatanganan baru di file sistem:
quartus_sign –family=agilex –operasi=buat_privasi_pem –kurva=secp384r1 firmware1_privasi.pem
quartus_sign –keluarga=agilex –operasi=jadikan_publik_pem firmware1_privat.pem firmware1_publik.pem
b. Buat pasangan kunci penandatanganan baru di HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –label-token agilex-token –login –pin agilex-token-pin –keypairgen -mekanisme ECDSA-KEY-PAIR-GEN –jenis-kunci EC:secp384r1 –tanda-penggunaan –label firmware1 –id 1
2. Buat rantai tanda tangan baru yang berisi kunci publik baru:
quartus_sign –keluarga=agilex –operasi=tambahkan_kunci –pem_sebelumnya=root0_private.pem –qky_sebelumnya=root0.qky –izin=0x1 –batal=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operasi=tambahkan_kunci –modul=softHSM –arg_modul=”–label_token=token-agilex –pin_pengguna=pin-token-agilex –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –nama_kunci_sebelumnya=root0 –qky_sebelumnya=root0.qky –izin=1 –batal=1 –nama_kunci_input=firmware1 rantai_tanda_firmware1.qky
3. Salin firmware .zip file dari direktori instalasi perangkat lunak Intel Quartus Prime Pro Edition Anda ( /devices/programmer/firmware/agilex.zip) ke direktori kerja saat ini.
quartus_sign –keluarga=agilex –dapatkan_firmware=.
4. Tanda tangani firmware .zip fileAlat ini secara otomatis membongkar .zip file dan secara individual menandatangani semua firmware .cmf files, lalu membangun kembali .zip file untuk digunakan oleh alat-alat di bagian berikut:
quartus_sign –family=agilex –operasi=tanda –qky=firmware1_sign_chain.qky –batal=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –keluarga=agilex –operasi=tanda –modul=softHSM –arg_modul=”–label_token=token-agilex –pin_pengguna=pin-token-agilex –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 12

Kirim Masukan

2. Autentikasi dan Otorisasi 683823 | 2023.05.23

–nama kunci=firmware1 –batal=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Konfigurasi Penandatanganan Bitstream Menggunakan Perintah quartus_sign
Untuk menandatangani bitstream konfigurasi menggunakan perintah quartus_sign, pertama-tama Anda mengonversi .sof file ke biner mentah yang tidak ditandatangani file (.rbf) format. Anda dapat secara opsional menentukan firmware yang ditandatangani bersama menggunakan opsi fw_source selama langkah konversi.
Anda dapat menghasilkan bitstream mentah yang tidak ditandatangani dalam format .rbf menggunakan perintah berikut:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=AKTIF design.sof unsigned_bitstream.rbf
Jalankan salah satu perintah berikut untuk menandatangani bitstream menggunakan alat quartus_sign tergantung pada lokasi kunci Anda:
quartus_sign –keluarga=agilex –operasi=tanda –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –batal=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operasi=tanda –modul=softHSM –arg_modul=”–label_token=token-agilex –pin_pengguna=pin-token-agilex –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –nama_kunci=design0_sign –qky=design0_sign_chain.qky –batal=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Anda dapat mengonversi .rbf yang ditandatangani files ke bitstream konfigurasi lainnya file format.
Misalnyaample, jika Anda menggunakan Jam* Standard Test and Programming Language (STAPL) Player untuk memprogram bitstream melalui JTAG, Anda menggunakan perintah berikut untuk mengonversi .rbf file ke format .jam yang dibutuhkan oleh Jam STAPL Player:
quartus_pfg -c ditandatangani_bitstream.rbf ditandatangani_bitstream.jam

2.2.4. Dukungan Multi-Otoritas Konfigurasi Ulang Sebagian

Perangkat Intel Agilex 7 mendukung autentikasi multiotoritas rekonfigurasi parsial, di mana pemilik perangkat membuat dan menandatangani bitstream statis, dan pemilik PR terpisah membuat dan menandatangani bitstream persona PR. Perangkat Intel Agilex 7 menerapkan dukungan multiotoritas dengan menetapkan slot kunci root autentikasi pertama ke perangkat atau pemilik bitstream statis dan menetapkan slot kunci root autentikasi terakhir ke pemilik bitstream persona rekonfigurasi parsial.
Jika fitur autentikasi diaktifkan, maka semua gambar persona PR harus ditandatangani, termasuk gambar persona PR yang bersarang. Gambar persona PR dapat ditandatangani oleh pemilik perangkat atau pemilik PR; namun, bitstream wilayah statis harus ditandatangani oleh pemilik perangkat.

Catatan:

Konfigurasi Ulang Sebagian Enkripsi bitstream statis dan persona saat dukungan multi-otoritas diaktifkan direncanakan dalam rilis mendatang.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 13

2. Autentikasi dan Otorisasi 683823 | 2023.05.23

Gambar 2.

Penerapan dukungan multi-otoritas konfigurasi ulang parsial memerlukan beberapa langkah:
1. Pemilik perangkat atau bitstream statis menghasilkan satu atau beberapa kunci root autentikasi seperti dijelaskan dalam Membuat Pasangan Kunci Autentikasi di SoftHSM pada halaman 8, di mana opsi –key_type memiliki nilai pemilik.
2. Pemilik bitstream rekonfigurasi parsial menghasilkan kunci akar autentikasi tetapi mengubah nilai opsi –key_type menjadi secondary_owner.
3. Baik pemilik desain bitstream statis maupun rekonfigurasi parsial memastikan kotak centang Aktifkan dukungan Multi-Otoritas diaktifkan di tab Penugasan Perangkat Opsi Perangkat dan Pin Keamanan.
Intel Quartus Prime Mengaktifkan Pengaturan Opsi Multi-Otoritas

4. Baik pemilik desain bitstream statis maupun desain rekonfigurasi parsial membuat rantai tanda tangan berdasarkan kunci akar masing-masing seperti dijelaskan dalam Membuat Rantai Tanda Tangan di halaman 6.
5. Baik pemilik desain bitstream statis maupun desain konfigurasi ulang parsial mengonversi desain yang dikompilasi ke format .rbf files dan tandatangani .rbf files.
6. Pemilik perangkat atau bitstream statis membuat dan menandatangani sertifikat kompak otorisasi program kunci publik PR.
quartus_pfg –ccert atau ccert_type=PR_PUBKEY_PROG_AUTH atau pemilik_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –keluarga=agilex –operasi=tanda –qky=desain0_rantai_tanda.qky –pem=desain0_tanda_pribadi.pem –batal=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operasi=sign –modul=softHSM –arg_modul=”–label_token=token-s10 –pin_pengguna=pin-token-s10 –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –nama_kunci=design0_sign –qky=rantai_tanda_desain.qky –batal=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 14

Kirim Masukan

2. Autentikasi dan Otorisasi 683823 | 2023.05.23

7. Pemilik perangkat atau bitstream statis menyediakan hash kunci root autentikasi mereka ke perangkat, lalu memprogram sertifikat kompak otorisasi program kunci publik PR, dan akhirnya menyediakan kunci root pemilik bitstream konfigurasi ulang parsial ke perangkat. Bagian Penyediaan Perangkat menjelaskan proses penyediaan ini.
8. Perangkat Intel Agilex 7 dikonfigurasi dengan wilayah statis .rbf file.
9. Perangkat Intel Agilex 7 sebagian dikonfigurasi ulang dengan desain persona .rbf file.
Informasi Terkait
· Membuat Rantai Tanda Tangan di halaman 6
· Membuat Pasangan Kunci Autentikasi di SoftHSM pada halaman 8
· Penyediaan Perangkat pada halaman 25

2.2.5. Verifikasi Rantai Tanda Tangan Bitstream Konfigurasi
Setelah Anda membuat rantai tanda tangan dan bitstream yang ditandatangani, Anda dapat memverifikasi bahwa bitstream yang ditandatangani mengonfigurasi perangkat yang diprogram dengan kunci root yang diberikan dengan benar. Pertama-tama Anda menggunakan operasi fuse_info dari perintah quartus_sign untuk mencetak hash kunci publik root ke teks file:
tanda_quartus –keluarga=agilex –operasi=info_sekring root0.qky hash_sekring.txt

Anda kemudian menggunakan opsi check_integrity dari perintah quartus_pfg untuk memeriksa rantai tanda tangan pada setiap bagian dari bitstream yang ditandatangani dalam format .rbf. Opsi check_integrity mencetak informasi berikut:
· Status pemeriksaan integritas bitstream secara keseluruhan
· Isi setiap entri di setiap rantai tanda tangan dilampirkan ke setiap bagian dalam bitstream .rbf file,
· Nilai sekering yang diharapkan untuk hash kunci publik akar untuk setiap rantai tanda tangan.
Nilai dari keluaran fuse_info harus cocok dengan baris Fuse pada keluaran check_integrity.
quartus_pfg –periksa_integritas signed_bitstream.rbf

Ini adalah mantanampfile dari keluaran perintah check_integrity:

Info: Perintah: quartus_pfg –check_integrity signed_bitstream.rbf Status integritas: OK

Bagian

Tipe: CMF

Deskripsi Tanda Tangan …

Rantai tanda tangan #0 (entri: -1, offset: 96)

Entri #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Hasilkan kunci …

Kurva : secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Hasilkan kunci …

Kurva : secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 15

2. Autentikasi dan Otorisasi 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Entri #1

Hasilkan kunci …

Kurva : secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Entri #2 Izin gantungan kunci: SIGN_CODE Gantungan kunci dapat dibatalkan dengan ID: 3 Rantai tanda tangan #1 (entri: -1, offset: 648)

Entri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Hasilkan kunci …

Kurva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Hasilkan kunci …

Kurva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entri #1

Hasilkan kunci …

Kurva : secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Entri #2

Hasilkan kunci …

Kurva : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entri #3 Izin gantungan kunci: SIGN_CODE Gantungan kunci dapat dibatalkan dengan ID: 15 Rantai tanda tangan #2 (entri: -1, offset: 0) Rantai tanda tangan #3 (entri: -1, offset: 0) Rantai tanda tangan #4 (entri: -1, offset: 0) Rantai tanda tangan #5 (entri: -1, offset: 0) Rantai tanda tangan #6 (entri: -1, offset: 0) Rantai tanda tangan #7 (entri: -1, offset: 0)

Jenis Bagian: Deskripsi Tanda Tangan IO … Rantai tanda tangan #0 (entri: -1, offset: 96)

Entri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Hasilkan kunci …

Kurva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 16

Kirim Masukan

2. Autentikasi dan Otorisasi 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Hasilkan kunci …

Kurva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entri #1

Hasilkan kunci …

Kurva : secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entri #2

Hasilkan kunci …

Kurva : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entri #3 Izin gantungan kunci: SIGN_CORE Gantungan kunci dapat dibatalkan dengan ID: 15 Rantai tanda tangan #1 (entri: -1, offset: 0) Rantai tanda tangan #2 (entri: -1, offset: 0) Rantai tanda tangan #3 (entri: -1, offset: 0) Rantai tanda tangan #4 (entri: -1, offset: 0) Rantai tanda tangan #5 (entri: -1, offset: 0) Rantai tanda tangan #6 (entri: -1, offset: 0) Rantai tanda tangan #7 (entri: -1, offset: 0)

Bagian

Tipe: HPS

Deskripsi Tanda Tangan …

Rantai tanda tangan #0 (entri: -1, offset: 96)

Entri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Hasilkan kunci …

Kurva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Hasilkan kunci …

Kurva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entri #1

Hasilkan kunci …

Kurva : secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Entri #2

Hasilkan kunci …

Kurva : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 17

2. Autentikasi dan Otorisasi 683823 | 2023.05.23

Entri #3 Izin gantungan kunci: SIGN_HPS Gantungan kunci dapat dibatalkan dengan ID: 15 Rantai tanda tangan #1 (entri: -1, offset: 0) Rantai tanda tangan #2 (entri: -1, offset: 0) Rantai tanda tangan #3 (entri: -1, offset: 0) Rantai tanda tangan #4 (entri: -1, offset: 0) Rantai tanda tangan #5 (entri: -1, offset: 0) Rantai tanda tangan #6 (entri: -1, offset: 0) Rantai tanda tangan #7 (entri: -1, offset: 0)

Jenis Bagian: Deskripsi Tanda Tangan CORE … Rantai tanda tangan #0 (entri: -1, offset: 96)

Entri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Hasilkan kunci …

Kurva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Hasilkan kunci …

Kurva : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entri #1

Hasilkan kunci …

Kurva : secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entri #2

Hasilkan kunci …

Kurva : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 18

Kirim Masukan

683823 | 2023.05.23 Kirim Umpan Balik

Enkripsi Bitstream AES

Enkripsi bitstream Advanced Encryption Standard (AES) adalah fitur yang memungkinkan pemilik perangkat untuk melindungi kerahasiaan kekayaan intelektual dalam bitstream konfigurasi.
Untuk membantu melindungi kerahasiaan kunci, enkripsi bitstream konfigurasi menggunakan rantai kunci AES. Kunci ini digunakan untuk mengenkripsi data pemilik dalam bitstream konfigurasi, di mana kunci perantara pertama dienkripsi dengan kunci akar AES.

3.1. Membuat Kunci Root AES

Anda dapat menggunakan alat quartus_encrypt atau implementasi referensi stratix10_encrypt.py untuk membuat kunci root AES dalam format kunci enkripsi perangkat lunak Intel Quartus Prime (.qek) file.

Catatan:

stratix10_encrypt.py adalah bahasa pemrograman yang digunakan untuk membuat kode sumber. file digunakan untuk perangkat Intel Stratix® 10, dan Intel Agilex 7.

Anda dapat secara opsional menentukan kunci dasar yang digunakan untuk memperoleh kunci akar AES dan kunci derivasi kunci, nilai untuk kunci akar AES secara langsung, jumlah kunci perantara, dan penggunaan maksimum per kunci perantara.

