Manual Pangguna Keamanan Piranti Intel Agilex 7

Intel setya marang keamanan produk lan nyaranake pangguna supaya ngerti sumber daya keamanan produk sing diwenehake. Sumber daya kasebut kudu digunakake sajrone urip produk Intel.

2. Fitur Keamanan ngrancang

Fitur keamanan ing ngisor iki direncanakake kanggo rilis piranti lunak Intel Quartus Prime Pro Edition ing mangsa ngarep:

Verifikasi Keamanan Bitstream Reconfiguration Parsial: Nyedhiyakake jaminan tambahan yen bitstream Reconfiguration Parsial (PR) ora bisa ngakses utawa ngganggu bitstream persona PR liyane.

Piranti Self-Kill kanggo Fisik Anti-Tamper: Nindakake ngilangke piranti utawa respon zeroization piranti lan program eFuses kanggo nyegah piranti saka konfigurasi maneh.

3. Dokumentasi Keamanan kasedhiya

Tabel ing ngisor iki nampilake dokumentasi sing kasedhiya kanggo fitur keamanan piranti ing piranti Intel FPGA lan Structured ASIC:

Jeneng Dokumen	tujuane
Metodologi Keamanan kanggo Intel FPGA lan Panganggo ASICs Terstruktur Panuntun	Dokumen tingkat paling dhuwur sing menehi katrangan rinci babagan fitur keamanan lan teknologi ing Intel Programmable Solutions Produk. Mbantu pangguna milih fitur keamanan sing dibutuhake nggayuh tujuan keamanan.
Pandhuan Pangguna Keamanan Piranti Intel Stratix 10	Pandhuan kanggo pangguna piranti Intel Stratix 10 kanggo dileksanakake fitur keamanan sing diidentifikasi nggunakake Metodologi Keamanan Pandhuan pangguna.
Pandhuan Pangguna Keamanan Piranti Intel Agilex 7	Pandhuan kanggo pangguna piranti Intel Agilex 7 kanggo ngleksanakake fitur keamanan sing diidentifikasi nggunakake Metodologi Keamanan Pandhuan pangguna.
Pandhuan Pangguna Keamanan Piranti Intel eASIC N5X	Pandhuan kanggo pangguna piranti Intel eASIC N5X kanggo ngleksanakake fitur keamanan sing diidentifikasi nggunakake Metodologi Keamanan Pandhuan pangguna.
Layanan Kriptografi Intel Agilex 7 lan Intel eASIC N5X HPS Pandhuan pangguna	Informasi kanggo insinyur piranti lunak HPS babagan implementasine lan nggunakake perpustakaan piranti lunak HPS kanggo ngakses layanan kriptografi diwenehake dening SDM.
AN-968 Black Key Provisioning Service Pandhuan Mulai Cepet	Rampungake langkah-langkah kanggo nyiyapake Penyediaan Tombol Ireng layanan.

Pitakonan sing Sering Ditakoni

P: Apa tujuane Pandhuan Panganggo Metodologi Keamanan?

A: Pandhuan Pangguna Metodologi Keamanan nyedhiyakake katrangan rinci babagan fitur lan teknologi keamanan ing Produk Solusi Intel Programmable. Iki mbantu pangguna milih fitur keamanan sing dibutuhake kanggo nggayuh tujuan keamanan.

P: Ing endi aku bisa nemokake Pandhuan Pangguna Keamanan Piranti Intel Agilex 7?

A: Pandhuan Pangguna Keamanan Piranti Intel Agilex 7 bisa ditemokake ing Pusat Sumber Daya lan Desain Intel websitus.

P: Apa layanan Penyediaan Kunci Hitam?

A: Layanan Penyediaan Tombol Ireng minangka layanan sing nyedhiyakake langkah-langkah lengkap kanggo nyiyapake panyedhiya kunci kanggo operasi sing aman.

View Fullscreen

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7
Dianyari kanggo Intel® Quartus® Prime Design Suite: 23.1

Versi Online Kirim Umpan Balik

UG-20335

683823 2023.05.23

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 2

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 3

683823 | 2023.05.23 Kirimi Umpan Balik
1. Intel Agilex® 7

Keamanan Piranti Overview

Intel® ngrancang piranti Intel Agilex® 7 kanthi hardware lan perangkat kukuh keamanan sing darmabakti lan bisa dikonfigurasi.
Dokumen iki ngemot instruksi kanggo mbantu sampeyan nggunakake piranti lunak Intel Quartus® Prime Pro Edition kanggo ngetrapake fitur keamanan ing piranti Intel Agilex 7.
Kajaba iku, Metodologi Keamanan kanggo Intel FPGA lan Pandhuan Pangguna ASIC Terstruktur kasedhiya ing Pusat Sumber & Desain Intel. Dokumen iki ngemot katrangan rinci babagan fitur lan teknologi keamanan sing kasedhiya liwat produk Intel Programmable Solutions kanggo mbantu sampeyan milih fitur keamanan sing dibutuhake kanggo nggayuh tujuan keamanan. Hubungi Dhukungan Intel kanthi nomer referensi 14014613136 kanggo ngakses Metodologi Keamanan kanggo Intel FPGA lan Pandhuan Pangguna ASIC Terstruktur.
Dokumen kasebut diatur kaya ing ngisor iki: · Otentikasi lan Wewenang: Nyedhiyakake instruksi kanggo nggawe
tombol otentikasi lan rante teken, aplikasi ijin lan revocations, obyek tandha, lan fitur otentikasi program ing piranti Intel Agilex 7. · AES Bitstream Encryption: Nyedhiyani instruksi kanggo nggawe kunci root AES, encrypt bitstream konfigurasi, lan nyedhiyakake kunci root AES menyang piranti Intel Agilex 7. · Penyediaan Piranti: Nyedhiyani instruksi kanggo nggunakake perangkat kukuh Intel Quartus Prime Programmer lan Secure Device Manager (SDM) kanggo fitur keamanan program ing piranti Intel Agilex 7. · Fitur Lanjut: Nyedhiyani instruksi kanggo ngaktifake fitur keamanan canggih, kalebu wewenang debug aman, debug Sistem Prosesor Keras (HPS), lan nganyari sistem remot.
1.1. Komitmen kanggo Keamanan Product
Komitmen suwene Intel kanggo keamanan ora tau dadi kuwat. Intel banget nyaranake supaya sampeyan kenal karo sumber daya keamanan produk kita lan rencana supaya bisa digunakake sajrone urip produk Intel.
Informasi sing gegandhengan · Keamanan Produk ing Intel · Advisories Pusat Keamanan Produk Intel

Intel Corporation. Kabeh hak dilindhungi undhang-undhang. Intel, logo Intel, lan merek Intel liyane minangka merek dagang saka Intel Corporation utawa anak perusahaan. Intel njamin kinerja produk FPGA lan semikonduktor kanggo specifications saiki miturut babar pisan standar Intel, nanging nduweni hak kanggo owah-owahan ing sembarang produk lan layanan ing sembarang wektu tanpa kabar. Intel ora tanggung jawab utawa tanggung jawab sing muncul saka aplikasi utawa panggunaan informasi, produk, utawa layanan sing diterangake ing kene kajaba sing disepakati kanthi tinulis dening Intel. Pelanggan Intel disaranake njupuk versi paling anyar saka spesifikasi piranti sadurunge ngandelake informasi sing diterbitake lan sadurunge nggawe pesenan kanggo produk utawa layanan. * Jeneng lan merek liyane bisa uga diklaim minangka properti wong liya.

ISO 9001:2015 Registered

1. Intel Agilex® 7 Keamanan Piranti Swaraview 683823 | 2023.05.23

1.2. Fitur Keamanan ngrancang

Fitur sing kasebut ing bagean iki direncanakake kanggo rilis piranti lunak Intel Quartus Prime Pro Edition ing mangsa ngarep.

Cathetan:

Informasi ing bagean iki minangka wiwitan.

1.2.1. Parsial Reconfiguration Bitstream Verifikasi Keamanan
Validasi keamanan bitstream reconfiguration parsial (PR) mbantu menehi jaminan tambahan yen bitstream PR persona ora bisa ngakses utawa ngganggu bitstream PR persona liyane.

1.2.2. Piranti Self-Kill kanggo Fisik Anti-Tamper
Mateni mandhiri piranti nindakake ngilangke piranti utawa respon zeroization piranti lan uga program eFuses kanggo nyegah piranti saka konfigurasi maneh.

1.3. Dokumentasi Keamanan kasedhiya

Tabel ing ngisor iki nyathet dokumentasi sing kasedhiya kanggo fitur keamanan piranti ing piranti Intel FPGA lan Structured ASIC:

Tabel 1.

Dokumentasi Keamanan Piranti sing kasedhiya

Jeneng Dokumen
Metodologi Keamanan kanggo Intel FPGAs lan Structured ASICs Pandhuan Pangguna

tujuane
Dokumen tingkat paling dhuwur sing ngemot katrangan rinci babagan fitur keamanan lan teknologi ing Intel Programmable Solutions Products. Tujuane kanggo mbantu sampeyan milih fitur keamanan sing dibutuhake kanggo nggayuh tujuan keamanan.

ID Dokumen 721596

Pandhuan Pangguna Keamanan Piranti Intel Stratix 10
Pandhuan Pangguna Keamanan Piranti Intel Agilex 7

Kanggo pangguna piranti Intel Stratix 10, pandhuan iki ngemot pandhuan kanggo nggunakake piranti lunak Intel Quartus Prime Pro Edition kanggo ngetrapake fitur keamanan sing diidentifikasi nggunakake Pandhuan Pangguna Metodologi Keamanan.
Kanggo pangguna piranti Intel Agilex 7, pandhuan iki ngemot pandhuan kanggo nggunakake piranti lunak Intel Quartus Prime Pro Edition kanggo ngetrapake fitur keamanan sing diidentifikasi nggunakake Pandhuan pangguna Metodologi Keamanan.

683642 683823

Pandhuan Pangguna Keamanan Piranti Intel eASIC N5X

Kanggo pangguna piranti Intel eASIC N5X, pandhuan iki ngemot pandhuan kanggo nggunakake piranti lunak Intel Quartus Prime Pro Edition kanggo ngetrapake fitur keamanan sing diidentifikasi nggunakake Pandhuan pangguna Metodologi Keamanan.

626836

Intel Agilex 7 lan Intel eASIC N5X HPS Pandhuan Pangguna Layanan Kriptografi

Pandhuan iki ngemot informasi kanggo mbantu insinyur piranti lunak HPS ing implementasine lan panggunaan perpustakaan piranti lunak HPS kanggo ngakses layanan kriptografi sing diwenehake dening SDM.

713026

AN-968 Black Key Provisioning Service Pandhuan Mulai Cepet

Pandhuan iki ngemot set lengkap langkah-langkah kanggo nyiyapake layanan Black Key Provisioning.

739071

Lokasi Intel Resource lan
Pusat Desain
Intel.com
Intel.com
Pusat Sumber Daya lan Desain Intel
Pusat Sumber Daya lan Desain Intel
Pusat Sumber Daya lan Desain Intel

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 5

683823 | 2023.05.23 Kirimi Umpan Balik

Authentication lan wewenang

Kanggo ngaktifake fitur otentikasi piranti Intel Agilex 7, sampeyan kudu miwiti nggunakake piranti lunak Intel Quartus Prime Pro Edition lan piranti sing gegandhengan kanggo mbangun rantai teken. Rantai teken kasusun saka kunci root, siji utawa luwih tombol teken, lan wewenang sing ditrapake. Sampeyan ngetrapake rantai teken menyang proyek Intel Quartus Prime Pro Edition lan program kompilasi files. Gunakake pandhuan ing Piranti Provisioning kanggo program tombol ROOT menyang piranti Intel Agilex 7.
Informasi sing gegandhengan
Penyediaan Piranti ing kaca 25

2.1. Nggawe Chain Signature
Sampeyan bisa nggunakake alat quartus_sign utawa implementasi referensi agilex_sign.py kanggo nindakake operasi chain teken. Dokumen iki nyedhiyakake examples nggunakake quartus_sign.
Kanggo nggunakake implementasi referensi, sampeyan ngganti telpon menyang interpreter Python sing kalebu piranti lunak Intel Quartus Prime lan ngilangi pilihan –family=agilex; kabeh opsi liyane padha. Kanggo example, printah quartus_sign ditemokaké mengko ing bagean iki
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky bisa diowahi dadi telpon sing padha karo implementasi referensi kaya ing ngisor iki
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Piranti lunak Intel Quartus Prime Pro Edition kalebu alat quartus_sign, pgm_py, lan agilex_sign.py. Sampeyan bisa nggunakake piranti cangkang perintah Nios® II, sing kanthi otomatis nyetel variabel lingkungan sing cocog kanggo ngakses alat kasebut.

Tindakake pandhuan iki kanggo mbukak cangkang printah Nios II. 1. Nggawa Nios II printah Nihan.

Pilihan Windows
Linux

Katrangan
Ing menu Start, arahake menyang Programs Intel FPGA Nios II EDS lan klik Nios II Command Shell.
Ing cangkang printah ngganti menyang / nios2eds lan jalanake printah ing ngisor iki:
./nios2_command_shell.sh

mantanamples ing bagean iki nganggep chain teken lan konfigurasi bitstream files dumunung ing direktori kerja saiki. Yen sampeyan milih ngetutake mantanamples ngendi kunci files disimpen ing file sistem, examples nganggep kunci files iku

