Intel Agilex 7 Device Security მომხმარებლის სახელმძღვანელო

Intel ერთგულია პროდუქტის უსაფრთხოებაზე და ურჩევს მომხმარებლებს გაეცნონ პროდუქტის უსაფრთხოების რესურსებს. ეს რესურსები უნდა იქნას გამოყენებული Intel-ის პროდუქტის მთელი ცხოვრების განმავლობაში.

2. დაგეგმილი უსაფრთხოების მახასიათებლები

შემდეგი უსაფრთხოების მახასიათებლები დაგეგმილია Intel Quartus Prime Pro Edition პროგრამული უზრუნველყოფის მომავალი გამოშვებისთვის:

ნაწილობრივი რეკონფიგურაციის Bitstream უსაფრთხოების დადასტურება: უზრუნველყოფს დამატებით გარანტიას, რომ ნაწილობრივი რეკონფიგურაციის (PR) ბიტი ნაკადებს არ შეუძლიათ წვდომა ან ჩაერიონ სხვა PR პერსონა ბიტნაკადებში.

მოწყობილობა თვითმკვლელობა ფიზიკური ანტი-Tamper: ასრულებს მოწყობილობის წაშლის ან მოწყობილობის ნულიზაციის პასუხს და აპროგრამებს eFuses-ს მოწყობილობის ხელახლა კონფიგურაციის თავიდან ასაცილებლად.

3. ხელმისაწვდომი უსაფრთხოების დოკუმენტაცია

შემდეგი ცხრილი ჩამოთვლის ხელმისაწვდომი დოკუმენტაციას მოწყობილობის უსაფრთხოების მახასიათებლებისთვის Intel FPGA და სტრუქტურირებული ASIC მოწყობილობებზე:

დოკუმენტის სახელი	მიზანი
უსაფრთხოების მეთოდოლოგია Intel FPGA-ებისა და სტრუქტურირებული ASIC-ების მომხმარებლისთვის გზამკვლევი	უმაღლესი დონის დოკუმენტი, რომელიც შეიცავს დეტალურ აღწერას უსაფრთხოების მახასიათებლები და ტექნოლოგიები Intel-ის პროგრამირებადი გადაწყვეტილებები პროდუქტები. ეხმარება მომხმარებლებს აირჩიონ უსაფრთხოების საჭირო ფუნქციები შეასრულოს მათი უსაფრთხოების მიზნები.
Intel Stratix 10 Device Security მომხმარებლის სახელმძღვანელო	ინსტრუქციები Intel Stratix 10 მოწყობილობების მომხმარებლებისთვის განსახორციელებლად უსაფრთხოების მეთოდოლოგიის გამოყენებით გამოვლენილი უსაფრთხოების მახასიათებლები მომხმარებლის სახელმძღვანელო.
Intel Agilex 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო	ინსტრუქციები Intel Agilex 7 მოწყობილობების მომხმარებლებისთვის განსახორციელებლად უსაფრთხოების მეთოდოლოგიის გამოყენებით გამოვლენილი უსაფრთხოების მახასიათებლები მომხმარებლის სახელმძღვანელო.
Intel eASIC N5X მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო	ინსტრუქციები Intel eASIC N5X მოწყობილობების მომხმარებლების განსახორციელებლად უსაფრთხოების მეთოდოლოგიის გამოყენებით გამოვლენილი უსაფრთხოების მახასიათებლები მომხმარებლის სახელმძღვანელო.
Intel Agilex 7 და Intel eASIC N5X HPS კრიპტოგრაფიული სერვისები მომხმარებლის სახელმძღვანელო	ინფორმაცია HPS პროგრამული უზრუნველყოფის ინჟინრებისთვის განხორციელების შესახებ და HPS პროგრამული ბიბლიოთეკების გამოყენება კრიპტოგრაფიულ სერვისებზე წვდომისათვის მოწოდებულია SDM-ის მიერ.
AN-968 შავი გასაღების უზრუნველყოფის სერვისის სწრაფი დაწყების სახელმძღვანელო	დაასრულეთ ნაბიჯების ნაკრები შავი გასაღების უზრუნველყოფის დასაყენებლად სერვისი.

ხშირად დასმული კითხვები

Q: რა არის უსაფრთხოების მეთოდოლოგიის მომხმარებლის სახელმძღვანელო?

პასუხი: უსაფრთხოების მეთოდოლოგიის მომხმარებლის სახელმძღვანელო შეიცავს უსაფრთხოების მახასიათებლებისა და ტექნოლოგიების დეტალურ აღწერას Intel-ის პროგრამირებადი გადაწყვეტილებების პროდუქტებში. ის ეხმარება მომხმარებლებს აირჩიონ უსაფრთხოების აუცილებელი მახასიათებლები მათი უსაფრთხოების მიზნების შესასრულებლად.

კითხვა: სად ვიპოვო Intel Agilex 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო?

პასუხი: Intel Agilex 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო შეგიძლიათ იხილოთ Intel-ის რესურსებისა და დიზაინის ცენტრში webსაიტი.

Q: რა არის Black Key Provisioning სერვისი?

პასუხი: შავი გასაღების უზრუნველყოფის სერვისი არის სერვისი, რომელიც უზრუნველყოფს სრულ კომპლექტს გასაღების უზრუნველყოფის უსაფრთხო ოპერაციების დასაყენებლად.

View Fullscreen

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო
განახლებულია Intel® Quartus® Prime Design Suite-სთვის: 23.1

ონლაინ ვერსია გამოხმაურების გაგზავნა

UG-20335წ

683823 2023.05.23

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 2

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 3

683823 | 2023.05.23 გამოხმაურების გაგზავნა
1. Intel Agilex® 7

მოწყობილობის უსაფრთხოება დასრულდაview

Intel® შეიმუშავებს Intel Agilex® 7 მოწყობილობებს სპეციალური, მაღალკონფიგურირებადი უსაფრთხოების ტექნიკითა და პროგრამული უზრუნველყოფით.
ეს დოკუმენტი შეიცავს ინსტრუქციას, რომელიც დაგეხმარებათ გამოიყენოთ Intel Quartus® Prime Pro Edition პროგრამული უზრუნველყოფა უსაფრთხოების ფუნქციების განსახორციელებლად თქვენს Intel Agilex 7 მოწყობილობებზე.
გარდა ამისა, უსაფრთხოების მეთოდოლოგია Intel FPGA-ებისთვის და სტრუქტურირებული ASIC-ების მომხმარებლის სახელმძღვანელო ხელმისაწვდომია Intel Resource & Design Center-ში. ეს დოკუმენტი შეიცავს უსაფრთხოების მახასიათებლებისა და ტექნოლოგიების დეტალურ აღწერას, რომლებიც ხელმისაწვდომია Intel-ის პროგრამირებადი გადაწყვეტილებების პროდუქტების მეშვეობით, რათა დაგეხმაროთ აირჩიოთ უსაფრთხოების ფუნქციები, რომლებიც აუცილებელია თქვენი უსაფრთხოების მიზნების შესასრულებლად. დაუკავშირდით Intel-ის მხარდაჭერას საცნობარო ნომრით 14014613136 Intel FPGA-ებისა და სტრუქტურირებული ASIC-ების მომხმარებლის სახელმძღვანელო უსაფრთხოების მეთოდოლოგიაზე წვდომისთვის.
დოკუმენტი ორგანიზებულია შემდეგნაირად: · ავთენტიფიკაცია და ავტორიზაცია: იძლევა ინსტრუქციებს შექმნისთვის
ავთენტიფიკაციის გასაღებები და ხელმოწერის ჯაჭვები, გამოიყენეთ ნებართვები და გაუქმება, მოაწერეთ ობიექტები და პროგრამის ავტორიზაციის ფუნქციები Intel Agilex 7 მოწყობილობებზე. · AES Bitstream Encryption: გთავაზობთ ინსტრუქციებს AES root გასაღების შესაქმნელად, კონფიგურაციის ბიტტრიმინების დაშიფვრისთვის და Intel Agilex 7 მოწყობილობებისთვის AES root გასაღების მიწოდებისთვის. · მოწყობილობის უზრუნველყოფა: გვაწვდის ინსტრუქციებს Intel Quartus Prime Programmer-ის და Secure Device Manager (SDM) უზრუნველყოფის firmware-ის გამოყენებისთვის Intel Agilex 7 მოწყობილობებზე უსაფრთხოების ფუნქციების დასაპროგრამებლად. · დამატებითი ფუნქციები: უზრუნველყოფს ინსტრუქციებს უსაფრთხოების გაფართოებული ფუნქციების ჩასართავად, მათ შორის უსაფრთხო გამართვის ავტორიზაცია, მყარი პროცესორის სისტემის (HPS) გამართვა და დისტანციური სისტემის განახლება.
1.1. პროდუქტის უსაფრთხოების ვალდებულება
Intel-ის გრძელვადიანი ვალდებულება უსაფრთხოებაზე არასოდეს ყოფილა ასეთი ძლიერი. Intel დაჟინებით გირჩევთ გაეცნოთ ჩვენი პროდუქტის უსაფრთხოების რესურსებს და დაგეგმოთ მათი გამოყენება თქვენი Intel პროდუქტის მთელი ცხოვრების განმავლობაში.
დაკავშირებული ინფორმაცია · პროდუქტის უსაფრთხოება Intel-ში · Intel Product Security Center Advisories

ინტელის კორპორაცია. Ყველა უფლება დაცულია. Intel, Intel-ის ლოგო და სხვა Intel ნიშნები არის Intel Corporation-ის ან მისი შვილობილი კომპანიების სავაჭრო ნიშნები. Intel იძლევა გარანტიას მისი FPGA და ნახევარგამტარული პროდუქტების შესრულებაზე მიმდინარე სპეციფიკაციების შესაბამისად Intel-ის სტანდარტული გარანტიის შესაბამისად, მაგრამ იტოვებს უფლებას ნებისმიერ დროს შეიტანოს ცვლილებები ნებისმიერ პროდუქტსა და სერვისში შეტყობინების გარეშე. Intel არ იღებს პასუხისმგებლობას ან პასუხისმგებლობას, რომელიც წარმოიქმნება აქ აღწერილი ნებისმიერი ინფორმაციის, პროდუქტის ან სერვისის აპლიკაციის ან გამოყენების შედეგად, გარდა იმ შემთხვევისა, რაც წერილობით არის დათანხმებული Intel-ის მიერ. Intel-ის მომხმარებლებს ურჩევენ, მიიღონ მოწყობილობის სპეციფიკაციების უახლესი ვერსია, სანამ დაეყრდნონ რაიმე გამოქვეყნებულ ინფორმაციას და განათავსონ შეკვეთები პროდუქტებსა და სერვისებზე. *სხვა სახელები და ბრენდები შეიძლება გამოცხადდეს, როგორც სხვისი საკუთრება.

ISO 9001:2015 რეგისტრირებულია

1. Intel Agilex® 7 მოწყობილობის უსაფრთხოება დასრულდაview 683823 | 2023.05.23

1.2. დაგეგმილი უსაფრთხოების მახასიათებლები

ამ განყოფილებაში ნახსენები ფუნქციები დაგეგმილია Intel Quartus Prime Pro Edition პროგრამული უზრუნველყოფის მომავალი გამოშვებისთვის.

შენიშვნა:

ინფორმაცია ამ განყოფილებაში წინასწარია.

1.2.1. ნაწილობრივი რეკონფიგურაცია Bitstream უსაფრთხოების დადასტურება
ნაწილობრივი რეკონფიგურაციის (PR) ბიტნაკადის უსაფრთხოების ვალიდაცია გვეხმარება დამატებით გარანტიას, რომ PR პერსონა ბიტტრიმინებს არ შეუძლიათ წვდომა ან ჩაერიონ სხვა PR პერსონა ბიტნაკადებში.

1.2.2. მოწყობილობა თვითმკვლელობა ფიზიკური ანტი-Tamper
მოწყობილობის თვითმკვლელობა ასრულებს მოწყობილობის გასუფთავებას ან მოწყობილობის ნულიზაციის პასუხს და დამატებით აპროგრამებს eFuses-ს, რათა თავიდან აიცილოს მოწყობილობის ხელახლა კონფიგურაცია.

1.3. ხელმისაწვდომი უსაფრთხოების დოკუმენტაცია

შემდეგი ცხრილი ჩამოთვლის ხელმისაწვდომ დოკუმენტაციას მოწყობილობის უსაფრთხოების მახასიათებლებისთვის Intel FPGA და სტრუქტურირებული ASIC მოწყობილობებზე:

ცხრილი 1.

ხელმისაწვდომი მოწყობილობის უსაფრთხოების დოკუმენტაცია

დოკუმენტის სახელი
უსაფრთხოების მეთოდოლოგია Intel FPGA-ებისთვის და სტრუქტურირებული ASIC-ებისთვის მომხმარებლის სახელმძღვანელო

მიზანი
უმაღლესი დონის დოკუმენტი, რომელიც შეიცავს Intel-ის პროგრამირებადი გადაწყვეტილებების პროდუქტებში უსაფრთხოების მახასიათებლებისა და ტექნოლოგიების დეტალურ აღწერას. გამიზნულია თქვენი უსაფრთხოების მიზნების შესასრულებლად საჭირო უსაფრთხოების ფუნქციების შერჩევაში.

დოკუმენტის ID 721596

Intel Stratix 10 Device Security მომხმარებლის სახელმძღვანელო
Intel Agilex 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო

Intel Stratix 10 მოწყობილობების მომხმარებლებისთვის ეს სახელმძღვანელო შეიცავს ინსტრუქციებს Intel Quartus Prime Pro Edition პროგრამული უზრუნველყოფის გამოყენების შესახებ უსაფრთხოების მეთოდოლოგიის გამოყენების სახელმძღვანელოს გამოყენებით განსაზღვრული უსაფრთხოების ფუნქციების განსახორციელებლად.
Intel Agilex 7 მოწყობილობების მომხმარებლებისთვის ეს სახელმძღვანელო შეიცავს ინსტრუქციებს Intel Quartus Prime Pro Edition პროგრამული უზრუნველყოფის გამოყენების შესახებ უსაფრთხოების მეთოდოლოგიის გამოყენების სახელმძღვანელოს გამოყენებით განსაზღვრული უსაფრთხოების ფუნქციების განსახორციელებლად.

683642 683823

Intel eASIC N5X მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო

Intel eASIC N5X მოწყობილობების მომხმარებლებისთვის, ეს სახელმძღვანელო შეიცავს ინსტრუქციებს Intel Quartus Prime Pro Edition პროგრამული უზრუნველყოფის გამოყენების შესახებ უსაფრთხოების მეთოდოლოგიის გამოყენების სახელმძღვანელოს გამოყენებით განსაზღვრული უსაფრთხოების ფუნქციების განსახორციელებლად.

626836

Intel Agilex 7 და Intel eASIC N5X HPS კრიპტოგრაფიული სერვისების მომხმარებლის სახელმძღვანელო

ეს სახელმძღვანელო შეიცავს ინფორმაციას, რომელიც დაეხმარება HPS პროგრამული უზრუნველყოფის ინჟინრებს HPS პროგრამული ბიბლიოთეკების განხორციელებასა და გამოყენებაში SDM-ის მიერ მოწოდებულ კრიპტოგრაფიულ სერვისებზე წვდომისათვის.

713026

AN-968 შავი გასაღების უზრუნველყოფის სერვისის სწრაფი დაწყების სახელმძღვანელო

ეს სახელმძღვანელო შეიცავს ნაბიჯების სრულ კომპლექსს შავი გასაღების უზრუნველყოფის სერვისის დასაყენებლად.

739071

მდებარეობა Intel რესურსი და
დიზაინის ცენტრი
Intel.com
Intel.com
ინტელის რესურსებისა და დიზაინის ცენტრი
ინტელის რესურსებისა და დიზაინის ცენტრი
ინტელის რესურსებისა და დიზაინის ცენტრი

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 5

683823 | 2023.05.23 გამოხმაურების გაგზავნა

ავთენტიფიკაცია და ავტორიზაცია

Intel Agilex 7 მოწყობილობის ავთენტიფიკაციის ფუნქციების გასააქტიურებლად, თქვენ იწყებთ Intel Quartus Prime Pro Edition პროგრამული უზრუნველყოფის და მასთან დაკავშირებული ხელსაწყოების გამოყენებას ხელმოწერის ჯაჭვის შესაქმნელად. ხელმოწერის ჯაჭვი შედგება root გასაღებისგან, ერთი ან მეტი ხელმოწერის გასაღებისგან და შესაბამისი ავტორიზაციისგან. თქვენ იყენებთ ხელმოწერის ჯაჭვს თქვენს Intel Quartus Prime Pro Edition პროექტსა და შედგენილ პროგრამირებაში fileს. გამოიყენეთ ინსტრუქციები Device Provisioning-ში, რომ დააპროგრამოთ თქვენი root გასაღები Intel Agilex 7 მოწყობილობებში.
დაკავშირებული ინფორმაცია
მოწყობილობის უზრუნველყოფა გვერდზე 25

2.1. ხელმოწერის ჯაჭვის შექმნა
ხელმოწერის ჯაჭვის ოპერაციების შესასრულებლად შეგიძლიათ გამოიყენოთ quartus_sign ინსტრუმენტი ან agilex_sign.py მითითების განხორციელება. ეს დოკუმენტი ითვალისწინებს მაგamples გამოყენებით quartus_sign.
მითითების იმპლემენტაციის გამოსაყენებლად, თქვენ ჩაანაცვლებთ ზარს Python-ის ინტერპრეტენტზე, რომელიც შედის Intel Quartus Prime პროგრამულ უზრუნველყოფასთან და გამოტოვებთ –family=agilex ოფციას; ყველა სხვა ვარიანტი ექვივალენტურია. მაგample, quartus_sign ბრძანება ნაპოვნი მოგვიანებით ამ განყოფილებაში
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky შეიძლება გარდაიქმნას ექვივალენტურ ზარად მიმართვის იმპლემენტაციისთვის შემდეგნაირად.
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Intel Quartus Prime Pro Edition პროგრამული უზრუნველყოფა მოიცავს quartus_sign, pgm_py და agilex_sign.py ინსტრუმენტებს. თქვენ შეგიძლიათ გამოიყენოთ Nios® II ბრძანების ჭურვი ინსტრუმენტი, რომელიც ავტომატურად ადგენს შესაბამის გარემოს ცვლადებს ინსტრუმენტებზე წვდომისთვის.

მიჰყევით ამ ინსტრუქციებს Nios II ბრძანების გარსის გამოსატანად. 1. გამოიტანეთ Nios II ბრძანების ჭურვი.