Anda harus menentukan keluarga perangkat, keluaran .qek file lokasi, dan frasa sandi saat diminta.
Jalankan perintah berikut untuk menghasilkan kunci akar AES menggunakan data acak untuk kunci dasar dan nilai default untuk jumlah kunci perantara dan penggunaan kunci maksimum.
Untuk menggunakan implementasi referensi, Anda mengganti panggilan ke interpreter Python yang disertakan dengan perangkat lunak Intel Quartus Prime dan menghilangkan opsi –family=agilex; semua opsi lainnya setara. Misalnyaample, perintah quartus_encrypt ditemukan kemudian di bagian

quartus_encrypt –keluarga=agilex –operasi=BUAT_KUNCI_AES aes_root.qek

dapat diubah menjadi panggilan yang setara dengan implementasi referensi sebagai berikut pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Pengaturan Enkripsi Quartus
Untuk mengaktifkan enkripsi bitstream untuk suatu desain, Anda harus menentukan opsi yang sesuai menggunakan panel Assignments Device Device dan Pin Options Security. Anda memilih kotak centang Enable configuration bitstream encryption, dan lokasi penyimpanan kunci Enkripsi yang diinginkan dari menu dropdown.

ISO 9001: 2015 Terdaftar

Gambar 3. Pengaturan Enkripsi Intel Quartus Prime

3. Enkripsi Bitstream AES 683823 | 2023.05.23

Atau, Anda dapat menambahkan pernyataan penugasan berikut ke pengaturan Intel Quartus Prime Anda file .qsf:
set_global_assignment -nama ENCRYPT_PROGRAMMING_BITSTREAM pada set_global_assignment -nama PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Jika Anda ingin mengaktifkan mitigasi tambahan terhadap vektor serangan saluran samping, Anda dapat mengaktifkan menu tarik-turun Rasio pembaruan enkripsi dan kotak centang Aktifkan pengacakan.

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 20

Kirim Masukan

3. Enkripsi Bitstream AES 683823 | 2023.05.23

Perubahan terkait dalam .qsf adalah:
set_global_assignment -nama PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING pada set_global_assignment -nama PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Mengenkripsi Bitstream Konfigurasi
Anda mengenkripsi bitstream konfigurasi sebelum menandatangani bitstream. Pemrograman Intel Quartus Prime File Alat generator dapat secara otomatis mengenkripsi dan menandatangani bitstream konfigurasi menggunakan antarmuka pengguna grafis atau baris perintah.
Anda dapat secara opsional membuat bitstream yang dienkripsi sebagian untuk digunakan dengan alat quartus_encrypt dan quartus_sign atau referensi implementasi yang setara.

3.3.1. Konfigurasi Enkripsi Bitstream Menggunakan Pemrograman File Antarmuka Grafis Generator
Anda dapat menggunakan Pemrograman File Generator untuk mengenkripsi dan menandatangani gambar pemilik.

Gambar 4.

1. Pada Intel Quartus Prime File menu pilih Pemrograman File Generator. 2. Pada Output Filetab s, tentukan outputnya file ketik untuk konfigurasi Anda
skema.
Keluaran File Spesifikasi

Skema konfigurasi Output file tab
Keluaran file jenis

3. Pada Input Filetab, klik Tambahkan Bitstream dan telusuri ke .sof Anda. 4. Untuk menentukan opsi enkripsi dan otentikasi, pilih .sof dan klik
Properti. a. Aktifkan Aktifkan alat penandatanganan. b. Untuk Kunci pribadi file pilih kunci penandatanganan Anda pribadi .pem file. c. Aktifkan enkripsi Finalisasi.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 21

3. Enkripsi Bitstream AES 683823 | 2023.05.23

Gambar 5.

d. Untuk kunci enkripsi file, pilih AES .qek Anda fileMasukan (.sof) File Properti untuk Autentikasi dan Enkripsi

Aktifkan autentikasi Tentukan root pribadi .pem
Aktifkan enkripsi Tentukan kunci enkripsi
5. Untuk menghasilkan bitstream yang ditandatangani dan dienkripsi, pada Input Filetab s, klik Generate. Kotak dialog Password akan muncul untuk Anda memasukkan frasa sandi untuk kunci AES Anda .qek file dan menandatangani kunci pribadi .pem filePemrograman file generator menciptakan output terenkripsi dan ditandatangani_file.rbf.
3.3.2. Konfigurasi Enkripsi Bitstream Menggunakan Pemrograman File Antarmuka Baris Perintah Generator
Hasilkan bitstream konfigurasi terenkripsi dan ditandatangani dalam format .rbf dengan antarmuka baris perintah quartus_pfg:
quartus_pfg -c enkripsi_diaktifkan.sof top.rbf -o finalisasi_enkripsi=AKTIF -o qek_file=aes_root.qek -o penandatanganan=AKTIF -o pem_file=design0_sign_private.pem
Anda dapat mengonversi bitstream konfigurasi terenkripsi dan ditandatangani dalam format .rbf ke bitstream konfigurasi lainnya file format.
3.3.3. Pembuatan Bitstream Konfigurasi Terenkripsi Sebagian Menggunakan Antarmuka Baris Perintah
Anda dapat membuat program yang dienkripsi sebagian file untuk menyelesaikan enkripsi dan menandatangani gambar nanti. Hasilkan pemrograman yang dienkripsi sebagian file dalam format .rbf dengan antarmuka baris perintah quartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 22

Kirim Masukan

3. Enkripsi Bitstream AES 683823 | 2023.05.23
Anda menggunakan alat baris perintah quartus_encrypt untuk menyelesaikan enkripsi bitstream:
quartus_encrypt –keluarga=agilex –operasi=ENCRYPT –kunci=aes_root.qek top.rbf encrypted_top.rbf
Anda menggunakan alat baris perintah quartus_sign untuk menandatangani bitstream konfigurasi terenkripsi:
quartus_sign –keluarga=agilex –operasi=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –batal=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operasi=sign –modul=softHSM –arg_modul=”–label_token=token-agilex –pin_pengguna=pin-token-agilex –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –nama_kunci=design0_sign –qky=design0_sign_chain.qky –batal=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Enkripsi Bitstream Konfigurasi Ulang Sebagian
Anda dapat mengaktifkan enkripsi bitstream pada beberapa desain FPGA Intel Agilex 7 yang menggunakan konfigurasi ulang parsial.
Desain konfigurasi ulang parsial yang menggunakan Hierarchical Partial Reconfiguration (HPR), atau Static Update Partial Reconfiguration (SUPR) tidak mendukung enkripsi bitstream. Jika desain Anda berisi beberapa wilayah PR, Anda harus mengenkripsi semua persona.
Untuk mengaktifkan enkripsi bitstream konfigurasi ulang parsial, ikuti prosedur yang sama di semua revisi desain. 1. Pada Intel Quartus Prime File menu, pilih Penugasan Perangkat Perangkat
dan Keamanan Opsi Pin. 2. Pilih lokasi penyimpanan kunci enkripsi yang diinginkan.
Gambar 6. Pengaturan Enkripsi Bitstream Rekonfigurasi Sebagian

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 23

3. Enkripsi Bitstream AES 683823 | 2023.05.23
Atau, Anda dapat menambahkan pernyataan penugasan berikut dalam pengaturan Quartus Prime file .qsf:
set_global_assignment -name –AKTIFKAN_ENKRIPSI_BITSTREAM_REKONFIGURASI_SEBAGIAN pada
Setelah Anda mengkompilasi desain dasar dan revisi Anda, perangkat lunak menghasilkan .soffile dan satu atau lebih.pmsffiles, mewakili persona. 3. Buat program terenkripsi dan ditandatangani files dari .sof dan .pmsf files dengan cara yang sama dengan desain tanpa mengaktifkan konfigurasi ulang parsial. 4. Ubah persona.pmsf yang dikompilasi file ke .rbf yang dienkripsi sebagian file:
quartus_pfg -c -o finalize_encryption_later=AKTIF -o sign_later=AKTIF enkripsi_diaktifkan_persona1.pmsf persona1.rbf
5. Selesaikan enkripsi bitstream menggunakan alat baris perintah quartus_encrypt:
quartus_encrypt –keluarga=agilex –operasi=ENCRYPT –kunci=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Tanda tangani bitstream konfigurasi terenkripsi menggunakan alat baris perintah quartus_sign:
quartus_sign –keluarga=agilex –operasi=TANDA –qky=desain0_rantai_tanda.qky –pem=desain0_tanda_pribadi.pem persona_terenkripsi1.rbf ditandatangani_persona_terenkripsi1.rbf
quartus_sign –family=agilex –operasi=SIGN –modul=softHSM –arg_modul=”–label_token=token-agilex –pin_pengguna=pin-token-agilex –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky=rantai_tanda_desain0.qky –batal=svnA:0 –nama_kunci=tanda_desain0 encrypted_persona1.rbf signed_encrypted_persona1.rbf

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 24

Kirim Masukan

683823 | 2023.05.23 Kirim Umpan Balik

Penyediaan Perangkat

Penyediaan fitur keamanan awal hanya didukung dalam firmware penyediaan SDM. Gunakan Intel Quartus Prime Programmer untuk memuat firmware penyediaan SDM dan melakukan operasi penyediaan.
Anda dapat menggunakan jenis J apa punTAG mengunduh kabel untuk menghubungkan Quartus Programmer ke perangkat Intel Agilex 7 untuk melakukan operasi penyediaan.
4.1. Menggunakan Firmware Penyediaan SDM
Programmer Intel Quartus Prime secara otomatis membuat dan memuat citra pembantu bawaan pabrik saat Anda memilih operasi inisialisasi dan perintah untuk memprogram sesuatu selain bitstream konfigurasi.
Bergantung pada perintah pemrograman yang ditentukan, gambar pembantu bawaan pabrik adalah salah satu dari dua jenis:
· Gambar pembantu penyediaan–terdiri dari satu bagian aliran bit yang berisi firmware penyediaan SDM.
· Gambar pembantu QSPI–terdiri dari dua bagian aliran bit, satu berisi firmware utama SDM dan satu bagian I/O.
Anda dapat membuat gambar pembantu bawaan pabrik file untuk dimuat ke perangkat Anda sebelum menjalankan perintah pemrograman apa pun. Setelah memprogram hash kunci root autentikasi, Anda harus membuat dan menandatangani citra pembantu QSPI bawaan pabrik karena bagian I/O yang disertakan. Jika Anda juga memprogram pengaturan keamanan firmware yang ditandatangani bersama eFuse, Anda harus membuat penyediaan dan citra pembantu QSPI bawaan pabrik dengan firmware yang ditandatangani bersama. Anda dapat menggunakan citra pembantu bawaan pabrik yang ditandatangani bersama pada perangkat yang tidak disediakan karena perangkat yang tidak disediakan mengabaikan rantai tanda tangan non-Intel melalui firmware SDM. Lihat Menggunakan Citra Pembantu Default Pabrik QSPI pada Perangkat Milik pada halaman 26 untuk detail lebih lanjut tentang membuat, menandatangani, dan menggunakan citra pembantu QSPI bawaan pabrik.
Citra pembantu bawaan pabrik penyediaan melakukan tindakan penyediaan, seperti memprogram hash kunci root autentikasi, sekering pengaturan keamanan, pendaftaran PUF, atau penyediaan kunci hitam. Anda menggunakan Intel Quartus Prime Programming File Alat baris perintah generator untuk membuat gambar pembantu penyediaan, menentukan opsi helper_image, nama helper_device Anda, subtipe gambar pembantu penyediaan, dan secara opsional firmware .zip yang ditandatangani bersama file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtipe=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Programkan citra pembantu menggunakan alat Intel Quartus Prime Programmer:
kuartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –paksa

ISO 9001: 2015 Terdaftar

4. Penyediaan Perangkat 683823 | 2023.05.23

Catatan:

Anda dapat menghilangkan operasi inisialisasi dari perintah, termasuk exampfile yang disediakan dalam bab ini, setelah memprogram gambar pembantu penyediaan atau menggunakan perintah yang berisi operasi inisialisasi.

4.2. Menggunakan QSPI Factory Default Helper Image pada Perangkat Milik Sendiri
Programmer Intel Quartus Prime secara otomatis membuat dan memuat citra pembantu bawaan pabrik QSPI ketika Anda memilih operasi inisialisasi untuk pemrograman flash QSPI file. Setelah memprogram hash kunci root autentikasi, Anda harus membuat dan menandatangani citra pembantu bawaan pabrik QSPI, dan memprogram citra pembantu pabrik QSPI yang ditandatangani secara terpisah sebelum memprogram flash QSPI. 1. Anda menggunakan Intel Quartus Prime Programming File Alat baris perintah generator untuk
buat gambar pembantu QSPI, tentukan opsi helper_image, tipe helper_device Anda, subtipe gambar pembantu QSPI, dan secara opsional firmware .zip yang ditandatangani bersama file:
quartus_pfg –gambar_pembantu -o perangkat_pembantu=AGFB014R24A -o subtipe=QSPI -o sumber_fw=signed_agilex.zip gambar_pembantu qspi.rbf
2. Anda menandatangani gambar pembantu bawaan pabrik QSPI:
quartus_sign –keluarga=agilex –operasi=tanda –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Anda dapat menggunakan program flash QSPI apa pun file format. Contoh berikutamples menggunakan bitstream konfigurasi yang dikonversi ke .jic file format:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o perangkat=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Anda memprogram gambar pembantu yang ditandatangani menggunakan alat Intel Quartus Prime Programmer:
kuartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –paksa
5. Anda memprogram gambar .jic ke flash menggunakan alat Intel Quartus Prime Programmer:
kuartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”

4.3. Penyediaan Kunci Root Autentikasi
Untuk memprogram hash kunci root pemilik ke sekering fisik, pertama-tama Anda harus memuat firmware penyediaan, kemudian memprogram hash kunci root pemilik, lalu segera melakukan pengaturan ulang daya. Pengaturan ulang daya tidak diperlukan jika memprogram hash kunci root ke sekering virtual.