ISO 9001:2015 Registered

2. Authentication lan wewenang 683823 | 2023.05.23
dumunung ing direktori kerja saiki. Sampeyan bisa milih direktori sing arep digunakake, lan alat ndhukung relatif file dalan. Yen sampeyan milih nyimpen kunci files ing file sistem, sampeyan kudu kasebut kanthi teliti, ngatur ijin akses kanggo sing files.
Intel nyaranake supaya Modul Keamanan Perangkat Keras (HSM) sing kasedhiya kanthi komersial digunakake kanggo nyimpen kunci kriptografi lan nindakake operasi kriptografi. Alat quartus_sign lan implementasi referensi kalebu Standar Kriptografi Kunci Umum # 11 (PKCS # 11) Antarmuka Pemrograman Aplikasi (API) kanggo sesambungan karo HSM nalika nindakake operasi chain teken. Implementasi referensi agilex_sign.py kalebu abstrak antarmuka lan uga mantanample antarmuka kanggo SoftHSM.
Sampeyan bisa nggunakake mantan ikiample antarmuka kanggo ngleksanakake antarmuka kanggo HSM Panjenengan. Deleng dokumentasi saka vendor HSM kanggo informasi luwih lengkap babagan ngleksanakake antarmuka lan ngoperasikake HSM.
SoftHSM minangka implementasi piranti lunak saka piranti kriptografi umum kanthi antarmuka PKCS #11 sing kasedhiya dening proyek OpenDNSSEC®. Sampeyan bisa uga nemokake informasi liyane, kalebu instruksi babagan carane ngundhuh, mbangun, lan nginstal OpenHSM, ing proyek OpenDNSSEC. mantanamples ing bagean iki nggunakake SoftHSM versi 2.6.1. mantanamples ing bagean iki tambahan nggunakake sarana pkcs11-alat saka OpenSC kanggo nindakake PKCS tambahan # 11 operasi karo token SoftHSM. Sampeyan bisa uga nemokake informasi liyane, kalebu instruksi babagan carane ndownload, mbangun, lan nginstal pkcs11tool saka OpenSC.
Informasi sing gegandhengan
· Proyek OpenDNSSEC Penanda zona basis Kebijakan kanggo ngotomatisasi proses pelacakan kunci DNSSEC.
· SoftHSM Informasi babagan implementasine toko cryptographic sing bisa diakses liwat antarmuka PKCS #11.
· OpenSC Nyedhiyani sakumpulan perpustakaan lan keperluan sing bisa digunakake nganggo kertu pinter.
2.1.1. Nggawe Pasangan Kunci Otentikasi ing Lokal File Sistem
Sampeyan nggunakake alat quartus_sign kanggo nggawe pasangan kunci otentikasi ing lokal file sistem nggunakake operasi alat make_private_pem lan make_public_pem. Sampeyan pisanan nggawe kunci pribadi kanthi operasi make_private_pem. Sampeyan nemtokake kurva elips sing digunakake, kunci pribadi filejeneng, lan opsional kanggo nglindhungi kunci pribadi nganggo tembung sandhi. Intel nyaranake nggunakake kurva secp384r1 lan tindakake praktik paling apik ing industri kanggo nggawe frasa sandhi acak sing kuwat ing kabeh kunci pribadi files. Intel uga nyaranake mbatesi file ijin sistem ing kunci pribadi .pem files kanggo maca dening pemilik mung. Sampeyan entuk kunci umum saka kunci pribadi kanthi operasi make_public_pem. Iku migunani kanggo jeneng tombol .pem files deskriptif. Dokumen iki nggunakake konvensi _ .pem ing ngisor iki examples.
1. Ing Nios II printah Nihan, mbukak printah ing ngisor iki kanggo nggawe tombol pribadi. Tombol pribadi, sing kapacak ing ngisor iki, digunakake minangka tombol root ing ex mengkoamples sing nggawe chain teken. Piranti Intel Agilex 7 ndhukung macem-macem tombol ROOT, supaya sampeyan

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 7

2. Authentication lan wewenang 683823 | 2023.05.23

baleni langkah iki kanggo nggawe nomer tombol ROOT dibutuhake. Examples ing dokumen iki kabeh nuduhake tombol ROOT pisanan, sanadyan sampeyan bisa mbangun chain teken ing fashion padha karo sembarang tombol ROOT.

Pilihan Kanthi tembung sandhi

Katrangan
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Ketik sandhi nalika dijaluk.

Tanpa tembung sandhi

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Jalanake printah ing ngisor iki kanggo nggawe kunci umum nggunakake kunci pribadi sing digawe ing langkah sadurunge. Sampeyan ora perlu nglindhungi rahasia kunci umum.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Jalanake printah maneh kanggo nggawe pasangan tombol digunakake minangka tombol teken desain ing chain teken.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Nggawe Pasangan Kunci Authentication ing SoftHSM
SoftHSM examples ing bab iki mandhiri. Parameter tartamtu gumantung ing instalasi SoftHSM lan initialization token ing SoftHSM.
Alat quartus_sign gumantung ing PKCS # 11 perpustakaan API saka HSM Panjenengan.
mantanamples ing bagean iki nganggep yen perpustakaan SoftHSM wis diinstal ing salah siji lokasi ing ngisor iki: · /usr/local/lib/softhsm2.so ing Linux · C:SoftHSM2libsofthsm2.dll ing versi 32-dicokot saka Windows · C:SoftHSM2libsofthsm2-x64 .dll ing Windows versi 64-bit.
Miwiti token ing SoftHSM nggunakake alat softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –gratis
Parameter pilihan, utamane label token lan pin token yaiku examples digunakake ing saindhenging bab iki. Intel nyaranake sampeyan tindakake pandhuan saka vendor HSM kanggo nggawe lan ngatur token lan tombol.
Sampeyan nggawe pasangan kunci otentikasi nggunakake sarana pkcs11-alat kanggo sesambungan karo token ing SoftHSM. Tinimbang kanthi tegas ngrujuk menyang kunci pribadi lan umum .pem files ing file sistem examples, sampeyan deleng pasangan tombol dening label lan alat milih tombol cocok kanthi otomatis.

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 8

Kirimi Umpan Balik

2. Authentication lan wewenang 683823 | 2023.05.23

Jalanake perintah ing ngisor iki kanggo nggawe pasangan kunci sing digunakake minangka kunci root ing ex mengkoamples uga minangka pasangan kunci sing digunakake minangka kunci tandha desain ing ranté teken:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mekanisme ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –tandha panggunaan –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mekanisme ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

Cathetan:

Opsi ID ing langkah iki kudu unik kanggo saben tombol, nanging mung digunakake dening HSM. Opsi ID iki ora ana hubungane karo ID pembatalan kunci sing ditugasake ing rantai teken.

2.1.3. Nggawe Signature Chain Root Entry
Ngonversi kunci umum root dadi entri root chain teken, disimpen ing lokal file sistem ing format tombol Intel Quartus Prime (.qky). file, kanthi operasi make_root. Baleni langkah iki kanggo saben tombol ROOT sing digawe.
Jalanake printah ing ngisor iki kanggo nggawe chain teken karo entri ROOT, nggunakake kunci umum ROOT saka file sistem:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
Jalanake printah ing ngisor iki kanggo nggawe rantai teken kanthi entri root, nggunakake tombol root saka token SoftHSM sing ditetepake ing bagean sadurunge:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so "root0 root0.qky

2.1.4. Nggawe Signature Chain Public Key Entry
Nggawe entri kunci publik anyar kanggo chain teken kanthi operasi append_key. Sampeyan nemtokake rantai teken sadurunge, kunci pribadi kanggo entri pungkasan ing rantai teken sadurunge, kunci publik tingkat sabanjure, ijin lan ID pembatalan sing sampeyan nemtokake menyang kunci publik tingkat sabanjure, lan rantai teken anyar file.
Elinga yen perpustakaan softHSM ora kasedhiya karo instalasi Quartus lan kudu diinstal kanthi kapisah. Kanggo informasi luwih lengkap babagan softHSM waca Bagean Nggawe Rantai Tandha ing ndhuwur.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 9

2. Authentication lan wewenang 683823 | 2023.05.23
Gumantung ing nggunakake tombol ing file sistem utawa ing HSM, sampeyan nggunakake salah siji saka Ex ing ngisor ikiampprintah kanggo nambah kunci umum design0_sign menyang rantai teken ROOT sing digawe ing bagean sadurunge:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –izin=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –ijin=6 –batal=0 –input_keyname=design0_sign design0_sign_chain.qky
Sampeyan bisa mbaleni operasi append_key nganti kaping pindho kanggo maksimal telung entri kunci umum ing antarane entri root lan entri blok header ing rantai tandha siji.
Ex ing ngisor ikiample nganggep sampeyan nggawe kunci umum otentikasi liyane kanthi ijin sing padha lan menehi ID pembatalan 1 sing diarani design1_sign_public.pem, lan nambahake kunci iki menyang rantai teken saka mantan sadurunge.ample:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –ijin=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Piranti Intel Agilex 7 kalebu counter pembatalan tombol tambahan kanggo nggampangake panggunaan tombol sing bisa diganti sacara periodik sajrone urip piranti tartamtu. Sampeyan bisa milih counter pembatalan tombol iki kanthi ngganti argumen pilihan -cancel dadi pts:pts_value.
2.2. Mlebu Bitstream Konfigurasi
Piranti Intel Agilex 7 ndhukung counter Nomer Versi Keamanan (SVN), sing ngidini sampeyan mbatalake wewenang obyek tanpa mbatalake kunci. Sampeyan nemtokake counter SVN lan nilai counter SVN cocok nalika mlebu obyek apa wae, kayata bagean bitstream, firmware .zip file, utawa sertifikat kompak. Sampeyan nemtokake nilai counter SVN lan SVN nggunakake opsi –cancel lan svn_counter:svn_value minangka argumen. Nilai sing bener kanggo svn_counter yaiku svnA, svnB, svnC, lan svnD. svn_value minangka integer ing kisaran [0,63].

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 10

Kirimi Umpan Balik

2. Authentication lan wewenang 683823 | 2023.05.23
2.2.1. Kunci Quartus File Tugas
Sampeyan nemtokake rantai teken ing proyek piranti lunak Intel Quartus Prime kanggo ngaktifake fitur otentikasi kanggo desain kasebut. Saka menu Tugas, pilih Piranti Piranti lan Pilihan Pin Kunci Kuartus Keamanan File, banjur nelusuri chain teken .qky file sampeyan nggawe kanggo mlebu desain iki.
Gambar 1. Aktifake Setelan Bitstream Konfigurasi

Utawa, sampeyan bisa nambah statement tugas ing ngisor iki menyang Setelan Intel Quartus Prime file (.qsf):
set_global_assignment -jeneng QKY_FILE design0_sign_chain.qky
Kanggo ngasilake .sof file saka desain sadurunge nyawiji, sing kalebu setelan iki, saka menu Processing, pilih Mulai Mulai Assembler. Output anyar .sof file kalebu assignments kanggo ngaktifake otentikasi karo chain teken kasedhiya.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 11

2. Authentication lan wewenang 683823 | 2023.05.23
2.2.2. Co-SDM Firmware
Sampeyan nggunakake alat quartus_sign kanggo extract, mlebu, lan nginstal perangkat kukuh SDM .zip ditrapake file. Firmware sing ditandatangani bebarengan banjur disedhiyakake dening pemrograman file alat generator nalika sampeyan ngowahi .sof file menyang bitstream konfigurasi .rbf file. Sampeyan nggunakake printah ing ngisor iki kanggo nggawe chain teken anyar lan mlebu perangkat kukuh SDM.
1. Nggawe pasangan tombol teken anyar.
a. Nggawe pasangan kunci tandha anyar ing file sistem:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Nggawe pasangan kunci tandha anyar ing HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mekanisme ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –tandha panggunaan –label firmware1 –id 1
2. Gawe rantai teken anyar sing ngemot kunci publik anyar:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –ijin=1 –batal=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Nyalin firmware .zip file saka direktori instalasi piranti lunak Intel Quartus Prime Pro Edition ( /devices/programmer/firmware/ agilex.zip) menyang direktori kerja saiki.
quartus_sign –family=agilex –get_firmware=.
4. Mlebu firmware .zip file. Alat kasebut kanthi otomatis mbukak .zip file lan individu pratandha kabeh perangkat kukuh .cmf files, banjur mbangun maneh .zip file kanggo nggunakake alat ing bagean ing ngisor iki:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 12

Kirimi Umpan Balik

2. Authentication lan wewenang 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Mlebu Konfigurasi Bitstream Nggunakake Command quartus_sign
Kanggo mlebu bitstream konfigurasi nggunakake printah quartus_sign, pisanan Ngonversi .sof file menyang binar mentah sing ora ditandatangani file (.rbf) format. Sampeyan bisa uga nemtokake perangkat kukuh sing ditandatangani bebarengan nggunakake pilihan fw_source sajrone langkah konversi.
Sampeyan bisa ngasilake bitstream mentah sing ora ditandatangani ing format .rbf nggunakake printah ing ngisor iki:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Jalanake salah sawijining perintah ing ngisor iki kanggo mlebu bitstream nggunakake alat quartus_sign gumantung saka lokasi kunci sampeyan:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Sampeyan bisa ngowahi mlebu .rbf files menyang bitstream konfigurasi liyane file format.
Kanggo example, yen sampeyan nggunakake Jam* Standard Test and Programming Language (STAPL) Player kanggo program bitstream liwat JTAG, sampeyan nggunakake printah ing ngisor iki kanggo ngowahi .rbf file menyang format .jam sing dibutuhake Jam STAPL Player:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Dhukungan Multi-Wewenang Konfigurasi Sebagean

Piranti Intel Agilex 7 ndhukung otentikasi multi-panguwasa konfigurasi ulang parsial, ing ngendi pemilik piranti nggawe lan menehi tandha bitstream statis, lan pemilik PR sing kapisah nggawe lan menehi tandha bitstream PR persona. Piranti Intel Agilex 7 ngleksanakake dhukungan multi-panguwasa kanthi menehi slot tombol root otentikasi pisanan menyang piranti utawa pemilik bitstream statis lan menehi slot tombol root otentikasi pungkasan menyang pemilik bitstream persona konfigurasi ulang parsial.
Yen fitur otentikasi diaktifake, kabeh gambar PR persona kudu ditandatangani, kalebu gambar PR persona bersarang. Gambar persona PR bisa ditandatangani dening pemilik piranti utawa pemilik PR; Nanging, bitstream wilayah statis kudu ditandatangani dening pemilik piranti.

Cathetan:

Parsial Reconfiguration statis lan persona enkripsi bitstream nalika support multi-panguwasa aktif wis ngrancang ing release mangsa.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 13

2. Authentication lan wewenang 683823 | 2023.05.23

Gambar 2.

