מדריך למשתמש של Intel Agilex 7 Device Security

אימות אבטחת זרם סיביות של הגדרה חלקית: מספק ביטחון נוסף לכך שזרמי סיביות של הגדרה חלקית (PR) לא יכולים לגשת או להפריע לזרמי סיביות אחרים של יחסי ציבור.

הרג עצמי של מכשיר לאנטי-T פיזיamper: מבצע מחיקת מכשיר או תגובת אפס התקן ומתכנת eFuses כדי למנוע מהמכשיר להגדיר שוב.

3. תיעוד אבטחה זמין

הטבלה הבאה מפרטת את התיעוד הזמין עבור תכונות אבטחה של התקנים בהתקני Intel FPGA ו-Structured ASIC:

שם המסמך	מַטָרָה
מתודולוגיית אבטחה עבור משתמשי Intel FPGA ו-Structured ASICs מַדְרִיך	מסמך ברמה העליונה המספק תיאורים מפורטים של תכונות וטכנולוגיות אבטחה בפתרונות מתכנתים של Intel מוצרים. עוזר למשתמשים לבחור את תכונות האבטחה הדרושות כדי לעמוד ביעדי האבטחה שלהם.
מדריך למשתמש של Intel Stratix 10 Device Security	הוראות למשתמשים במכשירי Intel Stratix 10 ליישום תכונות האבטחה שזוהו באמצעות מתודולוגיית האבטחה מדריך למשתמש.
מדריך למשתמש של Intel Agilex 7 Device Security	הוראות למשתמשים במכשירי Intel Agilex 7 ליישום תכונות האבטחה שזוהו באמצעות מתודולוגיית האבטחה מדריך למשתמש.
מדריך למשתמש של Intel eASIC N5X Device Security	הוראות למשתמשים במכשירי Intel eASIC N5X ליישום תכונות האבטחה שזוהו באמצעות מתודולוגיית האבטחה מדריך למשתמש.
שירותי קריפטוגרפיים של Intel Agilex 7 ו-Intel eASIC N5X HPS מדריך למשתמש	מידע למהנדסי תוכנה של HPS על ההטמעה ושימוש בספריות תוכנת HPS כדי לגשת לשירותי הצפנה מסופק על ידי SDM.
AN-968 Black Key Provisioning Service מדריך התחלה מהירה	השלם סט שלבים להגדרת הקצאת מפתח שחור שֵׁרוּת.

שאלות נפוצות

ש: מהי מטרת המדריך למשתמש של מתודולוגיית האבטחה?

ת: המדריך למשתמש של מתודולוגיית האבטחה מספק תיאורים מפורטים של תכונות וטכנולוגיות אבטחה במוצרי Intel Programmable Solutions. זה עוזר למשתמשים לבחור את תכונות האבטחה הדרושות כדי לעמוד ביעדי האבטחה שלהם.

ש: היכן אוכל למצוא את המדריך למשתמש של Intel Agilex 7 Device Security?

ת: ניתן למצוא את המדריך למשתמש של Intel Agilex 7 Device Security במרכז המשאבים והעיצוב של Intel webאֲתַר.

ש: מהו שירות הקצאת מפתח שחור?

ת: שירות הקצאת מפתח שחור הוא שירות המספק סט שלם של שלבים להגדרת הקצאת מפתח עבור פעולות מאובטחות.

View Fullscreen

מדריך למשתמש של Intel Agilex® 7 Device Security
עודכן עבור Intel® Quartus® Prime Design Suite: 23.1

גרסה מקוונת שלח משוב

UG-20335

683823 2023.05.23

מדריך למשתמש של Intel Agilex® 7 Device Security 2

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 3

683823 | 2023.05.23 שלח משוב
1. Intel Agilex® 7

אבטחת המכשיר הסתיימהview

Intel® מתכננת את התקני Intel Agilex® 7 עם חומרת אבטחה וקושחה ייעודיות, הניתנות להגדרה גבוהה.
מסמך זה מכיל הוראות שיעזרו לך להשתמש בתוכנת Intel Quartus® Prime Pro Edition כדי ליישם תכונות אבטחה במכשירי Intel Agilex 7 שלך.
בנוסף, מדריך למשתמש של מתודולוגיית האבטחה עבור Intel FPGAs ו-Structured ASICs זמינה במרכז המשאבים והעיצוב של Intel. מסמך זה מכיל תיאורים מפורטים של תכונות האבטחה והטכנולוגיות הזמינות באמצעות מוצרי Intel Programmable Solutions כדי לעזור לך לבחור את תכונות האבטחה הנחוצות כדי לעמוד ביעדי האבטחה שלך. פנה לתמיכה של Intel עם מספר סימוכין 14014613136 כדי לגשת למדריך למשתמש של מתודולוגיית האבטחה עבור Intel FPGAs ו-Structured ASICs.
המסמך מאורגן באופן הבא: · אימות והרשאה: מספק הוראות ליצירה
מפתחות אימות ושרשראות חתימות, החלת הרשאות וביטולים, חתום על אובייקטים ותוכניות תכונות אימות במכשירי Intel Agilex 7. · הצפנת AES Bitstream: מספקת הוראות ליצירת מפתח שורש AES, הצפנת זרמי סיביות של תצורה ואספקת מפתח השורש AES למכשירי Intel Agilex 7. · הקצאת התקנים: מספק הוראות לשימוש בקושחה של Intel Quartus Prime Programmer ומנהל ההתקנים המאובטח (SDM) כדי לתכנת תכונות אבטחה במכשירי Intel Agilex 7. · תכונות מתקדמות: מספק הוראות להפעלת תכונות אבטחה מתקדמות, כולל הרשאת ניפוי באגים מאובטחת, איתור באגים במערכת המעבד הקשיח (HPS) ועדכון מערכת מרחוק.
1.1. מחויבות לאבטחת המוצר
המחויבות המתמשכת של אינטל לאבטחה מעולם לא הייתה חזקה יותר. אינטל ממליצה לך בחום להכיר את משאבי אבטחת המוצר שלנו ולתכנן להשתמש בהם לאורך כל חיי מוצר אינטל שלך.
מידע קשור · אבטחת מוצר ב-Intel · ייעוץ מרכז אבטחת המוצר של Intel

תאגיד אינטל. כל הזכויות שמורות. Intel, הלוגו של Intel וסימני Intel אחרים הם סימנים מסחריים של Intel Corporation או של חברות הבת שלה. אינטל מתחייבת לביצועים של מוצרי ה-FPGA והמוליכים למחצה שלה למפרטים הנוכחיים בהתאם לאחריות הסטנדרטית של אינטל, אך שומרת לעצמה את הזכות לבצע שינויים בכל מוצר ושירות בכל עת ללא הודעה מוקדמת. אינטל אינה נושאת באחריות או חבות הנובעת מהיישום או השימוש בכל מידע, מוצר או שירות המתוארים כאן, למעט כפי שהוסכם במפורש בכתב על ידי אינטל. ללקוחות אינטל מומלץ להשיג את הגרסה העדכנית ביותר של מפרטי המכשיר לפני הסתמכות על מידע שפורסם ולפני ביצוע הזמנות של מוצרים או שירותים. *שמות ומותגים אחרים עשויים להיטען כרכושם של אחרים.

ISO 9001:2015 רשום

1. Intel Agilex® 7 Device Security נגמרview 683823 | 2023.05.23

1.2. תכונות אבטחה מתוכננות

התכונות המוזכרות בסעיף זה מתוכננות עבור מהדורה עתידית של תוכנת Intel Quartus Prime Pro Edition.

פֶּתֶק:

המידע בסעיף זה הוא ראשוני.

1.2.1. אימות אבטחה של Bitstream של הגדרה מחדש חלקית
אימות אבטחה של זרם סיביות של תצורה מחדש חלקית (PR) עוזר לספק ביטחון נוסף לכך שזרמי סיביות של פרסונות PR לא יכולים לגשת או להפריע לזרמי סיביות אחרים של פרסונות PR.

1.2.2. הרג עצמי של מכשיר לאנטי-T פיזיamper
הרג עצמי של מכשיר מבצע מחיקת מכשיר או תגובת אפס מכשיר ובנוסף מתכנת eFuses כדי למנוע מהמכשיר להגדיר שוב.

1.3. תיעוד אבטחה זמין

הטבלה הבאה מונה את התיעוד הזמין עבור תכונות אבטחת התקנים בהתקני Intel FPGA ו-Structured ASIC:

טבלה 1.

תיעוד אבטחת מכשיר זמין

שם המסמך
מדריך למשתמש של מתודולוגיית אבטחה עבור Intel FPGAs ו-ASICs Structured

מַטָרָה
מסמך ברמה העליונה המכיל תיאורים מפורטים של תכונות אבטחה וטכנולוגיות במוצרי Intel Programmable Solutions Products. נועד לעזור לך לבחור את תכונות האבטחה הנחוצות כדי לעמוד ביעדי האבטחה שלך.

מזהה מסמך 721596

מדריך למשתמש של Intel Stratix 10 Device Security
מדריך למשתמש של Intel Agilex 7 Device Security

עבור משתמשים במכשירי Intel Stratix 10, מדריך זה מכיל הוראות לשימוש בתוכנת Intel Quartus Prime Pro Edition כדי ליישם את תכונות האבטחה שזוהו באמצעות מדריך למשתמש של מתודולוגיית אבטחה.
עבור משתמשים במכשירי Intel Agilex 7, מדריך זה מכיל הוראות לשימוש בתוכנת Intel Quartus Prime Pro Edition כדי ליישם את תכונות האבטחה שזוהו באמצעות מדריך למשתמש של מתודולוגיית אבטחה.

683642 683823

מדריך למשתמש של Intel eASIC N5X Device Security

עבור משתמשים בהתקני Intel eASIC N5X, מדריך זה מכיל הוראות לשימוש בתוכנת Intel Quartus Prime Pro Edition כדי ליישם את תכונות האבטחה שזוהו באמצעות מדריך למשתמש של מתודולוגיית אבטחה.

626836

מדריך למשתמש של שירותי קריפטוגרפיים של Intel Agilex 7 ו-Intel eASIC N5X HPS

מדריך זה מכיל מידע כדי לסייע למהנדסי תוכנה של HPS ביישום ובשימוש בספריות תוכנת HPS כדי לגשת לשירותי הצפנה המסופקים על ידי ה-SDM.

713026

AN-968 Black Key Provisioning Service מדריך התחלה מהירה

מדריך זה מכיל סט שלם של שלבים להגדרת שירות הקצאת מפתח שחור.

739071

מיקום אינטל משאב ו
מרכז עיצוב
Intel.com
Intel.com
מרכז המשאבים והעיצוב של אינטל
מרכז המשאבים והעיצוב של אינטל
מרכז המשאבים והעיצוב של אינטל

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 5

683823 | 2023.05.23 שלח משוב

אימות והרשאה

כדי להפעיל את תכונות האימות של מכשיר Intel Agilex 7, אתה מתחיל בשימוש בתוכנת Intel Quartus Prime Pro Edition ובכלים הקשורים לבניית שרשרת חתימה. שרשרת חתימה מורכבת ממפתח בסיס, מפתח חתימה אחד או יותר, והרשאות רלוונטיות. אתה מחיל את שרשרת החתימה על פרויקט Intel Quartus Prime Pro Edition שלך ותכנות הידור fileס. השתמש בהוראות ב-Device Provision כדי לתכנת את מפתח השורש שלך בהתקני Intel Agilex 7.
מידע קשור
הקצאת מכשיר בעמוד 25

2.1. יצירת שרשרת חתימה
אתה יכול להשתמש בכלי quartus_sign או ביישום ההפניה agilex_sign.py כדי לבצע פעולות שרשרת חתימות. מסמך זה מספק דוגמהamples באמצעות quartus_sign.
כדי להשתמש ביישום ההפניה, אתה מחליף קריאה למתורגמן Python הכלול בתוכנת Intel Quartus Prime ומשמיט את האפשרות –family=agilex; כל האפשרויות האחרות שוות ערך. למשלample, הפקודה quartus_sign שנמצאת מאוחר יותר בסעיף זה
ניתן להמיר את quartus_sign –family=agilex –operation=make_root root_public.pem root.qky לקריאה המקבילה למימוש ההפניה באופן הבא
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

תוכנת Intel Quartus Prime Pro Edition כוללת את הכלים quartus_sign, pgm_py ו-agilex_sign.py. אתה יכול להשתמש בכלי מעטפת הפקודה Nios® II, אשר מגדיר אוטומטית משתני סביבה מתאימים לגישה לכלים.

בצע את ההוראות הבאות כדי להעלות מעטפת פקודה של Nios II. 1. העלה מעטפת פיקוד של Nios II.

אפשרות Windows
לינוקס

תֵאוּר
בתפריט התחל, הצבע על תוכניות Intel FPGA Nios II EDS ולחץ על Nios II Command Shell.
במעטפת פקודה שנה ל-/nios2eds והפעל את הפקודה הבאה:
./nios2_command_shell.sh

האקסיתampהנתונים בסעיף זה מניחים שרשרת חתימה ותצורת סיביות files ממוקמים בספריית העבודה הנוכחית. אם תבחר לעקוב אחרי האקסamples איפה מפתח files נשמרים על file מערכת, אלה לשעברampאני מקבל את המפתח files הם

ISO 9001:2015 רשום

2. אימות והרשאה 683823 | 2023.05.23
ממוקם בספריית העבודה הנוכחית. אתה יכול לבחור באילו ספריות להשתמש, והכלים תומכים באופן יחסי file שבילים. אם תבחר לשמור מפתח files על file מערכת, עליך לנהל בקפידה את הרשאות הגישה לאלו files.
אינטל ממליצה להשתמש במודול אבטחת חומרה זמין מסחרית (HSM) לאחסון מפתחות קריפטוגרפיים ולביצוע פעולות הצפנה. הכלי quartus_sign והטמעת ההפניה כוללים תקן קריפטוגרפיה של מפתח ציבורי #11 (PKCS #11) ממשק תכנות יישומים (API) לאינטראקציה עם HSM תוך ביצוע פעולות שרשרת חתימות. יישום ההפניה agilex_sign.py כולל תקציר ממשק וכן דוגמהampממשק le ל-SoftHSM.
אתה יכול להשתמש בדוגמאות אלהampממשקי le ליישום ממשק ל-HSM שלך. עיין בתיעוד של ספק ה-HSM שלך למידע נוסף על הטמעת ממשק והפעלת ה-HSM שלך.
SoftHSM היא מימוש תוכנה של התקן הצפנה גנרי עם ממשק PKCS #11 שזמין על ידי פרויקט OpenDNSSEC®. ייתכן שתמצא מידע נוסף, כולל הוראות כיצד להוריד, לבנות ולהתקין את OpenHSM, בפרויקט OpenDNSSEC. האקסampהקבצים בסעיף זה משתמשים בגרסה 2.6.1 של SoftHSM. האקסampהקבצים בסעיף זה משתמשים בנוסף בכלי השירות pkcs11-tool מ-OpenSC כדי לבצע פעולות נוספות של PKCS #11 עם אסימון SoftHSM. ייתכן שתמצא מידע נוסף, כולל הוראות כיצד להוריד, לבנות ולהתקין את pkcs11tool מ-OpenSC.
מידע קשור
· חתימת אזורים מבוססת מדיניות של פרויקט OpenDNSSEC לאוטומציה של תהליך מעקב מפתחות DNSSEC.
· SoftHSM מידע על הטמעת חנות קריפטוגרפית הנגישה באמצעות ממשק PKCS #11.
· OpenSC מספק קבוצה של ספריות וכלי עזר המסוגלים לעבוד עם כרטיסים חכמים.
2.1.1. יצירת צמדי מפתחות אימות ב-Local File מַעֲרֶכֶת
אתה משתמש בכלי quartus_sign כדי ליצור צמדי מפתחות אימות ב-local file מערכת באמצעות פעולות הכלים make_private_pem ו-make_public_pem. תחילה אתה יוצר מפתח פרטי עם פעולת make_private_pem. אתה מציין את העקומה האליפטית לשימוש, המפתח הפרטי fileשם, ובאופן אופציונלי האם להגן על המפתח הפרטי באמצעות ביטוי סיסמה. אינטל ממליצה להשתמש בעקומת secp384r1 ולעקוב אחר שיטות העבודה המומלצות בתעשייה כדי ליצור ביטוי סיסמה חזק ואקראי בכל המפתח הפרטי fileס. אינטל גם ממליצה להגביל את file הרשאות מערכת על המפתח הפרטי .pem fileקריאה על ידי הבעלים בלבד. אתה שואב את המפתח הציבורי מהמפתח הפרטי עם פעולת make_public_pem. כדאי לתת שם למפתח .pem files באופן תיאורי. מסמך זה משתמש במוסכמה _.pem בדוגמה הבאהamples.
1. במעטפת הפקודה Nios II, הפעל את הפקודה הבאה כדי ליצור מפתח פרטי. המפתח הפרטי, המוצג להלן, משמש כמפתח השורש בדוגמה מאוחרת יותרampתמונות שיוצרות שרשרת חתימה. התקני Intel Agilex 7 תומכים במספר מפתחות שורש, כך שאתה

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 7

2. אימות והרשאה 683823 | 2023.05.23

חזור על שלב זה כדי ליצור את המספר הנדרש של מפתחות שורש. לְשֶׁעָבַרampהכלים במסמך זה מתייחסים למפתח השורש הראשון, אם כי אתה יכול לבנות שרשראות חתימה בצורה דומה עם כל מפתח שורש.