ვარიანტი Windows
Linux

აღწერა
Start მენიუში მიუთითეთ პროგრამები Intel FPGA Nios II EDS და დააწკაპუნეთ Nios II Command Shell.
ბრძანების ჭურვიში შეცვალეთ /nios2eds და გაუშვით შემდეგი ბრძანება:
./nios2_command_shell.sh

ყოფილმაamples ამ განყოფილებაში ვარაუდობს ხელმოწერის ჯაჭვს და კონფიგურაციის ბიტტრიმინს files მდებარეობს მიმდინარე სამუშაო დირექტორიაში. თუ აირჩევთ ყოფილსamples სადაც გასაღები fileს ინახება file სისტემა, იმ ყოფილიamples ვივარაუდოთ გასაღები fileს არის

ISO 9001:2015 რეგისტრირებულია

2. ავთენტიფიკაცია და ავტორიზაცია 683823 | 2023.05.23
მდებარეობს მიმდინარე სამუშაო დირექტორიაში. თქვენ შეგიძლიათ აირჩიოთ რომელი დირექტორიები გამოიყენოთ და ინსტრუმენტები მხარს უჭერენ ნათესავს file ბილიკები. თუ აირჩევთ გასაღების შენარჩუნებას fileს-ზე file სისტემაში, თქვენ უნდა მართოთ მათზე წვდომის ნებართვები files.
Intel გვირჩევს, რომ კომერციულად ხელმისაწვდომი Hardware Security Module (HSM) გამოიყენებოდეს კრიპტოგრაფიული გასაღებების შესანახად და კრიპტოგრაფიული ოპერაციების შესასრულებლად. Quartus_sign ინსტრუმენტი და მითითების განხორციელება მოიცავს საჯარო გასაღების კრიპტოგრაფიის სტანდარტს #11 (PKCS #11) აპლიკაციის პროგრამირების ინტერფეისს (API) HSM-თან ურთიერთქმედებისთვის ხელმოწერის ჯაჭვის ოპერაციების შესრულებისას. agilex_sign.py მითითების იმპლემენტაცია მოიცავს ინტერფეისის აბსტრაქტს და ასევე ყოფილსampინტერფეისი SoftHSM-თან.
შეგიძლიათ გამოიყენოთ ეს ყოფილიampინტერფეისები თქვენს HSM-თან ინტერფეისის განსახორციელებლად. იხილეთ თქვენი HSM გამყიდველის დოკუმენტაცია დამატებითი ინფორმაციისთვის თქვენი HSM-ის ინტერფეისის დანერგვისა და მუშაობის შესახებ.
SoftHSM არის ზოგადი კრიპტოგრაფიული მოწყობილობის პროგრამული დანერგვა PKCS #11 ინტერფეისით, რომელიც ხელმისაწვდომია OpenDNSSEC® პროექტის მიერ. თქვენ შეგიძლიათ იპოვოთ მეტი ინფორმაცია, მათ შორის ინსტრუქციები, თუ როგორ უნდა ჩამოტვირთოთ, შექმნათ და დააინსტალიროთ OpenHSM, OpenDNSSEC პროექტში. ყოფილმაampამ სექციაში გამოყენებულია SoftHSM ვერსია 2.6.1. ყოფილმაampამ სექციაში დამატებით გამოიყენებენ pkcs11-ინსტრუმენტს OpenSC-დან დამატებითი PKCS #11 ოპერაციების შესასრულებლად SoftHSM ტოკენით. თქვენ შეგიძლიათ იპოვოთ მეტი ინფორმაცია, მათ შორის ინსტრუქციები, თუ როგორ უნდა ჩამოტვირთოთ, შექმნათ და დააინსტალიროთ pkcs11tool OpenSC-დან.
დაკავშირებული ინფორმაცია
· OpenDNSSEC პროექტის პოლიტიკაზე დაფუძნებული ზონის ხელმომწერი DNSSEC გასაღებების თვალთვალის პროცესის ავტომატიზაციისთვის.
· SoftHSM ინფორმაცია კრიპტოგრაფიული მაღაზიის განხორციელების შესახებ, რომელიც ხელმისაწვდომია PKCS #11 ინტერფეისით.
· OpenSC გთავაზობთ ბიბლიოთეკებისა და კომუნალური საშუალებების კომპლექტს, რომლებსაც შეუძლიათ სმარტ ბარათებთან მუშაობა.
2.1.1. ავთენტიფიკაციის გასაღების წყვილების შექმნა ლოკალზე File სისტემა
თქვენ იყენებთ quartus_sign ინსტრუმენტს ლოკალური ავთენტიფიკაციის გასაღების წყვილების შესაქმნელად file სისტემა იყენებს make_private_pem და make_public_pem ინსტრუმენტის ოპერაციებს. თქვენ ჯერ ქმნით პირად გასაღებს make_private_pem ოპერაციით. თქვენ მიუთითეთ გამოსაყენებელი ელიფსური მრუდი, პირადი გასაღები fileსახელი და, სურვილისამებრ, დაიცვათ თუ არა პირადი გასაღები საიდუმლო ფრაზით. Intel რეკომენდაციას უწევს secp384r1 მრუდის გამოყენებას და ინდუსტრიის საუკეთესო პრაქტიკის დაცვას, რათა შეიქმნას ძლიერი, შემთხვევითი ფრაზები ყველა პირადი გასაღებისთვის. fileს. Intel ასევე გირჩევთ შეზღუდოთ file სისტემის ნებართვები პირად გასაღებზე .pem fileწასაკითხად მხოლოდ მფლობელის მიერ. თქვენ იღებთ საჯარო გასაღებს პირადი გასაღებიდან make_public_pem ოპერაციით. სასარგებლოა გასაღების დასახელება .pem fileს აღწერით. ეს დოკუმენტი იყენებს კონვენციას _ .პემ შემდეგში ეგamples.
1. Nios II ბრძანების გარსში გაუშვით შემდეგი ბრძანება პირადი გასაღების შესაქმნელად. პირადი გასაღები, რომელიც ნაჩვენებია ქვემოთ, გამოიყენება როგორც root გასაღები მოგვიანებით მაგალითშიampრაც ქმნის ხელმოწერის ჯაჭვს. Intel Agilex 7 მოწყობილობები მხარს უჭერენ მრავალ root გასაღებს, ასე რომ თქვენ

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 7

2. ავთენტიფიკაცია და ავტორიზაცია 683823 | 2023.05.23

გაიმეორეთ ეს ნაბიჯი, რათა შექმნათ თქვენი საჭირო რაოდენობის root გასაღებები. მაგampამ დოკუმენტში ყველა ეხება პირველ root გასაღებს, თუმცა თქვენ შეგიძლიათ შექმნათ ხელმოწერის ჯაჭვები ანალოგიურად ნებისმიერი root გასაღებით.

ვარიანტი საიდუმლო ფრაზით

აღწერა
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem შეიყვანეთ საიდუმლო ფრაზა, როდესაც ამას მოგეთხოვებათ.

საიდუმლო ფრაზის გარეშე

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. გაუშვით შემდეგი ბრძანება საჯარო გასაღების შესაქმნელად წინა ეტაპზე გენერირებული პირადი გასაღების გამოყენებით. თქვენ არ გჭირდებათ საჯარო გასაღების კონფიდენციალურობის დაცვა.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. ხელახლა გაუშვით ბრძანებები, რათა შექმნათ გასაღების წყვილი, რომელიც გამოიყენება როგორც დიზაინის ხელმოწერის გასაღები ხელმოწერის ჯაჭვში.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. ავტორიზაციის გასაღების წყვილების შექმნა SoftHSM-ში
SoftHSM ყოფილიamples ამ თავში არის საკუთარი თავის თანმიმდევრული. ზოგიერთი პარამეტრი დამოკიდებულია თქვენს SoftHSM ინსტალაციაზე და ნიშნის ინიციალიზაციაზე SoftHSM-ში.
Quartus_sign ინსტრუმენტი დამოკიდებულია PKCS #11 API ბიბლიოთეკაზე თქვენი HSM-დან.
ყოფილმაampამ განყოფილებაში გათვალისწინებულია, რომ SoftHSM ბიბლიოთეკა დაინსტალირებულია ერთ-ერთ შემდეგ ადგილას: · /usr/local/lib/softhsm2.so Linux-ზე · C:SoftHSM2libsofthsm2.dll Windows-ის 32-ბიტიან ვერსიაზე · C:SoftHSM2libsofthsm2-x64 .dll Windows-ის 64-ბიტიან ვერსიაზე.
შექმენით ტოკენის ინიცირება SoftHSM-ში softhsm2-util ინსტრუმენტის გამოყენებით:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
ოფციონის პარამეტრები, განსაკუთრებით ჟეტონის ეტიკეტი და ჟეტონის პინი არის მაგampგამოყენებულია ამ თავში. Intel გირჩევთ, მიჰყვეთ თქვენი HSM გამყიდველის ინსტრუქციებს, რათა შექმნათ და მართოთ ტოკენები და გასაღებები.
თქვენ ქმნით ავთენტიფიკაციის გასაღებების წყვილებს pkcs11-tool უტილიტის გამოყენებით SoftHSM-ში ჟეტონთან ურთიერთობისთვის. იმის ნაცვლად, რომ პირდაპირ მიუთითოთ პირადი და საჯარო გასაღები .pem fileს-ში file სისტემა მაგamples, თქვენ მიუთითებთ გასაღებების წყვილს მისი ეტიკეტის მიხედვით და ინსტრუმენტი ავტომატურად ირჩევს შესაბამის გასაღებს.

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 8

გამოხმაურების გაგზავნა

2. ავთენტიფიკაცია და ავტორიზაცია 683823 | 2023.05.23

შეასრულეთ შემდეგი ბრძანებები, რათა შექმნათ გასაღებების წყვილი, რომელიც გამოიყენება როგორც root გასაღები მოგვიანებით მაგალითშიamples ასევე გასაღების წყვილი, რომელიც გამოიყენება როგორც დიზაინის ხელმოწერის გასაღები ხელმოწერის ჯაჭვში:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign – label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

შენიშვნა:

ID ვარიანტი ამ ეტაპზე უნდა იყოს უნიკალური თითოეული გასაღებისთვის, მაგრამ მას იყენებს მხოლოდ HSM. ID-ის ეს ვარიანტი არ არის დაკავშირებული ხელმოწერის ჯაჭვში მინიჭებულ გასაღების გაუქმების ID-თან.

2.1.3. ხელმოწერის ჯაჭვის ძირეული ჩანაწერის შექმნა
გადააკეთეთ root საჯარო გასაღები ხელმოწერის ჯაჭვის root ჩანაწერად, რომელიც ინახება ლოკალურში file სისტემა Intel Quartus Prime key (.qky) ფორმატში file, make_root ოპერაციით. გაიმეორეთ ეს ნაბიჯი თქვენ მიერ გენერირებული თითოეული root გასაღებისთვის.
გაუშვით შემდეგი ბრძანება ხელმოწერის ჯაჭვის შესაქმნელად root ჩანაწერით, root საჯარო გასაღების გამოყენებით file სისტემა:
quartus_sign –family=agilex –operation=make_root –key_type=მფლობელი root0_public.pem root0.qky
შეასრულეთ შემდეგი ბრძანება ხელმოწერის ჯაჭვის შესაქმნელად root ჩანაწერით, წინა განყოფილებაში დაყენებული SoftHSM ტოკენიდან root გასაღების გამოყენებით:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsmso2/. ” root0 root0.qky

2.1.4. ხელმოწერის ჯაჭვის საჯარო გასაღების ჩანაწერის შექმნა
შექმენით ახალი საჯარო გასაღების ჩანაწერი ხელმოწერის ჯაჭვისთვის append_key ოპერაციით. თქვენ მიუთითებთ წინა ხელმოწერის ჯაჭვს, პირად გასაღებს წინა ხელმოწერის ჯაჭვში ბოლო ჩანაწერისთვის, შემდეგი დონის საჯარო გასაღებს, ნებართვებს და გაუქმების ID-ს, რომელსაც ანიჭებთ მომდევნო დონის საჯარო გასაღებს და ხელმოწერის ახალ ჯაჭვს file.
გაითვალისწინეთ, რომ softHSM ბიბლიოთეკა არ არის ხელმისაწვდომი Quartus-ის ინსტალაციასთან ერთად და ამის ნაცვლად საჭიროა ცალკე დაინსტალირება. დამატებითი ინფორმაციისთვის softHSM-ის შესახებ იხილეთ განყოფილება ხელმოწერის ჯაჭვის შექმნა ზემოთ.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 9

2. ავთენტიფიკაცია და ავტორიზაცია 683823 | 2023.05.23
დამოკიდებულია თქვენს მიერ კლავიშების გამოყენებაზე file სისტემაში ან HSM-ში იყენებთ ერთ-ერთ შემდეგ მაგალითსample ბრძანებებს, რომ დაამატოთ დიზაინი0_sign საჯარო გასაღები წინა განყოფილებაში შექმნილ root ხელმოწერის ჯაჭვს:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmv2.so” –სახელი root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
თქვენ შეგიძლიათ გაიმეოროთ append_key ოპერაცია კიდევ ორჯერ მაქსიმუმ სამი საჯარო გასაღების ჩანაწერისთვის root ჩანაწერსა და სათაურის ბლოკის ჩანაწერს შორის რომელიმე ხელმოწერის ჯაჭვში.
შემდეგი ყოფილიampვარაუდობს, რომ თქვენ შექმენით სხვა ავტორიზაციის საჯარო გასაღები იგივე ნებართვებით და მინიჭებული გაქვთ გაუქმების ID 1, სახელწოდებით design1_sign_public.pem, და ამ კლავიშს ამატებთ ხელმოწერის ჯაჭვს წინა ყოფილიდან.ampლე:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmv2.so” –სახელი design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Intel Agilex 7 მოწყობილობებში შედის გასაღების გაუქმების დამატებითი მრიცხველი, რათა ხელი შეუწყოს გასაღების გამოყენებას, რომელიც შეიძლება პერიოდულად შეიცვალოს მოცემული მოწყობილობის სიცოცხლის განმავლობაში. თქვენ შეგიძლიათ აირჩიოთ კლავიშის გაუქმების მრიცხველი, შეცვლით –cancel ოფციის არგუმენტს pts:pts_value-ზე.
2.2. კონფიგურაციის Bitstream-ის ხელმოწერა
Intel Agilex 7 მოწყობილობები მხარს უჭერენ უსაფრთხოების ვერსიის ნომრის (SVN) მრიცხველებს, რაც საშუალებას გაძლევთ გააუქმოთ ობიექტის ავტორიზაცია გასაღების გაუქმების გარეშე. თქვენ ანიჭებთ SVN მრიცხველს და შესაბამის SVN მრიცხველს ნებისმიერ ობიექტზე ხელმოწერის დროს, როგორიცაა bitstream განყოფილება, firmware .zip file, ან კომპაქტური სერთიფიკატი. თქვენ ანიჭებთ SVN მრიცხველს და SVN მნიშვნელობას –cancel პარამეტრის და svn_counter:svn_value არგუმენტის გამოყენებით. svn_counter-ის სწორი მნიშვნელობებია svnA, svnB, svnC და svnD. svn_value არის მთელი რიცხვი დიაპაზონში [0,63].

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 10

გამოხმაურების გაგზავნა

2. ავთენტიფიკაცია და ავტორიზაცია 683823 | 2023.05.23
2.2.1. Quartus Key File დავალება
თქვენ მიუთითებთ ხელმოწერის ჯაჭვს თქვენს Intel Quartus Prime პროგრამულ პროექტში, რათა ჩართოთ ავტორიზაციის ფუნქცია ამ დიზაინისთვის. დავალებების მენიუდან აირჩიეთ Device Device and Pin Options Security Quartus Key File, შემდეგ დაათვალიერეთ ხელმოწერის ჯაჭვი .qky file თქვენ შექმენით ამ დიზაინის ხელმოწერისთვის.
სურათი 1. ჩართეთ კონფიგურაციის Bitstream Setting

ალტერნატიულად, შეგიძლიათ დაამატოთ შემდეგი დავალების განცხადება თქვენს Intel Quartus Prime პარამეტრებში file (.qsf):
set_global_assignment -სახელი QKY_FILE design0_sign_chain.qky
გენერირება .სოფ file ადრე შედგენილი დიზაინიდან, რომელიც მოიცავს ამ პარამეტრს, დამუშავების მენიუდან აირჩიეთ Start Start Assembler. ახალი გამომავალი .სოფ file მოიცავს დავალებებს ავთენტიფიკაციის გასააქტიურებლად მოწოდებული ხელმოწერის ჯაჭვით.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 11

2. ავთენტიფიკაცია და ავტორიზაცია 683823 | 2023.05.23
2.2.2. SDM Firmware-ის თანამოწერა
თქვენ იყენებთ quartus_sign ხელსაწყოს ამოსაღებად, ხელმოწერისთვის და შესაბამისი SDM firmware .zip-ის დასაყენებლად file. შემდეგ ხელმოწერილი firmware შედის პროგრამირებაში file გენერატორის ხელსაწყო, როდესაც თქვენ გადაიყვანთ .sof file კონფიგურაციის bitstream .rbf file. თქვენ იყენებთ შემდეგ ბრძანებებს ხელმოწერის ახალი ჯაჭვის შესაქმნელად და SDM პროგრამული უზრუნველყოფის ხელმოწერისთვის.
1. შექმენით ხელმოწერის ახალი გასაღების წყვილი.
ა. შექმენით ახალი ხელმოწერის გასაღების წყვილი file სისტემა:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
ბ. შექმენით ახალი ხელმოწერის გასაღების წყვილი HSM-ში:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign – label firmware1 –id 1
2. შექმენით ხელმოწერის ახალი ჯაჭვი, რომელიც შეიცავს ახალ საჯარო გასაღებს:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmv2.so” –სახელი root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. დააკოპირეთ firmware .zip file თქვენი Intel Quartus Prime Pro Edition პროგრამული უზრუნველყოფის ინსტალაციის დირექტორია ( /devices/programmer/firmware/ agilex.zip) მიმდინარე სამუშაო დირექტორიაში.
quartus_sign –family=agilex –get_firmware=.
4. ხელი მოაწერეთ firmware .zip file. ინსტრუმენტი ავტომატურად ხსნის .zip-ს file და ინდივიდუალურად აწერს ხელს ყველა firmware .cmf files, შემდეგ აღადგენს .zip-ს file ინსტრუმენტებით გამოსაყენებლად შემდეგ განყოფილებებში:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 12

გამოხმაურების გაგზავნა

2. ავთენტიფიკაცია და ავტორიზაცია 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. კონფიგურაციის ხელმოწერა Bitstream Quartus_sign ბრძანების გამოყენებით
იმისათვის, რომ მოაწეროთ კონფიგურაციის ბიტტრიმი ბრძანების quartus_sign-ის გამოყენებით, თქვენ ჯერ გადააკეთეთ .sof file ხელმოუწერელ ნედლეულ ბინარს file (.rbf) ფორმატში. თქვენ შეგიძლიათ სურვილისამებრ მიუთითოთ ხელმოწერილი პროგრამული უზრუნველყოფა fw_source პარამეტრის გამოყენებით კონვერტაციის ეტაპზე.
შეგიძლიათ ხელმოუწერელი ნედლეული ბიტის გენერირება .rbf ფორმატში შემდეგი ბრძანების გამოყენებით:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ჩართული დიზაინი.sof unsigned_bitstream.rbf
გაუშვით ერთ-ერთი შემდეგი ბრძანება, რათა მოაწეროთ ბიტი ნაკადი Quartus_sign ხელსაწყოს გამოყენებით, თქვენი გასაღებების მდებარეობიდან გამომდინარე:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –სახელი= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
შეგიძლიათ ხელმოწერილი .rbf გადაიყვანოთ files სხვა კონფიგურაციის ბიტტრიმინში file ფორმატები.
მაგample, თუ იყენებთ Jam* სტანდარტული ტესტის და პროგრამირების ენის (STAPL) პლეერს ბიტტრიმინგის დასაპროგრამებლად J-ზეTAG, იყენებთ შემდეგ ბრძანებას .rbf-ის კონვერტაციისთვის file .jam ფორმატში, რომელიც მოითხოვს Jam STAPL Player-ს:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. ნაწილობრივი რეკონფიგურაციის მრავალ ავტორიტეტული მხარდაჭერა

Intel Agilex 7 მოწყობილობები მხარს უჭერს ნაწილობრივი რეკონფიგურაციის მრავალ ავტორიტეტულ ავთენტიფიკაციას, სადაც მოწყობილობის მფლობელი ქმნის და ხელს აწერს სტატიკური ბიტტრიმინგს, ხოლო ცალკეული PR მფლობელი ქმნის და ხელს აწერს PR პერსონა ბიტტრიმინებს. Intel Agilex 7 მოწყობილობები ახორციელებენ მრავალ ავტორიტეტულ მხარდაჭერას, ავთენტიფიკაციის ძირეული გასაღების პირველი სლოტების მინიჭებით მოწყობილობის ან სტატიკური ბიტტრიმის მფლობელს და საბოლოო ავტორიზაციის ძირეული გასაღების სლოტის მინიჭებით ნაწილობრივი რეკონფიგურაციის პერსონა ბიტტრიმის მფლობელს.
თუ ავთენტიფიკაციის ფუნქცია ჩართულია, მაშინ ყველა PR პიროვნების სურათი უნდა იყოს ხელმოწერილი, მათ შორის ჩადგმული PR პერსონას სურათები. PR პერსონა სურათებს შეიძლება მოაწეროს ხელი ან მოწყობილობის მფლობელი ან PR მფლობელი; თუმცა, სტატიკური რეგიონის ბიტური ნაკადები ხელმოწერილი უნდა იყოს მოწყობილობის მფლობელის მიერ.

შენიშვნა:

ნაწილობრივი რეკონფიგურაცია სტატიკური და პერსონალური ბიტტრიმინგის დაშიფვრა, როდესაც ჩართულია მრავალ ავტორიტეტული მხარდაჭერა, დაგეგმილია მომავალ გამოშვებაში.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 13

2. ავთენტიფიკაცია და ავტორიზაცია 683823 | 2023.05.23

სურათი 2.

