Intel Agilex 7 ຄວາມປອດໄພອຸປະກອນ
ຂໍ້ມູນຜະລິດຕະພັນ
ຂໍ້ມູນຈໍາເພາະ
- ໝາຍເລກຕົວແບບ: UG-20335
- ວັນທີປ່ອຍ: 2023.05.23
ຄໍາແນະນໍາການນໍາໃຊ້ຜະລິດຕະພັນ
1. ຄໍາຫມັ້ນສັນຍາກັບຄວາມປອດໄພຂອງຜະລິດຕະພັນ
Intel ມຸ່ງຫມັ້ນທີ່ຈະຮັກສາຄວາມປອດໄພຂອງຜະລິດຕະພັນແລະແນະນໍາໃຫ້ຜູ້ໃຊ້ເຮັດຄວາມຄຸ້ນເຄີຍກັບຊັບພະຍາກອນຄວາມປອດໄພຂອງຜະລິດຕະພັນທີ່ສະຫນອງໃຫ້. ຊັບພະຍາກອນເຫຼົ່ານີ້ຄວນໄດ້ຮັບການນໍາໃຊ້ຕະຫຼອດຊີວິດຂອງຜະລິດຕະພັນ Intel.
2. ຄຸນສົມບັດຄວາມປອດໄພທີ່ວາງແຜນໄວ້
ຄຸນສົມບັດດ້ານຄວາມປອດໄພຕໍ່ໄປນີ້ແມ່ນໄດ້ວາງແຜນໄວ້ສໍາລັບການປ່ອຍຊອບແວ Intel Quartus Prime Pro Edition ໃນອະນາຄົດ:
- ການກວດສອບຄວາມປອດໄພຂອງ Bitstream Reconfiguration ບາງສ່ວນ: ສະຫນອງການຮັບປະກັນເພີ່ມເຕີມວ່າບາງສ່ວນ Reconfiguration (PR) bitstreams ບໍ່ສາມາດເຂົ້າເຖິງຫຼືແຊກແຊງກັບ PR persona bitstreams ອື່ນໆ.
- ອຸປະກອນຂ້າຕົວເອງສໍາລັບການຕ້ານການທາງຮ່າງກາຍamper: ປະຕິບັດການເຊັດອຸປະກອນຫຼືການຕອບສະຫນອງອຸປະກອນສູນແລະໂຄງການ eFuses ເພື່ອປ້ອງກັນບໍ່ໃຫ້ອຸປະກອນຈາກການຕັ້ງຄ່າອີກເທື່ອຫນຶ່ງ.
3. ເອກະສານຄວາມປອດໄພທີ່ມີຢູ່
ຕາຕະລາງຕໍ່ໄປນີ້ສະແດງເອກະສານທີ່ມີໃຫ້ສໍາລັບຄຸນສົມບັດຄວາມປອດໄພຂອງອຸປະກອນໃນອຸປະກອນ Intel FPGA ແລະ Structured ASIC:
| ຊື່ເອກະສານ | ຈຸດປະສົງ |
|---|---|
| ວິທີການຄວາມປອດໄພສໍາລັບ Intel FPGAs ແລະຜູ້ໃຊ້ ASICs ທີ່ມີໂຄງສ້າງ ຄູ່ມື |
ເອກະສານລະດັບສູງສຸດທີ່ໃຫ້ຄໍາອະທິບາຍລາຍລະອຽດຂອງ ຄຸນສົມບັດຄວາມປອດໄພ ແລະເຕັກໂນໂລຊີໃນ Intel Programmable Solutions ຜະລິດຕະພັນ. ຊ່ວຍໃຫ້ຜູ້ໃຊ້ເລືອກຄຸນສົມບັດຄວາມປອດໄພທີ່ຈໍາເປັນເພື່ອ ຕອບສະຫນອງຈຸດປະສົງຄວາມປອດໄພຂອງພວກເຂົາ. |
| ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Stratix 10 | ຄໍາແນະນໍາສໍາລັບຜູ້ໃຊ້ຂອງອຸປະກອນ Intel Stratix 10 ເພື່ອປະຕິບັດ ລັກສະນະຄວາມປອດໄພທີ່ຖືກກໍານົດໂດຍໃຊ້ວິທີການຄວາມປອດໄພ ຄູ່ມືຜູ້ໃຊ້. |
| ຄູ່ມືຜູ້ໃຊ້ຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex 7 | ຄໍາແນະນໍາສໍາລັບຜູ້ໃຊ້ຂອງອຸປະກອນ Intel Agilex 7 ເພື່ອປະຕິບັດ ລັກສະນະຄວາມປອດໄພທີ່ຖືກກໍານົດໂດຍໃຊ້ວິທີການຄວາມປອດໄພ ຄູ່ມືຜູ້ໃຊ້. |
| ຄູ່ມືຜູ້ໃຊ້ຄວາມປອດໄພອຸປະກອນ Intel eASIC N5X | ຄໍາແນະນໍາສໍາລັບຜູ້ໃຊ້ອຸປະກອນ Intel eASIC N5X ເພື່ອປະຕິບັດ ລັກສະນະຄວາມປອດໄພທີ່ຖືກກໍານົດໂດຍໃຊ້ວິທີການຄວາມປອດໄພ ຄູ່ມືຜູ້ໃຊ້. |
| Intel Agilex 7 ແລະ Intel eASIC N5X HPS Cryptographic Services ຄູ່ມືຜູ້ໃຊ້ |
ຂໍ້ມູນສໍາລັບວິສະວະກອນຊອບແວ HPS ກ່ຽວກັບການຈັດຕັ້ງປະຕິບັດ ແລະການນໍາໃຊ້ຫ້ອງສະຫມຸດຊອບແວ HPS ເພື່ອເຂົ້າເຖິງການບໍລິການການເຂົ້າລະຫັດລັບ ສະໜອງໃຫ້ໂດຍ SDM. |
| AN-968 ບໍລິການຈັດຫາກະແຈດຳ ຄູ່ມືເລີ່ມຕົ້ນດ່ວນ | ສຳເລັດຊຸດຂັ້ນຕອນເພື່ອຕັ້ງຄ່າການສະໜອງ Black Key ການບໍລິການ. |
ຄໍາຖາມທີ່ຖາມເລື້ອຍໆ
Q: ຈຸດປະສົງຂອງຄູ່ມືຜູ້ໃຊ້ວິທີການຄວາມປອດໄພແມ່ນຫຍັງ?
A: ຄູ່ມືຜູ້ໃຊ້ວິທີການຄວາມປອດໄພໃຫ້ຄໍາອະທິບາຍລາຍລະອຽດກ່ຽວກັບລັກສະນະຄວາມປອດໄພແລະເຕັກໂນໂລຢີໃນຜະລິດຕະພັນ Intel Programmable Solutions. ມັນຊ່ວຍໃຫ້ຜູ້ໃຊ້ເລືອກຄຸນສົມບັດຄວາມປອດໄພທີ່ຈໍາເປັນເພື່ອຕອບສະຫນອງຈຸດປະສົງຄວາມປອດໄພຂອງພວກເຂົາ.
ຖາມ: ຂ້ອຍສາມາດຊອກຫາຄູ່ມືຜູ້ໃຊ້ຄວາມປອດໄພອຸປະກອນ Intel Agilex 7 ໄດ້ຢູ່ໃສ?
A: ຄູ່ມືຜູ້ໃຊ້ຄວາມປອດໄພອຸປະກອນ Intel Agilex 7 ສາມາດພົບໄດ້ຢູ່ໃນສູນຊັບພະຍາກອນ ແລະການອອກແບບຂອງ Intel webເວັບໄຊ.
ຖາມ: ບໍລິການຈັດຫາ Black Key ແມ່ນຫຍັງ?
A: ບໍລິການຈັດຫາກະແຈ Black ເປັນການບໍລິການທີ່ໃຫ້ຂັ້ນຕອນທີ່ຄົບຖ້ວນເພື່ອຕັ້ງຄ່າການສະໜອງກະແຈສຳລັບການປະຕິບັດງານທີ່ປອດໄພ.
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7
ອັບເດດສໍາລັບ Intel® Quartus® Prime Design Suite: 23.1
ສະບັບອອນໄລນ໌ສົ່ງຄໍາຄິດເຫັນ
UG-20335
683823 2023.05.23
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 2
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 3
683823 | 2023.05.23 ສົ່ງຄຳຕິຊົມ
1. Intel Agilex® 7
ຄວາມປອດໄພອຸປະກອນເກີນview
Intel® ອອກແບບອຸປະກອນ Intel Agilex® 7 ດ້ວຍຮາດແວ ແລະເຟີມແວຄວາມປອດໄພທີ່ອຸທິດຕົນ, ກຳນົດຄ່າໄດ້ສູງ.
ເອກະສານນີ້ມີຄໍາແນະນໍາເພື່ອຊ່ວຍທ່ານໃຊ້ຊອບແວ Intel Quartus® Prime Pro Edition ເພື່ອປະຕິບັດຄຸນສົມບັດຄວາມປອດໄພໃນອຸປະກອນ Intel Agilex 7 ຂອງທ່ານ.
ນອກຈາກນັ້ນ, ວິທີການຄວາມປອດໄພສໍາລັບ Intel FPGAs ແລະຄູ່ມືຜູ້ໃຊ້ທີ່ມີໂຄງສ້າງ ASICs ແມ່ນມີຢູ່ໃນ Intel Resource & Design Center. ເອກະສານນີ້ປະກອບດ້ວຍລາຍລະອຽດຂອງຄຸນສົມບັດຄວາມປອດໄພ ແລະເຕັກໂນໂລຊີທີ່ມີຢູ່ໃນຜະລິດຕະພັນ Intel Programmable Solutions ເພື່ອຊ່ວຍທ່ານເລືອກຄຸນສົມບັດຄວາມປອດໄພທີ່ຈໍາເປັນເພື່ອຕອບສະຫນອງຈຸດປະສົງຄວາມປອດໄພຂອງທ່ານ. ຕິດຕໍ່ຝ່າຍຊ່ວຍເຫຼືອ Intel ດ້ວຍໝາຍເລກອ້າງອີງ 14014613136 ເພື່ອເຂົ້າເຖິງວິທີການຮັກສາຄວາມປອດໄພສຳລັບ Intel FPGAs ແລະ ຄູ່ມືຜູ້ໃຊ້ທີ່ມີໂຄງສ້າງ ASICs.
ເອກະສານຖືກຈັດເປັນດັ່ງນີ້: · Authentication and Authorization: ໃຫ້ຄໍາແນະນໍາໃນການສ້າງ
ກະແຈການກວດສອບຄວາມຖືກຕ້ອງ ແລະລະບົບຕ່ອງໂສ້ລາຍເຊັນ, ນຳໃຊ້ສິດອະນຸຍາດ ແລະຖອນຄືນ, ເຊັນຊື່ວັດຖຸ ແລະຄຸນສົມບັດການພິສູດຢືນຢັນໂປຣແກຣມໃນອຸປະກອນ Intel Agilex 7. · AES Bitstream Encryption: ໃຫ້ຄໍາແນະນໍາເພື່ອສ້າງລະຫັດຮາກ AES, ເຂົ້າລະຫັດບິດສະຕຣີມການຕັ້ງຄ່າ, ແລະສະຫນອງລະຫັດຮາກ AES ໃຫ້ກັບອຸປະກອນ Intel Agilex 7. · ການຈັດຫາອຸປະກອນ: ໃຫ້ຄໍາແນະນໍາໃນການນໍາໃຊ້ໂປລແກລມ Intel Quartus Prime Programmer ແລະ Secure Device Manager (SDM) firmware ໃຫ້ກັບຄຸນສົມບັດຄວາມປອດໄພຂອງໂປຣແກຣມໃນອຸປະກອນ Intel Agilex 7. · ຄຸນສົມບັດຂັ້ນສູງ: ໃຫ້ຄໍາແນະນໍາເພື່ອເປີດໃຊ້ຄຸນສົມບັດຄວາມປອດໄພຂັ້ນສູງ, ລວມທັງການອະນຸມັດການດີບັ໊ກທີ່ປອດໄພ, ການດີບັ໊ກລະບົບການປະມວນຜົນຮາດ (HPS), ແລະການອັບເດດລະບົບທາງໄກ.
1.1. ຄໍາຫມັ້ນສັນຍາກັບຄວາມປອດໄພຂອງຜະລິດຕະພັນ
ຄວາມມຸ່ງຫມັ້ນທີ່ຍາວນານຂອງ Intel ຕໍ່ກັບຄວາມປອດໄພບໍ່ເຄີຍມີຄວາມເຂັ້ມແຂງກວ່າ. Intel ແນະນໍາໃຫ້ທ່ານຄຸ້ນເຄີຍກັບຊັບພະຍາກອນຄວາມປອດໄພຂອງຜະລິດຕະພັນຂອງພວກເຮົາແລະວາງແຜນທີ່ຈະນໍາໃຊ້ພວກມັນຕະຫຼອດຊີວິດຂອງຜະລິດຕະພັນ Intel ຂອງທ່ານ.
ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ · ຄວາມປອດໄພຂອງຜະລິດຕະພັນທີ່ Intel · Intel Product Security Center Advisories
ບໍລິສັດ Intel. ສະຫງວນລິຂະສິດທັງໝົດ. Intel, ໂລໂກ້ Intel, ແລະເຄື່ອງໝາຍ Intel ອື່ນໆແມ່ນເຄື່ອງໝາຍການຄ້າຂອງ Intel Corporation ຫຼືບໍລິສັດຍ່ອຍຂອງມັນ. Intel ຮັບປະກັນປະສິດທິພາບຂອງຜະລິດຕະພັນ FPGA ແລະ semiconductor ຂອງຕົນຕໍ່ກັບຂໍ້ມູນຈໍາເພາະໃນປະຈຸບັນໂດຍສອດຄ່ອງກັບການຮັບປະກັນມາດຕະຖານຂອງ Intel, ແຕ່ສະຫງວນສິດທີ່ຈະປ່ຽນແປງຜະລິດຕະພັນແລະການບໍລິການໄດ້ທຸກເວລາໂດຍບໍ່ມີການແຈ້ງການ. Intel ຖືວ່າບໍ່ມີຄວາມຮັບຜິດຊອບ ຫຼືຄວາມຮັບຜິດຊອບທີ່ເກີດຂຶ້ນຈາກແອັບພລິເຄຊັນ ຫຼືການນຳໃຊ້ຂໍ້ມູນ, ຜະລິດຕະພັນ, ຫຼືບໍລິການໃດໜຶ່ງທີ່ໄດ້ອະທິບາຍໄວ້ໃນນີ້ ຍົກເວັ້ນຕາມທີ່ໄດ້ຕົກລົງຢ່າງຈະແຈ້ງໃນລາຍລັກອັກສອນໂດຍ Intel. ລູກຄ້າ Intel ໄດ້ຮັບຄໍາແນະນໍາໃຫ້ໄດ້ຮັບສະບັບຫລ້າສຸດຂອງຂໍ້ມູນຈໍາເພາະຂອງອຸປະກອນກ່ອນທີ່ຈະອີງໃສ່ຂໍ້ມູນໃດໆທີ່ຈັດພີມມາແລະກ່ອນທີ່ຈະວາງຄໍາສັ່ງສໍາລັບຜະລິດຕະພັນຫຼືການບໍລິການ. *ຊື່ ແລະຍີ່ຫໍ້ອື່ນໆອາດຈະຖືກອ້າງວ່າເປັນຊັບສິນຂອງຄົນອື່ນ.
ISO 9001:2015 ລົງທະບຽນ
1. Intel Agilex® 7 Device Security Overview 683823 | 2023.05.23
1.2. ຄຸນສົມບັດຄວາມປອດໄພທີ່ວາງແຜນໄວ້
ຄຸນນະສົມບັດທີ່ໄດ້ກ່າວມາໃນພາກນີ້ແມ່ນວາງແຜນສໍາລັບການປ່ອຍອອກມາໃນອະນາຄົດຂອງຊອບແວ Intel Quartus Prime Pro Edition.
ໝາຍເຫດ:
ຂໍ້ມູນໃນພາກນີ້ແມ່ນເບື້ອງຕົ້ນ.
1.2.1. ການກວດສອບຄວາມປອດໄພຂອງ Bitstream Reconfiguration ບາງສ່ວນ
ການກວດສອບຄວາມຖືກຕ້ອງດ້ານຄວາມປອດໄພຂອງ bitstream ຄືນໃໝ່ບາງສ່ວນ (PR) ຊ່ວຍໃຫ້ການຮັບປະກັນເພີ່ມເຕີມວ່າ PR persona bitstreams ບໍ່ສາມາດເຂົ້າເຖິງ ຫຼືແຊກແຊງກັບ PR persona bitstreams ອື່ນໆ.
1.2.2. ອຸປະກອນຂ້າຕົວເອງສໍາລັບການຕ້ານ Tamper
ການຂ້າຕົວເອງຂອງອຸປະກອນເຮັດການເຊັດອຸປະກອນ ຫຼືການຕອບສະໜອງອຸປະກອນສູນ ແລະນອກຈາກນັ້ນມີໂປຣແກມ eFuses ເພື່ອປ້ອງກັນອຸປະກອນຈາກການຕັ້ງຄ່າອີກຄັ້ງ.
1.3. ເອກະສານຄວາມປອດໄພທີ່ມີຢູ່
ຕາຕະລາງຕໍ່ໄປນີ້ຈະນັບເອກະສານທີ່ມີໃຫ້ສໍາລັບຄຸນສົມບັດຄວາມປອດໄພຂອງອຸປະກອນໃນອຸປະກອນ Intel FPGA ແລະ Structured ASIC:
ຕາຕະລາງ 1.
ເອກະສານຄວາມປອດໄພອຸປະກອນທີ່ມີຢູ່
ຊື່ເອກະສານ
ວິທີການຄວາມປອດໄພສໍາລັບ Intel FPGAs ແລະຄູ່ມືຜູ້ໃຊ້ ASICs ທີ່ມີໂຄງສ້າງ
ຈຸດປະສົງ
ເອກະສານລະດັບສູງສຸດທີ່ປະກອບດ້ວຍລາຍລະອຽດຂອງຄຸນນະສົມບັດຄວາມປອດໄພແລະເຕັກໂນໂລຊີໃນ Intel Programmable Solutions Products. ມີຈຸດປະສົງເພື່ອຊ່ວຍໃຫ້ທ່ານເລືອກຄຸນສົມບັດຄວາມປອດໄພທີ່ຈໍາເປັນເພື່ອຕອບສະຫນອງຈຸດປະສົງຄວາມປອດໄພຂອງທ່ານ.
ID ເອກະສານ 721596
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Stratix 10
ຄູ່ມືຜູ້ໃຊ້ຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex 7
ສໍາລັບຜູ້ໃຊ້ຂອງອຸປະກອນ Intel Stratix 10, ຄູ່ມືນີ້ປະກອບດ້ວຍຄໍາແນະນໍາການນໍາໃຊ້ຊອບແວ Intel Quartus Prime Pro Edition ເພື່ອປະຕິບັດຄຸນສົມບັດຄວາມປອດໄພທີ່ລະບຸໄວ້ໂດຍໃຊ້ຄູ່ມືຜູ້ໃຊ້ວິທີການຄວາມປອດໄພ.
ສໍາລັບຜູ້ໃຊ້ອຸປະກອນ Intel Agilex 7, ຄູ່ມືນີ້ປະກອບດ້ວຍຄໍາແນະນໍາໃນການນໍາໃຊ້ຊອບແວ Intel Quartus Prime Pro Edition ເພື່ອປະຕິບັດຄຸນສົມບັດຄວາມປອດໄພທີ່ລະບຸໄວ້ໂດຍໃຊ້ຄູ່ມືຜູ້ໃຊ້ວິທີການຄວາມປອດໄພ.
683642 683823
ຄູ່ມືຜູ້ໃຊ້ຄວາມປອດໄພອຸປະກອນ Intel eASIC N5X
ສໍາລັບຜູ້ໃຊ້ອຸປະກອນ Intel eASIC N5X, ຄູ່ມືນີ້ປະກອບດ້ວຍຄໍາແນະນໍາໃນການນໍາໃຊ້ຊອບແວ Intel Quartus Prime Pro Edition ເພື່ອປະຕິບັດຄຸນສົມບັດຄວາມປອດໄພທີ່ຖືກກໍານົດໂດຍໃຊ້ຄູ່ມືຜູ້ໃຊ້ວິທີການຄວາມປອດໄພ.
626836
ຄູ່ມືຜູ້ໃຊ້ Intel Agilex 7 ແລະ Intel eASIC N5X HPS Cryptographic Services
ຄູ່ມືນີ້ມີຂໍ້ມູນເພື່ອຊ່ວຍວິສະວະກອນຊໍແວ HPS ໃນການປະຕິບັດແລະການນໍາໃຊ້ຫ້ອງສະຫມຸດຊອບແວ HPS ເພື່ອເຂົ້າເຖິງການບໍລິການການເຂົ້າລະຫັດລັບທີ່ສະຫນອງໃຫ້ໂດຍ SDM.
713026
AN-968 ບໍລິການຈັດຫາກະແຈດຳ ຄູ່ມືເລີ່ມຕົ້ນດ່ວນ
ຄູ່ມືນີ້ປະກອບດ້ວຍຂັ້ນຕອນຄົບຖ້ວນສົມບູນເພື່ອຕັ້ງຄ່າການບໍລິການການສະໜອງກະແຈດຳ.
739071
ສະຖານທີ່ Intel Resource ແລະ
ສູນການອອກແບບ
Intel.com
Intel.com
ສູນຊັບພະຍາກອນ ແລະການອອກແບບ Intel
ສູນຊັບພະຍາກອນ ແລະການອອກແບບ Intel
ສູນຊັບພະຍາກອນ ແລະການອອກແບບ Intel
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 5
683823 | 2023.05.23 ສົ່ງຄຳຕິຊົມ
ເພື່ອເປີດໃຊ້ຄຸນສົມບັດການຮັບຮອງຄວາມຖືກຕ້ອງຂອງອຸປະກອນ Intel Agilex 7, ທ່ານເລີ່ມຕົ້ນໂດຍໃຊ້ຊອບແວ Intel Quartus Prime Pro Edition ແລະເຄື່ອງມືທີ່ກ່ຽວຂ້ອງເພື່ອສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນ. ລະບົບຕ່ອງໂສ້ລາຍເຊັນປະກອບດ້ວຍກະແຈຫຼັກ, ລະຫັດການລົງນາມອັນໜຶ່ງ ຫຼືຫຼາຍກວ່ານັ້ນ, ແລະການອະນຸຍາດທີ່ນຳໃຊ້ໄດ້. ທ່ານນໍາໃຊ້ລະບົບຕ່ອງໂສ້ລາຍເຊັນກັບໂຄງການ Intel Quartus Prime Pro Edition ຂອງທ່ານແລະການຂຽນໂປຼແກຼມລວບລວມ files. ໃຊ້ຄໍາແນະນໍາໃນການສະຫນອງອຸປະກອນເພື່ອຂຽນໂປຼແກຼມ root ຂອງທ່ານເຂົ້າໃນອຸປະກອນ Intel Agilex 7.
ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ
ການຈັດຫາອຸປະກອນໃນໜ້າ 25
2.1. ການສ້າງຕ່ອງໂສ້ລາຍເຊັນ
ທ່ານອາດຈະໃຊ້ເຄື່ອງມື quartus_sign ຫຼືການປະຕິບັດການອ້າງອີງ agilex_sign.py ເພື່ອປະຕິບັດລະບົບຕ່ອງໂສ້ລາຍເຊັນ. ເອກະສານນີ້ສະຫນອງ examples ໃຊ້ quartus_sign.