אפשרות עם ביטוי סיסמה

תֵאוּר
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem הזן את ביטוי הסיסמה כאשר תתבקש לעשות זאת.

ללא ביטוי סיסמה

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. הפעל את הפקודה הבאה כדי ליצור מפתח ציבורי באמצעות המפתח הפרטי שנוצר בשלב הקודם. אינך צריך להגן על הסודיות של מפתח ציבורי.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. הפעל שוב את הפקודות כדי ליצור זוג מפתחות המשמש כמפתח החתימה העיצובית בשרשרת החתימה.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. יצירת צמדי מפתחות אימות ב-SoftHSM
לשעבר SoftHSMampהפרקים בפרק זה עקביים לעצמם. פרמטרים מסוימים תלויים בהתקנת SoftHSM שלך ובאתחול אסימון בתוך SoftHSM.
הכלי quartus_sign תלוי בספריית ה-API של PKCS #11 מה-HSM שלך.
האקסיתampהנתונים בסעיף זה מניחים שספריית SoftHSM מותקנת באחד מהמיקומים הבאים: · /usr/local/lib/softhsm2.so ב-Linux · C:SoftHSM2libsofthsm2.dll בגירסת 32 סיביות של Windows · C:SoftHSM2libsofthsm2-x64 .dll בגרסת 64 סיביות של Windows.
אתחול אסימון בתוך SoftHSM באמצעות הכלי softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
פרמטרי האופציה, במיוחד תווית האסימון וסיכת האסימון הם למשלampבשימוש בכל פרק זה. אינטל ממליצה לך לעקוב אחר ההוראות מספק ה-HSM שלך כדי ליצור ולנהל אסימונים ומפתחות.
אתה יוצר צמדי מפתחות אימות באמצעות כלי השירות pkcs11-tool כדי ליצור אינטראקציה עם האסימון ב-SoftHSM. במקום להתייחס במפורש למפתח הפרטי והציבורי .pem files ב file מערכת דוגמהamples, אתה מתייחס לזוג המפתחות לפי התווית שלו והכלי בוחר את המפתח המתאים באופן אוטומטי.

מדריך למשתמש של Intel Agilex® 7 Device Security 8

שלח משוב

2. אימות והרשאה 683823 | 2023.05.23

הפעל את הפקודות הבאות כדי ליצור זוג מפתחות המשמש כמפתח השורש בדוגמה מאוחרת יותרamples וכן זוג מפתחות המשמש כמפתח חתימה עיצובית בשרשרת החתימה:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –מנגנון ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –מנגנון ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

פֶּתֶק:

אפשרות המזהה בשלב זה חייבת להיות ייחודית לכל מפתח, אך היא משמשת רק את ה-HSM. אפשרות מזהה זו אינה קשורה למזהה ביטול המפתח שהוקצה בשרשרת החתימות.

2.1.3. יצירת ערך שורש שרשרת החתימה
המר את המפתח הציבורי של השורש לכניסת שורש של שרשרת חתימה, המאוחסנת ב-local file מערכת בפורמט Intel Quartus Prime key (.qky). file, עם פעולת make_root. חזור על שלב זה עבור כל מפתח שורש שאתה יוצר.
הפעל את הפקודה הבאה כדי ליצור שרשרת חתימה עם ערך שורש, באמצעות מפתח ציבורי שורש מה- file מַעֲרֶכֶת:
quartus_sign –family=agilex –operation=make_root –key_type=בעלים root0_public.pem root0.qky
הפעל את הפקודה הבאה כדי ליצור שרשרת חתימה עם ערך שורש, באמצעות מפתח השורש מהאסימון SoftHSM שהוקם בסעיף הקודם:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsosofthsm2 " root0 root0.qky

2.1.4. יצירת מפתח ציבורי של שרשרת חתימה
צור ערך מפתח ציבורי חדש עבור שרשרת חתימה עם פעולת append_key. אתה מציין את שרשרת החתימה הקודמת, המפתח הפרטי עבור הרשומה האחרונה בשרשרת החתימה הקודמת, המפתח הציבורי ברמה הבאה, ההרשאות ומזהה הביטול שאתה מקצה למפתח הציבורי ברמה הבאה, ושרשרת החתימה החדשה file.
שימו לב שספריית softHSM אינה זמינה עם התקנת Quartus ובמקום זאת יש להתקין אותה בנפרד. למידע נוסף על softHSM עיין בסעיף יצירת שרשרת חתימה למעלה.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 9

2. אימות והרשאה 683823 | 2023.05.23
בהתאם לשימוש שלך במפתחות ב- file מערכת או ב-HSM, אתה משתמש באחד מהדוגמאות הבאותampפקודות le לצירוף המפתח הציבורי design0_sign לשרשרת חתימת הבסיס שנוצרה בסעיף הקודם:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name” –previous root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
אתה יכול לחזור על פעולת append_key עד פעמיים נוספות עבור מקסימום שלוש כניסות מפתח ציבורי בין כניסת השורש לכניסת בלוק הכותרת בכל שרשרת חתימה אחת.
האקס הבאample מניח שיצרת מפתח ציבורי אימות נוסף עם אותן הרשאות ומזהה ביטול שהוקצה 1 בשם design1_sign_public.pem, ואתה מוסיף מפתח זה לשרשרת החתימה מהקוד הקודםampעל:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name” –previous design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
התקני Intel Agilex 7 כוללים מונה נוסף לביטול מפתחות כדי להקל על השימוש במפתח שעשוי להשתנות מעת לעת לאורך חייו של מכשיר נתון. אתה יכול לבחור מונה ביטול מפתח זה על ידי שינוי הארגומנט של האפשרות –cancel ל pts:pts_value.
2.2. חתימה על תצורה Bitstream
התקני Intel Agilex 7 תומכים במונים של Security Version Number (SVN), המאפשרים לך לבטל את ההרשאה של אובייקט מבלי לבטל מפתח. אתה מקצה את מונה ה-SVN ואת ערך מונה ה-SVN המתאים במהלך החתימה של אובייקט כלשהו, כגון קטע זרם סיביות, קושחה .zip file, או תעודה קומפקטית. אתה מקצה את מונה ה-SVN וערך ה-SVN באמצעות האפשרות –cancel ו-svn_counter:svn_value כארגומנט. ערכים חוקיים עבור svn_counter הם svnA, svnB, svnC ו-svnD. ה-svn_value הוא מספר שלם בטווח [0,63].

מדריך למשתמש של Intel Agilex® 7 Device Security 10

שלח משוב

2. אימות והרשאה 683823 | 2023.05.23
2.2.1. מפתח קווטוס File מְשִׁימָה
אתה מציין שרשרת חתימה בפרויקט תוכנת Intel Quartus Prime שלך כדי לאפשר את תכונת האימות עבור עיצוב זה. מתפריט Assignments, בחר Device Device and Pin Options Key Security Quartus File, ואז דפדף אל שרשרת החתימה .qky file יצרת כדי לחתום על העיצוב הזה.
איור 1. הפעל את הגדרת Bitstream Configuration

לחלופין, תוכל להוסיף את הצהרת ההקצאה הבאה להגדרות Intel Quartus Prime שלך file (.qsf):
set_global_assignment -שם QKY_FILE design0_sign_chain.qky
כדי ליצור .sof file מעיצוב שהורכב בעבר, הכולל הגדרה זו, מתפריט Processing, בחר התחל התחל מרכיב. הפלט החדש .sof file כולל את ההקצאות לאפשר אימות עם שרשרת החתימות שסופקה.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 11

2. אימות והרשאה 683823 | 2023.05.23
2.2.2. Co-Signing SDM קושחה
אתה משתמש בכלי quartus_sign כדי לחלץ, לחתום ולהתקין את קושחת SDM המתאימה .zip file. הקושחה החתומה בשיתוף כלולה לאחר מכן על ידי התכנות file כלי מחולל כאשר אתה ממיר .sof file לתוך זרם סיביות תצורה rbf file. אתה משתמש בפקודות הבאות כדי ליצור שרשרת חתימה חדשה ולחתום על קושחת SDM.
1. צור זוג מפתחות חתימה חדש.
א. צור זוג מפתחות חתימה חדש ב- file מַעֲרֶכֶת:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
ב. צור זוג מפתחות חתימה חדש ב-HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -מנגנון ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. צור שרשרת חתימה חדשה המכילה את המפתח הציבורי החדש:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name” –previous root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. העתק את הקושחה .zip file מספריית ההתקנה של תוכנת Intel Quartus Prime Pro Edition שלך (/devices/programmer/firmware/agilex.zip) אל ספריית העבודה הנוכחית.
quartus_sign –family=agilex –get_firmware=.
4. חתום על הקושחה .zip file. הכלי פורק אוטומטית את ה-.zip file וחותם בנפרד על כל הקושחה .cmf files, ולאחר מכן בונה מחדש את ה-.zip file לשימוש בכלים בסעיפים הבאים:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

מדריך למשתמש של Intel Agilex® 7 Device Security 12

שלח משוב

2. אימות והרשאה 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. תצורת סיביות חתימה באמצעות הפקודה quartus_sign
כדי לחתום על זרם סיביות של תצורה באמצעות הפקודה quartus_sign, תחילה עליך להמיר את ה-.sof file לבינארי הגולמי הבלתי חתום file פורמט (.rbf). תוכל לציין אופציונלי קושחה בחתימה משותפת באמצעות אפשרות fw_source במהלך שלב ההמרה.
אתה יכול ליצור את זרם הסיביות הגולמי הלא חתום בפורמט rbf באמצעות הפקודה הבאה:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
הפעל אחת מהפקודות הבאות כדי לחתום על זרם הסיביות באמצעות הכלי quartus_sign בהתאם למיקום המפתחות שלך:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
אתה יכול להמיר rbf חתום files לזרם סיביות בתצורה אחרת file פורמטים.
למשלample, אם אתה משתמש בנגן Jam* Standard Test and Programming Language (STAPL) כדי לתכנת זרם סיביות על JTAG, אתה משתמש בפקודה הבאה כדי להמיר .rbf file לפורמט ‎.jam שדורש נגן Jam STAPL:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. תמיכה בתצורה מחדש חלקית של ריבוי רשויות

התקני Intel Agilex 7 תומכים באימות חלקי של ריבוי רשויות, כאשר בעל המכשיר יוצר וחותם על זרם הסיביות הסטטי, ובעל PR נפרד יוצר וחותם על זרמי סיביות אישיים של PR. התקני Intel Agilex 7 מיישמים תמיכה מרובת רשויות על ידי הקצאת חריצי מפתח שורש האימות הראשונים לבעלים של ההתקן או זרם הסיביות הסטטי והקצאת חריץ מפתח הבסיס של האימות הסופי לבעלים של זרם הסיביות של ההגדרה מחדש החלקית.
אם תכונת האימות מופעלת, יש לחתום על כל התמונות האישיות של יחסי ציבור, כולל תמונות אישיות יחסי ציבור מקוננות. תמונות אישיות של יחסי ציבור עשויות להיות חתומות על ידי בעל המכשיר או על ידי בעל יחסי הציבור; עם זאת, זרמי סיביות של אזור סטטי חייבים להיות חתומים על ידי בעל המכשיר.

פֶּתֶק:

הגדרה חלקית מחדש של הצפנת זרם סיביות סטטית ופרסונה כאשר תמיכה מרובת רשויות מופעלת מתוכננת במהדורה עתידית.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 13

2. אימות והרשאה 683823 | 2023.05.23

איור 2.

יישום תמיכה חלקית בהגדרה מחדש של ריבוי רשויות דורש מספר שלבים:
1. הבעלים של ההתקן או זרם הסיביות הסטטי יוצר מפתח שורש אימות אחד או יותר כמתואר ביצירת צמדי מפתחות אימות ב-SoftHSM בעמוד 8, כאשר לאפשרות –key_type יש בעל ערך.
2. הבעלים של זרם סיביות של הגדרה מחדש חלקית יוצר מפתח שורש אימות אך משנה את ערך האפשרות –key_type ל-secondary_owner.
3. גם הבעלים של זרם הסיביות הסטטי וגם הבעלים של תצורה מחדש חלקית מבטיחים שתיבת הסימון Enable Multi-Authority Support זמינה בכרטיסייה Assignments Device Device and Pin Options Security.
Intel Quartus Prime אפשר הגדרות אפשרויות ריבוי רשויות

4. גם הבעלים של זרם הסיביות הסטטי וגם בעלי עיצוב תצורה מחדש חלקית יוצרים שרשראות חתימה על סמך מפתחות הבסיס שלהם, כפי שמתואר ביצירת שרשרת חתימה בעמוד 6.
5. גם הבעלים של זרם הסיביות הסטטי וגם הבעלים של עיצוב מחדש בתצורה חלקית ממירים את העיצובים הקומפיליים שלהם לפורמט rbf. files וחתום על .rbf files.
6. הבעלים של המכשיר או זרם הסיביות הסטטי יוצר וחותם על אישור קומפקטי של תוכנית מפתח ציבורי של PR.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

מדריך למשתמש של Intel Agilex® 7 Device Security 14

שלח משוב

2. אימות והרשאה 683823 | 2023.05.23

7. הבעלים של ההתקן או זרם הסיביות הסטטי מספק את ה-hashs של מפתח שורש האימות שלו למכשיר, לאחר מכן מתכנת את האישור הקומפקטי של תוכנית המפתח הציבורי של PR, ולבסוף מספק את מפתח השורש של בעל זרם הסיביות להגדרה מחדש חלקית למכשיר. הסעיף הקצאת מכשיר מתאר תהליך הקצאה זה.
8. מכשיר Intel Agilex 7 מוגדר עם האזור הסטטי rbf file.
9. מכשיר Intel Agilex 7 מוגדר מחדש באופן חלקי עם עיצוב persona .rbf file.
מידע קשור
· יצירת שרשרת חתימה בעמוד 6
· יצירת צמדי מפתחות אימות ב-SoftHSM בעמוד 8
· הקצאת מכשיר בעמוד 25

2.2.5. אימות תצורה של שרשראות חתימות Bitstream
לאחר יצירת שרשראות חתימה וזרמי סיביות חתומים, תוכל לוודא שזרם סיביות חתום מגדיר בצורה נכונה התקן שתוכנת עם מפתח בסיס נתון. תחילה אתה משתמש בפעולת fuse_info של הפקודה quartus_sign כדי להדפיס את ה-hash של מפתח הבסיס הציבורי לטקסט file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