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 26

Kirim Masukan

4. Penyediaan Perangkat 683823 | 2023.05.23
Untuk memprogram hash kunci root autentikasi, Anda memprogram gambar pembantu firmware penyediaan dan menjalankan salah satu perintah berikut untuk memprogram kunci root .qky files.
// Untuk eFuse fisik (non-volatil) quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –kunci_non_volatil
// Untuk eFuse virtual (volatil) quartus_pgm -c 1 -mjtag -o “p;akar0.qky;akar1.qky;akar2.qky”
4.3.1. Pemrograman Kunci Root Multi-Otoritas Rekonfigurasi Sebagian
Setelah menyediakan kunci root pemilik bitstream perangkat atau wilayah statis, Anda kembali memuat citra pembantu penyediaan perangkat, memprogram sertifikat kompak otorisasi program kunci publik PR yang ditandatangani, lalu menyediakan kunci root pemilik bitstream persona PR.
// Untuk eFuse fisik (non-volatil) quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –kunci_non_volatil
// Untuk eFuse virtual (volatil) quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Pemrograman Sekering ID Pembatalan Kunci
Dimulai dengan perangkat lunak Intel Quartus Prime Pro Edition versi 21.1, pemrograman sekering ID pembatalan kunci Intel dan pemilik memerlukan penggunaan sertifikat ringkas yang ditandatangani. Anda dapat menandatangani sertifikat ringkas ID pembatalan kunci dengan rantai tanda tangan yang memiliki izin penandatanganan bagian FPGA. Anda membuat sertifikat ringkas dengan pemrograman file alat baris perintah generator. Anda menandatangani sertifikat yang tidak ditandatangani menggunakan alat quartus_sign atau implementasi referensi.
Perangkat Intel Agilex 7 mendukung bank ID pembatalan kunci pemilik yang terpisah untuk setiap kunci root. Saat sertifikat kompak ID pembatalan kunci pemilik diprogram ke dalam FPGA Intel Agilex 7, SDM menentukan kunci root mana yang menandatangani sertifikat kompak dan memutuskan hubungan ID pembatalan kunci yang sesuai dengan kunci root tersebut.
Berikut ini contohnyaamples membuat sertifikat pembatalan kunci Intel untuk ID kunci Intel 7. Anda dapat mengganti 7 dengan ID pembatalan kunci Intel yang berlaku dari 0-31.
Jalankan perintah berikut untuk membuat sertifikat ringkas ID pembatalan kunci Intel yang tidak ditandatangani:
quartus_pfg –ccert -o ccert_type=BATAL_KUNCI_INTEL -o batalkan_kunci=7 unsigned_cancel_intel7.ccert
Jalankan salah satu perintah berikut untuk menandatangani sertifikat ringkas ID pembatalan kunci Intel yang tidak ditandatangani:
quartus_sign –keluarga=agilex –operasi=TANDA –qky=desain0_rantai_tanda.qky –pem=desain0_pribadi.pem –batal=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –keluarga=agilex –operasi=tanda –modul=softHSM –arg_modul=”–label_token=token-agilex –pin_pengguna=pin-token-agilex –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 27

4. Penyediaan Perangkat 683823 | 2023.05.23
–nama kunci=design0_sign –qky=design0_sign_chain.qky –batal=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Jalankan perintah berikut untuk membuat sertifikat ringkas ID pembatalan kunci pemilik yang tidak ditandatangani:
quartus_pfg –ccert -o ccert_type=BATAL_KUNCI_PEMILIK -o batalkan_kunci=2 unsigned_cancel_owner2.ccert
Jalankan salah satu perintah berikut untuk menandatangani sertifikat ringkas ID pembatalan kunci pemilik yang tidak ditandatangani:
quartus_sign –keluarga=agilex –operasi=TANDA –qky=desain0_rantai_tanda.qky –pem=desain0_pribadi.pem –batal=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operasi=sign –modul=softHSM –arg_modul=”–label_token=token-agilex –pin_pengguna=pin-token-agilex –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –nama_kunci=design0_sign –qky=design0_sign_chain.qky –batal=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Setelah Anda membuat sertifikat kompak ID pembatalan kunci yang ditandatangani, Anda menggunakan Intel Quartus Prime Programmer untuk memprogram sertifikat kompak ke perangkat melalui JTAG.
//Untuk eFuse fisik (non-volatil) quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –kunci_non_volatil quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –kunci_non_volatil
//Untuk eFuse virtual (volatil) quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
Anda juga dapat mengirim sertifikat ringkas ke SDM menggunakan antarmuka kotak surat FPGA atau HPS.
4.5. Membatalkan Kunci Root
Perangkat Intel Agilex 7 memungkinkan Anda membatalkan hash kunci root saat hash kunci root lain yang tidak dibatalkan ada. Anda membatalkan hash kunci root dengan terlebih dahulu mengonfigurasi perangkat dengan desain yang rantai tanda tangannya berakar pada hash kunci root yang berbeda, lalu memprogram sertifikat kompak pembatalan hash kunci root yang ditandatangani. Anda harus menandatangani sertifikat kompak pembatalan hash kunci root dengan rantai tanda tangan yang berakar pada kunci root agar dapat dibatalkan.
Jalankan perintah berikut untuk menghasilkan sertifikat kompak pembatalan hash kunci root yang tidak ditandatangani:
quartus_pfg –ccert -o –ccert_type=BATALKAN_HASH_KUNCI unsigned_root_cancel.ccert

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 28

Kirim Masukan

4. Penyediaan Perangkat 683823 | 2023.05.23

Jalankan salah satu perintah berikut untuk menandatangani sertifikat kompak pembatalan hash kunci root yang tidak ditandatangani:
quartus_sign –keluarga=agilex –operasi=TANDA –qky=desain0_rantai_tanda.qky –pem=desain0_pribadi.pem –batal=svnA:0 unsigned_root_batal.ccert signed_root_batal.ccert
quartus_sign –family=agilex –operasi=sign –modul=softHSM –arg_modul=”–label_token=token-agilex –pin_pengguna=pin-token-agilex –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –nama_kunci=design0_sign –qky=design0_sign_chain.qky –batal=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Anda dapat memprogram sertifikat kompak pembatalan hash kunci root melalui JTAG, kotak surat FPGA, atau HPS.

4.6. Pemrograman Sekring Lawan
Anda memperbarui Nomor Versi Keamanan (SVN) dan Waktu Semu Stamp (PTS) melawan sekering dengan menggunakan sertifikat kompak yang ditandatangani.

Catatan:

SDM melacak nilai penghitung minimum yang terlihat selama konfigurasi tertentu dan tidak menerima sertifikat penambahan penghitung saat nilai penghitung lebih kecil dari nilai minimum. Anda harus memperbarui semua objek yang ditetapkan ke penghitung dan mengonfigurasi ulang perangkat sebelum memprogram sertifikat kompak penambahan penghitung.

Jalankan salah satu perintah berikut yang sesuai dengan sertifikat penambahan penghitung yang ingin Anda buat.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o penghitung=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o penghitung=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o penghitung=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o penghitung=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o penghitung=<-1:63> unsigned_svnD.ccert

Nilai penghitung 1 membuat sertifikat otorisasi penambahan penghitung. Pemrograman sertifikat kompak otorisasi penambahan penghitung memungkinkan Anda memprogram sertifikat penambahan penghitung yang tidak ditandatangani lebih lanjut untuk memperbarui penghitung masing-masing. Anda menggunakan alat quartus_sign untuk menandatangani sertifikat kompak penghitung dengan cara yang sama seperti sertifikat kompak ID pembatalan kunci.
Anda dapat memprogram sertifikat kompak pembatalan hash kunci root melalui JTAG, kotak surat FPGA, atau HPS.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 29

4. Penyediaan Perangkat 683823 | 2023.05.23

4.7. Penyediaan Kunci Root Layanan Objek Data Aman
Anda menggunakan Intel Quartus Prime Programmer untuk menyediakan kunci root Secure Data Object Service (SDOS). Programmer secara otomatis memuat citra pembantu firmware penyediaan untuk menyediakan kunci root SDOS.
kuartus_pgm c 1 mjtag –kunci_root_layanan –kunci_non_volatil

4.8. Pengaturan Keamanan Penyediaan Sekring
Gunakan Intel Quartus Prime Programmer untuk memeriksa sekering pengaturan keamanan perangkat dan menuliskannya ke .fuse berbasis teks file sebagai berikut:
kuartus_pgm -c 1 -mjtag -o “ei;pemrograman_file.sekring;AGFB014R24B”

Opsi · i: Programmer memuat gambar pembantu firmware penyediaan ke perangkat. · e: Programmer membaca sekering dari perangkat dan menyimpannya dalam .fuse file.

Sekering file berisi daftar pasangan nama-nilai sekering. Nilai menentukan apakah sekering telah putus atau isi bidang sekering.

Berikut ini contohnyaample menunjukkan format .fuse file:

# Firmware yang ditandatangani bersama

= “Tidak meledak”

# Izin Perangkat Membunuh

= “Tidak meledak”

# Perangkat tidak aman

= “Tidak meledak”

# Nonaktifkan debug HPS

= “Tidak meledak”

# Nonaktifkan pendaftaran PUF ID Intrinsik

= “Tidak meledak”

# Nonaktifkan JTAG

= “Tidak meledak”

# Nonaktifkan kunci enkripsi yang dibungkus PUF

= “Tidak meledak”

# Nonaktifkan kunci enkripsi pemilik di BBRAM = “Tidak meledak”

# Nonaktifkan kunci enkripsi pemilik di eFuses = “Tidak meledak”

# Nonaktifkan hash kunci publik pemilik root 0

= “Tidak meledak”

# Nonaktifkan hash kunci publik pemilik root 1

= “Tidak meledak”

# Nonaktifkan hash kunci publik pemilik root 2

= “Tidak meledak”

# Nonaktifkan eFuse virtual

= “Tidak meledak”

# Paksa jam SDM ke osilator internal = “Tidak meledak”

# Paksa pembaruan kunci enkripsi

= “Tidak meledak”

# Pembatalan kunci eksplisit Intel

= “0”

# Kunci pengaman eFuses

= “Tidak meledak”

# Program kunci enkripsi pemilik selesai

= “Tidak meledak”

# Program kunci enkripsi pemilik dimulai

= “Tidak meledak”

# Pembatalan kunci eksplisit pemilik 0

= “”

# Pembatalan kunci eksplisit pemilik 1

= “”

# Pembatalan kunci eksplisit pemilik 2

= “”

# Sekring pemilik

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Hash kunci publik pemilik root 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Hash kunci publik pemilik root 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Hash kunci publik pemilik root 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Ukuran kunci publik root pemilik

= “Tidak ada”

# Penghitung PTS

= “0”

# Basis penghitung PTS

= “0”

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 30

Kirim Masukan

4. Penyediaan Perangkat 683823 | 2023.05.23

# Penundaan pengaktifan QSPI # Penghitung RMA # SDMIO0 adalah I2C # Penghitung SVN A # Penghitung SVN B # Penghitung SVN C # Penghitung SVN D

= “10ms” = “0” = “Tidak meledak” = “0” = “0” = “0” = “0”

Ubah .fuse file untuk mengatur sekering pengaturan keamanan yang Anda inginkan. Baris yang dimulai dengan # diperlakukan sebagai baris komentar. Untuk memprogram sekering pengaturan keamanan, hapus # di awal dan atur nilainya ke Blown. Misalnyaample, untuk mengaktifkan pengaturan keamanan Co-signed Firmware, ubah baris pertama sekering file sebagai berikut:
Firmware yang ditandatangani bersama = “Hancur”

Anda juga dapat mengalokasikan dan memprogram Sekering Pemilik berdasarkan kebutuhan Anda.
Anda dapat menggunakan perintah berikut untuk melakukan pemeriksaan kosong, memprogram, dan memverifikasi kunci publik root pemilik:
kuartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

Opsi · i: Memuat gambar pembantu firmware penyediaan ke perangkat. · b: Melakukan pemeriksaan kosong untuk memverifikasi bahwa sekering pengaturan keamanan yang diinginkan tidak
sudah putus. · p: Memprogram sekring. · v: Memverifikasi kunci yang diprogram pada perangkat.
Setelah memprogram .qky file, Anda dapat memeriksa info sekering dengan memeriksa info sekering lagi untuk memastikan hash kunci publik pemilik dan ukuran kunci publik pemilik memiliki nilai bukan nol.
Meskipun bidang berikut tidak dapat ditulis melalui .fuse file metode, mereka disertakan selama keluaran operasi pemeriksaan untuk verifikasi: · Perangkat tidak aman · Izin perangkat dimatikan · Nonaktifkan hash kunci publik root pemilik 0 · Nonaktifkan hash kunci publik root pemilik 1 · Nonaktifkan hash kunci publik root pemilik 2 · Pembatalan kunci Intel · Program kunci enkripsi pemilik dimulai · Program kunci enkripsi pemilik selesai · Pembatalan kunci pemilik · Hash kunci publik pemilik · Ukuran kunci publik pemilik · Hash kunci publik root pemilik 0 · Hash kunci publik root pemilik 1 · Hash kunci publik root pemilik 2

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 31

4. Penyediaan Perangkat 683823 | 2023.05.23
· Penghitung PTS · Basis penghitung PTS · Penundaan memulai QSPI · Penghitung RMA · SDMIO0 adalah I2C · Penghitung SVN A · Penghitung SVN B · Penghitung SVN C · Penghitung SVN D
Gunakan Intel Quartus Prime Programmer untuk memprogram .fuse file kembali ke perangkat. Jika Anda menambahkan opsi i, Programmer secara otomatis memuat firmware penyediaan untuk memprogram sekering pengaturan keamanan.
//Untuk eFuse fisik (non-volatil) quartus_pgm -c 1 -mjtag -o “pi;pemrograman_file.sekering” –kunci_non_volatile
//Untuk eFuse virtual (volatil) quartus_pgm -c 1 -mjtag -o “pi;pemrograman_file.sekering"
Anda dapat menggunakan perintah berikut untuk memverifikasi apakah hash kunci root perangkat sama dengan .qky yang diberikan dalam perintah:
kuartus_pgm -c 1 -mjtag -o “v;root0_lain.qky”
Jika kuncinya tidak cocok, Programmer gagal dengan pesan kesalahan Operasi gagal.
4.9. Penyediaan Kunci Root AES
Anda harus menggunakan sertifikat ringkas kunci root AES yang ditandatangani untuk memprogram kunci root AES ke perangkat Intel Agilex 7.
4.9.1. Sertifikat Kompak Kunci Root AES
Anda menggunakan alat baris perintah quartus_pfg untuk mengonversi kunci root AES .qek Anda file ke dalam format sertifikat ringkas .ccert. Anda menentukan lokasi penyimpanan kunci saat membuat sertifikat ringkas. Anda dapat menggunakan alat quartus_pfg untuk membuat sertifikat yang tidak ditandatangani untuk penandatanganan selanjutnya. Anda harus menggunakan rantai tanda tangan dengan izin penandatanganan sertifikat kunci root AES, bit izin 6, diaktifkan agar berhasil menandatangani sertifikat ringkas kunci root AES.