ເພື່ອນໍາໃຊ້ການປະຕິບັດການອ້າງອິງ, ທ່ານທົດແທນການໂທຫານາຍພາສາ Python ທີ່ມີຊອບແວ Intel Quartus Prime ແລະຍົກເລີກທາງເລືອກ –family=agilex; ທາງເລືອກອື່ນທັງໝົດແມ່ນທຽບເທົ່າ. ຕົວຢ່າງample, ຄໍາສັ່ງ quartus_sign ທີ່ພົບເຫັນຕໍ່ມາໃນພາກນີ້
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky ສາມາດປ່ຽນເປັນການໂທທີ່ທຽບເທົ່າກັບການປະຕິບັດການອ້າງອີງຕໍ່ໄປນີ້
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky
ຊອບແວ Intel Quartus Prime Pro Edition ປະກອບມີເຄື່ອງມື quartus_sign, pgm_py, ແລະ agilex_sign.py. ທ່ານອາດຈະໃຊ້ເຄື່ອງມື Shell ຄໍາສັ່ງ Nios® II, ເຊິ່ງອັດຕະໂນມັດກໍານົດຕົວແປສະພາບແວດລ້ອມທີ່ເຫມາະສົມເພື່ອເຂົ້າເຖິງເຄື່ອງມື.
ປະຕິບັດຕາມຄໍາແນະນໍາເຫຼົ່ານີ້ເພື່ອນໍາເອົາແກະຄໍາສັ່ງ Nios II. 1. ເອົາແກະຄໍາສັ່ງ Nios II.
ທາງເລືອກ Windows
Linux
ລາຍລະອຽດ
ໃນເມນູເລີ່ມຕົ້ນ, ຊີ້ໄປທີ່ Programs Intel FPGA Nios II EDS ແລະກົດ Nios II Command Shell.
ໃນ shell ຄໍາສັ່ງປ່ຽນເປັນ /nios2eds ແລະດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້:
./nios2_command_shell.sh
ອະດີດamples ໃນພາກນີ້ສົມມຸດລະບົບຕ່ອງໂສ້ລາຍເຊັນແລະການຕັ້ງຄ່າ bitstream files ແມ່ນຢູ່ໃນໄດເລກະທໍລີທີ່ເຮັດວຽກໃນປະຈຸບັນ. ຖ້າທ່ານເລືອກທີ່ຈະປະຕິບັດຕາມ examples ບ່ອນທີ່ສໍາຄັນ files ຖືກເກັບຮັກສາໄວ້ໃນ file ລະບົບ, ເຫຼົ່ານັ້ນ examples ສົມມຸດສໍາຄັນ files ແມ່ນ
ບໍລິສັດ Intel. ສະຫງວນລິຂະສິດທັງໝົດ. Intel, ໂລໂກ້ Intel, ແລະເຄື່ອງໝາຍ Intel ອື່ນໆແມ່ນເຄື່ອງໝາຍການຄ້າຂອງ Intel Corporation ຫຼືບໍລິສັດຍ່ອຍຂອງມັນ. Intel ຮັບປະກັນປະສິດທິພາບຂອງຜະລິດຕະພັນ FPGA ແລະ semiconductor ຂອງຕົນຕໍ່ກັບຂໍ້ມູນຈໍາເພາະໃນປະຈຸບັນໂດຍສອດຄ່ອງກັບການຮັບປະກັນມາດຕະຖານຂອງ Intel, ແຕ່ສະຫງວນສິດທີ່ຈະປ່ຽນແປງຜະລິດຕະພັນແລະການບໍລິການໄດ້ທຸກເວລາໂດຍບໍ່ມີການແຈ້ງການ. Intel ຖືວ່າບໍ່ມີຄວາມຮັບຜິດຊອບ ຫຼືຄວາມຮັບຜິດຊອບທີ່ເກີດຂຶ້ນຈາກແອັບພລິເຄຊັນ ຫຼືການນຳໃຊ້ຂໍ້ມູນ, ຜະລິດຕະພັນ, ຫຼືບໍລິການໃດໜຶ່ງທີ່ໄດ້ອະທິບາຍໄວ້ໃນນີ້ ຍົກເວັ້ນຕາມທີ່ໄດ້ຕົກລົງຢ່າງຈະແຈ້ງໃນລາຍລັກອັກສອນໂດຍ Intel. ລູກຄ້າ Intel ໄດ້ຮັບຄໍາແນະນໍາໃຫ້ໄດ້ຮັບສະບັບຫລ້າສຸດຂອງຂໍ້ມູນຈໍາເພາະຂອງອຸປະກອນກ່ອນທີ່ຈະອີງໃສ່ຂໍ້ມູນໃດໆທີ່ຈັດພີມມາແລະກ່ອນທີ່ຈະວາງຄໍາສັ່ງສໍາລັບຜະລິດຕະພັນຫຼືການບໍລິການ. *ຊື່ ແລະຍີ່ຫໍ້ອື່ນໆອາດຈະຖືກອ້າງວ່າເປັນຊັບສິນຂອງຄົນອື່ນ.
ISO 9001:2015 ລົງທະບຽນ
2. ການກວດສອບແລະການອະນຸຍາດ 683823 | 2023.05.23
ຕັ້ງຢູ່ໃນໄດເລກະທໍລີທີ່ເຮັດວຽກໃນປະຈຸບັນ. ທ່ານອາດຈະເລືອກໄດເລກະທໍລີທີ່ຈະໃຊ້, ແລະເຄື່ອງມືສະຫນັບສະຫນູນພີ່ນ້ອງ file ເສັ້ນທາງ. ຖ້າທ່ານເລືອກທີ່ຈະຮັກສາລະຫັດ files ສຸດ file ລະບົບ, ທ່ານຕ້ອງລະມັດລະວັງໃນການຄຸ້ມຄອງການອະນຸຍາດການເຂົ້າເຖິງເຫຼົ່ານັ້ນ files.
Intel ແນະນໍາໃຫ້ໃຊ້ Hardware Security Module (HSM) ທີ່ມີຂາຍໃນການຄ້າເພື່ອເກັບກະແຈເຂົ້າລະຫັດ ແລະປະຕິບັດການເຂົ້າລະຫັດລັບ. ເຄື່ອງມື quartus_sign ແລະການປະຕິບັດການອ້າງອິງປະກອບມີມາດຕະຖານການເຂົ້າລະຫັດລັບສາທາລະນະ #11 (PKCS #11) Application Programming Interface (API) ເພື່ອໂຕ້ຕອບກັບ HSM ໃນຂະນະທີ່ດໍາເນີນການລະບົບຕ່ອງໂສ້ລາຍເຊັນ. ການປະຕິບັດການອ້າງອິງ agilex_sign.py ປະກອບມີຕົວຫຍໍ້ຂອງການໂຕ້ຕອບເຊັ່ນດຽວກັນກັບ exampການໂຕ້ຕອບກັບ SoftHSM.
ທ່ານອາດຈະໃຊ້ເຫຼົ່ານີ້ example ການໂຕ້ຕອບເພື່ອປະຕິບັດການໂຕ້ຕອບກັບ HSM ຂອງທ່ານ. ອ້າງອີງໃສ່ເອກະສານຈາກຜູ້ຂາຍ HSM ຂອງທ່ານສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບການປະຕິບັດການໂຕ້ຕອບແລະປະຕິບັດການ HSM ຂອງທ່ານ.
SoftHSM ແມ່ນການປະຕິບັດຊອບແວຂອງອຸປະກອນການເຂົ້າລະຫັດລັບທົ່ວໄປທີ່ມີການໂຕ້ຕອບ PKCS #11 ທີ່ມີໃຫ້ໂດຍໂຄງການ OpenDNSSEC®. ທ່ານອາດຈະຊອກຫາຂໍ້ມູນເພີ່ມເຕີມ, ລວມທັງຄໍາແນະນໍາກ່ຽວກັບວິທີການດາວໂຫລດ, ກໍ່ສ້າງແລະຕິດຕັ້ງ OpenHSM, ໃນໂຄງການ OpenDNSSEC. ອະດີດamples ໃນພາກນີ້ໃຊ້ SoftHSM ຮຸ່ນ 2.6.1. ອະດີດamples ໃນພາກນີ້ຍັງໃຊ້ pkcs11-tool utility ຈາກ OpenSC ເພື່ອປະຕິບັດການເພີ່ມເຕີມ PKCS #11 ດ້ວຍ token SoftHSM. ທ່ານອາດຈະຊອກຫາຂໍ້ມູນເພີ່ມເຕີມ, ລວມທັງຄໍາແນະນໍາກ່ຽວກັບວິທີການດາວໂຫລດ, ກໍ່ສ້າງ, ແລະຕິດຕັ້ງ pkcs11tool ຈາກ OpenSC.
ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ
· ໂຄງການ OpenDNSSEC ຜູ້ລົງນາມເຂດທີ່ອີງໃສ່ນະໂຍບາຍເພື່ອອັດຕະໂນມັດຂະບວນການຕິດຕາມລະຫັດ DNSSEC.
· SoftHSM ຂໍ້ມູນກ່ຽວກັບການປະຕິບັດຂອງຮ້ານ cryptographic ທີ່ສາມາດເຂົ້າເຖິງໄດ້ໂດຍຜ່ານການໂຕ້ຕອບ PKCS #11.
· OpenSC ສະຫນອງຊຸດຂອງຫ້ອງສະຫມຸດແລະສິ່ງອໍານວຍຄວາມສະດວກທີ່ສາມາດເຮັດວຽກກັບບັດອັດສະລິຍະ.
2.1.1. ການສ້າງຄູ່ລະຫັດການພິສູດຢືນຢັນຢູ່ໃນທ້ອງຖິ່ນ File ລະບົບ
ທ່ານໃຊ້ເຄື່ອງມື quartus_sign ເພື່ອສ້າງຄູ່ລະຫັດການພິສູດຢືນຢັນຢູ່ໃນທ້ອງຖິ່ນ file ລະບົບໂດຍໃຊ້ເຄື່ອງມື make_private_pem ແລະ make_public_pem. ທໍາອິດທ່ານສ້າງລະຫັດສ່ວນຕົວດ້ວຍການດໍາເນີນການ make_private_pem. ທ່ານລະບຸເສັ້ນໂຄ້ງຮູບສ້ວຍທີ່ຈະໃຊ້, ລະຫັດສ່ວນຕົວ fileຊື່, ແລະທາງເລືອກວ່າຈະປົກປ້ອງກະແຈສ່ວນຕົວດ້ວຍວະລີຜ່ານຫຼືບໍ່. Intel ແນະນໍາໃຫ້ໃຊ້ເສັ້ນໂຄ້ງ secp384r1 ແລະປະຕິບັດຕາມການປະຕິບັດທີ່ດີທີ່ສຸດຂອງອຸດສາຫະກໍາເພື່ອສ້າງລະຫັດລັບທີ່ເຂັ້ມແຂງ, ແບບສຸ່ມຢູ່ໃນກະແຈສ່ວນຕົວທັງຫມົດ. fileດ. Intel ຍັງແນະນໍາການຈໍາກັດ file ການອະນຸຍາດລະບົບໃນກະແຈສ່ວນຕົວ .pem files ເພື່ອອ່ານໂດຍເຈົ້າຂອງເທົ່ານັ້ນ. ທ່ານໄດ້ຮັບລະຫັດສາທາລະນະຈາກກະແຈສ່ວນຕົວດ້ວຍການດໍາເນີນການ make_public_pem. ມັນເປັນປະໂຫຍດທີ່ຈະຕັ້ງຊື່ທີ່ສໍາຄັນ .pem files ອະທິບາຍ. ເອກະສານນີ້ໃຊ້ສົນທິສັນຍາ _ .pem ໃນຕົວຢ່າງຕໍ່ໄປນີ້amples.
1. ໃນແກະຄໍາສັ່ງ Nios II, ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອສ້າງລະຫັດສ່ວນຕົວ. ລະຫັດສ່ວນຕົວ, ສະແດງໃຫ້ເຫັນຂ້າງລຸ່ມນີ້, ຖືກນໍາໃຊ້ເປັນລະຫັດຮາກໃນຕໍ່ມາ examples ທີ່ສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນ. ອຸປະກອນ Intel Agilex 7 ສະຫນັບສະຫນູນລະຫັດຮາກຫຼາຍ, ດັ່ງນັ້ນທ່ານ
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 7
2. ການກວດສອບແລະການອະນຸຍາດ 683823 | 2023.05.23
ເຮັດຊ້ໍາຂັ້ນຕອນນີ້ເພື່ອສ້າງຈໍານວນລະຫັດຮາກທີ່ຕ້ອງການຂອງທ່ານ. ຕົວຢ່າງamples ໃນເອກະສານນີ້ທັງຫມົດຫມາຍເຖິງກຸນແຈຮາກທໍາອິດ, ເຖິງແມ່ນວ່າທ່ານອາດຈະສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນໃນຮູບແບບທີ່ຄ້າຍຄືກັນກັບກຸນແຈຮາກໃດໆ.
ທາງເລືອກທີ່ມີລະຫັດຜ່ານ
ລາຍລະອຽດ
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem ໃສ່ລະຫັດຜ່ານເມື່ອຖືກກະຕຸ້ນໃຫ້ເຮັດແນວນັ້ນ.
ໂດຍບໍ່ມີວະລີຜ່ານ
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem
2. ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອສ້າງລະຫັດສາທາລະນະໂດຍໃຊ້ລະຫັດສ່ວນຕົວທີ່ສ້າງຂຶ້ນໃນຂັ້ນຕອນທີ່ຜ່ານມາ. ທ່ານບໍ່ຈໍາເປັນຕ້ອງປົກປ້ອງຄວາມລັບຂອງກະແຈສາທາລະນະ.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. ດໍາເນີນການຄໍາສັ່ງອີກເທື່ອຫນຶ່ງເພື່ອສ້າງຄູ່ທີ່ສໍາຄັນທີ່ໃຊ້ເປັນລະຫັດການອອກແບບໃນລະບົບຕ່ອງໂສ້ລາຍເຊັນ.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem
quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem
2.1.2. ການສ້າງຄູ່ລະຫັດການພິສູດຢືນຢັນໃນ SoftHSM
SoftHSM examples ໃນບົດນີ້ແມ່ນຕົນເອງສອດຄ່ອງ. ຕົວກໍານົດການບາງຢ່າງແມ່ນຂຶ້ນກັບການຕິດຕັ້ງ SoftHSM ຂອງທ່ານແລະການເລີ່ມຕົ້ນ token ພາຍໃນ SoftHSM.
ເຄື່ອງມື quartus_sign ແມ່ນຂຶ້ນກັບຫ້ອງສະໝຸດ PKCS #11 API ຈາກ HSM ຂອງທ່ານ.
ອະດີດamples ໃນພາກນີ້ສົມມຸດວ່າຫ້ອງສະຫມຸດ SoftHSM ຖືກຕິດຕັ້ງໃສ່ຫນຶ່ງໃນສະຖານທີ່ຕໍ່ໄປນີ້: · /usr/local/lib/softhsm2.so on Linux · C:SoftHSM2libsofthsm2.dll ເທິງ Windows ລຸ້ນ 32-bit · C:SoftHSM2libsofthsm2-x64 .dll ຢູ່ໃນ Windows ລຸ້ນ 64-bit.
ເລີ່ມຕົ້ນໂທເຄັນພາຍໃນ SoftHSM ໂດຍໃຊ້ເຄື່ອງມື softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin – ຟຣີ
ຕົວກໍານົດການທາງເລືອກ, ໂດຍສະເພາະປ້າຍ token ແລະ token pin ແມ່ນ examples ຖືກນໍາໃຊ້ໃນທົ່ວບົດນີ້. Intel ແນະນໍາໃຫ້ທ່ານປະຕິບັດຕາມຄໍາແນະນໍາຈາກຜູ້ຂາຍ HSM ຂອງທ່ານເພື່ອສ້າງແລະຈັດການ tokens ແລະກະແຈ.
ທ່ານສ້າງຄູ່ຄີການພິສູດຢືນຢັນໂດຍໃຊ້ pkcs11-tool utility ເພື່ອໂຕ້ຕອບກັບ token ໃນ SoftHSM. ແທນທີ່ຈະອ້າງອີງຢ່າງຊັດເຈນເຖິງກະແຈສ່ວນຕົວ ແລະສາທາລະນະ .pem files ໃນ file ລະບົບ examples, ທ່ານອ້າງເຖິງຄູ່ທີ່ສໍາຄັນໂດຍປ້າຍຂອງມັນແລະເຄື່ອງມືເລືອກລະຫັດທີ່ເຫມາະສົມໂດຍອັດຕະໂນມັດ.
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 8
ສົ່ງຄຳຕິຊົມ
2. ການກວດສອບແລະການອະນຸຍາດ 683823 | 2023.05.23
ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອສ້າງຄູ່ທີ່ສໍາຄັນທີ່ໃຊ້ເປັນລະຫັດຮາກໃນຕໍ່ມາ examples ເຊັ່ນດຽວກັນກັບຄູ່ທີ່ສໍາຄັນທີ່ໃຊ້ເປັນລະຫັດການອອກແບບໃນລະບົບຕ່ອງໂສ້ລາຍເຊັນ:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1
ໝາຍເຫດ:
ຕົວເລືອກ ID ໃນຂັ້ນຕອນນີ້ຈະຕ້ອງເປັນເອກະລັກຂອງແຕ່ລະກະແຈ, ແຕ່ມັນຖືກໃຊ້ໂດຍ HSM ເທົ່ານັ້ນ. ຕົວເລືອກ ID ນີ້ບໍ່ກ່ຽວຂ້ອງກັບລະຫັດການຍົກເລີກລະຫັດທີ່ກຳນົດໄວ້ໃນລະບົບຕ່ອງໂສ້ລາຍເຊັນ.
2.1.3. ການສ້າງການເຂົ້າຮາກລະບົບຕ່ອງໂສ້ລາຍເຊັນ
ປ່ຽນລະຫັດສາທາລະນະຂອງຮາກໃຫ້ເປັນລະບົບຕ່ອງໂສ້ການເຂົ້າສູ່ລະບົບຮາກລາຍເຊັນ, ເກັບຮັກສາໄວ້ໃນທ້ອງຖິ່ນ file ລະບົບໃນຮູບແບບ Intel Quartus Prime key (.qky). file, ດ້ວຍການດໍາເນີນການ make_root. ເຮັດຊ້ໍາຂັ້ນຕອນນີ້ສໍາລັບແຕ່ລະລະຫັດຮາກທີ່ທ່ານສ້າງ.
ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນດ້ວຍການເຂົ້າຮາກ, ໂດຍໃຊ້ລະຫັດສາທາລະນະຮາກຈາກ file ລະບົບ:
quartus_sign –family=agilex –operation=make_root –key_type=ເຈົ້າຂອງ root0_public.pem root0.qky
ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນດ້ວຍການເຂົ້າຮາກ, ໂດຍໃຊ້ລະຫັດຮາກຈາກ SoftHSM token ສ້າງຕັ້ງຂຶ້ນໃນພາກກ່ອນ:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofth2 ” root0 root0.qky
2.1.4. ການສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນເຂົ້າລະຫັດສາທາລະນະ
ສ້າງລະຫັດສາທາລະນະໃຫມ່ສໍາລັບລະບົບຕ່ອງໂສ້ລາຍເຊັນດ້ວຍການດໍາເນີນການ append_key. ທ່ານລະບຸລະບົບຕ່ອງໂສ້ລາຍເຊັນກ່ອນ, ກະແຈສ່ວນຕົວສໍາລັບການເຂົ້າສຸດທ້າຍໃນຕ່ອງໂສ້ລາຍເຊັນກ່ອນ, ກະແຈສາທາລະນະລະດັບຕໍ່ໄປ, ການອະນຸຍາດແລະການຍົກເລີກ ID ທີ່ທ່ານມອບໃຫ້ລະຫັດສາທາລະນະລະດັບຕໍ່ໄປ, ແລະລະບົບຕ່ອງໂສ້ລາຍເຊັນໃຫມ່ file.
ສັງເກດເຫັນວ່າຫ້ອງສະຫມຸດ softHSM ບໍ່ສາມາດໃຊ້ໄດ້ກັບການຕິດຕັ້ງ Quartus ແລະແທນທີ່ຈະຕ້ອງມີການຕິດຕັ້ງແຍກຕ່າງຫາກ. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບ softHSM ເບິ່ງພາກການສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນຂ້າງເທິງ.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 9
2. ການກວດສອບແລະການອະນຸຍາດ 683823 | 2023.05.23
ຂຶ້ນກັບການໃຊ້ກະແຈຂອງເຈົ້າກ່ຽວກັບ file ລະບົບຫຼືໃນ HSM, ທ່ານໃຊ້ຫນຶ່ງໃນຕົວຢ່າງຕໍ່ໄປນີ້ample ຄໍາສັ່ງທີ່ຈະຕື່ມລະຫັດສາທາລະນະ design0_sign ໃສ່ລະບົບຕ່ອງໂສ້ລາຍເຊັນຮາກທີ່ສ້າງຂຶ້ນໃນພາກກ່ອນ:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmious_key=prev root2 –previous_qky=root0.qky –permission=0 –cancel=6 –input_keyname=design0_sign design0_sign_chain.qky
ທ່ານສາມາດເຮັດການດໍາເນີນການ append_key ອີກເທື່ອຫນຶ່ງໄດ້ເຖິງສອງຄັ້ງສໍາລັບການສູງສຸດຂອງສາມລະຫັດສາທາລະນະລະຫວ່າງການເຂົ້າຮາກແລະ header block entry ໃນລະບົບຕ່ອງໂສ້ລາຍເຊັນໃດນຶ່ງ.
ຕໍ່ໄປນີ້ example ສົມມຸດວ່າທ່ານໄດ້ສ້າງກະແຈສາທາລະນະການພິສູດຢືນຢັນອື່ນດ້ວຍການອະນຸຍາດດຽວກັນ ແລະໄດ້ມອບໝາຍການຍົກເລີກ ID 1 ທີ່ເອີ້ນວ່າ design1_sign_public.pem, ແລະໄດ້ຕໍ່ທ້າຍກະແຈນີ້ໃສ່ຕ່ອງໂສ້ລາຍເຊັນຈາກອະດີດກ່ອນໜ້ານີ້.ample:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmious_key=prev. design2_sign –previous_qky=design0_sign_chain.qky –permission=0 –cancel=6 –input_keyname=design1_sign design1_sign_chain.qky
ອຸປະກອນ Intel Agilex 7 ປະກອບມີຕົວຕ້ານການຍົກເລີກກະແຈເພີ່ມເຕີມເພື່ອອໍານວຍຄວາມສະດວກໃນການນໍາໃຊ້ກະແຈທີ່ອາດຈະມີການປ່ຽນແປງເປັນແຕ່ລະໄລຍະຕະຫຼອດຊີວິດຂອງອຸປະກອນທີ່ໃຫ້. ເຈົ້າອາດຈະເລືອກຕົວນັບການຍົກເລີກຫຼັກນີ້ໂດຍການປ່ຽນການໂຕ້ຖຽງຂອງທາງເລືອກ –cancel ເປັນ pts:pts_value.