לאחר מכן אתה משתמש באפשרות check_integrity של הפקודה quartus_pfg כדי לבדוק את שרשרת החתימה בכל חלק של זרם סיביות חתום בפורמט rbf. האפשרות check_integrity מדפיסה את המידע הבא:
· מצב בדיקת תקינות זרם הסיביות הכוללת
· תוכן כל ערך בכל שרשרת חתימה המצורפת לכל סעיף בזרם הסיביות rbf file,
· ערך פיוז צפוי עבור ה-hash של המפתח הציבורי השורש עבור כל שרשרת חתימה.
הערך מהפלט fuse_info צריך להתאים לשורות Fuse בפלט check_integrity.
quartus_pfg –check_integrity signed_bitstream.rbf

הנה אקסample של פלט הפקודה check_integrity:

מידע: פקודה: quartus_pfg –check_integrity signed_bitstream.rbf סטטוס שלמות: בסדר

סָעִיף

סוג: CMF

מתאר חתימה…

שרשרת חתימה #0 (כניסות: -1, היסט: 96)

ערך מס' 0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

צור מפתח…

עקומה: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

צור מפתח…

עקומה: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 15

2. אימות והרשאה 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

ערך מס' 1

צור מפתח…

עקומה: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

הרשאת רשומה מס' 2 של מחזיק מפתחות: SIGN_CODE מחזיק מפתחות ניתן לביטול על ידי מזהה: 3 שרשרת חתימה מס' 1 (כניסות: -1, קיזוז: 648)

ערך מס' 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

צור מפתח…

עקומה: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

צור מפתח…

עקומה: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

ערך מס' 1

צור מפתח…

עקומה: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

ערך מס' 2

צור מפתח…

עקומה: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

הרשאת כניסת מחזיק מפתחות מס' 3: SIGN_CODE ניתן לבטל מחזיק מפתחות על ידי מזהה: 15 שרשרת חתימה מס' 2 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 3 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 4 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 5 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 6 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 7 (כניסות: -1, קיזוז: 0)

סוג קטע: מתאר IO Signature … שרשרת חתימה #0 (ערכים: -1, היסט: 96)

ערך מס' 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

צור מפתח…

עקומה: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

מדריך למשתמש של Intel Agilex® 7 Device Security 16

שלח משוב

2. אימות והרשאה 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

צור מפתח…

עקומה: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

ערך מס' 1

צור מפתח…

עקומה: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

ערך מס' 2

צור מפתח…

עקומה: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

הרשאת כניסת מחזיק מפתחות מס' 3: SIGN_CORE ניתן לבטל מחזיק מפתחות על ידי מזהה: 15 שרשרת חתימה מס' 1 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 2 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 3 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 4 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 5 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 6 (כניסות: -1, קיזוז: 0) חתימה שרשרת מס' 7 (כניסות: -1, היסט: 0)

סָעִיף

סוג: HPS

מתאר חתימה…

שרשרת חתימה #0 (כניסות: -1, היסט: 96)

ערך מס' 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

צור מפתח…

עקומה: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

צור מפתח…

עקומה: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

ערך מס' 1

צור מפתח…

עקומה: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

ערך מס' 2

צור מפתח…

עקומה: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 17

2. אימות והרשאה 683823 | 2023.05.23

הרשאת מחזיק מפתחות מס' 3: SIGN_HPS מחזיק מפתחות ניתן לביטול על ידי מזהה: 15 שרשרת חתימה מס' 1 (כניסות: -1, היסט: 0) שרשרת חתימה מס' 2 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 3 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 4 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 5 (כניסות: -1, קיזוז: 0) שרשרת חתימה מס' 6 (כניסות: -1, קיזוז: 0) חתימה שרשרת מס' 7 (כניסות: -1, היסט: 0)

סוג מדור: מתאר חתימת הליבה … שרשרת חתימה #0 (ערכים: -1, היסט: 96)

ערך מס' 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

צור מפתח…

עקומה: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

צור מפתח…

עקומה: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

ערך מס' 1

צור מפתח…

עקומה: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

ערך מס' 2

צור מפתח…

עקומה: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

מדריך למשתמש של Intel Agilex® 7 Device Security 18

שלח משוב

683823 | 2023.05.23 שלח משוב

הצפנת AES Bitstream

הצפנת זרם סיביות מתקדמת (AES) היא תכונה המאפשרת לבעל מכשיר להגן על סודיות הקניין הרוחני בזרם סיביות בתצורה.
כדי לסייע בהגנה על סודיות המפתחות, הצפנת זרם סיביות של תצורה משתמשת בשרשרת של מפתחות AES. מפתחות אלו משמשים להצפנת נתוני בעלים בזרם הסיביות של התצורה, כאשר מפתח הביניים הראשון מוצפן עם מפתח השורש של AES.

3.1. יצירת מפתח השורש של AES

אתה יכול להשתמש בכלי quartus_encrypt או ביישום ההפניה stratix10_encrypt.py כדי ליצור מפתח שורש AES בפורמט מפתח ההצפנה של תוכנת Intel Quartus Prime (.qek) file.

פֶּתֶק:

הקובץ stratix10_encrypt.py file משמש עבור התקני Intel Stratix® 10 ו-Intel Agilex 7.

באפשרותך לציין באופן אופציונלי את מפתח הבסיס המשמש לגזירת מפתח השורש של AES ומפתח גזירת המפתח, את הערך עבור מפתח השורש של AES ישירות, את מספר מפתחות הביניים ואת השימוש המרבי לכל מפתח ביניים.

עליך לציין את משפחת המכשירים, פלט .qek file מיקום וביטוי סיסמה כאשר תתבקש.
הפעל את הפקודה הבאה כדי ליצור את מפתח השורש AES באמצעות נתונים אקראיים עבור מפתח הבסיס וערכי ברירת מחדל עבור מספר מפתחות ביניים ושימוש מקסימלי במפתח.
כדי להשתמש ביישום ההפניה, אתה מחליף קריאה למתורגמן Python הכלול בתוכנת Intel Quartus Prime ומשמיט את האפשרות –family=agilex; כל האפשרויות האחרות שוות ערך. למשלample, הפקודה quartus_encrypt שנמצאה בהמשך הקטע

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

ניתן להמיר לקריאה המקבילה למימוש ההפניה באופן הבא pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. הגדרות הצפנה של Quartus
כדי לאפשר הצפנת זרם סיביות עבור עיצוב, עליך לציין את האפשרויות המתאימות באמצעות החלונית Assignments Device Device and Pin Options Security. אתה בוחר בתיבת הסימון אפשר תצורה של הצפנת זרם סיביות, ואת מיקום אחסון מפתח ההצפנה הרצוי מהתפריט הנפתח.

ISO 9001:2015 רשום

איור 3. הגדרות הצפנה של Intel Quartus Prime

3. AES Bitstream Encryption 683823 | 2023.05.23

לחלופין, תוכל להוסיף את הצהרת ההקצאה הבאה להגדרות Intel Quartus Prime שלך file qsf:
set_global_assignment -שם ENCRYPT_PROGRAMMING_BITSTREAM על set_global_assignment -שם PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
אם ברצונך לאפשר הפעלות נוספות כנגד וקטורי התקפה של ערוץ צדדי, תוכל להפעיל את התפריט הנפתח יחס עדכון הצפנה ואת תיבת הסימון אפשר ערבול.

מדריך למשתמש של Intel Agilex® 7 Device Security 20

שלח משוב

3. AES Bitstream Encryption 683823 | 2023.05.23

השינויים המתאימים ב-qsf הם:
set_global_assignment -שם PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING על set_global_assignment -שם PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. הצפנת תצורה Bitstream
אתה מצפין זרם סיביות של תצורה לפני החתימה על זרם הסיביות. תכנות Intel Quartus Prime File כלי המחולל יכול להצפין ולחתום באופן אוטומטי על זרם סיביות של תצורה באמצעות ממשק המשתמש הגרפי או שורת הפקודה.
ניתן ליצור אופציונלי זרם סיביות מוצפן חלקית לשימוש עם הכלים quartus_encrypt ו-quartus_sign או מקבילי יישום של הפניה.

3.3.1. תצורה הצפנת זרם סיביות באמצעות התכנות File ממשק גרפי מחולל
אתה יכול להשתמש בתכנות File מחולל להצפנה וחתימה על תמונת הבעלים.

איור 4.

1. על Intel Quartus Prime File בתפריט בחר תכנות File גֵנֵרָטוֹר. 2. על הפלט Fileבכרטיסייה, ציין את הפלט file הקלד עבור התצורה שלך
תָכְנִית.
תְפוּקָה File מִפרָט

פלט ערכת תצורה file לשונית
תְפוּקָה file סוּג

3. על הקלט Fileבכרטיסייה, לחץ על הוסף Bitstream ודפדף ל-.sof שלך. 4. כדי לציין אפשרויות הצפנה ואימות בחר ב-.sof ולחץ
נכסים. א. הפעל את כלי החתימה אפשר. ב. עבור מפתח פרטי file בחר את מפתח החתימה שלך ב-.pem file. ג. הפעל את סיים את ההצפנה.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 21

3. AES Bitstream Encryption 683823 | 2023.05.23

איור 5.

ד. עבור מפתח הצפנה file, בחר את ה-AES .qek שלך file. קלט (.sof) File מאפיינים לאימות והצפנה

אפשר אימות ציין PEM שורש פרטי
אפשר הצפנה ציין מפתח הצפנה
5. כדי ליצור את זרם הסיביות החתום והמוצפן, ב-Input Fileבכרטיסייה, לחץ על צור. תיבות דו-שיח של סיסמה מופיעות כדי שתוכל להזין את ביטוי הסיסמה שלך עבור מפתח AES .qek file וחתימה על מפתח פרטי .pem file. התכנות file מחולל יוצר את הפלט המוצפן והחתום_file.rbf.
3.3.2. תצורה הצפנת זרם סיביות באמצעות התכנות File ממשק שורת פקודה מחולל
צור זרם סיביות של תצורה מוצפן וחתום בפורמט rbf עם ממשק שורת הפקודה quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
אתה יכול להמיר זרם סיביות של תצורה מוצפן וחתום בפורמט rbf לזרם סיביות תצורה אחר file פורמטים.
3.3.3. תצורה מוצפנת חלקית יצירת Bitstream באמצעות ממשק שורת הפקודה
אתה עשוי ליצור תכנות מוצפן חלקית file כדי לסיים את ההצפנה ולחתום על התמונה מאוחר יותר. צור את התכנות המוצפן חלקית file בפורמט rbf עם ממשק שורת הפקודה Quartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

מדריך למשתמש של Intel Agilex® 7 Device Security 22

שלח משוב

3. AES Bitstream Encryption 683823 | 2023.05.23
אתה משתמש בכלי שורת הפקודה quartus_encrypt כדי לסיים את הצפנת זרם הסיביות:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
אתה משתמש בכלי שורת הפקודה quartus_sign כדי לחתום על זרם הסיביות של התצורה המוצפנת:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. קונפיגורציה מחדש חלקית הצפנת Bitstream
אתה יכול לאפשר הצפנת זרם סיביות בחלק מעיצובי Intel Agilex 7 FPGA המשתמשים בתצורה מחדש חלקית.
עיצובי תצורה מחדש חלקית המשתמשים בתצורה מחדש חלקית (HPR), או קביעת תצורה חלקית של עדכון סטטי (SUPR) אינם תומכים בהצפנת זרם הסיביות. אם העיצוב שלך מכיל מספר אזורי יחסי ציבור, עליך להצפין את כל הפרסונות.
כדי לאפשר הצפנת זרם סיביות של הגדרה מחדש חלקית, בצע את אותו הליך בכל גרסאות התכנון. 1. על Intel Quartus Prime File בתפריט, בחר Assignments Device Device
ו-Pin Options Security. 2. בחר את מיקום אחסון מפתח ההצפנה הרצוי.
איור 6. הגדרת הצפנת זרם סיביות של הגדרה חלקית

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 23

3. AES Bitstream Encryption 683823 | 2023.05.23
לחלופין, תוכל להוסיף את הצהרת ההקצאה הבאה בהגדרות Quartus Prime file qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION ב-
לאחר הידור של העיצוב והתיקונים הבסיסיים, התוכנה מייצרת a.soffile ואחד או יותר.pmsffiles, מייצג את הפרסונות. 3. צור תכנות מוצפן וחתום files from.sof and.pmsf fileזה בצורה דומה לעיצובים ללא תצורה מחדש חלקית מופעלת. 4. המר את ה-persona.pmsf המהודר file ל-rbf מוצפן חלקית file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. סיים את הצפנת זרם הסיביות באמצעות כלי שורת הפקודה quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. חתום על זרם הסיביות של התצורה המוצפנת באמצעות כלי שורת הפקודה quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

מדריך למשתמש של Intel Agilex® 7 Device Security 24

שלח משוב

683823 | 2023.05.23 שלח משוב

הקצאת מכשיר

הקצאת תכונת אבטחה ראשונית נתמכת רק בקושחה להקצאת SDM. השתמש במתכנת Intel Quartus Prime כדי לטעון את קושחת האספקה של SDM ולבצע פעולות הקצאה.
אתה יכול להשתמש בכל סוג של JTAG כבל הורדה לחיבור מתכנת Quartus למכשיר Intel Agilex 7 לביצוע פעולות הקצאה.
4.1. שימוש בקושחת SDM Provision
מתכנת Intel Quartus Prime יוצר וטוען אוטומטית תמונת עוזר ברירת המחדל של היצרן כאשר אתה בוחר בפעולת האתחול ובפקודה לתכנת משהו אחר מלבד זרם סיביות של תצורה.
בהתאם לפקודת התכנות שצוינה, תמונת העזר המוגדרת כברירת מחדל של היצרן היא אחד משני סוגים:
· תמונת עוזר להקצאה - מורכבת מקטע זרם סיביות אחד המכיל את קושחת הקצאת SDM.
· תמונת מסייעת של QSPI – מורכבת משני קטעי זרם סיביות, אחד המכיל את הקושחה הראשית של SDM וקטע I/O אחד.
אתה יכול ליצור תמונת עוזר ברירת המחדל של היצרן file כדי לטעון למכשיר שלך לפני ביצוע פקודת תכנות כלשהי. לאחר תכנות גיבוב של מפתח בסיס לאימות, עליך ליצור ולחתום על תמונת עוזר ברירת המחדל של QSPI בגלל סעיף ה-I/O הכלול. אם אתה מתכנת בנוסף את הגדרת אבטחת הקושחה בחתימה משותפת eFuse, עליך ליצור תמונות עזר ו-QSPI ברירת המחדל של היצרן עם קושחה חתומה בשיתוף. אתה רשאי להשתמש בתמונת מסייעת בחתימה משותפת של ברירת המחדל של היצרן במכשיר לא מסודר, מכיוון שהמכשיר הבלתי מסודר מתעלם משרשרות חתימות שאינן אינטל באמצעות קושחת SDM. עיין בשימוש בתמונת העזר ברירת המחדל של QSPI במכשירים שבבעלותך בעמוד 26 לפרטים נוספים על יצירה, חתימה ושימוש בתמונת העזר של ברירת המחדל של QSPI.
תמונת העזר של ברירת המחדל של היצרן להקצאה מבצעת פעולת הקצאה, כגון תכנות ה-hash של מפתח שורש האימות, נתיכים של הגדרות אבטחה, רישום PUF או הקצאת מפתח שחור. אתה משתמש בתכנות Intel Quartus Prime File כלי שורת הפקודה של Generator ליצירת תמונת העזרה להקצאה, תוך ציון אפשרות helper_image, שם ה-helper_device שלך, תת-סוג תמונת העזר להקצאה, ובאופן אופציונלי קושחה בחתימה משותפת .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
תכנת את תמונת העזר באמצעות הכלי Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" –force

ISO 9001:2015 רשום

4. אספקת התקנים 683823 | 2023.05.23

פֶּתֶק:

אתה יכול להשמיט את פעולת האתחול מפקודות, כולל למשלampהקבצים הניתנים בפרק זה, לאחר תכנות תמונת מסייעת להקצאה או שימוש בפקודה המכילה את פעולת האתחול.