Ngleksanakake dhukungan multi-otoritas konfigurasi ulang parsial mbutuhake sawetara langkah:
1. Piranti utawa pemilik bitstream statis ngasilake siji utawa luwih tombol root otentikasi kaya sing diterangake ing Nggawe Pasangan Kunci Authentication ing SoftHSM ing kaca 8, ing ngendi pilihan –key_type nduweni nilai pemilik.
2. Pemilik bitstream reconfiguration parsial ngasilake kunci root otentikasi nanging ngganti nilai pilihan –key_type dadi secondary_owner.
3. Loro-lorone bitstream statis lan pamilik desain konfigurasi ulang sebagean mesthekake yen kothak Aktifake dhukungan Multi-Authority diaktifake ing Piranti Piranti Tugas lan tab Keamanan Pilihan Pin.
Intel Quartus Prime Aktifake Setelan Pilihan Multi-Wewenang

4. Loro-lorone pamilik desain bitstream statis lan konfigurasi ulang sebagean nggawe ranté teken adhedhasar tombol root masing-masing kaya sing diterangake ing Nggawe Rantai Tandha ing kaca 6.
5. Loro-lorone bitstream statis lan pamilik desain konfigurasi ulang parsial ngowahi desain sing dikompilasi dadi format .rbf files lan mlebu ing .rbf files.
6. Piranti utawa pemilik bitstream statis ngasilake lan mlebu sertifikat kompak program kunci umum PR wewenang.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 14

Kirimi Umpan Balik

2. Authentication lan wewenang 683823 | 2023.05.23

7. Piranti utawa pemilik bitstream statis pranata hashes ROOT otentikasi kanggo piranti, banjur program PR umum program wewenang program sertifikat kompak, lan pungkasanipun pranata reconfiguration sebagean bitstream pemilik tombol ROOT kanggo piranti. Bagean Penyediaan Piranti nggambarake proses panyedhiya iki.
8. piranti Intel Agilex 7 diatur karo wilayah statis .rbf file.
9. piranti Intel Agilex 7 sebagian reconfigured karo desain persona .rbf file.
Informasi sing gegandhengan
· Nggawe Rantai Tandha ing kaca 6
· Nggawe Pasangan Kunci Authentication ing SoftHSM ing kaca 8
· Penyediaan Piranti ing kaca 25

2.2.5. Verifikasi Konfigurasi Bitstream Signature Chains
Sawise sampeyan nggawe rante teken lan bitstreams mlebu, sampeyan bisa verifikasi manawa bitstream mlebu kanthi bener ngatur piranti sing diprogram nganggo tombol root sing diwenehake. Pisanan sampeyan nggunakake operasi fuse_info saka perintah quartus_sign kanggo nyithak hash kunci umum root menyang teks file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Sampeyan banjur nggunakake pilihan check_integrity printah quartus_pfg kanggo mriksa chain teken ing saben bagean saka bitstream mlebu ing format .rbf. Opsi check_integrity nyithak informasi ing ngisor iki:
· Status mriksa integritas bitstream sakabèhé
· Isi saben entri ing saben chain teken ditempelake saben bagean ing bitstream .rbf file,
· Nilai sekring samesthine kanggo hash saka kunci umum ROOT kanggo saben chain teken.
Nilai saka output fuse_info kudu cocog karo garis Fuse ing output check_integrity.
quartus_pfg –check_integrity signed_bitstream.rbf

Iki mantanample saka output perintah check_integrity:

Info: Command: quartus_pfg –check_integrity signed_bitstream.rbf Status integritas: OK

Bagean

Tipe: CMF

Deskriptor Tandha…

Rantai teken #0 (entri: -1, offset: 96)

Entri #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Gawe kunci…

Kurva: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Gawe kunci…

Kurva: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 15

2. Authentication lan wewenang 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Entri #1

Gawe kunci…

Kurva: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Entri #2 Keychain ijin: SIGN_CODE Keychain bisa dibatalake dening ID: 3 Signature chain #1 (entri: -1, offset: 648)

Entri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Gawe kunci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Gawe kunci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entri #1

Gawe kunci…

Kurva: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Entri #2

Gawe kunci…

Kurva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entri #3 Keychain ijin: SIGN_CODE Keychain bisa dibatalake dening ID: 15 Signature chain #2 (entri: -1, offset: 0) Signature chain #3 (entri: -1, offset: 0) Signature chain #4 (entri: -1, offset: 0) Signature chain #5 (entri: -1, offset: 0) Signature chain #6 (entri: -1, offset: 0) Signature chain #7 (entri: -1, offset: 0)

Tipe Bagian: Deskriptor Tandha IO … Rantai tandha #0 (entri: -1, offset: 96)

Entri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Gawe kunci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 16

Kirimi Umpan Balik

2. Authentication lan wewenang 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Gawe kunci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entri #1

Gawe kunci…

Kurva: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entri #2

Gawe kunci…

Kurva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entri #3 Keychain ijin: SIGN_CORE Keychain bisa dibatalake dening ID: 15 Signature chain #1 (entri: -1, offset: 0) Signature chain #2 (entri: -1, offset: 0) Signature chain #3 (entri: -1, offset: 0) Signature chain #4 (entri: -1, offset: 0) Signature chain #5 (entri: -1, offset: 0) Signature chain #6 (entri: -1, offset: 0) Signature rantai #7 (entri: -1, offset: 0)

Bagean

Tipe: HPS

Deskriptor Tandha…

Rantai teken #0 (entri: -1, offset: 96)

Entri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Gawe kunci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Gawe kunci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entri #1

Gawe kunci…

Kurva: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Entri #2

Gawe kunci…

Kurva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 17

2. Authentication lan wewenang 683823 | 2023.05.23

Entri #3 Keychain ijin: SIGN_HPS Keychain bisa dibatalake dening ID: 15 Signature chain #1 (entri: -1, offset: 0) Signature chain #2 (entri: -1, offset: 0) Signature chain #3 (entri: -1, offset: 0) Signature chain #4 (entri: -1, offset: 0) Signature chain #5 (entri: -1, offset: 0) Signature chain #6 (entri: -1, offset: 0) Signature rantai #7 (entri: -1, offset: 0)

Jinis Bagian: Deskriptor Tandha CORE … Rantai tandha #0 (entri: -1, offset: 96)

Entri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Gawe kunci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Gawe kunci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entri #1

Gawe kunci…

Kurva: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entri #2

Gawe kunci…

Kurva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 18

Kirimi Umpan Balik

683823 | 2023.05.23 Kirimi Umpan Balik

Enkripsi Bitstream AES

Enkripsi bitstream Advanced Encryption Standard (AES) minangka fitur sing ngidini pamilik piranti nglindhungi rahasia properti intelektual ing bitstream konfigurasi.
Kanggo mbantu nglindhungi rahasia kunci, enkripsi bitstream konfigurasi nggunakake rantai kunci AES. Tombol iki digunakake kanggo ndhelik data pemilik ing bitstream konfigurasi, ngendi tombol penengah pisanan ndhelik karo tombol ROOT AES.

3.1. Nggawe AES Root Key

Sampeyan bisa nggunakake alat quartus_encrypt utawa implementasi referensi stratix10_encrypt.py kanggo nggawe kunci root AES ing format kunci enkripsi piranti lunak Intel Quartus Prime (.qek). file.

Cathetan:

stratix10_encrypt.py file digunakake kanggo piranti Intel Stratix® 10, lan Intel Agilex 7.

Sampeyan bisa opsional nemtokake tombol dhasar sing digunakake kanggo nurunake tombol root AES lan kunci derivasi kunci, nilai kanggo tombol root AES langsung, jumlah tombol penengah, lan panggunaan maksimal saben tombol penengah.

Sampeyan kudu nemtokake kulawarga piranti, output .qek file lokasi, lan tembung sandhi nalika dijaluk.
Jalanake printah ing ngisor iki kanggo ngasilake kunci root AES kanthi nggunakake data acak kanggo kunci dhasar lan nilai standar kanggo jumlah tombol penengah lan panggunaan tombol maksimal.
Kanggo nggunakake implementasi referensi, sampeyan ngganti telpon menyang interpreter Python sing kalebu piranti lunak Intel Quartus Prime lan ngilangi pilihan –family=agilex; kabeh opsi liyane padha. Kanggo example, printah quartus_encrypt ditemokaké mengko ing bagean

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

bisa diowahi dadi telpon sing padha karo implementasi referensi kaya ing ngisor iki pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Setelan Enkripsi Quartus
Kanggo ngaktifake enkripsi bitstream kanggo desain, sampeyan kudu nemtokake pilihan sing cocog nggunakake Panel Keamanan Piranti Piranti lan Pin Pilihan Pin. Sampeyan milih kothak centhang Aktifake enkripsi bitstream konfigurasi, lan lokasi panyimpenan kunci Enkripsi sing dikarepake saka menu gulung mudhun.

ISO 9001:2015 Registered

Gambar 3. Setelan Enkripsi Intel Quartus Prime

3. Enkripsi Bitstream AES 683823 | 2023.05.23

Utawa, sampeyan bisa nambah statement tugas ing ngisor iki menyang setelan Intel Quartus Prime file .qsf:
set_global_assignment -jeneng ENCRYPT_PROGRAMMING_BITSTREAM ing set_global_assignment -jeneng PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Yen sampeyan pengin ngaktifake mitigasi tambahan marang vektor serangan saluran sisih, sampeyan bisa ngaktifake kothak gulung mudhun rasio nganyari enkripsi lan Aktifake scrambling.

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 20

Kirimi Umpan Balik

3. Enkripsi Bitstream AES 683823 | 2023.05.23

Owah-owahan sing cocog ing .qsf yaiku:
set_global_assignment -jeneng PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING ing set_global_assignment -jeneng PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Enkripsi Bitstream Konfigurasi
Sampeyan encrypt bitstream konfigurasi sadurunge mlebu bitstream. Intel Quartus Prime Programming File Alat generator bisa kanthi otomatis encrypt lan mlebu bitstream konfigurasi nggunakake antarmuka panganggo grafis utawa baris printah.
Sampeyan bisa uga nggawe bitstream sing dienkripsi sebagian kanggo nggunakake alat quartus_encrypt lan quartus_sign utawa referensi sing padha karo implementasine.

3.3.1. Konfigurasi Enkripsi Bitstream Nggunakake Pemrograman File Antarmuka Grafis Generator
Sampeyan bisa nggunakake Programming File Generator kanggo encrypt lan mlebu gambar pemilik.

Gambar 4.

1. Ing Intel Quartus Perdhana File pilih menu Programming File Generator. 2. Ing Output Files tab, nemtokake output file ketik kanggo konfigurasi sampeyan
skema.
Output File Spesifikasi

Skema konfigurasi Output file tab
Output file jinis

3. Ing Input Files tab, klik Tambah Bitstream lan nelusuri menyang .sof Panjenengan. 4. Kanggo nemtokake pilihan enkripsi lan otentikasi pilih .sof banjur klik
Properti. a. Aktifake alat teken Aktifake. b. Kanggo kunci pribadi file pilih kunci teken pribadi .pem file. c. Aktifake enkripsi Rampung.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 21

3. Enkripsi Bitstream AES 683823 | 2023.05.23

Gambar 5.

d. Kanggo kunci enkripsi file, pilih AES .qek sampeyan file. Input (.sof) File Properti kanggo Otentikasi lan Enkripsi

Aktifake otentikasi Nemtokake root pribadi .pem
Aktifake enkripsi Nemtokake kunci enkripsi
5. Kanggo generate bitstream mlebu lan ndhelik, ing Input Files tab, klik Generate. Kothak dialog sandhi katon kanggo sampeyan ngetik tembung sandhi kanggo kunci AES .qek file lan mlebu kunci pribadi .pem file. Pemrograman kasebut file generator nggawe output sing dienkripsi lan ditandatangani_file.rbf.
3.3.2. Konfigurasi Enkripsi Bitstream Nggunakake Pemrograman File Antarmuka Command Line Generator
Ngasilake bitstream konfigurasi sing dienkripsi lan ditandatangani ing format .rbf kanthi antarmuka baris perintah quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
Sampeyan bisa ngowahi bitstream konfigurasi ndhelik lan mlebu ing format .rbf menyang bitstream konfigurasi liyane file format.
3.3.3. Generasi Bitstream Konfigurasi Sebagian Dienkripsi Nggunakake Antarmuka Command Line
Sampeyan bisa nggawe program sing dienkripsi sebagian file kanggo ngrampungake enkripsi lan mlebu gambar kasebut mengko. Nggawe pemrograman sing dienkripsi sebagian file ing format .rbf karo antarmuka baris printah thequartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 22

Kirimi Umpan Balik

3. Enkripsi Bitstream AES 683823 | 2023.05.23
Sampeyan nggunakake alat baris perintah quartus_encrypt kanggo ngrampungake enkripsi bitstream:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Sampeyan nggunakake alat baris perintah quartus_sign kanggo mlebu bitstream konfigurasi sing dienkripsi:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Enkripsi Bitstream Konfigurasi Ulang Parsial
Sampeyan bisa ngaktifake enkripsi bitstream ing sawetara desain FPGA Intel Agilex 7 sing nggunakake konfigurasi ulang parsial.
Desain konfigurasi ulang parsial nggunakake Hierarchical Partial Reconfiguration (HPR), utawa Static Update Partial Reconfiguration (SUPR) ora ndhukung enkripsi bitstream. Yen desain sampeyan ngemot sawetara wilayah PR, sampeyan kudu ngenkripsi kabeh personas.
Kanggo ngaktifake enkripsi bitstream konfigurasi ulang sebagian, tindakake prosedur sing padha ing kabeh revisi desain. 1. Ing Intel Quartus Perdhana File menu, pilih Assignments Device Device
lan Keamanan Pilihan Pin. 2. Pilih lokasi panyimpenan kunci enkripsi sing dikarepake.
Gambar 6. Setelan Enkripsi Bitstream Rekonfigurasi Parsial

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 23

3. Enkripsi Bitstream AES 683823 | 2023.05.23
Utawa, sampeyan bisa nambah statement tugas ing ngisor iki ing setelan Quartus Prime file .qsf:
set_global_assignment -name -ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION on
Sawise sampeyan ngumpulake desain dhasar lan revisi, piranti lunak ngasilake a.soffile lan siji utawa luwih.pmsffiles, makili personas. 3. Nggawe program ndhelik lan mlebu files saka.sof lan.pmsf files ing fashion padha designs karo ora reconfiguration parsial aktif. 4. Ngonversi persona.pmsf sing dikompilasi file menyang sebagian ndhelik.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Rampungake enkripsi bitstream nggunakake alat baris perintah quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Tandhani bitstream konfigurasi sing dienkripsi nggunakake alat baris perintah quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 24

Kirimi Umpan Balik

683823 | 2023.05.23 Kirimi Umpan Balik

Penyediaan piranti

Penyediaan fitur keamanan wiwitan mung didhukung ing perangkat kukuh panyedhiya SDM. Gunakake Intel Quartus Prime Programmer kanggo mbukak perangkat kukuh panentu SDM lan nindakake operasi provisioning.
Sampeyan bisa nggunakake sembarang tipe JTAG download kabel kanggo nyambung Quartus Programmer menyang piranti Intel Agilex 7 kanggo nindakake operasi provisioning.
4.1. Nggunakake SDM Provision Firmware
Intel Quartus Prime Programmer kanthi otomatis nggawe lan mbukak gambar helper standar pabrik nalika sampeyan milih operasi initialize lan printah kanggo program soko liyane saka bitstream konfigurasi.
Gumantung ing printah pemrograman sing ditemtokake, gambar helper standar pabrik minangka salah siji saka rong jinis:
· Gambar helper provisioning–kapérang saka siji bagean bitstream ngemot perangkat kukuh provisioning SDM.
· Gambar helper QSPI–kapérang saka rong bagean bitstream, siji ngemot perangkat kukuh utama SDM lan siji bagean I/O.
Sampeyan bisa nggawe gambar helper standar pabrik file kanggo mbukak menyang piranti sadurunge nindakake prentah pemrograman. Sawise program hash tombol root otentikasi, sampeyan kudu nggawe lan mlebu gambar helper standar pabrik QSPI amarga bagean I / O sing kalebu. Yen sampeyan nambah program setelan keamanan perangkat kukuh sing ditandatangani eFuse, sampeyan kudu nggawe provisioning lan gambar helper standar pabrik QSPI kanthi perangkat kukuh sing ditandatangani bebarengan. Sampeyan bisa nggunakake gambar helper standar pabrik sing ditandatangani bebarengan ing piranti sing ora disedhiyakake amarga piranti sing ora disedhiyakake ora nggatekake rantai teken non-Intel liwat perangkat kukuh SDM. Delengen Nggunakake Gambar Helper Default Pabrik QSPI ing Piranti sing Dimiliki ing kaca 26 kanggo rincian liyane babagan nggawe, menehi tandha, lan nggunakake gambar helper standar pabrik QSPI.
Gambar pembantu standar pabrik provisioning nindakake tumindak provisioning, kayata program hash tombol root otentikasi, sekring setelan keamanan, enrollment PUF, utawa provisioning tombol ireng. Sampeyan nggunakake Intel Quartus Prime Programming File Alat baris perintah Generator kanggo nggawe gambar helper provisioning, nemtokake opsi helper_image, jeneng helper_device sampeyan, subtipe gambar helper, lan opsional firmware .zip sing ditandatangani bebarengan file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Program gambar helper nggunakake alat Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" -meksa

ISO 9001:2015 Registered

4. Penyediaan piranti 683823 | 2023.05.23

Cathetan:

Sampeyan bisa ngilangi operasi initialize saka printah, kalebu examples kasedhiya ing bab iki, sawise salah siji program gambar helper panentu utawa nggunakake printah sing ngemot operasi initialize.