2.2. ການລົງນາມໃນການຕັ້ງຄ່າ Bitstream
ອຸປະກອນ Intel Agilex 7 ຮອງຮັບ Security Version Number (SVN) counters, ເຊິ່ງຊ່ວຍໃຫ້ທ່ານສາມາດຖອນການອະນຸຍາດວັດຖຸໃດໜຶ່ງໄດ້ໂດຍບໍ່ຕ້ອງຍົກເລີກກະແຈ. ທ່ານກໍານົດຕົວນັບ SVN ແລະຄ່າ counter SVN ທີ່ເຫມາະສົມໃນລະຫວ່າງການເຊັນວັດຖຸໃດກໍ່ຕາມ, ເຊັ່ນ: ພາກສ່ວນ bitstream, firmware .zip file, ຫຼືໃບຢັ້ງຢືນທີ່ຫນາແຫນ້ນ. ທ່ານກໍານົດຕົວນັບ SVN ແລະຄ່າ SVN ໂດຍໃຊ້ຕົວເລືອກ –cancel ແລະ svn_counter:svn_value ເປັນການໂຕ້ຖຽງ. ຄ່າທີ່ຖືກຕ້ອງສຳລັບ svn_counter ແມ່ນ svnA, svnB, svnC, ແລະ svnD. ຄ່າ svn_value ເປັນຈຳນວນເຕັມພາຍໃນຂອບເຂດ [0,63].
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 10
ສົ່ງຄຳຕິຊົມ
2. ການກວດສອບແລະການອະນຸຍາດ 683823 | 2023.05.23
2.2.1. Quartus Key File ການມອບໝາຍ
ທ່ານລະບຸລະບົບຕ່ອງໂສ້ລາຍເຊັນໃນໂຄງການຊອບແວ Intel Quartus Prime ຂອງທ່ານເພື່ອເປີດໃຊ້ຄຸນສົມບັດການຮັບຮອງຄວາມຖືກຕ້ອງສໍາລັບການອອກແບບນັ້ນ. ຈາກເມນູ Assignments, ເລືອກອຸປະກອນອຸປະກອນ ແລະ Pin Options Security Quartus Key File, ຫຼັງຈາກນັ້ນທ່ອງໄປຫາລະບົບຕ່ອງໂສ້ລາຍເຊັນ .qky file ທ່ານສ້າງເພື່ອເຊັນການອອກແບບນີ້.
ຮູບ 1. ເປີດໃຊ້ງານການຕັ້ງຄ່າ Bitstream
ອີກທາງເລືອກ, ທ່ານສາມາດເພີ່ມຂໍ້ຄວາມການມອບຫມາຍຕໍ່ໄປນີ້ໃສ່ການຕັ້ງຄ່າ Intel Quartus Prime ຂອງທ່ານ file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
ເພື່ອສ້າງ .sof file ຈາກການອອກແບບທີ່ລວບລວມກ່ອນຫນ້ານີ້, ເຊິ່ງລວມມີການຕັ້ງຄ່ານີ້, ຈາກເມນູການປຸງແຕ່ງ, ເລືອກ Start Start Assembler. ຜົນຜະລິດໃຫມ່ .sof file ລວມມີການມອບໝາຍເພື່ອໃຫ້ສາມາດກວດສອບຄວາມຖືກຕ້ອງດ້ວຍລະບົບຕ່ອງໂສ້ລາຍເຊັນທີ່ສະໜອງໃຫ້.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 11
2. ການກວດສອບແລະການອະນຸຍາດ 683823 | 2023.05.23
2.2.2. ຮ່ວມລົງນາມເຟີມແວ SDM
ທ່ານໃຊ້ເຄື່ອງມື quartus_sign ເພື່ອສະກັດ, ເຊັນ, ແລະຕິດຕັ້ງເຟີມແວ SDM ທີ່ໃຊ້ໄດ້ .zip file. ຫຼັງຈາກນັ້ນ, ເຟີມແວທີ່ໄດ້ລົງນາມຮ່ວມກັນຈະຖືກລວມເຂົ້າໃນການຂຽນໂປຼແກຼມ file ເຄື່ອງມືການຜະລິດໃນເວລາທີ່ທ່ານປ່ຽນ .sof file ເຂົ້າໄປໃນການຕັ້ງຄ່າ bitstream .rbf file. ທ່ານໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນໃຫມ່ແລະເຊັນ SDM firmware.
1. ສ້າງຄູ່ຄີເຊັນໃຫມ່.
ກ. ສ້າງຄູ່ທີ່ສໍາຄັນການລົງນາມໃຫມ່ໃນ file ລະບົບ:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
ຂ. ສ້າງຄູ່ລະຫັດການເຊັນໃຫມ່ໃນ HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. ສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນໃຫມ່ທີ່ມີລະຫັດສາທາລະນະໃຫມ່:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmious_key=prev. root2 –previous_qky=root0.qky –permission=0 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. ສຳເນົາເຟີມແວ .zip file ຈາກໄດເລກະທໍລີການຕິດຕັ້ງຊອບແວ Intel Quartus Prime Pro Edition ຂອງທ່ານ ( /devices/programmer/firmware/agilex.zip) ໄປຫາໄດເລກະທໍລີທີ່ເຮັດວຽກໃນປະຈຸບັນ.
quartus_sign –family=agilex –get_firmware=.
4. ເຊັນຊື່ເຟີມແວ .zip file. ເຄື່ອງມືຈະປົດລ໋ອກ .zip ໂດຍອັດຕະໂນມັດ file ແລະເປັນສ່ວນບຸກຄົນເຊັນ firmware ທັງຫມົດ .cmf files, ຈາກນັ້ນສ້າງ .zip ຄືນໃໝ່ file ສໍາລັບການນໍາໃຊ້ໂດຍເຄື່ອງມືໃນພາກສ່ວນດັ່ງຕໍ່ໄປນີ້:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 12
ສົ່ງຄຳຕິຊົມ
2. ການກວດສອບແລະການອະນຸຍາດ 683823 | 2023.05.23
–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip
2.2.3. Signing Configuration Bitstream ໂດຍໃຊ້ຄໍາສັ່ງ quartus_sign
ເພື່ອເຊັນການຕັ້ງຄ່າ bitstream ໂດຍໃຊ້ຄໍາສັ່ງ quartus_sign, ທໍາອິດທ່ານປ່ຽນ .sof file ກັບ binary ດິບ unsigned file ຮູບແບບ (.rbf). ທ່ານສາມາດເລືອກເປັນທາງເລືອກໃນການລະບຸເຟີມແວທີ່ຮ່ວມລົງນາມໂດຍໃຊ້ຕົວເລືອກ fw_source ໃນລະຫວ່າງຂັ້ນຕອນການແປງ.
ທ່ານສາມາດສ້າງ bitstream ດິບທີ່ບໍ່ໄດ້ເຊັນໃນຮູບແບບ .rbf ໂດຍໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
ດໍາເນີນການຫນຶ່ງໃນຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອເຊັນ bitstream ໂດຍໃຊ້ເຄື່ອງມື quartus_sign ຂຶ້ນກັບສະຖານທີ່ຂອງກະແຈຂອງທ່ານ:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
ທ່ານອາດຈະປ່ຽນເຊັນ .rbf files ກັບ bitstream ການຕັ້ງຄ່າອື່ນໆ file ຮູບແບບ.
ຕົວຢ່າງampຖ້າຫາກວ່າທ່ານກໍາລັງນໍາໃຊ້ Jam* Standard Test and Programming Language (STAPL) Player ເພື່ອດໍາເນີນໂຄງການ bitstream ຜ່ານ J.TAG, ທ່ານໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອແປງ .rbf file ໃນຮູບແບບ .jam ທີ່ Jam STAPL Player ຕ້ອງການ:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam
2.2.4. ການປັບຕັ້ງຄ່າບາງສ່ວນ ສະຫນັບສະຫນູນຫຼາຍອໍານາດ
ອຸປະກອນ Intel Agilex 7 ຮອງຮັບການພິສູດຢືນຢັນການຕັ້ງຄືນໃຫມ່ບາງສ່ວນ, ເຊິ່ງເຈົ້າຂອງອຸປະກອນສ້າງ ແລະເຊັນຊື່ static bitstream, ແລະເຈົ້າຂອງ PR ແຍກຕ່າງຫາກຈະສ້າງ ແລະເຊັນຊື່ PR persona bitstreams. ອຸປະກອນ Intel Agilex 7 ປະຕິບັດການຮອງຮັບຫຼາຍອຳນາດໂດຍການມອບໝາຍຊ່ອງສຽບລະຫັດຮາກຂອງການກວດສອບຄວາມຖືກຕ້ອງທຳອິດໃຫ້ກັບອຸປະກອນ ຫຼືເຈົ້າຂອງບິດສະຕຣີມແບບຄົງທີ່ ແລະມອບໝາຍຊ່ອງສຽບລະຫັດຮາກການພິສູດຢືນຢັນສຸດທ້າຍໃຫ້ກັບເຈົ້າຂອງບິດສະຕຣີມ persona ການຕັ້ງຄ່າຄືນໃໝ່ບາງສ່ວນ.
ຖ້າຄຸນສົມບັດການພິສູດຢືນຢັນຖືກເປີດໃຊ້ງານ, ຮູບພາບ PR persona ທັງໝົດຈະຕ້ອງຖືກເຊັນ, ລວມທັງຮູບພາບ PR persona ທີ່ຖືກວາງໄວ້. ຮູບພາບ PR persona ອາດຈະຖືກເຊັນໂດຍເຈົ້າຂອງອຸປະກອນຫຼືໂດຍເຈົ້າຂອງ PR; ແນວໃດກໍ່ຕາມ, bitstreams ພາກພື້ນຄົງທີ່ຕ້ອງໄດ້ຮັບການເຊັນໂດຍເຈົ້າຂອງອຸປະກອນ.
ໝາຍເຫດ:
ການປັບຕັ້ງຄ່າບາງສ່ວນການເຂົ້າລະຫັດແບບຄົງທີ່ ແລະ persona bitstream ເມື່ອການຮອງຮັບຫຼາຍອຳນາດຖືກເປີດໃຊ້ແມ່ນວາງແຜນໄວ້ໃນການປ່ອຍໃນອະນາຄົດ.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 13
2. ການກວດສອບແລະການອະນຸຍາດ 683823 | 2023.05.23
ຮູບທີ 2.
ການປະຕິບັດການສະຫນັບສະຫນູນຫຼາຍສິດອໍານາດບາງສ່ວນ reconfiguration ຮຽກຮ້ອງໃຫ້ມີຫຼາຍຂັ້ນຕອນ:
1. ອຸປະກອນ ຫຼືເຈົ້າຂອງບິດສະຕຣີມແບບຄົງທີ່ສ້າງລະຫັດຮາກການພິສູດຢືນຢັນໜຶ່ງອັນ ຫຼືຫຼາຍກວ່ານັ້ນຕາມທີ່ອະທິບາຍໄວ້ໃນການສ້າງຄູ່ລະຫັດການພິສູດຢືນຢັນໃນ SoftHSM ໃນໜ້າທີ 8, ບ່ອນທີ່ຕົວເລືອກ –key_type ມີເຈົ້າຂອງຄ່າ.
2. ເຈົ້າຂອງ bitstream reconfiguration ບາງສ່ວນສ້າງລະຫັດຮາກຂອງການກວດສອບຄວາມຖືກຕ້ອງແຕ່ປ່ຽນຄ່າທາງເລືອກ –key_type ເປັນ secondary_owner.
3. ທັງເຈົ້າຂອງການອອກແບບບິດສະຕຣີມແບບຄົງທີ່ ແລະບາງສ່ວນຂອງການອອກແບບການປັບຕັ້ງຄ່າຄືນໃໝ່ຮັບປະກັນວ່າກ່ອງກາໝາຍ Enable Multi-Authority support ຖືກເປີດໃຊ້ໃນແຖບ Assignments Device ແລະ Pin Options Security.
Intel Quartus Prime ເປີດໃຊ້ການຕັ້ງຄ່າຕົວເລືອກຫຼາຍສິດອຳນາດ
4. ທັງເຈົ້າຂອງການອອກແບບບິດສະຕຣີມແບບຄົງທີ່ ແລະບາງສ່ວນສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນໂດຍອີງໃສ່ລະຫັດຮາກຕາມທີ່ໄດ້ອະທິບາຍໄວ້ໃນການສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນໃນໜ້າ 6.
5. ທັງເຈົ້າຂອງການອອກແບບບິດສະຕິກແບບຄົງທີ່ ແລະບາງສ່ວນປ່ຽນການອອກແບບທີ່ລວບລວມຂອງເຂົາເຈົ້າເປັນຮູບແບບ .rbf. files ແລະເຊັນຊື່ .rbf files.
6. ອຸປະກອນຫຼືເຈົ້າຂອງ bitstream ຄົງທີ່ສ້າງແລະເຊັນໃບຢັ້ງຢືນການອະນຸມັດໂຄງການທີ່ສໍາຄັນ PR ສາທາລະນະ.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 14
ສົ່ງຄຳຕິຊົມ
2. ການກວດສອບແລະການອະນຸຍາດ 683823 | 2023.05.23
7. ອຸປະກອນຫຼືເຈົ້າຂອງ bitstream ຄົງທີ່ສະຫນອງການພິສູດຢືນຢັນລະຫັດຮາກຂອງເຂົາເຈົ້າກັບອຸປະກອນ, ຫຼັງຈາກນັ້ນດໍາເນີນໂຄງການ PR public key program authorization ໃບຢັ້ງຢືນຫນາແຫນ້ນ, ແລະສຸດທ້າຍສະຫນອງບາງສ່ວນ reconfiguration bitstream ເຈົ້າຂອງລະຫັດ root ກັບອຸປະກອນ. ພາກສ່ວນການຈັດຫາອຸປະກອນອະທິບາຍຂະບວນການຈັດຫານີ້.
8. ອຸປະກອນ Intel Agilex 7 ຖືກຕັ້ງຄ່າດ້ວຍພາກພື້ນ .rbf file.
9. ອຸປະກອນ Intel Agilex 7 ຖືກປັບຕັ້ງຄ່າບາງສ່ວນກັບການອອກແບບ persona .rbf file.
ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ
· ການສ້າງຕ່ອງໂສ້ລາຍເຊັນໃນໜ້າ 6
· ການສ້າງຄູ່ລະຫັດການພິສູດຢືນຢັນໃນ SoftHSM ໃນໜ້າ 8
· ການສະໜອງອຸປະກອນໃນໜ້າທີ 25
2.2.5. ການກວດສອບການຕັ້ງຄ່າ Bitstream Signature Chains
ຫຼັງຈາກທີ່ເຈົ້າສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນ ແລະ bitstreams ທີ່ເຊັນແລ້ວ, ເຈົ້າອາດຈະກວດສອບໄດ້ວ່າ bitstream ທີ່ເຊັນແລ້ວຈະກຳນົດຄ່າອຸປະກອນທີ່ຕັ້ງໂປຣແກຣມດ້ວຍລະຫັດຮາກທີ່ໃຫ້ໄວ້ຢ່າງຖືກຕ້ອງ. ທໍາອິດທ່ານໃຊ້ການດໍາເນີນງານ fuse_info ຂອງຄໍາສັ່ງ quartus_sign ເພື່ອພິມ hash ຂອງລະຫັດສາທາລະນະຂອງຮາກເປັນຂໍ້ຄວາມ. file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt
ຈາກນັ້ນທ່ານໃຊ້ຕົວເລືອກ check_integrity ຂອງຄໍາສັ່ງ quartus_pfg ເພື່ອກວດກາລະບົບຕ່ອງໂສ້ລາຍເຊັນໃນແຕ່ລະພາກສ່ວນຂອງ bitstream ທີ່ເຊັນໃນຮູບແບບ .rbf. ຕົວເລືອກ check_integrity ພິມຂໍ້ມູນຕໍ່ໄປນີ້:
·ສະຖານະຂອງການກວດສອບຄວາມສົມບູນຂອງ bitstream ໂດຍລວມ
· ເນື້ອໃນຂອງແຕ່ລະລາຍການໃນແຕ່ລະລະບົບຕ່ອງໂສ້ລາຍເຊັນທີ່ຕິດກັບແຕ່ລະພາກສ່ວນໃນ bitstream .rbf file,
· ຄາດວ່າມູນຄ່າຟິວສໍາລັບ hash ຂອງລະຫັດສາທາລະນະຮາກສໍາລັບລະບົບຕ່ອງໂສ້ລາຍເຊັນແຕ່ລະຄົນ.
ຄ່າຈາກຜົນຜະລິດ fuse_info ຄວນກົງກັບສາຍ Fuse ໃນຜົນຜະລິດ check_integrity.
quartus_pfg –check_integrity signed_bitstream.rbf
ນີ້ແມ່ນ example ຂອງຜົນໄດ້ຮັບຄໍາສັ່ງ check_integrity:
ຂໍ້ມູນ: ຄໍາສັ່ງ: quartus_pfg –check_integrity signed_bitstream.rbf ສະຖານະຄວາມສົມບູນ: ຕົກລົງ
ພາກ
ປະເພດ: CMF
ລາຍເຊັນລາຍເຊັນ…
ຕ່ອງໂສ້ລາຍເຊັນ #0 (ລາຍການ: -1, ຊົດເຊີຍ: 96)
ລາຍການ #0
Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79
72978B22 0731B082 6F596899 40F32048 AD766A24
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA
456FF53F5DBB3A69E48A042C62AB6B0
Y
: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2
2826F7E94A169023AFAE1D1DF4A31C2
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 15
2. ການກວດສອບແລະການອະນຸຍາດ 683823 | 2023.05.23
456FF53F5DBB3A69E48A042C62AB6B0
Y
: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2
2826F7E94A169023AFAE1D1DF4A31C2
ລາຍການ #1
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B
C120C7E7A744C357346B424D52100A9
Y
: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5
08A80F3FE7F156DEF0AE5FD95BDFE05
ເຂົ້າ #2 ການອະນຸຍາດ Keychain: SIGN_CODE Keychain ສາມາດຖືກຍົກເລີກໄດ້ໂດຍ ID: 3 ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #1 (ລາຍຊື່: -1, offset: 648)
ລາຍການ #0
Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6
DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765
0411C4592FAFFC71DE36A105B054781
Y
: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8
6B7312EEE8241189474262629501FCD
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765
0411C4592FAFFC71DE36A105B054781
Y
: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8
6B7312EEE8241189474262629501FCD
ລາຍການ #1
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D
74D982BC20A4772ABCD0A1848E9DC96
Y
: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D
0DA7C6B53D83CF8A775A8340BD5A5DB
ລາຍການ #2
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432
76896E771A9C6CA5A2D3C08CF4CB83C
Y
: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1
49F91CABA72F6A3A1C2D1990CDAEA3D
ເຂົ້າ #3 ການອະນຸຍາດຕ່ອງໂສ້ keychain: SIGN_CODE Keychain ສາມາດຖືກຍົກເລີກໂດຍ ID: 15 ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #2 (ເຂົ້າ: -1, offset: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #3 (ລາຍຊື່: -1, offset: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #4 (ບົດລາຍຊື່: -1, ຊົດເຊີຍ: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #5 (ລາຍການ: -1, ຊົດເຊີຍ: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #6 (ລາຍການ: -1, ຊົດເຊີຍ: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #7 (ລາຍການ: -1, ຊົດເຊີຍ: 0)
ປະເພດພາກ: IO Signature Descriptor … ຕ່ອງໂສ້ລາຍເຊັນ #0 (ລາຍການ: -1, offset: 96)
ລາຍການ #0
Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6
DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765
0411C4592FAFFC71DE36A105B054781
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 16
ສົ່ງຄຳຕິຊົມ
2. ການກວດສອບແລະການອະນຸຍາດ 683823 | 2023.05.23
Y
: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8
6B7312EEE8241189474262629501FCD
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765
0411C4592FAFFC71DE36A105B054781
Y
: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8
6B7312EEE8241189474262629501FCD
ລາຍການ #1
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21
44758CA747B1A8315024A8247F12E51
Y
: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C
F4EA8B8E229218D38A869EE15476750
ລາຍການ #2
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432
76896E771A9C6CA5A2D3C08CF4CB83C
Y
: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1
49F91CABA72F6A3A1C2D1990CDAEA3D
ເຂົ້າ #3 ການອະນຸຍາດຕ່ອງໂສ້ keychain: SIGN_CORE Keychain ສາມາດຖືກຍົກເລີກໂດຍ ID: 15 ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #1 (ລາຍຊື່: -1, offset: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #2 (ລາຍຊື່: -1, offset: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #3 (ລາຍຊື່: -1, ຊົດເຊີຍ: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #4 (ລາຍການ: -1, ຊົດເຊີຍ: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #5 (ລາຍການ: -1, ຊົດເຊີຍ: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #6 (ລາຍການ: -1, ຊົດເຊີຍ: 0) ລາຍເຊັນ ລະບົບຕ່ອງໂສ້ #7 (ລາຍການ: -1, ຊົດເຊີຍ: 0)
ພາກ
ປະເພດ: HPS
ລາຍເຊັນລາຍເຊັນ…
ຕ່ອງໂສ້ລາຍເຊັນ #0 (ລາຍການ: -1, ຊົດເຊີຍ: 96)
ລາຍການ #0
Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6
DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765
0411C4592FAFFC71DE36A105B054781
Y
: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8
6B7312EEE8241189474262629501FCD
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765
0411C4592FAFFC71DE36A105B054781
Y
: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8
6B7312EEE8241189474262629501FCD
ລາຍການ #1
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30
09CE3F486200940E81D02E2F385D150
Y
: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E
5AC33EE6D388B1A895AC07B86155E9D
ລາຍການ #2
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432
76896E771A9C6CA5A2D3C08CF4CB83C
Y
: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1
49F91CABA72F6A3A1C2D1990CDAEA3D
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 17
2. ການກວດສອບແລະການອະນຸຍາດ 683823 | 2023.05.23
ເຂົ້າ #3 ການອະນຸຍາດຕ່ອງໂສ້ keychain: SIGN_HPS Keychain ສາມາດຖືກຍົກເລີກໂດຍ ID: 15 ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #1 (ລາຍຊື່: -1, offset: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #2 (ລາຍຊື່: -1, offset: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #3 (ລາຍຊື່: -1, ຊົດເຊີຍ: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #4 (ລາຍການ: -1, ຊົດເຊີຍ: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #5 (ລາຍການ: -1, ຊົດເຊີຍ: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #6 (ລາຍການ: -1, ຊົດເຊີຍ: 0) ລາຍເຊັນ ລະບົບຕ່ອງໂສ້ #7 (ລາຍການ: -1, ຊົດເຊີຍ: 0)
ປະເພດພາກ: CORE Signature Descriptor … ຕ່ອງໂສ້ລາຍເຊັນ #0 (ລາຍການ: -1, ຊົດເຊີຍ: 96)
ລາຍການ #0
Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6
DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765
0411C4592FAFFC71DE36A105B054781
Y
: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8
6B7312EEE8241189474262629501FCD
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765
0411C4592FAFFC71DE36A105B054781
Y
: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8
6B7312EEE8241189474262629501FCD
ລາຍການ #1
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21
44758CA747B1A8315024A8247F12E51
Y
: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C
F4EA8B8E229218D38A869EE15476750
ລາຍການ #2
ສ້າງລະຫັດ…
ເສັ້ນໂຄ້ງ : secp384r1
X
: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432
76896E771A9C6CA5A2D3C08CF4CB83C
Y
: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1
49F91CABA72F6A3A1C2D1990CDAEA3D
ເຂົ້າ #3 ການອະນຸຍາດຕ່ອງໂສ້ keychain: SIGN_CORE Keychain ສາມາດຖືກຍົກເລີກໂດຍ ID: 15 ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #1 (ລາຍຊື່: -1, offset: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #2 (ລາຍຊື່: -1, offset: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #3 (ລາຍຊື່: -1, ຊົດເຊີຍ: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #4 (ລາຍການ: -1, ຊົດເຊີຍ: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #5 (ລາຍການ: -1, ຊົດເຊີຍ: 0) ລະບົບຕ່ອງໂສ້ລາຍເຊັນ #6 (ລາຍການ: -1, ຊົດເຊີຍ: 0) ລາຍເຊັນ ລະບົບຕ່ອງໂສ້ #7 (ລາຍການ: -1, ຊົດເຊີຍ: 0)
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 18
ສົ່ງຄຳຕິຊົມ
683823 | 2023.05.23 ສົ່ງຄຳຕິຊົມ
ການເຂົ້າລະຫັດ AES Bitstream
Advanced Encryption Standard (AES) ການເຂົ້າລະຫັດ bitstream ເປັນຄຸນສົມບັດທີ່ຊ່ວຍໃຫ້ເຈົ້າຂອງອຸປະກອນສາມາດປົກປ້ອງຄວາມລັບຂອງຊັບສິນທາງປັນຍາໃນການຕັ້ງຄ່າ bitstream.