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 32

Kirim Masukan

4. Penyediaan Perangkat 683823 | 2023.05.23
1. Buat pasangan kunci tambahan yang digunakan untuk menandatangani sertifikat kunci kompak AES menggunakan salah satu perintah berikut misalnyaampsedikit:
quartus_sign –family=agilex –operasi=buat_privasi_pem –kurva=secp384r1 aesccert1_privasi.pem
quartus_sign –keluarga=agilex –operasi=jadikan_publik_pem aesccert1_privat.pem aesccert1_publik.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –label-token agilex-token –login –pin agilex-token-pin –keypairgen mekanisme ECDSA-KEY-PAIR-GEN –jenis-kunci EC:secp384r1 –tanda-penggunaan –label aesccert1 –id 2
2. Buat rantai tanda tangan dengan set bit izin yang benar menggunakan salah satu perintah berikut:
quartus_sign –family=agilex –operasi=append_key –pem_sebelumnya=root0_private.pem –qky_sebelumnya=root0.qky –izin=0x40 –batal=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operasi=tambahkan_kunci –modul=softHSM -arg_modul=”–label_token=token-agilex –pin_pengguna=pin-token-agilex –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –nama_kunci_sebelumnya=root0 –qky_sebelumnya=root0.qky –izin=0x40 –batal=1 –nama_kunci_masukan=aesccert1 rantai_tanda aesccert1.qky
3. Buat sertifikat kompak AES yang tidak ditandatangani untuk lokasi penyimpanan kunci root AES yang diinginkan. Opsi penyimpanan kunci root AES berikut tersedia:
· EFUSE_DIBUNGKUS_KUNCI_AES_
· IID_PUF_DIBUNGKUS_KUNCI_AES
· UDS_IID_PUF_DIBUNGKUS_KUNCI_AES
· BBRAM_DIBUNGKUS_KUNCI_AES
· BBRAM_IID_PUF_DIBUNGKUS_KUNCI_AES
· BBRAM_UDS_IID_PUF_DIBUNGKUS_KUNCI_AES
//Buat kunci root eFuse AES sertifikat yang tidak ditandatangani quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Tanda tangani sertifikat kompak dengan perintah quartus_sign atau implementasi referensi.
quartus_sign –keluarga=agilex –operasi=tanda –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky tidak ditandatangani_ 1. sertifikat ditandatangani_ 1.sertifikasi
quartus_sign –keluarga=agilex –operasi=tanda –modul=softHSM –arg_modul=”–label_token=token-agilex –pin_pengguna=pin-token-agilex –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 33

4. Penyediaan Perangkat 683823 | 2023.05.23

–nama kunci=aesccert1 –qky=aesccert1_rantai_tanda.qky tidak ditandatangani_ 1. sertifikat ditandatangani_ 1.sertifikasi
5. Gunakan Intel Quartus Prime Programmer untuk memprogram sertifikat kompak kunci root AES ke perangkat Intel Agilex 7 melalui JTAGProgrammer Intel Quartus Prime secara default memprogram eFuse virtual saat menggunakan tipe sertifikat ringkas EFUSE_WRAPPED_AES_KEY.
Anda menambahkan opsi –non_volatile_key untuk menentukan pemrograman sekering fisik.
//Untuk kunci root AES eFuse fisik (non-volatil) quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –kunci_non_volatil

//Untuk kunci root AES eFuse virtual (volatil) quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”

//Untuk kunci root BBRAM AES quartus_pgm -c 1 -mjtag -o “pi;signed_bbram1.ccert”

Firmware penyediaan SDM dan firmware utama mendukung pemrograman sertifikat kunci root AES. Anda juga dapat menggunakan antarmuka kotak surat SDM dari jaringan FPGA atau HPS untuk memprogram sertifikat kunci root AES.

Catatan:

Perintah quartus_pgm tidak mendukung opsi b dan v untuk sertifikat ringkas (.ccert).

4.9.2. Penyediaan Kunci Root PUF AES Intrinsic ID®
Implementasi ID PUF Intrinsik* yang dibungkus dengan Kunci AES mencakup langkah-langkah berikut: 1. Mendaftarkan ID PUF Intrinsik melalui JTAG. 2. Membungkus kunci root AES. 3. Memprogram data pembantu dan kunci yang dibungkus ke dalam memori flash SPI quad. 4. Menanyakan status aktivasi PUF ID Intrinsik.
Penggunaan teknologi Intrinsic ID memerlukan perjanjian lisensi terpisah dengan Intrinsic ID. Perangkat lunak Intel Quartus Prime Pro Edition membatasi operasi PUF tanpa lisensi yang sesuai, seperti pendaftaran, pembungkusan kunci, dan pemrograman data PUF ke flash QSPI.

4.9.2.1. Pendaftaran PUF ID Intrinsik
Untuk mendaftarkan PUF, Anda harus menggunakan firmware penyediaan SDM. Firmware penyediaan harus menjadi firmware pertama yang dimuat setelah siklus daya, dan Anda harus mengeluarkan perintah pendaftaran PUF sebelum perintah lainnya. Firmware penyediaan mendukung perintah lain setelah pendaftaran PUF, termasuk pembungkusan kunci root AES dan pemrograman quad SPI, namun, Anda harus mematikan perangkat untuk memuat bitstream konfigurasi.
Anda menggunakan Intel Quartus Prime Programmer untuk memicu pendaftaran PUF dan menghasilkan data pembantu PUF.puf file.

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 34

Kirim Masukan

4. Penyediaan Perangkat 683823 | 2023.05.23

Gambar 7.

Pendaftaran PUF ID Intrinsik
Pendaftaran PUF quartus_pgm

Data pembantu PUF pendaftaran

Pengelola Perangkat Aman (SDM)

wrapper.puf Data Pembantu
Programmer secara otomatis memuat gambar pembantu firmware penyediaan saat Anda menentukan operasi i dan argumen .puf.
kuartus_pgm -c 1 -mjtag -o “ei;help_data.puf;AGFB014R24A”
Jika Anda menggunakan firmware yang ditandatangani bersama, Anda memprogram gambar pembantu firmware yang ditandatangani bersama sebelum menggunakan perintah pendaftaran PUF.
kuartus_pgm -c 1 -mjtag -o “gambar_pembantu_provision_yang_ditandatangani.rbf” –paksa quartus_pgm -c 1 -mjtag -o “e;bantuan_data.puf;AGFB014R24A”
UDS IID PUF didaftarkan selama pembuatan perangkat, dan tidak tersedia untuk pendaftaran ulang. Sebagai gantinya, Anda menggunakan Programmer untuk menentukan lokasi data pembantu UDS PUF pada IPCS, mengunduh .puf file langsung, lalu gunakan UDS .puf file dengan cara yang sama seperti .puf file diekstrak dari perangkat Intel Agilex 7.
Gunakan perintah Programmer berikut untuk menghasilkan teks file berisi daftar URLs menunjuk ke perangkat tertentu files di IPCS:
kuartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Membungkus Kunci Root AES
Anda menghasilkan kunci root AES yang dibungkus IID PUF .wkey file dengan mengirimkan sertifikat yang ditandatangani ke SDM.
Anda dapat menggunakan Intel Quartus Prime Programmer untuk secara otomatis membuat, menandatangani, dan mengirim sertifikat untuk membungkus kunci root AES Anda, atau Anda dapat menggunakan Intel Quartus Prime Programmer File Generator untuk membuat sertifikat yang tidak ditandatangani. Anda menandatangani sertifikat yang tidak ditandatangani menggunakan alat Anda sendiri atau alat penandatanganan Quartus. Anda kemudian menggunakan Programmer untuk mengirim sertifikat yang ditandatangani dan membungkus kunci root AES Anda. Sertifikat yang ditandatangani dapat digunakan untuk memprogram semua perangkat yang dapat memvalidasi rantai tanda tangan.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 35

4. Penyediaan Perangkat 683823 | 2023.05.23

Gambar 8.

Membungkus Kunci AES Menggunakan Programmer Intel Quartus Prime
.pem Pribadi
Kunci

.qky

kuartus_pgm

Bungkus Kunci AES

AES.QSKigYnature RootCPhuabilnic Kunci

Hasilkan Kunci yang Dibungkus PUF

Kunci AES yang Dibungkus

SDM

Enkripsi .qek
Kunci

.wkey Dibungkus PUF
Kunci AES

1. Anda dapat membuat kunci root AES yang dibungkus IID PUF (.wkey) dengan Programmer menggunakan argumen berikut:
· .qky file berisi rantai tanda tangan dengan izin sertifikat kunci root AES
· .pem pribadi file untuk kunci terakhir dalam rantai tanda tangan
· .qek file memegang kunci root AES
· Vektor inisialisasi 16-byte (iv).

kuartus_pgm -c 1 -mjtag –qky_file=aes0_rantai_tanda.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Sebagai alternatif, Anda dapat membuat sertifikat kunci root AES pembungkus PUF IID yang tidak ditandatangani dengan Pemrograman File Generator menggunakan argumen berikut:

quartus_pfg –ccert -o ccert_type=IID_PUF_DIBUNGKUS_KUNCI_AES -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Anda menandatangani sertifikat yang belum ditandatangani dengan alat penandatanganan Anda sendiri atau alat quartus_sign menggunakan perintah berikut:

quartus_sign –keluarga=agilex –operasi=tanda –qky=rantai_tanda_aes0.qky –pem=rantai_tanda_aes0_privat.pem unsigned_aes.ccert signed_aes.ccert

4. Anda kemudian menggunakan Programmer untuk mengirim sertifikat AES yang ditandatangani dan mengembalikan kunci yang dibungkus (.wkey) file:

kuarts_pgm -c 1 -mjtag –ccert_file=ditandatangani_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Catatan: Operasi i tidak diperlukan jika Anda sebelumnya memuat gambar pembantu firmware penyediaan, misalnyaample, untuk mendaftarkan PUF.

4.9.2.3. Pemrograman Data Pembantu dan Kunci Terbungkus ke Memori Flash QSPI
Anda menggunakan Pemrograman Quartus File Antarmuka grafis generator untuk membuat citra flash QSPI awal yang berisi partisi PUF. Anda harus membuat dan memprogram citra pemrograman flash secara keseluruhan untuk menambahkan partisi PUF ke flash QSPI. Pembuatan PUF

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 36

Kirim Masukan

4. Penyediaan Perangkat 683823 | 2023.05.23

Gambar 9.

partisi data dan penggunaan data pembantu PUF dan kunci yang dibungkus files untuk pembuatan gambar flash tidak didukung melalui Pemrograman File Antarmuka baris perintah generator.
Langkah-langkah berikut ini menunjukkan pembuatan citra pemrograman flash dengan data pembantu PUF dan kunci yang dibungkus:
1. Pada File menu, klik Pemrograman File Generator. Pada Output FilePada tab s buatlah pilihan berikut:
a. Untuk Device Family pilih Agilex 7.
b. Untuk mode Konfigurasi pilih Serial Aktif x4.
c. Untuk direktori Output, telusuri direktori output Anda file direktori. Ini mantanample menggunakan output_files.
d. Untuk Nama, tentukan nama untuk program tersebut. file yang akan dihasilkan. Ini example menggunakan output_file.
e. Di bawah Deskripsi pilih pemrograman files untuk menghasilkan. Ini example menghasilkan JTAG Konfigurasi tidak langsung File (.jic) untuk konfigurasi perangkat dan Raw Binary File dari Programming Helper Image (.rbf) untuk gambar pembantu perangkat. Contoh iniample juga memilih Peta Memori opsional File (.map) dan Data Pemrograman Mentah File (.rpd). Data pemrograman mentah file diperlukan hanya jika Anda berencana menggunakan programmer pihak ketiga di masa mendatang.
Pemrograman File Generator – Keluaran FileTab s – Pilih JTAG Konfigurasi Tidak Langsung

Mode Konfigurasi Keluarga Perangkat
Keluaran file tab
Direktori keluaran
JTAG Peta Memori Tidak Langsung (.jic) File Pembantu Pemrograman Data Pemrograman Mentah
Pada Input FilePada tab, buat pilihan berikut: 1. Klik Tambahkan Bitstream dan telusuri .sof Anda. 2. Pilih .sof Anda file dan kemudian klik Properties.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 37

4. Penyediaan Perangkat 683823 | 2023.05.23
a. Aktifkan Aktifkan alat penandatanganan. b. Untuk Kunci pribadi file pilih .pem Anda file. c. Aktifkan Finalisasi enkripsi. d. Untuk kunci enkripsi file pilih .qek Anda file. e. Klik OK untuk kembali ke jendela sebelumnya. 3. Untuk menentukan data pembantu PUF Anda file, klik Tambahkan Data Mentah. Ubah Files dari jenis menu drop-down ke Fungsi Quartus Fisik yang Tidak Dapat Dikloning File (*.puf). Telusuri ke .puf Anda fileJika Anda menggunakan IID PUF dan UDS IID PUF, ulangi langkah ini sehingga .puf files untuk setiap PUF ditambahkan sebagai input files. 4. Untuk menentukan kunci AES yang dibungkus file, klik Tambahkan Data Mentah. Ubah Files dari jenis menu drop-down ke Quartus Wrapped Key File (*.wkey). Telusuri ke .wkey Anda fileJika Anda telah membungkus kunci AES menggunakan IID PUF dan UDS IID PUF, ulangi langkah ini sehingga .wkey files untuk setiap PUF ditambahkan sebagai input files.
Gambar 10. Tentukan Input Files untuk Konfigurasi, Autentikasi, dan Enkripsi

Tambahkan Bitstream Tambahkan Data Mentah
Properti
Kunci pribadi file
Selesaikan enkripsi Kunci enkripsi
Pada tab Perangkat Konfigurasi, buat pilihan berikut: 1. Klik Tambahkan Perangkat dan pilih perangkat flash Anda dari daftar perangkat flash yang tersedia.
2. Pilih perangkat konfigurasi yang baru saja Anda tambahkan dan klik Tambahkan Partisi. 3. Di kotak dialog Edit Partisi untuk Input file dan pilih .sof Anda dari
daftar dropdown. Anda dapat mempertahankan nilai default atau mengedit parameter lainnya di kotak dialog Edit Partisi.