ნაწილობრივი რეკონფიგურაციის მრავალ ავტორიტეტული მხარდაჭერის განხორციელება მოითხოვს რამდენიმე ნაბიჯს:
1. მოწყობილობის ან სტატიკური ბიტტრიმინგის მფლობელი აგენერირებს ერთ ან მეტ ავთენტიფიკაციის ძირეულ კლავიშს, როგორც აღწერილია ავტორიზაციის გასაღების წყვილების შექმნა SoftHSM-ში მე-8 გვერდზე, სადაც –key_type ოფციას აქვს მფლობელის მნიშვნელობა.
2. ნაწილობრივი რეკონფიგურაციის bitstream მფლობელი აგენერირებს ავთენტიფიკაციის ძირეულ კლავიშს, მაგრამ ცვლის –key_type პარამეტრის მნიშვნელობას secondary_owner.
3. სტატიკური ბიტტრიმინგის და ნაწილობრივი რეკონფიგურაციის დიზაინის მფლობელები უზრუნველყოფენ, რომ ჩართულია მრავალ ავტორიტეტის მხარდაჭერის ჩამრთველი Assignments Device Device and Pin Options Security ჩანართში.
Intel Quartus Prime ჩართეთ მრავალ ავტორიტეტული ოფციონის პარამეტრები

4. სტატიკური ბიტტრიმინგის და ნაწილობრივი რეკონფიგურაციის დიზაინის მფლობელები ქმნიან ხელმოწერის ჯაჭვებს მათი შესაბამისი root გასაღებების საფუძველზე, როგორც ეს აღწერილია ხელმოწერის ჯაჭვის შექმნა გვერდზე 6.
5. როგორც სტატიკური ბიტტრიმინის, ისე ნაწილობრივი რეკონფიგურაციის დიზაინის მფლობელები თავიანთ შედგენილ დიზაინებს გადააქვთ .rbf ფორმატში files და მოაწერეთ ხელი .rbf files.
6. მოწყობილობის ან სტატიკური ბიტტრიმინგის მფლობელი ქმნის და ხელს აწერს PR საჯარო გასაღების პროგრამის ავტორიზაციის კომპაქტურ სერტიფიკატს.
quartus_pfg –ccert ან ccert_type=PR_PUBKEY_PROG_AUTH ან მფლობელი_qky_file="root0.qky;root1.qky" unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –სახელი= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 14

გამოხმაურების გაგზავნა

2. ავთენტიფიკაცია და ავტორიზაცია 683823 | 2023.05.23

7. მოწყობილობის ან სტატიკური ბიტტრიმინგის მფლობელი აწვდის მოწყობილობას ავთენტიფიკაციის ძირეული გასაღების ჰეშებს, შემდეგ აპროგრამებს PR საჯარო გასაღების პროგრამის ავტორიზაციის კომპაქტურ სერტიფიკატს და ბოლოს უზრუნველყოფს მოწყობილობას ნაწილობრივი რეკონფიგურაციის ბიტტრიმინის მფლობელის root გასაღები. მოწყობილობის უზრუნველყოფის განყოფილება აღწერს ამ უზრუნველყოფის პროცესს.
8. Intel Agilex 7 მოწყობილობა კონფიგურირებულია სტატიკური რეგიონით .rbf file.
9. Intel Agilex 7 მოწყობილობა ნაწილობრივ გადაკეთებულია პერსონა დიზაინით .rbf file.
დაკავშირებული ინფორმაცია
· ხელმოწერის ჯაჭვის შექმნა მე-6 გვერდზე
· ავტორიზაციის გასაღების წყვილების შექმნა SoftHSM-ში მე-8 გვერდზე
· მოწყობილობის უზრუნველყოფა 25 გვერდზე

2.2.5. Bitstream Signature Chains-ის კონფიგურაციის შემოწმება
მას შემდეგ რაც შექმნით ხელმოწერის ჯაჭვებს და ხელმოწერილი ბიტის ნაკადებს, შეგიძლიათ დაადასტუროთ, რომ ხელმოწერილი ბიტტრიმი სწორად აკონფიგურირებს მოწყობილობას, რომელიც დაპროგრამებულია მოცემული root გასაღებით. თქვენ პირველ რიგში იყენებთ quartus_sign ბრძანების Fuse_info ოპერაციას, რომ დაბეჭდოთ root საჯარო გასაღების ჰეში ტექსტზე. file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

შემდეგ თქვენ იყენებთ check_integrity პარამეტრს quartus_pfg ბრძანებაში, რათა შეამოწმოთ ხელმოწერის ჯაჭვი ხელმოწერილი ბიტტრიმის თითოეულ მონაკვეთზე .rbf ფორმატში. check_integrity ოფცია ბეჭდავს შემდეგ ინფორმაციას:
· მთლიანი ბიტის მთლიანობის შემოწმების სტატუსი
· თითოეული ჩანაწერის შიგთავსი თითოეულ ხელმოწერის ჯაჭვში, რომელიც მიმაგრებულია თითოეულ მონაკვეთზე ბიტტრიმინში .rbf file,
· მოსალოდნელი დაუკრავენ მნიშვნელობა root საჯარო გასაღების ჰეშისთვის თითოეული ხელმოწერის ჯაჭვისთვის.
მნიშვნელობა Fuse_info გამომავალიდან უნდა ემთხვეოდეს Fuse ხაზებს check_integrity გამომავალში.
quartus_pfg –check_integrity signed_bitstream.rbf

აქ არის ყოფილიampcheck_integrity ბრძანების გამომავალი:

ინფორმაცია: ბრძანება: quartus_pfg –check_integrity signed_bitstream.rbf მთლიანობის სტატუსი: OK

განყოფილება

ტიპი: CMF

ხელმოწერის აღმწერი…

ხელმოწერის ჯაჭვი #0 (ჩანაწერები: -1, ოფსეტური: 96)

შესვლის #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

გასაღების გენერირება…

მრუდი: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

გასაღების გენერირება…

მრუდი: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 15

2. ავთენტიფიკაცია და ავტორიზაცია 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

შესვლის #1

გასაღების გენერირება…

მრუდი: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

შესვლის #2 Keychain ნებართვა: SIGN_CODE Keychain შეიძლება გაუქმდეს ID: 3 ხელმოწერის ჯაჭვი #1 (ჩანაწერები: -1, ოფსეტური: 648)

შესვლის #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

გასაღების გენერირება…

მრუდი: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

გასაღების გენერირება…

მრუდი: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

შესვლის #1

გასაღების გენერირება…

მრუდი: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

შესვლის #2

გასაღების გენერირება…

მრუდი: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

შესვლის #3 Keychain ნებართვა: SIGN_CODE Keychain შეიძლება გაუქმდეს ID: 15 ხელმოწერის ჯაჭვი #2 (ჩანაწერები: -1, ოფსეტი: 0) ხელმოწერის ჯაჭვი #3 (ჩანაწერები: -1, ოფსეტური: 0) ხელმოწერის ჯაჭვი #4 (ჩანაწერები: -1, ოფსეტური: 0) ხელმოწერის ჯაჭვი #5 (ჩანაწერები: -1, ოფსეტი: 0) ხელმოწერის ჯაჭვი #6 (ჩანაწერები: -1, ოფსეტი: 0) ხელმოწერის ჯაჭვი #7 (ჩანაწერები: -1, ოფსეტური: 0)

განყოფილების ტიპი: IO Signature Descriptor … ხელმოწერის ჯაჭვი #0 (ჩანაწერები: -1, ოფსეტური: 96)

შესვლის #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

გასაღების გენერირება…

მრუდი: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 16

გამოხმაურების გაგზავნა

2. ავთენტიფიკაცია და ავტორიზაცია 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

გასაღების გენერირება…

მრუდი: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

შესვლის #1

გასაღების გენერირება…

მრუდი: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

შესვლის #2

გასაღების გენერირება…

მრუდი: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

შესვლის #3 Keychain ნებართვა: SIGN_CORE Keychain შეიძლება გაუქმდეს ID: 15 ხელმოწერის ჯაჭვი #1 (ჩანაწერები: -1, ოფსეტი: 0) ხელმოწერის ჯაჭვი #2 (ჩანაწერები: -1, ოფსეტური: 0) ხელმოწერის ჯაჭვი #3 (ჩანაწერები: -1, ოფსეტური: 0) ხელმოწერის ჯაჭვი #4 (ჩანაწერები: -1, ოფსეტური: 0) ხელმოწერის ჯაჭვი #5 (ჩანაწერები: -1, ოფსეტი: 0) ხელმოწერის ჯაჭვი #6 (ჩანაწერები: -1, ოფსეტური: 0) ხელმოწერა ჯაჭვი #7 (ჩანაწერები: -1, ოფსეტური: 0)

განყოფილება

ტიპი: HPS

ხელმოწერის აღმწერი…

ხელმოწერის ჯაჭვი #0 (ჩანაწერები: -1, ოფსეტური: 96)

შესვლის #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

გასაღების გენერირება…

მრუდი: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

გასაღების გენერირება…

მრუდი: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

შესვლის #1

გასაღების გენერირება…

მრუდი: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

შესვლის #2

გასაღების გენერირება…

მრუდი: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 17

2. ავთენტიფიკაცია და ავტორიზაცია 683823 | 2023.05.23

შესვლის #3 Keychain ნებართვა: SIGN_HPS Keychain შეიძლება გაუქმდეს ID: 15 ხელმოწერის ჯაჭვი #1 (ჩანაწერები: -1, ოფსეტი: 0) ხელმოწერის ჯაჭვი #2 (ჩანაწერები: -1, ოფსეტური: 0) ხელმოწერის ჯაჭვი #3 (ჩანაწერები: -1, ოფსეტური: 0) ხელმოწერის ჯაჭვი #4 (ჩანაწერები: -1, ოფსეტური: 0) ხელმოწერის ჯაჭვი #5 (ჩანაწერები: -1, ოფსეტი: 0) ხელმოწერის ჯაჭვი #6 (ჩანაწერები: -1, ოფსეტური: 0) ხელმოწერა ჯაჭვი #7 (ჩანაწერები: -1, ოფსეტური: 0)

განყოფილების ტიპი: CORE ხელმოწერის აღმწერი … ხელმოწერის ჯაჭვი #0 (ჩანაწერები: -1, ოფსეტური: 96)

შესვლის #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

გასაღების გენერირება…

მრუდი: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

გასაღების გენერირება…

მრუდი: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

შესვლის #1

გასაღების გენერირება…

მრუდი: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

შესვლის #2

გასაღების გენერირება…

მრუდი: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 18

გამოხმაურების გაგზავნა

683823 | 2023.05.23 გამოხმაურების გაგზავნა

AES Bitstream დაშიფვრა

დაშიფვრის გაფართოებული სტანდარტი (AES) ბიტტრიმინგის დაშიფვრა არის ფუნქცია, რომელიც საშუალებას აძლევს მოწყობილობის მფლობელს დაიცვას ინტელექტუალური საკუთრების კონფიდენციალურობა კონფიგურაციის ბიტტრიმინგში.
გასაღებების კონფიდენციალურობის დასაცავად, კონფიგურაციის ბიტტრიმინგის დაშიფვრა იყენებს AES გასაღებების ჯაჭვს. ეს გასაღებები გამოიყენება მფლობელის მონაცემების დაშიფვრად კონფიგურაციის ბიტტრიმინგში, სადაც პირველი შუალედური გასაღები დაშიფრულია AES root გასაღებით.

3.1. AES ძირეული გასაღების შექმნა

თქვენ შეგიძლიათ გამოიყენოთ quartus_encrypt ინსტრუმენტი ან stratix10_encrypt.py მითითების განხორციელება AES root გასაღების შესაქმნელად Intel Quartus Prime პროგრამული დაშიფვრის გასაღების (.qek) ფორმატში. file.

შენიშვნა:

stratix10_encrypt.py file გამოიყენება Intel Stratix® 10 და Intel Agilex 7 მოწყობილობებისთვის.

სურვილისამებრ, შეგიძლიათ მიუთითოთ საბაზისო გასაღები, რომელიც გამოიყენება AES ძირეული გასაღებისა და გასაღების დერივაციის გასაღებისთვის, პირდაპირ AES ძირეული კლავიშის მნიშვნელობა, შუალედური კლავიშების რაოდენობა და თითო შუალედური გასაღების მაქსიმალური გამოყენება.

თქვენ უნდა მიუთითოთ მოწყობილობის ოჯახი, გამომავალი .qek file მდებარეობა და საიდუმლო ფრაზა, როდესაც მოთხოვნილი იქნება.
შეასრულეთ შემდეგი ბრძანება AES root გასაღების გენერირებისთვის, შემთხვევითი მონაცემების გამოყენებით საბაზისო გასაღებისთვის და ნაგულისხმევი მნიშვნელობები შუალედური გასაღებების რაოდენობისა და გასაღების მაქსიმალური გამოყენებისთვის.
მითითების იმპლემენტაციის გამოსაყენებლად, თქვენ ჩაანაცვლებთ ზარს Python-ის ინტერპრეტენტზე, რომელიც შედის Intel Quartus Prime პროგრამულ უზრუნველყოფასთან და გამოტოვებთ –family=agilex ოფციას; ყველა სხვა ვარიანტი ექვივალენტურია. მაგample, quartus_encrypt ბრძანება მოგვიანებით ნაპოვნი განყოფილებაში

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

შეიძლება გარდაიქმნას ექვივალენტურ ზარად მიმართვის იმპლემენტაციისთვის შემდეგნაირად pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Quartus დაშიფვრის პარამეტრები
დიზაინისთვის ბიტტრიმინგის დაშიფვრის ჩასართავად, თქვენ უნდა მიუთითოთ შესაბამისი ვარიანტები Assignments Device Device and Pin Options Security პანელის გამოყენებით. თქვენ ირჩევთ ჩამრთველ ველს Bitstream Encryption-ის კონფიგურაციის ჩართვა და ჩამოსაშლელი მენიუდან სასურველი დაშიფვრის გასაღების შენახვის ადგილი.

ISO 9001:2015 რეგისტრირებულია

სურათი 3. Intel Quartus Prime Encryption Settings

3. AES Bitstream Encryption 683823 | 2023.05.23

ალტერნატიულად, შეგიძლიათ დაამატოთ შემდეგი დავალების განცხადება თქვენს Intel Quartus Prime პარამეტრებს file .qsf:
set_global_assignment -სახელი ENCRYPT_PROGRAMMING_BITSTREAM set_global_assignment -სახელი PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
თუ გსურთ ჩართოთ დამატებითი შერბილებები გვერდითი არხის თავდასხმის ვექტორების წინააღმდეგ, შეგიძლიათ ჩართოთ დაშიფვრის განახლების კოეფიციენტის ჩამოსაშლელი მენიუ და ჩართვის ჩართვა.

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 20

გამოხმაურების გაგზავნა

3. AES Bitstream Encryption 683823 | 2023.05.23

.qsf-ში შესაბამისი ცვლილებებია:
ნაკრები_გლობალური_დავალება -სახელი PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING ნაკრები_გლობალური_დავალებისთვის -სახელი PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. კონფიგურაციის Bitstream-ის დაშიფვრა
თქვენ დაშიფვრავთ კონფიგურაციის ბიტსტრიმს, სანამ ხელი მოაწეროთ ბიტსტრიმს. Intel Quartus Prime პროგრამირება File გენერატორ ინსტრუმენტს შეუძლია ავტომატურად დაშიფროს და მოაწეროს ხელი კონფიგურაციის ბიტსტრიმს გრაფიკული მომხმარებლის ინტერფეისის ან ბრძანების ხაზის გამოყენებით.
თქვენ შეგიძლიათ სურვილისამებრ შექმნათ ნაწილობრივ დაშიფრული ბიტტრიმი Quartus_encrypt და quartus_sign ინსტრუმენტებთან ან მიმართვის განხორციელების ეკვივალენტებთან გამოსაყენებლად.

3.3.1. კონფიგურაცია Bitstream Encryption პროგრამირების გამოყენებით File გენერატორის გრაფიკული ინტერფეისი
შეგიძლიათ გამოიყენოთ პროგრამირება File გენერატორი მფლობელის სურათის დასაშიფრად და ხელმოწერისთვის.

სურათი 4.

1. Intel Quartus Prime-ზე File მენიუში აირჩიეთ პროგრამირება File გენერატორი. 2. გამომავალზე Files tab, მიუთითეთ გამომავალი file ჩაწერეთ თქვენი კონფიგურაციისთვის
სქემა.
გამომავალი File სპეციფიკაცია

კონფიგურაციის სქემის გამომავალი file ჩანართი
გამომავალი file ტიპი

3. შეყვანის შესახებ Files ჩანართზე, დააწკაპუნეთ Bitstream-ის დამატებაზე და დაათვალიერეთ თქვენი .sof. 4. დაშიფვრის და ავთენტიფიკაციის პარამეტრების დასაზუსტებლად აირჩიეთ .sof და დააწკაპუნეთ
Თვისებები. ა. ჩართეთ ხელმოწერის ინსტრუმენტის ჩართვა. ბ. პირადი გასაღებისთვის file აირჩიეთ თქვენი ხელმოწერის გასაღები პირადი .pem file. გ. ჩართეთ დაშიფვრის დასრულება.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 21

3. AES Bitstream Encryption 683823 | 2023.05.23

სურათი 5.

დ. დაშიფვრის გასაღებისთვის fileაირჩიეთ თქვენი AES .qek file. შეყვანა (.sof) File ავთენტიფიკაციისა და დაშიფვრის თვისებები

ავტორიზაციის ჩართვა. მიუთითეთ პირადი root .pem
დაშიფვრის ჩართვა მიუთითეთ დაშიფვრის გასაღები
5. ხელმოწერილი და დაშიფრული ბიტტრიმის გენერირება, შეყვანის შესახებ Files ჩანართზე, დააჭირეთ გენერირებას. პაროლის დიალოგური ფანჯრები ჩნდება, რომ შეიყვანოთ პაროლი თქვენი AES გასაღებისთვის .qek file და პირადი გასაღების ხელმოწერა .pem file. პროგრამირება file გენერატორი ქმნის დაშიფრულ და ხელმოწერილ გამომავალს_file.rbf.
3.3.2. კონფიგურაცია Bitstream Encryption პროგრამირების გამოყენებით File გენერატორის ბრძანების ხაზის ინტერფეისი
შექმენით დაშიფრული და ხელმოწერილი კონფიგურაციის ბიტტრიმი .rbf ფორმატში quartus_pfg ბრძანების ხაზის ინტერფეისით:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
თქვენ შეგიძლიათ დააკონვერტიროთ დაშიფრული და ხელმოწერილი კონფიგურაციის ბიტტრიმი .rbf ფორმატში სხვა კონფიგურაციის ბიტნაკადში file ფორმატები.
3.3.3. ნაწილობრივ დაშიფრული კონფიგურაციის Bitstream გენერაცია ბრძანების ხაზის ინტერფეისის გამოყენებით
თქვენ შეგიძლიათ შექმნათ ნაწილობრივ დაშიფრული პროგრამირება file დაშიფვრის დასასრულებლად და გამოსახულების ხელმოწერისთვის მოგვიანებით. შექმენით ნაწილობრივ დაშიფრული პროგრამირება file .rbf ფორმატში thequartus_pfg ბრძანების ხაზის ინტერფეისით: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 22

გამოხმაურების გაგზავნა

3. AES Bitstream Encryption 683823 | 2023.05.23
თქვენ იყენებთ quartus_encrypt ბრძანების სტრიქონის ხელსაწყოს ბიტტრიმინის დაშიფვრის დასასრულებლად:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
თქვენ იყენებთ quartus_sign ბრძანების ხაზს ხელსაწყოს დაშიფრული კონფიგურაციის ბიტტრიმინგის გასაფორმებლად:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –სახელი= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. ნაწილობრივი რეკონფიგურაცია Bitstream Encryption
შეგიძლიათ ჩართოთ ბიტტრიმინგის დაშიფვრა Intel Agilex 7 FPGA-ის ზოგიერთ დიზაინზე, რომლებიც იყენებენ ნაწილობრივ რეკონფიგურაციას.
ნაწილობრივი რეკონფიგურაციის დიზაინები, რომლებიც იყენებენ იერარქიული ნაწილობრივი რეკონფიგურაციის (HPR) ან სტატიკური განახლების ნაწილობრივი რეკონფიგურაციის (SUPR) გამოყენებას, არ უჭერს მხარს ბიტტრიმინის დაშიფვრას. თუ თქვენი დიზაინი შეიცავს მრავალ PR რეგიონს, თქვენ უნდა დაშიფროთ ყველა პერსონა.
ნაწილობრივი ხელახალი კონფიგურაციის ბიტიური დაშიფვრის ჩასართავად, მიჰყევით იგივე პროცედურას დიზაინის ყველა რევიზიაში. 1. Intel Quartus Prime-ზე File მენიუში აირჩიეთ Assignments Device Device
და Pin Options Security. 2. აირჩიეთ სასურველი დაშიფვრის გასაღების შენახვის ადგილი.
სურათი 6. ნაწილობრივი რეკონფიგურაცია Bitstream დაშიფვრის პარამეტრი

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 23

3. AES Bitstream Encryption 683823 | 2023.05.23
ალტერნატიულად, შეგიძლიათ დაამატოთ შემდეგი დავალების განცხადება Quartus Prime პარამეტრებში file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION ჩართულია
მას შემდეგ, რაც შეადგინეთ თქვენი ბაზის დიზაინი და შესწორებები, პროგრამული უზრუნველყოფა წარმოქმნის a.soffile და ერთი ან მეტი.pmsffiles, რომელიც წარმოადგენს პერსონებს. 3. შექმენით დაშიფრული და ხელმოწერილი პროგრამირება fileს-დან.სოფ და.პმსფ fileმსგავსია დიზაინებისა, რომლებსაც არ აქვთ ჩართული ნაწილობრივი რეკონფიგურაცია. 4. გადაიყვანეთ შედგენილი პერსონა.pmsf file ნაწილობრივ დაშიფრულზე.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ჩართულია encryption_enabled_persona1.pmsf persona1.rbf
5. დაასრულეთ ბიტის დაშიფვრა quartus_encrypt ბრძანების ხაზის ხელსაწყოს გამოყენებით:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. მოაწერეთ დაშიფრული კონფიგურაციის ბიტტრიმი Quartus_sign ბრძანების ხაზის ხელსაწყოს გამოყენებით:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 24