4.2. שימוש בתמונת עוזרת ברירת המחדל של QSPI במכשירים שבבעלותם
מתכנת Intel Quartus Prime יוצר וטוען אוטומטית תמונת עוזר ברירת המחדל של QSPI בעת בחירת פעולת האתחול עבור תכנות פלאש QSPI file. לאחר תכנות גיבוב של מפתח בסיס לאימות, עליך ליצור ולחתום על תמונת העזר של ברירת המחדל של QSPI, ולתכנת בנפרד את תמונת העזר של QSPI החתומה לפני תכנות ה-QSPI הבזק. 1. אתה משתמש בתכנות Intel Quartus Prime File כלי שורת הפקודה של מחולל ל
צור את תמונת העזר QSPI, ציון אפשרות helper_image, סוג ה-helper_device שלך, תת-הסוג של תמונת העזר QSPI, ובאופן אופציונלי קושחה עם ‎.zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. אתה חותם על תמונת העזר של ברירת המחדל של QSPI:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. אתה יכול להשתמש בכל תכנות פלאש QSPI file פוּרמָט. האקס הבאamples משתמשים בזרם סיביות של תצורה שהומר ל-.jic file פוּרמָט:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. אתה מתכנת את תמונת העזר החתומה באמצעות הכלי Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o "p;signed_qspi_helper_image.rbf" –force
5. אתה מתכנת את תמונת ה-jic להבהב באמצעות הכלי Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. הקצאת מפתח שורש אימות
כדי לתכנת את הגיבובים של מפתח השורש של הבעלים לנתיכים פיזיים, ראשית עליך לטעון את קושחת האספקה, לאחר מכן לתכנת את הגיבובים של מפתח השורש של הבעלים, ולאחר מכן לבצע מיד איפוס הפעלה. אין צורך באיפוס הפעלה אם תכנות מפתח שורש מתקדם לנתיכים וירטואליים.

מדריך למשתמש של Intel Agilex® 7 Device Security 26

שלח משוב

4. אספקת התקנים 683823 | 2023.05.23
כדי לתכנת גיבובים של מפתח בסיס לאימות, אתה מתכנת את תמונת העזרה של קושחת האספקה ומריץ אחת מהפקודות הבאות כדי לתכנת את מפתח השורש .qky files.
// עבור eFuses פיזיים (לא נדיפים) quartus_pgm -c 1 -m jtag -o "p;root0.qky;root1.qky;root2.qky" –non_volatile_key
// עבור eFuses וירטואליים (נדיפים) quartus_pgm -c 1 -m jtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. תכנות מחדש חלקי של ריבוי רשויות תכנות מפתח שורש
לאחר הקצאת מפתחות השורש של בעלי זרם הסיביות של ההתקן או האזור הסטטי, אתה שוב טוען את תמונת העזרה של אספקת ההתקן, מתכנת את האישור הקומפקטי של תוכנית המפתח הציבורי החתומה של PR, ולאחר מכן מספק את מפתח השורש של בעל זרם הסיביות של PR persona.
// עבור eFuses פיזיים (לא נדיפים) quartus_pgm -c 1 -m jtag -o "p;root_pr.qky" –pr_pubkey –non_volatile_key
// עבור eFuses וירטואליים (נדיפים) quartus_pgm -c 1 -m jtag -o "p;p;root_pr.qky" –pr_pubkey
4.4. נתיכים של מזהה ביטול מפתח תכנות
החל מגירסת תוכנת Intel Quartus Prime Pro Edition גרסה 21.1, תכנות נתיכים של זיהוי מזהי ביטול מפתח של אינטל ובעלי מפתח מחייב שימוש באישור קומפקטי חתום. אתה יכול לחתום על האישור הקומפקטי של מזהה ביטול מפתח עם שרשרת חתימה שיש לה הרשאות חתימה בקטע FPGA. אתה יוצר את התעודה הקומפקטית עם התכנות file כלי שורת הפקודה של מחולל. אתה חותם על האישור הלא חתום באמצעות הכלי quartus_sign או יישום הפניה.
התקני Intel Agilex 7 תומכים בבנקים נפרדים של מזהי ביטול מפתחות של בעלים עבור כל מפתח שורש. כאשר אישור קומפקטי של מזהה ביטול מפתח בעלים מתוכנת לתוך Intel Agilex 7 FPGA, ה-SDM קובע איזה מפתח שורש חתם על האישור הקומפקטי ומפרק את הפתיל מזהה ביטול המפתח שמתאים למפתח הבסיס הזה.
האקס הבאampצור תעודת ביטול מפתח של Intel עבור מזהה מפתח של Intel 7. אתה יכול להחליף את 7 במזהה ביטול מפתח המתאים של Intel מ-0-31.
הפעל את הפקודה הבאה כדי ליצור אישור קומפקטי של מזהה ביטול מפתח אינטל חתום:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
הפעל אחת מהפקודות הבאות כדי לחתום על האישור הקומפקטי של מזהה ביטול מפתח אינטל לא חתום:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 27

4. אספקת התקנים 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
הפעל את הפקודה הבאה כדי ליצור אישור קומפקטי של מזהה ביטול מפתח בעלים לא חתום:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
הפעל אחת מהפקודות הבאות כדי לחתום על האישור הקומפקטי של מזהה ביטול מפתח בעלים לא חתום:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
לאחר שיצרת אישור קומפקטי מזהה ביטול מפתח חתום, אתה משתמש ב-Intel Quartus Prime Programmer כדי לתכנת את האישור הקומפקטי למכשיר באמצעות JTAG.
//עבור eFuses פיזיים (לא נדיפים) quartus_pgm -c 1 -m jtag -o "pi;signed_cancel_intel7.ccert" –non_volatile_key quartus_pgm -c 1 -m jtag -o "pi;signed_cancel_owner2.ccert" –non_volatile_key
//עבור eFuses וירטואליים (נדיפים) quartus_pgm -c 1 -m jtag -o "pi;signed_cancel_intel7.ccert" quartus_pgm -c 1 -m jtag -o "pi;signed_cancel_owner2.ccert"
אתה יכול בנוסף לשלוח את האישור הקומפקטי ל-SDM באמצעות ממשק תיבת הדואר FPGA או HPS.
4.5. ביטול מפתחות שורש
התקני Intel Agilex 7 מאפשרים לך לבטל את ה-hash של מפתח השורש כאשר קיים גיבוב אחר של מפתח שורש לא בוטל. אתה מבטל גיבוב של מפתח שורש על ידי הגדרת תצורה של המכשיר עם עיצוב ששרשרת החתימה שלו מושרשת ב-hash של מפתח שורש אחר, ולאחר מכן תכנת אישור קומפקטי לביטול מפתח שורש חתום. עליך לחתום על האישור הקומפקטי של ביטול hash key root עם שרשרת חתימה המושרשת במפתח השורש כדי לבטל.
הפעל את הפקודה הבאה כדי ליצור אישור קומפקטי לביטול hash של מפתח שורש לא חתום:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

מדריך למשתמש של Intel Agilex® 7 Device Security 28

שלח משוב

4. אספקת התקנים 683823 | 2023.05.23

הפעל אחת מהפקודות הבאות כדי לחתום על האישור הקומפקטי של ביטול ה-hash של מפתח השורש הלא חתום:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
אתה יכול לתכנת אישור קומפקטי לביטול hash של מפתח שורש באמצעות JTAGתיבות דואר , FPGA או HPS.

4.6. תכנות נתיכים נגדיים
אתה מעדכן את מספר גרסת האבטחה (SVN) ואת Pseudo Time Stamp (PTS) נתיכים נגדיים באמצעות תעודות קומפקטיות חתומות.

פֶּתֶק:

ה-SDM עוקב אחר ערך המונה המינימלי שנראה במהלך תצורה נתונה ואינו מקבל אישורי תוספת מונה כאשר ערך המונה קטן מהערך המינימלי. עליך לעדכן את כל האובייקטים שהוקצו למונה ולהגדיר מחדש את ההתקן לפני תכנות אישור קומפקטי בתוספת מונה.

הפעל אחת מהפקודות הבאות התואמת לאישור תוספת המונה שברצונך להפיק.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter= unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter= unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter= unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter= unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter= unsigned_svnD.ccert

ערך מונה של 1 יוצר אישור הרשאה לתוספת מונה. תכנות אישור קומפקטי של הרשאת תוספת מונה מאפשר לך לתכנת אישורי תוספת מונה לא חתומים נוספים כדי לעדכן את המונה המתאים. אתה משתמש בכלי quartus_sign כדי לחתום על תעודות קומפקטיות הדלפק באופן דומה לאישורי קומפקטי מזהה ביטול מפתח.
אתה יכול לתכנת אישור קומפקטי לביטול hash של מפתח שורש באמצעות JTAGתיבות דואר , FPGA או HPS.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 29

4. אספקת התקנים 683823 | 2023.05.23

4.7. אספקת מפתחות שורש של שירות אובייקט נתונים מאובטח
אתה משתמש במתכנת Intel Quartus Prime כדי לספק את מפתח השורש של Secure Data Object Service (SDOS). המתכנת טוען אוטומטית את תמונת העזר של קושחת האספקה כדי לספק את מפתח השורש של SDOS.
quartus_pgm c 1 m jtag –מפתח_בסיס_שירות –מפתח_לא_נדיף

4.8. הגדרת אבטחה אספקת נתיך
השתמש במתכנת Intel Quartus Prime כדי לבחון נתיכים של הגדרות אבטחת המכשיר ולכתוב אותם ל-.fuse מבוסס טקסט file כְּדִלקַמָן:
quartus_pgm -c 1 -mjtag -o "ei;programming_file.fuse;AGFB014R24B"

אפשרויות · i: המתכנת טוען את תמונת העזר של קושחת האספקה למכשיר. · ה: המתכנת קורא את הפתיל מהמכשיר ומאחסן אותו ב-.fuse file.

הפיוז file מכיל רשימה של זוגות שם-ערך נתיך. הערך מציין אם נתיך התפוצץ או את התוכן של שדה הפתיל.

האקס הבאample מציג את הפורמט של ה-.fuse file:

# קושחה בחתימה משותפת

= "לא מפוצץ"

# הרג אישור מכשיר

= "לא מפוצץ"

# מכשיר לא מאובטח

= "לא מפוצץ"

# השבת את ניפוי הבאגים של HPS

= "לא מפוצץ"

# השבת את ההרשמה לזיהוי PUF פנימי

= "לא מפוצץ"

# השבת את JTAG

= "לא מפוצץ"

# השבת מפתח הצפנה עטוף PUF

= "לא מפוצץ"

# השבת מפתח הצפנת בעלים ב-BBRAM = "לא מפוצץ"

# השבת מפתח הצפנת בעלים ב-eFuses = "לא מפוצץ"

# השבת את ה-hash של המפתח הציבורי של שורש הבעלים 0

= "לא מפוצץ"

# השבת את ה-hash של המפתח הציבורי של שורש הבעלים 1

= "לא מפוצץ"

# השבת את ה-hash של המפתח הציבורי של שורש הבעלים 2

= "לא מפוצץ"

# השבת eFuses וירטואליים

= "לא מפוצץ"

# כפה על שעון SDM למתנד פנימי = "לא מפוצץ"

# כפה עדכון מפתח הצפנה

= "לא מפוצץ"

# ביטול מפתח מפורש של אינטל

= "0"

# נעילת eFuses אבטחה

= "לא מפוצץ"

# תוכנית מפתח הצפנת בעלים בוצעה

= "לא מפוצץ"

# התחלת תוכנית מפתח הצפנת בעלים

= "לא מפוצץ"

# ביטול מפתח מפורש של הבעלים 0

= ""

# ביטול מפתח מפורש של הבעלים 1

= ""

# ביטול מפתח מפורש של הבעלים 2

= ""

# נתיכים לבעלים

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000 אינץ'

# שורש מפתח ציבורי של בעלים hash 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000 אינץ'

# שורש מפתח ציבורי של בעלים hash 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000 אינץ'

# שורש מפתח ציבורי של בעלים hash 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000 אינץ'

# גודל מפתח ציבורי של הבעלים

= "אין"

# מונה PTS

= "0"

# בסיס דלפק PTS

= "0"

מדריך למשתמש של Intel Agilex® 7 Device Security 30

שלח משוב

4. אספקת התקנים 683823 | 2023.05.23

# עיכוב הפעלה QSPI # מונה RMA # SDMIO0 הוא I2C # מונה SVN A # מונה SVN B # מונה SVN C # מונה SVN D

= "10ms" = "0" = "לא מפוצץ" = "0" = "0" = "0" = "0"

שנה את ה-.fuse file כדי להגדיר נתיכים של הגדרות האבטחה הרצויות. שורה שמתחילה ב-# מטופלת כשורה הערה. כדי לתכנת נתיך להגדרת אבטחה, הסר את ה-# המוביל והגדר את הערך ל-Blown. למשלample, כדי להפעיל את פיוז הגדרת האבטחה של הקושחה בחתימה משותפת, שנה את השורה הראשונה של הפתיל file לדברים הבאים:
קושחה בחתימה משותפת = "מפוצצת"

אתה יכול גם להקצות ולתכנת את הנתיכים של הבעלים בהתאם לדרישות שלך.
אתה יכול להשתמש בפקודה הבאה כדי לבצע בדיקה ריקה, לתכנת ולאמת את מפתח הבסיס הציבורי של הבעלים:
quartus_pgm -c 1 -mjtag -o "ibpv;root0.qky"

אפשרויות · i: טוען את תמונת העזר של קושחת האספקה למכשיר. · ב: מבצע בדיקה ריקה כדי לוודא שהנתיכים של הגדרות האבטחה הרצויות אינם
כבר מפוצץ. · p: מתכנת את הפתיל. · v: מאמת את המפתח המתוכנת במכשיר.
לאחר תכנות ה-.qky file, תוכל לבחון את פרטי הפתיל על-ידי בדיקת פרטי הפתיל שוב כדי להבטיח שגם ל-hash המפתח הציבורי של הבעלים וגם לגודל המפתח הציבורי של הבעלים יש ערכים שאינם אפס.
אמנם השדות הבאים אינם ניתנים לכתיבה דרך ה-.fuse file השיטה, הם נכללים במהלך בדיקת פעולת פלט לצורך אימות: · התקן לא מאובטח · הרחקת אישור התקן · השבתת hash שורש המפתח הציבורי של הבעלים 0 · השבתת hash שורש המפתח הציבורי של הבעלים 1 · השבתת hash שורש המפתח הציבורי של הבעלים 2 · ביטול מפתחות אינטל · התחלת תוכנית מפתח הצפנה של בעלים · תוכנית מפתח הצפנת בעלים בוצעה · ביטול מפתח בעלים · Hash מפתח ציבורי של בעלים · גודל מפתח ציבורי של בעלים · Hash שורש מפתח ציבורי של בעלים 0 · Hash של מפתח ציבורי שורש בעלים 1 · Hash של מפתח ציבורי של בעלים 2

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 31

4. אספקת התקנים 683823 | 2023.05.23
· מונה PTS · בסיס מונה PTS · עיכוב הפעלה של QSPI · מונה RMA · SDMIO0 הוא I2C · מונה SVN A · מונה SVN B · מונה SVN C · מונה SVN D
השתמש במתכנת Intel Quartus Prime כדי לתכנת את ה-.fuse file חזרה למכשיר. אם תוסיף את אפשרות i, המתכנת יטען אוטומטית את קושחת האספקה כדי לתכנת את נתיכים של הגדרות האבטחה.
//עבור eFuses פיזיים (לא נדיפים) quartus_pgm -c 1 -m jtag -o "pi;programming_file.fuse" –מפתח_לא_נדיף
//עבור eFuses וירטואליים (נדיפים) quartus_pgm -c 1 -m jtag -o "pi;programming_file.נתיך"
תוכל להשתמש בפקודה הבאה כדי לוודא אם ה-hash של מפתח השורש של המכשיר זהה ל-qky שסופק בפקודה:
quartus_pgm -c 1 -mjtag -o "v;root0_another.qky"
אם המקשים אינם תואמים, המתכנת נכשל עם הודעת שגיאה פעולה נכשלה.
4.9. הקצאת מפתח שורש AES
עליך להשתמש באישור קומפקטי מפתח שורש AES חתום כדי לתכנת מפתח שורש AES למכשיר Intel Agilex 7.
4.9.1. תעודת AES Root Key Compact
אתה משתמש בכלי שורת הפקודה quartus_pfg כדי להמיר את מפתח השורש של AES .qek file לתוך הפורמט הקומפקטי של .ccert. אתה מציין את מיקום אחסון המפתח בזמן יצירת האישור הקומפקטי. אתה יכול להשתמש בכלי quartus_pfg כדי ליצור אישור לא חתום לחתימה מאוחרת יותר. עליך להשתמש בשרשרת חתימה עם הרשאת חתימת אישור מפתח שורש AES, סיביות הרשאה 6, מופעלת כדי לחתום בהצלחה על אישור קומפקטי של מפתח שורש AES.