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 38

Kirim Masukan

4. Penyediaan Perangkat 683823 | 2023.05.23
Gambar 11. Menentukan Partisi Bitstream Konfigurasi .sof Anda

Perangkat Konfigurasi
Edit Partisi Tambahkan .sof file

Tambahkan Partisi

4. Saat Anda menambahkan .puf dan .wkey sebagai input files, Pemrograman File Generator secara otomatis membuat partisi PUF di Perangkat Konfigurasi Anda. Untuk menyimpan .puf dan .wkey di partisi PUF, pilih partisi PUF dan klik Edit. Di kotak dialog Edit Partisi, pilih .puf dan .wkey Anda filedari daftar dropdown. Jika Anda menghapus partisi PUF, Anda harus menghapus dan menambahkan kembali perangkat konfigurasi untuk Pemrograman File Generator untuk membuat partisi PUF lainnya. Anda harus memastikan bahwa Anda memilih .puf dan .wkey yang benar file untuk IID PUF dan UDS IID PUF, masing-masing.
Gambar 12. Tambahkan .puf dan .wkey files ke Partisi PUF

Partisi PUF

Sunting

Edit Partisi

Pemuat Flash

Pilih Hasilkan

5. Untuk parameter Flash Loader pilih keluarga perangkat Intel Agilex 7 dan nama perangkat yang sesuai dengan OPN Intel Agilex 7 Anda.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 39

4. Penyediaan Perangkat 683823 | 2023.05.23
6. Klik Generate untuk menghasilkan output fileyang Anda tentukan pada Output Filetab.
7. Pemrograman File Generator membaca .qek Anda file dan meminta Anda memasukkan frasa sandi. Ketikkan frasa sandi Anda sebagai respons terhadap perintah Enter QEK passphrase. Klik tombol Enter.
8. Klik OK ketika jendela Pemrograman File Generator melaporkan pembangkitan yang berhasil.
Anda menggunakan Intel Quartus Prime Programmer untuk menulis citra pemrograman QSPI ke memori flash QSPI. 1. Pada menu Intel Quartus Prime Tools pilih Programmer. 2. Di Programmer, klik Hardware Setup dan kemudian pilih Intel Quartus Prime yang terhubung.
Kabel Unduhan FPGA. 3. Klik Tambahkan File dan telusuri ke .jic Anda file.
Gambar 13. Program .jic

Pemrograman file

Program/ Konfigurasi

JTAG rantai pindai
4. Hapus pilihan kotak yang terkait dengan gambar Helper. 5. Pilih Program/Configure untuk output .jic file. 6. Nyalakan tombol Start untuk memprogram memori flash SPI quad Anda. 7. Matikan daya papan Anda. Desain yang diprogram ke memori flash SPI quad
perangkat selanjutnya dimuat ke dalam FPGA target.
Anda harus membuat dan memprogram keseluruhan citra pemrograman flash untuk menambahkan partisi PUF ke flash SPI quad.
Ketika partisi PUF sudah ada di flash, Anda dapat menggunakan Intel Quartus Prime Programmer untuk langsung mengakses data pembantu PUF dan kunci yang dibungkus files. Misalnyaample, jika aktivasi tidak berhasil, ada kemungkinan untuk mendaftarkan ulang PUF, membungkus ulang kunci AES, dan selanjutnya hanya memprogram PUF files tanpa harus menimpa seluruh flash.

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 40

Kirim Masukan

4. Penyediaan Perangkat 683823 | 2023.05.23
Programmer Intel Quartus Prime mendukung argumen operasi berikut untuk PUF files dalam partisi PUF yang sudah ada sebelumnya:
· p: program
· v: verifikasi
· r: menghapus
· b: cek kosong
Anda harus mengikuti batasan yang sama untuk pendaftaran PUF, meskipun partisi PUF ada.
1. Gunakan argumen operasi i untuk memuat gambar pembantu firmware penyediaan untuk operasi pertama. Misalnyaample, urutan perintah berikut mendaftarkan ulang PUF, membungkus ulang kunci root AES, menghapus data pembantu PUF lama dan kunci yang dibungkus, lalu memprogram dan memverifikasi data pembantu PUF baru dan kunci root AES.
kuartus_pgm -c 1 -mjtag -o “ei;puf baru;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;kunci baru;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;puf baru” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;puf baru” quartus_pgm -c 1 -mjtag -o “v;kunci baru”
4.9.2.4. Menanyakan Status Aktivasi PUF ID Intrinsik
Setelah Anda mendaftarkan ID Intrinsik PUF, bungkus kunci AES, hasilkan pemrograman flash files, dan memperbarui quad SPI flash, Anda menghidupkan ulang perangkat Anda untuk memicu aktivasi dan konfigurasi PUF dari bitstream terenkripsi. SDM melaporkan status aktivasi PUF beserta status konfigurasinya. Jika aktivasi PUF gagal, SDM akan melaporkan status kesalahan PUF. Gunakan perintah quartus_pgm untuk menanyakan status konfigurasi.
1. Gunakan perintah berikut untuk menanyakan status aktivasi:
kuartus_pgm -c 1 -mjtag –status –status_type=”KONFIGURASI”
Ini dia sampOutput dari aktivasi yang berhasil:
Info (21597): Respons dari CONFIG_STATUS Perangkat berjalan dalam mode pengguna 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Versi C000007B MSEL=QSPI_NORMAL, nSTATUS=1, nCONFIG=1, VID=1,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Lokasi kesalahan 00000000 Rincian kesalahan Respons PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000500 USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
SKOR_DIAGNOSTIK_KEANDALAN=5, MODE_UJI=0 00000500 STATUS_UDS_IID=AKTIFASI_PUF_BERHASIL,
SKOR_DIAGNOSTIK_KEANDALAN=5, MODE_UJI=0

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 41

4. Penyediaan Perangkat 683823 | 2023.05.23

Jika Anda hanya menggunakan IID PUF atau UDS IID PUF, dan belum memprogram data pembantu .puf file untuk salah satu PUF di flash QSPI, PUF tersebut tidak diaktifkan dan status PUF mencerminkan bahwa data pembantu PUF tidak valid. Contoh berikutample menunjukkan status PUF saat data pembantu PUF tidak diprogram untuk PUF mana pun:
Respons dari PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
SKOR_DIAGNOSTIK_KEANDALAN=0, MODE_UJI=0 00000002 STATUS_UDS_IID=DATA_PUF_RUSAK,
SKOR_DIAGNOSTIK_KEANDALAN=0, MODE_UJI=0

4.9.2.5. Lokasi PUF dalam Memori Flash
Lokasi PUF file berbeda untuk desain yang mendukung RSU dan desain yang tidak mendukung fitur RSU.

Untuk desain yang tidak mendukung RSU, Anda harus menyertakan .puf dan .wkey files saat Anda membuat gambar flash yang diperbarui. Untuk desain yang mendukung RSU, SDM tidak menimpa bagian data PUF selama pembaruan gambar pabrik atau aplikasi.

Tabel 2.

Tata Letak Sub-Partisi Flash tanpa Dukungan RSU

Offset Flash (dalam byte)

Ukuran (dalam byte)

Isi

Keterangan

0 ribu 256 ribu

256 ribu 256 ribu

Firmware Manajemen Konfigurasi Firmware Manajemen Konfigurasi

Firmware yang berjalan pada SDM.

512 ribu

256 ribu

Firmware Manajemen Konfigurasi

768 ribu

256 ribu

Firmware Manajemen Konfigurasi

32 ribu

Salinan data PUF 0

Struktur data untuk menyimpan data pembantu PUF dan salinan kunci root AES yang dibungkus PUF 0

1 juta+32 ribu

32 ribu

Salinan data PUF 1

Struktur data untuk menyimpan data pembantu PUF dan salinan kunci root AES yang dibungkus PUF 1

Tabel 3.

Tata Letak Sub-Partisi Flash dengan Dukungan RSU

Offset Flash (dalam byte)

Ukuran (dalam byte)

Isi

Keterangan

0 ribu 512 ribu

512 ribu 512 ribu

Firmware keputusan Firmware keputusan

Firmware untuk mengidentifikasi dan memuat gambar dengan prioritas tertinggi.

1 juta 1.5 juta

512 ribu 512 ribu

Firmware keputusan Firmware keputusan

8 ribu + 24 ribu

Data firmware keputusan

Lapisan

Dicadangkan untuk penggunaan firmware Keputusan.

2 juta + 32 ribu

32 ribu

Dicadangkan untuk SDM

Dicadangkan untuk SDM.

2 juta + 64 ribu

Variabel

Gambar pabrik

Citra sederhana yang Anda buat sebagai cadangan jika semua citra aplikasi lain gagal dimuat. Citra ini mencakup CMF yang berjalan pada SDM.

Berikutnya

32 ribu

Salinan data PUF 0

Struktur data untuk menyimpan data pembantu PUF dan salinan kunci root AES yang dibungkus PUF 0
lanjutan…

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 42

Kirim Masukan

4. Penyediaan Perangkat 683823 | 2023.05.23

Offset Flash (dalam byte)

Ukuran (dalam byte)

Berikutnya +32K 32K

Isi salinan data PUF 1

Berikutnya + 256K 4K Berikutnya +32K 4K Berikutnya +32K 4K

Salinan tabel sub-partisi 0 Salinan tabel sub-partisi 1 Salinan blok penunjuk CMF 0

Berikutnya +32K _

Salinan blok penunjuk CMF 1

Variabel Variabel

Gambar aplikasi 1 Gambar aplikasi 2

4.9.3. Penyediaan Kunci Hitam

Keterangan
Struktur data untuk menyimpan data pembantu PUF dan salinan kunci root AES yang dibungkus PUF 1
Struktur data untuk memfasilitasi pengelolaan penyimpanan flash.
Daftar petunjuk ke gambar aplikasi dalam urutan prioritas. Saat Anda menambahkan gambar, gambar tersebut menjadi yang tertinggi.
Salinan kedua dari daftar petunjuk ke gambar aplikasi.
Gambar aplikasi pertama Anda.
Gambar aplikasi kedua Anda.

Catatan:

Programmer Intel Quartus Prime membantu dalam membangun koneksi aman yang saling diautentikasi antara perangkat Intel Agilex 7 dan layanan penyediaan kunci hitam. Koneksi aman dibangun melalui https dan memerlukan beberapa sertifikat yang diidentifikasi menggunakan teks file.
Saat menggunakan Black Key Provisioning, Intel menyarankan agar Anda menghindari menghubungkan pin TCK secara eksternal untuk menarik atau menurunkan resistor saat masih menggunakannya untuk JTAG. Namun, Anda dapat menghubungkan pin TCK ke catu daya VCCIO SDM menggunakan resistor 10 k. Panduan yang ada dalam Panduan Koneksi Pin untuk menghubungkan TCK ke resistor pull-down 1 k disertakan untuk meredam derau. Perubahan panduan ke resistor pull-up 10 k tidak memengaruhi perangkat secara fungsional. Untuk informasi lebih lanjut tentang menghubungkan pin TCK, lihat Panduan Koneksi Intel Agilex 7 Pin.
Thebkp_tls_ca_certcertificate mengautentikasi instansi layanan penyediaan kunci hitam Anda ke instansi pemrogram penyediaan kunci hitam Anda. Thebkp_tls_*certificates mengautentikasi instansi pemrogram penyediaan kunci hitam Anda ke instansi layanan penyediaan kunci hitam Anda.
Anda membuat teks file berisi informasi yang diperlukan bagi Programmer Intel Quartus Prime untuk terhubung ke layanan penyediaan kunci hitam. Untuk memulai penyediaan kunci hitam, gunakan antarmuka baris perintah Programmer untuk menentukan teks opsi penyediaan kunci hitam file. Penyediaan kunci hitam kemudian dilanjutkan secara otomatis. Untuk akses ke layanan penyediaan kunci hitam dan dokumentasi terkait, silakan hubungi Dukungan Intel.
Anda dapat mengaktifkan penyediaan kunci hitam menggunakan perintah quartus_pgm:
kuartus_pgm -c -M -perangkat –opsi_bkp=opsi_bkp.txt
Argumen perintah menentukan informasi berikut:

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 43

4. Penyediaan Perangkat 683823 | 2023.05.23

· -c: nomor kabel · -m: menentukan mode pemrograman seperti JTAG · –device: menentukan indeks perangkat pada JTAG rantai. Nilai default adalah 1. · –bkp_options: menentukan teks file berisi opsi penyediaan kunci hitam.
Informasi Terkait Panduan Koneksi Pin Keluarga Perangkat Intel Agilex 7

4.9.3.1. Opsi Penyediaan Kunci Hitam
Opsi penyediaan kunci hitam adalah teks file diteruskan ke Programmer melalui perintah quartus_pgm. file berisi informasi yang diperlukan untuk memicu penyediaan kunci hitam.
Berikut ini adalah contohampfile dari bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem bkp_tls_prog_key_pass = 1234 bkp_proxy_address = https://192.167.5.5:5000 bkp_proxy_user = pengguna_proxy kata sandi_proxy bkp = kata sandi_proxy

Tabel 4.