ເພື່ອຊ່ວຍປົກປ້ອງຄວາມລັບຂອງກະແຈ, ການຕັ້ງຄ່າການເຂົ້າລະຫັດ bitstream ໃຊ້ລະບົບຕ່ອງໂສ້ຂອງກະແຈ AES. ກະແຈເຫຼົ່ານີ້ຖືກໃຊ້ເພື່ອເຂົ້າລະຫັດຂໍ້ມູນເຈົ້າຂອງໃນ bitstream ການຕັ້ງຄ່າ, ບ່ອນທີ່ກະແຈລະດັບປານກາງທໍາອິດຖືກເຂົ້າລະຫັດດ້ວຍລະຫັດຮາກ AES.
3.1. ການສ້າງລະຫັດຮາກ AES
ທ່ານອາດຈະໃຊ້ເຄື່ອງມື quartus_encrypt ຫຼືການປະຕິບັດການອ້າງອີງ stratix10_encrypt.py ເພື່ອສ້າງລະຫັດຮາກ AES ໃນຮູບແບບລະຫັດການເຂົ້າລະຫັດຊອບແວ Intel Quartus Prime (.qek) file.
ໝາຍເຫດ:
stratix10_encrypt.py file ຖືກນໍາໃຊ້ສໍາລັບອຸປະກອນ Intel Stratix® 10, ແລະ Intel Agilex 7.
ທ່ານສາມາດເລືອກເປັນທາງເລືອກຂອງລະຫັດພື້ນຖານທີ່ໃຊ້ເພື່ອເອົາລະຫັດຮາກຂອງ AES ແລະລະຫັດທີ່ມາຈາກລະຫັດ, ມູນຄ່າສໍາລັບລະຫັດຮາກ AES ໂດຍກົງ, ຈໍານວນລະຫັດກາງ, ແລະການນໍາໃຊ້ສູງສຸດຕໍ່ລະຫັດກາງ.
ທ່ານຕ້ອງລະບຸຄອບຄົວອຸປະກອນ, ຜົນຜະລິດ .qek file ສະຖານທີ່, ແລະລະຫັດຜ່ານເມື່ອຖືກເຕືອນ.
ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອສ້າງລະຫັດຮາກ AES ໂດຍໃຊ້ຂໍ້ມູນແບບສຸ່ມສໍາລັບລະຫັດພື້ນຖານແລະຄ່າເລີ່ມຕົ້ນສໍາລັບຈໍານວນລະຫັດກາງແລະການນໍາໃຊ້ລະຫັດສູງສຸດ.
ເພື່ອນໍາໃຊ້ການປະຕິບັດການອ້າງອິງ, ທ່ານທົດແທນການໂທຫານາຍພາສາ Python ທີ່ມີຊອບແວ Intel Quartus Prime ແລະຍົກເລີກທາງເລືອກ –family=agilex; ທາງເລືອກອື່ນທັງໝົດແມ່ນທຽບເທົ່າ. ຕົວຢ່າງample, ຄໍາສັ່ງ quartus_encrypt ພົບຕໍ່ມາໃນພາກ
quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek
ສາມາດປ່ຽນເປັນການໂທທຽບເທົ່າກັບການປະຕິບັດການອ້າງອີງດັ່ງຕໍ່ໄປນີ້ pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek
3.2. ການຕັ້ງຄ່າການເຂົ້າລະຫັດ Quartus
ເພື່ອເປີດໃຊ້ການເຂົ້າລະຫັດ bitstream ສໍາລັບການອອກແບບ, ທ່ານຕ້ອງລະບຸທາງເລືອກທີ່ເຫມາະສົມໂດຍໃຊ້ Assignments Device Device ແລະ Pin Options Security panel. ທ່ານເລືອກກ່ອງໝາຍການເປີດໃຊ້ການເຂົ້າລະຫັດບິດສະຕຣີມການຕັ້ງຄ່າ, ແລະບ່ອນເກັບຂໍ້ມູນລະຫັດການເຂົ້າລະຫັດທີ່ຕ້ອງການຈາກເມນູເລື່ອນລົງ.
ບໍລິສັດ Intel. ສະຫງວນລິຂະສິດທັງໝົດ. Intel, ໂລໂກ້ Intel, ແລະເຄື່ອງໝາຍ Intel ອື່ນໆແມ່ນເຄື່ອງໝາຍການຄ້າຂອງ Intel Corporation ຫຼືບໍລິສັດຍ່ອຍຂອງມັນ. Intel ຮັບປະກັນປະສິດທິພາບຂອງຜະລິດຕະພັນ FPGA ແລະ semiconductor ຂອງຕົນຕໍ່ກັບຂໍ້ມູນຈໍາເພາະໃນປະຈຸບັນໂດຍສອດຄ່ອງກັບການຮັບປະກັນມາດຕະຖານຂອງ Intel, ແຕ່ສະຫງວນສິດທີ່ຈະປ່ຽນແປງຜະລິດຕະພັນແລະການບໍລິການໄດ້ທຸກເວລາໂດຍບໍ່ມີການແຈ້ງການ. Intel ຖືວ່າບໍ່ມີຄວາມຮັບຜິດຊອບ ຫຼືຄວາມຮັບຜິດຊອບທີ່ເກີດຂຶ້ນຈາກແອັບພລິເຄຊັນ ຫຼືການນຳໃຊ້ຂໍ້ມູນ, ຜະລິດຕະພັນ, ຫຼືບໍລິການໃດໜຶ່ງທີ່ໄດ້ອະທິບາຍໄວ້ໃນນີ້ ຍົກເວັ້ນຕາມທີ່ໄດ້ຕົກລົງຢ່າງຈະແຈ້ງໃນລາຍລັກອັກສອນໂດຍ Intel. ລູກຄ້າ Intel ໄດ້ຮັບຄໍາແນະນໍາໃຫ້ໄດ້ຮັບສະບັບຫລ້າສຸດຂອງຂໍ້ມູນຈໍາເພາະຂອງອຸປະກອນກ່ອນທີ່ຈະອີງໃສ່ຂໍ້ມູນໃດໆທີ່ຈັດພີມມາແລະກ່ອນທີ່ຈະວາງຄໍາສັ່ງສໍາລັບຜະລິດຕະພັນຫຼືການບໍລິການ. *ຊື່ ແລະຍີ່ຫໍ້ອື່ນໆອາດຈະຖືກອ້າງວ່າເປັນຊັບສິນຂອງຄົນອື່ນ.
ISO 9001:2015 ລົງທະບຽນ
ຮູບ 3. ການຕັ້ງຄ່າການເຂົ້າລະຫັດ Intel Quartus Prime
3. ການເຂົ້າລະຫັດ AES Bitstream 683823 | 2023.05.23
ອີກທາງເລືອກ, ທ່ານສາມາດເພີ່ມຂໍ້ຄວາມການມອບຫມາຍຕໍ່ໄປນີ້ໃສ່ການຕັ້ງຄ່າ Intel Quartus Prime ຂອງທ່ານ file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM ໃນ set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
ຖ້າທ່ານຕ້ອງການເປີດໃຊ້ການຫຼຸດຜ່ອນເພີ່ມເຕີມຕໍ່ກັບ vectors ການໂຈມຕີທາງຂ້າງ, ທ່ານອາດຈະເປີດໃຊ້ການເລື່ອນລົງຂອງອັດຕາສ່ວນການປັບປຸງການເຂົ້າລະຫັດແລະເປີດໃຊ້ checkbox scrambling.
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 20
ສົ່ງຄຳຕິຊົມ
3. ການເຂົ້າລະຫັດ AES Bitstream 683823 | 2023.05.23
ການປ່ຽນແປງທີ່ສອດຄ້ອງກັນໃນ .qsf ແມ່ນ:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING ໃນ set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31
3.3. ການເຂົ້າລະຫັດການຕັ້ງຄ່າ Bitstream
ທ່ານເຂົ້າລະຫັດ bitstream ການຕັ້ງຄ່າກ່ອນທີ່ຈະລົງນາມໃນ bitstream. ການຂຽນໂປລແກລມ Intel Quartus Prime File ເຄື່ອງມືເຄື່ອງກໍາເນີດສາມາດເຂົ້າລະຫັດອັດຕະໂນມັດແລະລົງນາມໃນການຕັ້ງຄ່າ bitstream ໂດຍໃຊ້ສ່ວນຕິດຕໍ່ຜູ້ໃຊ້ແບບກາຟິກຫຼືເສັ້ນຄໍາສັ່ງ.
ເຈົ້າສາມາດເລືອກສ້າງບິດສະຕຣີມທີ່ຖືກເຂົ້າລະຫັດບາງສ່ວນເພື່ອໃຊ້ກັບເຄື່ອງມື quartus_encrypt ແລະ quartus_sign ຫຼືການປຽບທຽບການຈັດຕັ້ງປະຕິບັດການອ້າງອີງ.
3.3.1. ການຕັ້ງຄ່າການເຂົ້າລະຫັດ Bitstream ໂດຍໃຊ້ການຂຽນໂປຼແກຼມ File Generator Graphical Interface
ທ່ານສາມາດນໍາໃຊ້ Programming ໄດ້ File Generator ເພື່ອເຂົ້າລະຫັດແລະເຊັນຊື່ເຈົ້າຂອງຮູບພາບ.
ຮູບທີ 4.
1. ໃນ Intel Quartus Prime File ເມນູເລືອກ Programming File ເຄື່ອງກໍາເນີດໄຟຟ້າ. 2. ໃນ Output Files tab, ລະບຸຜົນຜະລິດ file ພິມສໍາລັບການຕັ້ງຄ່າຂອງທ່ານ
ໂຄງການ.
ຜົນຜະລິດ File ຂໍ້ມູນຈໍາເພາະ
ໂຄງການການຕັ້ງຄ່າ Output file ແຖບ
ຜົນຜະລິດ file ປະເພດ
3. ກ່ຽວກັບການປ້ອນຂໍ້ມູນ Files tab, ຄລິກ Add Bitstream ແລະທ່ອງໄປຫາ .sof ຂອງທ່ານ. 4. ເພື່ອກໍານົດທາງເລືອກການເຂົ້າລະຫັດແລະການກວດສອບຄວາມຖືກຕ້ອງ, ເລືອກ .sof ແລະຄລິກ
ຄຸນສົມບັດ. ກ. ເປີດໃຊ້ເຄື່ອງມືການເຊັນຊື່. ຂ. ສໍາລັບກະແຈສ່ວນຕົວ file ເລືອກລະຫັດການເຊັນຊື່ສ່ວນຕົວ .pem file. ຄ. ເປີດການເຂົ້າລະຫັດສຸດທ້າຍ.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 21
3. ການເຂົ້າລະຫັດ AES Bitstream 683823 | 2023.05.23
ຮູບທີ 5.
ງ. ສໍາລັບລະຫັດການເຂົ້າລະຫັດ file, ເລືອກ AES .qek ຂອງທ່ານ file. ການປ້ອນຂໍ້ມູນ (.sof) File ຄຸນສົມບັດສໍາລັບການພິສູດຢືນຢັນແລະການເຂົ້າລະຫັດ
ເປີດໃຊ້ການກວດສອບຄວາມຖືກຕ້ອງ ລະບຸຮາກສ່ວນຕົວ .pem
ເປີດໃຊ້ການເຂົ້າລະຫັດ ລະບຸລະຫັດການເຂົ້າລະຫັດ
5. ເພື່ອສ້າງ bitstream ທີ່ເຊັນແລະເຂົ້າລະຫັດ, ໃນ Input Files ແຖບ, ຄລິກ ສ້າງ. ກ່ອງໂຕ້ຕອບລະຫັດຜ່ານປາກົດຂຶ້ນເພື່ອໃຫ້ທ່ານໃສ່ລະຫັດຜ່ານຂອງທ່ານສໍາລັບລະຫັດ AES .qek file ແລະເຊັນຊື່ລະຫັດສ່ວນຕົວ .pem file. ການຂຽນໂປລແກລມ file generator ສ້າງການເຂົ້າລະຫັດແລະເຊັນອອກ output_file.rbf.
3.3.2. ການຕັ້ງຄ່າການເຂົ້າລະຫັດ Bitstream ໂດຍໃຊ້ການຂຽນໂປຼແກຼມ File ການໂຕ້ຕອບເສັ້ນຄໍາສັ່ງຂອງ Generator
ສ້າງບິດສະຕຣີມການຕັ້ງຄ່າທີ່ເຂົ້າລະຫັດໄວ້ ແລະເຊັນຊື່ໃນຮູບແບບ .rbf ດ້ວຍອິນເຕີເຟດແຖວຄຳສັ່ງ quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
ທ່ານສາມາດປ່ຽນບິດສະຕຣີມການຕັ້ງຄ່າທີ່ເຂົ້າລະຫັດໄວ້ ແລະເຊັນຊື່ໃນຮູບແບບ .rbf ເປັນບິດສະຕຣີມການຕັ້ງຄ່າອື່ນ. file ຮູບແບບ.
3.3.3. ການເຂົ້າລະຫັດບາງສ່ວນ ການສ້າງ Bitstream ການສ້າງການໂຕ້ຕອບການນໍາໃຊ້ເສັ້ນຄໍາສັ່ງ
ທ່ານອາດຈະສ້າງການຂຽນໂປຼແກຼມທີ່ຖືກເຂົ້າລະຫັດບາງສ່ວນ file ເພື່ອສິ້ນສຸດການເຂົ້າລະຫັດ ແລະເຊັນຮູບພາບໃນພາຍຫຼັງ. ສ້າງໂປຣແກມທີ່ຖືກເຂົ້າລະຫັດບາງສ່ວນ file ໃນຮູບແບບ .rbf ກັບ thequartus_pfgcommand line interface: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 22
ສົ່ງຄຳຕິຊົມ
3. ການເຂົ້າລະຫັດ AES Bitstream 683823 | 2023.05.23
ທ່ານໃຊ້ເຄື່ອງມືແຖວຄໍາສັ່ງ quartus_encrypt ເພື່ອສໍາເລັດການເຂົ້າລະຫັດ bitstream:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
ທ່ານໃຊ້ເຄື່ອງມືບັນທັດຄໍາສັ່ງ quartus_sign ເພື່ອລົງນາມໃນການຕັ້ງຄ່າ bitstream ທີ່ເຂົ້າລະຫັດໄວ້:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. ການປັບຕັ້ງຄ່າບາງສ່ວນການເຂົ້າລະຫັດ Bitstream
ທ່ານສາມາດເປີດໃຊ້ການເຂົ້າລະຫັດ bitstream ໃນບາງການອອກແບບIntel Agilex 7 FPGA ທີ່ໃຊ້ການປັບຄ່າບາງສ່ວນ.
ການອອກແບບການປັບຕັ້ງຄ່າບາງສ່ວນໂດຍໃຊ້ Hierarchical Partial Reconfiguration (HPR), ຫຼື Static Update Partial Reconfiguration (SUPR) ບໍ່ຮອງຮັບການເຂົ້າລະຫັດ bitstream. ຖ້າການອອກແບບຂອງທ່ານມີຫຼາຍຂົງເຂດ PR, ທ່ານຕ້ອງເຂົ້າລະຫັດບຸກຄົນທັງຫມົດ.
ເພື່ອເປີດໃຊ້ການເຂົ້າລະຫັດ bitstream ການຕັ້ງຄ່າຄືນໃຫມ່ບາງສ່ວນ, ປະຕິບັດຕາມຂັ້ນຕອນດຽວກັນໃນການແກ້ໄຂການອອກແບບທັງຫມົດ. 1. ໃນ Intel Quartus Prime File ເມນູ, ເລືອກ Assignments Device Device
ແລະ Pin Options Security. 2. ເລືອກສະຖານທີ່ເກັບຮັກສາລະຫັດການເຂົ້າລະຫັດທີ່ຕ້ອງການ.
ຮູບ 6. ການຕັ້ງຄ່າການເຂົ້າລະຫັດ Bitstream Reconfiguration ບາງສ່ວນ
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 23
3. ການເຂົ້າລະຫັດ AES Bitstream 683823 | 2023.05.23
ອີກທາງເລືອກ, ທ່ານສາມາດເພີ່ມຂໍ້ຄວາມການມອບຫມາຍຕໍ່ໄປນີ້ໃນການຕັ້ງຄ່າ Quartus Prime file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION ໃນ
ຫຼັງຈາກທີ່ທ່ານລວບລວມການອອກແບບພື້ນຖານແລະການດັດແກ້ຂອງທ່ານ, ຊອບແວຈະສ້າງ a.soffile ແລະຫນຶ່ງຫຼືຫຼາຍກວ່ານັ້ນ.pmsffiles, ເປັນຕົວແທນຂອງບຸກຄົນ. 3. ສ້າງການຂຽນໂປລແກລມທີ່ຖືກເຂົ້າລະຫັດແລະເຊັນ files ຈາກ.sof ແລະ.pmsf files ໃນແບບທີ່ຄ້າຍຄືກັນກັບການອອກແບບທີ່ບໍ່ມີການເປີດໃຊ້ໃຫມ່ບາງສ່ວນ. 4. ແປງ persona.pmsf ທີ່ລວບລວມແລ້ວ file ໄປຫາ encrypted.rbf ບາງສ່ວນ file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. ສິ້ນສຸດການເຂົ້າລະຫັດ bitstream ໂດຍໃຊ້ເຄື່ອງມືແຖວຄໍາສັ່ງ quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. ລົງຊື່ເຂົ້າລະຫັດການຕັ້ງຄ່າ bitstream ໂດຍໃຊ້ເຄື່ອງມືບັນທັດຄໍາສັ່ງ quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 24
ສົ່ງຄຳຕິຊົມ
683823 | 2023.05.23 ສົ່ງຄຳຕິຊົມ
ການຈັດຫາອຸປະກອນ
ການສະໜອງຄຸນສົມບັດຄວາມປອດໄພເບື້ອງຕົ້ນແມ່ນຮອງຮັບໃນເຟີມແວການສະໜອງ SDM ເທົ່ານັ້ນ. ໃຊ້ Intel Quartus Prime Programmer ເພື່ອໂຫລດເຟີມແວການສະຫນອງ SDM ແລະປະຕິບັດການສະຫນອງ.
ເຈົ້າອາດຈະໃຊ້ JTAG ດາວໂຫລດສາຍເພື່ອເຊື່ອມຕໍ່ Quartus Programmer ກັບອຸປະກອນ Intel Agilex 7 ເພື່ອປະຕິບັດການສະຫນອງ.
4.1. ໃຊ້ເຟີມແວ SDM Provision
Intel Quartus Prime Programmer ຈະສ້າງ ແລະໂຫຼດຮູບພາບຕົວຊ່ວຍເລີ່ມຕົ້ນຂອງໂຮງງານໂດຍອັດຕະໂນມັດ ເມື່ອທ່ານເລືອກການດຳເນີນການເລີ່ມຕົ້ນ ແລະຄຳສັ່ງເພື່ອຂຽນໂປຣແກຣມອັນອື່ນນອກຈາກການກຳນົດຄ່າ bitstream.
ອີງຕາມຄໍາສັ່ງການຂຽນໂປລແກລມທີ່ລະບຸ, ຮູບພາບຜູ້ຊ່ວຍເລີ່ມຕົ້ນຂອງໂຮງງານແມ່ນຫນຶ່ງໃນສອງປະເພດ:
· ການສະໜອງຮູບພາບຜູ້ຊ່ວຍ – ປະກອບດ້ວຍສ່ວນໜຶ່ງຂອງ bitstream ທີ່ມີເຟີມແວການສະໜອງ SDM.
· ຮູບພາບຜູ້ຊ່ວຍ QSPI – ປະກອບດ້ວຍສອງພາກສ່ວນ bitstream, ຫນຶ່ງປະກອບດ້ວຍ firmware ຕົ້ນຕໍ SDM ແລະພາກສ່ວນ I/O ຫນຶ່ງ.
ເຈົ້າອາດຈະສ້າງຮູບຜູ້ຊ່ວຍເລີ່ມຕົ້ນຈາກໂຮງງານ file ເພື່ອໂຫລດເຂົ້າໄປໃນອຸປະກອນຂອງທ່ານກ່ອນທີ່ຈະປະຕິບັດຄໍາສັ່ງການຂຽນໂປຼແກຼມໃດໆ. ຫຼັງຈາກການຂຽນໂປຼແກຼມການພິສູດຢືນຢັນລະຫັດຮາກ, ທ່ານຕ້ອງສ້າງແລະເຊັນຮູບຕົວຊ່ວຍເລີ່ມຕົ້ນຂອງໂຮງງານ QSPI ເພາະວ່າມີສ່ວນ I/O ທີ່ລວມຢູ່. ຖ້າທ່ານເພີ່ມໂຄງການການຕັ້ງຄ່າຄວາມປອດໄພເຟີມແວທີ່ເຊັນຮ່ວມກັນ eFuse, ທ່ານຕ້ອງສ້າງການຈັດຫາ ແລະຮູບພາບຜູ້ຊ່ວຍມາດຕະຖານໂຮງງານ QSPI ທີ່ມີເຟີມແວທີ່ເຊັນຮ່ວມ. ເຈົ້າອາດຈະໃຊ້ຮູບຕົວຊ່ວຍເລີ່ມຕົ້ນຂອງໂຮງງານທີ່ຮ່ວມເຊັນກັນຢູ່ໃນອຸປະກອນທີ່ບໍ່ໄດ້ສະໜອງໃຫ້ ເນື່ອງຈາກອຸປະກອນທີ່ບໍ່ໄດ້ຮັບການຈັດຫາຈະລະເລີຍລະບົບຕ່ອງໂສ້ລາຍເຊັນທີ່ບໍ່ແມ່ນ Intel ເທິງເຟີມແວ SDM. ອ້າງອີງເຖິງການໃຊ້ຮູບຕົວຊ່ວຍເລີ່ມຕົ້ນຂອງໂຮງງານ QSPI ໃນອຸປະກອນທີ່ເປັນເຈົ້າຂອງຢູ່ໜ້າ 26 ສໍາລັບລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບການສ້າງ, ເຊັນຊື່, ແລະການໃຊ້ຮູບຕົວຊ່ວຍເລີ່ມຕົ້ນຂອງໂຮງງານ QSPI.