מדריך למשתמש של Intel Agilex® 7 Device Security 32

שלח משוב

4. אספקת התקנים 683823 | 2023.05.23
1. צור זוג מפתחות נוסף המשמש לחתימה על אישור AES מפתח קומפקטי באמצעות אחת מהפקודות הבאות למשלamples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen מנגנון ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. צור שרשרת חתימה עם ערכת סיביות ההרשאה הנכונה באמצעות אחת מהפקודות הבאות:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name” –previous root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. צור אישור AES קומפקטי לא חתום עבור מיקום אחסון מפתח השורש הרצוי של AES. אפשרויות אחסון מפתח השורש של AES זמינות:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//צור מפתח שורש eFuse AES אישור לא חתום quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. חתמו על האישור הקומפקטי עם הפקודה quartus_sign או יישום הפניה.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_1.ccert signed_1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 33

4. אספקת התקנים 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_1.ccert signed_1.ccert
5. השתמש במתכנת Intel Quartus Prime כדי לתכנת את אישור ה-AES root key compact להתקן Intel Agilex 7 דרך JTAG. מתכנת Intel Quartus Prime מתכנת כברירת מחדל לתכנת eFuses וירטואליים בעת שימוש בסוג האישור הקומפקטי EFUSE_WRAPPED_AES_KEY.
אתה מוסיף את האפשרות –non_volatile_key כדי לציין נתיכים פיזיים לתכנות.
//עבור eFuse פיזית (לא נדיפה) מפתח שורש AES quartus_pgm -c 1 -m jtag -o "pi;signed_efuse1.ccert" -non_volatile_key

//עבור eFuse וירטואלי (נדיף) מפתח שורש AES quartus_pgm -c 1 -m jtag -o "pi;signed_efuse1.ccert"

//עבור מפתח שורש BBRAM AES quartus_pgm -c 1 -m jtag -o "pi;signed_bbram1.ccert"

הקושחה של אספקת SDM והקושחה הראשית תומכות בתכנות אישור מפתח שורש AES. אתה יכול גם להשתמש בממשק תיבת הדואר SDM ממארג FPGA או HPS כדי לתכנת אישור מפתח AES.

פֶּתֶק:

הפקודה quartus_pgm אינה תומכת באפשרויות b ו-v עבור אישורים קומפקטיים (.ccert).

4.9.2. Intrinsic ID® PUF AES הקצאת מפתח שורש
יישום מפתח AES עטוף ID PUF Intrinsic* כולל את השלבים הבאים: 1. רישום ה-Intrinsic ID PUF דרך JTAG. 2. גלישת מפתח השורש של AES. 3. תכנות נתוני העזר והמפתח העטוף בזיכרון פלאש מרובע SPI. 4. שאילתה על מצב ההפעלה של ID PUF פנימי.
השימוש בטכנולוגיית Intrinsic ID מצריך הסכם רישיון נפרד עם Intrinsic ID. תוכנת Intel Quartus Prime Pro Edition מגבילה את פעולות PUF ללא הרישיון המתאים, כגון הרשמה, עטיפת מפתחות ותכנות נתוני PUF ל-QSPI flash.

4.9.2.1. רישום PUF מזהה פנימי
כדי לרשום את ה-PUF, עליך להשתמש בקושחה של אספקת SDM. קושחת האספקה חייבת להיות הקושחה הראשונה שנטענת לאחר מחזור הפעלה, ועליך להנפיק את פקודת הרישום PUF לפני כל פקודה אחרת. קושחת האספקה תומכת בפקודות אחרות לאחר רישום PUF, כולל גלישת מפתח שורש AES ותכנות quad SPI, עם זאת, עליך להפעיל את המכשיר כדי לטעון זרם סיביות של תצורה.
אתה משתמש במתכנת Intel Quartus Prime כדי להפעיל הרשמה ל-PUF וליצור את נתוני ה-PUF עוזר .puf file.

מדריך למשתמש של Intel Agilex® 7 Device Security 34

שלח משוב

4. אספקת התקנים 683823 | 2023.05.23

איור 7.

רישום PUF מזהה פנימי
quartus_pgm PUF הרשמה

נתוני מסייע PUF הרשמה

מנהל התקנים מאובטח (SDM)

wrapper.puf Helper Data
המתכנת טוען אוטומטית תמונת מסייעת של קושחת האספקה כאשר אתה מציין גם את פעולת i וגם ארגומנט .puf.
quartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
אם אתה משתמש בקושחה בחתימה משותפת, אתה מתכנת את תמונת עוזר הקושחה בחתימה משותפת לפני השימוש בפקודת הרישום PUF.
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" -force quartus_pgm -c 1 -m jtag -o "e;help_data.puf;AGFB014R24A"
ה-UDS IID PUF נרשם במהלך ייצור המכשיר, ואינו זמין לרישום מחדש. במקום זאת, אתה משתמש במתכנת כדי לקבוע את המיקום של נתוני העזר UDS PUF ב-IPCS, הורד את ה-.puf file ישירות, ולאחר מכן השתמש ב-UDS .puf file באותו אופן כמו ה-.puf file חולץ ממכשיר Intel Agilex 7.
השתמש בפקודה הבאה של המתכנת כדי ליצור טקסט file המכיל רשימה של URLמצביע על מכשיר ספציפי files ב-IPCS:
quartus_pgm -c 1 -mjtag -o "e;ipcs_urls.txt;AGFB014R24B" –ipcs_urls
4.9.2.2. עטיפת מפתח השורש של AES
אתה יוצר את מפתח השורש של IID PUF עטוף AES .wkey file על ידי שליחת אישור חתום ל-SDM.
אתה יכול להשתמש במתכנת Intel Quartus Prime כדי ליצור אוטומטית, לחתום ולשלוח את האישור כדי לעטוף את מפתח השורש של AES שלך, או שאתה יכול להשתמש בתכנות Intel Quartus Prime File מחולל להפקת תעודה לא חתומה. אתה חותם על האישור הלא חתום באמצעות הכלים שלך או כלי החתימה של Quartus. לאחר מכן אתה משתמש במתכנת כדי לשלוח את האישור החתום ולעטוף את מפתח השורש של AES שלך. ניתן להשתמש באישור החתום כדי לתכנת את כל המכשירים שיכולים לאמת את שרשרת החתימות.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 35

4. אספקת התקנים 683823 | 2023.05.23

איור 8.

עטיפת מפתח AES באמצעות מתכנת Intel Quartus Prime
.pem פרטי
מַפְתֵחַ

.qky

quartus_pgm

עטוף מפתח AES

מפתח AES.QSKigYnature RootCPhuabilnic

צור מפתח עטוף PUF

מפתח AES עטוף

SDM

.qek הצפנה
מַפְתֵחַ

.wkey PUF-עטוף
מפתח AES

1. אתה יכול ליצור את מפתח השורש AES עטוף IID PUF (.wkey) עם המתכנת באמצעות הארגומנטים הבאים:
· ה-.qky file המכילה שרשרת חתימה עם הרשאת אישור מפתח שורש AES
· ה-.pem הפרטי file עבור המפתח האחרון בשרשרת החתימה
· ה-.qek file החזקת מפתח השורש של AES
· וקטור האתחול של 16 בתים (iv).

quartus_pgm -c 1 -mjtag -qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o "ei;aes.wkey;AGFB014R24A"

2. לחלופין, תוכל ליצור תעודת מפתח שורש AES לא חתום של IID PUF עם התכנות File מחולל באמצעות הארגומנטים הבאים:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. אתה חותם על האישור הלא חתום עם כלי החתימה שלך או הכלי quartus_sign באמצעות הפקודה הבאה:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. לאחר מכן אתה משתמש במתכנת כדי לשלוח את אישור ה-AES החתום ולהחזיר את המפתח העטוף (.wkey) file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

הערה: פעולת i אינה הכרחית אם טענת בעבר את תמונת העזר של קושחת האספקה, למשלample, כדי לרשום את ה-PUF.

4.9.2.3. תכנות נתוני עוזר ומפתח עטוף לזיכרון פלאש QSPI
אתה משתמש בתכנות Quartus File ממשק גרפי מחולל לבניית תמונת פלאש QSPI ראשונית המכילה מחיצת PUF. עליך ליצור ולתכנת תמונת תכנות פלאש שלמה כדי להוסיף מחיצת PUF לפלאש QSPI. יצירת ה-PUF

מדריך למשתמש של Intel Agilex® 7 Device Security 36

שלח משוב

4. אספקת התקנים 683823 | 2023.05.23

איור 9.

מחיצת נתונים ושימוש בנתוני העזר PUF ובמפתח עטוף files ליצירת תמונות פלאש אינה נתמכת דרך התכנות File ממשק שורת הפקודה של מחולל.
השלבים הבאים מדגימים בניית תמונת תכנות פלאש עם נתוני העזר PUF והמפתח העטוף:
1. על File בתפריט, לחץ על תכנות File גֵנֵרָטוֹר. על הפלט Files בצע את הבחירות הבאות:
א. עבור Device Family בחר Agilex 7.
ב. עבור מצב תצורה בחר Active Serial x4.
ג. עבור ספריית פלט, עיין בפלט שלך file מַדרִיך. האקסית הזוample משתמש בפלט_files.
ד. עבור שם, ציין שם עבור התכנות file להיווצר. האקסית הזוample משתמש בפלט_file.
ה. תחת תיאור בחר את התכנות files ליצור. האקסית הזוample מייצר את ה-JTAG תצורה עקיפה File (.jic) עבור תצורת המכשיר והבינארי הגולמי File של תמונת עוזר תכנות (.rbf) עבור תמונת מסייע התקן. האקסית הזוample גם בוחר את מפת הזיכרון האופציונלית File (.map) ונתוני תכנות גולמיים File (.rpd). נתוני התכנות הגולמיים file הכרחי רק אם אתה מתכנן להשתמש במתכנת צד שלישי בעתיד.
תִכנוּת File גנרטור - פלט Files Tab - בחר JTAG תצורה עקיפה

מצב תצורת משפחה של מכשיר
תְפוּקָה file לשונית
ספריית פלט
JTAG מפת זיכרון עקיפה (.jic). File Programming Helper נתוני תכנות גולמיים
על הקלט Fileבכרטיסייה, בצע את הבחירות הבאות: 1. לחץ על הוסף Bitstream ודפדף ל-.sof שלך. 2. בחר את .sof file ואז לחץ על מאפיינים.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 37

4. אספקת התקנים 683823 | 2023.05.23
א. הפעל את הפעל את כלי החתימה. ב. למפתח פרטי file בחר את ה-.pem שלך file. ג. הפעל את סיום ההצפנה. ד. עבור מפתח הצפנה file בחר את .qek file. ה. לחץ על אישור כדי לחזור לחלון הקודם. 3. כדי לציין את נתוני העזר של PUF file, לחץ על הוסף נתונים גולמיים. לשנות את ה Files של התפריט הנפתח ל-Quartus Physical Unclonable Function File (*.puf). עיין ב-.puf שלך file. אם אתה משתמש גם ב-IID PUF וגם ב-UDS IID PUF, חזור על שלב זה כך ש-.puf files עבור כל PUF מתווספים כקלט fileס. 4. כדי לציין את מפתח ה-AES העטוף שלך file, לחץ על הוסף נתונים גולמיים. לשנות את ה Files של התפריט הנפתח ל-Quartus Wrapped Key File (*.wkey). דפדף אל ה-.wkey שלך file. אם עטפת מפתחות AES באמצעות IID PUF וגם UDS IID PUF, חזור על שלב זה כך ש-.wkey files עבור כל PUF מתווספים כקלט files.
איור 10. ציין קלט Files עבור תצורה, אימות והצפנה

הוסף Bitstream הוסף נתונים גולמיים
נכסים
מפתח פרטי file
סיים הצפנה מפתח הצפנה
בלשונית התקן תצורה, בצע את הבחירות הבאות: 1. לחץ על הוסף התקן ובחר את התקן הפלאש שלך מרשימת הפלאש הזמינים
מכשירים. 2. בחר את התקן התצורה שהוספת זה עתה ולחץ על הוסף מחיצה. 3. בתיבת הדו-שיח עריכת מחיצה עבור הקלט file ובחר את ה-.sof שלך מתוך
רשימה נפתחת. אתה יכול לשמור על ברירות המחדל או לערוך את שאר הפרמטרים בתיבת הדו-שיח עריכת מחיצה.

מדריך למשתמש של Intel Agilex® 7 Device Security 38

שלח משוב

4. אספקת התקנים 683823 | 2023.05.23
איור 11. ציון מחיצת ה-Sof Configuration Bitstream שלך

התקן תצורה
ערוך מחיצה הוסף .sof file

הוסף מחיצה

4. כאשר אתה מוסיף את ה-.puf ו-.wkey כקלט files, התכנות File Generator יוצר באופן אוטומטי מחיצת PUF בהתקן התצורה שלך. כדי לאחסן את .puf ו- .wkey במחיצת PUF, בחר את מחיצת PUF ולחץ על ערוך. בתיבת הדו-שיח עריכת מחיצה, בחר את ה-.puf ו-.wkey שלך files מהרשימות הנפתחות. אם תסיר את מחיצת ה-PUF, עליך להסיר ולהוסיף מחדש את התקן התצורה עבור התכנות File מחולל ליצירת מחיצת PUF נוספת. עליך לוודא שאתה בוחר ב-.puf ו-.wkey הנכונים file עבור IID PUF ו-UDS IID PUF, בהתאמה.
איור 12. הוסף את ה-.puf ו-.wkey files למחיצת PUF

מחיצת PUF

לַעֲרוֹך

ערוך מחיצה

מטעין פלאש

בחר צור

5. לפרמטר Flash Loader בחר את משפחת מכשירי Intel Agilex 7 ושם ההתקן התואמים את Intel Agilex 7 OPN שלך.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 39

4. אספקת התקנים 683823 | 2023.05.23
6. לחץ על Generate כדי ליצור את הפלט fileשציינת בפלט Fileהכרטיסייה s.
7. התכנות File Generator קורא את ה-.qek שלך file ומבקש ממך להזין את משפט הסיסמה שלך. הקלד את ביטוי הסיסמה שלך בתגובה להנחיית Enter QEK סיסמה. לחץ על מקש Enter.
8. לחץ על אישור בעת התכנות File Generator מדווח על יצירה מוצלחת.
אתה משתמש במתכנת Intel Quartus Prime כדי לכתוב את תמונת התכנות QSPI לזיכרון פלאש QSPI. 1. בתפריט Intel Quartus Prime Tools בחר מתכנת. 2. במתכנת, לחץ על הגדרת חומרה ולאחר מכן בחר אינטל מחובר
כבל הורדה של FPGA. 3. לחץ על הוסף File ודפדף אל ה-.jic שלך file.
איור 13. תוכנית .jic

תִכנוּת file

תוכנית/הגדר

JTAG שרשרת סריקה
4. בטל את הסימון בתיבה המשויכת לתמונת העזר. 5. בחר Program/Configure עבור הפלט .jic file. 6. הפעל את לחצן התחל כדי לתכנת את זיכרון ההבזק המרובע SPI שלך. 7. הפעל את הלוח שלך במחזור. העיצוב מתוכנת לזיכרון הפלאש המרובע SPI
המכשיר נטען לאחר מכן לתוך FPGA היעד.
עליך ליצור ולתכנת תמונת תכנות פלאש שלמה כדי להוסיף מחיצת PUF לפלאש המרובע SPI.
כאשר מחיצת PUF כבר קיימת ב-Flash, אפשר להשתמש במתכנת Intel Quartus Prime כדי לגשת ישירות לנתוני העזר PUF ולמפתח העטוף fileס. למשלample, אם ההפעלה לא מצליחה, אפשר לרשום מחדש את ה-PUF, לעטוף מחדש את מפתח AES, ולאחר מכן רק לתכנת את ה-PUF fileללא צורך להחליף את כל ההבזק.