გამოხმაურების გაგზავნა

683823 | 2023.05.23 გამოხმაურების გაგზავნა

მოწყობილობის უზრუნველყოფა

თავდაპირველი უსაფრთხოების ფუნქციის უზრუნველყოფა მხარდაჭერილია მხოლოდ SDM პროგრამული უზრუნველყოფის firmware-ში. გამოიყენეთ Intel Quartus Prime Programmer SDM პროგრამული უზრუნველყოფის პროგრამული უზრუნველყოფის ჩასატვირთად და უზრუნველყოფის ოპერაციების შესასრულებლად.
თქვენ შეგიძლიათ გამოიყენოთ ნებისმიერი ტიპის JTAG ჩამოტვირთეთ კაბელი Quartus Programmer-ის Intel Agilex 7 მოწყობილობასთან დასაკავშირებლად, უზრუნველყოფის ოპერაციების შესასრულებლად.
4.1. SDM Provision Firmware-ის გამოყენებით
Intel Quartus Prime Programmer ავტომატურად ქმნის და ატვირთავს ქარხნული ნაგულისხმევი დამხმარე სურათს, როდესაც თქვენ აირჩევთ ინიციალიზაციის ოპერაციას და ბრძანებას, რომ დაპროგრამდეს რაღაც სხვა კონფიგურაციის ბიტტრიმი.
მითითებული პროგრამირების ბრძანებიდან გამომდინარე, ქარხნული ნაგულისხმევი დამხმარე სურათი არის ორიდან ერთ-ერთი:
· დამხმარე გამოსახულების უზრუნველყოფის გამოსახულება - შედგება ერთი ბიტტრიმინგის განყოფილებისგან, რომელიც შეიცავს SDM-ის უზრუნველყოფის პროგრამულ უზრუნველყოფას.
· QSPI დამხმარე გამოსახულება – შედგება ორი ბიტის სექციისგან, ერთი შეიცავს SDM-ის ძირითად პროგრამულ უზრუნველყოფას და ერთ I/O განყოფილებას.
თქვენ შეგიძლიათ შექმნათ ქარხნული ნაგულისხმევი დამხმარე სურათი file ჩატვირთოთ თქვენს მოწყობილობაში ნებისმიერი პროგრამირების ბრძანების შესრულებამდე. ავტორიზაციის ძირეული გასაღების ჰეშის დაპროგრამების შემდეგ, თქვენ უნდა შექმნათ და მოაწეროთ ხელი QSPI ქარხნული ნაგულისხმევი დამხმარე სურათს, ჩართული I/O განყოფილების გამო. თუ დამატებით დაპროგრამებთ პროგრამული უზრუნველყოფის უსაფრთხოების პარამეტრს eFuse-ს, თქვენ უნდა შექმნათ უზრუნველყოფის და QSPI ქარხნული ნაგულისხმევი დამხმარე სურათები თანა-ხელმოწერილი firmware-ით. თქვენ შეგიძლიათ გამოიყენოთ ხელმოწერილი ქარხნული ნაგულისხმევი დამხმარე გამოსახულება მოუწოდებელ მოწყობილობაზე, რადგან მიუწვდომელი მოწყობილობა იგნორირებას უკეთებს Intel-ის ხელმოწერის ჯაჭვებს SDM firmware-ზე. იხილეთ QSPI ქარხნული ნაგულისხმევი დამხმარე გამოსახულების გამოყენება საკუთრებაში არსებულ მოწყობილობებზე 26 გვერდზე, QSPI ქარხნული ნაგულისხმევი დამხმარე სურათის შექმნის, ხელმოწერისა და გამოყენების შესახებ მეტი ინფორმაციისთვის.
უზრუნველყოფის ქარხნის ნაგულისხმევი დამხმარე სურათი ახორციელებს უზრუნველყოფის მოქმედებას, როგორიცაა ავთენტიფიკაციის ძირეული გასაღების ჰეშის პროგრამირება, უსაფრთხოების დაყენების საკრავები, PUF ჩაწერა ან შავი კლავიშის უზრუნველყოფა. თქვენ იყენებთ Intel Quartus Prime Programming-ს File გენერატორის ბრძანების ხაზის ხელსაწყო უზრუნველყოფის დამხმარე სურათის შესაქმნელად, რომელიც მიუთითებს helper_image ოფციაზე, თქვენი helper_device სახელზე, პროვაიდერის დამხმარე გამოსახულების ქვეტიპზე და სურვილისამებრ თანა-ხელმოწერილი firmware .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o ქვეტიპი=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
დამხმარე სურათის დაპროგრამება Intel Quartus Prime Programmer ინსტრუმენტის გამოყენებით:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –ძალა

ISO 9001:2015 რეგისტრირებულია

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23

შენიშვნა:

თქვენ შეგიძლიათ გამოტოვოთ ინიციალიზაციის ოპერაცია ბრძანებებიდან, მათ შორის მაგampამ თავში მოცემული პუნქტები, ან პროგრამირების დამხმარე სურათის ან ბრძანების გამოყენების შემდეგ, რომელიც შეიცავს ინიციალიზაციის ოპერაციას.

4.2. QSPI ქარხნული ნაგულისხმევი დამხმარე სურათის გამოყენება საკუთრებაში არსებულ მოწყობილობებზე
Intel Quartus Prime Programmer ავტომატურად ქმნის და ატვირთავს QSPI ქარხნული ნაგულისხმევი დამხმარე სურათს, როდესაც თქვენ აირჩევთ ინიციალიზაციის ოპერაციას QSPI ფლეშ პროგრამირებისთვის. file. ავტორიზაციის root გასაღების ჰეშის დაპროგრამების შემდეგ, თქვენ უნდა შექმნათ და მოაწეროთ ხელი QSPI ქარხნის ნაგულისხმევ დამხმარე სურათს და დაპროგრამოთ ხელმოწერილი QSPI ქარხნის დამხმარე გამოსახულება ცალკე QSPI ფლეშის დაპროგრამებამდე. 1. თქვენ იყენებთ Intel Quartus Prime Programming-ს File გენერატორის ბრძანების ხაზის ხელსაწყო
შექმენით QSPI დამხმარე სურათი, მიუთითეთ helper_image ოფცია, თქვენი helper_device ტიპის, QSPI დამხმარე სურათის ქვეტიპი და სურვილისამებრ თანდართული firmware .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o ქვეტიპი=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. თქვენ ხელს აწერთ QSPI ქარხნის ნაგულისხმევ დამხმარე სურათს:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. შეგიძლიათ გამოიყენოთ ნებისმიერი QSPI ფლეშ პროგრამირება file ფორმატი. შემდეგი ყოფილიampჩვენ ვიყენებთ კონფიგურაციის ბიტტრიმინს, რომელიც გარდაიქმნება .jic-ში file ფორმატი:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o მოწყობილობა=MT25QU128 -o flash_loader=AGFB014R24A -o რეჟიმი=ASX4
4. თქვენ დაპროგრამებთ ხელმოწერილი დამხმარე სურათს Intel Quartus Prime Programmer ინსტრუმენტის გამოყენებით:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –ძალა
5. თქვენ დაპროგრამებთ .jic სურათს ციმციმად Intel Quartus Prime Programmer ინსტრუმენტის გამოყენებით:
quartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. ავთენტიფიკაციის ძირეული გასაღების უზრუნველყოფა
მფლობელის ძირეული კლავიშის ჰეშების ფიზიკურ ფუჟებზე დასაპროგრამებლად, ჯერ უნდა ჩატვირთოთ პროგრამული უზრუნველყოფა, შემდეგ დაპროგრამოთ მფლობელის root გასაღები ჰეშები და შემდეგ დაუყოვნებლივ შეასრულოთ ჩართვის გადატვირთვა. ჩართვის გადატვირთვა საჭირო არ არის, თუ პროგრამირების root გასაღები ჰეშირებულია ვირტუალურ ფუჟებზე.

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 26

გამოხმაურების გაგზავნა

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23
ავტორიზაციის ძირეული კლავიშების ჰეშების დასაპროგრამებლად, თქვენ დაპროგრამებთ პროგრამული უზრუნველყოფის დამხმარე სურათს და გაუშვით ერთ-ერთი შემდეგი ბრძანება root გასაღების დასაპროგრამებლად .qky files.
// ფიზიკური (არაარასტაბილური) eFuses quartus_pgm -c 1 -mjtag -o „p;root0.qky;root1.qky;root2.qky“ –არა_არასტაბილური_გასაღები
// ვირტუალური (არასტაბილური) eFuses quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. ნაწილობრივი რეკონფიგურაცია Multi-Authority Root Key პროგრამირება
მოწყობილობის ან სტატიკური რეგიონის ბიტტრიმინის მფლობელის ძირეული კლავიშების უზრუნველყოფის შემდეგ, თქვენ კვლავ ჩატვირთავთ მოწყობილობის უზრუნველყოფის დამხმარე სურათს, პროგრამირებთ ხელმოწერილი PR საჯარო გასაღების პროგრამის ავტორიზაციის კომპაქტურ სერტიფიკატს და შემდეგ აწვდით PR პერსონა ბიტტრიმინგის მფლობელის root გასაღებს.
// ფიზიკური (არაარასტაბილური) eFuses quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –არა_არასტაბილური_გასაღები
// ვირტუალური (არასტაბილური) eFuses quartus_pgm -c 1 -mjtag -o „p;p;root_pr.qky“ –pr_pubkey
4.4. პროგრამირების გასაღები გაუქმების ID Fuses
Intel Quartus Prime Pro Edition პროგრამული უზრუნველყოფის 21.1 ვერსიით დაწყებული, Intel-ისა და მფლობელის გასაღების გაუქმების ID საკრავების დაპროგრამება მოითხოვს ხელმოწერილი კომპაქტური სერთიფიკატის გამოყენებას. თქვენ შეგიძლიათ ხელი მოაწეროთ გასაღების გაუქმების ID კომპაქტურ სერტიფიკატს ხელმოწერის ჯაჭვით, რომელსაც აქვს FPGA განყოფილების ხელმოწერის ნებართვები. თქვენ ქმნით კომპაქტურ სერთიფიკატს პროგრამით file გენერატორის ბრძანების ხაზის ინსტრუმენტი. თქვენ ხელს აწერთ ხელმოუწერელ სერტიფიკატს quartus_sign ინსტრუმენტის ან მითითების განხორციელების გამოყენებით.
Intel Agilex 7 მოწყობილობები მხარს უჭერენ მფლობელის გასაღების გაუქმების ID-ების ცალკეულ ბანკებს თითოეული root გასაღებისთვის. როდესაც მფლობელის გასაღების გაუქმების ID კომპაქტური სერტიფიკატი დაპროგრამებულია Intel Agilex 7 FPGA-ში, SDM განსაზღვრავს, რომელმა ძირეულმა კლავიშმა მოაწერა ხელი კომპაქტურ სერტიფიკატს და აფეთქებს გასაღების გაუქმების ID ფულს, რომელიც შეესაბამება ამ root კლავიშს.
შემდეგი ყოფილიampჩვენ შევქმნით Intel-ის გასაღების გაუქმების სერთიფიკატს Intel-ის კლავიშის ID 7-ისთვის. თქვენ შეგიძლიათ შეცვალოთ 7 მოქმედი Intel გასაღების გაუქმების ID-ით 0-31.
შეასრულეთ შემდეგი ბრძანება, რომ შექმნათ ხელმოუწერელი Intel გასაღების გაუქმების ID კომპაქტური სერტიფიკატი:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
გაუშვით ერთ-ერთი შემდეგი ბრძანება, რომ მოაწეროთ ხელი ხელმოუწერელ Intel-ის გასაღების გაუქმების ID კომპაქტურ სერტიფიკატს:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 27

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
შეასრულეთ შემდეგი ბრძანება, რომ შექმნათ ხელმოუწერელი მფლობელი გასაღების გაუქმების ID კომპაქტური სერტიფიკატი:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
შეასრულეთ ერთ-ერთი შემდეგი ბრძანება ხელმოუწერელ მფლობელის გასაღების გაუქმების ID კომპაქტურ სერტიფიკატზე ხელმოწერისთვის:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –სახელი= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
მას შემდეგ რაც შექმნით ხელმოწერილი გასაღების გაუქმების ID კომპაქტურ სერტიფიკატს, იყენებთ Intel Quartus Prime Programmer-ს კომპაქტური სერთიფიკატის მოწყობილობაზე J-ის საშუალებით დასაპროგრამებლად.TAG.
//ფიზიკური (არაარასტაბილური) eFuses quartus_pgm -c 1 -mjtag -o „pi; ხელმოწერილი_გაუქმება_intel7.ccert“ –არა_არასტაბილური_გასაღები quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
//ვირტუალური (არასტაბილური) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert"
თქვენ შეგიძლიათ დამატებით გაგზავნოთ კომპაქტური სერთიფიკატი SDM-ზე FPGA ან HPS საფოსტო ყუთის ინტერფეისის გამოყენებით.
4.5. ძირეული კლავიშების გაუქმება
Intel Agilex 7 მოწყობილობები საშუალებას გაძლევთ გააუქმოთ root გასაღების ჰეშები, როდესაც არსებობს სხვა გაუქმებული root გასაღების ჰეში. თქვენ გააუქმებთ root გასაღების ჰეშს, ჯერ მოწყობილობის კონფიგურაციის დიზაინით, რომლის ხელმოწერის ჯაჭვი დაფუძნებულია სხვა root კლავიშის ჰეშში, შემდეგ დაპროგრამეთ ხელმოწერილი root გასაღები ჰეშის გაუქმების კომპაქტური სერტიფიკატი. თქვენ უნდა მოაწეროთ ხელი ძირეული გასაღების ჰეშის გაუქმების კომპაქტურ სერთიფიკატს ხელმოწერის ჯაჭვით, რომელიც ფესვგადგმულია root გასაღების გასაუქმებლად.
შეასრულეთ შემდეგი ბრძანება, რომ გენერიროთ ხელმოუწერელი root გასაღები ჰეშის გაუქმების კომპაქტური სერტიფიკატი:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 28

გამოხმაურების გაგზავნა

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23

გაუშვით ერთ-ერთი შემდეგი ბრძანება, რომ მოაწეროთ ხელმოუწერელი root გასაღები ჰეშის გაუქმების კომპაქტურ სერტიფიკატს:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –სახელი= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
თქვენ შეგიძლიათ დაპროგრამოთ root გასაღები ჰეშის გაუქმების კომპაქტური სერტიფიკატი J-ის მეშვეობითTAG, FPGA ან HPS საფოსტო ყუთები.

4.6. პროგრამირების მრიცხველი საკრავები
თქვენ განაახლებთ უსაფრთხოების ვერსიის ნომერს (SVN) და Pseudo Time Stamp (PTS) მრიცხველის დამცავი ხელმოწერილი კომპაქტური სერთიფიკატების გამოყენებით.

შენიშვნა:

SDM თვალყურს ადევნებს მრიცხველის მინიმალურ მნიშვნელობას, რომელიც ჩანს მოცემული კონფიგურაციის დროს და არ იღებს მრიცხველის გაზრდის სერთიფიკატებს, როდესაც მრიცხველის მნიშვნელობა მინიმალურ მნიშვნელობაზე მცირეა. თქვენ უნდა განაახლოთ მრიცხველზე მინიჭებული ყველა ობიექტი და ხელახლა დააკონფიგურიროთ მოწყობილობა მრიცხველის დამატებითი კომპაქტური სერტიფიკატის დაპროგრამებამდე.

გაუშვით ერთ-ერთი შემდეგი ბრძანება, რომელიც შეესაბამება მრიცხველის გაზრდის სერტიფიკატს, რომლის გენერირებაც გსურთ.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

1-ის მრიცხველი ქმნის მრიცხველის გაზრდის ავტორიზაციის სერტიფიკატს. მრიცხველის გაზრდის ავტორიზაციის კომპაქტური სერტიფიკატის დაპროგრამება საშუალებას გაძლევთ დაპროგრამოთ შემდგომი ხელმოუწერელი მრიცხველის ზრდის სერტიფიკატები შესაბამისი მრიცხველის განახლებისთვის. თქვენ იყენებთ quartus_sign ხელსაწყოს, რათა მოაწეროთ ხელი მრიცხველ კომპაქტურ სერთიფიკატებს გასაღების გაუქმების ID კომპაქტური სერთიფიკატების მსგავსად.
თქვენ შეგიძლიათ დაპროგრამოთ root გასაღები ჰეშის გაუქმების კომპაქტური სერტიფიკატი J-ის მეშვეობითTAG, FPGA ან HPS საფოსტო ყუთები.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 29

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23

4.7. უსაფრთხო მონაცემთა ობიექტის სერვისის ძირეული გასაღების უზრუნველყოფა
თქვენ იყენებთ Intel Quartus Prime Programmer-ს უსაფრთხო მონაცემთა ობიექტის სერვისის (SDOS) ძირეული გასაღების უზრუნველსაყოფად. პროგრამისტი ავტომატურად ატვირთავს პროგრამული უზრუნველყოფის დამხმარე სურათს, რათა უზრუნველყოს SDOS root გასაღები.
quartus_pgm c 1 mjtag –სერვისის_ძირის_გასაღები –არა_არასტაბილური_გასაღები

4.8. უსაფრთხოების დაყენება Fuse Provisioning
გამოიყენეთ Intel Quartus Prime Programmer, რათა შეამოწმოთ მოწყობილობის უსაფრთხოების პარამეტრები და ჩაწერეთ ისინი ტექსტზე დაფუძნებულ .ფუზზე file შემდეგნაირად:
quartus_pgm -c 1 -mjtag -o “ei;პროგრამირება_file.ფუზი;AGFB014R24B"

ოფციები · i: პროგრამისტი ატვირთავს მოწყობილობაში პროგრამული უზრუნველყოფის დამხმარე სურათს. · e: პროგრამისტი კითხულობს დაუკრავენ მოწყობილობას და ინახავს მას .ფუზში file.

.ფუჭი file შეიცავს დაუკრავენ სახელ-მნიშვნელობის წყვილების სიას. მნიშვნელობა განსაზღვრავს, აფეთქებულია თუ არა დაუკრავენ თუ ველის შიგთავსს.

შემდეგი ყოფილიample აჩვენებს .ფუზის ფორმატს file:

# ხელმოწერილი firmware

= "არ აფეთქდა"

# მოწყობილობის ნებართვის მოკვლა

= "არ აფეთქდა"

# მოწყობილობა არ არის დაცული

= "არ აფეთქდა"

# გამორთეთ HPS გამართვა

= "არ აფეთქდა"

# გამორთეთ Intrinsic ID PUF ჩარიცხვა

= "არ აფეთქდა"

# გამორთე ჯTAG

= "არ აფეთქდა"

# გამორთეთ PUF-ით შეფუთული დაშიფვრის გასაღები

= "არ აფეთქდა"

# გამორთეთ მფლობელის დაშიფვრის გასაღები BBRAM-ში = „არ არის აფეთქებული“

# გამორთეთ მფლობელის დაშიფვრის გასაღები eFuses-ში = „არ არის აფეთქებული“

# გამორთეთ მფლობელის root საჯარო გასაღების ჰეში 0

= "არ აფეთქდა"

# გამორთეთ მფლობელის root საჯარო გასაღების ჰეში 1

= "არ აფეთქდა"

# გამორთეთ მფლობელის root საჯარო გასაღების ჰეში 2

= "არ აფეთქდა"

# გამორთეთ ვირტუალური eFuses

= "არ აფეთქდა"

# SDM საათის იძულება შიდა ოსცილატორზე = „არ აფეთქებულა“

# იძულებითი დაშიფვრის გასაღების განახლება

= "არ აფეთქდა"

# Intel აშკარა გასაღების გაუქმება

= "0"

# ჩაკეტეთ უსაფრთხოების eFuses

= "არ აფეთქდა"

# მფლობელის დაშიფვრის გასაღების პროგრამა შესრულებულია

= "არ აფეთქდა"

# მფლობელის დაშიფვრის გასაღების პროგრამის დაწყება

= "არ აფეთქდა"

# მფლობელის აშკარა გასაღების გაუქმება 0

= ""

# მფლობელის აშკარა გასაღების გაუქმება 1

= ""

# მფლობელის აშკარა გასაღების გაუქმება 2

= ""

# მფლობელი ფუჟები

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# მფლობელი root საჯარო გასაღების ჰეში 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# მფლობელი root საჯარო გასაღების ჰეში 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# მფლობელი root საჯარო გასაღების ჰეში 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# მფლობელი root საჯარო გასაღების ზომა

= "არცერთი"

# PTS მრიცხველი

= "0"

# PTS მრიცხველის ბაზა

= "0"

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 30

გამოხმაურების გაგზავნა

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23

# QSPI გაშვების დაგვიანებით # RMA მრიცხველი # SDMIO0 არის I2C # SVN მრიცხველი A # SVN მრიცხველი B # SVN მრიცხველი C # SVN მრიცხველი D

= "10ms" = "0" = "არ არის აფეთქებული" = "0" = "0" = "0" = "0"

შეცვალეთ .ფუზი file დააყენეთ თქვენთვის სასურველი უსაფრთხოების პარამეტრები. ხაზი, რომელიც იწყება #-ით, განიხილება როგორც კომენტარის ხაზი. უსაფრთხოების პარამეტრის დაუპროგრამებლად, ამოიღეთ წამყვანი # და დააყენეთ მნიშვნელობა Blown-ზე. მაგampიმისათვის, რომ ჩართოთ Co-signed Firmware უსაფრთხოების პარამეტრის დაუკრავენ, შეცვალეთ დაუკრავენ პირველი ხაზი file შემდეგზე:
ხელმოწერილი firmware = "Blown"

თქვენ ასევე შეგიძლიათ გამოყოთ და დაპროგრამოთ მფლობელის საკრავები თქვენი მოთხოვნების მიხედვით.
თქვენ შეგიძლიათ გამოიყენოთ შემდეგი ბრძანება ცარიელი შემოწმების შესასრულებლად, დასაპროგრამებლად და მფლობელის root საჯარო გასაღების დასადასტურებლად:
quartus_pgm -c 1 -mjtag -o „ibpv;root0.qky“

ოფციები · i: იტვირთება პროგრამული უზრუნველყოფის დამხმარე სურათი მოწყობილობაში. · b: ასრულებს ცარიელ შემოწმებას, რათა დაადასტუროს, რომ სასურველი უსაფრთხოების პარამეტრი არ არის
უკვე ააფეთქეს. · p: აპროგრამებს დაუკრავენ. · v: ამოწმებს დაპროგრამებულ კლავიშს მოწყობილობაზე.
.qky-ის დაპროგრამების შემდეგ file, შეგიძლიათ შეისწავლოთ დაუკრავენ ინფორმაციის ხელახლა შემოწმებით, რათა დარწმუნდეთ, რომ როგორც მფლობელის საჯარო გასაღების ჰეშს, ასევე მფლობელის საჯარო გასაღების ზომას აქვს არანულოვანი მნიშვნელობები.
მიუხედავად იმისა, რომ შემდეგი ველები არ არის ჩასაწერი .ფუზით file მეთოდი, ისინი ჩართულია შემოწმების ოპერაციის დროს გამომავალი შემოწმებისთვის: · მოწყობილობა დაუცველი · მოწყობილობის ნებართვის მოკვლა · მფლობელის root საჯარო გასაღების ჰეშის გამორთვა 0 · მფლობელის root საჯარო გასაღების ჰეშის გამორთვა 1 · მფლობელის root საჯარო გასაღების ჰეშის გამორთვა 2 · Intel გასაღების გაუქმება · მფლობელის დაშიფვრის გასაღების პროგრამის დაწყება · მფლობელის დაშიფვრის გასაღების პროგრამა დასრულდა · მფლობელის გასაღების გაუქმება