ຮູບພາບຜູ້ຊ່ວຍເລີ່ມຕົ້ນຂອງໂຮງງານຜະລິດປະຕິບັດການສະຫນອງ, ເຊັ່ນວ່າການຂຽນໂປລແກລມ hash ລະຫັດຮາກຂອງການກວດສອບຄວາມຖືກຕ້ອງ, fuses ການຕັ້ງຄ່າຄວາມປອດໄພ, ການລົງທະບຽນ PUF, ຫຼືການສະຫນອງກະແຈສີດໍາ. ທ່ານໃຊ້ Intel Quartus Prime Programming File ເຄື່ອງມືແຖວຄຳສັ່ງຂອງ Generator ເພື່ອສ້າງຮູບພາບຜູ້ຊ່ວຍການສະໜອງ, ການລະບຸຕົວເລືອກ helper_image, ຊື່ຜູ້ຊ່ວຍຂອງທ່ານ, ປະເພດຍ່ອຍຂອງຮູບພາບຜູ້ຊ່ວຍການຈັດຫາ, ແລະທາງເລືອກທີ່ເປັນເຟີມແວທີ່ເຊັນຮ່ວມ .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
ວາງແຜນຮູບພາບຜູ້ຊ່ວຍໂດຍໃຊ້ເຄື່ອງມື Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force
ບໍລິສັດ Intel. ສະຫງວນລິຂະສິດທັງໝົດ. Intel, ໂລໂກ້ Intel, ແລະເຄື່ອງໝາຍ Intel ອື່ນໆແມ່ນເຄື່ອງໝາຍການຄ້າຂອງ Intel Corporation ຫຼືບໍລິສັດຍ່ອຍຂອງມັນ. Intel ຮັບປະກັນປະສິດທິພາບຂອງຜະລິດຕະພັນ FPGA ແລະ semiconductor ຂອງຕົນຕໍ່ກັບຂໍ້ມູນຈໍາເພາະໃນປະຈຸບັນໂດຍສອດຄ່ອງກັບການຮັບປະກັນມາດຕະຖານຂອງ Intel, ແຕ່ສະຫງວນສິດທີ່ຈະປ່ຽນແປງຜະລິດຕະພັນແລະການບໍລິການໄດ້ທຸກເວລາໂດຍບໍ່ມີການແຈ້ງການ. Intel ຖືວ່າບໍ່ມີຄວາມຮັບຜິດຊອບ ຫຼືຄວາມຮັບຜິດຊອບທີ່ເກີດຂຶ້ນຈາກແອັບພລິເຄຊັນ ຫຼືການນຳໃຊ້ຂໍ້ມູນ, ຜະລິດຕະພັນ, ຫຼືບໍລິການໃດໜຶ່ງທີ່ໄດ້ອະທິບາຍໄວ້ໃນນີ້ ຍົກເວັ້ນຕາມທີ່ໄດ້ຕົກລົງຢ່າງຈະແຈ້ງໃນລາຍລັກອັກສອນໂດຍ Intel. ລູກຄ້າ Intel ໄດ້ຮັບຄໍາແນະນໍາໃຫ້ໄດ້ຮັບສະບັບຫລ້າສຸດຂອງຂໍ້ມູນຈໍາເພາະຂອງອຸປະກອນກ່ອນທີ່ຈະອີງໃສ່ຂໍ້ມູນໃດໆທີ່ຈັດພີມມາແລະກ່ອນທີ່ຈະວາງຄໍາສັ່ງສໍາລັບຜະລິດຕະພັນຫຼືການບໍລິການ. *ຊື່ ແລະຍີ່ຫໍ້ອື່ນໆອາດຈະຖືກອ້າງວ່າເປັນຊັບສິນຂອງຄົນອື່ນ.
ISO 9001:2015 ລົງທະບຽນ
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
ໝາຍເຫດ:
ທ່ານອາດຈະລະເວັ້ນການດໍາເນີນການເລີ່ມຕົ້ນຈາກຄໍາສັ່ງ, ລວມທັງ examples ສະຫນອງໃຫ້ໃນບົດນີ້, ຫຼັງຈາກການຂຽນໂປລແກລມຮູບພາບຜູ້ຊ່ວຍການສະຫນອງຫຼືການນໍາໃຊ້ຄໍາສັ່ງທີ່ປະກອບດ້ວຍການດໍາເນີນງານເບື້ອງຕົ້ນ.
4.2. ການນໍາໃຊ້ຮູບພາບຕົວຊ່ວຍເລີ່ມຕົ້ນຂອງໂຮງງານ QSPI ໃນອຸປະກອນທີ່ເປັນເຈົ້າຂອງ
Intel Quartus Prime Programmer ຈະສ້າງ ແລະໂຫຼດຮູບພາບຕົວຊ່ວຍເລີ່ມຕົ້ນຂອງໂຮງງານ QSPI ໂດຍອັດຕະໂນມັດ ເມື່ອທ່ານເລືອກການດຳເນີນການເບື້ອງຕົ້ນສຳລັບ QSPI flash programming file. ຫຼັງຈາກການຂຽນໂປຼແກຼມລະຫັດຮາກຂອງການກວດສອບຄວາມຖືກຕ້ອງ, ທ່ານຕ້ອງສ້າງແລະເຊັນຊື່ຮູບພາບຜູ້ຊ່ວຍໂຮງງານ QSPI ເລີ່ມຕົ້ນ, ແລະຂຽນໂຄງການຮູບພາບຜູ້ຊ່ວຍໂຮງງານ QSPI ທີ່ເຊັນແຍກຕ່າງຫາກກ່ອນທີ່ຈະດໍາເນີນໂຄງການ QSPI flash. 1. ທ່ານໃຊ້ໂປຣແກຣມ Intel Quartus Prime File ເຄື່ອງມືເສັ້ນຄໍາສັ່ງ Generator ກັບ
ສ້າງຮູບຕົວຊ່ວຍ QSPI, ລະບຸຕົວເລືອກ helper_image, ປະເພດ helper_device ຂອງທ່ານ, ປະເພດຍ່ອຍຂອງຮູບຕົວຊ່ວຍ QSPI, ແລະທາງເລືອກທີ່ເປັນເຟີມແວ cosigned .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. ທ່ານເຊັນຮູບຜູ້ຊ່ວຍໂຮງງານ QSPI ເລີ່ມຕົ້ນ:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. ເຈົ້າອາດຈະໃຊ້ໂປຣແກມ QSPI flash ໃດ file ຮູບແບບ. ຕໍ່ໄປນີ້ examples ໃຊ້ bitstream ການຕັ້ງຄ່າທີ່ປ່ຽນເປັນ .jic file ຮູບແບບ:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o ອຸປະກອນ=MT25QU128 -o flash_loader=AGFB014R24A -o ໂໝດ=ASX4
4. ທ່ານຂຽນໂປລແກລມຮູບພາບຜູ້ຊ່ວຍທີ່ໄດ້ເຊັນໂດຍໃຊ້ເຄື່ອງມື Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –force
5. ທ່ານຂຽນໂປຣແກຣມຮູບພາບ .jic ເພື່ອແຟດໂດຍໃຊ້ເຄື່ອງມື Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”
4.3. ການກວດສອບຄວາມຖືກຕ້ອງຂອງລະຫັດຮາກ
ເພື່ອຂຽນໂປຼແກຼມ root hashes ຂອງເຈົ້າຂອງໄປຫາຟິວຟີຊິກ, ກ່ອນອື່ນ ໝົດ ທ່ານຕ້ອງໂຫລດ firmware ການຈັດຫາ, ໂປແກຼມຕໍ່ໄປໃຫ້ເຈົ້າຂອງ root hashes, ແລະຫຼັງຈາກນັ້ນໃຫ້ເປີດການເປີດຄືນໃຫມ່ໃນທັນທີ. ການຣີເຊັດການເປີດເຄື່ອງແມ່ນບໍ່ຈໍາເປັນຖ້າຫາກວ່າການຂຽນໂປລແກລມ root hashes ກັບຟິວ virtual.
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 26
ສົ່ງຄຳຕິຊົມ
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
ເພື່ອກວດສອບລະຫັດຮາກຂອງລະຫັດ, ທ່ານຕັ້ງໂປຣແກຣມໃຫ້ຮູບພາບຕົວຊ່ວຍຂອງເຟີມແວ ແລະດໍາເນີນການຫນຶ່ງໃນຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອຂຽນໂປຣແກຣມລະຫັດຮາກ .qky files.
// ສໍາລັບທາງດ້ານຮ່າງກາຍ (ບໍ່ປ່ຽນແປງ) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –non_volatile_key
// ສໍາລັບ virtual (volatile) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky”
4.3.1. ການກຳນົດຄ່າບາງສ່ວນ ການຂຽນໂປຣແກຣມຫຼັກຫຼາຍອຳນາດ
ຫຼັງຈາກການຈັດຫາອຸປະກອນ ຫຼືລະຫັດຮາກເຈົ້າຂອງ bitstream ພາກພື້ນຄົງທີ່ແລ້ວ, ໃຫ້ທ່ານໂຫຼດຮູບພາບຜູ້ຊ່ວຍການສະໜອງອຸປະກອນອີກຄັ້ງ, ດໍາເນີນໂຄງການໃບຮັບຮອງການອະນຸມັດໂຄງການ PR public key ທີ່ເຊັນແລ້ວ, ແລະຫຼັງຈາກນັ້ນໃຫ້ root key PR persona bitstream owner.
// ສໍາລັບທາງດ້ານຮ່າງກາຍ (ບໍ່ປ່ຽນແປງ) eFuses quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// ສໍາລັບ virtual (volatile) eFuses quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Programming Key Cancellation ID Fuses
ເລີ່ມຕົ້ນດ້ວຍຊອບແວ Intel Quartus Prime Pro Edition ເວີຊັ່ນ 21.1, ການຂຽນໂປລແກລມ Intel ແລະ fuses ການຍົກເລີກລະຫັດເຈົ້າຂອງກະແຈຕ້ອງການໃຊ້ໃບຮັບຮອງທີ່ລົງນາມ. ທ່ານສາມາດເຊັນໃບຢັ້ງຢືນການຍົກເລີກລະຫັດ ID ທີ່ສໍາຄັນທີ່ມີລະບົບຕ່ອງໂສ້ລາຍເຊັນທີ່ມີການອະນຸຍາດການເຊັນພາກ FPGA. ທ່ານສ້າງໃບຢັ້ງຢືນທີ່ຫນາແຫນ້ນດ້ວຍການຂຽນໂປຼແກຼມ file ເຄື່ອງມືເສັ້ນຄໍາສັ່ງຂອງເຄື່ອງຜະລິດ. ທ່ານເຊັນໃບຢັ້ງຢືນທີ່ບໍ່ໄດ້ເຊັນໂດຍໃຊ້ເຄື່ອງມື quartus_sign ຫຼືການປະຕິບັດການອ້າງອີງ.
ອຸປະກອນ Intel Agilex 7 ສະຫນັບສະຫນູນທະນາຄານແຍກຕ່າງຫາກຂອງ ID ຍົກເລີກລະຫັດເຈົ້າຂອງສໍາລັບແຕ່ລະລະຫັດຮາກ. ເມື່ອໃບຮັບຮອງການຍົກເລີກລະຫັດ ID ເຈົ້າຂອງກະແຈຖືກຕັ້ງໂຄງການເຂົ້າໃນ Intel Agilex 7 FPGA, SDM ກໍານົດວ່າກຸນແຈຮາກໃດທີ່ເຊັນໃບຢັ້ງຢືນທີ່ຫນາແຫນ້ນແລະຟັນຟິວ ID ການຍົກເລີກລະຫັດທີ່ກົງກັບລະຫັດຮາກນັ້ນ.
ຕໍ່ໄປນີ້ examples ສ້າງໃບຢັ້ງຢືນການຍົກເລີກກະແຈ Intel ສໍາລັບ Intel key ID 7. ທ່ານອາດຈະປ່ຽນ 7 ດ້ວຍລະຫັດການຍົກເລີກລະຫັດ Intel ທີ່ໃຊ້ໄດ້ຈາກ 0-31.
ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອສ້າງໃບຢັ້ງຢືນການຍົກເລີກລະຫັດ Intel ທີ່ບໍ່ໄດ້ເຊັນຊື່:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
ດໍາເນີນການຫນຶ່ງໃນຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອເຊັນໃບຢັ້ງຢືນການຍົກເລີກລະຫັດ Intel ທີ່ບໍ່ໄດ້ເຊັນ:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 27
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອສ້າງໃບຢັ້ງຢືນການຍົກເລີກລະຫັດລະຫັດເຈົ້າຂອງທີ່ບໍ່ໄດ້ເຊັນຊື່:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
ດໍາເນີນການຫນຶ່ງໃນຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອເຊັນໃບຢັ້ງຢືນການຍົກເລີກລະຫັດລະຫັດເຈົ້າຂອງທີ່ບໍ່ໄດ້ລົງນາມ:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
ຫຼັງຈາກທີ່ເຈົ້າໄດ້ສ້າງໃບຮັບຮອງການຍົກເລີກລະຫັດລະຫັດລັບທີ່ເຊັນແລ້ວ, ທ່ານໃຊ້ Intel Quartus Prime Programmer ເພື່ອຂຽນໃບຮັບຮອງທີ່ຫນາແຫນ້ນໃຫ້ກັບອຸປະກອນຜ່ານ J.TAG.
// ສໍາລັບທາງດ້ານຮ່າງກາຍ (ບໍ່ລະເຫີຍ) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
// ສໍາລັບ virtual (volatile) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
ນອກຈາກນັ້ນ, ທ່ານອາດຈະສົ່ງໃບຢັ້ງຢືນທີ່ຫນາແຫນ້ນໄປຫາ SDM ໂດຍໃຊ້ອິນເຕີເຟດກ່ອງຈົດຫມາຍ FPGA ຫຼື HPS.
4.5. ການຍົກເລີກລະຫັດຮາກ
ອຸປະກອນ Intel Agilex 7 ຊ່ວຍໃຫ້ທ່ານສາມາດຍົກເລີກການລຶບລະຫັດຮາກໄດ້ເມື່ອມີ hash ລະຫັດຮາກທີ່ບໍ່ໄດ້ຍົກເລີກອີກອັນໜຶ່ງ. ທ່ານຍົກເລີກການ hash ກຸນແຈຮາກໂດຍທໍາອິດ configure ອຸປະກອນທີ່ມີການອອກແບບທີ່ມີລະບົບຕ່ອງໂສ້ລາຍເຊັນແມ່ນຮາກຖານຢູ່ໃນ hash ຄີຮາກທີ່ແຕກຕ່າງກັນ, ຫຼັງຈາກນັ້ນໂຄງການລົງນາມເປັນໃບຢັ້ງຢືນການຍົກເລີກ hash ລະຫັດຮາກ. ທ່ານຕ້ອງເຊັນໃບຢັ້ງຢືນການຍົກເລີກ hash key ຮາກທີ່ມີລະບົບຕ່ອງໂສ້ລາຍເຊັນທີ່ຮາກຖານຢູ່ໃນລະຫັດຮາກທີ່ຈະຖືກຍົກເລີກ.
ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອສ້າງໃບຢັ້ງຢືນການຍົກເລີກລະຫັດ hash ຮາກທີ່ບໍ່ໄດ້ເຊັນ:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 28
ສົ່ງຄຳຕິຊົມ
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
ດໍາເນີນການຫນຶ່ງໃນຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອເຊັນໃບຢັ້ງຢືນການຍົກເລີກລະຫັດ hash ຮາກທີ່ບໍ່ໄດ້ເຊັນ:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
ທ່ານອາດຈະດໍາເນີນໂຄງການໃບຢັ້ງຢືນການຍົກເລີກ hash key ຮາກໂດຍຜ່ານ JTAG, FPGA, ຫຼືກ່ອງຈົດຫມາຍ HPS.
4.6. ໂປຣແກມ Counter Fuses
ທ່ານອັບເດດໝາຍເລກຄວາມປອດໄພ (SVN) ແລະ Pseudo Time Stamp (PTS) counter fuses ການນໍາໃຊ້ໃບຢັ້ງຢືນການທີ່ຫນາແຫນ້ນໄດ້ເຊັນ.
ໝາຍເຫດ:
SDM ຕິດຕາມມູນຄ່າ counter ຕໍາ່ສຸດທີ່ເຫັນໃນລະຫວ່າງການຕັ້ງຄ່າທີ່ໃຫ້ ແລະບໍ່ຍອມຮັບໃບຢັ້ງຢືນການນັບເພີ່ມຂຶ້ນເມື່ອມູນຄ່າ counter ນ້ອຍກວ່າຄ່າຕໍາ່ສຸດທີ່. ທ່ານຕ້ອງອັບເດດວັດຖຸທັງໝົດທີ່ມອບໝາຍໃຫ້ເຄື່ອງນັບຖອຍຫຼັງ ແລະ ຕັ້ງຄ່າອຸປະກອນຄືນໃໝ່ ກ່ອນທີ່ຈະຂຽນໂປຣແກຣມໃບຮັບຮອງການນັບຖອຍຫຼັງ.
ດໍາເນີນການຫນຶ່ງໃນຄໍາສັ່ງຕໍ່ໄປນີ້ທີ່ສອດຄ້ອງກັບໃບຢັ້ງຢືນການເພີ່ມຈໍານວນທີ່ທ່ານຕ້ອງການທີ່ຈະສ້າງ.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert
quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert
quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert
quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert
quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert
ຄ່າຕົວນັບຂອງ 1 ສ້າງໃບຢັ້ງຢືນການອະນຸມັດການເພີ່ມການນັບ. ການຂຽນໂປຣແກຣມໃບຮັບຮອງການເພີ່ມການນັບຖອຍຫຼັງເຮັດໃຫ້ທ່ານສາມາດຕັ້ງໂຄງການໃບຮັບຮອງການເພີ່ມຕົວນັບທີ່ບໍ່ໄດ້ເຊັນເພື່ອອັບເດດຕົວນັບຕາມລໍາດັບ. ທ່ານໃຊ້ເຄື່ອງມື quartus_sign ເພື່ອເຊັນໃບຢັ້ງຢືນ counter compact ໃນລັກສະນະທີ່ຄ້າຍຄືກັນກັບ key cancellation ID ໃບຮັບຮອງຫນາແຫນ້ນ.
ທ່ານອາດຈະດໍາເນີນໂຄງການໃບຢັ້ງຢືນການຍົກເລີກ hash key ຮາກໂດຍຜ່ານ JTAG, FPGA, ຫຼືກ່ອງຈົດຫມາຍ HPS.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 29
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
4.7. ການຮັກສາຄວາມປອດໄພ Data Object Service Root Key Provisioning
ທ່ານໃຊ້ Intel Quartus Prime Programmer ເພື່ອສະຫນອງລະຫັດຮາກຂອງ Secure Data Object Service (SDOS). ໂປລແກລມໂຫລດຮູບພາບຜູ້ຊ່ວຍເຟີມແວອັດຕະໂນມັດເພື່ອສະໜອງລະຫັດຮາກ SDOS.
quartus_pgm ຄ 1 mjtag –service_root_key –non_volatile_key
4.8. ການຕັ້ງຄ່າຄວາມປອດໄພ Fuse ການສະຫນອງ
ໃຊ້ Intel Quartus Prime Programmer ເພື່ອກວດສອບການຕັ້ງຄວາມປອດໄພຂອງອຸປະກອນ ແລະຂຽນພວກມັນໃສ່ .fuse ທີ່ອີງໃສ່ຂໍ້ຄວາມ. file ດັ່ງນີ້:
quartus_pgm -c 1 -mjtag -o “ei; programming_file.fuse;AGFB014R24B”
ຕົວເລືອກ · i: ໂປຣແກມເລິ່ມໂຫຼດຮູບພາບຕົວຊ່ວຍເຟີມແວໃສ່ອຸປະກອນ. · e: Programmer ອ່ານຟິວຈາກອຸປະກອນ ແລະເກັບໄວ້ໃນ .fuse file.
The .fuse file ມີບັນຊີລາຍຊື່ຂອງຄູ່ຊື່ fuse. ຄ່າລະບຸວ່າຟິວຖືກລະເບີດ ຫຼືເນື້ອໃນຂອງຟິວ.
ຕໍ່ໄປນີ້ example ສະແດງໃຫ້ເຫັນຮູບແບບຂອງ .fuse file:
# ເຟີມແວທີ່ເຊັນຮ່ວມກັນ
= “ບໍ່ໄດ້ເປົ່າ”
# ອະນຸຍາດໃຫ້ອຸປະກອນຂ້າ
= “ບໍ່ໄດ້ເປົ່າ”
# ອຸປະກອນບໍ່ປອດໄພ
= “ບໍ່ໄດ້ເປົ່າ”
# ປິດການດີບັກ HPS
= “ບໍ່ໄດ້ເປົ່າ”
# ປິດການລົງທະບຽນ Intrinsic ID PUF
= “ບໍ່ໄດ້ເປົ່າ”
# ປິດໃຊ້ງານ JTAG
= “ບໍ່ໄດ້ເປົ່າ”
# ປິດການໃຊ້ລະຫັດການເຂົ້າລະຫັດທີ່ຫໍ່ດ້ວຍ PUF
= “ບໍ່ໄດ້ເປົ່າ”
# ປິດການໃຊ້ງານລະຫັດການເຂົ້າລະຫັດເຈົ້າຂອງໃນ BBRAM = "ບໍ່ໄດ້ເປົ່າ"
# ປິດການໃຊ້ງານລະຫັດການເຂົ້າລະຫັດເຈົ້າຂອງໃນ eFuses = "ບໍ່ໄດ້ລະເບີດ"
# ປິດການໃຊ້ງານເຈົ້າຂອງ root ລະຫັດສາທາລະນະ hash 0
= “ບໍ່ໄດ້ເປົ່າ”
# ປິດການໃຊ້ງານເຈົ້າຂອງ root ລະຫັດສາທາລະນະ hash 1
= “ບໍ່ໄດ້ເປົ່າ”
# ປິດການໃຊ້ງານເຈົ້າຂອງ root ລະຫັດສາທາລະນະ hash 2
= “ບໍ່ໄດ້ເປົ່າ”
# ປິດໃຊ້ງານ eFuses virtual
= “ບໍ່ໄດ້ເປົ່າ”
# ບັງຄັບໂມງ SDM ກັບ oscillator ພາຍໃນ = "ບໍ່ໄດ້ເປົ່າ"
# ບັງຄັບໃຫ້ອັບເດດລະຫັດການເຂົ້າລະຫັດ
= “ບໍ່ໄດ້ເປົ່າ”
# Intel ຍົກເລີກກະແຈຢ່າງຈະແຈ້ງ
= “0”
# ລັອກຄວາມປອດໄພ eFuses
= “ບໍ່ໄດ້ເປົ່າ”
# ເຈົ້າຂອງໂປຣແກມລະຫັດເຂົ້າລະຫັດສຳເລັດແລ້ວ
= “ບໍ່ໄດ້ເປົ່າ”
# ເຈົ້າຂອງໂຄງການລະຫັດການເຂົ້າລະຫັດເລີ່ມຕົ້ນ
= “ບໍ່ໄດ້ເປົ່າ”
# ເຈົ້າຂອງລະຫັດຍົກເລີກຊັດເຈນ 0
= “”
# ເຈົ້າຂອງລະຫັດຍົກເລີກຊັດເຈນ 1
= “”
# ເຈົ້າຂອງລະຫັດຍົກເລີກຊັດເຈນ 2
= “”
# ເຈົ້າຂອງຟິວ
=
“0x00000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000
0000000000000000000000”
# ເຈົ້າຂອງ root ລະຫັດສາທາລະນະ hash 0
=
“0x00000000000000000000000000000000000000000000000000000
0000000000000000000000000000000000000000000”
# ເຈົ້າຂອງ root ລະຫັດສາທາລະນະ hash 1
=
“0x00000000000000000000000000000000000000000000000000000
0000000000000000000000000000000000000000000”
# ເຈົ້າຂອງ root ລະຫັດສາທາລະນະ hash 2
=
“0x00000000000000000000000000000000000000000000000000000
0000000000000000000000000000000000000000000”
# ເຈົ້າຂອງ root ຂະໜາດກະແຈສາທາລະນະ
= “ບໍ່ມີ”
# ເຄົາເຕີ PTS
= “0”
# ຖານເຄົາເຕີ PTS
= “0”
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 30
ສົ່ງຄຳຕິຊົມ
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
# QSPI ເລີ່ມຕົ້ນການຊັກຊ້າ # RMA Counter # SDMIO0 ແມ່ນ I2C # SVN counter A # SVN counter B # SVN counter C # SVN counter D
= “10ms” = “0” = “ບໍ່ເປົ່າ” = “0” = “0” = “0” = “0”
ປັບປຸງແກ້ໄຂ .fuse file ເພື່ອກໍານົດ fuses ການຕັ້ງຄ່າຄວາມປອດໄພທີ່ທ່ານຕ້ອງການ. ເສັ້ນທີ່ເລີ່ມຕົ້ນດ້ວຍ # ຖືກປະຕິບັດເປັນແຖວຄຳເຫັນ. ເພື່ອຂຽນໂປຣແກມ fuse ການຕັ້ງຄ່າຄວາມປອດໄພ, ເອົາຕົວນໍາ # ແລະກໍານົດຄ່າເປັນ Blown. ຕົວຢ່າງample, ເພື່ອເປີດໃຊ້ fuse ການຕັ້ງຄ່າຄວາມປອດໄພເຟີມແວທີ່ເຊັນຮ່ວມກັນ, ແກ້ໄຂສາຍທໍາອິດຂອງຟິວ file ຕໍ່ໄປນີ້:
ເຟີມແວທີ່ລົງນາມຮ່ວມກັນ = “ເປົ່າ”
ນອກນັ້ນທ່ານຍັງອາດຈະຈັດສັນແລະດໍາເນີນໂຄງການ Fuses ເຈົ້າຂອງໂດຍອີງໃສ່ຄວາມຕ້ອງການຂອງທ່ານ.