מדריך למשתמש של Intel Agilex® 7 Device Security 40

שלח משוב

4. אספקת התקנים 683823 | 2023.05.23
מתכנת Intel Quartus Prime תומך בארגומנט הפעולה הבא עבור PUF files במחיצת PUF קיימת:
· p: תוכנית
· v: לאמת
· r: מחק
· ב: המחאה ריקה
עליך לציית לאותן הגבלות עבור הרשמה ל-PUF, גם אם קיימת מחיצת PUF.
1. השתמש בארגומנט הפעולה i כדי לטעון את תמונת העזר של קושחת האספקה עבור הפעולה הראשונה. למשלample, רצף הפקודה הבא רושם מחדש את ה-PUF, עטוף מחדש את מפתח השורש של AES, מחק את נתוני העזר הישן של PUF ואת המפתח העטוף, ולאחר מכן תכנת ואמת את נתוני העזר החדשים של PUF ומפתח השורש של AES.
quartus_pgm -c 1 -mjtag -o "ei;new.puf;AGFB014R24A" quartus_pgm -c 1 -m jtag –ccert_file=signed_aes.ccert -o "e;new.wkey;AGFB014R24A" quartus_pgm -c 1 -m jtag -o "r;old.puf" quartus_pgm -c 1 -m jtag -o "r;old.wkey" quartus_pgm -c 1 -m jtag -o "p;new.puf" quartus_pgm -c 1 -m jtag -o "p;new.wkey" quartus_pgm -c 1 -m jtag -o "v;new.puf" quartus_pgm -c 1 -m jtag -o "v;new.wkey"
4.9.2.4. שאילתה של מצב הפעלת מזהה פנימי PUF
לאחר שתרשום את ה-Intrinsic ID PUF, עטוף מפתח AES, צור את תכנות הפלאש files, ומעדכן את מבזק ה-SPI המרובע, אתה מפעיל את המכשיר שלך כדי להפעיל הפעלה ותצורה של PUF מזרם הסיביות המוצפן. ה-SDM מדווח על מצב הפעלת ה-PUF יחד עם מצב התצורה. אם הפעלת PUF נכשלת, ה-SDM במקום זאת מדווח על מצב שגיאת PUF. השתמש בפקודה quartus_pgm כדי לשאול את מצב התצורה.
1. השתמש בפקודה הבאה כדי לשאול את מצב ההפעלה:
quartus_pgm -c 1 -mjtag –status –status_type="CONFIG"
הנה סampפלט le מהפעלה מוצלחת:
מידע (21597): התגובה של התקן CONFIG_STATUS פועל במצב משתמש 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 גרסה C000007B MSEL=QSPI_NORMAL=,1,n, 1, n
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 מיקום שגיאה 00000000 פרטי שגיאה תגובה של PUF_STATUS 00002000=2C00000500 USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 41

4. אספקת התקנים 683823 | 2023.05.23

אם אתה משתמש רק ב-IID PUF או ב-UDS IID PUF, ולא תכנתת נתוני עוזר .puf file עבור כל PUF בהבזק QSPI, ה-PUF הזה לא מופעל ומצב ה-PUF משקף שנתוני העזר של PUF אינם חוקיים. האקס הבאample מציג את מצב ה-PUF כאשר נתוני ה-PUF המסייעים לא תוכנתו עבור אף אחד מה-PUF:
תגובה של PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. מיקום ה-PUF בזיכרון פלאש
המיקום של ה-PUF file שונה עבור עיצובים התומכים ב-RSU ועיצובים שאינם תומכים בתכונת RSU.

עבור עיצובים שאינם תומכים ב-RSU, עליך לכלול את ה-.puf ו-.wkey fileכאשר אתה יוצר תמונות פלאש מעודכנות. עבור עיצובים התומכים ב-RSU, ה-SDM אינו מחליף את קטעי נתוני ה-PUF במהלך עדכוני תמונת היצרן או האפליקציה.

טבלה 2.

פריסת מחיצות משנה פלאש ללא תמיכת RSU

היסט הבזק (בבתים)

גודל (בבתים)

תוֹכֶן

תֵאוּר

0K 256K

256K 256K

קושחה לניהול תצורה. קושחה לניהול תצורה

קושחה שפועלת על SDM.

512K

256K

קושחה לניהול תצורה

768K

256K

קושחה לניהול תצורה

32K

עותק נתונים PUF 0

מבנה נתונים לאחסון נתוני PUF עוזר ועותק מפתח שורש AES עטופת PUF 0

1M+32K

32K

עותק נתונים PUF 1

מבנה נתונים לאחסון נתוני PUF עוזר ועותק מפתח שורש AES עטופת PUF 1

טבלה 3.

פריסת מחיצות משנה של פלאש עם תמיכה ב-RSU

היסט הבזק (בבתים)

גודל (בבתים)

תוֹכֶן

תֵאוּר

0K 512K

512K 512K

קושחת Decision קושחת Decision

קושחה לזיהוי וטעינת התמונה בעדיפות הגבוהה ביותר.

1M 1.5M

512K 512K

קושחת Decision קושחת Decision

8K + 24K

נתוני קושחת החלטה

ריפוד

שמור לשימוש בקושחה Decision.

2M + 32K

32K

שמור עבור SDM

שמור עבור SDM.

2M + 64K

מִשְׁתַנֶה

תמונת מפעל

תמונה פשוטה שאתה יוצר כגיבוי אם כל שאר תמונות האפליקציה לא מצליחות להיטען. תמונה זו כוללת את ה-CMF שפועל על ה-SDM.

הַבָּא

32K

עותק נתונים PUF 0

מבנה נתונים לאחסון נתוני PUF עוזר ועותק מפתח שורש AES עטופת PUF 0
נִמשָׁך…

מדריך למשתמש של Intel Agilex® 7 Device Security 42

שלח משוב

4. אספקת התקנים 683823 | 2023.05.23

היסט הבזק (בבתים)

גודל (בבתים)

הבא +32K 32K

תוכן עותק נתונים PUF 1

הבא + 256K 4K הבא +32K 4K הבא +32K 4K

עותק של טבלת מחיצות משנה 0 עותק של טבלת מחיצות משנה 1 עותק בלוק מצביע CMF 0

הבא +32K _

עותק בלוק מצביע CMF 1

משתנה משתנה

תמונת אפליקציה 1 תמונת אפליקציה 2

4.9.3. הקצאת מפתח שחור

תֵאוּר
מבנה נתונים לאחסון נתוני PUF עוזר ועותק מפתח שורש AES עטופת PUF 1
מבנה נתונים כדי להקל על ניהול אחסון הפלאש.
רשימה של מצביעים לתמונות יישום לפי סדר עדיפות. כאשר אתה מוסיף תמונה, התמונה הזו הופכת להיות הגבוהה ביותר.
עותק שני של רשימת המצביעים לתמונות אפליקציה.
תמונת האפליקציה הראשונה שלך.
תמונת האפליקציה השנייה שלך.

פֶּתֶק:

TheIntel Quartus PrimeProgrammer מסייע ביצירת חיבור מאובטח המאומת הדדי בין מכשיר Intel Agilex 7 לבין שירות אספקת המפתח השחור. החיבור המאובטח נוצר באמצעות https ודורש מספר אישורים המזוהים באמצעות טקסט file.
בעת שימוש בהקצאת מפתח שחור, אינטל ממליצה להימנע מחיבור חיצוני של פין TCK כדי למשוך כלפי מעלה או למשוך נגד כל עוד אתה משתמש בו עבור JTAG. עם זאת, אתה יכול לחבר את פין TCK לספק הכוח VCCIO SDM באמצעות נגד של 10 קילו. ההנחיה הקיימת בהנחיות חיבור פינים לחיבור TCK לנגד של 1k נמשך כלולה לדיכוי רעשים. השינוי בהנחיה לנגד משיכה של 10k אינו משפיע על המכשיר מבחינה תפקודית. למידע נוסף על חיבור פין TCK, עיין בהנחיות לחיבור Intel Agilex 7 Pins.
Thebkp_tls_ca_certificate מאמת את מופע שירות אספקת המפתח השחור שלך למופע של מתכנת הקצאת המפתח השחור שלך. Thebkp_tls_*certificates מאמתים את מופע מתכנת אספקת המפתח השחור שלך למופע שירות הקצאת המפתח השחור שלך.
אתה יוצר טקסט file המכיל את המידע הדרוש עבור מתכנת Intel Quartus Prime כדי להתחבר לשירות אספקת המפתח השחור. כדי להתחיל הקצאת מפתח שחור, השתמש בממשק שורת הפקודה של המתכנת כדי לציין את הטקסט של אפשרויות הקצאת מפתח שחור file. לאחר מכן הקצאת המפתח השחור ממשיכה באופן אוטומטי. לקבלת גישה לשירות אספקת המפתח השחור ולתיעוד המשויך, צור קשר עם התמיכה של Intel.
אתה יכול להפעיל את הקצאת המפתח השחור באמצעות thequartus_pgmcommand:
quartus_pgm -c -m –device –bkp_options=bkp_options.txt
הארגומנטים של הפקודה מציינים את המידע הבא:

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 43

4. אספקת התקנים 683823 | 2023.05.23

· -c: מספר כבל · -m: מציין את מצב התכנות כגון JTAG · –device: מציין אינדקס התקן ב-JTAG שַׁרשֶׁרֶת. ערך ברירת המחדל הוא 1. · –bkp_options: מציין טקסט file מכיל אפשרויות הקצאת מפתח שחור.
מידע קשור Intel Agilex 7 Device Family Pin Connection Guidelines

4.9.3.1. אפשרויות הקצאת מפתח שחור
אפשרויות הקצאת המפתח השחור הן טקסט file הועבר למתכנת דרך הפקודה quartus_pgm. ה file מכיל מידע נדרש כדי להפעיל הקצאת מפתח שחור.
להלן אקסample של הקובץ bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem bkp_key_1234_proxy_192.167.5.5 5000:XNUMX bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

טבלה 4.

אפשרויות הקצאת מפתח שחור
טבלה זו מציגה את האפשרויות הנדרשות להפעלת הקצאת מפתח שחור.

שם אפשרות

סוּג

תֵאוּר

bkp_ip

דָרוּשׁ

מציין את כתובת ה-IP של השרת המריץ את שירות הקצאת המפתח השחור.

bkp_port

דָרוּשׁ

מציין יציאת שירות אספקת מפתח שחור הנדרשת כדי להתחבר לשרת.

bkp_cfg_id

דָרוּשׁ

מזהה את מזהה תצורת תצורת הקצאת המפתח השחור.
שירות אספקת מפתח שחור יוצר את זרימות תצורת האספקה של מפתח שחור, כולל מפתח שורש AES, הגדרות eFuse רצויות ואפשרויות הרשאה אחרות להענקת מפתח שחור. המספר שהוקצה במהלך הגדרת שירות אספקת המפתח השחור מזהה את זרימות תצורת הקצאת המפתח השחור.
הערה: התקנים מרובים עשויים להתייחס לאותה זרימת תצורת שירות אספקת מפתח שחור.

bkp_tls_ca_cert

דָרוּשׁ

אישור ה-TLS הבסיסי המשמש לזיהוי שירותי אספקת המפתח השחור למתכנת Intel Quartus Prime (מתכנת). רשות אישורים מהימנה עבור מופע שירות אספקת המפתח השחור מנפיקה אישור זה.
אם אתה מפעיל את המתכנת במחשב עם מערכת ההפעלה Microsoft® Windows® (Windows), עליך להתקין אישור זה במאגר האישורים של Windows.

bkp_tls_prog_cert

דָרוּשׁ

אישור שנוצר עבור המופע של מתכנת אספקת מפתח שחור (BKP Programmer). זהו אישור הלקוח https המשמש לזיהוי מופע מתכנת BKP זה
נִמשָׁך…

מדריך למשתמש של Intel Agilex® 7 Device Security 44

שלח משוב

4. אספקת התקנים 683823 | 2023.05.23

שם אפשרות

סוּג

bkp_tls_prog_key

דָרוּשׁ

bkp_tls_prog_key_pass אופציונלי

bkp_proxy_address bkp_proxy_user bkp_proxy_password

אופציונלי אופציונלי אופציונלי

תֵאוּר
לשירות אספקת המפתח השחור. עליך להתקין ולאשר אישור זה בשירות אספקת המפתח השחור לפני התחלת הפעלה של הקצאת מפתח שחור. אם אתה מפעיל את המתכנת ב-Windows, אפשרות זו אינה זמינה. במקרה זה, ה-bkp_tls_prog_key כבר כולל את האישור הזה.
המפתח הפרטי המתאים לתעודת מתכנת BKP. המפתח מאמת את הזהות של מופע BKP Programmer לשירות אספקת מפתח שחור. אם אתה מפעיל את המתכנת ב-Windows, ה-.pfx file משלב את אישור bkp_tls_prog_cert ואת המפתח הפרטי. האפשרות bkp_tlx_prog_key מעבירה את ה-.pfx file בקובץ bkp_options.txt file.
הסיסמה עבור המפתח הפרטי bkp_tls_prog_key. לא נדרש בטקסט של אפשרויות התצורה של הקצאת מפתח שחור (bkp_options.txt). file.
מציין את שרת ה-proxy URL כְּתוֹבֶת.
מציין את שם המשתמש של שרת ה-proxy.
מציין את סיסמת אימות ה-proxy.

4.10. המרת מפתח שורש של בעלים, אישורי מפתח שורש של AES ופיוז files לג'אם STAPL File פורמטים

אתה יכול להשתמש בפקודת שורת הפקודה quartus_pfg כדי להמיר qky, מפתח AES שורש .ccert ו-.fuse files לפורמט Jam STAPL File (.jam) ו-Jam Byte Code Format File (.jbc). אתה יכול להשתמש באלה files לתכנת רכיבי FPGA של אינטל באמצעות Jam STAPL Player ו-Jam STAPL Byte-Code Player, בהתאמה.

‎.jam או ‎.jbc יחיד מכילים מספר פונקציות כולל תצורה ותוכנית של תמונת מסייע קושחה, בדיקה ריקה ואימות של תכנות מפתח ופיוז.

זְהִירוּת:

כאשר אתה ממיר את מפתח השורש של AES .ccert file לפורמט .jam, ה-.jam file מכיל את מפתח AES בטקסט רגיל אך בצורה מעורפלת. כתוצאה מכך, עליך להגן על ה-.jam file בעת אחסון מפתח AES. אתה יכול לעשות זאת על ידי הקצאת מפתח AES בסביבה מאובטחת.