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 31

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23
· PTS მრიცხველი · PTS მრიცხველი · QSPI გაშვების შეფერხება · RMA მრიცხველი · SDMIO0 არის I2C · SVN მრიცხველი A · SVN მრიცხველი B · SVN მრიცხველი C · SVN მრიცხველი D
გამოიყენეთ Intel Quartus Prime Programmer .ფუზის დასაპროგრამებლად file დაუბრუნდით მოწყობილობას. თუ დაამატებთ i ოფციას, პროგრამისტი ავტომატურად იტვირთება პროგრამული უზრუნველყოფის პროგრამული უზრუნველყოფის პროგრამული უზრუნველყოფის უსაფრთხოების პარამეტრების საფუარები.
//ფიზიკური (არაარასტაბილური) eFuses quartus_pgm -c 1 -mjtag -o “pi;პროგრამირება_file.ფუზი“ –არა_არასტაბილური_გასაღები
//ვირტუალური (არასტაბილური) eFuses quartus_pgm -c 1 -mjtag -o “pi;პროგრამირება_file.ფუჭი”
თქვენ შეგიძლიათ გამოიყენოთ შემდეგი ბრძანება, რათა გადაამოწმოთ, არის თუ არა მოწყობილობის root გასაღების ჰეში, რაც ბრძანებაში მოცემული .qky:
quartus_pgm -c 1 -mjtag -o "v;root0_another.qky"
თუ კლავიშები არ ემთხვევა, პროგრამისტი წარუმატებელია ოპერაციის წარუმატებელი შეცდომის შეტყობინებით.
4.9. AES Root Key უზრუნველყოფა
თქვენ უნდა გამოიყენოთ ხელმოწერილი AES root გასაღები კომპაქტური სერტიფიკატი AES root გასაღების Intel Agilex 7 მოწყობილობაზე დასაპროგრამებლად.
4.9.1. AES Root Key კომპაქტური სერთიფიკატი
თქვენ იყენებთ quartus_pfg ბრძანების სტრიქონის ხელსაწყოს თქვენი AES root გასაღების .qek კონვერტაციისთვის file კომპაქტურ სერტიფიკატში .cert ფორმატში. კომპაქტური სერტიფიკატის შექმნისას თქვენ მიუთითებთ გასაღების შენახვის ადგილს. თქვენ შეგიძლიათ გამოიყენოთ quartus_pfg ინსტრუმენტი ხელმოუწერელი სერთიფიკატის შესაქმნელად მოგვიანებით ხელმოწერისთვის. თქვენ უნდა გამოიყენოთ ხელმოწერის ჯაჭვი AES root გასაღების სერტიფიკატის ხელმოწერის ნებართვით, ნებართვის ბიტი 6, ჩართული, რათა წარმატებით მოაწეროთ ხელი AES root გასაღები კომპაქტურ სერტიფიკატს.

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 32

გამოხმაურების გაგზავნა

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23
1. შექმენით დამატებითი გასაღებების წყვილი, რომელიც გამოიყენება AES გასაღების კომპაქტური სერტიფიკატის გასაფორმებლად, შემდეგი ბრძანებებიდან ერთ-ერთი, მაგamples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen მექანიზმი ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 – გამოყენების ნიშანი – label aesccert1 –id 2
2. შექმენით ხელმოწერის ჯაჭვი სწორი ნებართვის ბიტის ნაკრებით, ერთ-ერთი შემდეგი ბრძანების გამოყენებით:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chainqky.
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmvious2.so” –name root0 –previous_qky=root0.qky –ნებართვა=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. შექმენით ხელმოუწერელი AES კომპაქტური სერთიფიკატი AES root გასაღების შენახვის სასურველი ადგილისთვის. ხელმისაწვდომია AES root გასაღების შენახვის შემდეგი პარამეტრები:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//შექმენით eFuse AES root გასაღები ხელმოუწერელი სერთიფიკატი quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. ხელი მოაწერეთ კომპაქტურ სერტიფიკატს quartus_sign ბრძანებით ან მითითების განხორციელებით.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ხელმოწერილი სერთიფიკატი_ 1.ცერტი
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 33

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ხელმოწერილი სერთიფიკატი_ 1.ცერტი
5. გამოიყენეთ Intel Quartus Prime Programmer AES root გასაღები კომპაქტური სერტიფიკატის დასაპროგრამებლად Intel Agilex 7 მოწყობილობაზე J-ის საშუალებითTAG. Intel Quartus Prime Programmer ნაგულისხმევად აპროგრამებს ვირტუალურ eFuse-ებს EFUSE_WRAPPED_AES_KEY კომპაქტური სერტიფიკატის ტიპის გამოყენებისას.
თქვენ დაამატებთ –non_volatile_key ოფციას პროგრამირების ფიზიკური საკრავების დასაზუსტებლად.
//ფიზიკური (არასტაბილური) eFuse AES root გასაღებისთვის quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –არა_არასტაბილური_გასაღები

//ვირტუალური (არასტაბილური) eFuse AES root გასაღებისთვის quartus_pgm -c 1 -mjtag -o „pi;signed_efuse1.ccert“

//BBRAM AES ძირეული გასაღებისთვის quartus_pgm -c 1 -mjtag -o „pi;signed_bbram1.ccert“

SDM უზრუნველყოფის პროგრამული უზრუნველყოფა და ძირითადი პროგრამული უზრუნველყოფა მხარს უჭერს AES root გასაღები სერტიფიკატის პროგრამირებას. თქვენ ასევე შეგიძლიათ გამოიყენოთ SDM საფოსტო ყუთის ინტერფეისი FPGA ქსოვილიდან ან HPS-დან AES root გასაღების სერტიფიკატის დასაპროგრამებლად.

შენიშვნა:

Quartus_pgm ბრძანება არ უჭერს მხარს b და v ვარიანტებს კომპაქტური სერთიფიკატებისთვის (.ccert).

4.9.2. Intrinsic ID® PUF AES Root Key Provisioning
Intrinsic* ID PUF შეფუთული AES გასაღების დანერგვა მოიცავს შემდეგ ნაბიჯებს: 1. Intrinsic ID PUF-ის რეგისტრაცია J-ის საშუალებითTAG. 2. AES root გასაღების შეფუთვა. 3. დამხმარე მონაცემების და შეფუთული გასაღების დაპროგრამება ოთხ SPI ფლეშ მეხსიერებაში. 4. PUF აქტივაციის სტატუსის შიდა ID.
Intrinsic ID ტექნოლოგიის გამოყენება მოითხოვს ცალკე სალიცენზიო ხელშეკრულებას Intrinsic ID-თან. Intel Quartus Prime Pro Edition პროგრამული უზრუნველყოფა ზღუდავს PUF ოპერაციებს შესაბამისი ლიცენზიის გარეშე, როგორიცაა რეგისტრაცია, გასაღების შეფუთვა და PUF მონაცემთა პროგრამირება QSPI flash-ზე.

4.9.2.1. Intrinsic ID PUF რეგისტრაცია
PUF-ის დასარეგისტრირებლად, თქვენ უნდა გამოიყენოთ SDM პროგრამული უზრუნველყოფის პროგრამული უზრუნველყოფა. უზრუნველყოფის firmware უნდა იყოს პირველი პროგრამული უზრუნველყოფა, რომელიც ჩატვირთულია კვების ციკლის შემდეგ და თქვენ უნდა გასცეთ PUF ჩარიცხვის ბრძანება ნებისმიერი სხვა ბრძანების წინ. პროგრამული უზრუნველყოფის პროგრამული უზრუნველყოფა მხარს უჭერს სხვა ბრძანებებს PUF-ის ჩარიცხვის შემდეგ, მათ შორის AES root გასაღების შეფუთვა და Quad SPI პროგრამირება, თუმცა, თქვენ უნდა ჩართოთ მოწყობილობა, რათა ჩატვირთოთ კონფიგურაციის ბიტტრიმი.
თქვენ იყენებთ Intel Quartus Prime Programmer-ს PUF-ის ჩარიცხვის გასააქტიურებლად და PUF დამხმარე მონაცემების გენერირებისთვის .puf file.

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 34

გამოხმაურების გაგზავნა

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23

სურათი 7.

Intrinsic ID PUF რეგისტრაცია
quartus_pgm PUF ჩარიცხვა

PUF დამხმარე მონაცემების რეგისტრაცია

უსაფრთხო მოწყობილობის მენეჯერი (SDM)

wrapper.puf დამხმარე მონაცემები
პროგრამისტი ავტომატურად ატვირთავს პროგრამული უზრუნველყოფის დამხმარე სურათს, როდესაც თქვენ მიუთითებთ i ოპერაციას და .puf არგუმენტს.
quartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
თუ იყენებთ თანა-ხელმოწერილ პროგრამულ პროგრამულ უზრუნველყოფას, PUF-ის ჩარიცხვის ბრძანების გამოყენებამდე დაპროგრამებთ თანა-ხელმოწერილი პროგრამული უზრუნველყოფის დამხმარე სურათს.
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" -force quartus_pgm -c 1 -mjtag -o "e;help_data.puf;AGFB014R24A"
UDS IID PUF რეგისტრირებულია მოწყობილობის წარმოების დროს და ხელახლა ჩარიცხვისთვის მიუწვდომელია. ამის ნაცვლად, თქვენ იყენებთ პროგრამისტს IPCS-ზე UDS PUF დამხმარე მონაცემების ადგილმდებარეობის დასადგენად, ჩამოტვირთეთ .puf file პირდაპირ და შემდეგ გამოიყენეთ UDS .puf file ისევე როგორც .პუფ file ამოღებულია Intel Agilex 7 მოწყობილობიდან.
გამოიყენეთ შემდეგი პროგრამისტის ბრძანება ტექსტის შესაქმნელად file რომელიც შეიცავს სიას URLs მიუთითებს მოწყობილობის სპეციფიკურზე files IPCS-ზე:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. AES ძირეული გასაღების შეფუთვა
თქვენ გენერირება IID PUF შეფუთული AES root გასაღები .wkey file SDM-ში ხელმოწერილი მოწმობის გაგზავნით.
შეგიძლიათ გამოიყენოთ Intel Quartus Prime Programmer ავტომატურად გენერირებისთვის, ხელი მოაწეროთ და გაგზავნოთ სერთიფიკატი თქვენი AES root გასაღების შესაფუთად, ან შეგიძლიათ გამოიყენოთ Intel Quartus Prime Programming. File გენერატორი ხელმოუწერელი სერტიფიკატის გენერირებისთვის. თქვენ ხელს აწერთ ხელმოუწერელ სერტიფიკატს თქვენი საკუთარი ხელსაწყოების ან Quartus ხელმოწერის ხელსაწყოს გამოყენებით. თქვენ შემდეგ იყენებთ პროგრამისტს ხელმოწერილი სერთიფიკატის გასაგზავნად და თქვენი AES root გასაღების შესაფუთად. ხელმოწერილი სერტიფიკატი შეიძლება გამოყენებულ იქნას ყველა მოწყობილობის დასაპროგრამებლად, რომელსაც შეუძლია ხელმოწერის ჯაჭვის ვალიდაცია.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 35

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23

სურათი 8.

AES გასაღების შეფუთვა Intel Quartus Prime პროგრამისტის გამოყენებით
.pem პირადი
გასაღები

.qky

quartus_pgm

შეფუთვა AES გასაღები

AES.QSKigYnature RootCPhuabilnic გასაღები

შექმენით PUF შეფუთული გასაღები

შეფუთული AES გასაღები

SDM

.qek დაშიფვრა
გასაღები

.wkey PUF-შეფუთული
AES გასაღები

1. შეგიძლიათ შექმნათ IID PUF შეფუთული AES root გასაღები (.wkey) პროგრამისტთან შემდეგი არგუმენტების გამოყენებით:
· .qky file შეიცავს ხელმოწერის ჯაჭვს AES root გასაღების სერტიფიკატის ნებართვით
· კერძო .პემ file ხელმოწერის ჯაჭვის ბოლო გასაღებისთვის
· ქექ file უჭირავს AES root გასაღები
· 16-ბაიტიანი ინიციალიზაციის ვექტორი (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o "ei;aes.wkey;AGFB014R24A"

2. ალტერნატიულად, შეგიძლიათ შექმნათ ხელმოუწერელი IID PUF შეფუთვა AES root გასაღების სერტიფიკატი პროგრამირების საშუალებით File გენერატორი შემდეგი არგუმენტების გამოყენებით:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. თქვენ ხელს აწერთ ხელმოუწერელ სერტიფიკატს თქვენი ხელმოწერის ხელსაწყოებით ან quartus_sign ხელსაწყოთი შემდეგი ბრძანების გამოყენებით:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. შემდეგ იყენებთ პროგრამისტს ხელმოწერილი AES სერთიფიკატის გასაგზავნად და შეფუთული გასაღების დასაბრუნებლად (.wkey) file:

quarts_pgm -c 1 -mjtag – სერტიფიკატი_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

შენიშვნა: i ოპერაცია არ არის საჭირო, თუ თქვენ ადრე ჩატვირთეთ პროგრამული უზრუნველყოფის დამხმარე სურათი, მაგampPUF-ში ჩარიცხვის მიზნით.

4.9.2.3. პროგრამირების დამხმარე მონაცემები და შეფუთული გასაღები QSPI Flash მეხსიერებაში
თქვენ იყენებთ Quartus Programming-ს File გენერატორის გრაფიკული ინტერფეისი PUF დანაყოფის შემცველი საწყისი QSPI ფლეშ გამოსახულების შესაქმნელად. თქვენ უნდა შექმნათ და დაპროგრამოთ მთლიანი ფლეშ პროგრამირების სურათი, რომ დაამატოთ PUF დანაყოფი QSPI ფლეშს. PUF-ის შექმნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 36

გამოხმაურების გაგზავნა

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23

სურათი 9.

მონაცემთა დანაყოფი და PUF დამხმარე მონაცემებისა და შეფუთული გასაღების გამოყენება files for flash image გენერირება არ არის მხარდაჭერილი პროგრამირების საშუალებით File გენერატორის ბრძანების ხაზის ინტერფეისი.
შემდეგი ნაბიჯები აჩვენებენ ფლეშ პროგრამირების სურათის შექმნას PUF დამხმარე მონაცემებით და შეფუთული გასაღებით:
1. ზე File მენიუში დააჭირეთ პროგრამირებას File გენერატორი. გამომავალზე Files tab გააკეთეთ შემდეგი არჩევანი:
ა. მოწყობილობის ოჯახისთვის აირჩიეთ Agilex 7.
ბ. კონფიგურაციის რეჟიმში აირჩიეთ Active Serial x4.
გ. For Output დირექტორია დაათვალიერეთ თქვენი გამომავალი file დირექტორია. ეს ყოფილიampის იყენებს გამომავალს_files.
დ. სახელისთვის, მიუთითეთ პროგრამირების სახელი file წარმოქმნილი. ეს ყოფილიampის იყენებს გამომავალს_file.
ე. აღწერაში აირჩიეთ პროგრამირება files გენერირება. ეს ყოფილიampლე წარმოქმნის ჯTAG არაპირდაპირი კონფიგურაცია File (.jic) მოწყობილობის კონფიგურაციისთვის და Raw Binary File პროგრამირების დამხმარე სურათის (.rbf) მოწყობილობის დამხმარე სურათისთვის. ეს ყოფილიample ასევე ირჩევს არასავალდებულო მეხსიერების რუკას File (.map) და Raw Programming Data File (.rpd). პროგრამირების ნედლეული მონაცემები file აუცილებელია მხოლოდ იმ შემთხვევაში, თუ სამომავლოდ აპირებთ მესამე მხარის პროგრამისტის გამოყენებას.
პროგრამირება File გენერატორი - გამომავალი Files Tab – აირჩიეთ JTAG არაპირდაპირი კონფიგურაცია

მოწყობილობის ოჯახის კონფიგურაციის რეჟიმი
გამომავალი file ჩანართი
გამომავალი დირექტორია
JTAG არაპირდაპირი (.jic) მეხსიერების რუკა File პროგრამირების დამხმარე ნედლეული პროგრამირების მონაცემები
შეყვანის შესახებ Files tab, გააკეთეთ შემდეგი არჩევანი: 1. დააწკაპუნეთ Add Bitstream და დაათვალიერეთ თქვენი .sof. 2. აირჩიეთ თქვენი .sof file და შემდეგ დააწკაპუნეთ თვისებები.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 37

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23
ა. ჩართეთ ხელმოწერის ინსტრუმენტის ჩართვა. ბ. პირადი გასაღებისთვის file აირჩიეთ თქვენი .pem file. გ. ჩართეთ დაშიფვრის დასრულება. დ. დაშიფვრის გასაღებისთვის file აირჩიეთ თქვენი .qek file. ე. დააწკაპუნეთ OK წინა ფანჯარაში დასაბრუნებლად. 3. თქვენი PUF დამხმარე მონაცემების დასაზუსტებლად file, დააწკაპუნეთ ნედლეულის დამატება. Შეცვალე Files ტიპის ჩამოსაშლელი მენიუ Quartus Physical Unclonable ფუნქცია File (*.პუფ). დაათვალიერეთ თქვენი .puf file. თუ იყენებთ ორივე IID PUF და UDS IID PUF, გაიმეორეთ ეს ნაბიჯი ისე, რომ .puf files თითოეული PUF-სთვის ემატება შეყვანის სახით fileს. 4. თქვენი შეფუთული AES გასაღების დასაზუსტებლად file, დააწკაპუნეთ ნედლეულის დამატება. Შეცვალე Files ტიპის ჩამოსაშლელი მენიუ Quartus Wrapped Key File (*.wkey). დაათვალიერეთ თქვენი .wkey file. თუ შეფუთული გაქვთ AES გასაღებები როგორც IID PUF, ასევე UDS IID PUF-ის გამოყენებით, გაიმეორეთ ეს ნაბიჯი ისე, რომ .wkey files თითოეული PUF-სთვის ემატება შეყვანის სახით files.
სურათი 10. მიუთითეთ შეყვანა Files კონფიგურაციის, ავთენტიფიკაციისა და დაშიფვრისთვის

დაამატეთ Bitstream დაამატეთ ნედლეული მონაცემები
თვისებები
პირადი გასაღები file
დაშიფვრის დასრულება დაშიფვრის გასაღები
კონფიგურაციის მოწყობილობის ჩანართზე გააკეთეთ შემდეგი არჩევანი: 1. დააწკაპუნეთ მოწყობილობის დამატებაზე და აირჩიეთ თქვენი ფლეშ მოწყობილობა ხელმისაწვდომი ფლეშის სიიდან.
მოწყობილობები. 2. აირჩიეთ კონფიგურაციის მოწყობილობა, რომელიც ახლახან დაამატეთ და დააწკაპუნეთ განყოფილების დამატებაზე. 3. შეყვანის დიალოგურ ფანჯარაში Edit Partition file და აირჩიეთ თქვენი .sof-დან
ჩამოსაშლელი სია. თქვენ შეგიძლიათ შეინარჩუნოთ ნაგულისხმევი პარამეტრები ან შეცვალოთ სხვა პარამეტრები დიალოგურ ფანჯარაში დანაყოფის რედაქტირება.