ເຈົ້າອາດຈະໃຊ້ຄໍາສັ່ງດັ່ງຕໍ່ໄປນີ້ເພື່ອດໍາເນີນການກວດສອບຫວ່າງເປົ່າ, ໂຄງການ, ແລະກວດສອບຂອງເຈົ້າຂອງ root public key:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”
ຕົວເລືອກ · i: ໂຫຼດຮູບພາບຜູ້ຊ່ວຍເຟີມແວໃສ່ອຸປະກອນ. · b: ດໍາເນີນການກວດສອບເປົ່າເພື່ອກວດສອບວ່າຟິວການຕັ້ງຄ່າຄວາມປອດໄພທີ່ຕ້ອງການບໍ່ແມ່ນ
ພັດແລ້ວ. · p: ໂປຣແກມຟິວ. · v: ຢືນຢັນລະຫັດໂຄງການໃນອຸປະກອນ.
ຫຼັງຈາກການຂຽນໂປລແກລມ .qky file, ທ່ານສາມາດກວດສອບຂໍ້ມູນຟິວໄດ້ໂດຍການກວດສອບຂໍ້ມູນຟິວອີກຄັ້ງເພື່ອຮັບປະກັນວ່າທັງເຈົ້າຂອງກະແຈສາທາລະນະ ແລະຂະໜາດກະແຈຂອງເຈົ້າຂອງມີຄ່າທີ່ບໍ່ແມ່ນສູນ.
ໃນຂະນະທີ່ຊ່ອງຂໍ້ມູນຕໍ່ໄປນີ້ບໍ່ສາມາດຂຽນໄດ້ຜ່ານ .fuse file ວິທີການ, ພວກມັນຖືກລວມເຂົ້າໃນລະຫວ່າງການກວດສອບຜົນຂອງການປະຕິບັດການຢັ້ງຢືນ: · ອຸປະກອນບໍ່ປອດໄພ · Device permit kill · Disable owner root public key hash 0 · Disable owner root public key hash 1 · Disable owner root public key hash 2 · Intel key cancellation · Owner encryption key program start · Owner encryption key program done · Owner key cancellation · Owner public key hash · Owner public key size · Owner root public key hash 0 · Owner root public key hash 1 · Owner root public key hash 2
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 31
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
· ເຄົາເຕີ PTS · PTS counter base · QSPI ເລີ່ມຊ້າ · RMA counter · SDMIO0 ແມ່ນ I2C · SVN counter A · SVN counter B · SVN counter C · SVN counter D
ໃຊ້ Intel Quartus Prime Programmer ເພື່ອຂຽນໂປຣແກຣມ .fuse file ກັບໄປຫາອຸປະກອນ. ຖ້າທ່ານເພີ່ມທາງເລືອກ i, ໂປລແກລມຈະໂຫລດເຟີມແວການສະຫນອງອັດຕະໂນມັດເພື່ອຂຽນໂປຼແກຼມການຕັ້ງຄ່າຄວາມປອດໄພ.
// ສໍາລັບທາງດ້ານຮ່າງກາຍ (ບໍ່ລະເຫີຍ) eFuses quartus_pgm -c 1 -mjtag -o “pi; programming_file.fuse” –non_volatile_key
// ສໍາລັບ virtual (volatile) eFuses quartus_pgm -c 1 -mjtag -o “pi; programming_file.ຟິວ”
ທ່ານສາມາດນໍາໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອກວດສອບວ່າ hash ປຸ່ມຮາກອຸປະກອນແມ່ນຄືກັນກັບ .qky ທີ່ຢູ່ໃນຄໍາສັ່ງ:
quartus_pgm -c 1 -mjtag -o “v;root0_another.qky”
ຖ້າກະແຈບໍ່ກົງກັນ, Programmer ລົ້ມເຫລວກັບຂໍ້ຄວາມສະແດງຂໍ້ຜິດພາດ Operation failed.
4.9. AES Root Key ການສະຫນອງ
ທ່ານຕ້ອງໃຊ້ໃບຮັບຮອງຫຼັກຫຼັກຂອງ AES ທີ່ລົງນາມເພື່ອຂຽນໂປຣແກຣມລະຫັດຮາກ AES ໃຫ້ກັບອຸປະກອນ Intel Agilex 7.
4.9.1. AES Root Key Compact Certificate
ທ່ານໃຊ້ເຄື່ອງມືເສັ້ນຄໍາສັ່ງ quartus_pfg ເພື່ອປ່ຽນລະຫັດຮາກ AES .qek ຂອງທ່ານ file ເຂົ້າໄປໃນຮູບແບບ .ccert ໃບຮັບຮອງທີ່ຫນາແຫນ້ນ. ທ່ານລະບຸສະຖານທີ່ເກັບຮັກສາທີ່ສໍາຄັນໃນຂະນະທີ່ສ້າງໃບຢັ້ງຢືນທີ່ຫນາແຫນ້ນ. ທ່ານອາດຈະໃຊ້ເຄື່ອງມື quartus_pfg ເພື່ອສ້າງໃບຢັ້ງຢືນທີ່ບໍ່ໄດ້ເຊັນສໍາລັບການເຊັນໃນພາຍຫຼັງ. ທ່ານຕ້ອງໃຊ້ລະບົບຕ່ອງໂສ້ລາຍເຊັນທີ່ມີການອະນຸຍາດການເຊັນໃບຢັ້ງຢືນຫຼັກຂອງ AES, ບິດການອະນຸຍາດ 6, ເປີດໃຊ້ເພື່ອສໍາເລັດການເຊັນໃບຢັ້ງຢືນຫຼັກຮາກ AES.
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 32
ສົ່ງຄຳຕິຊົມ
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
1. ສ້າງຄູ່ຄີເພີ່ມເຕີມທີ່ໃຊ້ເພື່ອເຊັນໃບຢັ້ງຢືນຫຼັກຂອງ AES ໂດຍໃຊ້ຫນຶ່ງໃນຄໍາສັ່ງຕໍ່ໄປນີ້ examples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mechanism ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. ສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນທີ່ມີຊຸດການອະນຸຍາດທີ່ຖືກຕ້ອງໂດຍໃຊ້ຫນຶ່ງໃນຄໍາສັ່ງຕໍ່ໄປນີ້:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.q
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmious_key=prev root2 –previous_qky=root0.qky –permission=0x0 –cancel=40 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. ສ້າງໃບຮັບຮອງ AES ທີ່ບໍ່ລົງນາມສໍາລັບສະຖານທີ່ເກັບຮັກສາລະຫັດຮາກ AES ທີ່ຕ້ອງການ. ທາງເລືອກການເກັບຮັກສາທີ່ສໍາຄັນ AES ຮາກດັ່ງຕໍ່ໄປນີ້ແມ່ນມີຢູ່:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//ສ້າງລະຫັດຮາກ eFuse AES ທີ່ບໍ່ໄດ້ເຊັນໃບຢັ້ງຢືນ quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. ເຊັນໃບຢັ້ງຢືນທີ່ຫນາແຫນ້ນດ້ວຍຄໍາສັ່ງ quartus_sign ຫຼືການປະຕິບັດການອ້າງອີງ.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert ເຊັນ_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 33
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert ເຊັນ_ 1.ccert
5. ໃຊ້ Intel Quartus Prime Programmer ເພື່ອຂຽນໃບຮັບຮອງ AES root key compact ໃຫ້ກັບອຸປະກອນ Intel Agilex 7 ຜ່ານ J.TAG. Intel Quartus Prime Programmer ຕັ້ງຄ່າເລີ່ມຕົ້ນທີ່ຈະຕັ້ງໂປຣແກຣມ eFuses virtual ເມື່ອໃຊ້ປະເພດໃບຮັບຮອງທີ່ຫນາແຫນ້ນຂອງ EFUSE_WRAPPED_AES_KEY.
ທ່ານເພີ່ມຕົວເລືອກ –non_volatile_key ເພື່ອລະບຸໂປຣແກມຟິວຟີວ.
// ສໍາລັບທາງກາຍະພາບ (ບໍ່ລະເຫີຍ) eFuse AES root key quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –non_volatile_key
// ສຳລັບ virtual (volatile) eFuse AES root key quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”
// ສໍາລັບ BBRAM AES ລະຫັດຮາກ quartus_pgm -c 1 -mjtag -o “pi;signed_bbram1.ccert”
ເຟີມແວທີ່ສະໜອງໃຫ້ SDM ແລະເຟີມແວຫຼັກສະໜັບສະໜູນການຂຽນໂປຣແກຣມໃບຮັບຮອງຫຼັກຂອງ AES. ເຈົ້າອາດຈະໃຊ້ອິນເຕີເຟດກ່ອງຈົດໝາຍ SDM ຈາກຜ້າ FPGA ຫຼື HPS ເພື່ອຂຽນໃບຮັບຮອງຫຼັກຂອງ AES.
ໝາຍເຫດ:
ຄໍາສັ່ງ quartus_pgm ບໍ່ຮອງຮັບຕົວເລືອກ b ແລະ v ສໍາລັບໃບຢັ້ງຢືນທີ່ຫນາແຫນ້ນ (.ccert).
4.9.2. Intrinsic ID® PUF AES Root Key Provisioning
ການປະຕິບັດ Intrinsic* ID PUF ຫໍ່ AES Key ປະກອບມີຂັ້ນຕອນດັ່ງຕໍ່ໄປນີ້: 1. ການລົງທະບຽນ Intrinsic ID PUF ຜ່ານ J.TAG. 2. ການຫໍ່ຄີຮາກ AES. 3. ການຂຽນໂປລແກລມຂໍ້ມູນຜູ້ຊ່ວຍແລະຫໍ່ກະແຈເຂົ້າໄປໃນຫນ່ວຍຄວາມຈໍາ quad SPI flash. 4. ການສອບຖາມສະຖານະການເປີດໃຊ້ Intrinsic ID PUF.
ການໃຊ້ເທກໂນໂລຍີ Intrinsic ID ຮຽກຮ້ອງໃຫ້ມີຂໍ້ຕົກລົງໃບອະນຸຍາດແຍກຕ່າງຫາກກັບ Intrinsic ID. ຊອບແວ Intel Quartus Prime Pro Edition ຈໍາກັດການດໍາເນີນງານ PUF ໂດຍບໍ່ມີໃບອະນຸຍາດທີ່ເຫມາະສົມ, ເຊັ່ນ: ການລົງທະບຽນ, ການຫໍ່ກະແຈ, ແລະການຂຽນໂປຼແກຼມຂໍ້ມູນ PUF ກັບ QSPI flash.
4.9.2.1. ການລົງທະບຽນ PUF ID ພາຍໃນ
ເພື່ອລົງທະບຽນ PUF, ທ່ານຕ້ອງໃຊ້ເຟີມແວການສະຫນອງ SDM. ເຟີມແວການສະຫນອງຕ້ອງເປັນເຟີມແວທໍາອິດທີ່ໂຫລດຫຼັງຈາກວົງຈອນພະລັງງານ, ແລະທ່ານຕ້ອງອອກຄໍາສັ່ງລົງທະບຽນ PUF ກ່ອນຄໍາສັ່ງອື່ນໆ. ເຟີມແວການສະຫນອງສະຫນັບສະຫນູນຄໍາສັ່ງອື່ນໆຫຼັງຈາກການລົງທະບຽນ PUF, ລວມທັງການຫໍ່ຄີຮາກ AES ແລະການຂຽນໂປລແກລມ quad SPI, ຢ່າງໃດກໍຕາມ, ທ່ານຕ້ອງວົງຈອນປິດອຸປະກອນເພື່ອໂຫລດ bitstream ການຕັ້ງຄ່າ.
ທ່ານໃຊ້ Intel Quartus Prime Programmer ເພື່ອກະຕຸ້ນການລົງທະບຽນ PUF ແລະສ້າງຂໍ້ມູນຜູ້ຊ່ວຍ PUF .puf file.
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 34
ສົ່ງຄຳຕິຊົມ
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
ຮູບທີ 7.
ການລົງທະບຽນ PUF ID ພາຍໃນ
quartus_pgm ການລົງທະບຽນ PUF
ຂໍ້ມູນຜູ້ຊ່ວຍ PUF ການລົງທະບຽນ
ຕົວຈັດການອຸປະກອນທີ່ປອດໄພ (SDM)
wrapper.puf ຂໍ້ມູນຜູ້ຊ່ວຍ
ໂປຣແກຣມເມີຈະໂຫຼດຮູບພາບຕົວຊ່ວຍເຟີມແວທີ່ສະໜອງໃຫ້ໂດຍອັດຕະໂນມັດເມື່ອທ່ານລະບຸທັງການດຳເນີນການ i ແລະ .puf argument.
quartus_pgm -c 1 -mjtag -o “ei;help_data.puf;AGFB014R24A”
ຖ້າທ່ານກໍາລັງໃຊ້ເຟີມແວທີ່ເຊັນຮ່ວມກັນ, ທ່ານຂຽນໂປລແກລມຮູບພາບຕົວຊ່ວຍເຟີມແວທີ່ເຊັນຮ່ວມກັນກ່ອນທີ່ຈະໃຊ້ຄໍາສັ່ງລົງທະບຽນ PUF.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o “e;help_data.puf;AGFB014R24A”
UDS IID PUF ຖືກລົງທະບຽນໃນລະຫວ່າງການຜະລິດອຸປະກອນ, ແລະບໍ່ສາມາດລົງທະບຽນໃໝ່ໄດ້. ແທນທີ່ຈະ, ທ່ານໃຊ້ Programmer ເພື່ອກໍານົດສະຖານທີ່ຂອງຂໍ້ມູນຜູ້ຊ່ວຍ UDS PUF ໃນ IPCS, ດາວໂຫລດ .puf file ໂດຍກົງ, ແລະຫຼັງຈາກນັ້ນໃຊ້ UDS .puf file ໃນທາງດຽວກັນກັບ .puf file ສະກັດຈາກອຸປະກອນ Intel Agilex 7.
ໃຊ້ຄໍາສັ່ງ Programmer ຕໍ່ໄປນີ້ເພື່ອສ້າງຂໍ້ຄວາມ file ປະກອບມີບັນຊີລາຍຊື່ຂອງ URLs ຊີ້ໄປຫາອຸປະກອນສະເພາະ files ໃນ IPCS:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. ການຫໍ່ຄີຮາກ AES
ທ່ານສ້າງ IID PUF ຫໍ່ລະຫັດຮາກ AES .wkey file ໂດຍການສົ່ງໃບຢັ້ງຢືນທີ່ໄດ້ເຊັນໃຫ້ SDM.
ທ່ານສາມາດໃຊ້ Intel Quartus Prime Programmer ເພື່ອສ້າງອັດຕະໂນມັດ, ເຊັນຊື່, ແລະສົ່ງໃບຢັ້ງຢືນເພື່ອຫໍ່ລະຫັດຮາກ AES ຂອງທ່ານ, ຫຼືທ່ານອາດຈະໃຊ້ Intel Quartus Prime Programming. File Generator ເພື່ອສ້າງໃບຢັ້ງຢືນທີ່ບໍ່ໄດ້ເຊັນ. ທ່ານເຊັນໃບຢັ້ງຢືນທີ່ບໍ່ໄດ້ເຊັນໂດຍໃຊ້ເຄື່ອງມືຂອງທ່ານເອງຫຼືເຄື່ອງມືການເຊັນ Quartus. ຈາກນັ້ນທ່ານໃຊ້ Programmer ເພື່ອສົ່ງໃບຢັ້ງຢືນທີ່ໄດ້ເຊັນແລະຫໍ່ລະຫັດຮາກ AES ຂອງທ່ານ. ໃບຮັບຮອງທີ່ລົງລາຍເຊັນອາດຈະຖືກໃຊ້ເພື່ອຂຽນໂປຣແກຣມທຸກອຸປະກອນທີ່ສາມາດກວດສອບລະບົບຕ່ອງໂສ້ລາຍເຊັນໄດ້.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 35
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
ຮູບທີ 8.
ການຫໍ່ກະແຈ AES ໂດຍໃຊ້ Intel Quartus Prime Programmer
.pem ສ່ວນຕົວ
ກະແຈ
.qky
quartus_pgm
ຫໍ່ກະແຈ AES
AES.QSKigYnature RootCPhuabilnic Key
ສ້າງກະແຈຫໍ່ PUF
ຫໍ່ກະແຈ AES
SDM
.qek ການເຂົ້າລະຫັດ
ກະແຈ
.wkey PUF-ຫໍ່
ກະແຈ AES
1. ທ່ານອາດຈະສ້າງລະຫັດຮາກຂອງ AES ຫໍ່ IID PUF (.wkey) ກັບ Programmer ໂດຍໃຊ້ການໂຕ້ຖຽງຕໍ່ໄປນີ້:
· The .qky file ມີລະບົບຕ່ອງໂສ້ລາຍເຊັນທີ່ມີການອະນຸຍາດໃບຮັບຮອງຫຼັກຂອງ AES
· ເອກະຊົນ.pem file ສໍາລັບກະແຈສຸດທ້າຍໃນລະບົບຕ່ອງໂສ້ລາຍເຊັນ
· The .qek file ຖືລະຫັດຮາກ AES
· vector ການເລີ່ມຕົ້ນ 16-byte (iv).
quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”
2. ທາງເລືອກອື່ນ, ທ່ານອາດຈະສ້າງ IID PUF ຫໍ່ໃບຮັບຮອງຫຼັກຮາກ AES ທີ່ບໍ່ໄດ້ເຊັນດ້ວຍການຂຽນໂປຼແກຼມ. File Generator ໂດຍໃຊ້ການໂຕ້ຖຽງຕໍ່ໄປນີ້:
quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert
3. ທ່ານເຊັນໃບຢັ້ງຢືນທີ່ບໍ່ໄດ້ເຊັນດ້ວຍເຄື່ອງມືເຊັນຊື່ຂອງທ່ານເອງຫຼືເຄື່ອງມື quartus_sign ໂດຍໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້:
quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert
4. ຫຼັງຈາກນັ້ນທ່ານໃຊ້ Programmer ເພື່ອສົ່ງໃບຢັ້ງຢືນ AES ທີ່ເຊັນແລ້ວສົ່ງຄືນລະຫັດຫໍ່ (.wkey) file:
quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”
ຫມາຍເຫດ: ການດໍາເນີນງານ i ບໍ່ຈໍາເປັນຖ້າຫາກວ່າທ່ານກ່ອນຫນ້ານີ້ໄດ້ໂຫຼດຮູບພາບຕົວຊ່ວຍເຟີມແວ, ສໍາລັບການຍົກຕົວຢ່າງample, ເພື່ອລົງທະບຽນ PUF.
4.9.2.3. ຂໍ້ມູນຕົວຊ່ວຍການຂຽນໂປຼແກຼມ ແລະຫໍ່ຄີກັບ QSPI Flash Memory
ທ່ານໃຊ້ Quartus Programming File ການໂຕ້ຕອບແບບກາຟິກຂອງ Generator ເພື່ອສ້າງຮູບພາບ Flash QSPI ເບື້ອງຕົ້ນທີ່ມີການແບ່ງປັນ PUF. ທ່ານຕ້ອງສ້າງແລະສ້າງຮູບພາບການຂຽນໂປລແກລມແຟລດທັງຫມົດເພື່ອເພີ່ມພາທິຊັນ PUF ໃສ່ QSPI flash. ການສ້າງ PUF
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 36
ສົ່ງຄຳຕິຊົມ
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
ຮູບທີ 9.
ການແບ່ງສ່ວນຂໍ້ມູນແລະການນໍາໃຊ້ຂໍ້ມູນຜູ້ຊ່ວຍ PUF ແລະລະຫັດຫໍ່ files ສໍາລັບການຜະລິດຮູບພາບ flash ບໍ່ໄດ້ຮັບການສະຫນັບສະຫນູນໂດຍຜ່ານໂຄງການ File ການໂຕ້ຕອບເສັ້ນຄໍາສັ່ງຂອງ Generator.
ຂັ້ນຕອນຕໍ່ໄປນີ້ສະແດງໃຫ້ເຫັນການສ້າງຮູບພາບການດໍາເນີນໂຄງການ flash ດ້ວຍຂໍ້ມູນຕົວຊ່ວຍ PUF ແລະກະແຈຫໍ່:
1. ສຸດ File ເມນູ, ຄລິກ Programming File ເຄື່ອງກໍາເນີດໄຟຟ້າ. ໃນ Output Fileແຖບ s ເຮັດການເລືອກຕໍ່ໄປນີ້:
ກ. ສໍາລັບຄອບຄົວອຸປະກອນເລືອກ Agilex 7.
ຂ. ສໍາລັບຮູບແບບການຕັ້ງຄ່າເລືອກ Active Serial x4.