הנה האקסampפקודות המרה של quartus_pfg:

quartus_pfg -c -o helper_device=AGFB014R24A "root0.qky;root1.qky;root2.qky" RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A "root0.qky;root.qky;root.qky;root1.kky;rootcgky;root2.kky. c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGF_014A settings -o helper_device=AGF24A.fuseg. o helper_device=AGFB014R24A הגדרות. fuse settings_fuse.jbc

למידע נוסף על השימוש ב-Jam STAPL Player לתכנות התקנים, עיין ב-AN 425: שימוש בפתרון Jam STAPL בשורת הפקודה לתכנות התקנים.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 45

4. אספקת התקנים 683823 | 2023.05.23
הפעל את הפקודות הבאות כדי לתכנת את מפתח הבסיס הציבורי של הבעלים ומפתח ההצפנה של AES:
//כדי לטעון את זרם הסיביות המסייע ל-FPGA. // זרם הסיביות המסייע כולל אספקת קושחה quartus_jli -c 1 -a CONFIGURE RootKey.jam
//כדי לתכנת את מפתח הבסיס הציבורי של הבעלים לתוך eFuses וירטואליים quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//כדי לתכנת את מפתח הבסיס הציבורי של הבעלים לתוך eFuses פיזיים quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//כדי לתכנת את מפתח השורש הציבורי של בעל ה-PR לתוך eFuses וירטואליים quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//כדי לתכנת את מפתח הבסיס הציבורי של בעל ה-PR לתוך eFuses פיזיים quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//כדי לתכנת את מפתח ההצפנה AES CCERT לתוך BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//לתכנת מפתח ההצפנה של AES CCERT לתוך eFuses פיזיים quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
מידע קשור AN 425: שימוש בפתרון Jam STAPL בשורת הפקודה עבור תכנות התקן

מדריך למשתמש של Intel Agilex® 7 Device Security 46

שלח משוב

683823 | 2023.05.23 שלח משוב

תכונות מתקדמות

5.1. הרשאת ניפוי באגים מאובטחת
כדי לאפשר הרשאת ניפוי באגים מאובטחת, בעל ניפוי הבאגים צריך ליצור זוג מפתחות אימות ולהשתמש במתכנת Intel Quartus Prime Pro כדי ליצור מידע על התקן file עבור המכשיר שמריץ את תמונת ניפוי הבאגים:
quartus_pgm -c 1 -mjtag -o "ei;device_info.txt;AGFB014R24A" -dev_info
בעל ההתקן משתמש בכלי quartus_sign או ביישום ההפניה כדי לצרף ערך מפתח ציבורי מותנה לשרשרת חתימה המיועדת לפעולות ניפוי באגים באמצעות המפתח הציבורי מבעל ניפוי הבאגים, ההרשאות הנדרשות, טקסט המידע של המכשיר file, והגבלות נוספות החלות:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″=input_pem debug_authorization_public_key.pem secure_debug_auth_chain.qky
בעל המכשיר שולח את שרשרת החתימה המלאה בחזרה לבעל ניפוי הבאגים, שמשתמש בשרשרת החתימה ובמפתח הפרטי שלו כדי לחתום על תמונת ניפוי הבאגים:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
אתה יכול להשתמש בפקודה quartus_pfg כדי לבדוק את שרשרת החתימה של כל חלק בזרם סיביות ניפוי באגים מאובטח חתום זה כדלקמן:
quartus_pfg –check_integrity authorized_debug_design.rbf
הפלט של פקודה זו מדפיס את ערכי ההגבלה 1,2,17,18 של המפתח הציבורי המותנה ששימש ליצירת זרם הסיביות החתום.
לאחר מכן הבעלים של ניפוי הבאגים יכול לתכנת את עיצוב ניפוי הבאגים המאושר בצורה מאובטחת:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
בעל ההתקן רשאי לבטל את הרשאת ניפוי הבאגים המאובטח על ידי ביטול מזהה ביטול המפתח המפורש שהוקצה בשרשרת חתימת הרשאת ניפוי הבאגים המאובטחת.
5.2. אישורי ניפוי באגים של HPS
הפעלת גישה מורשית בלבד ליציאת הגישה לניפוי באגים של HPS (DAP) דרך JTAG הממשק דורש מספר שלבים:

ISO 9001:2015 רשום

5. תכונות מתקדמות 683823 | 2023.05.23
1. לחץ על התפריט Assignments Software של Intel Quartus Prime ובחר בכרטיסייה Device Device and Pin Options Configuration.
2. בכרטיסייה תצורה, הפעל את יציאת הגישה לניפוי באגים של HPS (DAP) על-ידי בחירה ב-HPS Pins או SDM Pins מהתפריט הנפתח, והבטחת התיבה אפשר HPS debug without certificates לא מסומנת.
איור 14. ציין או HPS או SDM Pins עבור HPS DAP

יציאת גישה לניפוי באגים של HPS (DAP)
לחלופין, אתה יכול להגדיר את ההקצאה למטה בהגדרות Quartus Prime .qsf file:
set_global_assignment -שם HPS_DAP_SPLIT_MODE "SDM PINS"
3. קומפלו וטען את העיצוב עם הגדרות אלה. 4. צור שרשרת חתימה עם ההרשאות המתאימות לחתימה על ניפוי באגים של HPS
תְעוּדָה:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_chain.q
5. בקש אישור איתור באגים HPS לא חתום מהמכשיר שבו נטען עיצוב הבאגים:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. חתום על תעודת ניפוי הבאגים הלא חתומה של HPS באמצעות הכלי quartus_sign או יישום הפניות ושרשרת חתימות ניפוי הבאגים של HPS:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

מדריך למשתמש של Intel Agilex® 7 Device Security 48

שלח משוב

5. תכונות מתקדמות 683823 | 2023.05.23
7. שלח את אישור ניפוי הבאגים החתום של HPS בחזרה למכשיר כדי לאפשר גישה ליציאת הגישה לניפוי באגים של HPS (DAP):
quartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
אישור ניפוי הבאגים של HPS תקף רק מרגע יצירתו ועד למחזור ההפעלה הבא של ההתקן או עד לטעינת קושחת SDM מסוג או גרסה אחרת. עליך ליצור, לחתום ולתכנת את תעודת ניפוי ה-HPS החתום, ולבצע את כל פעולות ניפוי הבאגים, לפני הפעלת המכשיר. אתה יכול לבטל את תוקף תעודת ניפוי ה-HPS החתומה על ידי הפעלת ההתקן.
5.3. אישור פלטפורמה
אתה יכול ליצור מניפסט שלמות הפניות (.rim) file באמצעות התכנות file כלי מחולל:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
בצע את השלבים הבאים כדי להבטיח את אישור הפלטפורמה בעיצוב שלך: 1. השתמש במתכנת Intel Quartus Prime Pro כדי להגדיר את המכשיר שלך עם
עיצוב שיצרת מניפסט שלמות הפניות עבורו. 2. השתמש במאמת אישור פלטפורמה כדי לרשום את המכשיר על ידי הוצאת פקודות ל-
SDM דרך תיבת הדואר SDM ליצירת אישור מזהה המכשיר ואישור הקושחה בעת טעינה מחדש. 3. השתמש במתכנת Intel Quartus Prime Pro כדי להגדיר מחדש את המכשיר שלך עם העיצוב. 4. השתמש במאמת אישור הפלטפורמה כדי להנפיק פקודות ל-SDM כדי לקבל את מזהה התקן האישור, הקושחה ואישורי הכינוי. 5. השתמש במאמת האישור כדי להנפיק את פקודת תיבת הדואר SDM כדי לקבל את הראיות לאישור והמאמת בודק את הראיות שהוחזרו.
אתה יכול ליישם שירות אימות משלך באמצעות פקודות תיבת הדואר של SDM, או להשתמש בשירות אימות אימות פלטפורמת Intel. למידע נוסף על תוכנת שירות אימות פלטפורמת Intel, זמינות ותיעוד, פנה לתמיכה של Intel.
מידע קשור Intel Agilex 7 Device Family Pin Connection Guidelines
5.4. אנטי-טי פיזיamper
אתה מפעיל את האנטי-t הפיזיampמאפיינים באמצעות השלבים הבאים: 1. בחירת התגובה הרצויה ל-t שזוההamper event 2. הגדרת התצורה הרצויהampשיטות ופרמטרים לזיהוי 3. כולל האנטי-tamper IP בלוגיקת העיצוב שלך כדי לסייע בניהול אנטי-טamper
אירועים

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 49

5. תכונות מתקדמות 683823 | 2023.05.23
5.4.1. אנטי-טיampאה תגובות
אתה מאפשר אנטי-ט פיזיampע"י בחירת תגובה מה-Anti-tampתשובה: רשימה נפתחת ב-Assignments Device Device and Pin Options Security Anti-Tampהכרטיסייה. כברירת מחדל, האנטי-tampהתגובה מושבתת. חמש קטגוריות של אנטי-טampתשובה זמינה. כאשר אתה בוחר את התגובה הרצויה, האפשרויות להפעלת שיטת זיהוי אחת או יותר מופעלות.
איור 15. Anti-T זמיןamper אפשרויות תגובה

המשימה המתאימה בהגדרות Quartus Prime .gsf file הוא הבא:
set_global_assignment -שם ANTI_TAMPER_RESPONSE "התקן התראה מחיקת נעילת התקן ואיפוס"
כאשר אתה מפעיל anti-tampבתגובה, תוכל לבחור שני פיני I/O ייעודיים ל-SDM זמינים כדי להוציא את ה-tampזיהוי אירוע וסטטוס תגובה באמצעות החלון Assignments Device Device and Pin Options Configuration Configuration Pin Options חלון.

מדריך למשתמש של Intel Agilex® 7 Device Security 50

שלח משוב

5. תכונות מתקדמות 683823 | 2023.05.23
איור 16. פיני I/O ייעודיים SDM זמינים עבור Tampזיהוי אירועים

אתה יכול גם לבצע את הקצאות הסיכה הבאות בהגדרות file: set_global_assignment -שם USE_TAMPER_DETECT SDM_IO15 set_global_assignment -שם ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. אנטי-טיampזיהוי

אתה יכול להפעיל בנפרד את התדר, הטמפרטורה והנפחtagתכונות זיהוי של ה-SDM. זיהוי FPGA תלוי בהכללת ה-Anti-Tamper Lite Intel FPGA IP בעיצוב שלך.

פֶּתֶק:

תדר SDM וכרךtagetampשיטות הזיהוי תלויות בהפניות פנימיות ובחומרת מדידה שיכולה להשתנות בין המכשירים. אינטל ממליצה לאפיין את ההתנהגות של tampהגדרות זיהוי.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 51

5. תכונות מתקדמות 683823 | 2023.05.23
תדר לאampזיהוי er פועל על מקור שעון התצורה. כדי לאפשר תדר tampזיהוי, עליך לציין אפשרות שאינה מתנד פנימי בתפריט הנפתח Configuration clock source בכרטיסייה Assignments Device Device and Pin Options General. עליך לוודא שתיבת הסימון הפעל תצורת CPU ממתנד פנימי מופעלת לפני הפעלת התדר tampזיהוי. איור 17. הגדרת ה-SDM ל-Internal Oscillator
כדי לאפשר תדר tampלזיהוי, בחר את האפשר תדר tampתיבת הסימון של זיהוי ובחר את התדר הרצוי tampטווח זיהוי מהתפריט הנפתח. איור 18. הפעלת תדר Tampזיהוי

מדריך למשתמש של Intel Agilex® 7 Device Security 52

שלח משוב

5. תכונות מתקדמות 683823 | 2023.05.23
לחלופין, תוכל להפעיל את Frequency Tampזיהוי על ידי ביצוע השינויים הבאים בהגדרות Quartus Prime .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -ENNCABYLE_FREAMPER_DETECTION על set_global_assignment -שם FREQUENCY_TAMPER_DETECTION_RANGE 35
כדי לאפשר טמפרטורה tampלזיהוי, בחר את האפשר טמפרטורה tampתיבת סימון זיהוי ובחר את הטמפרטורה העליונה והתחתון הרצוי בשדות המתאימים. הגבול העליון והתחתון מאוכלס כברירת מחדל בטווח הטמפרטורות הקשור למכשיר שנבחר בעיצוב.
כדי לאפשר כרךtagetampלאחר זיהוי, אתה בוחר באחד או את שניהם מהאפשרות Enable VCCL voltagetampזיהוי או הפעלת VCCL_SDM voltagetampתיבות סימון זיהוי ובחר את הכרך הרצויtagetampזיהוי הדק באחוזיםtage בשדה המתאים.
איור 19. Enabling Voltagה Tampזיהוי

לחלופין, תוכל להפעיל את Voltagה Tamper זיהוי על ידי ציון ההקצאות הבאות ב-.qsf file:
set_global_assignment -שם ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -שם TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -שם ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -שם ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION פועל
5.4.3. אנטי-טיamper Lite Intel FPGA IP
האנטי-טיamper Lite Intel FPGA IP, זמין בקטלוג ה-IP בתוכנת Intel Quartus Prime Pro Edition, מאפשר תקשורת דו-כיוונית בין העיצוב שלך ל-SDM עבור tampאר אירועים.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 53

איור 20. Anti-Tamper Lite Intel FPGA IP

5. תכונות מתקדמות 683823 | 2023.05.23

ה-IP מספק את האותות הבאים שאתה מחבר לעיצוב שלך לפי הצורך:

טבלה 5.

אנטי טיamper Lite Intel FPGA IP I/O Signals

שם אות

כיוון

תֵאוּר

gpo_sdm_at_event gpi_fpga_at_event

פלט קלט

אות SDM ללוגיקה של מרקם FPGA ש-SDM זיהה tampאר אירוע. ללוגיקה של FPGA יש בערך 5ms לבצע כל ניקוי רצוי ולהגיב ל-SDM באמצעות gpi_fpga_at_response_done ו-gpi_fpga_at_zeroization_done. ה-SDM ממשיך עם ה-tampפעולות תגובה כאשר gpi_fpga_at_response_done נטען או לאחר שלא התקבלה תגובה בזמן המוקצב.
פסיקת FPGA ל-SDM שתוכננה נגד ה-Tampמעגל זיהוי ER זיהה tampאירוע ו- SDM tampיש להפעיל את התגובה.

gpi_fpga_at_response_done

קֶלֶט

פסיקת FPGA ל-SDM שהלוגיקת FPGA ביצעה את הניקוי הרצוי.

gpi_fpga_at_zeroization_d אחד

קֶלֶט

FPGA אותת ל-SDM שהלוגיקה של FPGA השלימה כל איפוס רצוי של נתוני עיצוב. האות הזה הוא sampled כאשר gpi_fpga_at_response_done מוצהר.

5.4.3.1. מידע על שחרור

מספר ערכת גרסאות ה-IP (X.Y.Z) משתנה מגרסת תוכנה אחת לאחרת. שינוי ב:
· X מציין עדכון גדול של ה-IP. אם אתה מעדכן את תוכנת Intel Quartus Prime שלך, עליך ליצור מחדש את ה-IP.
· Y מציין שה-IP כולל תכונות חדשות. צור מחדש את ה-IP שלך כדי לכלול את התכונות החדשות הללו.
· Z מציין שה-IP כולל שינויים קלים. צור מחדש את ה-IP שלך כדי לכלול את השינויים האלה.

טבלה 6.