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 38

გამოხმაურების გაგზავნა

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23
სურათი 11. თქვენი .sof კონფიგურაციის Bitstream დანაყოფის მითითება

კონფიგურაციის მოწყობილობა
დანაყოფის რედაქტირება დამატება .sof file

დანაყოფის დამატება

4. როდესაც თქვენ დაამატებთ .puf და .wkey როგორც შეყვანა files, პროგრამირება File გენერატორი ავტომატურად ქმნის PUF დანაყოფს თქვენს კონფიგურაციის მოწყობილობაში. .puf და .wkey PUF დანაყოფში შესანახად აირჩიეთ PUF დანაყოფი და დააწკაპუნეთ Edit. დანაყოფის რედაქტირების დიალოგურ ფანჯარაში აირჩიეთ თქვენი .puf და .wkey files ჩამოსაშლელი სიებიდან. თუ ამოიღებთ PUF დანაყოფის, თქვენ უნდა წაშალოთ და ხელახლა დაამატოთ კონფიგურაციის მოწყობილობა პროგრამირებისთვის File გენერატორი სხვა PUF დანაყოფის შესაქმნელად. თქვენ უნდა დარწმუნდეთ, რომ აირჩიეთ სწორი .puf და .wkey file IID PUF და UDS IID PUF, შესაბამისად.
სურათი 12. დაამატეთ .puf და .wkey files PUF დანაყოფთან

PUF დანაყოფი

რედაქტირება

დანაყოფის რედაქტირება

Flash Loader

აირჩიეთ გენერირება

5. Flash Loader პარამეტრისთვის აირჩიეთ Intel Agilex 7 მოწყობილობის ოჯახი და მოწყობილობის სახელი, რომელიც შეესაბამება თქვენს Intel Agilex 7 OPN-ს.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 39

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23
6. დააწკაპუნეთ გენერირებაზე გამოსავლის გენერირებისთვის files, რომელიც თქვენ მიუთითეთ გამომავალზე Files ჩანართი.
7. პროგრამირება File გენერატორი კითხულობს თქვენს .qek file და მოგთხოვთ პაროლის ფრაზას. შეიყვანეთ თქვენი საიდუმლო ფრაზა Enter QEK პაროლის მოთხოვნის პასუხად. დააჭირეთ Enter ღილაკს.
8. დააწკაპუნეთ OK პროგრამირებისას File გენერატორი იტყობინება წარმატებულ თაობას.
თქვენ იყენებთ Intel Quartus Prime Programmer-ს QSPI პროგრამირების სურათის QSPI ფლეშ მეხსიერებაში ჩასაწერად. 1. Intel Quartus Prime Tools მენიუში აირჩიეთ პროგრამისტი. 2. პროგრამისტში დააწკაპუნეთ Hardware Setup და შემდეგ აირჩიეთ დაკავშირებული Intel
FPGA ჩამოტვირთვის კაბელი. 3. დააწკაპუნეთ დამატება File და დაათვალიერეთ თქვენი .jic file.
სურათი 13. პროგრამა .jic

პროგრამირება file

პროგრამა/კონფიგურაცია

JTAG სკანირების ჯაჭვი
4. მოხსენით ველი, რომელიც დაკავშირებულია დამხმარე სურათთან. 5. აირჩიეთ პროგრამა/კონფიგურაცია .jic გამოსავალზე file. 6. ჩართეთ Start ღილაკი თქვენი Quad SPI ფლეშ მეხსიერების დასაპროგრამებლად. 7. დენის ციკლი თქვენი დაფა. დიზაინი დაპროგრამებულია Quad SPI ფლეშ მეხსიერებაზე
მოწყობილობა შემდგომში იტვირთება სამიზნე FPGA-ში.
თქვენ უნდა შექმნათ და დაპროგრამოთ მთლიანი ფლეშ პროგრამირების სურათი, რომ დაამატოთ PUF დანაყოფი Quad SPI ფლეშში.
როდესაც PUF დანაყოფი უკვე არსებობს ფლეშში, შესაძლებელია გამოვიყენოთ Intel Quartus Prime Programmer პირდაპირ წვდომისათვის PUF დამხმარე მონაცემებსა და შეფუთულ გასაღებზე. fileს. მაგampთუ აქტივაცია წარუმატებელია, შესაძლებელია PUF-ის ხელახლა ჩაწერა, AES გასაღების ხელახლა გადახვევა და შემდგომში მხოლოდ PUF-ის დაპროგრამება. files მთელი ფლეშის გადაწერის გარეშე.

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 40

გამოხმაურების გაგზავნა

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23
Intel Quartus Prime Programmer მხარს უჭერს შემდეგი ოპერაციის არგუმენტს PUF-სთვის files უკვე არსებულ PUF დანაყოფში:
· p: პროგრამა
· v: გადამოწმება
· r: წაშლა
· ბ: ცარიელი ჩეკი
თქვენ უნდა დაიცვათ იგივე შეზღუდვები PUF-ის ჩარიცხვისთვის, მაშინაც კი, თუ PUF დანაყოფი არსებობს.
1. გამოიყენეთ i ოპერაციის არგუმენტი, რომ ჩატვირთოთ პროგრამული უზრუნველყოფის დამხმარე სურათი პირველი ოპერაციისთვის. მაგampშემდეგ ბრძანებების თანმიმდევრობა ხელახლა ირიცხება PUF-ს, ხელახლა გადაახვევს AES root კლავიშს, წაშლის ძველი PUF დამხმარე მონაცემების და შეფუთული გასაღების, შემდეგ დაპროგრამება და გადამოწმების ახალი PUF დამხმარე მონაცემები და AES root გასაღები.
quartus_pgm -c 1 -mjtag -o "ei;new.puf;AGFB014R24A" quartus_pgm -c 1 -mjtag – სერტიფიკატი_file=signed_aes.ccert -o "e;new.wkey;AGFB014R24A" quartus_pgm -c 1 -mjtag -o “r; ძველი.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o „v;new.wkey“
4.9.2.4. შიდა ID PUF აქტივაციის სტატუსის მოთხოვნა
მას შემდეგ, რაც დარეგისტრირდებით Intrinsic ID PUF-ზე, შეფუთეთ AES კლავიში, შექმენით ფლეშ პროგრამირება files, და განაახლეთ ოთხკუთხა SPI ფლეშ, თქვენ ჩართეთ თქვენი მოწყობილობის ციკლი, რათა გამოიწვიოს PUF-ის გააქტიურება და კონფიგურაცია დაშიფრული ბიტის ნაკადიდან. SDM აცნობებს PUF-ის გააქტიურების სტატუსს კონფიგურაციის სტატუსთან ერთად. თუ PUF გააქტიურება ვერ მოხერხდა, SDM ამის ნაცვლად აცნობებს PUF შეცდომის სტატუსს. გამოიყენეთ quartus_pgm ბრძანება კონფიგურაციის სტატუსის დასადგენად.
1. გამოიყენეთ შემდეგი ბრძანება აქტივაციის სტატუსის დასადგენად:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
აქ არის სampგამომავალი წარმატებული გააქტიურებიდან:
ინფორმაცია (21597): CONFIG_STATUS მოწყობილობის პასუხი მუშაობს მომხმარებლის რეჟიმში.
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 შეცდომის ადგილმდებარეობა 00000000 შეცდომის დეტალები პასუხი: PUF00002000 2 USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 41

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23

თუ თქვენ იყენებთ მხოლოდ IID PUF-ს ან UDS IID PUF-ს და არ გაქვთ დაპროგრამებული დამხმარე მონაცემები .puf file ნებისმიერი PUF-ისთვის QSPI ფლეშში, ეს PUF არ გააქტიურდება და PUF სტატუსი ასახავს, რომ PUF დამხმარე მონაცემები არასწორია. შემდეგი ყოფილიample აჩვენებს PUF სტატუსს, როდესაც PUF დამხმარე მონაცემები არ იყო დაპროგრამებული არც ერთი PUF-სთვის:
PUF_STATUS-ის პასუხი 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. PUF-ის მდებარეობა Flash მეხსიერებაში
PUF-ის მდებარეობა file განსხვავებულია დიზაინებისთვის, რომლებიც მხარს უჭერენ RSU-ს და დიზაინებს, რომლებიც არ უჭერენ მხარს RSU ფუნქციას.

დიზაინისთვის, რომელიც არ უჭერს მხარს RSU-ს, თქვენ უნდა შეიყვანოთ .puf და .wkey fileროდესაც თქვენ ქმნით განახლებულ ფლეშ სურათებს. დიზაინისთვის, რომლებიც მხარს უჭერენ RSU-ს, SDM არ გადაწერს PUF მონაცემთა სექციებს ქარხნის ან აპლიკაციის გამოსახულების განახლების დროს.

ცხრილი 2.

Flash Sub-Partitions განლაგება RSU მხარდაჭერის გარეშე

Flash Offset (ბაიტებში)

ზომა (ბაიტებში)

შინაარსი

აღწერა

0K 256K

256K 256K

კონფიგურაციის მართვის Firmware კონფიგურაციის მართვის Firmware

Firmware, რომელიც მუშაობს SDM-ზე.

512 ათასი

256 ათასი

კონფიგურაციის მართვის Firmware

768 ათასი

256 ათასი

კონფიგურაციის მართვის Firmware

32 ათასი

PUF მონაცემების ასლი 0

მონაცემთა სტრუქტურა PUF დამხმარე მონაცემების შესანახად და PUF-ით შეფუთული AES ძირეული გასაღების ასლი 0

1M+32K

32 ათასი

PUF მონაცემების ასლი 1

მონაცემთა სტრუქტურა PUF დამხმარე მონაცემების შესანახად და PUF-ით შეფუთული AES ძირეული გასაღების ასლი 1

ცხრილი 3.

Flash Sub-Partitions განლაგება RSU მხარდაჭერით

Flash Offset (ბაიტებში)

ზომა (ბაიტებში)

შინაარსი

აღწერა

0K 512K

512K 512K

გადაწყვეტილების firmware გადაწყვეტილების firmware

პროგრამული უზრუნველყოფა უმაღლესი პრიორიტეტული სურათის იდენტიფიცირებისთვის და ჩატვირთვისთვის.

1M 1.5

512K 512K

გადაწყვეტილების firmware გადაწყვეტილების firmware

8K + 24K

გადაწყვეტილების firmware მონაცემები

ბალიშები

დაცულია გადაწყვეტილების firmware გამოყენებისთვის.

2M + 32K

32 ათასი

დაცულია SDM-სთვის

დაცულია SDM-სთვის.

2M + 64K

ცვლადი

ქარხნის სურათი

მარტივი სურათი, რომელსაც ქმნით სარეზერვო ასლის სახით, თუ აპლიკაციის ყველა სხვა სურათი ვერ იტვირთება. ეს სურათი მოიცავს CMF-ს, რომელიც მუშაობს SDM-ზე.

შემდეგი

32 ათასი

PUF მონაცემების ასლი 0

მონაცემთა სტრუქტურა PUF დამხმარე მონაცემების შესანახად და PUF-ით შეფუთული AES ძირეული გასაღების ასლი 0
განაგრძო…

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 42

გამოხმაურების გაგზავნა

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23

Flash Offset (ბაიტებში)

ზომა (ბაიტებში)

შემდეგი +32K 32K

შინაარსი PUF მონაცემების ასლი 1

შემდეგი + 256K 4K შემდეგი +32K 4K შემდეგი +32K 4K

ქვეგანყოფილების ცხრილის ასლი 0 ქვედანაყოფის ცხრილის ასლი 1 CMF მაჩვენებლის ბლოკის ასლი 0

შემდეგი +32K _

CMF მაჩვენებლის ბლოკის ასლი 1

ცვლადი ცვლადი

განაცხადის სურათი 1 განაცხადის სურათი 2

4.9.3. შავი გასაღების უზრუნველყოფა

აღწერა
მონაცემთა სტრუქტურა PUF დამხმარე მონაცემების შესანახად და PUF-ით შეფუთული AES ძირეული გასაღების ასლი 1
მონაცემთა სტრუქტურა ფლეშ მეხსიერების მართვის გასაადვილებლად.
აპლიკაციის სურათების მითითებების სია პრიორიტეტის მიხედვით. როდესაც თქვენ დაამატებთ სურათს, ეს სურათი ხდება უმაღლესი.
განაცხადის სურათების მითითებების სიის მეორე ასლი.
თქვენი პირველი განაცხადის სურათი.
თქვენი მეორე განაცხადის სურათი.

შენიშვნა:

Intel Quartus PrimeProgrammer ეხმარება ორმხრივად დამოწმებული უსაფრთხო კავშირის დამყარებაში Intel Agilex 7 მოწყობილობასა და შავი გასაღების მიწოდების სერვისს შორის. უსაფრთხო კავშირი დამყარებულია https-ის საშუალებით და მოითხოვს ტექსტის გამოყენებით იდენტიფიცირებულ რამდენიმე სერტიფიკატს file.
Black Key Provisioning-ის გამოყენებისას, Intel გირჩევთ, რომ თავიდან აიცილოთ TCK პინის გარე დაკავშირება რეზისტორის ზემოთ ან ჩამოსაწევად, სანამ ჯერ კიდევ იყენებთ მას J-ისთვის.TAG. თუმცა, თქვენ შეგიძლიათ დაუკავშიროთ TCK პინი VCCIO SDM კვების წყაროს 10 კ რეზისტორის გამოყენებით. არსებული მითითებები Pin Connection Guidelines-ში TCK-ის 1 k ჩამოსაშლელ რეზისტორთან დასაკავშირებლად შედის ხმაურის ჩახშობისთვის. 10 კ აწევის რეზისტორზე მითითებების ცვლილება არ იმოქმედებს მოწყობილობაზე ფუნქციონალურად. TCK პინის დაკავშირების შესახებ დამატებითი ინფორმაციისთვის იხილეთ Intel Agilex 7 Pin Connection Guidelines.
Thebkp_tls_ca_certcertificate ამოწმებს თქვენი შავი გასაღების უზრუნველყოფის სერვისის მაგალითს თქვენი შავი გასაღების უზრუნველყოფის პროგრამისტის მაგალითზე. Thebkp_tls_* სერთიფიკატები ავთენტიფიკაციას ახდენენ თქვენი შავი გასაღების უზრუნველყოფის პროგრამისტის მაგალითზე თქვენი შავი გასაღების უზრუნველყოფის სერვისის მაგალითზე.
თქვენ ქმნით ტექსტს file რომელიც შეიცავს საჭირო ინფორმაციას Intel Quartus Prime პროგრამისტისთვის შავი გასაღების მიწოდების სერვისთან დასაკავშირებლად. შავი კლავიშის უზრუნველყოფის დასაწყებად, გამოიყენეთ პროგრამისტის ბრძანების ხაზის ინტერფეისი, რათა მიუთითოთ შავი გასაღების უზრუნველყოფის პარამეტრების ტექსტი file. შავი კლავიშის მიწოდება ავტომატურად მიმდინარეობს. შავი გასაღების მიწოდების სერვისზე და მასთან დაკავშირებულ დოკუმენტაციაზე წვდომისთვის, გთხოვთ, დაუკავშირდეთ Intel-ის მხარდაჭერას.
თქვენ შეგიძლიათ ჩართოთ შავი გასაღების უზრუნველყოფა thequartus_pgmcommand-ის გამოყენებით:
კვარტუსი_პგმ -გ -მ - მოწყობილობა –bkp_options=bkp_options.txt
ბრძანების არგუმენტები მიუთითებს შემდეგ ინფორმაციას:

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 43

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23

· -c: კაბელის ნომერი · -m: განსაზღვრავს პროგრამირების რეჟიმს, როგორიცაა JTAG · –device: განსაზღვრავს მოწყობილობის ინდექსს JTAG ჯაჭვი. ნაგულისხმევი მნიშვნელობა არის 1. · –bkp_options: განსაზღვრავს ტექსტს file შეიცავს შავი გასაღების უზრუნველყოფის ვარიანტებს.
დაკავშირებული ინფორმაცია Intel Agilex 7 Device Family Pin Connection Guidelines

4.9.3.1. შავი გასაღების უზრუნველყოფის პარამეტრები
შავი გასაღების უზრუნველყოფის ვარიანტები არის ტექსტი file გადაეცა პროგრამისტს quartus_pgm ბრძანების მეშვეობით. The file შეიცავს საჭირო ინფორმაციას შავი გასაღების უზრუნველყოფის გასააქტიურებლად.
შემდეგი არის ყოფილიampbkp_options.txt-დან file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = bkp_key.pem_1234bk მისამართი = https://192.167.5.5:5000 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

ცხრილი 4.

შავი გასაღების უზრუნველყოფის პარამეტრები
ეს ცხრილი აჩვენებს შავი გასაღების უზრუნველყოფის გასააქტიურებლად საჭირო ვარიანტებს.

ვარიანტის სახელი

ტიპი

აღწერა

bkp_ip

საჭირო

განსაზღვრავს სერვერის IP მისამართს, რომელიც მუშაობს შავი გასაღების მიწოდების სერვისით.

bkp_port

საჭირო

განსაზღვრავს შავი გასაღების უზრუნველყოფის სერვისის პორტს, რომელიც საჭიროა სერვერთან დასაკავშირებლად.

bkp_cfg_id

საჭირო

განსაზღვრავს შავი გასაღების უზრუნველყოფის კონფიგურაციის ნაკადის ID-ს.
შავი გასაღების უზრუნველყოფის სერვისი ქმნის შავი გასაღების უზრუნველყოფის კონფიგურაციის ნაკადებს, მათ შორის AES root გასაღები, სასურველი eFuse პარამეტრები და შავი გასაღების უზრუნველყოფის ავტორიზაციის სხვა ვარიანტები. შავი გასაღების მიწოდების სერვისის დაყენებისას მინიჭებული ნომერი განსაზღვრავს შავი გასაღების უზრუნველყოფის კონფიგურაციის ნაკადებს.
შენიშვნა: მრავალი მოწყობილობა შეიძლება ეხებოდეს იმავე შავი გასაღების მიწოდების სერვისის კონფიგურაციის ნაკადს.

bkp_tls_ca_cert

საჭირო

root TLS სერთიფიკატი გამოიყენება Intel Quartus Prime პროგრამისტის (პროგრამისტის) შავი გასაღების მიწოდების სერვისების იდენტიფიცირებისთვის. სანდო სერტიფიკატის ორგანო შავი გასაღების მიწოდების სერვისის ინსტანციისთვის გასცემს ამ სერტიფიკატს.
თუ პროგრამისტს აწარმოებთ კომპიუტერზე Microsoft® Windows® ოპერაციული სისტემით (Windows), თქვენ უნდა დააინსტალიროთ ეს სერტიფიკატი Windows სერტიფიკატების მაღაზიაში.

bkp_tls_prog_cert

საჭირო

შავი გასაღების უზრუნველყოფის პროგრამისტის (BKP Programmer) მაგალითისთვის შექმნილი სერთიფიკატი. ეს არის https კლიენტის სერთიფიკატი, რომელიც გამოიყენება BKP პროგრამისტის ინსტანციის იდენტიფიცირებისთვის
განაგრძო…

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 44

გამოხმაურების გაგზავნა

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23

ვარიანტის სახელი

ტიპი

bkp_tls_prog_key

საჭირო

bkp_tls_prog_key_pass არასავალდებულო

bkp_proxy_address bkp_proxy_user bkp_proxy_password

სურვილისამებრ არჩევითი სურვილისამებრ

აღწერა
შავი გასაღების მიწოდების სერვისს. თქვენ უნდა დააინსტალიროთ და დაამტკიცოთ ეს სერტიფიკატი შავი გასაღების უზრუნველყოფის სერვისში, სანამ დაიწყებთ შავი გასაღების უზრუნველყოფის სესიას. თუ პროგრამისტს აწარმოებთ Windows-ზე, ეს პარამეტრი მიუწვდომელია. ამ შემთხვევაში, bkp_tls_prog_key უკვე შეიცავს ამ სერტიფიკატს.
პირადი გასაღები, რომელიც შეესაბამება BKP პროგრამისტის სერთიფიკატს. გასაღები ადასტურებს BKP პროგრამისტის ინსტანციის იდენტურობას შავი გასაღების მიწოდების სერვისში. თუ პროგრამისტს აწარმოებთ Windows-ზე, .pfx file აერთიანებს bkp_tls_prog_cert სერტიფიკატსა და პირად გასაღებს. bkp_tlx_prog_key ოფცია გადის .pfx-ს file bkp_options.txt-ში file.
bkp_tls_prog_key პირადი გასაღების პაროლი. არ არის საჭირო შავი გასაღების კონფიგურაციის პარამეტრების (bkp_options.txt) ტექსტში file.
განსაზღვრავს პროქსი სერვერს URL მისამართი.
განსაზღვრავს პროქსი სერვერის მომხმარებლის სახელს.
განსაზღვრავს პროქსის ავტორიზაციის პაროლს.

4.10. მფლობელის ძირითადი გასაღების, AES ძირეული გასაღების სერთიფიკატების და დაუკრავის კონვერტაცია files-მდე Jam STAPL File ფორმატები

თქვენ შეგიძლიათ გამოიყენოთ quartus_pfg ბრძანების ხაზის ბრძანება .qky, AES root გასაღები .ccert და .fuse კონვერტაციისთვის files-დან Jam STAPL ფორმატში File (.jam) და Jam Byte Code Format File (.jbc). თქვენ შეგიძლიათ გამოიყენოთ ეს files დაპროგრამება Intel FPGA-ების შესაბამისად Jam STAPL Player და Jam STAPL Byte-Code Player-ის გამოყენებით.

ერთი .jam ან .jbc შეიცავს რამდენიმე ფუნქციას, მათ შორის პროგრამული უზრუნველყოფის დამხმარე გამოსახულების კონფიგურაციას და პროგრამას, ცარიელი შემოწმებას და კლავიშებისა და ფიუერის პროგრამირების შემოწმებას.

სიფრთხილე:

როდესაც თქვენ გადაიყვანთ AES root კლავიშს .ccert file .jam ფორმატში, .jam file შეიცავს AES გასაღებს უბრალო ტექსტში, მაგრამ ბუნდოვანი ფორმით. შესაბამისად, თქვენ უნდა დაიცვათ ჯემი file AES გასაღების შენახვისას. ამის გაკეთება შეგიძლიათ უსაფრთხო გარემოში AES გასაღების მიწოდებით.