4.2. Nggunakake Gambar Helper Default Pabrik QSPI ing Piranti Milik
Intel Quartus Prime Programmer kanthi otomatis nggawe lan mbukak gambar pembantu standar pabrik QSPI nalika sampeyan milih operasi wiwitan kanggo pemrograman lampu kilat QSPI file. Sawise program hash tombol root otentikasi, sampeyan kudu nggawe lan mlebu gambar helper standar pabrik QSPI, lan program gambar helper pabrik QSPI sing wis ditandatangani kanthi kapisah sadurunge program lampu kilat QSPI. 1. Sampeyan nggunakake Intel Quartus Prime Programming File Alat baris printah Generator kanggo
nggawe gambar helper QSPI, nemtokake opsi helper_image, jinis helper_device sampeyan, subtipe gambar helper QSPI, lan opsional firmware cosigned .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Sampeyan mlebu gambar helper standar pabrik QSPI:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Sampeyan bisa nggunakake program lampu kilat QSPI file format. Ex ing ngisor ikiamples nggunakake bitstream konfigurasi diowahi kanggo .jic file format:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Sampeyan program gambar helper mlebu nggunakake alat Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o "p;signed_qspi_helper_image.rbf" -meksa
5. Sampeyan program gambar .jic kanggo kerlip nggunakake alat Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. Authentication Root Key Provisioning
Kanggo program hash tombol root pemilik menyang sekring fisik, sampeyan kudu mbukak perangkat kukuh pranata, sabanjure program hashes tombol root pemilik, banjur langsung nindakake reset daya. Reset daya ora dibutuhake yen tombol root pemrograman dadi sekring virtual.

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 26

Kirimi Umpan Balik

4. Penyediaan piranti 683823 | 2023.05.23
Kanggo program otentikasi oyod tombol hash, sampeyan program gambar helper perangkat kukuh panentu lan mbukak salah siji saka printah ing ngisor iki kanggo program tombol ROOT .qky files.
// Kanggo fisik (non-molah malih) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –non_volatile_key
// Kanggo virtual (molah malih) eFuses quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. Partial Reconfiguration Multi-Wewenang Root Key Programming
Sawise nyediakake piranti utawa tombol ROOT pemilik bitstream wilayah statis, sampeyan mbukak maneh gambar helper pranata piranti, program sertifikat kompak program PR umum key wewenang program, banjur panentu PR persona bitstream tombol ROOT pemilik.
// Kanggo fisik (non-molah malih) eFuses quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Kanggo virtual (molah malih) eFuses quartus_pgm -c 1 -mjtag -o "p;p;root_pr.qky" -pr_pubkey
4.4. Pemrograman Key Pembatalan ID Sekring
Miwiti karo piranti lunak Intel Quartus Prime Pro Edition versi 21.1, pemrograman Intel lan sekring ID pembatalan kunci pemilik mbutuhake panggunaan sertifikat kompak sing ditandatangani. Sampeyan bisa mlebu sertifikat kompak ID pembatalan kunci kanthi rantai teken sing duwe ijin teken bagean FPGA. Sampeyan nggawe sertifikat kompak karo pemrograman file alat baris printah generator. Sampeyan mlebu sertifikat sing ora ditandatangani nggunakake alat quartus_sign utawa implementasi referensi.
Piranti Intel Agilex 7 ndhukung bank kapisah saka ID pembatalan kunci pemilik kanggo saben tombol root. Nalika sertifikat kompak ID pembatalan pemilik wis diprogram menyang Intel Agilex 7 FPGA, nemtokake SDM kang ROOT tombol mlebu certificate kompak lan ngunekke sekring ID pembatalan tombol sing cocog karo tombol ROOT.
Ex ing ngisor ikiamples nggawe sertifikat pembatalan tombol Intel kanggo ID tombol Intel 7. Sampeyan bisa ngganti 7 karo ID pembatalan tombol Intel ditrapake saka 0-31.
Jalanake printah ing ngisor iki kanggo nggawe sertifikat kompak ID pembatalan kunci Intel sing ora ditandatangani:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Jalanake salah sawijining perintah ing ngisor iki kanggo mlebu sertifikat kompak ID pembatalan kunci Intel sing ora ditandatangani:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 27

4. Penyediaan piranti 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Jalanake printah ing ngisor iki kanggo nggawe sertifikat kompak ID pembatalan kunci pemilik sing ora ditandatangani:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Jalanake salah siji saka printah ing ngisor iki kanggo mlebu sertifikat kompak ID pembatalan kunci pemilik sing ora ditandatangani:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Sawise nggawe sertifikat kompak ID pembatalan kunci sing ditandatangani, sampeyan nggunakake Intel Quartus Prime Programmer kanggo program sertifikat kompak menyang piranti liwat JTAG.
// Kanggo fisik (non-molah malih) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
// Kanggo virtual (molah malih) eFuses quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert"
Sampeyan bisa uga ngirim sertifikat kompak menyang SDM nggunakake antarmuka kothak layang FPGA utawa HPS.
4.5. Mbatalake Root Keys
Piranti Intel Agilex 7 ngijini sampeyan mbatalake hash tombol ROOT nalika ana hash tombol ROOT liyane sing ora dibatalake. Sampeyan mbatalake hash tombol root kanthi ngonfigurasi piranti kasebut kanthi desain sing chain teken wis bosok ing hash tombol root sing beda, banjur program sertifikat kompak pembatalan hash root sing ditandatangani. Sampeyan kudu mlebu sertifikat kompak pembatalan hash kunci root kanthi rantai teken sing wis bosok ing tombol root supaya dibatalake.
Jalanake printah ing ngisor iki kanggo ngasilake sertifikat kompak pembatalan hash kunci root sing ora ditandatangani:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 28

Kirimi Umpan Balik

4. Penyediaan piranti 683823 | 2023.05.23

Jalanake salah sawijining perintah ing ngisor iki kanggo mlebu sertifikat kompak pembatalan hash kunci root sing ora ditandatangani:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Sampeyan bisa program sertifikat kompak pembatalan hash kunci root liwat JTAG, kothak layang FPGA, utawa HPS.

4.6. Pemrograman Counter Fuse
Sampeyan nganyari Nomer Versi Keamanan (SVN) lan Pseudo Time Stamp (PTS) counter fuse nggunakake sertifikat kompak sing ditandatangani.

Cathetan:

SDM nglacak nilai counter minimal sing katon sajrone konfigurasi tartamtu lan ora nampa sertifikat tambahan counter nalika nilai counter luwih cilik tinimbang nilai minimal. Sampeyan kudu nganyari kabeh obyek sing ditugasake menyang counter lan ngatur maneh piranti sadurunge program sertifikat kompak counter increment.

Jalanake salah sawijining prentah ing ngisor iki sing cocog karo sertifikat tambahan counter sing pengin digawe.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Nilai counter 1 nggawe sertifikat wewenang tambahan counter. Pemrograman sertifikat kompak otorisasi counter increment ngijini sampeyan kanggo program sertifikat tambahan counter sing ora ditandatangani kanggo nganyari counter masing-masing. Sampeyan nggunakake alat quartus_sign kanggo mlebu sertifikat kompak counter kanthi cara sing padha karo sertifikat kompak ID pembatalan tombol.
Sampeyan bisa program sertifikat kompak pembatalan hash kunci root liwat JTAG, kothak layang FPGA, utawa HPS.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 29

4. Penyediaan piranti 683823 | 2023.05.23

4.7. Data Aman Obyek Layanan Root Key Provisioning
Sampeyan nggunakake Intel Quartus Prime Programmer kanggo nyedhiyakake kunci root Secure Data Object Service (SDOS). Programmer kanthi otomatis mbukak gambar helper perangkat kukuh kanggo nyedhiyakake kunci root SDOS.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

4.8. Keamanan Setelan Fuse Provisioning
Gunakake Intel Quartus Prime Programmer kanggo mriksa sekring setelan keamanan piranti lan nulis menyang .fuse adhedhasar teks. file kaya ing ngisor iki:
quartus_pgm -c 1 -mjtag -o "ei;pemrograman_file.sekring;AGFB014R24B”

Pilihan · i: Programmer ngemot gambar helper perangkat kukuh pranata menyang piranti. · e: Programmer maca sekring saka piranti lan nyimpen ing .sekring file.

Sekring file ngemot dhaptar pasangan jeneng-nilai sekring. Nilai kasebut nemtokake manawa sekring wis diunekake utawa isi lapangan sekring.

Ex ing ngisor ikiample nuduhake format saka .sekring file:

# Firmware sing ditandatangani bebarengan

= "Ora ditiup"

# Piranti Ijin Mateni

= "Ora ditiup"

# Piranti ora aman

= "Ora ditiup"

# Pateni debug HPS

= "Ora ditiup"

# Pateni enrollment PUF ID Intrinsik

= "Ora ditiup"

# Pateni JTAG

= "Ora ditiup"

# Pateni kunci enkripsi sing dibungkus PUF

= "Ora ditiup"

# Pateni kunci enkripsi pemilik ing BBRAM = "Ora diunekake"

# Pateni kunci enkripsi pemilik ing eFuses = "Ora diunekake"

# Pateni hash kunci umum root pemilik 0

= "Ora ditiup"

# Pateni hash kunci umum root pemilik 1

= "Ora ditiup"

# Pateni hash kunci umum root pemilik 2

= "Ora ditiup"

# Pateni eFuses virtual

= "Ora ditiup"

# Meksa jam SDM menyang osilator internal = "Ora diunekake"

# Nganyari kunci enkripsi meksa

= "Ora ditiup"

# Pembatalan tombol eksplisit Intel

= "0"

# Kunci keamanan eFuses

= "Ora ditiup"

# Program kunci enkripsi pemilik wis rampung

= "Ora ditiup"

# Program kunci enkripsi pemilik diwiwiti

= "Ora ditiup"

# Pembatalan kunci eksplisit sing nduweni 0

= “”

# Pembatalan kunci eksplisit sing nduweni 1

= “”

# Pembatalan kunci eksplisit sing nduweni 2

= “”

# Pamilik sekring

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Pamilik root kunci umum hash 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Pamilik root kunci umum hash 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Pamilik root kunci umum hash 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Pamilik ukuran kunci umum root

= "Ora ana"

# PTS counter

= "0"

# pangkalan counter PTS

= "0"

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 30

Kirimi Umpan Balik

4. Penyediaan piranti 683823 | 2023.05.23

# Penundaan wiwitan QSPI # Penghitung RMA # SDMIO0 yaiku I2C # SVN counter A # SVN counter B # SVN counter C # SVN counter D

= "10ms" = "0" = "Ora diunekake" = "0" = "0" = "0" = "0"

Ngowahi .sekring file kanggo nyetel sekring setelan keamanan sing dikarepake. Baris sing diwiwiti karo # dianggep minangka baris komentar. Kanggo program sekring setelan keamanan, mbusak anjog # lan nyetel Nilai kanggo diunekake. Kanggo example, kanggo ngaktifake sekring setelan keamanan Firmware Co-signed, ngowahi baris pisanan saka sekring file kanggo ing ngisor iki:
Firmware sing ditandatangani bebarengan = "Blown"

Sampeyan uga bisa ngalokasi lan program Owner Fuses adhedhasar syarat sampeyan.
Sampeyan bisa nggunakake printah ing ngisor iki kanggo nindakake mriksa kosong, program, lan verifikasi kunci umum root pemilik:
quartus_pgm -c 1 -mjtag -o "ibpv;root0.qky"

Pilihan · i: Muat gambar helper perangkat kukuh pranata menyang piranti. · b: Nindakake mriksa kosong kanggo verifikasi sekring setelan keamanan sing dipengini ora
wis diunekake. · p: Program sekring. · v: Verifikasi tombol sing wis diprogram ing piranti.
Sawise program .qky file, sampeyan bisa mriksa info sekring kanthi mriksa info sekring maneh kanggo mesthekake yen pemilik kunci umum hash lan ukuran kunci umum pemilik nduweni nilai non-nol.
Nalika kolom ing ngisor iki ora bisa ditulis liwat .sekring file cara, padha klebu sak output operasi mriksa kanggo verifikasi: · Piranti ora aman · Piranti ijin matèni · Pateni pemilik ROOT hash kunci umum 0 · Pateni pemilik ROOT umum kunci hash 1 · Pateni pemilik root umum kunci hash 2 · Intel pembatalan kunci · Program kunci enkripsi pemilik diwiwiti · Program kunci enkripsi pemilik wis rampung · Pembatalan kunci pemilik · Hash kunci publik pemilik · Ukuran kunci publik pemilik · hash kunci publik root pemilik 0 · hash kunci publik root pemilik 1 · hash kunci publik root pemilik 2

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 31

4. Penyediaan piranti 683823 | 2023.05.23
· PTS counter · PTS counter base · QSPI start up delay · RMA counter · SDMIO0 is I2C · SVN counter A · SVN counter B · SVN counter C · SVN counter D
Gunakake Intel Quartus Perdhana Programmer kanggo program .sekring file bali menyang piranti. Yen sampeyan nambah pilihan i, Programmer otomatis mbukak perangkat kukuh panentu kanggo program sekring setelan keamanan.
// Kanggo fisik (non-molah malih) eFuses quartus_pgm -c 1 -mjtag -o “pi;programming_file.sekring” –non_volatile_key
// Kanggo virtual (molah malih) eFuses quartus_pgm -c 1 -mjtag -o “pi;programming_file.sekring”
Sampeyan bisa nggunakake printah ing ngisor iki kanggo verifikasi yen piranti rooting kunci hash padha karo .qky kasedhiya ing printah:
quartus_pgm -c 1 -mjtag -o "v;root0_another.qky"
Yen tombol ora cocog, Programmer gagal karo pesen kesalahan Operasi gagal.
4.9. AES Root Key Provisioning
Sampeyan kudu nggunakake sertifikat kompak tombol root AES sing ditandatangani kanggo program tombol root AES menyang piranti Intel Agilex 7.
4.9.1. Sertifikat Kompak Kunci Root AES
Sampeyan nggunakake alat baris printah quartus_pfg kanggo ngowahi AES tombol ROOT .qek file menyang format sertifikat .ccert kompak. Sampeyan nemtokake lokasi panyimpenan kunci nalika nggawe sertifikat kompak. Sampeyan bisa nggunakake alat quartus_pfg kanggo nggawe sertifikat sing ora ditandatangani kanggo mlebu mengko. Sampeyan kudu nggunakake rantai teken kanthi ijin teken sertifikat kunci root AES, bit ijin 6, diaktifake supaya bisa mlebu sertifikat kompak kunci root AES.