ຄ. ສໍາລັບ Output directory ທ່ອງໄປຫາຜົນຜະລິດຂອງທ່ານ file ໄດເລກະທໍລີ. ນີ້ example ໃຊ້ output_files.
ງ. ສໍາລັບຊື່, ລະບຸຊື່ສໍາລັບການຂຽນໂປລແກລມ file ທີ່ຈະຜະລິດ. ນີ້ example ໃຊ້ output_file.
e. ພາຍໃຕ້ຄໍາອະທິບາຍເລືອກການຂຽນໂປລແກລມ files ເພື່ອສ້າງ. ນີ້ example ສ້າງ JTAG ການຕັ້ງຄ່າທາງອ້ອມ File (.jic) ສໍາລັບການຕັ້ງຄ່າອຸປະກອນ ແລະ Binary ດິບ File ຂອງ Programming Helper Image (.rbf) ສໍາລັບຮູບພາບຜູ້ຊ່ວຍອຸປະກອນ. ນີ້ example ຍັງເລືອກແຜນທີ່ຄວາມຈໍາທາງເລືອກ File (.map) ແລະຂໍ້ມູນໂຄງການດິບ File (.rpd). ຂໍ້ມູນການຂຽນໂປລແກລມດິບ file ມີຄວາມຈໍາເປັນພຽງແຕ່ຖ້າທ່ານວາງແຜນທີ່ຈະໃຊ້ໂປລແກລມພາກສ່ວນທີສາມໃນອະນາຄົດ.
ການຂຽນໂປລແກລມ File Generator – ຜົນຜະລິດ Files Tab – ເລືອກ JTAG ການຕັ້ງຄ່າທາງອ້ອມ
ໂໝດການຕັ້ງຄ່າຄອບຄົວອຸປະກອນ
ຜົນຜະລິດ file ແຖບ
Output directory
JTAG ທາງອ້ອມ (.jic) ແຜນທີ່ຄວາມຈໍາ File Programming Helper ຂໍ້ມູນການຂຽນໂປລແກລມດິບ
ກ່ຽວກັບການປ້ອນຂໍ້ມູນ Files tab, ເຮັດໃຫ້ການເລືອກດັ່ງຕໍ່ໄປນີ້: 1. ກົດ Add Bitstream ແລະທ່ອງໄປຫາ .sof ຂອງທ່ານ. 2. ເລືອກ .sof ຂອງທ່ານ file ແລະຈາກນັ້ນກົດ Properties.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 37
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
ກ. ເປີດໃຊ້ເຄື່ອງມືການເຊັນຊື່. ຂ. ສໍາລັບກະແຈສ່ວນຕົວ file ເລືອກ .pem ຂອງເຈົ້າ file. ຄ. ເປີດການເຂົ້າລະຫັດສຸດທ້າຍ. ງ. ສໍາລັບລະຫັດການເຂົ້າລະຫັດ file ເລືອກ .qek ຂອງທ່ານ file. e. ກົດ OK ເພື່ອກັບຄືນໄປຫາປ່ອງຢ້ຽມກ່ອນຫນ້າ. 3. ເພື່ອລະບຸຂໍ້ມູນຜູ້ຊ່ວຍ PUF ຂອງທ່ານ file, ຄລິກ Add Raw Data. ປ່ຽນ Files ຂອງປະເພດເມນູເລື່ອນລົງໄປຫາ Quartus Physical Unclonable Function File (*.puf). ຄົ້ນຫາ .puf ຂອງທ່ານ file. ຖ້າທ່ານກໍາລັງໃຊ້ທັງ IID PUF ແລະ UDS IID PUF, ເຮັດຊ້ໍາຂັ້ນຕອນນີ້ເພື່ອໃຫ້ .puf files ສໍາລັບແຕ່ລະ PUF ຖືກເພີ່ມເປັນວັດສະດຸປ້ອນ fileດ. 4. ເພື່ອລະບຸລະຫັດ AES ຫໍ່ຂອງທ່ານ file, ຄລິກ Add Raw Data. ປ່ຽນ Files ຂອງປະເພດເມນູເລື່ອນລົງໄປຫາ Quartus Wrapped Key File (*.wkey). ທ່ອງໄປຫາ .wkey ຂອງເຈົ້າ file. ຖ້າທ່ານໄດ້ຫໍ່ກະແຈ AES ໂດຍໃຊ້ທັງ IID PUF ແລະ UDS IID PUF, ເຮັດຊ້ໍາຂັ້ນຕອນນີ້ເພື່ອໃຫ້ .wkey files ສໍາລັບແຕ່ລະ PUF ຖືກເພີ່ມເປັນວັດສະດຸປ້ອນ files.
ຮູບທີ 10. ລະບຸການປ້ອນຂໍ້ມູນ Files ສໍາລັບການຕັ້ງຄ່າ, ການກວດສອບຄວາມຖືກຕ້ອງ, ແລະການເຂົ້າລະຫັດ
ເພີ່ມ Bitstream ເພີ່ມຂໍ້ມູນດິບ
ຄຸນສົມບັດ
ກະແຈສ່ວນຕົວ file
ສິ້ນສຸດການເຂົ້າລະຫັດລະຫັດການເຂົ້າລະຫັດ
ໃນແຖບອຸປະກອນການຕັ້ງຄ່າ, ເຮັດການເລືອກຕໍ່ໄປນີ້: 1. ຄລິກ Add Device ແລະເລືອກອຸປະກອນແຟລດຂອງທ່ານຈາກລາຍການແຟລດທີ່ມີຢູ່.
ອຸປະກອນ. 2. ເລືອກອຸປະກອນການຕັ້ງຄ່າທີ່ທ່ານໄດ້ເພີ່ມພຽງແຕ່ແລະໃຫ້ຄລິກໃສ່ Add Partition. 3. ໃນກ່ອງໂຕ້ຕອບ Edit Partition ສໍາລັບການປ້ອນຂໍ້ມູນ file ແລະເລືອກ .sof ຂອງທ່ານຈາກ
ບັນຊີລາຍຊື່ແບບເລື່ອນລົງ. ທ່ານສາມາດເກັບຮັກສາໄວ້ໃນຕອນຕົ້ນຫຼືແກ້ໄຂຕົວກໍານົດການອື່ນໆໃນປ່ອງແກ້ໄຂການແບ່ງປັນ.
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 38
ສົ່ງຄຳຕິຊົມ
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
ຮູບທີ 11. ການກໍານົດ .sof Configuration Bitstream Partition ຂອງທ່ານ
ອຸປະກອນການຕັ້ງຄ່າ
ແກ້ໄຂ Partition Add .sof file
ເພີ່ມ Partition
4. ເມື່ອທ່ານເພີ່ມ .puf ແລະ .wkey ເປັນການປ້ອນຂໍ້ມູນ files, ການຂຽນໂປລແກລມ File Generator ສ້າງພາທິຊັນ PUF ໂດຍອັດຕະໂນມັດໃນອຸປະກອນການຕັ້ງຄ່າຂອງທ່ານ. ເພື່ອເກັບຮັກສາ .puf ແລະ .wkey ໃນພາທິຊັນ PUF, ເລືອກພາທິຊັນ PUF ແລະຄລິກແກ້ໄຂ. ໃນກ່ອງໂຕ້ຕອບການແກ້ໄຂພາທິຊັນ, ເລືອກ .puf ແລະ .wkey ຂອງເຈົ້າ files ຈາກລາຍການແບບເລື່ອນລົງ. ຖ້າຫາກວ່າທ່ານເອົາການແບ່ງປັນ PUF, ທ່ານຈະຕ້ອງໄດ້ລົບອອກແລະເພີ່ມອຸປະກອນການຕັ້ງຄ່າສໍາລັບການດໍາເນີນໂຄງການ. File Generator ເພື່ອສ້າງພາທິຊັນ PUF ອື່ນ. ທ່ານຕ້ອງຮັບປະກັນວ່າທ່ານເລືອກ .puf ແລະ .wkey ທີ່ຖືກຕ້ອງ file ສໍາລັບ IID PUF ແລະ UDS IID PUF, ຕາມລໍາດັບ.
ຮູບທີ 12. ເພີ່ມ .puf ແລະ .wkey files ກັບ PUF Partition
ການແບ່ງສ່ວນ PUF
ແກ້ໄຂ
ແກ້ໄຂ Partition
Flash Loader
ເລືອກສ້າງ
5. ສໍາລັບພາລາມິເຕີ Flash Loader ເລືອກຄອບຄົວອຸປະກອນ Intel Agilex 7 ແລະຊື່ອຸປະກອນທີ່ກົງກັບ Intel Agilex 7 OPN ຂອງທ່ານ.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 39
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
6. ກົດ Generate ເພື່ອສ້າງຜົນຜະລິດ files ທີ່ທ່ານລະບຸໄວ້ໃນຜົນໄດ້ຮັບ Files ແຖບ.
7. ການຂຽນໂປຣແກຣມ File Generator ອ່ານ .qek ຂອງທ່ານ file ແລະເຕືອນທ່ານສໍາລັບວະລີຜ່ານຂອງທ່ານ. ພິມວະລີຜ່ານຂອງເຈົ້າໃນການຕອບສະໜອງຕໍ່ກັບການເຕືອນລະຫັດຜ່ານຂອງ Enter QEK. ຄລິກທີ່ປຸ່ມ Enter.
8. ກົດ OK ເມື່ອ Programming File Generator ລາຍງານການຜະລິດສົບຜົນສໍາເລັດ.
ທ່ານໃຊ້ Intel Quartus Prime Programmer ເພື່ອຂຽນຮູບພາບການຂຽນໂປລແກລມ QSPI ໃສ່ QSPI flash memory. 1. ໃນເມນູ Intel Quartus Prime Tools ເລືອກ Programmer. 2. ໃນ Programmer, ຄລິກ Hardware Setup ແລະຫຼັງຈາກນັ້ນເລືອກ Intel ທີ່ເຊື່ອມຕໍ່
ສາຍດາວໂຫຼດ FPGA. 3. ກົດ Add File ແລະທ່ອງໄປຫາ .jic ຂອງທ່ານ file.
ຮູບທີ 13. Program .jic
ການຂຽນໂປລແກລມ file
ໂປຣແກມ/ກຳນົດຄ່າ
JTAG ສະແກນລະບົບຕ່ອງໂສ້
4. ຍົກເລີກການເລືອກກ່ອງທີ່ກ່ຽວຂ້ອງກັບຮູບຜູ້ຊ່ວຍ. 5. ເລືອກ Program/Configure ສໍາລັບຜົນຜະລິດ .jic file. 6. ເປີດໃຊ້ປຸ່ມ Start ເພື່ອຂຽນໂປຣແກຣມ quad SPI flash memory ຂອງທ່ານ. 7. ວົງຈອນພະລັງງານຂອງກະດານຂອງທ່ານ. ການອອກແບບທີ່ຕັ້ງໂຄງການໃສ່ quad SPI flash memory
ອຸປະກອນຕໍ່ມາໂຫຼດເຂົ້າໄປໃນ FPGA ເປົ້າຫມາຍ.
ທ່ານຕ້ອງສ້າງແລະສ້າງຮູບພາບການຂຽນໂປລແກລມ flash ທັງຫມົດເພື່ອເພີ່ມພາທິຊັນ PUF ໃຫ້ກັບ quad SPI flash.
ເມື່ອມີພາທິຊັນ PUF ຢູ່ໃນແຟດ, ມັນເປັນໄປໄດ້ທີ່ຈະໃຊ້ Intel Quartus Prime Programmer ເພື່ອເຂົ້າເຖິງຂໍ້ມູນຕົວຊ່ວຍ PUF ໂດຍກົງແລະກະແຈຫໍ່. files. ຕົວຢ່າງampຖ້າຫາກວ່າການກະຕຸ້ນບໍ່ສໍາເລັດ, ມັນເປັນໄປໄດ້ທີ່ຈະລົງທະບຽນ PUF , ຫໍ່ກະແຈ AES , ແລະຕໍ່ມາພຽງແຕ່ໂຄງການ PUF . files ໂດຍບໍ່ຈໍາເປັນຕ້ອງຂຽນທັບ flash ທັງຫມົດ.
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 40
ສົ່ງຄຳຕິຊົມ
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
Intel Quartus Prime Programmer ສະຫນັບສະຫນູນການໂຕ້ຖຽງການດໍາເນີນງານຕໍ່ໄປນີ້ສໍາລັບ PUF files ໃນການແບ່ງປັນ PUF ທີ່ມີຢູ່ແລ້ວ:
· p: ໂຄງການ
· v: ຢືນຢັນ
· r: ລົບ
· b: ການກວດກາເປົ່າ
ທ່ານຕ້ອງປະຕິບັດຕາມຂໍ້ຈໍາກັດດຽວກັນສໍາລັບການລົງທະບຽນ PUF, ເຖິງແມ່ນວ່າມີການແບ່ງປັນ PUF.
1. ໃຊ້ i operation argument ເພື່ອໂຫຼດຮູບພາບຕົວຊ່ວຍເຟີມແວສຳລັບການປະຕິບັດງານທຳອິດ. ຕົວຢ່າງample, ລໍາດັບຄໍາສັ່ງຕໍ່ໄປນີ້ລົງທະບຽນ PUF ຄືນໃໝ່, ຫໍ່ລະຫັດຮາກ AES ຄືນໃໝ່, ລຶບຂໍ້ມູນຕົວຊ່ວຍ PUF ເກົ່າ ແລະກະແຈຫໍ່, ຈາກນັ້ນຕັ້ງໂປຣແກຣມ ແລະກວດສອບຂໍ້ມູນຕົວຊ່ວຍ PUF ໃໝ່ ແລະລະຫັດຮາກ AES.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o “v;new.wkey”
4.9.2.4. ກຳລັງສອບຖາມສະຖານະ Intrinsic ID PUF Activation
ຫຼັງຈາກທີ່ທ່ານລົງທະບຽນ Intrinsic ID PUF, ຫໍ່ກະແຈ AES, ສ້າງໂຄງການ flash ໄດ້ files, ແລະອັບເດດ quad SPI flash, ທ່ານປິດໄຟອຸປະກອນຂອງທ່ານເພື່ອກະຕຸ້ນການເປີດໃຊ້ PUF ແລະການຕັ້ງຄ່າຈາກ bitstream ທີ່ເຂົ້າລະຫັດໄວ້. SDM ລາຍງານສະຖານະການເປີດໃຊ້ງານ PUF ພ້ອມກັບສະຖານະການຕັ້ງຄ່າ. ຖ້າການເປີດໃຊ້ PUF ລົ້ມເຫລວ, SDM ແທນທີ່ຈະລາຍງານສະຖານະການຜິດພາດ PUF. ໃຊ້ຄໍາສັ່ງ quartus_pgm ເພື່ອສອບຖາມສະຖານະການຕັ້ງຄ່າ.
1. ໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອສອບຖາມສະຖານະການເປີດໃຊ້ງານ:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
ນີ້ແມ່ນ sample ຜົນຜະລິດຈາກການກະຕຸ້ນສົບຜົນສໍາເລັດ:
ຂໍ້ມູນ (21597): ການຕອບສະໜອງຂອງອຸປະກອນ CONFIG_STATUS ກໍາລັງແລ່ນຢູ່ໃນໂໝດຜູ້ໃຊ້ 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 ເວີຊັນ C000007B MSEL=1,QSPI_NORMAL,NORMIG
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 ສະຖານທີ່ຜິດພາດ 00000000 ລາຍລະອຽດຄວາມຜິດພາດ ຄໍາຕອບຂອງ PUF_LENGTHCOURDE00002000 2 USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 41
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
ຖ້າທ່ານພຽງແຕ່ໃຊ້ IID PUF ຫຼື UDS IID PUF, ແລະບໍ່ໄດ້ຕັ້ງໂປຣແກຣມຂໍ້ມູນຕົວຊ່ວຍ .puf file ສໍາລັບທັງສອງ PUF ໃນ QSPI flash, PUF ບໍ່ໄດ້ຮັບການເປີດໃຊ້ງານແລະສະຖານະ PUF ສະທ້ອນໃຫ້ເຫັນວ່າຂໍ້ມູນຜູ້ຊ່ວຍ PUF ບໍ່ຖືກຕ້ອງ. ຕໍ່ໄປນີ້ example ສະແດງສະຖານະ PUF ເມື່ອຂໍ້ມູນຕົວຊ່ວຍ PUF ບໍ່ໄດ້ຖືກຕັ້ງໂຄງການສໍາລັບ PUF ທັງສອງ:
ການຕອບສະໜອງຂອງ PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0
4.9.2.5. ສະຖານທີ່ຂອງ PUF ໃນ Flash Memory
ທີ່ຕັ້ງຂອງ PUF file ແມ່ນແຕກຕ່າງກັນສໍາລັບການອອກແບບທີ່ສະຫນັບສະຫນູນ RSU ແລະການອອກແບບທີ່ບໍ່ສະຫນັບສະຫນູນຄຸນສົມບັດ RSU.
ສໍາລັບການອອກແບບທີ່ບໍ່ຮອງຮັບ RSU, ທ່ານຕ້ອງໃສ່ .puf ແລະ .wkey files ໃນເວລາທີ່ທ່ານສ້າງຮູບພາບ flash ປັບປຸງ. ສໍາລັບການອອກແບບທີ່ສະຫນັບສະຫນູນ RSU, SDM ບໍ່ໄດ້ຂຽນທັບພາກສ່ວນຂໍ້ມູນ PUF ໃນລະຫວ່າງການປັບປຸງຮູບພາບໂຮງງານຫຼືຄໍາຮ້ອງສະຫມັກ.
ຕາຕະລາງ 2.
ໂຄງຮ່າງການແບ່ງສ່ວນຍ່ອຍ Flash ໂດຍບໍ່ມີການສະຫນັບສະຫນູນ RSU
Flash Offset (ເປັນໄບຕ໌)
ຂະໜາດ (ເປັນໄບຕ໌)
ເນື້ອໃນ
ລາຍລະອຽດ
0K 256K
256K 256K
ການຄຸ້ມຄອງການຕັ້ງຄ່າ Firmware ການຄຸ້ມຄອງການຕັ້ງຄ່າ Firmware
ເຟີມແວທີ່ເຮັດວຽກຢູ່ໃນ SDM.
512K
256K
ເຟີມແວການຈັດການການຕັ້ງຄ່າ
768K
256K
ເຟີມແວການຈັດການການຕັ້ງຄ່າ
1M
32K
ສຳເນົາຂໍ້ມູນ PUF 0
ໂຄງສ້າງຂໍ້ມູນສໍາລັບການເກັບຮັກສາຂໍ້ມູນຜູ້ຊ່ວຍ PUF ແລະ PUF-wrapped AES ສໍາເນົາລະຫັດຮາກ 0
1M+32K
32K
ສຳເນົາຂໍ້ມູນ PUF 1
ໂຄງສ້າງຂໍ້ມູນສໍາລັບການເກັບຮັກສາຂໍ້ມູນຜູ້ຊ່ວຍ PUF ແລະ PUF-wrapped AES ສໍາເນົາລະຫັດຮາກ 1
ຕາຕະລາງ 3.
ໂຄງຮ່າງການແບ່ງສ່ວນຍ່ອຍ Flash ດ້ວຍການສະຫນັບສະຫນູນ RSU
Flash Offset (ເປັນໄບຕ໌)
ຂະໜາດ (ເປັນໄບຕ໌)
ເນື້ອໃນ
ລາຍລະອຽດ
0K 512K
512K 512K
ເຟີມແວການຕັດສິນໃຈ ເຟີມແວການຕັດສິນໃຈ
ເຟີມແວເພື່ອກໍານົດແລະໂຫລດຮູບພາບທີ່ມີບູລິມະສິດສູງສຸດ.
ຂະ ໜາດ 1M 1.5M
512K 512K
ເຟີມແວການຕັດສິນໃຈ ເຟີມແວການຕັດສິນໃຈ
2M
8K + 24K
ຂໍ້ມູນເຟີມແວການຕັດສິນໃຈ
padding
ສະຫງວນໄວ້ສໍາລັບການໃຊ້ເຟີມແວການຕັດສິນໃຈ.
2M+32K
32K
ສະຫງວນໄວ້ສໍາລັບ SDM
ສະຫງວນໄວ້ສໍາລັບ SDM.
2M+64K
ຕົວແປ
ຮູບພາບໂຮງງານ
ຮູບພາບທີ່ງ່າຍດາຍທີ່ທ່ານສ້າງເປັນສໍາຮອງຂໍ້ມູນຖ້າຫາກວ່າຮູບພາບຄໍາຮ້ອງສະຫມັກອື່ນໆທັງຫມົດລົ້ມເຫລວໃນການໂຫຼດ. ຮູບພາບນີ້ປະກອບມີ CMF ທີ່ເຮັດວຽກຢູ່ໃນ SDM.
ຕໍ່ໄປ
32K
ສຳເນົາຂໍ້ມູນ PUF 0
ໂຄງສ້າງຂໍ້ມູນສໍາລັບການເກັບຮັກສາຂໍ້ມູນຜູ້ຊ່ວຍ PUF ແລະ PUF-wrapped AES ສໍາເນົາລະຫັດຮາກ 0
ສືບຕໍ່…
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 42
ສົ່ງຄຳຕິຊົມ
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
Flash Offset (ເປັນໄບຕ໌)
ຂະໜາດ (ເປັນໄບຕ໌)
ຕໍ່ໄປ +32K 32K
ເນື້ອໃນສຳເນົາຂໍ້ມູນ PUF 1
ຕໍ່ໄປ + 256K 4K ຕໍ່ໄປ +32K 4K ຕໍ່ໄປ +32K 4K
ສຳເນົາຕາຕະລາງພາທິຊັນຍ່ອຍ 0 ສຳເນົາຕາຕະລາງພາທິຊັນຍ່ອຍ 1 ສຳເນົາຕົວຊີ້ CMF 0
ຕໍ່ໄປ +32K _
ສຳເນົາຕົວຊີ້ CMF 1
ຕົວແປຕົວແປ
ຕົວແປຕົວແປ
ຮູບພາບຄໍາຮ້ອງສະຫມັກ 1 ຮູບພາບຄໍາຮ້ອງສະຫມັກ 2
4.9.3. ການຈັດຫາກະແຈດຳ
ລາຍລະອຽດ
ໂຄງສ້າງຂໍ້ມູນສໍາລັບການເກັບຮັກສາຂໍ້ມູນຜູ້ຊ່ວຍ PUF ແລະ PUF-wrapped AES ສໍາເນົາລະຫັດຮາກ 1
ໂຄງສ້າງຂໍ້ມູນເພື່ອອໍານວຍຄວາມສະດວກໃນການຄຸ້ມຄອງການເກັບຮັກສາແຟດ.
ບັນຊີລາຍຊື່ຂອງຕົວຊີ້ໄປຫາຮູບພາບຄໍາຮ້ອງສະຫມັກຕາມລໍາດັບຄວາມສໍາຄັນ. ເມື່ອທ່ານເພີ່ມຮູບພາບ, ຮູບພາບນັ້ນຈະກາຍເປັນສູງສຸດ.
ສຳເນົາທີສອງຂອງລາຍຊື່ຕົວຊີ້ໄປຫາຮູບພາບແອັບພລິເຄຊັນ.
ຮູບພາບຄໍາຮ້ອງສະຫມັກທໍາອິດຂອງທ່ານ.
ຮູບພາບຄໍາຮ້ອງສະຫມັກທີສອງຂອງທ່ານ.