აქ არიან ყოფილიampquartus_pfg კონვერტაციის ბრძანებები:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.quarqey;root2.pgky c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGF_Fuarse.pfg er_device=AGFB014R24A პარამეტრები. დაუკრავენ settings_fuse.jbc

მოწყობილობის პროგრამირებისთვის Jam STAPL Player-ის გამოყენების შესახებ დამატებითი ინფორმაციისთვის იხილეთ AN 425: ბრძანების ხაზის Jam STAPL გადაწყვეტის გამოყენება მოწყობილობის პროგრამირებისთვის.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 45

4. მოწყობილობის უზრუნველყოფა 683823 | 2023.05.23
შეასრულეთ შემდეგი ბრძანებები მფლობელის root საჯარო გასაღების და AES დაშიფვრის გასაღების დასაპროგრამებლად:
// დამხმარე ბიტტრიმი FPGA-ში ჩასატვირთად. // დამხმარე ბიტის ნაკადი მოიცავს უზრუნველყოფის firmware quartus_jli -c 1 -a CONFIGURE RootKey.jam
//მფლობელის root საჯარო გასაღების დაპროგრამება ვირტუალურ eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//მფლობელის root საჯარო გასაღების დაპროგრამება ფიზიკურ eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//PR მფლობელის root საჯარო გასაღების დაპროგრამება ვირტუალურ eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//PR მფლობელის root საჯარო გასაღების დაპროგრამება ფიზიკურ eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//AES დაშიფვრის გასაღების CCERT დაპროგრამება BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//AES დაშიფვრის გასაღების CCERT დაპროგრამება ფიზიკურ eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
დაკავშირებული ინფორმაცია AN 425: ბრძანების ხაზის Jam STAPL გადაწყვეტის გამოყენება მოწყობილობის პროგრამირებისთვის

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 46

გამოხმაურების გაგზავნა

683823 | 2023.05.23 გამოხმაურების გაგზავნა

გაფართოებული ფუნქციები

5.1. უსაფრთხო გამართვის ავტორიზაცია
უსაფრთხო გამართვის ავტორიზაციის ჩასართავად, გამართვის მფლობელმა უნდა შექმნას ავთენტიფიკაციის გასაღების წყვილი და გამოიყენოს Intel Quartus Prime Pro პროგრამისტი მოწყობილობის ინფორმაციის შესაქმნელად. file მოწყობილობისთვის, რომელიც აწარმოებს გამართვის სურათს:
quartus_pgm -c 1 -mjtag -o "ei;device_info.txt;AGFB014R24A" –dev_info
მოწყობილობის მფლობელი იყენებს quartus_sign ინსტრუმენტს ან მითითების განხორციელებას პირობითი საჯარო გასაღების ჩანაწერის დასამატებლად ხელმოწერის ჯაჭვში, რომელიც განკუთვნილია გამართვის ოპერაციებისთვის, გამართვის მფლობელის საჯარო გასაღების, საჭირო ავტორიზაციის, მოწყობილობის ინფორმაციის ტექსტის გამოყენებით. fileდა მოქმედი შემდგომი შეზღუდვები:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″,XNUMX, debug_authorization_public_key.pem safe_debug_auth_chain.qky
მოწყობილობის მფლობელი აგზავნის ხელმოწერის სრულ ჯაჭვს უკან გამართვის მფლობელს, რომელიც იყენებს ხელმოწერის ჯაჭვს და მის პირად კლავიშს გამართვის სურათზე ხელმოწერისთვის:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
თქვენ შეგიძლიათ გამოიყენოთ quartus_pfg ბრძანება, რათა შეამოწმოთ ხელმოწერის ჯაჭვი ამ ხელმოწერილი უსაფრთხო გამართვის ბიტტრიმის ყოველი სექციის შემდეგნაირად:
quartus_pfg –check_integrity authorized_debug_design.rbf
ამ ბრძანების გამომავალი ბეჭდავს პირობითი საჯარო გასაღების შეზღუდვის მნიშვნელობებს 1,2,17,18, რომელიც გამოიყენებოდა ხელმოწერილი ბიტის გენერირებისთვის.
გამართვის მფლობელს შეუძლია დაპროგრამდეს უსაფრთხოდ ავტორიზებული გამართვის დიზაინი:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
მოწყობილობის მფლობელს შეუძლია გააუქმოს უსაფრთხო გამართვის ავტორიზაცია, გააუქმოს მკაფიო გასაღების გაუქმების ID, რომელიც მინიჭებულია უსაფრთხო გამართვის ავტორიზაციის ხელმოწერის ჯაჭვში.
5.2. HPS გამართვის სერთიფიკატები
მხოლოდ ავტორიზებული წვდომის ჩართვა HPS გამართვის წვდომის პორტზე (DAP) J-ის მეშვეობითTAG ინტერფეისი მოითხოვს რამდენიმე ნაბიჯს:

ISO 9001:2015 რეგისტრირებულია

5. დამატებითი ფუნქციები 683823 | 2023.05.23
1. დააწკაპუნეთ Intel Quartus Prime Software Assignments მენიუზე და აირჩიეთ Device Device and Pin Options Configuration ჩანართი.
2. კონფიგურაციის ჩანართში ჩართეთ HPS გამართვის წვდომის პორტი (DAP) ჩამოსაშლელი მენიუდან HPS-ის ან SDM ქინძისთავების არჩევით და დარწმუნდით, რომ არ არის არჩეული ჩამრთველი HPS-ის გამართვის ნება სერთიფიკატების გარეშე.
სურათი 14. მიუთითეთ ან HPS ან SDM პინები HPS DAP-ისთვის

HPS გამართვის წვდომის პორტი (DAP)
ალტერნატიულად, შეგიძლიათ დააყენოთ ქვემოთ მოცემული დავალება Quartus Prime Settings-ში .qsf file:
set_global_assignment -სახელი HPS_DAP_SPLIT_MODE „SDM PINS“
3. შეადგინეთ და ჩატვირთეთ დიზაინი ამ პარამეტრებით. 4. შექმენით ხელმოწერის ჯაჭვი შესაბამისი ნებართვით HPS გამართვის ხელმოწერისთვის
სერტიფიკატი:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_chaint.
5. მოითხოვეთ ხელმოუწერელი HPS გამართვის სერტიფიკატი მოწყობილობიდან, სადაც ჩატვირთულია გამართვის დიზაინი:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. ხელი მოაწერეთ ხელმოუწერელ HPS-ის გამართვის სერტიფიკატს quartus_sign ინსტრუმენტის ან მითითების განხორციელებისა და HPS გამართვის ხელმოწერის ჯაჭვის გამოყენებით:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 48

გამოხმაურების გაგზავნა

5. დამატებითი ფუნქციები 683823 | 2023.05.23
7. ხელმოწერილი HPS გამართვის სერტიფიკატი გაუგზავნეთ მოწყობილობას, რათა ჩართოთ წვდომა HPS გამართვის წვდომის პორტზე (DAP):
quartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
HPS-ის გამართვის სერთიფიკატი მოქმედებს მხოლოდ მისი გენერირების მომენტიდან მოწყობილობის მომდევნო კვების ციკლამდე ან SDM firmware-ის სხვა ტიპის ან ვერსიის ჩატვირთვამდე. თქვენ უნდა შექმნათ, მოაწეროთ ხელმოწერა და დაპროგრამოთ ხელმოწერილი HPS გამართვის სერტიფიკატი და შეასრულოთ გამართვის ყველა ოპერაცია, სანამ მოწყობილობას ელექტროენერგიის ციკლით ჩართავთ. თქვენ შეგიძლიათ გააუქმოთ ხელმოწერილი HPS გამართვის სერტიფიკატი მოწყობილობის დენის ციკლით.
5.3. პლატფორმის ატესტაცია
თქვენ შეგიძლიათ შექმნათ მიმართვის მთლიანობის მანიფესტი (.rim) file პროგრამირების გამოყენებით file გენერატორი ინსტრუმენტი:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
მიჰყევით ამ ნაბიჯებს, რათა უზრუნველყოთ პლატფორმის ატესტაცია თქვენს დიზაინში: 1. გამოიყენეთ Intel Quartus Prime Pro პროგრამისტი თქვენი მოწყობილობის კონფიგურაციისთვის
დიზაინი, რომლისთვისაც შექმენით საცნობარო მთლიანობის მანიფესტი. 2. გამოიყენეთ პლატფორმის ატესტაციის დამადასტურებელი მოწყობილობის დასარეგისტრირებლად ბრძანებების გაცემით
SDM SDM საფოსტო ყუთის მეშვეობით, რათა შეიქმნას მოწყობილობის ID სერთიფიკატი და პროგრამული უზრუნველყოფის სერთიფიკატი გადატვირთვისას. 3. გამოიყენეთ Intel Quartus Prime Pro პროგრამისტი თქვენი მოწყობილობის დიზაინის ხელახლა კონფიგურაციისთვის. 4. გამოიყენეთ პლატფორმის ატესტაციის დამადასტურებელი, რათა გასცეთ ბრძანებები SDM-ზე, რათა მიიღოთ ატესტაციის მოწყობილობის ID, პროგრამული უზრუნველყოფა და ალიას სერთიფიკატები. 5. გამოიყენეთ ატესტაციის შემმოწმებელი SDM საფოსტო ყუთის ბრძანების გასაცემად, რათა მიიღოთ ატესტაციის მტკიცებულება, ხოლო გადამმოწმებელი ამოწმებს დაბრუნებულ მტკიცებულებებს.
თქვენ შეგიძლიათ განახორციელოთ საკუთარი დამადასტურებელი სერვისი SDM საფოსტო ყუთის ბრძანებების გამოყენებით, ან გამოიყენოთ Intel პლატფორმის ატესტაციის დამადასტურებელი სერვისი. Intel-ის პლატფორმის ატესტაციის დამადასტურებელი სერვისის პროგრამული უზრუნველყოფის, ხელმისაწვდომობისა და დოკუმენტაციის შესახებ დამატებითი ინფორმაციისთვის დაუკავშირდით Intel-ის მხარდაჭერას.
დაკავშირებული ინფორმაცია Intel Agilex 7 Device Family Pin Connection Guidelines
5.4. ფიზიკური ანტი-Tamper
თქვენ ჩართავთ ფიზიკურ ანტი-ტamper მახასიათებლები შემდეგი ნაბიჯების გამოყენებით: 1. სასურველი პასუხის არჩევა აღმოჩენილ ტamper მოვლენა 2. სასურველი t-ის კონფიგურაციაamper გამოვლენის მეთოდები და პარამეტრები 3. ანტი-t-ის ჩათვლითamper IP თქვენი დიზაინის ლოგიკაში, რომელიც დაგეხმარებათ ანტი-t-ის მართვაშიamper
მოვლენები

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 49

5. დამატებითი ფუნქციები 683823 | 2023.05.23
5.4.1. ანტი-ტamper პასუხები
თქვენ ჩართავთ ფიზიკურ ანტი-ტampან ანტი-t-დან პასუხის არჩევითampპასუხი: ჩამოსაშლელი სია Assignments Device Device and Pin Options Security Anti-Tamper ჩანართი. ნაგულისხმევად, ანტი-tampპასუხი გამორთულია. ანტი-ტ-ის ხუთი კატეგორიაampპასუხი ხელმისაწვდომია. როდესაც თქვენ ირჩევთ სასურველ პასუხს, ჩართულია ამოცნობის ერთი ან მეტი მეთოდის ჩართვის ვარიანტები.
სურათი 15. ხელმისაწვდომი Anti-Tampპასუხის ვარიანტები

შესაბამისი დავალება Quartus Prime პარამეტრებში .gsf file არის შემდეგი:
set_global_assignment -სახელი ANTI_TAMPER_RESPONSE „შეტყობინება მოწყობილობის გასუფთავება მოწყობილობის დაბლოკვა და ZEROIZATION“
როცა ჩართავთ ანტი-tampსაპასუხოდ, თქვენ შეგიძლიათ აირჩიოთ ორი ხელმისაწვდომი SDM გამოყოფილი I/O პინი t-ის გამოსატანადampმოვლენის აღმოჩენის და პასუხის სტატუსის გამოყენებით Assignments Device Device and Pin Options Configuration Configuration Pin Options ფანჯარა.

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 50

გამოხმაურების გაგზავნა

5. დამატებითი ფუნქციები 683823 | 2023.05.23
სურათი 16. ხელმისაწვდომი SDM გამოყოფილი I/O პინები T-სთვისamper მოვლენის გამოვლენა

თქვენ ასევე შეგიძლიათ გააკეთოთ შემდეგი ქინძისთავები პარამეტრებში file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. ანტი-ტamper გამოვლენა

თქვენ შეგიძლიათ ინდივიდუალურად ჩართოთ სიხშირე, ტემპერატურა და მოცულობაtagSDM-ის გამოვლენის მახასიათებლები. FPGA გამოვლენა დამოკიდებულია Anti-T-ის ჩათვლითamper Lite Intel FPGA IP თქვენს დიზაინში.

შენიშვნა:

SDM სიხშირე და მოცtagდა ა.შampაღმოჩენის მეთოდები დამოკიდებულია შიდა მითითებებზე და გაზომვის აპარატურაზე, რომელიც შეიძლება განსხვავდებოდეს მოწყობილობებში. Intel გირჩევთ დაახასიათოთ ქცევა ტampაღმოჩენის პარამეტრები.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 51

5. დამატებითი ფუნქციები 683823 | 2023.05.23
სიხშირე ტamper გამოვლენა მუშაობს კონფიგურაციის საათის წყაროზე. სიხშირის გასააქტიურებლად ტampაღმოჩენის შემთხვევაში, თქვენ უნდა მიუთითოთ სხვა ვარიანტი, გარდა შიდა ოსცილატორისა, კონფიგურაციის საათის წყაროს ჩამოსაშლელ სიაში Assignments Device Device and Pin Options General ჩანართზე. სიხშირის t ჩართვამდე უნდა დარწმუნდეთ, რომ ჩართულია შიდა ოსცილატორიდან CPU-ის კონფიგურაციის გაშვებაampერ გამოვლენა. სურათი 17. SDM-ის დაყენება შიდა ოსცილატორზე
სიხშირის გასააქტიურებლად ტampაღმოჩენის შემთხვევაში, აირჩიეთ სიხშირის ჩართვა tamper detection checkbox და აირჩიეთ სასურველი სიხშირე tampაღმოჩენის დიაპაზონი ჩამოსაშლელი მენიუდან. სურათი 18. სიხშირის ჩართვა Tamper გამოვლენა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 52

გამოხმაურების გაგზავნა

5. დამატებითი ფუნქციები 683823 | 2023.05.23
ალტერნატიულად, შეგიძლიათ ჩართოთ სიხშირე Tamper გამოვლენა Quartus Prime პარამეტრებში შემდეგი ცვლილებების შეტანით .qsf file:
set_global_assignment -სახელი AUTO_RESTART_CONFIGURATION OFF კომპლექტი_გლობალური_დავალება -სახელი DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -სახელი RUN_CONFIG_CPU_FROM_INT_OSC ON კომპლექტი_სახელიQUEYNCAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
ტემპერატურის გასააქტიურებლად ტampაღმოჩენის შემთხვევაში, აირჩიეთ ტემპერატურის ჩართვა tamper detection checkbox და აირჩიეთ სასურველი ტემპერატურის ზედა და ქვედა საზღვრები შესაბამის ველებში. ზედა და ქვედა საზღვრები ნაგულისხმევად ივსება შესაბამისი ტემპერატურის დიაპაზონით დიზაინში არჩეული მოწყობილობისთვის.
ჩასართავად ტtagდა ა.შampაღმოჩენის შემთხვევაში, თქვენ ირჩევთ ერთს ან ორივეს Enable VCCL voltagდა ა.შampაღმოჩენის ან Enable VCCL_SDM voltagდა ა.შamper detection checkboxes და აირჩიეთ სასურველი Voltagდა ა.შampგამოვლენის გამომწვევი პროცენტიtagე შესაბამის ველში.
სურათი 19. ჩართვა ტtagდა თamper გამოვლენა

ალტერნატიულად, შეგიძლიათ ჩართოთ Voltagდა თamper გამოვლენა .qsf-ში შემდეგი დავალებების მითითებით file:
set_global_assignment -სახელი ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 ნაკრები_გლობალური_დავალება -სახელი ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON ნაკრები_გლობალური_დავალება -სახელი ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ჩართულია
5.4.3. ანტი-ტampარის Lite Intel FPGA IP
ანტი-Tamper Lite Intel FPGA IP, ხელმისაწვდომია IP კატალოგში Intel Quartus Prime Pro Edition პროგრამული უზრუნველყოფაში, ხელს უწყობს ორმხრივ კომუნიკაციას თქვენს დიზაინსა და SDM-ს შორის.amper მოვლენები.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 53

სურათი 20. ანტი-Tampარის Lite Intel FPGA IP

5. დამატებითი ფუნქციები 683823 | 2023.05.23

IP უზრუნველყოფს შემდეგ სიგნალებს, რომლითაც თქვენ აკავშირებთ თქვენს დიზაინს საჭიროებისამებრ:

ცხრილი 5.

ანტი- Tampარის Lite Intel FPGA IP I/O სიგნალები

სიგნალის სახელი

მიმართულება

აღწერა

gpo_sdm_at_event gpi_fpga_at_event

გამოყვანის შეყვანა

SDM სიგნალი FPGA ქსოვილის ლოგიკაზე, რომელიც SDM-მა აღმოაჩინაamper მოვლენა. FPGA ლოგიკას აქვს დაახლოებით 5 ms, რათა შეასრულოს ნებისმიერი სასურველი გაწმენდა და უპასუხოს SDM-ს gpi_fpga_at_response_done და gpi_fpga_at_zeroization_done მეშვეობით. SDM აგრძელებს tampპასუხის მოქმედებები, როდესაც gpi_fpga_at_response_done არის დადასტურებული ან მას შემდეგ, რაც პასუხი არ მიიღება დანიშნულ დროში.
FPGA წყვეტს SDM-ს, რომელიც თქვენ შექმნილია ანტი-tampაღმოჩენის სქემები აღმოჩენილია ზეamper ღონისძიება და SDM tampპასუხი უნდა გააქტიურდეს.

gpi_fpga_at_response_done

შეყვანა

FPGA შეაფერხებს SDM-ს, რომ FPGA ლოგიკამ შეასრულა სასურველი გაწმენდა.

gpi_fpga_at_zeroization_d ერთი

შეყვანა

FPGA სიგნალს აძლევს SDM-ს, რომ FPGA ლოგიკამ დაასრულა დიზაინის მონაცემების ნებისმიერი სასურველი ნულიზაცია. ეს სიგნალი არის სampled როდესაც gpi_fpga_at_response_done არის დამტკიცებული.

5.4.3.1. გამოშვების ინფორმაცია

IP ვერსიების სქემის (XYZ) ნომერი იცვლება ერთი პროგრამული ვერსიიდან მეორეზე. ცვლილება:
· X მიუთითებს IP-ის ძირითად გადახედვაზე. თუ განაახლებთ თქვენს Intel Quartus Prime პროგრამულ უზრუნველყოფას, უნდა განაახლოთ IP.
· Y მიუთითებს, რომ IP შეიცავს ახალ ფუნქციებს. განაახლეთ თქვენი IP ამ ახალი ფუნქციების ჩასართავად.
· Z მიუთითებს, რომ IP შეიცავს მცირე ცვლილებებს. განაახლეთ თქვენი IP, რომ შეიტანოთ ეს ცვლილებები.

ცხრილი 6.