Opsi Penyediaan Kunci Hitam
Tabel ini menampilkan opsi yang diperlukan untuk memicu penyediaan kunci hitam.

Nama Opsi

Jenis

Keterangan

bkp_ip

Diperlukan

Menentukan alamat IP server yang menjalankan layanan penyediaan kunci hitam.

bkp_pelabuhan

Diperlukan

Menentukan port layanan penyediaan kunci hitam yang diperlukan untuk terhubung ke server.

bkp_cfg_id

Diperlukan

Mengidentifikasi ID aliran konfigurasi penyediaan kunci hitam.
Layanan penyediaan kunci hitam membuat alur konfigurasi penyediaan kunci hitam termasuk kunci akar AES, pengaturan eFuse yang diinginkan, dan opsi otorisasi penyediaan kunci hitam lainnya. Nomor yang ditetapkan selama penyiapan layanan penyediaan kunci hitam mengidentifikasi alur konfigurasi penyediaan kunci hitam.
Catatan: Beberapa perangkat dapat merujuk ke alur konfigurasi layanan penyediaan kunci hitam yang sama.

sertifikat bkp_tls_ca

Diperlukan

Sertifikat TLS root digunakan untuk mengidentifikasi layanan penyediaan kunci hitam untuk Intel Quartus Prime Programmer (Programmer). Otoritas Sertifikat tepercaya untuk instans layanan penyediaan kunci hitam menerbitkan sertifikat ini.
Jika Anda menjalankan Programmer di komputer dengan sistem operasi Microsoft® Windows® (Windows), Anda harus menginstal sertifikat ini di penyimpanan sertifikat Windows.

sertifikat_prog_tls_bkp

Diperlukan

Sertifikat yang dibuat untuk instansi Pemrogram penyediaan kunci hitam (Pemrogram BKP). Ini adalah sertifikat klien https yang digunakan untuk mengidentifikasi instansi pemrogram BKP ini.
lanjutan…

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 44

Kirim Masukan

4. Penyediaan Perangkat 683823 | 2023.05.23

Nama Opsi

Jenis

kunci_prog_tls_bkp

Diperlukan

bkp_tls_prog_key_pass Opsional

alamat_proxy_bkp pengguna_proxy_bkp kata sandi_proxy_bkp

Opsional Opsional Opsional

Keterangan
ke layanan penyediaan kunci hitam. Anda harus memasang dan mengesahkan sertifikat ini di layanan penyediaan kunci hitam sebelum memulai sesi penyediaan kunci hitam. Jika Anda menjalankan Programmer di Windows, opsi ini tidak tersedia. Dalam kasus ini, bkp_tls_prog_key sudah menyertakan sertifikat ini.
Kunci pribadi yang sesuai dengan sertifikat BKP Programmer. Kunci tersebut memvalidasi identitas instansi BKP Programmer ke layanan penyediaan kunci hitam. Jika Anda menjalankan Programmer di Windows, .pfx file menggabungkan sertifikat bkp_tls_prog_cert dan kunci pribadi. Opsi bkp_tlx_prog_key meneruskan .pfx file di dalam bkp_options.txt file.
Kata sandi untuk kunci pribadi bkp_tls_prog_key. Tidak diperlukan dalam teks opsi konfigurasi penyediaan kunci hitam (bkp_options.txt) file.
Menentukan server proxy URL alamat.
Menentukan nama pengguna server proksi.
Menentukan kata sandi autentikasi proksi.

4.10. Mengonversi Kunci Root Pemilik, Sertifikat Kunci Root AES, dan Fuse files untuk Jam STAPL File Format

Anda dapat menggunakan perintah baris perintah quartus_pfg untuk mengonversi .qky, kunci root AES .ccert, dan .fuse files untuk Jam Format STAPL File (.jam) dan Format Kode Byte Jam File (.jbc). Anda dapat menggunakan ini fileuntuk memprogram Intel FPGA menggunakan Jam STAPL Player dan Jam STAPL Byte-Code Player.

Sebuah .jam atau .jbc tunggal berisi beberapa fungsi termasuk konfigurasi dan program gambar pembantu firmware, cek kosong, dan verifikasi pemrograman kunci dan sekering.

Peringatan:

Saat Anda mengonversi kunci root AES .ccert file ke format .jam, .jam file berisi kunci AES dalam bentuk teks biasa tetapi dikaburkan. Oleh karena itu, Anda harus melindungi .jam file saat menyimpan kunci AES. Anda dapat melakukannya dengan menyediakan kunci AES di lingkungan yang aman.

Ini mantanampBerikut ini adalah beberapa perintah konversi quartus_pfg:

Bahasa Indonesia: quartus_pfg -c -o perangkat_bantu=AGFB014R24A “root0.qky;root1.qky;root2.qky” Kunci_Akar.jam quartus_pfg -c -o perangkat_bantu=AGFB014R24A “root0.qky;root1.qky;root2.qky” Kunci_Akar.jbc quartus_pfg -c -o perangkat_bantu=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o perangkat_bantu=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o perangkat_bantu=AGFB014R24A pengaturan.sekring pengaturan_sekring.jam quartus_pfg -c -o perangkat_bantu=AGFB014R24A pengaturan.sekring pengaturan_sekering.jbc

Untuk informasi lebih lanjut tentang penggunaan Jam STAPL Player untuk pemrograman perangkat, lihat AN 425: Menggunakan Solusi Jam STAPL Baris Perintah untuk Pemrograman Perangkat.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 45

4. Penyediaan Perangkat 683823 | 2023.05.23
Jalankan perintah berikut untuk memprogram kunci publik root pemilik dan kunci enkripsi AES:
//Untuk memuat bitstream pembantu ke dalam FPGA. // Bitstream pembantu menyertakan firmware ketentuan quartus_jli -c 1 -a KONFIGURASI RootKey.jam
//Untuk memprogram kunci publik root pemilik ke dalam eFuses virtual quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Untuk memprogram kunci publik root pemilik ke eFuses fisik quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Untuk memprogram kunci publik root pemilik PR ke dalam eFuses virtual quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Untuk memprogram kunci publik root pemilik PR ke dalam eFuses fisik quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Untuk memprogram kunci enkripsi AES CCERT ke dalam BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Untuk memprogram kunci enkripsi AES CCERT ke dalam eFuses fisik quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Informasi Terkait AN 425: Menggunakan Solusi STAPL Command-Line Jam untuk Pemrograman Perangkat

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 46

Kirim Masukan

683823 | 2023.05.23 Kirim Umpan Balik

Fitur Lanjutan

5.1. Otorisasi Debug Aman
Untuk mengaktifkan Otorisasi Debug Aman, pemilik debug perlu membuat pasangan kunci autentikasi dan menggunakan Programmer Intel Quartus Prime Pro untuk membuat informasi perangkat file untuk perangkat yang menjalankan citra debug:
kuartus_pgm -c 1 -mjtag -o “ei;info_perangkat.txt;AGFB014R24A” –dev_info
Pemilik perangkat menggunakan alat quartus_sign atau implementasi referensi untuk menambahkan entri kunci publik bersyarat ke rantai tanda tangan yang ditujukan untuk operasi debug menggunakan kunci publik dari pemilik debug, otorisasi yang diperlukan, teks informasi perangkat file, dan pembatasan lebih lanjut yang berlaku:
quartus_sign –family=agilex –operasi=tambahkan_kunci –pem_sebelumnya=debug_chain_private.pem –qky_sebelumnya=debug_chain.qky –izin=0x6 –batal=1 –dev_info=info_perangkat.txt –pembatasan=”1,2,17,18″ –pem_input=debug_authorization_public_key.pem secure_debug_auth_chain.qky
Pemilik perangkat mengirimkan rantai tanda tangan lengkap kembali ke pemilik debug, yang menggunakan rantai tanda tangan dan kunci pribadi mereka untuk menandatangani gambar debug:
quartus_sign –family=agilex –operasi=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Anda dapat menggunakan perintah quartus_pfg untuk memeriksa rantai tanda tangan setiap bagian dari bitstream debug aman yang ditandatangani ini sebagai berikut:
quartus_pfg –check_integrity desain_debug_yang_diotorisasi.rbf
Output dari perintah ini mencetak nilai pembatasan 1,2,17,18 dari kunci publik bersyarat yang digunakan untuk menghasilkan aliran bit yang ditandatangani.
Pemilik debug kemudian dapat memprogram desain debug yang diotorisasi dengan aman:
kuartus_pgm -c 1 -mjtag -o “p;desain_debug_resmi.rbf”
Pemilik perangkat dapat mencabut otorisasi debug aman dengan membatalkan ID pembatalan kunci eksplisit yang ditetapkan dalam rantai tanda tangan otorisasi debug aman.
5.2. Sertifikat Debug HPS
Mengaktifkan hanya akses resmi ke port akses debug HPS (DAP) melalui JTAG antarmuka memerlukan beberapa langkah:

ISO 9001: 2015 Terdaftar

5. Fitur Lanjutan 683823 | 2023.05.23
1. Klik menu Penugasan perangkat lunak Intel Quartus Prime, lalu pilih tab Konfigurasi Opsi Perangkat dan Pin.
2. Pada tab Konfigurasi, aktifkan port akses debug HPS (DAP) dengan memilih Pin HPS atau Pin SDM dari menu tarik-turun, dan pastikan kotak centang Izinkan debug HPS tanpa sertifikat tidak dipilih.
Gambar 14. Tentukan Pin HPS atau SDM untuk DAP HPS

Port akses debug HPS (DAP)
Atau, Anda dapat mengatur tugas di bawah ini di Pengaturan Quartus Prime .qsf file:
set_global_assignment -nama HPS_DAP_SPLIT_MODE “PIN SDM”
3. Kompilasi dan muat desain dengan pengaturan ini. 4. Buat rantai tanda tangan dengan izin yang sesuai untuk menandatangani debug HPS
sertifikat:
quartus_sign –family=agilex –operasi=tambahkan_kunci –pem_sebelumnya=root_private.pem –qky_sebelumnya=root.qky –izin=0x8 –batal=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_chain.qky
5. Minta sertifikat debug HPS yang tidak ditandatangani dari perangkat tempat desain debug dimuat:
kuartus_pgm -c 1 -mjtag -o “e;sertifikat_hps_debug yang tidak ditandatangani;AGFB014R24A”
6. Tanda tangani sertifikat debug HPS yang tidak ditandatangani menggunakan alat quartus_sign atau implementasi referensi dan rantai tanda tangan debug HPS:
quartus_sign –family=agilex –operasi=tanda –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 48

Kirim Masukan

5. Fitur Lanjutan 683823 | 2023.05.23
7. Kirim kembali sertifikat debug HPS yang telah ditandatangani ke perangkat untuk mengaktifkan akses ke port akses debug HPS (DAP):
kuartus_pgm -c 1 -mjtag -o “p;signed_hps_debug.cert”
Sertifikat debug HPS hanya berlaku sejak dibuat hingga perangkat dihidupkan ulang atau hingga jenis atau versi firmware SDM yang berbeda dimuat. Anda harus membuat, menandatangani, dan memprogram sertifikat debug HPS yang telah ditandatangani, dan melakukan semua operasi debug, sebelum menghidupkan ulang perangkat. Anda dapat membatalkan sertifikat debug HPS yang telah ditandatangani dengan menghidupkan ulang perangkat.
5.3. Pengesahan Platform
Anda dapat membuat manifest integritas referensi (.rim) file menggunakan pemrograman file alat pembangkit:
quartus_pfg -c ditandatangani_terenkripsi_atas.rbf atas_rim.rim
Ikuti langkah-langkah berikut untuk memastikan pengesahan platform dalam desain Anda: 1. Gunakan Intel Quartus Prime Pro Programmer untuk mengonfigurasi perangkat Anda dengan
desain yang Anda buat manifes integritas referensinya. 2. Gunakan verifikator pengesahan platform untuk mendaftarkan perangkat dengan mengeluarkan perintah ke
SDM melalui kotak surat SDM untuk membuat sertifikat ID perangkat dan sertifikat firmware saat memuat ulang. 3. Gunakan Intel Quartus Prime Pro Programmer untuk mengonfigurasi ulang perangkat Anda dengan desain. 4. Gunakan pemeriksa pengesahan platform untuk mengeluarkan perintah ke SDM guna mendapatkan ID perangkat pengesahan, firmware, dan sertifikat alias. 5. Gunakan pemeriksa pengesahan untuk mengeluarkan perintah kotak surat SDM guna mendapatkan bukti pengesahan dan pemeriksa memeriksa bukti yang dikembalikan.
Anda dapat menerapkan layanan verifikasi Anda sendiri menggunakan perintah kotak surat SDM, atau menggunakan layanan verifikasi pengesahan platform Intel. Untuk informasi lebih lanjut tentang perangkat lunak, ketersediaan, dan dokumentasi layanan verifikasi pengesahan platform Intel, hubungi Dukungan Intel.
Informasi Terkait Panduan Koneksi Pin Keluarga Perangkat Intel Agilex 7
5.4. Antibodi Fisikamper
Anda mengaktifkan anti-t fisikampfitur er menggunakan langkah-langkah berikut: 1. Memilih respons yang diinginkan terhadap t yang terdeteksiamper event 2. Mengkonfigurasi t yang diinginkanampmetode dan parameter deteksi er 3. Termasuk anti-tamper IP dalam logika desain Anda untuk membantu mengelola anti-tamper
Peristiwa

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 49

5. Fitur Lanjutan 683823 | 2023.05.23
5.4.1. Anti-TampRespons er
Anda mengaktifkan anti-t fisikamper dengan memilih respon dari Anti-tamprespon: daftar dropdown pada Perangkat Tugas Perangkat dan Opsi Pin Keamanan Anti-Tamptab er. Secara default, anti-tampRespons er dinonaktifkan. Lima kategori anti-tampRespons yang tersedia. Saat Anda memilih respons yang diinginkan, opsi untuk mengaktifkan satu atau beberapa metode deteksi akan diaktifkan.
Gambar 15. Antibodi Antibodi yang TersediaampOpsi Respons

Penugasan yang sesuai dalam pengaturan Quartus Prime .gsf file adalah sebagai berikut:
tetapkan_penugasan_global -nama ANTI_TAMPER_RESPONSE “PEMBERITAHUAN PERANGKAT MENGHAPUS PERANGKAT YANG TERKUNCI DAN NOLISASI”
Ketika Anda mengaktifkan anti-tamprespon, Anda dapat memilih dua pin I/O SDM khusus yang tersedia untuk mengeluarkan perintah.ampDeteksi kejadian dan status respons menggunakan jendela Penugasan Perangkat dan Opsi Pin Konfigurasi Konfigurasi Opsi Pin.