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 32

Kirimi Umpan Balik

4. Penyediaan piranti 683823 | 2023.05.23
1. Gawe pasangan kunci tambahan sing digunakake kanggo mlebu sertifikat kompak tombol AES nggunakake salah siji saka printah ing ngisor ikiamples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mechanism ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –tandha panggunaan –label aesccert1 –id 2
2. Nggawe chain teken kanthi nyetel bit ijin sing bener nggunakake salah siji saka printah ing ngisor iki:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –ijin=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –ijin=0x40 –batal=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Nggawe sertifikat kompak AES sing ora ditandatangani kanggo lokasi panyimpenan kunci root AES sing dikarepake. Opsi panyimpenan kunci root AES ing ngisor iki kasedhiya:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Gawe eFuse AES root key unsigned certificate quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Mlebu certificate kompak karo printah quartus_sign utawa implementasine referensi.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1. ditandatangani ccert_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 33

4. Penyediaan piranti 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1. ditandatangani ccert_ 1.ccert
5. Gunakake Intel Quartus Prime Programmer kanggo program sertifikat kompak tombol root AES menyang piranti Intel Agilex 7 liwat JTAG. Intel Quartus Prime Programmer standar kanggo program eFuses virtual nalika nggunakake EFUSE_WRAPPED_AES_KEY jinis certificate kompak.
Sampeyan nambah opsi -non_volatile_key kanggo nemtokake sekring fisik pemrograman.
//Kanggo fisik (non-volatile) eFuse AES root key quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –non_volatile_key

//Kanggo virtual (volatile) eFuse AES root key quartus_pgm -c 1 -mjtag -o "pi;signed_efuse1.ccert"

// Kanggo BBRAM AES root key quartus_pgm -c 1 -mjtag -o "pi;signed_bbram1.ccert"

Firmware penyediaan SDM lan perangkat kukuh utama ndhukung pemrograman sertifikat kunci root AES. Sampeyan uga bisa nggunakake antarmuka kothak layang SDM saka kain FPGA utawa HPS kanggo program sertifikat tombol ROOT AES.

Cathetan:

Printah quartus_pgm ora ndhukung opsi b lan v kanggo sertifikat kompak (.ccert).

4.9.2. Intrinsik ID® PUF AES Root Key Provisioning
Ngleksanakake Intrinsic* ID PUF wrapped AES Key kalebu langkah-langkah ing ngisor iki: 1. Ndhaptar PUF ID Intrinsik liwat JTAG. 2. Bungkus tombol root AES. 3. Programming data helper lan kebungkus tombol menyang kotak memori flash SPI. 4. Njaluk status aktivasi PUF ID Intrinsik.
Panggunaan teknologi ID Intrinsik mbutuhake perjanjian lisensi sing kapisah karo ID Intrinsik. Piranti lunak Intel Quartus Prime Pro Edition mbatesi operasi PUF tanpa lisensi sing cocog, kayata enrollment, pambungkus kunci, lan pemrograman data PUF menyang lampu kilat QSPI.

4.9.2.1. Pendaftaran PUF ID Intrinsik
Kanggo ndhaptar PUF, sampeyan kudu nggunakake perangkat kukuh pranata SDM. Perangkat kukuh pranata kudu dadi perangkat kukuh pisanan sing dimuat sawise siklus daya, lan sampeyan kudu ngetokake printah enrollment PUF sadurunge prentah liyane. Perangkat kukuh pranata ndhukung printah liyane sawise enrollment PUF, kalebu AES mbungkus tombol ROOT lan program kotak SPI, Nanging, sampeyan kudu daya siklus piranti kanggo mbukak bitstream konfigurasi.
Sampeyan nggunakake Intel Quartus Prime Programmer kanggo micu enrollment PUF lan ngasilake data helper PUF .puf file.

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 34

Kirimi Umpan Balik

4. Penyediaan piranti 683823 | 2023.05.23

Gambar 7.

Pendaftaran PUF ID Intrinsik
quartus_pgm Pendaftaran PUF

Dhaptar data helper PUF

Manajer Piranti Aman (SDM)

wrapper.puf Helper Data
Programmer kanthi otomatis ngemot gambar helper perangkat kukuh nalika sampeyan nemtokake operasi i lan argumen .puf.
quartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
Yen sampeyan nggunakake perangkat kukuh sing ditandatangani bebarengan, sampeyan program gambar helper perangkat kukuh sing ditandatangani bebarengan sadurunge nggunakake printah enrollment PUF.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o "e;help_data.puf;AGFB014R24A"
UDS IID PUF kadhaptar sajrone manufaktur piranti, lan ora kasedhiya kanggo ndhaptar maneh. Nanging, sampeyan nggunakake Programmer kanggo nemtokake lokasi data helper UDS PUF ing IPCS, download .puf file langsung, lan banjur nggunakake UDS .puf file kanthi cara sing padha karo .puf file dijupuk saka piranti Intel Agilex 7.
Gunakake perintah Programmer ing ngisor iki kanggo ngasilake teks file ngemot dhaptar URLs pointing kanggo piranti-tartamtu fileing IPCS:
quartus_pgm -c 1 -mjtag -o "e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Bungkus AES Root Key
Sampeyan generate IID PUF kebungkus AES tombol ROOT .wkey file kanthi ngirim sertifikat sing ditandatangani menyang SDM.
Sampeyan bisa nggunakake Intel Quartus Prime Programmer kanggo ngasilake, mlebu, lan ngirim sertifikat kanthi otomatis kanggo mbungkus kunci root AES, utawa sampeyan bisa nggunakake Intel Quartus Prime Programming. File Generator kanggo ngasilake sertifikat sing ora ditandatangani. Sampeyan mlebu sertifikat sing ora ditandatangani nggunakake alat sampeyan dhewe utawa alat tandha Quartus. Sampeyan banjur nggunakake Programmer kanggo ngirim sertifikat mlebu lan mbungkus kunci root AES. Sertifikat sing ditandatangani bisa digunakake kanggo program kabeh piranti sing bisa validasi chain teken.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 35

4. Penyediaan piranti 683823 | 2023.05.23

Gambar 8.

Bungkus Tombol AES Nggunakake Intel Quartus Prime Programmer
.pem Pribadi
Kunci

.qky

quartus_pgm

Bungkus AES Key

AES.QSKigYnature RootCPhuabilnic Key

Nggawe PUF Wrapped Key

Kunci AES sing dibungkus

SDM

.qek Enkripsi
Kunci

.wkey PUF-kebungkus
Kunci AES

1. Sampeyan bisa generate tombol ROOT AES kebungkus IID PUF (.wkey) karo Programmer nggunakake bantahan ing ngisor iki:
· Ing .qky file ngemot rantai teken kanthi ijin sertifikat kunci root AES
· Pribadi .pem file kanggo tombol pungkasan ing chain teken
· Ing .qek file nyekel tombol root AES
· Vektor inisialisasi 16-byte (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Utawa, sampeyan bisa nggawe sertifikat kunci root AES pembungkus IID PUF sing ora ditandatangani nganggo Pemrograman File Generator nggunakake argumen ing ngisor iki:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Sampeyan mlebu sertifikat sing ora ditandatangani nganggo alat teken dhewe utawa alat quartus_sign nggunakake printah ing ngisor iki:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Sampeyan banjur nggunakake Programmer kanggo ngirim sertifikat AES mlebu lan bali tombol kebungkus (.wkey) file:

quarts_pgm -c 1 -mjtag -ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Cathetan: Operasi i ora perlu yen sampeyan wis mbukak gambar helper perangkat kukuh pranata, contoneample, kanggo ndhaftar PUF.

4.9.2.3. Data Helper Pemrograman lan Kunci sing Dibungkus menyang Memori Flash QSPI
Sampeyan nggunakake Pemrograman Quartus File Antarmuka grafis generator kanggo mbangun gambar lampu kilat QSPI awal sing ngemot partisi PUF. Sampeyan kudu ngasilake lan program gambar program lampu kilat kabeh kanggo nambah partisi PUF menyang lampu kilat QSPI. Penciptaan PUF

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 36

Kirimi Umpan Balik

4. Penyediaan piranti 683823 | 2023.05.23

Gambar 9.

pemisahan data lan nggunakake data helper PUF lan tombol kebungkus files kanggo generasi gambar lampu kilat ora didhukung liwat Programming File Antarmuka baris printah generator.
Langkah-langkah ing ngisor iki nduduhake nggawe gambar pemrograman lampu kilat nganggo data helper PUF lan kunci sing dibungkus:
1. Ing File menu, klik Programming File Generator. Ing Output Files tab nggawe pilihan ing ngisor iki:
a. Kanggo Family Device pilih Agilex 7.
b. Kanggo mode Konfigurasi pilih Active Serial x4.
c. Kanggo direktori Output telusuri menyang output sampeyan file direktori. Mantan ikiample nggunakake output_files.
d. Kanggo Jeneng, nemtokake jeneng kanggo program file kanggo kui. Mantan ikiample nggunakake output_file.
e. Ing Description pilih pemrograman files kanggo generate. Mantan ikiample ngasilake JTAG Konfigurasi ora langsung File (.jic) kanggo konfigurasi piranti lan binar Raw File Gambar Helper Pemrograman (.rbf) kanggo gambar helper piranti. Mantan ikiample uga milih Peta Memori opsional File (.map) lan Data Pemrograman Raw File (.rpd). Data pemrograman mentah file mung perlu yen sampeyan arep nggunakake programer pihak katelu ing mangsa ngarep.
Pemrograman File Generator - Output Files Tab - Pilih JTAG Konfigurasi ora langsung

Mode Konfigurasi Kulawarga Piranti
Output file tab
Direktori output
JTAG Peta Memori ora langsung (.jic). File Pemrograman Helper Raw Programming Data
Ing Input Files tab, nggawe pilihan ing ngisor iki: 1. Klik Tambah Bitstream lan nelusuri menyang .sof Panjenengan. 2. Pilih .sof file banjur klik Properties.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 37

4. Penyediaan piranti 683823 | 2023.05.23
a. Aktifake alat teken. b. Kanggo kunci pribadi file pilih .pem file. c. Aktifake enkripsi Rampung. d. Kanggo kunci enkripsi file pilih .qek sampeyan file. e. Klik OK kanggo bali menyang jendhela sadurunge. 3. Kanggo nemtokake data helper PUF file, klik Tambah Data Mentah. Ngganti Files saka jinis menu gulung mudhun menyang Quartus Physical Unclonable Function File (*.puf). Telusuri menyang .puf file. Yen sampeyan nggunakake IID PUF lan UDS IID PUF, baleni langkah iki supaya .puf files kanggo saben PUF ditambahake minangka input files. 4. Kanggo nemtokake tombol AES kebungkus file, klik Tambah Data Mentah. Ngganti Files saka jinis menu gulung mudhun kanggo Quartus Wrapped Key File (*.wkey). Browse menyang .wkey Panjenengan file. Yen sampeyan wis mbungkus tombol AES nggunakake IID PUF lan UDS IID PUF, baleni langkah iki supaya .wkey files kanggo saben PUF ditambahake minangka input files.
Gambar 10. Nemtokake Input Files kanggo Konfigurasi, Authentication, lan Enkripsi

Tambah Bitstream Tambah Data Raw
Properti
Kunci pribadi file
Rampungake enkripsi Kunci enkripsi
Ing tab Piranti Konfigurasi, gawe pilihan ing ngisor iki: 1. Klik Tambah Piranti banjur pilih piranti lampu kilat saka dhaptar lampu kilat sing kasedhiya.
piranti. 2. Pilih piranti konfigurasi sing wis ditambahake banjur klik Tambah Partisi. 3. Ing kothak dialog Sunting pemisahan kanggo Input file lan pilih .sof saka ing
dhaptar gulung mudhun. Sampeyan bisa nahan standar utawa ngowahi paramèter liyane ing kothak dialog Sunting Partisi.

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 38

Kirimi Umpan Balik

4. Penyediaan piranti 683823 | 2023.05.23
Gambar 11. Nemtokake .sof Partisi Bitstream Konfigurasi

Piranti Konfigurasi
Sunting pemisahan Tambah .sof file

Tambah Partisi

4. Nalika sampeyan nambahake .puf lan .wkey minangka input files, Pemrograman File Generator kanthi otomatis nggawe partisi PUF ing Piranti Konfigurasi. Kanggo nyimpen .puf lan .wkey ing partisi PUF, pilih partisi PUF lan klik Sunting. Ing kothak dialog Sunting pemisahan, pilih .puf lan .wkey Panjenengan files saka dhaptar molor. Yen sampeyan mbusak partisi PUF, sampeyan kudu mbusak lan nambah maneh piranti konfigurasi kanggo Programming File Generator kanggo nggawe partisi PUF liyane. Sampeyan kudu mesthekake yen sampeyan milih .puf lan .wkey sing bener file kanggo IID PUF lan UDS IID PUF, mungguh.
Figure 12. Tambah .puf lan .wkey files menyang Partisi PUF

Partisi PUF

Sunting

Sunting Partisi

Flash Loader

Pilih Generate

5. Kanggo parameter Flash Loader pilih kulawarga piranti Intel Agilex 7 lan jeneng piranti sing cocog karo Intel Agilex 7 OPN.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 39

4. Penyediaan piranti 683823 | 2023.05.23
6. Klik Generate kanggo generate output files sing kasebut ing Output Filetab s
7. Programming File Generator maca .qek Panjenengan file lan njaluk tembung sandhi sampeyan. Ketik tembung sandhi kanggo nanggepi pituduh tembung sandhi Ketik QEK. Klik tombol Enter.
8. Klik OK nalika Programming File Generator laporan generasi sukses.
Sampeyan nggunakake Intel Quartus Prime Programmer kanggo nulis gambar program QSPI menyang memori lampu kilat QSPI. 1. Ing menu Intel Quartus Prime Tools pilih Programmer. 2. Ing Programmer, klik Hardware Setup banjur pilih Intel sing disambungake
FPGA Download Kabel. 3. Klik Tambah File lan browsing menyang .jic file.
Gambar 13. Program .jic

Pemrograman file

Program / Konfigurasi

JTAG rantai scan
4. Busak centhang kothak sing digandhengake karo gambar Helper. 5. Pilih Program / Konfigurasi kanggo output .jic file. 6. Aktifake tombol Mulai kanggo program memori flash kotak SPI Panjenengan. 7. Power siklus Papan Panjenengan. Desain diprogram kanggo memori lampu kilat kotak SPI
piranti banjur dimuat menyang target FPGA.
Sampeyan kudu ngasilake lan program kabeh gambar program lampu kilat kanggo nambah partisi PUF menyang lampu kilat kotak SPI.
Nalika partisi PUF wis ana ing lampu kilat, sampeyan bisa nggunakake Intel Quartus Prime Programmer kanggo ngakses data helper PUF lan kunci sing dibungkus langsung. files. Kanggo example, yen aktivasi ora kasil, sampeyan bisa ndhaftar maneh PUF, mbungkus maneh tombol AES, lan banjur mung program PUF. files tanpa kudu nimpa kabeh lampu kilat.