ანტი- Tamper Lite Intel FPGA IP გამოშვების ინფორმაცია

IP ვერსია

ელემენტი

აღწერა 20.1.0

Intel Quartus Prime ვერსია

21.2

გამოშვების თარიღი

2021.06.21

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 54

გამოხმაურების გაგზავნა

5. დამატებითი ფუნქციები 683823 | 2023.05.23
5.5. დიზაინის უსაფრთხოების ფუნქციების გამოყენება დისტანციური სისტემის განახლებით
დისტანციური სისტემის განახლება (RSU) არის Intel Agilex 7 FPGA-ის ფუნქცია, რომელიც ეხმარება კონფიგურაციის განახლებას fileმტკიცე გზით. RSU თავსებადია დიზაინის უსაფრთხოების მახასიათებლებთან, როგორიცაა ავთენტიფიკაცია, პროგრამული უზრუნველყოფის ხელმოწერა და ბიტტრიმინგის დაშიფვრა, რადგან RSU არ არის დამოკიდებული კონფიგურაციის ბიტიტრინების დიზაინის შინაარსზე.
რსუ სურათების აგება .სოფ Files
თუ ინახავთ პირად გასაღებებს თქვენს ლოკალზე fileსისტემაში, თქვენ შეგიძლიათ შექმნათ RSU სურათები დიზაინის უსაფრთხოების მახასიათებლებით გამარტივებული ნაკადის გამოყენებით .sof files როგორც შეყვანა. RSU სურათების გენერირება .sof file, შეგიძლიათ მიჰყვეთ ინსტრუქციებს განყოფილებაში, რომელიც ქმნის დისტანციური სისტემის განახლების გამოსახულებას Fileპროგრამირების გამოყენება File Intel Agilex 7 კონფიგურაციის მომხმარებლის სახელმძღვანელოს გენერატორი. ყოველი .სოფ file მითითებულია Input-ზე Files ჩანართზე, დააჭირეთ ღილაკს Properties… და მიუთითეთ შესაბამისი პარამეტრები და გასაღებები ხელმოწერისა და დაშიფვრის ხელსაწყოებისთვის. პროგრამირება file გენერატორის ინსტრუმენტი ავტომატურად აწერს ხელს და შიფრავს ქარხნისა და აპლიკაციის სურათებს RSU პროგრამირების შექმნისას files.
ალტერნატიულად, თუ თქვენ ინახავთ პირად გასაღებებს HSM-ში, უნდა გამოიყენოთ quartus_sign ინსტრუმენტი და, შესაბამისად, გამოიყენოთ .rbf fileს. ამ განყოფილების დანარჩენი ნაწილი დეტალურად ასახავს ნაკადის ცვლილებებს RSU გამოსახულების გენერირებისთვის .rbf-ით files როგორც შეყვანა. თქვენ უნდა დაშიფროთ და მოაწეროთ ხელი .rbf ფორმატში fileმათ შეყვანის არჩევამდე files RSU სურათებისთვის; თუმცა, RSU ჩატვირთვის ინფორმაცია file არ უნდა იყოს დაშიფრული და სამაგიეროდ მხოლოდ ხელმოწერილი. პროგრამირება File გენერატორი არ უჭერს მხარს .rbf ფორმატის თვისებების შეცვლას files.
შემდეგი ყოფილიamples აჩვენებს ბრძანებების აუცილებელ ცვლილებას განყოფილებაში, რომელიც ქმნის დისტანციური სისტემის განახლების გამოსახულებას Fileპროგრამირების გამოყენება File Intel Agilex 7 კონფიგურაციის მომხმარებლის სახელმძღვანელოს გენერატორი.
საწყისი RSU სურათის გენერირება .rbf-ის გამოყენებით Files: ბრძანების მოდიფიკაცია
საწყისი RSU გამოსახულების გენერირებიდან .rbf-ის გამოყენებით Files განყოფილებაში, შეცვალეთ ბრძანებები ნაბიჯი 1. რათა ჩართოთ დიზაინის უსაფრთხოების ფუნქციები, როგორც სასურველია ამ დოკუმენტის ადრინდელი სექციების ინსტრუქციების გამოყენებით.
მაგampასევე, თქვენ მიუთითებთ ხელმოწერილი firmware file თუ იყენებდით firmware cosigning-ს, გამოიყენეთ Quartus დაშიფვრის ინსტრუმენტი თითოეული .rbf-ის დასაშიფრად file, და ბოლოს გამოიყენეთ quartus_sign ხელსაწყო თითოეული ხელმოწერისთვის file.
მე-2 საფეხურზე, თუ ჩართული გაქვთ პროგრამული უზრუნველყოფის თანამოწერა, უნდა გამოიყენოთ დამატებითი ვარიანტი ქარხნული სურათიდან ჩატვირთვის .rbf-ის შესაქმნელად. file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
ჩატვირთვის ინფორმაციის შექმნის შემდეგ .rbf file, გამოიყენეთ quartus_sign ინსტრუმენტი .rbf-ზე მოსაწერად file. თქვენ არ უნდა დაშიფროთ ჩატვირთვის ინფორმაცია .rbf file.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 55

5. დამატებითი ფუნქციები 683823 | 2023.05.23
აპლიკაციის გამოსახულების გენერირება: Command Modification
დიზაინის უსაფრთხოების მახასიათებლებით აპლიკაციის გამოსახულების გენერირებისთვის, თქვენ შეცვლით ბრძანებას განაცხადის სურათის გენერირებაში, რათა გამოიყენოთ .rbf ჩართული დიზაინის უსაფრთხოების ფუნქციებით, საჭიროების შემთხვევაში თანამოწერის პროგრამული უზრუნველყოფის ჩათვლით, ორიგინალური აპლიკაციის ნაცვლად .sof. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf safed_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
ქარხნული განახლების სურათის გენერირება: Command Modification
ჩატვირთვის ინფორმაციის შექმნის შემდეგ .rbf file, თქვენ იყენებთ quartus_sign ხელსაწყოს ხელმოწერისთვის .rbf file. თქვენ არ უნდა დაშიფროთ ჩატვირთვის ინფორმაცია .rbf file.
RSU ქარხნული განახლების სურათის გენერირებისთვის, თქვენ შეცვლით ბრძანებას ქარხნული განახლების სურათის გენერირებაში, რათა გამოიყენოთ .rbf. file ჩართულია დიზაინის უსაფრთხოების მახასიათებლებით და დაამატეთ ოფცია, რომ მიუთითოთ პროგრამული უზრუნველყოფის ერთობლივი გამოყენება:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf safed_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
დაკავშირებული ინფორმაცია Intel Agilex 7 კონფიგურაციის მომხმარებლის სახელმძღვანელო
5.6. SDM კრიპტოგრაფიული სერვისები
SDM Intel Agilex 7 მოწყობილობებზე უზრუნველყოფს კრიპტოგრაფიულ სერვისებს, რომლებიც FPGA ქსოვილის ლოგიკას ან HPS-ს შეუძლია მოითხოვოს შესაბამისი SDM საფოსტო ყუთის ინტერფეისის მეშვეობით. ყველა SDM კრიპტოგრაფიული სერვისისთვის საფოსტო ყუთის ბრძანებებისა და მონაცემთა ფორმატების შესახებ დამატებითი ინფორმაციისთვის იხილეთ დანართი B უსაფრთხოების მეთოდოლოგიაში Intel FPGA-ებისა და სტრუქტურირებული ASIC-ების მომხმარებლის სახელმძღვანელოში.
SDM საფოსტო ყუთის ინტერფეისზე წვდომისთვის FPGA ქსოვილის ლოგიკაზე SDM კრიპტოგრაფიული სერვისებისთვის, თქვენ უნდა დააინსტალიროთ საფოსტო ყუთის კლიენტი Intel FPGA IP თქვენს დიზაინში.
HPS-დან SDM საფოსტო ყუთის ინტერფეისზე წვდომის საცნობარო კოდი შედის Intel-ის მიერ მოწოდებულ ATF და Linux კოდში.
დაკავშირებული ინფორმაცია საფოსტო ყუთის კლიენტი Intel FPGA IP მომხმარებლის სახელმძღვანელო
5.6.1. გამყიდველი ავტორიზებული ჩექმა
Intel უზრუნველყოფს HPS პროგრამული უზრუნველყოფის საცნობარო იმპლემენტაციას, რომელიც იყენებს გამყიდველის უფლებამოსილ ჩატვირთვის ფუნქციას HPS ჩატვირთვის პროგრამული უზრუნველყოფის ავთენტიფიკაციისთვის პირველი ს.tagჩამტვირთველი გადის Linux-ის ბირთვში.
დაკავშირებული ინფორმაცია Intel Agilex 7 SoC Secure Boot Demo Design

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 56

გამოხმაურების გაგზავნა

5. დამატებითი ფუნქციები 683823 | 2023.05.23
5.6.2. უსაფრთხო მონაცემთა ობიექტის სერვისი
თქვენ აგზავნით ბრძანებებს SDM საფოსტო ყუთის მეშვეობით, რათა შეასრულოთ SDOS ობიექტების დაშიფვრა და გაშიფვრა. შეგიძლიათ გამოიყენოთ SDOS ფუნქცია SDOS ძირეული გასაღების უზრუნველყოფის შემდეგ.
დაკავშირებული ინფორმაცია უსაფრთხო მონაცემთა ობიექტის სერვისის ძირეული გასაღების უზრუნველყოფა გვერდზე 30
5.6.3. SDM კრიპტოგრაფიული პრიმიტიული სერვისები
თქვენ აგზავნით ბრძანებებს SDM საფოსტო ყუთით SDM კრიპტოგრაფიული პრიმიტიული სერვისის ოპერაციების დასაწყებად. ზოგიერთი კრიპტოგრაფიული პრიმიტიული სერვისი მოითხოვს, რომ მეტი მონაცემი გადაიცეს SDM-ში და იქიდან, ვიდრე საფოსტო ყუთის ინტერფეისი მიიღებს. ამ შემთხვევებში, ფორმატის ბრძანება იცვლება მეხსიერებაში მონაცემების მითითების მიწოდების მიზნით. გარდა ამისა, თქვენ უნდა შეცვალოთ Mailbox Client Intel FPGA IP-ის ინსტანცია, რომ გამოიყენოთ SDM კრიპტოგრაფიული პრიმიტიული სერვისები FPGA ქსოვილის ლოგიკიდან. თქვენ დამატებით უნდა დააყენოთ Enable Crypto Service პარამეტრი 1-ზე და დააკავშიროთ ახლად გამოჩენილი AXI ინიციატორის ინტერფეისი თქვენს დიზაინში არსებულ მეხსიერებას.
სურათი 21. SDM კრიპტოგრაფიული სერვისების ჩართვა საფოსტო ყუთის კლიენტის Intel FPGA IP-ში

5.7. Bitstream უსაფრთხოების პარამეტრები (FM/S10)
FPGA Bitstream უსაფრთხოების ოფციები არის პოლიტიკის კრებული, რომელიც ზღუდავს მითითებულ ფუნქციას ან მუშაობის რეჟიმს განსაზღვრულ პერიოდში.
Bitstream Security პარამეტრები შედგება დროშებისგან, რომლებიც თქვენ დააყენეთ Intel Quartus Prime Pro Edition პროგრამულ უზრუნველყოფაში. ეს დროშები ავტომატურად კოპირდება კონფიგურაციის ბიტ-სტრიმებში.
თქვენ შეგიძლიათ მუდმივად განახორციელოთ უსაფრთხოების პარამეტრები მოწყობილობაზე შესაბამისი უსაფრთხოების პარამეტრის eFuse-ის გამოყენებით.
უსაფრთხოების ნებისმიერი პარამეტრის გამოსაყენებლად კონფიგურაციის bitstream-ში ან მოწყობილობის eFuses-ში, თქვენ უნდა ჩართოთ ავტორიზაციის ფუნქცია.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 57

5. დამატებითი ფუნქციები 683823 | 2023.05.23
5.7.1. უსაფრთხოების პარამეტრების არჩევა და ჩართვა
უსაფრთხოების ოფციების ასარჩევად და გასააქტიურებლად, გააკეთეთ შემდეგი: დავალებების მენიუდან აირჩიეთ Device Device and Pin Options Security More Options... ნახაზი 22. უსაფრთხოების ოფციების არჩევა და ჩართვა

და შემდეგ შეარჩიეთ მნიშვნელობები ჩამოსაშლელი სიებიდან უსაფრთხოების ვარიანტებისთვის, რომლებიც გსურთ ჩართოთ, როგორც ნაჩვენებია შემდეგ მაგალითშიampლე:
სურათი 23. მნიშვნელობების შერჩევა უსაფრთხოების ოფციებისთვის

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 58

გამოხმაურების გაგზავნა

5. დამატებითი ფუნქციები 683823 | 2023.05.23
ქვემოთ მოცემულია შესაბამისი ცვლილებები Quartus Prime პარამეტრებში .qsf file:
set_global_assignment -სახელი SECU_OPTION_DISABLE_JTAG „გადამოწმების“ ნაკრები_გლობალური_დავალება -სახელი SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE "ჩართულია" set_global_assignment -სახელი SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON კომპლექტი_გლობალური_დავალება -სახელი მინიჭება SECU_OPTION_IRSA _OPTION_LOCK_SECURITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment OPLEUS_EN_DICUSA _გლობალური_დავალება -სახელი SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON ნაკრები_გლობალური_დავალება -სახელი SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON კომპლექტი_გლობალური_დავალება -სახელი SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON კომპლექტი_გლობალური_დავალება -სახელი SECU_OPTION_DISABLE_PUF_WRAPPED_KEY

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 59

683823 | 2023.05.23 გამოხმაურების გაგზავნა

პრობლემების მოგვარება

ეს თავი აღწერს ჩვეულებრივ შეცდომებს და გამაფრთხილებელ შეტყობინებებს, რომლებიც შეიძლება შეგხვდეთ მოწყობილობის უსაფრთხოების ფუნქციების გამოყენებისას და მათ გადასაჭრელად ზომებს.
6.1. Quartus ბრძანებების გამოყენება Windows გარემოს შეცდომაში
შეცდომა quartus_pgm: ბრძანება ვერ მოიძებნა აღწერა ეს შეცდომა გამოჩნდება Quartus ბრძანებების გამოყენებისას NIOS II Shell-ში Windows გარემოში WSL გამოყენებით. რეზოლუცია ეს ბრძანება მუშაობს Linux-ის გარემოში; Windows ჰოსტებისთვის გამოიყენეთ შემდეგი ბრძანება: quartus_pgm.exe -h ანალოგიურად, გამოიყენეთ იგივე სინტაქსი სხვა Quartus Prime ბრძანებებზე, როგორიცაა quartus_pfg, quartus_sign, quartus_encrypt სხვა ბრძანებებს შორის.

ISO 9001:2015 რეგისტრირებულია

6. პრობლემების მოგვარება 683823 | 2023.05.23

6.2. პირადი გასაღების გაფრთხილების გენერირება

გაფრთხილება:

მითითებული პაროლი ითვლება დაუცველად. Intel გირჩევთ გამოიყენოთ პაროლის მინიმუმ 13 სიმბოლო. თქვენ გირჩევთ შეცვალოთ პაროლი OpenSSL-ის გამოყენებით.

openssl ec -in - გარეთ -aes256

აღწერა
ეს გაფრთხილება დაკავშირებულია პაროლის სიძლიერესთან და ნაჩვენებია პირადი გასაღების გენერირებისას შემდეგი ბრძანებების გაცემით:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

გარჩევადობა გამოიყენეთ openssl შესრულებადი უფრო გრძელი და, შესაბამისად, ძლიერი პაროლის დასადგენად.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 61

6. პრობლემების მოგვარება 683823 | 2023.05.23
6.3. Quartus პროექტის შეცდომაზე ხელმოწერის გასაღების დამატება
შეცდომა…File შეიცავს root გასაღების ინფორმაციას…
აღწერა
ხელმოწერის გასაღების დამატების შემდეგ .qky file Quartus-ის პროექტს, თქვენ უნდა ხელახლა ააწყოთ .sof file. როცა ამას დაამატებ რეგენერირებული .სოფ file არჩეულ მოწყობილობაზე Quartus Programmer-ის გამოყენებით, შემდეგი შეცდომის შეტყობინება მიუთითებს, რომ file შეიცავს root გასაღების ინფორმაციას:
დამატება ვერ მოხერხდაfile-path-name> პროგრამისტამდე. The file შეიცავს root გასაღების ინფორმაციას (.qky). თუმცა, პროგრამისტი არ უჭერს მხარს ბიტტრიმინგის ხელმოწერის ფუნქციას. შეგიძლიათ გამოიყენოთ პროგრამირება File გენერატორი გარდაქმნის file ხელმოწერილი Raw Binary file (.rbf) კონფიგურაციისთვის.
რეზოლუცია
გამოიყენეთ Quartus Programming file გენერატორის გადასაყვანად file ხელმოწერილი Raw Binary-ში File .rbf კონფიგურაციისთვის.
დაკავშირებული ინფორმაციის ხელმოწერის კონფიგურაცია Bitstream Quartus_sign ბრძანების გამოყენებით 13 გვერდზე

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 62

გამოხმაურების გაგზავნა

6. პრობლემების მოგვარება 683823 | 2023.05.23
6.4. Quartus Prime პროგრამირების გენერირება File წარუმატებელი იყო
შეცდომა
შეცდომა (20353): საჯარო გასაღების X QKY არ ემთხვევა PEM-ის პირად გასაღებს file.
შეცდომა (20352): ვერ მოხერხდა ბიტტრიმის ხელმოწერა პითონის სკრიპტის მეშვეობით agilex_sign.py.
შეცდომა: Quartus Prime Programming File გენერატორი წარუმატებელი იყო.
აღწერა თუ თქვენ ცდილობთ მოაწეროთ ხელი კონფიგურაციის ბიტტრიმინს არასწორი პირადი გასაღების გამოყენებით .pem file ან .პემ file რომელიც არ ემთხვევა პროექტში დამატებულ .qky-ს, ნაჩვენებია ზემოთ გავრცელებული შეცდომები. რეზოლუცია დარწმუნდით, რომ იყენებთ სწორ პირად კლავიშს .pem ბიტტრიმინგის გასაფორმებლად.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 63

6. პრობლემების მოგვარება 683823 | 2023.05.23
6.5. უცნობი არგუმენტის შეცდომები
შეცდომა
შეცდომა (23028): უცნობი არგუმენტი „ûc“. იხილეთ – დახმარება იურიდიული არგუმენტებისთვის.
შეცდომა (213008): პროგრამირების ვარიანტის სტრიქონი „ûp“ უკანონოა. იხილეთ –დახმარება იურიდიული პროგრამირების ვარიანტების ფორმატებისთვის.
აღწერა თუ დააკოპირებთ და ჩასვით ბრძანების ხაზის ვარიანტებს .pdf-დან file Windows NIOS II Shell-ში შეიძლება შეგხვდეთ უცნობი არგუმენტის შეცდომებს, როგორც ეს ნაჩვენებია ზემოთ. რეზოლუცია ასეთ შემთხვევებში, თქვენ შეგიძლიათ ხელით შეიყვანოთ ბრძანებები ბუფერიდან ჩასმის ნაცვლად.

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 64

გამოხმაურების გაგზავნა

6. პრობლემების მოგვარება 683823 | 2023.05.23
6.6. Bitstream დაშიფვრის ვარიანტი გამორთულია შეცდომა
შეცდომა
დაშიფვრის დასრულება შეუძლებელია file დიზაინი .sof, რადგან იგი შედგენილი იყო ბიტტრიმინგის დაშიფვრის ოფციით გამორთული.
აღწერა თუ თქვენ ცდილობთ ბიტტრიმის დაშიფვრას GUI-ს ან ბრძანების ხაზის მეშვეობით მას შემდეგ, რაც პროექტი შეადგინეთ ბიტტრიმინგის დაშიფვრის ოფციის გამორთვით, Quartus უარყოფს ბრძანებას, როგორც ეს ნაჩვენებია ზემოთ.
რეზოლუცია დარწმუნდით, რომ შეადგინეთ პროექტი ბიტტრიმინგის დაშიფვრის ოფციით, რომელიც ჩართულია GUI ან ბრძანების ხაზის საშუალებით. GUI-ში ამ პარამეტრის გასააქტიურებლად, თქვენ უნდა მონიშნოთ ამ პარამეტრის ჩამრთველი.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 65

6. პრობლემების მოგვარება 683823 | 2023.05.23
6.7. გასაღების სწორი გზის დაზუსტება
შეცდომა
შეცდომა (19516): აღმოჩენილი პროგრამირება File გენერატორის პარამეტრების შეცდომა: „key_“ ვერ მოიძებნაfile'. დარწმუნდით, რომ file მდებარეობს მოსალოდნელ ადგილას ან განაახლეთ პარამეტრი.წ
შეცდომა (19516): აღმოჩენილი პროგრამირება File გენერატორის პარამეტრების შეცდომა: „key_“ ვერ მოიძებნაfile'. დარწმუნდით, რომ file მდებარეობს მოსალოდნელ ადგილას ან განაახლეთ პარამეტრი.
აღწერა
თუ იყენებთ გასაღებებს, რომლებიც ინახება file სისტემა, თქვენ უნდა დარწმუნდეთ, რომ ისინი მიუთითებენ სწორ გზას გასაღებებისთვის, რომლებიც გამოიყენება ბიტტრიმინგის დაშიფვრისთვის და ხელმოწერისთვის. თუ პროგრამირება File გენერატორი ვერ აღმოაჩენს სწორ გზას, გამოჩნდება ზემოთ შეცდომის შეტყობინებები.
რეზოლუცია
იხილეთ Quartus Prime Settings .qsf file გასაღებების სწორი ბილიკის დასადგენად. დარწმუნდით, რომ იყენებთ ფარდობით ბილიკებს აბსოლუტური ბილიკების ნაცვლად.

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 66

გამოხმაურების გაგზავნა

6. პრობლემების მოგვარება 683823 | 2023.05.23
6.8. მხარდაჭერილი გამომავალის გამოყენება File ტიპი
შეცდომა
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o ხელმოწერა=ON -o pem_file=sign_private.pem
შეცდომა (19511): გამომავალი მხარდაუჭერელია file ტიპი (ebf). გამოიყენეთ „-l“ ან „–list“ ოფცია მხარდაჭერის საჩვენებლად file აკრიფეთ ინფორმაცია.
აღწერა Quartus Programming-ის გამოყენებისას File გენერატორი დაშიფრული და ხელმოწერილი კონფიგურაციის ბიტ-სტრიმის გენერირებისთვის, თქვენ შეიძლება ნახოთ ზემოაღნიშნული შეცდომა, თუ მხარდაჭერილი გამომავალია file ტიპი მითითებულია. რეზოლუცია გამოიყენეთ -l ან –list ოფცია მხარდაჭერილთა სიის სანახავად file ტიპები.

გამოხმაურების გაგზავნა

Intel Agilex® 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო 67

683823 | 2023.05.23 გამოხმაურების გაგზავნა
7. Intel Agilex 7 Device Security მომხმარებლის სახელმძღვანელო არქივები
ამ მომხმარებლის სახელმძღვანელოს უახლესი და წინა ვერსიებისთვის იხილეთ Intel Agilex 7 Device Security User Guide. თუ IP ან პროგრამული უზრუნველყოფის ვერსია არ არის ჩამოთვლილი, გამოიყენება წინა IP ან პროგრამული ვერსიის მომხმარებლის სახელმძღვანელო.

ISO 9001:2015 რეგისტრირებულია

683823 | 2023.05.23 გამოხმაურების გაგზავნა

8. გადასინჯვის ისტორია Intel Agilex 7 მოწყობილობის უსაფრთხოების მომხმარებლის სახელმძღვანელო

დოკუმენტის ვერსია 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

დოკუმენტები / რესურსები

Intel Agilex 7 მოწყობილობის უსაფრთხოება [pdf] მომხმარებლის სახელმძღვანელო
Agilex 7 Device Security, Agilex 7, Device Security, Security

ცნობები

მომხმარებლის სახელმძღვანელო

Intel Agilex 7 მოწყობილობის უსაფრთხოება

პროდუქტის ინფორმაცია

პროდუქტის გამოყენების ინსტრუქცია

ხშირად დასმული კითხვები

მოწყობილობის უსაფრთხოება დასრულდაview

ავთენტიფიკაცია და ავტორიზაცია

AES Bitstream დაშიფვრა

მოწყობილობის უზრუნველყოფა

გაფართოებული ფუნქციები

პრობლემების მოგვარება

დოკუმენტები / რესურსები

ცნობები

დაკავშირებული პოსტები

დატოვე კომენტარი

გააუქმეთ პასუხი