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 50

Kirim Masukan

5. Fitur Lanjutan 683823 | 2023.05.23
Gambar 16. Pin I/O khusus SDM yang tersedia untuk TampDeteksi Peristiwa er

Anda juga dapat membuat penugasan pin berikut dalam pengaturan file: set_global_assignment -nama USE_TAMPER_DETECT SDM_IO15 tetapkan_penugasan_global -nama ANTI_TAMPER_RESPONS_GAGAL SDM_IO16

5.4.2. Anti-Tampeh Deteksi

Anda dapat mengaktifkan frekuensi, suhu, dan vol secara individualtagFitur deteksi SDM. Deteksi FPGA bergantung pada penyertaan Anti-Tamper Lite Intel FPGA IP dalam desain Anda.

Catatan:

Frekuensi dan vol SDMtagdanampMetode deteksi er bergantung pada referensi internal dan perangkat keras pengukuran yang dapat bervariasi di berbagai perangkat. Intel menyarankan agar Anda mengkarakterisasi perilaku perangkatamppengaturan deteksi er.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 51

5. Fitur Lanjutan 683823 | 2023.05.23
Frekuensi tampDeteksi er beroperasi pada sumber jam konfigurasi. Untuk mengaktifkan frekuensi tampUntuk mendeteksi, Anda harus menentukan opsi selain Internal Oscillator di menu dropdown Configuration clock source pada tab Assignments Device Device dan Pin Options General. Anda harus memastikan bahwa kotak centang Run configuration CPU from internal oscillator diaktifkan sebelum mengaktifkan frekuensi tampGambar 17. Pengaturan SDM ke Osilator Internal
Untuk mengaktifkan frekuensi tampdeteksi er, pilih Aktifkan frekuensi tampkotak centang deteksi er dan pilih Frekuensi yang diinginkanamprentang deteksi er dari menu dropdown. Gambar 18. Mengaktifkan Frekuensi Tampeh Deteksi

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 52

Kirim Masukan

5. Fitur Lanjutan 683823 | 2023.05.23
Atau, Anda dapat mengaktifkan Frekuensi TampDeteksi dengan membuat perubahan berikut pada Pengaturan Quartus Prime .qsf file:
set_global_assignment -nama KONFIGURASI_MULAI_ULANG_OTOMATIS MATI set_global_assignment -nama JAM_INISIALISASI_PERANGKAT OSC_CLK_1_100MHZ set_global_assignment -nama JALANKAN_KONFIGURASI_CPU_DARI_INT_OSC HIDUP set_global_assignment -nama AKTIFKAN_FREKUENSI_TAMPER_DETEKSI PADA set_global_assignment -nama FREKUENSI_TAMPJARAK_DETEKSI_ER 35
Untuk mengaktifkan suhu tampdeteksi suhu, pilih Aktifkan suhuampkotak centang deteksi suhu dan pilih batas atas dan bawah suhu yang diinginkan di bidang yang sesuai. Batas atas dan bawah diisi secara default dengan rentang suhu terkait untuk perangkat yang dipilih dalam desain.
Untuk mengaktifkan jilidtagdanampdeteksi er, Anda memilih salah satu atau kedua dari Aktifkan VCCL voltagdanampdeteksi er atau Aktifkan VCCL_SDM voltagdanampcentang deteksi er dan pilih Vol yang diinginkantagdanamppemicu deteksi er persentage pada kolom yang sesuai.
Gambar 19. Mengaktifkan Vol.tagdan Tampeh Deteksi

Atau, Anda dapat mengaktifkan Voltagdan TampDeteksi er dengan menentukan tugas berikut dalam .qsf file:
set_global_assignment -nama AKTIFKAN_SUHU_TAMPER_DETEKSI PADA set_global_assignment -nama SUHU_TAMPER_UPPER_BOUND 100 set_penugasan_global -nama AKTIFKAN_VCCL_VOLTAGE_TAMPER_DETEKSI PADA set_global_assignment -nama AKTIFKAN_VCCL_SDM_VOLTAGE_TAMPER_DETEKSI AKTIF
5.4.3. Anti-TampIntel FPGA IP Lite
Anti-Tamper Lite Intel FPGA IP, tersedia dalam katalog IP dalam perangkat lunak Intel Quartus Prime Pro Edition, memfasilitasi komunikasi dua arah antara desain Anda dan SDM untuk tamper acara.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 53

Gambar 20. Anti-TampIntel FPGA IP Lite

5. Fitur Lanjutan 683823 | 2023.05.23

IP menyediakan sinyal berikut yang dapat Anda hubungkan ke desain Anda sesuai kebutuhan:

Tabel 5.

Anti-TampSinyal I/O IP Intel FPGA Lite

Nama Sinyal

Arah

Keterangan

gpo_sdm_di_acara gpi_fpga_di_acara

Masukan Keluaran

Sinyal SDM ke logika jaringan FPGA yang telah dideteksi oleh SDM diampperistiwa er. Logika FPGA memiliki waktu sekitar 5 ms untuk melakukan pembersihan yang diinginkan dan menanggapi SDM melalui gpi_fpga_at_response_done dan gpi_fpga_at_zeroization_done. SDM melanjutkan dengan tamptindakan respons ketika gpi_fpga_at_response_done ditetapkan atau setelah tidak ada respons yang diterima dalam waktu yang ditentukan.
Interupsi FPGA ke SDM yang Anda rancang anti-tamprangkaian deteksi er telah mendeteksi diampacara er dan SDM tampRespons er seharusnya dipicu.

gpi_fpga_saat_respons_selesai

Masukan

FPGA menginterupsi SDM bahwa logika FPGA telah melakukan pembersihan yang diinginkan.

gpi_fpga_at_zeroization_d satu

Masukan

Sinyal FPGA ke SDM bahwa logika FPGA telah menyelesaikan zeroisasi data desain yang diinginkan. Sinyal ini adalah sampdipimpin saat gpi_fpga_at_response_done dinyatakan.

5.4.3.1. Informasi Rilis

Nomor skema versi IP (XYZ) berubah dari satu versi perangkat lunak ke versi lainnya. Perubahan pada:
· X menunjukkan revisi besar IP. Jika Anda memperbarui perangkat lunak Intel Quartus Prime, Anda harus membuat ulang IP tersebut.
· Y menunjukkan IP menyertakan fitur baru. Regenerasi IP Anda untuk memasukkan fitur-fitur baru ini.
· Z menunjukkan IP termasuk perubahan kecil. Regenerasi IP Anda untuk menyertakan perubahan ini.

Tabel 6.

Anti-TampInformasi Rilis IP Intel FPGA er Lite

Versi IP

Barang

Deskripsi 20.1.0

Versi Intel Quartus Prime

21.2

Tanggal Rilis

2021.06.21

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 54

Kirim Masukan

5. Fitur Lanjutan 683823 | 2023.05.23
5.5. Menggunakan Fitur Keamanan Desain dengan Pembaruan Sistem Jarak Jauh
Pembaruan Sistem Jarak Jauh (RSU) adalah fitur FPGA Intel Agilex 7 yang membantu memperbarui konfigurasi filedengan cara yang kuat. RSU kompatibel dengan fitur keamanan desain seperti autentikasi, penandatanganan bersama firmware, dan enkripsi bitstream karena RSU tidak bergantung pada konten desain bitstream konfigurasi.
Membangun Gambar RSU dengan .sof Files
Jika Anda menyimpan kunci pribadi di lokal Anda filesistem, Anda dapat menghasilkan gambar RSU dengan fitur keamanan desain menggunakan aliran yang disederhanakan dengan .sof files sebagai input. Untuk menghasilkan gambar RSU dengan ekstensi .sof file, Anda dapat mengikuti petunjuk di Bagian Menghasilkan Gambar Pembaruan Sistem Jarak Jauh Files Menggunakan Pemrograman File Pembuat Panduan Pengguna Konfigurasi Intel Agilex 7. Untuk setiap .sof file ditentukan pada Input Filetab, klik tombol Properties… dan tentukan pengaturan dan kunci yang sesuai untuk alat penandatanganan dan enkripsi. Pemrograman file alat generator secara otomatis menandatangani dan mengenkripsi gambar pabrik dan aplikasi saat membuat pemrograman RSU files.
Atau, jika Anda menyimpan kunci pribadi di HSM, Anda harus menggunakan alat quartus_sign dan oleh karena itu menggunakan .rbf files. Sisa bagian ini merinci perubahan dalam aliran untuk menghasilkan gambar RSU dengan .rbf files sebagai input. Anda harus mengenkripsi dan menandatangani format .rbf filesebelum memilihnya sebagai input files untuk gambar RSU; namun, info boot RSU file tidak boleh dienkripsi dan hanya boleh ditandatangani. Pemrograman File Generator tidak mendukung modifikasi properti format .rbf files.
Berikut ini contohnyaamples menunjukkan modifikasi yang diperlukan pada perintah di Bagian Menghasilkan Gambar Pembaruan Sistem Jarak Jauh Files Menggunakan Pemrograman File Pembuat Panduan Pengguna Konfigurasi Intel Agilex 7.
Membuat Citra RSU Awal Menggunakan .rbf Files: Modifikasi Perintah
Dari Menghasilkan Citra RSU Awal Menggunakan .rbf FileBagian 1, ubah perintah pada Langkah XNUMX. untuk mengaktifkan fitur keamanan desain sebagaimana diinginkan menggunakan petunjuk dari bagian sebelumnya dalam dokumen ini.
Misalnyaample, Anda akan menentukan firmware yang ditandatangani file jika Anda menggunakan firmware cosigning, maka gunakan alat enkripsi Quartus untuk mengenkripsi setiap .rbf file, dan akhirnya menggunakan alat quartus_sign untuk menandatangani masing-masing file.
Pada langkah 2, jika Anda telah mengaktifkan penandatanganan bersama firmware, Anda harus menggunakan opsi tambahan dalam pembuatan boot .rbf dari citra pabrik file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=AKTIF -o fw_source=signed_agilex.zip
Setelah Anda membuat info boot .rbf file, gunakan alat quartus_sign untuk menandatangani .rbf fileAnda tidak boleh mengenkripsi info boot .rbf file.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 55

5. Fitur Lanjutan 683823 | 2023.05.23
Membuat Gambar Aplikasi: Modifikasi Perintah
Untuk menghasilkan gambar aplikasi dengan fitur keamanan desain, Anda memodifikasi perintah dalam Menghasilkan Gambar Aplikasi untuk menggunakan .rbf dengan fitur keamanan desain diaktifkan, termasuk firmware yang ditandatangani bersama jika diperlukan, alih-alih aplikasi asli .sof file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf aplikasi_rsu_terjamin.rpd -o mode=ASX4 -o bitswap=AKTIF
Membuat Gambar Pembaruan Pabrik: Modifikasi Perintah
Setelah Anda membuat info boot .rbf file, Anda menggunakan alat quartus_sign untuk menandatangani .rbf fileAnda tidak boleh mengenkripsi info boot .rbf file.
Untuk menghasilkan citra pembaruan pabrik RSU, Anda mengubah perintah dari Menghasilkan Citra Pembaruan Pabrik untuk menggunakan .rbf file dengan fitur keamanan desain diaktifkan dan menambahkan opsi untuk menunjukkan penggunaan firmware yang ditandatangani bersama:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secure_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=AKTIF -o rsu_upgrade=AKTIF -o fw_source=signed_agilex.zip
Informasi Terkait Panduan Pengguna Konfigurasi Intel Agilex 7
5.6. Layanan Kriptografi SDM
SDM pada perangkat Intel Agilex 7 menyediakan layanan kriptografi yang dapat diminta oleh logika jaringan FPGA atau HPS melalui antarmuka kotak surat SDM masing-masing. Untuk informasi lebih lanjut tentang perintah kotak surat dan format data untuk semua layanan kriptografi SDM, lihat Lampiran B dalam Panduan Pengguna Metodologi Keamanan untuk FPGA Intel dan ASIC Terstruktur.
Untuk mengakses antarmuka kotak surat SDM ke logika struktur FPGA untuk layanan kriptografi SDM, Anda harus membuat instansiasi IP Intel FPGA Klien Kotak Surat dalam desain Anda.
Kode referensi untuk mengakses antarmuka kotak surat SDM dari HPS disertakan dalam kode ATF dan Linux yang disediakan oleh Intel.
Informasi Terkait Panduan Pengguna IP FPGA Intel Mailbox Client
5.6.1. Boot Resmi Vendor
Intel menyediakan implementasi referensi untuk perangkat lunak HPS yang menggunakan fitur boot resmi vendor untuk mengautentikasi perangkat lunak boot HPS sejak awal.tagBoot loader hingga ke kernel Linux.
Informasi Terkait Desain Demo Boot Aman Intel Agilex 7 SoC