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 40

Kirimi Umpan Balik

4. Penyediaan piranti 683823 | 2023.05.23
Intel Quartus Prime Programmer ndhukung argumen operasi ing ngisor iki kanggo PUF files ing partisi PUF sing wis ana:
· p: program
· v: verifikasi
· r: mbusak
· b: mriksa kosong
Sampeyan kudu ngetutake watesan sing padha kanggo enrollment PUF, sanajan partisi PUF ana.
1. Gunakake argumen operasi i kanggo mbukak gambar helper perangkat kukuh pranata kanggo operasi pisanan. Kanggo example, urutan printah ing ngisor iki ndhaptar maneh PUF, mbungkus maneh tombol ROOT AES, mbusak data helper PUF lawas lan tombol kebungkus, banjur program lan verifikasi data helper PUF anyar lan tombol ROOT AES.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag -ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o "r;old.puf" quartus_pgm -c 1 -mjtag -o "r;old.wkey" quartus_pgm -c 1 -mjtag -o "p;new.puf" quartus_pgm -c 1 -mjtag -o "p;new.wkey" quartus_pgm -c 1 -mjtag -o "v;new.puf" quartus_pgm -c 1 -mjtag -o "v;new.wkey"
4.9.2.4. Njaluk Status Aktivasi PUF ID Intrinsik
Sawise sampeyan ndhaptar PUF ID Intrinsik, bungkus kunci AES, gawe pemrograman lampu kilat files, lan nganyari lampu kilat kotak SPI, sampeyan daya siklus piranti kanggo pemicu aktifitas PUF lan konfigurasi saka bitstream ndhelik. SDM nglaporake status aktivasi PUF bebarengan karo status konfigurasi. Yen aktifitas PUF gagal, SDM malah nglaporake status kesalahan PUF. Gunakake printah quartus_pgm kanggo takon status konfigurasi.
1. Gunakake printah ing ngisor iki kanggo takon status aktivasi:
quartus_pgm -c 1 -mjtag –status –status_type=”KONFIG”
Punika sampoutput saka aktivasi sing sukses:
Info (21597): Tanggepan saka CONFIG_STATUS Piranti mlaku ing mode pangguna 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Versi C000007B MSEL=QSPI_NORMAL, nSTATUS=1, nSTATUS=1, nSTATUS=1,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Lokasi kesalahan 00000000 Rincian kesalahan Tanggapan saka PUF_STATUS 00002000_2 _IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 41

4. Penyediaan piranti 683823 | 2023.05.23

Yen sampeyan mung nggunakake salah siji IID PUF utawa UDS IID PUF, lan durung diprogram data helper .puf file kanggo salah siji PUF ing lampu kilat QSPI, sing PUF ora diaktifake lan status PUF nuduhake yen data helper PUF ora bener. Ex ing ngisor ikiample nuduhake status PUF nalika data helper PUF ora diprogram kanggo PUF:
Tanggapan PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Lokasi PUF ing Flash Memory
Lokasi PUF file beda kanggo desain sing ndhukung RSU lan desain sing ora ndhukung fitur RSU.

Kanggo desain sing ora ndhukung RSU, sampeyan kudu kalebu .puf lan .wkey files nalika nggawe gambar lampu kilat dianyari. Kanggo desain sing ndhukung RSU, SDM ora nimpa bagean data PUF sajrone nganyari gambar pabrik utawa aplikasi.

Tabel 2.

Layout Sub-Partitions Flash tanpa Dhukungan RSU

Flash Offset (ing bita)

Ukuran (ing byte)

Isine

Katrangan

0K 256K

256K 256K

Manajemen Konfigurasi Firmware Konfigurasi Manajemen Firmware

Firmware sing mlaku ing SDM.

512K

256K

Firmware Manajemen Konfigurasi

768K

256K

Firmware Manajemen Konfigurasi

32K

salinan data PUF 0

Struktur data kanggo nyimpen data helper PUF lan salinan kunci root AES sing dibungkus PUF 0

1M+32K

32K

salinan data PUF 1

Struktur data kanggo nyimpen data helper PUF lan salinan kunci root AES sing dibungkus PUF 1

Tabel 3.

Flash Sub-Partitions Layout karo RSU Support

Flash Offset (ing bita)

Ukuran (ing byte)

Isine

Katrangan

0K 512K

512K 512K

Firmware keputusan Firmware keputusan

Firmware kanggo ngenali lan mbukak gambar prioritas paling dhuwur.

1m 1.5m

512K 512K

Firmware keputusan Firmware keputusan

8K + 24K

Data firmware keputusan

Padding

Dilindhungi undhang-undhang kanggo nggunakake perangkat kukuh Decision.

2M + 32K

32K

Reserved kanggo SDM

Reserved kanggo SDM.

2M + 64K

Variabel

Gambar pabrik

Gambar prasaja sing digawe minangka serep yen kabeh gambar aplikasi liyane gagal dimuat. Gambar iki kalebu CMF sing mlaku ing SDM.

Sabanjure

32K

salinan data PUF 0

Struktur data kanggo nyimpen data helper PUF lan salinan kunci root AES sing dibungkus PUF 0
terus…

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 42

Kirimi Umpan Balik

4. Penyediaan piranti 683823 | 2023.05.23

Flash Offset (ing bita)

Ukuran (ing byte)

Sabanjure +32K 32K

Isi salinan data PUF 1

Sabanjure + 256K 4K Sabanjure +32K 4K Sabanjure +32K 4K

Salinan tabel sub-partisi 0 Salinan tabel sub-partisi 1 Salin blok penunjuk CMF 0

Sabanjure +32K _

CMF pointer blok salinan 1

Variabel Variabel

Gambar Aplikasi 1 Gambar Aplikasi 2

4.9.3. Black Key Provisioning

Katrangan
Struktur data kanggo nyimpen data helper PUF lan salinan kunci root AES sing dibungkus PUF 1
Struktur data kanggo nggampangake manajemen panyimpenan lampu kilat.
Dhaptar pitunjuk kanggo gambar aplikasi miturut prioritas. Nalika sampeyan nambahake gambar, gambar kasebut dadi paling dhuwur.
Salinan kapindho dhaptar penunjuk menyang gambar aplikasi.
Gambar aplikasi pisanan sampeyan.
Gambar aplikasi kapindho sampeyan.

Cathetan:

TheIntel Quartus PrimeProgrammer mbantu nggawe sambungan aman sing diakoni bebarengan antarane piranti Intel Agilex 7 lan layanan penyediaan tombol ireng. Sambungan aman digawe liwat https lan mbutuhake sawetara sertifikat sing diidentifikasi nggunakake teks file.
Nalika nggunakake Black Key Provisioning, Intel nyaranake supaya sampeyan ora nyambungake pin TCK menyang njaba kanggo narik munggah utawa narik mudhun resistor nalika isih digunakake kanggo J.TAG. Nanging, sampeyan bisa nyambungake pin TCK menyang sumber daya VCCIO SDM nggunakake resistor 10 k. Panuntun sing ana ing Pedoman Sambungan Pin kanggo nyambungake TCK menyang 1 k resistor narik-mudhun klebu kanggo dipatèni gangguan. Owah-owahan ing panuntun dhumateng kanggo 10 k resistor tarik-munggah ora mengaruhi piranti fungsi. Kanggo informasi luwih lengkap babagan nyambungake pin TCK, waca Intel Agilex 7 Pedoman Sambungan Pin.
Thebkp_tls_ca_certcertificate authenticates conto layanan provisioning tombol ireng kanggo conto programmer provisioning tombol ireng. Thebkp_tls_*sertifikat keasliane conto programmer provisioning tombol ireng menyang conto layanan provisioning tombol ireng.
Sampeyan nggawe teks file ngemot informasi sing perlu kanggo theIntel Quartus Prime Programmer kanggo nyambung menyang layanan provisioning tombol ireng. Kanggo miwiti provisioning tombol ireng, gunakake antarmuka baris printah Programmer kanggo nemtokake teks pilihan provisioning tombol ireng. file. Penyediaan tombol ireng banjur diterusake kanthi otomatis. Kanggo akses menyang layanan provisioning tombol ireng lan dokumentasi gadhah, hubungi Dhukungan Intel.
Sampeyan bisa ngaktifake provisioning tombol ireng nggunakake perintah thequartus_pgm:
quartus_pgm -c -m – piranti –bkp_options=bkp_options.txt
Argumen perintah nemtokake informasi ing ngisor iki:

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 43

4. Penyediaan piranti 683823 | 2023.05.23

· -c: nomer kabel · -m: nemtokake mode pemrograman kayata JTAG · – piranti: nemtokake indeks piranti ing JTAG rante. Nilai standar yaiku 1. · –bkp_options: nemtokake teks file ngemot opsi provisioning tombol ireng.
Informasi Related Intel Agilex 7 Piranti Family Pin Pedoman Sambungan

4.9.3.1. Black Key Provisioning Pilihan
Opsi provisioning tombol ireng yaiku teks file liwati menyang Programmer liwat printah quartus_pgm. Ing file ngandhut informasi sing dibutuhake kanggo pemicu provisioning tombol ireng.
Ing ngisor iki minangka mantanample saka bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem_prok_prog = https://1234:192.167.5.5 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Tabel 4.

Black Key Provisioning Pilihan
Tabel iki nampilake opsi sing dibutuhake kanggo micu provisioning tombol ireng.

Jeneng Pilihan

Jinis

Katrangan

bkp_ip

dibutuhake

Nemtokake alamat IP server sing nganggo layanan penyediaan tombol ireng.

bkp_port

dibutuhake

Nemtokake port layanan provisioning tombol ireng sing dibutuhake kanggo nyambung menyang server.

bkp_cfg_id

dibutuhake

Ngenali ID aliran konfigurasi provisioning tombol ireng.
Layanan provisioning tombol ireng nggawe aliran konfigurasi provisioning tombol ireng kalebu tombol root AES, setelan eFuse sing dikarepake, lan opsi wewenang penyediaan tombol ireng liyane. Nomer sing ditugasake sajrone persiyapan layanan panyedhiya tombol ireng ngenali aliran konfigurasi panyedhiya tombol ireng.
Cathetan: Sawetara piranti bisa uga nuduhake aliran konfigurasi layanan panyedhiya tombol ireng sing padha.

bkp_tls_ca_cert

dibutuhake

Sertifikat TLS ROOT digunakake kanggo ngenali layanan provisioning tombol ireng kanggo Intel Quartus Prime Programmer (Programmer). Otoritas Sertifikat sing dipercaya kanggo conto layanan penyediaan tombol ireng ngetokake sertifikat iki.
Yen sampeyan mbukak Programmer ing komputer nganggo sistem operasi Microsoft® Windows® (Windows), sampeyan kudu nginstal sertifikat iki ing toko sertifikat Windows.

bkp_tls_prog_cert

dibutuhake

A certificate digawe kanggo Kayata saka tombol ireng provisioning Programmer (BKP Programmer). Iki minangka sertifikat klien https sing digunakake kanggo ngenali conto programmer BKP iki
terus…

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 44

Kirimi Umpan Balik

4. Penyediaan piranti 683823 | 2023.05.23

Jeneng Pilihan

Jinis

bkp_tls_prog_key

dibutuhake

bkp_tls_prog_key_pass Opsional

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Opsional Opsional Opsional

Katrangan
menyang layanan provisioning tombol ireng. Sampeyan kudu nginstal lan menehi wewenang sertifikat iki ing layanan provisioning tombol ireng sadurunge miwiti sesi provisioning tombol ireng. Yen sampeyan mbukak Programmer ing Windows, pilihan iki ora kasedhiya. Ing kasus iki, bkp_tls_prog_key wis kalebu sertifikat iki.
Kunci pribadi sing cocog karo sertifikat Programmer BKP. Tombol validates identitas conto BKP Programmer kanggo layanan provisioning tombol ireng. Yen sampeyan mbukak Programmer ing Windows, .pfx file nggabungake sertifikat bkp_tls_prog_cert lan kunci pribadi. Pilihan bkp_tlx_prog_key ngliwati .pfx file ing bkp_options.txt file.
Tembung sandhi kanggo kunci pribadhi bkp_tls_prog_key. Ora dibutuhake ing tombol ireng pilihan konfigurasi provisioning (bkp_options.txt) teks file.
Nemtokake server proxy URL alamat.
Nemtokake jeneng panganggo server proxy.
Nemtokake sandhi otentikasi proxy.

4.10. Ngonversi Owner Key Root, AES Root Key Certificates, lan Fuse files kanggo Jam STAPL File Format

Sampeyan bisa nggunakake printah baris printah quartus_pfg kanggo ngowahi .qky, AES root key .ccert, lan .fuse files kanggo Jam STAPL Format File (.jam) lan Format Kode Jam Byte File (.jbc). Sampeyan bisa nggunakake iki files kanggo program Intel FPGAs nggunakake Jam STAPL Player lan Jam STAPL Byte-Code Player, mungguh.

A .jam utawa .jbc siji ngemot sawetara fungsi kalebu konfigurasi gambar helper perangkat kukuh lan program, mriksa kosong, lan verifikasi pemrograman tombol lan sekring.

Ati-ati:

Nalika sampeyan ngowahi tombol ROOT AES .ccert file kanggo format .jam, ing .jam file ngandhut tombol AES ing plainteks nanging wangun obfuscated. Akibate, sampeyan kudu nglindhungi .jam file nalika nyimpen tombol AES. Sampeyan bisa nindakake iki kanthi nyedhiyakake kunci AES ing lingkungan sing aman.