אנטי טיamper Lite Intel FPGA IP שחרור מידע

גרסת IP

פָּרִיט

תיאור 20.1.0

גרסת Intel Quartus Prime

21.2

תאריך יציאה

2021.06.21

מדריך למשתמש של Intel Agilex® 7 Device Security 54

שלח משוב

5. תכונות מתקדמות 683823 | 2023.05.23
5.5. שימוש בתכונות אבטחת עיצוב עם עדכון מערכת מרחוק
עדכון מערכת מרחוק (RSU) הוא תכונת Intel Agilex 7 FPGAs המסייעת בעדכון התצורה fileבצורה חזקה. RSU תואם לתכונות אבטחה עיצוביות כגון אימות, חתימה משותפת של קושחה והצפנת זרם סיביות שכן RSU אינו תלוי בתוכן העיצוב של זרמי סיביות של תצורה.
בניית תמונות RSU עם ‎.sof Files
אם אתה מאחסן מפתחות פרטיים במקומך fileמערכת, תוכל ליצור תמונות RSU עם תכונות אבטחה עיצוביות באמצעות זרימה פשוטה עם .sof files ככניסות. ליצירת תמונות RSU עם ה-.sof file, תוכל לבצע את ההוראות בסעיף יצירת תמונת עדכון מערכת מרחוק Files שימוש בתכנות File מחולל מדריך התצורה של Intel Agilex 7. עבור כל .sof file המצוין בקלט Fileבכרטיסייה, לחץ על הלחצן מאפיינים... וציין את ההגדרות והמפתחות המתאימות עבור כלי החתימה וההצפנה. התכנות file כלי המחולל חותם ומצפין אוטומטית תמונות מפעל ואפליקציות תוך יצירת תכנות ה-RSU files.
לחלופין, אם אתה מאחסן מפתחות פרטיים ב-HSM, עליך להשתמש בכלי quartus_sign ולכן להשתמש ב-.rbf fileס. שאר החלק הזה מפרט את השינויים בזרימה ליצירת תמונות RSU עם rbf files ככניסות. עליך להצפין ולחתום בפורמט rbf fileלפני בחירתם כקלט files עבור תמונות RSU; עם זאת, מידע האתחול של RSU file אסור להצפין ובמקום זאת רק להיות חתום. התכנות File המחולל אינו תומך בשינוי מאפיינים של פורמט rbf files.
האקס הבאamples מדגימים את השינויים הדרושים לפקודות בסעיף יצירת תמונת עדכון מערכת מרחוק Files שימוש בתכנות File מחולל מדריך התצורה של Intel Agilex 7.
יצירת תמונת ה-RSU הראשונית באמצעות rbf Files: שינוי פקודה
מיצירת תמונת ה-RSU הראשונית באמצעות rbf Fileבסעיף, שנה את הפקודות בשלב 1. כדי לאפשר את תכונות האבטחה העיצוביות כרצונך תוך שימוש בהוראות מסעיפים קודמים של מסמך זה.
למשלample, תציין קושחה חתומה file אם השתמשת בעיצוב קושחה, השתמש בכלי ההצפנה של Quartus כדי להצפין כל rbf. file, ולבסוף השתמש בכלי quartus_sign כדי לחתום על כל אחד מהם file.
בשלב 2, אם הפעלת חתימה משותפת של קושחה, עליך להשתמש באפשרות נוספת ביצירת קובץ האתחול .rbf מתמונת היצרן file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
לאחר יצירת מידע האתחול .rbf file, השתמש בכלי quartus_sign כדי לחתום על .rbf file. אסור להצפין את פרטי האתחול rbf file.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 55

5. תכונות מתקדמות 683823 | 2023.05.23
יצירת תמונת אפליקציה: שינוי פקודה
כדי ליצור תמונת יישום עם תכונות אבטחה עיצוביות, אתה משנה את הפקודה ביצירת תמונת יישום כדי להשתמש ב-.rbf עם תכונות אבטחת עיצוב מופעלות, כולל קושחה בחתימה משותפת במידת הצורך, במקום היישום המקורי .sof file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
יצירת תמונת עדכון מפעל: שינוי פקודה
לאחר יצירת מידע האתחול .rbf file, אתה משתמש בכלי quartus_sign כדי לחתום על ה-.rbf file. אסור להצפין את פרטי האתחול rbf file.
כדי ליצור תמונת עדכון מפעל RSU, אתה משנה את הפקודה מיצירת תמונת עדכון מפעל לשימוש ב-.rbf file עם תכונות אבטחה עיצוביות מופעלות והוסף אפשרות לציין את השימוש בקושחה בחתימה משותפת:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
מידע קשור Intel Agilex 7 Configuration Guide
5.6. שירותי קריפטוגרפיה SDM
ה-SDM במכשירי Intel Agilex 7 מספק שירותי קריפטוגרפיה שהלוגיקה של מרקם FPGA או ה-HPS עשויים לבקש דרך ממשק תיבת הדואר של SDM בהתאמה. למידע נוסף על פקודות תיבת הדואר ותבניות הנתונים עבור כל שירותי ההצפנה SDM, עיין בנספח B במדריך למשתמש של מתודולוגיית אבטחה עבור Intel FPGAs ו-Structured ASICs.
כדי לגשת לממשק תיבת הדואר של SDM ללוגיקית מארג FPGA עבור שירותי הצפנה של SDM, עליך להפעיל את ה-Mailbox Client Intel FPGA IP בעיצוב שלך.
קוד הפניה לגישה לממשק תיבת הדואר של SDM מה-HPS כלול בקוד ה-ATF וה-Linux שמספקים אינטל.
מידע קשור מדריך למשתמש של תיבת הדואר של Intel FPGA IP
5.6.1. אתחול מורשה ספק
אינטל מספקת יישום עזר לתוכנת HPS המשתמשת בתכונת האתחול המורשית של הספק כדי לאמת את תוכנת האתחול של HPS מהראשונותtagמטעין האתחול דרך ליבת לינוקס.
מידע קשור Intel Agilex 7 SoC Secure Boot Demo Design

מדריך למשתמש של Intel Agilex® 7 Device Security 56

שלח משוב

5. תכונות מתקדמות 683823 | 2023.05.23
5.6.2. שירות אובייקט נתונים מאובטח
אתה שולח את הפקודות דרך תיבת הדואר של SDM כדי לבצע הצפנה ופענוח של אובייקט SDOS. אתה יכול להשתמש בתכונת SDOS לאחר הקצאת מפתח השורש של SDOS.
מידע קשור אבטחת מפתח בסיס של שירות אובייקט נתונים מאובטח בעמוד 30
5.6.3. שירותי SDM קריפטוגרפיים פרימיטיביים
אתה שולח את הפקודות דרך תיבת הדואר של SDM כדי ליזום פעולות שירות פרימיטיביות קריפטוגרפיות של SDM. שירותים פרימיטיביים קריפטוגרפיים מסוימים דורשים להעביר יותר נתונים אל ה-SDM וממנו ממה שממשק תיבת הדואר יכול לקבל. במקרים אלה, הפקודה של הפורמט משתנה כדי לספק מצביעים לנתונים בזיכרון. בנוסף, עליך לשנות את המופע של Mailbox Client Intel FPGA IP כדי להשתמש בשירותים פרימיטיביים קריפטוגרפיים SDM מהלוגיקה של מרקם FPGA. עליך להגדיר בנוסף את הפרמטר Enable Crypto Service ל-1 ולחבר את ממשק יוזם ה-AXI החדש שנחשף לזיכרון בעיצוב שלך.
איור 21. הפעלת שירותי קריפטוגרפיה SDM ב-Mailbox Client Intel FPGA IP

5.7. הגדרות אבטחה של Bitstream (FM/S10)
אפשרויות FPGA Bitstream Security הן אוסף של מדיניות המגבילה את התכונה או אופן הפעולה שצוינו בתוך תקופה מוגדרת.
אפשרויות אבטחת ביטסטרים מורכבות מדגלים שאתה מגדיר בתוכנת Intel Quartus Prime Pro Edition. דגלים אלה מועתקים אוטומטית לזרמי הסיביות של התצורה.
אתה יכול לאכוף לצמיתות אפשרויות אבטחה במכשיר באמצעות הגדרת האבטחה המתאימה eFuse.
כדי להשתמש בהגדרות אבטחה כלשהן בזרם הסיביות של התצורה או ב-eFuses של ההתקן, עליך להפעיל את תכונת האימות.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 57

5. תכונות מתקדמות 683823 | 2023.05.23
5.7.1. בחירה והפעלה של אפשרויות אבטחה
כדי לבחור ולאפשר אפשרויות אבטחה, בצעו את הפעולות הבאות: מתפריט Assignments, בחרו Device Device and Pin Options Security אפשרויות נוספות... איור 22. בחירה והפעלה של אפשרויות אבטחה

ולאחר מכן בחר את הערכים מהרשימות הנפתחות עבור אפשרויות האבטחה שברצונך להפעיל כפי שמוצג בדוגמה הבאהampעל:
איור 23. בחירת ערכים עבור אפשרויות אבטחה

מדריך למשתמש של Intel Agilex® 7 Device Security 58

שלח משוב

5. תכונות מתקדמות 683823 | 2023.05.23
להלן השינויים המתאימים בהגדרות Quartus Prime .qsf file:
set_global_assignment -שם SECU_OPTION_DISABLE_JTAG "ON CHECK" set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE "ON DICKE" set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECU_OPTION_DISABLE_DISABLE_Global_set CK_SECURITY_EFUSES ON set_global_assignment -שם SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -שם SECU_OPTION_EFUS_DISABLE_Global_Name OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES על set_global_assignment -שם SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES על set_global_assignment -שם SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM על set_global_assignment -שם SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 59

683823 | 2023.05.23 שלח משוב

פתרון בעיות

פרק זה מתאר שגיאות נפוצות והודעות אזהרה שאתה עלול להיתקל בהן בעת ניסיון להשתמש בתכונות האבטחה של המכשיר ובאמצעים כדי לפתור אותן.
6.1. שימוש בפקודות Quartus בשגיאת סביבת Windows
שגיאה quartus_pgm: הפקודה לא נמצאה תיאור שגיאה זו מוצגת בעת ניסיון להשתמש בפקודות Quartus במעטפת NIOS II בסביבת Windows באמצעות WSL. החלטה פקודה זו פועלת בסביבת לינוקס; עבור מארחים של Windows, השתמש בפקודה הבאה: quartus_pgm.exe -h באופן דומה, החל את אותו תחביר על פקודות אחרות של Quartus Prime כגון quartus_pfg, quartus_sign, quartus_encrypt בין פקודות אחרות.

ISO 9001:2015 רשום

6. פתרון תקלות 683823 | 2023.05.23

6.2. הפקת אזהרת מפתח פרטי

אַזהָרָה:

הסיסמה שצוינה נחשבת לא בטוחה. אינטל ממליצה להשתמש לפחות ב-13 תווים של סיסמה. מומלץ לשנות את הסיסמה באמצעות קובץ ההפעלה OpenSSL.

openssl ec -in -הַחוּצָה -aes256

תֵאוּר
אזהרה זו קשורה לחוזק הסיסמה ומוצגת כאשר מנסים ליצור מפתח פרטי על ידי הוצאת הפקודות הבאות:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

רזולוציה השתמש בקובץ ההפעלה openssl כדי לציין סיסמה ארוכה יותר ובכך חזקה יותר.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 61

6. פתרון תקלות 683823 | 2023.05.23
6.3. הוספת מפתח חתימה לשגיאת פרויקט Quartus
שגיאה…File מכיל מידע על מפתח שורש...
תֵאוּר
לאחר הוספת מפתח חתימה qky file לפרויקט Quartus, עליך להרכיב מחדש את ה-.sof file. כאשר אתה מוסיף את ה-.sof המחודש הזה file למכשיר הנבחר באמצעות Quartus Programmer, הודעת השגיאה הבאה מציינת כי file מכיל מידע על מפתח שורש:
הוספה נכשלהfile-path-name> למתכנת. ה file מכיל מידע על מפתח שורש (.qky). עם זאת, מתכנת אינו תומך בתכונת חתימת זרם סיביות. אתה יכול להשתמש בתכנות File גנרטור להמרת file ל-Raw Binary החתום file (.rbf) עבור תצורה.
הַחְלָטָה
השתמש בתכנות Quartus file מחולל להמרת file לתוך Raw Binary חתום File rbf עבור תצורה.
מידע קשור תצורת סיביות חתימה באמצעות הפקודה quartus_sign בעמוד 13

מדריך למשתמש של Intel Agilex® 7 Device Security 62

שלח משוב

6. פתרון תקלות 683823 | 2023.05.23
6.4. יצירת תכנות Quartus Prime File לא הצליח
שְׁגִיאָה
שגיאה (20353): X של מפתח ציבורי מ-QKY אינו תואם למפתח פרטי מ-PEM file.
שגיאה (20352): נכשל בחתימת זרם הסיביות באמצעות סקריפט python agilex_sign.py.
שגיאה: תכנות Quartus Prime File הגנרטור לא הצליח.
תיאור אם תנסה לחתום על זרם סיביות של תצורה באמצעות מפתח פרטי שגוי .pem file או .pem file שאינו תואם את ה-qky שנוסף לפרויקט, השגיאות הנפוצות לעיל מוצגות. החלטה ודא שאתה משתמש במפתח הפרטי הנכון .pem כדי לחתום על זרם הסיביות.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 63

6. פתרון תקלות 683823 | 2023.05.23
6.5. שגיאות טיעון לא ידועות
שְׁגִיאָה
שגיאה (23028): ארגומנט לא ידוע "ûc". עיין ב-עזרה לטיעונים משפטיים.
שגיאה (213008): מחרוזת אפשרות התכנות "ûp" אינה חוקית. עיין ב-help עבור פורמטים של אפשרויות תכנות חוקיות.
תיאור אם אתה מעתיק ומדביק אפשרויות שורת פקודה מקובץ PDF file במעטפת Windows NIOS II, אתה עלול להיתקל בשגיאות ארגומנט לא ידועות כפי שמוצג לעיל. פתרון במקרים כאלה, אתה יכול להזין ידנית את הפקודות במקום להדביק מהלוח.

מדריך למשתמש של Intel Agilex® 7 Device Security 64

שלח משוב

6. פתרון תקלות 683823 | 2023.05.23
6.6. אפשרות הצפנה בזרם סיביות מושבתת שגיאה
שְׁגִיאָה
לא ניתן לסיים את ההצפנה עבור file עיצוב .sof מכיוון שהוא הידור עם אפשרות ההצפנה בזרם סיביות מושבתת.
תיאור אם תנסה להצפין את זרם הסיביות באמצעות GUI או שורת הפקודה לאחר שקיבלת את הפרויקט עם אפשרות ההצפנה של זרם הסיביות מושבתת, Quartus דוחה את הפקודה כפי שמוצג לעיל.
החלטה ודא שאתה מקמפל את הפרויקט עם אפשרות ההצפנה של זרם סיביות מופעלת באמצעות GUI או שורת פקודה. כדי להפעיל אפשרות זו ב-GUI, עליך לסמן את תיבת הסימון של אפשרות זו.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 65

6. פתרון תקלות 683823 | 2023.05.23
6.7. ציון הנתיב הנכון למפתח
שְׁגִיאָה
שגיאה (19516): זוהה תכנות File שגיאת הגדרות מחולל: לא ניתן למצוא את 'מפתח_file'. ודא ש file ממוקם במיקום הצפוי או עדכן את ה-setting.sec
שגיאה (19516): זוהה תכנות File שגיאת הגדרות מחולל: לא ניתן למצוא את 'מפתח_file'. ודא ש file ממוקם במיקום הצפוי או עדכן את ההגדרה.
תֵאוּר
אם אתה משתמש במפתחות המאוחסנים ב- file מערכת, עליך לוודא שהם מציינים את הנתיב הנכון עבור המפתחות המשמשים להצפנה וחתימה בזרם סיביות. אם התכנות File הגנרטור לא יכול לזהות את הנתיב הנכון, הודעות השגיאה לעיל מוצגות.
הַחְלָטָה
עיין בהגדרות Quartus Prime .qsf file כדי לאתר את הנתיבים הנכונים למפתחות. ודא שאתה משתמש בנתיבים יחסיים במקום בנתיבים מוחלטים.

מדריך למשתמש של Intel Agilex® 7 Device Security 66

שלח משוב

6. פתרון תקלות 683823 | 2023.05.23
6.8. שימוש בפלט לא נתמך File סוּג
שְׁגִיאָה
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
שגיאה (19511): פלט לא נתמך file סוג (ebf). השתמש באפשרות "-l" או "–list" כדי להציג נתמכים file סוג מידע.
תיאור בעת שימוש בתכנות Quartus File מחולל ליצירת זרם סיביות של התצורה המוצפנת והחתומה, ייתכן שתראה את השגיאה לעיל אם פלט לא נתמך file הסוג מצוין. רזולוציה השתמש באפשרות -l או -list כדי לראות את רשימת הנתמכים file סוגים.

שלח משוב

מדריך למשתמש של Intel Agilex® 7 Device Security 67

683823 | 2023.05.23 שלח משוב
7. מדריך למשתמש של Intel Agilex 7 Device Security Archives
לגרסה העדכנית והקודמת של מדריך למשתמש זה, עיין במדריך למשתמש של Intel Agilex 7 Device Security. אם גרסת IP או תוכנה אינה מופיעה ברשימה, המדריך למשתמש עבור ה-IP או גרסת התוכנה הקודמת חל.

ISO 9001:2015 רשום

683823 | 2023.05.23 שלח משוב

8. היסטוריית גרסאות עבור המדריך למשתמש של Intel Agilex 7 Device Security

גרסת מסמך 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

מסמכים / משאבים

Intel Agilex 7 Device Security [pdfמדריך למשתמש
Agilex 7 Device Security, Agilex 7, Device Security, Security

הפניות

מדריך למשתמש

Intel Agilex 7 Device Security

מידע על המוצר

הוראות שימוש במוצר

שאלות נפוצות

אבטחת המכשיר הסתיימהview

אימות והרשאה

הצפנת AES Bitstream

הקצאת מכשיר

תכונות מתקדמות

פתרון בעיות

מסמכים / משאבים

הפניות

השאר תגובה

בטל תשובה