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 56

Kirim Masukan

5. Fitur Lanjutan 683823 | 2023.05.23
5.6.2. Layanan Objek Data Aman
Anda mengirim perintah melalui kotak surat SDM untuk melakukan enkripsi dan dekripsi objek SDOS. Anda dapat menggunakan fitur SDOS setelah menyediakan kunci root SDOS.
Informasi Terkait Penyediaan Kunci Root Layanan Objek Data Aman di halaman 30
5.6.3. Layanan Kriptografi Primitif SDM
Anda mengirim perintah melalui kotak surat SDM untuk memulai operasi layanan primitif kriptografi SDM. Beberapa layanan primitif kriptografi mengharuskan lebih banyak data ditransfer ke dan dari SDM daripada yang dapat diterima oleh antarmuka kotak surat. Dalam kasus ini, perintah format berubah untuk menyediakan petunjuk ke data dalam memori. Selain itu, Anda harus mengubah instansiasi IP FPGA Intel Mailbox Client untuk menggunakan layanan primitif kriptografi SDM dari logika jaringan FPGA. Anda juga harus menyetel parameter Enable Crypto Service ke 1 dan menghubungkan antarmuka initiator AXI yang baru diekspos ke memori dalam desain Anda.
Gambar 21. Mengaktifkan Layanan Kriptografi SDM di Mailbox Client Intel FPGA IP

5.7. Pengaturan Keamanan Bitstream (FM/S10)
Opsi Keamanan Bitstream FPGA adalah kumpulan kebijakan yang membatasi fitur atau mode operasi tertentu dalam periode yang ditentukan.
Opsi Keamanan Bitstream terdiri dari tanda yang Anda tetapkan dalam perangkat lunak Intel Quartus Prime Pro Edition. Tanda ini secara otomatis disalin ke bitstream konfigurasi.
Anda dapat menerapkan opsi keamanan secara permanen pada perangkat melalui penggunaan pengaturan keamanan eFuse yang sesuai.
Untuk menggunakan pengaturan keamanan apa pun dalam bitstream konfigurasi atau eFuse perangkat, Anda harus mengaktifkan fitur autentikasi.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 57

5. Fitur Lanjutan 683823 | 2023.05.23
5.7.1. Memilih dan Mengaktifkan Opsi Keamanan
Bahasa Indonesia: Untuk memilih dan mengaktifkan opsi keamanan, lakukan hal berikut: Dari menu Penugasan, pilih Perangkat Perangkat dan Opsi Pin Keamanan Opsi Lainnya… Gambar 22. Memilih dan Mengaktifkan Opsi Keamanan

Dan kemudian pilih nilai dari daftar drop-down untuk opsi keamanan yang ingin Anda aktifkan seperti yang ditunjukkan pada contoh berikutampsaya:
Gambar 23. Memilih Nilai untuk Opsi Keamanan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 58

Kirim Masukan

5. Fitur Lanjutan 683823 | 2023.05.23
Berikut ini adalah perubahan yang sesuai dalam Pengaturan Quartus Prime .qsf file:
tetapkan_penugasan_global -nama SECU_OPTION_DISABLE_JTAG “PADA PERIKSA” set_penugasan_global -nama SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE “PADA STICKY” set_penugasan_global -nama SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC PADA set_penugasan_global -nama SECU_OPTION_NONAKTIFKAN_VIRTUAL_EFUSES PADA set_penugasan_global -nama SECU_OPTION_LOCK_SECURITY_EFUSES PADA set_penugasan_global -nama SECU_OPTION_NONAKTIFKAN_HPS_DEBUG PADA set_penugasan_global -nama SECU_OPTION_NONAKTIFKAN_ENCRYPTION_KEY_IN_EFUSES PADA set_penugasan_global -nama SECU_OPTION_NONAKTIFKAN_ENCRYPTION_KEY_IN_EFUSES PADA set_penugasan_global -nama SECU_OPTION_NONAKTIFKAN_KUNCI_ENKRIPSI_DI_EFUSES AKTIF set_penugasan_global -nama SECU_OPTION_NONAKTIFKAN_KUNCI_ENKRIPSI_DI_EFUSES AKTIF set_penugasan_global -nama SECU_OPTION_NONAKTIFKAN_KUNCI_ENKRIPSI_DI_BBRAM AKTIF set_penugasan_global -nama SECU_OPTION_NONAKTIFKAN_KUNCI_ENKRIPSI_PUF_WRAPPED_ON

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 59

683823 | 2023.05.23 Kirim Umpan Balik

Penyelesaian Masalah

Bab ini menjelaskan kesalahan umum dan pesan peringatan yang mungkin Anda temui saat mencoba menggunakan fitur keamanan perangkat dan tindakan untuk mengatasinya.
6.1. Menggunakan Perintah Quartus di Lingkungan Windows Error
Kesalahan quartus_pgm: perintah tidak ditemukan Deskripsi Kesalahan ini muncul saat mencoba menggunakan perintah Quartus di NIOS II Shell di lingkungan Windows dengan menggunakan WSL. Resolusi Perintah ini berfungsi di lingkungan Linux; Untuk host Windows, gunakan perintah berikut: quartus_pgm.exe -h Demikian pula, terapkan sintaksis yang sama ke perintah Quartus Prime lainnya seperti quartus_pfg, quartus_sign, quartus_encrypt di antara perintah lainnya.

ISO 9001: 2015 Terdaftar

6. Pemecahan Masalah 683823 | 2023.05.23

6.2. Membuat Peringatan Kunci Pribadi

Peringatan:

Kata sandi yang diberikan dianggap tidak aman. Intel menyarankan agar kata sandi digunakan minimal 13 karakter. Anda disarankan untuk mengubah kata sandi dengan menggunakan OpenSSL yang dapat dieksekusi.

openssl ec -masuk -keluar -aes256

Keterangan
Peringatan ini terkait dengan kekuatan kata sandi dan ditampilkan saat mencoba membuat kunci pribadi dengan mengeluarkan perintah berikut:

quartus_sign –keluarga=agilex –operasi=buat_privasi_pem –kurva=secp3841 root.pem

Resolusi Gunakan perintah openssl yang dapat dieksekusi untuk menentukan kata sandi yang lebih panjang dan lebih kuat.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 61

6. Pemecahan Masalah 683823 | 2023.05.23
6.3. Menambahkan Kunci Penandatanganan ke Proyek Quartus Kesalahan
Kesalahan …File berisi informasi kunci root…
Keterangan
Setelah menambahkan kunci penandatanganan .qky file ke proyek Quartus, Anda perlu merakit kembali .sof file. Saat Anda menambahkan .sof yang dibuat ulang ini file ke perangkat yang dipilih dengan menggunakan Quartus Programmer, pesan kesalahan berikut menunjukkan bahwa file berisi informasi kunci root:
Gagal menambahkanfile-path-name> ke Programmer. file berisi informasi kunci root (.qky). Namun, Programmer tidak mendukung fitur penandatanganan bitstream. Anda dapat menggunakan Pemrograman File Generator untuk mengkonversi file ke Raw Binary yang ditandatangani file (.rbf) untuk konfigurasi.
Resolusi
Gunakan Pemrograman Quartus file generator untuk mengubah file ke dalam Raw Binary yang ditandatangani File .rbf untuk konfigurasi.
Informasi Terkait Konfigurasi Penandatanganan Bitstream Menggunakan Perintah quartus_sign pada halaman 13

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 62

Kirim Masukan

6. Pemecahan Masalah 683823 | 2023.05.23
6.4. Pembuatan Quartus Prime Programming File Tidak Berhasil
Kesalahan
Kesalahan (20353): X kunci publik dari QKY tidak cocok dengan kunci privat dari PEM file.
Kesalahan (20352): Gagal menandatangani bitstream melalui skrip python agilex_sign.py.
Kesalahan: Pemrograman Quartus Prime File Generator tidak berhasil.
Deskripsi Jika Anda mencoba menandatangani bitstream konfigurasi menggunakan kunci pribadi yang salah .pem file atau .pem file yang tidak cocok dengan .qky yang ditambahkan ke proyek, kesalahan umum di atas akan ditampilkan. Resolusi Pastikan Anda menggunakan kunci privat .pem yang benar untuk menandatangani bitstream.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 63

6. Pemecahan Masalah 683823 | 2023.05.23
6.5. Kesalahan Argumen Tidak Diketahui
Kesalahan
Kesalahan (23028): Argumen “ûc” tidak dikenal. Lihat –help untuk argumen hukum.
Kesalahan (213008): String opsi pemrograman “ûp” tidak sah. Lihat –help untuk format opsi pemrograman yang sah.
Deskripsi Jika Anda menyalin dan menempelkan opsi baris perintah dari .pdf file pada Windows NIOS II Shell, Anda mungkin mengalami kesalahan argumen Tidak Dikenal seperti yang ditunjukkan di atas. Penyelesaian Dalam kasus seperti itu, Anda dapat memasukkan perintah secara manual alih-alih menempelkannya dari clipboard.

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 64

Kirim Masukan

6. Pemecahan Masalah 683823 | 2023.05.23
6.6. Kesalahan Opsi Enkripsi Bitstream Dinonaktifkan
Kesalahan
Tidak dapat menyelesaikan enkripsi untuk file desain .sof karena dikompilasi dengan opsi enkripsi bitstream dinonaktifkan.
Deskripsi Jika Anda mencoba mengenkripsi bitstream melalui GUI atau baris perintah setelah Anda mengkompilasi proyek dengan opsi enkripsi bitstream dinonaktifkan, Quartus menolak perintah seperti yang ditunjukkan di atas.
Resolusi Pastikan Anda mengompilasi proyek dengan opsi enkripsi bitstream yang diaktifkan baik melalui GUI atau baris perintah. Untuk mengaktifkan opsi ini di GUI, Anda harus mencentang kotak untuk opsi ini.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 65

6. Pemecahan Masalah 683823 | 2023.05.23
6.7. Menentukan Jalur yang Benar ke Kunci
Kesalahan
Kesalahan (19516): Pemrograman Terdeteksi File Kesalahan pengaturan generator: Tidak dapat menemukan 'key_file'. Pastikan file terletak di lokasi yang diharapkan atau perbarui pengaturan.sec
Kesalahan (19516): Pemrograman Terdeteksi File Kesalahan pengaturan generator: Tidak dapat menemukan 'key_file'. Pastikan file berada di lokasi yang diharapkan atau memperbarui pengaturan.
Keterangan
Jika Anda menggunakan kunci yang disimpan di file sistem, Anda perlu memastikan bahwa mereka menentukan jalur yang benar untuk kunci yang digunakan untuk enkripsi dan penandatanganan bitstream. Jika Pemrograman File Generator tidak dapat mendeteksi jalur yang benar, pesan kesalahan di atas ditampilkan.
Resolusi
Lihat Pengaturan Quartus Prime .qsf file untuk menemukan jalur yang benar untuk kunci. Pastikan Anda menggunakan jalur relatif, bukan jalur absolut.

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 66

Kirim Masukan

6. Pemecahan Masalah 683823 | 2023.05.23
6.8. Menggunakan Output yang Tidak Didukung File Jenis
Kesalahan
quartus_pfg -c desain.sof keluaran_file.ebf -o finalisasi_operasi=AKTIF -o qek_file=ae.qek -o penandatanganan=ON -o pem_file=tanda_pribadi.pem
Kesalahan (19511): Output tidak didukung file ketik (ebf). Gunakan opsi “-l” atau “–list” untuk menampilkan yang didukung file ketik informasi.
Deskripsi Saat menggunakan Pemrograman Quartus File Generator untuk menghasilkan bitstream konfigurasi terenkripsi dan ditandatangani, Anda mungkin melihat kesalahan di atas jika output tidak didukung file tipe ditentukan. Resolusi Gunakan opsi -l atau –list untuk melihat daftar yang didukung file jenis.

Kirim Masukan

Panduan Pengguna Keamanan Perangkat Intel Agilex® 7 67

683823 | 2023.05.23 Kirim Umpan Balik
7. Arsip Panduan Pengguna Keamanan Perangkat Intel Agilex 7
Untuk versi terbaru dan sebelumnya dari panduan pengguna ini, lihat Panduan Pengguna Intel Agilex 7 Device Security. Jika IP atau versi perangkat lunak tidak tercantum, panduan pengguna untuk IP atau versi perangkat lunak sebelumnya yang berlaku.

ISO 9001: 2015 Terdaftar

683823 | 2023.05.23 Kirim Umpan Balik

8. Riwayat Revisi untuk Panduan Pengguna Keamanan Perangkat Intel Agilex 7

Versi Dokumen 2023.05.23
Telepon 2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumen / Sumber Daya

Keamanan Perangkat Intel Agilex 7 [Bahasa Indonesia:] Panduan Pengguna
Keamanan Perangkat Agilex 7, Agilex 7, Keamanan Perangkat, Keamanan

Referensi

Panduan Pengguna

Keamanan Perangkat Intel Agilex 7

Informasi Produk

Petunjuk Penggunaan Produk

Pertanyaan yang Sering Diajukan

Keamanan Perangkat Berakhirview

Autentikasi dan Otorisasi

Enkripsi Bitstream AES

Penyediaan Perangkat

Fitur Lanjutan

Penyelesaian Masalah

Dokumen / Sumber Daya

Referensi

Tinggalkan komentar

Batalkan balasan