Iki mantan mantanamples saka quartus_pfg printah konversi:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky”RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.fqky.jp;root2.fqky; c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A helper_device=Setelan AGFB014R24A. sekring settings_fuse.jbc

Kanggo informasi luwih lengkap babagan nggunakake Jam STAPL Player kanggo program piranti waca AN 425: Nggunakake Command-Line Jam Solution STAPL kanggo Piranti Programming.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 45

4. Penyediaan piranti 683823 | 2023.05.23
Jalanake perintah ing ngisor iki kanggo program kunci umum root pemilik lan kunci enkripsi AES:
// Kanggo mbukak helper bitstream menyang FPGA. // The helper bitstream kalebu pranata firmware quartus_jli -c 1 -a CONFIGURE RootKey.jam
//Kanggo program kunci publik root pemilik menyang virtual eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Kanggo program kunci publik root pemilik menyang fisik eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Kanggo program kunci publik root pemilik PR menyang virtual eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Kanggo program kunci publik root pemilik PR menyang fisik eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Kanggo program kunci enkripsi AES CCERT menyang BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Kanggo program kunci enkripsi AES CCERT dadi eFuses fisik quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Informasi sing gegandhengan AN 425: Nggunakake Solusi STAPL Jam Command-Line kanggo Pemrograman Piranti

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 46

Kirimi Umpan Balik

683823 | 2023.05.23 Kirimi Umpan Balik

Fitur Lanjut

5.1. Wewenang Debug Aman
Kanggo ngaktifake Otorisasi Debug Aman, pemilik debug kudu nggawe pasangan kunci otentikasi lan nggunakake Intel Quartus Prime Pro Programmer kanggo ngasilake informasi piranti. file kanggo piranti sing mbukak gambar debug:
quartus_pgm -c 1 -mjtag -o "ei;device_info.txt;AGFB014R24A" -dev_info
Pamilik piranti nggunakake alat quartus_sign utawa implementasi referensi kanggo nambah entri kunci publik sing kondisional menyang rantai teken sing dimaksudake kanggo operasi debug nggunakake kunci umum saka pemilik debug, wewenang sing dibutuhake, teks informasi piranti. file, lan watesan liyane sing ditrapake:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″ debug_authorization_public_key.pem secure_debug_auth_chain.qky
Pamilik piranti ngirim rantai teken lengkap bali menyang pemilik debug, sing nggunakake ranté teken lan kunci pribadi kanggo mlebu gambar debug:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Sampeyan bisa nggunakake printah quartus_pfg kanggo mriksa chain teken saben bagean saka bitstream debug aman sing ditandatangani kaya ing ngisor iki:
quartus_pfg –check_integrity authorized_debug_design.rbf
Output saka printah iki nyithak nilai watesan 1,2,17,18 saka kunci umum kondisional sing digunakake kanggo ngasilake bitstream sing ditandatangani.
Pamilik debug banjur bisa program desain debug sing sah kanthi aman:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
Pamilik piranti bisa mbatalake wewenang debug aman kanthi mbatalake ID pembatalan kunci sing jelas sing ditugasake ing rantai tandha wewenang debug sing aman.
5.2. Sertifikat Debug HPS
Ngaktifake mung akses sah menyang port akses debug HPS (DAP) liwat JTAG antarmuka mbutuhake sawetara langkah:

ISO 9001:2015 Registered

5. Fitur Lanjut 683823 | 2023.05.23
1. Klik menu Assignments piranti lunak Intel Quartus Prime banjur pilih tab Konfigurasi Piranti Piranti lan Pin Pilihan.
2. Ing tab Konfigurasi, aktifake port akses debug HPS (DAP) kanthi milih Pin HPS utawa Pin SDM saka menu molor, lan priksa kothak Allow HPS debug tanpa sertifikat ora dipilih.
Gambar 14. Nemtokake Pin HPS utawa SDM kanggo HPS DAP

Port akses debug HPS (DAP)
Utawa, sampeyan bisa nyetel assignment ing ngisor iki ing Quartus Prime Settings .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE "SDM PINS"
3. Compile lan mbukak desain karo setelan iki. 4. Gawe rantai teken kanthi ijin sing cocog kanggo mlebu debug HPS
sertifikat:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_chain.
5. Nyuwun sertifikat debug HPS sing ora ditandatangani saka piranti ing ngendi desain debug dimuat:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. Tandhani sertifikat debug HPS sing ora ditandatangani nggunakake alat quartus_sign utawa implementasi referensi lan rantai tandha debug HPS:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 48

Kirimi Umpan Balik

5. Fitur Lanjut 683823 | 2023.05.23
7. Kirimi sertifikat debug HPS sing wis ditandatangani bali menyang piranti kanggo ngaktifake akses menyang port akses debug HPS (DAP):
quartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
Sertifikat debug HPS mung valid wiwit digawe nganti siklus daya sabanjure piranti utawa nganti jinis utawa versi perangkat kukuh SDM sing beda dimuat. Sampeyan kudu ngasilake, menehi tandha, lan program sertifikat debug HPS sing wis ditandatangani, lan nindakake kabeh operasi debug, sadurunge nyepetake piranti kasebut. Sampeyan bisa mbatalake sertifikat debug HPS sing wis ditandatangani kanthi muter daya piranti kasebut.
5.3. Pengesahan Platform
Sampeyan bisa ngasilake manifest integritas referensi (.rim) file nggunakake pemrograman file alat generator:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Tindakake langkah iki kanggo mesthekake bukti platform ing desain sampeyan: 1. Gunakake Intel Quartus Prime Pro Programmer kanggo ngatur piranti nganggo
desain sampeyan nggawe manifest integritas referensi kanggo. 2. Gunakake verifier attestation platform kanggo ndhaftar piranti dening nerbitake printah menyang
SDM liwat kothak layang SDM kanggo nggawe sertifikat ID piranti lan sertifikat perangkat kukuh nalika dimuat maneh. 3. Gunakake Intel Quartus Prime Pro Programmer kanggo reconfigure piranti karo desain. 4. Gunakake verifier atestasi platform kanggo ngetokake perintah menyang SDM kanggo entuk ID piranti, perangkat kukuh, lan sertifikat alias. 5. Gunakake verifier atestasi kanggo ngetokake printah kothak layang SDM kanggo njaluk bukti attestation lan verifier mriksa bukti bali.
Sampeyan bisa ngleksanakake layanan verifier dhewe nggunakake printah kothak layang SDM, utawa nggunakake layanan verifikasi platform Intel. Kanggo informasi luwih lengkap babagan piranti lunak layanan verifikasi bukti platform Intel, kasedhiyan, lan dokumentasi, hubungi Dhukungan Intel.
Informasi Related Intel Agilex 7 Piranti Family Pin Pedoman Sambungan
5.4. Fisik Anti-Tamper
Sampeyan ngaktifake anti-t fisikamper fitur nggunakake langkah ing ngisor iki: 1. Milih respon sing dipengini kanggo t dideteksiampacara er 2. Konfigurasi t dikarepakeampcara deteksi er lan paramèter 3. Kalebu anti-tamper IP ing logika desain kanggo bantuan ngatur anti-tamper
acara

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 49

5. Fitur Lanjut 683823 | 2023.05.23
5.4.1. Anti-Tamper Tanggapan
Sampeyan ngaktifake anti-t fisikamper kanthi milih respon saka Anti-tamper respon: dhaftar gulung mudhun ing Assignments Piranti Piranti lan Pin Pilihan Keamanan Anti-Tamper tab. Kanthi gawan, anti-tamper respon dipatèni. Lima kategori anti-tamper respon kasedhiya. Yen sampeyan milih respon sing dikarepake, opsi kanggo ngaktifake siji utawa luwih cara deteksi diaktifake.
Gambar 15. Kasedhiya Anti-Tamper Pilihan Response

Tugas sing cocog ing setelan Quartus Prime .gsf file yaiku ing ngisor iki:
set_global_assignment -jeneng ANTI_TAMPER_RESPONSE "PERANGKAT NOTIFIKASI NGUSAKAKE KUNCI PERANGKAT LAN ZEROIZATION"
Nalika sampeyan ngaktifake anti-tamper respon, sampeyan bisa milih loro kasedhiya SDM darmabakti I / O pin kanggo output tampdeteksi acara lan status nanggepi nggunakake Assignments Piranti Piranti lan Pilihan Pin jendhela Konfigurasi Konfigurasi Pin Pilihan.

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 50

Kirimi Umpan Balik

5. Fitur Lanjut 683823 | 2023.05.23
Gambar 16. Pin I/O khusus SDM kasedhiya kanggo Tamper Deteksi Acara

Sampeyan uga bisa nggawe tugas pin ing ngisor iki ing setelan file: set_global_assignment -jeneng USE_TAMPER_DETECT SDM_IO15 set_global_assignment -jeneng ANTI_TAMPER_RESPONSE_GAGAL SDM_IO16

5.4.2. Anti-Tamper Deteksi

Sampeyan bisa ngaktifake frekuensi, suhu, lan voltage fitur deteksi SDM. Deteksi FPGA gumantung ing kalebu Anti-Tamper Lite Intel FPGA IP ing desain sampeyan.

Cathetan:

frekuensi SDM lan voltagetampcara deteksi er gumantung ing referensi internal lan hardware pangukuran sing bisa beda-beda antarane piranti. Intel ngajak sing ciri prilaku tampsetelan deteksi er.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 51

5. Fitur Lanjut 683823 | 2023.05.23
Frekuensi tamper deteksi makaryakke ing sumber jam konfigurasi. Kanggo ngaktifake frekuensi tamper deteksi, sampeyan kudu nemtokake pilihan liyane saka Osilator Internal ing gulung mudhun sumber jam Konfigurasi ing Assignments Piranti Piranti lan Pin Pilihan tab Umum. Sampeyan kudu mesthekake yen Run konfigurasi CPU saka osilator internal kothak diaktifake sadurunge mbisakake t frekuensiampdeteksi er. Gambar 17. Nyetel SDM menyang Osilator Internal
Kanggo ngaktifake frekuensi tamper deteksi, pilih frekuensi Aktifake tampkothak centhang deteksi lan pilih Frekuensi tamper deteksi sawetara saka menu molor. Gambar 18. Frekuensi Ngaktifake Tamper Deteksi

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 52

Kirimi Umpan Balik

5. Fitur Lanjut 683823 | 2023.05.23
Utawa, sampeyan bisa ngaktifake Frekuensi Tamper Deteksi dening nggawe owah-owahan ing ngisor iki kanggo Quartus Perdhana Setelan .qsf file:
set_global_assignment -jeneng AUTO_RESTART_CONFIGURATION OFF set_global_assignment -jeneng DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -jeneng RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -name_global_assignmentAMPER_DETECTION ON set_global_assignment -jeneng FREQUENCY_TAMPER_DETECTION_RANGE 35
Kanggo ngaktifake suhu tamper deteksi, pilih Aktifake suhu tampkothak centhang deteksi lan pilih wates ndhuwur lan ngisor suhu sing dikarepake ing kolom sing cocog. Wates ndhuwur lan ngisor diisi kanthi gawan karo sawetara suhu sing gegandhengan kanggo piranti sing dipilih ing desain.
Kanggo ngaktifake voltagetamper deteksi, sampeyan milih salah siji utawa loro saka Aktifake VCCL voltagetamper deteksi utawa Aktifake VCCL_SDM voltagetamper deteksi kothak lan pilih Voltagetamper deteksi pemicu persentage ing lapangan sing cocog.
Gambar 19. Aktifake Voltaglan Tamper Deteksi

Utawa, sampeyan bisa ngaktifake Voltaglan Tamper Deteksi kanthi nemtokake assignments ing ngisor iki ing .qsf file:
set_global_assignment -jeneng ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -jeneng TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -jeneng ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -jeneng ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ON
5.4.3. Anti-Tamper Lite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP, kasedhiya ing katalog IP ing piranti lunak Intel Quartus Prime Pro Edition, nggampangake komunikasi bidirectional antarane desain lan SDM kanggo tampacara er.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 53

Gambar 20. Anti-Tamper Lite Intel FPGA IP

5. Fitur Lanjut 683823 | 2023.05.23

IP nyedhiyakake sinyal ing ngisor iki sing sampeyan sambungake menyang desain sampeyan yen perlu:

Tabel 5.

Anti-Tamper Lite Intel FPGA IP I/O Sinyal

Jeneng Sinyal

arah

Katrangan

gpo_sdm_at_event gpi_fpga_at_event

Input Output

Sinyal SDM kanggo logika kain FPGA sing SDM wis dideteksi ingampacara e. Logika FPGA nduweni kira-kira 5ms kanggo nindakake reresik sing dikarepake lan nanggapi SDM liwat gpi_fpga_at_response_done lan gpi_fpga_at_zeroization_done. SDM nerusake karo tamptumindak respon er nalika gpi_fpga_at_response_done ditegesake utawa sawise ora ana respon ditampa ing wektu sing wis ditemtokake.
FPGA ngganggu kanggo SDM sing dirancang anti-tampsirkuit deteksi er wis dideteksi ingampacara er lan SDM tamper respon kudu micu.

gpi_fpga_at_response_done

Input

FPGA ngganggu SDM sing logika FPGA wis nindakake reresik dikarepake.

gpi_fpga_at_zeroization_d siji

Input

sinyal FPGA kanggo SDM sing logika FPGA wis rampung sembarang zeroization dikarepake data desain. Sinyal iki sampdipimpin nalika gpi_fpga_at_response_done ditegesake.

5.4.3.1. Rilis Informasi

Nomer skema versi IP (XYZ) diganti saka siji versi piranti lunak menyang versi liyane. Owah-owahan ing:
· X nuduhake revisi utama IP. Yen sampeyan nganyari piranti lunak Intel Quartus Prime, sampeyan kudu nggawe maneh IP.
· Y nuduhake IP kalebu fitur anyar. Gawe maneh IP sampeyan kanggo nyakup fitur-fitur anyar iki.
· Z nuduhake IP kalebu owah-owahan cilik. Gawe maneh IP sampeyan kanggo nyakup owah-owahan kasebut.

Tabel 6.

Anti-Tamper Informasi Rilis IP Intel FPGA Lite

Versi IP

Item

Katrangan 20.1.0

Versi Intel Quartus Prime

21.2

Tanggal Rilis

2021.06.21

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 54

Kirimi Umpan Balik

5. Fitur Lanjut 683823 | 2023.05.23
5.5. Nggunakake Fitur Keamanan Desain karo Nganyari Sistem Remot
Nganyari Sistem Jarak Jauh (RSU) minangka fitur Intel Agilex 7 FPGA sing mbantu nganyari konfigurasi. files kanthi cara sing kuat. RSU kompatibel karo fitur keamanan desain kayata otentikasi, co-signing firmware, lan enkripsi bitstream amarga RSU ora gumantung ing isi desain bitstream konfigurasi.
Bangunan Gambar RSU karo .sof Files
Yen sampeyan nyimpen kunci pribadi ing lokal sampeyan filesistem, sampeyan bisa generate gambar RSU karo fitur keamanan desain nggunakake aliran simplified karo .sof files minangka input. Kanggo generate gambar RSU karo .sof file, sampeyan bisa ngetutake pandhuan ing Bagean Ngasilake Gambar Nganyari Sistem Jarak Jauh Files Nggunakake Programming File Generator Pandhuan Pangguna Konfigurasi Intel Agilex 7. Kanggo saben .sof file ditemtokake ing Input Files tab, klik tombol Properties… lan nemtokake setelan lan tombol sing cocog kanggo piranti teken lan enkripsi. Pemrograman kasebut file alat generator kanthi otomatis menehi tandha lan ndhelik gambar pabrik lan aplikasi nalika nggawe program RSU files.
Utawa, yen sampeyan nyimpen kunci pribadi ing HSM, sampeyan kudu nggunakake alat quartus_sign lan mulane nggunakake .rbf files. Liyane saka bagean iki rincian owah-owahan ing aliran kanggo generate gambar RSU karo .rbf files minangka input. Sampeyan kudu encrypt lan mlebu format .rbf files sadurunge milih minangka input files kanggo gambar RSU; Nanging, RSU boot info file ora kudu dienkripsi lan mung ditandatangani. Pemrograman File Generator ora ndhukung ngowahi sifat format .rbf files.
Ex ing ngisor ikiamples nduduhake modifikasi perlu kanggo printah ing Section Generating Remote System Update Gambar Files Nggunakake Programming File Generator Pandhuan Pangguna Konfigurasi Intel Agilex 7.
Ngasilake Gambar RSU Awal Nggunakake .rbf Files: Modifikasi Command
Saka Ngasilake Gambar RSU Awal Nggunakake .rbf Files bagean, ngowahi printah ing Langkah 1. kanggo ngaktifake fitur keamanan desain kaya sing dikarepake nggunakake instruksi saka bagean sadurungé saka document iki.
Kanggo example, sampeyan bakal nemtokake perangkat kukuh mlebu file yen sampeyan nggunakake perangkat kukuh cosigning, banjur nggunakake alat enkripsi Quartus kanggo encrypt saben .rbf file, lan pungkasane nggunakake alat quartus_sign kanggo mlebu saben file.
Ing langkah 2, yen sampeyan wis ngaktifake firmware co-signing, sampeyan kudu nggunakake opsi tambahan ing nggawe boot .rbf saka gambar pabrik file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Sawise sampeyan nggawe info boot .rbf file, nggunakake alat quartus_sign kanggo mlebu .rbf file. Sampeyan kudu ora encrypt boot info .rbf file.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 55

5. Fitur Lanjut 683823 | 2023.05.23
Ngasilake Gambar Aplikasi: Modifikasi Command
Kanggo ngasilake gambar aplikasi kanthi fitur keamanan desain, sampeyan ngowahi printah ing Nggawe Gambar Aplikasi kanggo nggunakake .rbf kanthi fitur keamanan desain diaktifake, kalebu perangkat kukuh sing ditandatangani bebarengan yen dibutuhake, tinimbang aplikasi asli .sof. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Ngasilake Gambar Update Pabrik: Modifikasi Command
Sawise sampeyan nggawe info boot .rbf file, sampeyan nggunakake alat quartus_sign kanggo mlebu .rbf file. Sampeyan kudu ora encrypt boot info .rbf file.
Kanggo ngasilake gambar nganyari pabrik RSU, sampeyan ngowahi printah saka Ngasilake Gambar Update Pabrik kanggo nggunakake .rbf. file kanthi fitur keamanan desain diaktifake lan tambahake pilihan kanggo nuduhake panggunaan perangkat kukuh sing ditandatangani bebarengan:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Informasi sing gegandhengan Intel Agilex 7 Pandhuan Pangguna Konfigurasi
5.6. Layanan Kriptografi SDM
SDM ing piranti Intel Agilex 7 nyedhiyakake layanan kriptografi sing bisa dijaluk dening logika kain FPGA utawa HPS liwat antarmuka kothak layang SDM. Kanggo informasi luwih lengkap babagan printah kothak layang lan format data kanggo kabeh layanan kriptografi SDM, waca Apendiks B ing Metodologi Keamanan kanggo Intel FPGA lan Pandhuan Pangguna ASIC Terstruktur.
Kanggo ngakses antarmuka kothak layang SDM menyang logika kain FPGA kanggo layanan kriptografi SDM, sampeyan kudu instantiate kothak layang Client Intel FPGA IP ing desain sampeyan.
Kode referensi kanggo ngakses antarmuka kothak layang SDM saka HPS kalebu ing kode ATF lan Linux sing diwenehake dening Intel.
Related Information Mailbox Klien Intel FPGA IP User Guide
5.6.1. Boot Sah Vendor
Intel nyedhiyakake implementasi referensi kanggo piranti lunak HPS sing nggunakake fitur boot resmi vendor kanggo otentikasi piranti lunak boot HPS wiwit wiwitan.tage boot loader liwat kernel Linux.
Informasi sing gegandhengan Intel Agilex 7 SoC Secure Boot Demo Design

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 56

Kirimi Umpan Balik

5. Fitur Lanjut 683823 | 2023.05.23
5.6.2. Layanan Obyek Data Aman
Sampeyan ngirim printah liwat kothak layang SDM kanggo nindakake enkripsi lan dekripsi obyek SDOS. Sampeyan bisa nggunakake fitur SDOS sawise nyedhiyakake kunci root SDOS.
Informasi sing Gegandhengan Secure Data Object Service Root Key Provisioning ing kaca 30
5.6.3. Layanan Primitif Kriptografi SDM
Sampeyan ngirim printah liwat kothak layang SDM kanggo miwiti operasi layanan primitif kriptografi SDM. Sawetara layanan primitif kriptografi mbutuhake luwih akeh data sing ditransfer menyang lan saka SDM tinimbang antarmuka kothak layang sing bisa ditampa. Ing kasus iki, printah saka format diganti kanggo nyedhiyani penunjuk kanggo data ing memori. Kajaba iku, sampeyan kudu ngganti instantiasi saka Klien Kotak Surat Intel FPGA IP kanggo nggunakake layanan primitif kriptografi SDM saka logika kain FPGA. Sampeyan uga kudu nyetel parameter Aktifake Layanan Crypto menyang 1 lan nyambungake antarmuka inisiator AXI sing mentas kapapar menyang memori ing desain sampeyan.
Gambar 21. Ngaktifake Layanan Kriptografi SDM ing Klien Kotak Surat Intel FPGA IP

5.7. Setelan Keamanan Bitstream (FM/S10)
Opsi Keamanan Bitstream FPGA minangka kumpulan kabijakan sing mbatesi fitur utawa mode operasi sing ditemtokake ing wektu sing ditemtokake.
Opsi Keamanan Bitstream kalebu panji sing sampeyan setel ing piranti lunak Intel Quartus Prime Pro Edition. Gendéra kasebut kanthi otomatis disalin menyang bitstream konfigurasi.
Sampeyan bisa nindakake opsi keamanan kanthi permanen ing piranti kanthi nggunakake setelan keamanan eFuse sing cocog.
Kanggo nggunakake setelan keamanan ing bitstream konfigurasi utawa piranti eFuses, sampeyan kudu ngaktifake fitur otentikasi.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 57

5. Fitur Lanjut 683823 | 2023.05.23
5.7.1. Milih lan Ngaktifake Pilihan Keamanan
Kanggo milih lan ngaktifake opsi keamanan, tindakake ing ngisor iki: Saka menu Tugas, pilih Piranti Piranti lan Pilihan Pin Keamanan Opsi Liyane… Gambar 22. Milih lan Ngaktifake Pilihan Keamanan

Banjur pilih nilai saka dhaptar gulung mudhun kanggo opsi keamanan sing pengin sampeyan aktifake kaya sing ditampilake ing conto ing ngisor iki.ample:
Gambar 23. Milih Nilai kanggo Pilihan Keamanan

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 58

Kirimi Umpan Balik

5. Fitur Lanjut 683823 | 2023.05.23
Ing ngisor iki owah-owahan sing cocog ing Quartus Prime Settings .qsf file:
set_global_assignment -jeneng SECU_OPTION_DISABLE_JTAG "Ing mriksa" Set_Global_Shassigned -name Secu_option_Crape_Encryption_ky_clock_ToSlicSigned -name Secu_OtCal_lock_security_security_security_Selost- set_global_assignment -name secu_option_disable_hps_debug ing SET_GLOBALL_SIGNSIGRAVERS_EFRYPtion_in_Keyan_Keyan_Kektigasi Ing Set_Global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -jeneng SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -jeneng SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 59

683823 | 2023.05.23 Kirimi Umpan Balik

Ngatasi masalah

Bab iki njlèntrèhaké kesalahan umum lan pesen bebaya sing bisa ditemoni nalika nyoba nggunakake fitur keamanan piranti lan langkah-langkah kanggo ngatasi.
6.1. Nggunakake Quartus Commands ing Windows Environment Error
Kesalahan quartus_pgm: printah ora ditemokake Katrangan Kesalahan iki ditampilake nalika nyoba nggunakake printah Quartus ing NIOS II Shell ing lingkungan Windows kanthi nggunakake WSL. Resolusi Printah iki dianggo ing lingkungan Linux; Kanggo host Windows, gunakake printah ing ngisor iki: quartus_pgm.exe -h Kajaba iku, gunakake sintaks sing padha karo perintah Quartus Prime liyane kayata quartus_pfg, quartus_sign, quartus_encrypt ing antarane perintah liyane.

ISO 9001:2015 Registered

6. Ngatasi masalah 683823 | 2023.05.23

6.2. Nggawe Bebaya Kunci Pribadi

Pènget:

Tembung sandhi sing ditemtokake dianggep ora aman. Intel nyaranake supaya paling sethithik 13 karakter sandhi digunakake. Sampeyan dianjurake kanggo ngganti tembung sandhi kanthi nggunakake eksekusi OpenSSL.

openssl ec -in -metu -aes256

Katrangan
Bebaya iki ana gandhengane karo kekuwatan lan tampilan sandhi nalika nyoba ngasilake kunci pribadi kanthi nerbitake prentah ing ngisor iki:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Resolusi Gunakake eksekusi openssl kanggo nemtokake tembung sandhi sing luwih dawa lan luwih kuwat.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 61

6. Ngatasi masalah 683823 | 2023.05.23
6.3. Nambahake Kunci Tandha menyang Kesalahan Proyek Quartus
Kesalahan…File ngemot informasi kunci root…
Katrangan
Sawise nambahake tombol teken .qky file kanggo proyek Quartus, sampeyan kudu nglumpukake maneh .sof file. Nalika sampeyan nambah iki regenerated .sof file menyang piranti sing dipilih kanthi nggunakake Quartus Programmer, pesen kesalahan ing ngisor iki nuduhake yen file ngemot informasi kunci root:
Gagal nambahfile-path-name> kanggo Programmer. Ing file ngandhut informasi tombol ROOT (.qky). Nanging, Programmer ora ndhukung fitur tandha bitstream. Sampeyan bisa nggunakake Programming File Generator kanggo ngowahi file menyang Binary Raw sing ditandatangani file (.rbf) kanggo konfigurasi.
Resolusi
Gunakake Quartus Programming file generator kanggo ngowahi file menyang Biner Mentah sing ditandatangani File .rbf kanggo konfigurasi.
Bitstream Konfigurasi Signing Informasi Gegandhengan Nggunakake Command quartus_sign ing kaca 13

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 62

Kirimi Umpan Balik

6. Ngatasi masalah 683823 | 2023.05.23
6.4. Ngasilake Quartus Prime Programming File ora kasil
Kesalahan
Kesalahan (20353): X saka kunci umum saka QKY ora cocog karo kunci pribadi saka PEM file.
Kesalahan (20352): Gagal mlebu bitstream liwat skrip python agilex_sign.py.
Error: Quartus Prime Programming File Generator ora kasil.
Katrangan Yen sampeyan nyoba mlebu bitstream konfigurasi nggunakake kunci pribadi sing salah .pem file utawa .pem file sing ora cocog karo .qky ditambahaké kanggo project, tampilan kasalahan umum ndhuwur. Resolusi Priksa manawa sampeyan nggunakake kunci pribadi sing bener .pem kanggo mlebu bitstream.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 63

6. Ngatasi masalah 683823 | 2023.05.23
6.5. Kesalahan Argumentasi sing ora dingerteni
Kesalahan
Kesalahan (23028): Argumen ora dingerteni "ûc". Waca -help kanggo argumentasi hukum.
Kesalahan (213008): String pilihan pemrograman "ûp" ilegal. Waca -help kanggo format opsi pemrograman legal.
Katrangan Yen sampeyan nyalin lan nempel pilihan baris printah saka .pdf file ing Windows NIOS II Shell, sampeyan bisa nemoni kesalahan argumen sing ora dingerteni kaya sing ditampilake ing ndhuwur. Resolusi Ing kasus kaya mengkono, sampeyan bisa kanthi manual ngetik printah tinimbang nempel saka clipboard.

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 64

Kirimi Umpan Balik

6. Ngatasi masalah 683823 | 2023.05.23
6.6. Opsi Enkripsi Bitstream Kesalahan Pateni
Kesalahan
Ora bisa ngrampungake enkripsi kanggo file desain .sof amarga iki nyawiji karo pilihan enkripsi bitstream dipatèni.
Katrangan Yen sampeyan nyoba kanggo encrypt bitstream liwat GUI utawa command-line sawise sampeyan wis nyawiji project karo pilihan enkripsi bitstream dipatèni, Quartus nolak printah minangka kapacak ing ndhuwur.
Resolusi Priksa manawa sampeyan ngumpulake proyek kanthi opsi enkripsi bitstream sing diaktifake liwat GUI utawa baris perintah. Kanggo ngaktifake pilihan iki ing GUI, sampeyan kudu mriksa kothak centhang kanggo pilihan iki.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 65

6. Ngatasi masalah 683823 | 2023.05.23
6.7. Nemtokake Path sing Bener menyang Tombol
Kesalahan
Kasalahan (19516): Dideteksi Programming File Kesalahan setelan generator: Ora bisa nemokake 'key_file'. Priksa manawa file dumunung ing lokasi samesthine utawa nganyari setelan.sec
Kasalahan (19516): Dideteksi Programming File Kesalahan setelan generator: Ora bisa nemokake 'key_file'. Priksa manawa file dumunung ing lokasi samesthine utawa nganyari setelan.
Katrangan
Yen sampeyan nggunakake tombol sing disimpen ing file sistem, sampeyan kudu mesthekake yen padha nemtokake path bener kanggo tombol digunakake kanggo enkripsi bitstream lan mlebu. Yen Programming File Generator ora bisa ndeteksi dalan sing bener, pesen kesalahan ing ndhuwur ditampilake.
Resolusi
Waca Setelan Perdhana Quartus .qsf file kanggo nemokake dalan sing bener kanggo tombol. Priksa manawa sampeyan nggunakake path relatif tinimbang path absolut.

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 66

Kirimi Umpan Balik

6. Ngatasi masalah 683823 | 2023.05.23
6.8. Nggunakake Output Ora Didhukung File Jinis
Kesalahan
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Error (19511): Output ora didhukung file jinis (ebf). Gunakake opsi "-l" utawa "–list" kanggo nampilake sing didhukung file jinis informasi.
Deskripsi Nalika nggunakake Pemrograman Quartus File Generator kanggo generate bitstream konfigurasi ndhelik lan mlebu, sampeyan bisa ndeleng kesalahan ing ndhuwur yen output unsupported file jinis ditemtokake. Resolusi Gunakake opsi -l utawa -list kanggo ndeleng dhaptar sing didhukung file jinis.

Kirimi Umpan Balik

Pandhuan Pangguna Keamanan Piranti Intel Agilex® 7 67

683823 | 2023.05.23 Kirimi Umpan Balik
7. Intel Agilex 7 Keamanan Piranti Pandhuan pangguna Arsip
Kanggo versi paling anyar lan sadurungé saka pandhuan pangguna iki, waca Pandhuan Pangguna Keamanan Piranti Intel Agilex 7. Yen IP utawa versi piranti lunak ora kadhaptar, pandhuan pangguna kanggo IP utawa versi piranti lunak sadurunge ditrapake.

ISO 9001:2015 Registered

683823 | 2023.05.23 Kirimi Umpan Balik

8. Riwayat révisi kanggo Pandhuan Pangguna Keamanan Piranti Intel Agilex 7

Versi Dokumen 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumen / Sumber Daya

Keamanan Piranti Intel Agilex 7 [pdf] Manual pangguna
Agilex 7 Keamanan Piranti, Agilex 7, Keamanan Piranti, Keamanan

Referensi

Manual pangguna

Keamanan Piranti Intel Agilex 7

Informasi produk

Pandhuan Panggunaan Produk

Pitakonan sing Sering Ditakoni

Keamanan Piranti Overview

Authentication lan wewenang

Enkripsi Bitstream AES

Penyediaan piranti

Fitur Lanjut

Ngatasi masalah

Dokumen / Sumber Daya

Referensi

Ninggalake komentar

Batal balesan