ໝາຍເຫດ:
TheIntel Quartus PrimeProgrammer ຊ່ວຍເຫຼືອໃນການສ້າງການເຊື່ອມຕໍ່ທີ່ປອດໄພເຊິ່ງກັນແລະກັນລະຫວ່າງອຸປະກອນIntel Agilex 7 ແລະການບໍລິການຈັດຫາກະແຈສີດຳ. ການເຊື່ອມຕໍ່ທີ່ປອດໄພແມ່ນໄດ້ຮັບການສ້າງຕັ້ງຂຶ້ນຜ່ານ https ແລະຮຽກຮ້ອງໃຫ້ມີໃບຢັ້ງຢືນການຈໍານວນຫນຶ່ງທີ່ກໍານົດໂດຍນໍາໃຊ້ຂໍ້ຄວາມ file.
ເມື່ອໃຊ້ Black Key Provisioning, Intel ແນະນໍາໃຫ້ທ່ານຫຼີກເວັ້ນການເຊື່ອມຕໍ່ພາຍນອກ pin TCK ເພື່ອດຶງຂຶ້ນຫຼືດຶງຕົວຕ້ານທານລົງໃນຂະນະທີ່ຍັງໃຊ້ມັນສໍາລັບ J.TAG. ຢ່າງໃດກໍຕາມ, ທ່ານອາດຈະເຊື່ອມຕໍ່ TCK pin ກັບການສະຫນອງພະລັງງານ VCCIO SDM ໂດຍໃຊ້ຕົວຕ້ານທານ 10 k. ຄໍາແນະນໍາທີ່ມີຢູ່ແລ້ວໃນຄໍາແນະນໍາການເຊື່ອມຕໍ່ Pin ເພື່ອເຊື່ອມຕໍ່ TCK ກັບຕົວຕ້ານທານ 1 k ດຶງລົງແມ່ນລວມສໍາລັບການສະກັດກັ້ນສຽງ. ການປ່ຽນແປງຄໍາແນະນໍາຕໍ່ກັບຕົວຕ້ານທານ 10 k ບໍ່ໄດ້ສົ່ງຜົນກະທົບຕໍ່ອຸປະກອນທີ່ເຮັດວຽກ. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບການເຊື່ອມຕໍ່ TCK pin, ເບິ່ງຄໍາແນະນໍາການເຊື່ອມຕໍ່ Intel Agilex 7 Pin.
Thebkp_tls_ca_certcertificate ພິສູດຢືນຢັນຕົວຢ່າງການບໍລິການຈັດຫາກະແຈສີດຳຂອງເຈົ້າໃຫ້ກັບຕົວຂຽນໂປລແກລມການສະໜອງກະແຈສີດຳຂອງເຈົ້າ. Thebkp_tls_*certificates authenticate your black key provisioning programmer instance to your black key service instance.
ເຈົ້າສ້າງຂໍ້ຄວາມ file ປະກອບດ້ວຍຂໍ້ມູນທີ່ຈໍາເປັນສໍາລັບໂປລແກລມ Intel Quartus Prime ເພື່ອເຊື່ອມຕໍ່ກັບການບໍລິການສະຫນອງກະແຈສີດໍາ. ເພື່ອເລີ່ມຕົ້ນການຈັດຫາກະແຈສີດຳ, ໃຫ້ໃຊ້ອິນເຕີເຟດເສັ້ນຄຳສັ່ງຂອງໂປຣແກຣມເມີເພື່ອລະບຸຂໍ້ຄວາມຕົວເລືອກການຈັດຫາກະແຈສີດຳ file. ຈາກນັ້ນການສະໜອງກະແຈສີດຳດຳເນີນໄປໂດຍອັດຕະໂນມັດ. ສໍາລັບການເຂົ້າເຖິງການບໍລິການສະຫນອງກະແຈສີດໍາແລະເອກະສານທີ່ກ່ຽວຂ້ອງ, ກະລຸນາຕິດຕໍ່ Intel Support.
ທ່ານສາມາດເປີດໃຊ້ການສະຫນອງກະແຈສີດໍາໂດຍໃຊ້ thequartus_pgmcommand:
quartus_pgm -c - ມ - ອຸປະກອນ –bkp_options=bkp_options.txt
ການໂຕ້ຖຽງຄໍາສັ່ງລະບຸຂໍ້ມູນຕໍ່ໄປນີ້:
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 43
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
· -c: ຈໍານວນສາຍ· -m: ກໍານົດຮູບແບບການຂຽນໂປຼແກຼມເຊັ່ນ JTAG · -device: ກໍານົດດັດຊະນີອຸປະກອນໃນ JTAG ຕ່ອງໂສ້. ຄ່າເລີ່ມຕົ້ນແມ່ນ 1. · –bkp_options: ລະບຸຂໍ້ຄວາມ file ປະກອບມີຕົວເລືອກການຈັດຫາກະແຈສີດຳ.
ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ Intel Agilex 7 Device Family Pin Guidelines Connection
4.9.3.1. ຕົວເລືອກການຈັດຫາກະແຈດຳ
ຕົວເລືອກການຈັດຫາກະແຈສີດຳແມ່ນຂໍ້ຄວາມ file ຖືກສົ່ງໄປຫາ Programmer ຜ່ານຄໍາສັ່ງ quartus_pgm. ໄດ້ file ມີຂໍ້ມູນທີ່ຈໍາເປັນເພື່ອກະຕຸ້ນການຈັດຫາກະແຈສີດຳ.
ຕໍ່ໄປນີ້ແມ່ນ example ຂອງ bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_keyp = 1234 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_keyp = bkp_192.167.5.5. p_proxy_address = https://5000:XNUMX bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password
ຕາຕະລາງ 4.
ຕົວເລືອກການຈັດຫາກະແຈດຳ
ຕາຕະລາງນີ້ສະແດງຕົວເລືອກທີ່ຕ້ອງການເພື່ອກະຕຸ້ນການຈັດຫາກະແຈສີດຳ.
ຊື່ທາງເລືອກ
ປະເພດ
ລາຍລະອຽດ
bkp_ip
ຕ້ອງການ
ລະບຸທີ່ຢູ່ IP ຂອງເຊີບເວີທີ່ແລ່ນບໍລິການຈັດຫາກະແຈສີດຳ.
bkp_port
ຕ້ອງການ
ລະບຸພອດບໍລິການການສະໜອງກະແຈສີດຳທີ່ຕ້ອງການເພື່ອເຊື່ອມຕໍ່ກັບເຊີບເວີ.
bkp_cfg_id
ຕ້ອງການ
ກໍານົດລະຫັດການສະຫນອງການກໍານົດການກະແຈສີດໍາ.
ບໍລິການຈັດຫາກະແຈສີດຳສ້າງກະແສການກຳນົດຄ່າກະແຈສີດຳ ລວມທັງກະແຈຫຼັກ AES, ການຕັ້ງຄ່າ eFuse ທີ່ຕ້ອງການ, ແລະທາງເລືອກການອະນຸຍາດການຈັດຫາກະແຈສີດຳອື່ນໆ. ຕົວເລກທີ່ຖືກມອບໝາຍໃນລະຫວ່າງການຕັ້ງການບໍລິການຈັດຫາກະແຈສີດຳຈະລະບຸກະແສການກຳນົດຄ່າການສະໜອງກະແຈສີດຳ.
ໝາຍເຫດ: ອຸປະກອນຫຼາຍອັນອາດຈະອ້າງອີງເຖິງກະແສການກຳນົດຄ່າບໍລິການການສະໜອງກະແຈສີດຳດຽວກັນ.
bkp_tls_ca_cert
ຕ້ອງການ
ໃບຮັບຮອງ TLS ຮາກທີ່ໃຊ້ເພື່ອລະບຸການບໍລິການສະໜອງກະແຈສີດຳໃຫ້ກັບ Intel Quartus Prime Programmer (Programmer). ໜ່ວຍງານຢັ້ງຢືນທີ່ເຊື່ອຖືໄດ້ສຳລັບການບໍລິການສະໜອງກະແຈສີດຳອອກໃບຮັບຮອງນີ້.
ຖ້າຫາກທ່ານດໍາເນີນການ Programmer ໃນຄອມພິວເຕີທີ່ມີລະບົບປະຕິບັດການ Microsoft® Windows® (Windows), ທ່ານຕ້ອງໄດ້ຕິດຕັ້ງໃບຢັ້ງຢືນການນີ້ໃນຮ້ານໃບຢັ້ງຢືນ Windows.
bkp_tls_prog_cert
ຕ້ອງການ
ໃບຢັ້ງຢືນທີ່ສ້າງຂຶ້ນສໍາລັບຕົວຢ່າງຂອງໂປລແກລມການສະຫນອງລະຫັດສີດໍາ (BKP Programmer). ນີ້ແມ່ນໃບຢັ້ງຢືນລູກຄ້າ https ທີ່ໃຊ້ເພື່ອລະບຸຕົວຢ່າງໂປຣແກຣມ BKP ນີ້
ສືບຕໍ່…
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 44
ສົ່ງຄຳຕິຊົມ
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
ຊື່ທາງເລືອກ
ປະເພດ
bkp_tls_prog_key
ຕ້ອງການ
bkp_tls_prog_key_pass ທາງເລືອກ
bkp_proxy_address bkp_proxy_user bkp_proxy_password
ທາງເລືອກທາງເລືອກທາງເລືອກ
ລາຍລະອຽດ
ກັບການບໍລິການຈັດຫາກະແຈສີດຳ. ທ່ານຕ້ອງຕິດຕັ້ງ ແລະອະນຸຍາດໃບຢັ້ງຢືນນີ້ໃນການບໍລິການຈັດຫາກະແຈສີດຳ ກ່ອນທີ່ຈະເລີ່ມກອງປະຊຸມການສະໜອງກະແຈສີດຳ. ຖ້າຫາກວ່າທ່ານດໍາເນີນການ Programmer ໃນ Windows, ທາງເລືອກນີ້ແມ່ນບໍ່ມີ. ໃນກໍລະນີນີ້, bkp_tls_prog_key ປະກອບມີໃບຢັ້ງຢືນນີ້ຢູ່ກ່ອນແລ້ວ.
ກະແຈສ່ວນຕົວທີ່ສອດຄ້ອງກັບໃບຮັບຮອງ BKP Programmer. ລະຫັດຢືນຢັນຕົວຕົນຂອງ BKP Programmer instance ກັບການບໍລິການຈັດຫາກະແຈສີດຳ. ຖ້າທ່ານດໍາເນີນການ Programmer ໃນ Windows, .pfx file ລວມໃບຮັບຮອງ bkp_tls_prog_cert ແລະກະແຈສ່ວນຕົວ. ທາງເລືອກ bkp_tlx_prog_key ຜ່ານ .pfx file ໃນ bkp_options.txt file.
ລະຫັດຜ່ານສໍາລັບລະຫັດສ່ວນຕົວ bkp_tls_prog_key. ບໍ່ຈໍາເປັນໃນຕົວເລືອກການຕັ້ງຄ່າລະຫັດສີດໍາ (bkp_options.txt). file.
ລະບຸເຊີບເວີພຣັອກຊີ URL ທີ່ຢູ່.
ລະບຸຊື່ຜູ້ໃຊ້ເຊີບເວີພຣັອກຊີ.
ລະບຸລະຫັດຜ່ານການພິສູດຢືນຢັນພຣັອກຊີ.
4.10. ການປ່ຽນເຈົ້າຂອງລະຫັດຮາກ, ໃບຢັ້ງຢືນຫຼັກຮາກ AES, ແລະ Fuse files ກັບ Jam STAPL File ຮູບແບບ
ເຈົ້າອາດຈະໃຊ້ຄໍາສັ່ງແຖວຄໍາສັ່ງ quartus_pfg ເພື່ອແປງ .qky, AES root key .ccert ແລະ .fuse files ກັບ Jam STAPL Format File (.jam) ແລະ Jam Byte Code Format File (.jbc). ທ່ານສາມາດນໍາໃຊ້ເຫຼົ່ານີ້ files ເພື່ອດໍາເນີນໂຄງການ Intel FPGA ໂດຍໃຊ້ Jam STAPL Player ແລະ Jam STAPL Byte-Code Player, ຕາມລໍາດັບ.
.jam ຫຼື .jbc ອັນດຽວປະກອບດ້ວຍຫຼາຍຟັງຊັນລວມທັງການຕັ້ງຄ່າຮູບພາບຂອງຕົວຊ່ວຍເຟີມແວ ແລະໂປຣແກຣມ, ການກວດສອບຫວ່າງເປົ່າ, ແລະການກວດສອບການຂຽນໂປຣແກຣມຄີ ແລະຟິວ.
ຂໍ້ຄວນລະວັງ:
ເມື່ອທ່ານປ່ຽນລະຫັດຮາກ AES .ccert file to .jam format, the .jam file ມີກະແຈ AES ໃນຮູບແບບຂໍ້ຄວາມທຳມະດາແຕ່ມີຄວາມສັບສົນ. ດັ່ງນັ້ນ, ທ່ານຕ້ອງປົກປ້ອງ .jam file ເມື່ອເກັບຮັກສາລະຫັດ AES. ທ່ານສາມາດເຮັດໄດ້ໂດຍການສະຫນອງກະແຈ AES ໃນສະພາບແວດລ້ອມທີ່ປອດໄພ.
ນີ້ແມ່ນ examples ຂອງຄໍາສັ່ງການແປງ quartus_pfg:
quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;rootc”1.qky;rootc. c -o helper_device=AGFB2R014A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB24R014A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AG24FBAjp014R settingsgquartus.jbc er_device=AGFB24R014A ການຕັ້ງຄ່າ. fuse settings_fuse.jbc
ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບການນໍາໃຊ້ Jam STAPL Player ສໍາລັບການຂຽນໂປລແກລມອຸປະກອນ, ເບິ່ງ AN 425: ການໃຊ້ Command-Line Jam STAPL Solution ສໍາລັບການຂຽນໂປຼແກຼມອຸປະກອນ.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 45
4. ການສະໜອງອຸປະກອນ 683823 | 2023.05.23
ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອດໍາເນີນໂຄງການລະຫັດສາທາລະນະຂອງເຈົ້າຂອງແລະລະຫັດການເຂົ້າລະຫັດ AES:
// ການໂຫຼດ bitstream ຜູ້ຊ່ວຍເຂົ້າໃນ FPGA. // bitstream ຜູ້ຊ່ວຍປະກອບມີການສະຫນອງເຟີມແວ quartus_jli -c 1 -a CONFIGURE RootKey.jam
// ໂປຣແກມເຈົ້າຂອງ root public key ເຂົ້າໄປໃນ virtual eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
// ໂປຣແກມເຈົ້າຂອງ root public key ເຂົ້າໄປໃນ eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
// ໂປຣແກມ PR ເຈົ້າຂອງ root public ເຂົ້າໄປໃນ virtual eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
// ໂປຣແກມ PR ເຈົ້າຂອງ root public ເຂົ້າໄປໃນ eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
// ໂປຣແກມລະຫັດການເຂົ້າລະຫັດ AES CCERT ເຂົ້າໄປໃນ BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
// ໂປຣແກມລະຫັດການເຂົ້າລະຫັດ AES CCERT ເຂົ້າໄປໃນ eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ AN 425: ການນໍາໃຊ້ການແກ້ໄຂ Command-Line Jam STAPL ສໍາລັບໂຄງການອຸປະກອນ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 46
ສົ່ງຄຳຕິຊົມ
683823 | 2023.05.23 ສົ່ງຄຳຕິຊົມ
ຄຸນສົມບັດຂັ້ນສູງ
5.1. ການອະນຸຍາດດີບັກທີ່ປອດໄພ
ເພື່ອເປີດໃຊ້ການອະນຸຍາດດີບັກທີ່ປອດໄພ, ເຈົ້າຂອງດີບັກຕ້ອງສ້າງຄູ່ຄີການພິສູດຢືນຢັນ ແລະໃຊ້ Intel Quartus Prime Pro Programmer ເພື່ອສ້າງຂໍ້ມູນອຸປະກອນ. file ສໍາລັບອຸປະກອນທີ່ດໍາເນີນການຮູບພາບດີບັກ:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
ເຈົ້າຂອງອຸປະກອນໃຊ້ເຄື່ອງມື quartus_sign ຫຼືການປະຕິບັດການອ້າງອິງເພື່ອຕື່ມຂໍ້ມູນໃສ່ລະຫັດສາທາລະນະທີ່ມີເງື່ອນໄຂໃສ່ລະບົບຕ່ອງໂສ້ລາຍເຊັນທີ່ມີຈຸດປະສົງເພື່ອປະຕິບັດການດີບັກໂດຍໃຊ້ກະແຈສາທາລະນະຈາກເຈົ້າຂອງດີບັກ, ການອະນຸຍາດທີ່ຈໍາເປັນ, ຂໍ້ຄວາມຂໍ້ມູນອຸປະກອນ. file, ແລະຂໍ້ຈໍາກັດເພີ່ມເຕີມທີ່ສາມາດໃຊ້ໄດ້:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″ –XNUMX″ debug_authorization_public_key.pem secure_debug_auth_chain.qky
ເຈົ້າຂອງອຸປະກອນສົ່ງຕ່ອງໂສ້ລາຍເຊັນເຕັມກັບເຈົ້າຂອງດີບັກ, ຜູ້ທີ່ໃຊ້ຕ່ອງໂສ້ລາຍເຊັນແລະກະແຈສ່ວນຕົວຂອງເຂົາເຈົ້າເພື່ອເຊັນຮູບດີບັກ:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
ທ່ານສາມາດນໍາໃຊ້ຄໍາສັ່ງ quartus_pfg ເພື່ອກວດກາລະບົບຕ່ອງໂສ້ລາຍເຊັນຂອງແຕ່ລະພາກສ່ວນຂອງ bitstream debug ທີ່ປອດໄພທີ່ໄດ້ເຊັນນີ້ດັ່ງຕໍ່ໄປນີ້:
quartus_pfg –check_integrity authorized_debug_design.rbf
ຜົນໄດ້ຮັບຂອງຄໍາສັ່ງນີ້ພິມຄ່າຈໍາກັດ 1,2,17,18 ຂອງລະຫັດສາທາລະນະທີ່ມີເງື່ອນໄຂທີ່ຖືກນໍາໃຊ້ເພື່ອສ້າງ bitstream ທີ່ເຊັນ.
ຈາກນັ້ນເຈົ້າຂອງການດີບັກສາມາດຕັ້ງໂປຣແກຣມອອກແບບດີບັກທີ່ໄດ້ຮັບອະນຸຍາດຢ່າງປອດໄພ:
quartus_pgm -c 1 -mjtag -o “p;authorized_debug_design.rbf”
ເຈົ້າຂອງອຸປະກອນອາດຈະຖອນການອະນຸຍາດການດີບັ໊ກທີ່ປອດໄພໂດຍການຍົກເລີກລະຫັດການຍົກເລີກລະຫັດທີ່ຊັດເຈນທີ່ຖືກມອບໝາຍໄວ້ໃນຕ່ອງໂສ້ການເຊັນລາຍເຊັນການດີບັກທີ່ປອດໄພ.
5.2. HPS Debug Certificate
ການເປີດໃຊ້ງານອະນຸຍາດພຽງແຕ່ເຂົ້າເຖິງພອດການເຂົ້າເຖິງດີບັກ HPS (DAP) ຜ່ານ JTAG ການໂຕ້ຕອບຮຽກຮ້ອງໃຫ້ມີຫຼາຍຂັ້ນຕອນ:
ບໍລິສັດ Intel. ສະຫງວນລິຂະສິດທັງໝົດ. Intel, ໂລໂກ້ Intel, ແລະເຄື່ອງໝາຍ Intel ອື່ນໆແມ່ນເຄື່ອງໝາຍການຄ້າຂອງ Intel Corporation ຫຼືບໍລິສັດຍ່ອຍຂອງມັນ. Intel ຮັບປະກັນປະສິດທິພາບຂອງຜະລິດຕະພັນ FPGA ແລະ semiconductor ຂອງຕົນຕໍ່ກັບຂໍ້ມູນຈໍາເພາະໃນປະຈຸບັນໂດຍສອດຄ່ອງກັບການຮັບປະກັນມາດຕະຖານຂອງ Intel, ແຕ່ສະຫງວນສິດທີ່ຈະປ່ຽນແປງຜະລິດຕະພັນແລະການບໍລິການໄດ້ທຸກເວລາໂດຍບໍ່ມີການແຈ້ງການ. Intel ຖືວ່າບໍ່ມີຄວາມຮັບຜິດຊອບ ຫຼືຄວາມຮັບຜິດຊອບທີ່ເກີດຂຶ້ນຈາກແອັບພລິເຄຊັນ ຫຼືການນຳໃຊ້ຂໍ້ມູນ, ຜະລິດຕະພັນ, ຫຼືບໍລິການໃດໜຶ່ງທີ່ໄດ້ອະທິບາຍໄວ້ໃນນີ້ ຍົກເວັ້ນຕາມທີ່ໄດ້ຕົກລົງຢ່າງຈະແຈ້ງໃນລາຍລັກອັກສອນໂດຍ Intel. ລູກຄ້າ Intel ໄດ້ຮັບຄໍາແນະນໍາໃຫ້ໄດ້ຮັບສະບັບຫລ້າສຸດຂອງຂໍ້ມູນຈໍາເພາະຂອງອຸປະກອນກ່ອນທີ່ຈະອີງໃສ່ຂໍ້ມູນໃດໆທີ່ຈັດພີມມາແລະກ່ອນທີ່ຈະວາງຄໍາສັ່ງສໍາລັບຜະລິດຕະພັນຫຼືການບໍລິການ. *ຊື່ ແລະຍີ່ຫໍ້ອື່ນໆອາດຈະຖືກອ້າງວ່າເປັນຊັບສິນຂອງຄົນອື່ນ.
ISO 9001:2015 ລົງທະບຽນ
5. ຄຸນສົມບັດຂັ້ນສູງ 683823 | 2023.05.23
1. ຄລິກທີ່ເມນູ Intel Quartus Prime software Assignments ແລະເລືອກ Device Device and Pin Options Tab Configuration.
2. ໃນແຖບການຕັ້ງຄ່າ, ເປີດໃຊ້ HPS debug access port (DAP) ໂດຍການເລືອກ HPS Pins ຫຼື SDM Pins ຈາກເມນູແບບເລື່ອນລົງ, ແລະຮັບປະກັນວ່າ Allow HPS debug without certificates checkbox ບໍ່ໄດ້ຖືກເລືອກ.
ຮູບທີ 14. ລະບຸ HPS ຫຼື SDM Pins ສໍາລັບ HPS DAP
ຜອດການເຂົ້າເຖິງດີບັກ HPS (DAP)
ອີກທາງເລືອກ, ທ່ານອາດຈະກໍານົດການມອບຫມາຍຂ້າງລຸ່ມນີ້ໃນ Quartus Prime Settings .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE “SDM PINS”
3. ລວບລວມແລະໂຫຼດການອອກແບບດ້ວຍການຕັ້ງຄ່າເຫຼົ່ານີ້. 4. ສ້າງລະບົບຕ່ອງໂສ້ລາຍເຊັນດ້ວຍການອະນຸຍາດທີ່ເຫມາະສົມເພື່ອເຊັນຂໍ້ບົກພ່ອງ HPS
ໃບຢັ້ງຢືນ:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert.
5. ຮ້ອງຂໍໃບຢັ້ງຢືນການດີບັກ HPS ທີ່ບໍ່ໄດ້ເຊັນຈາກອຸປະກອນບ່ອນທີ່ການອອກແບບດີບັກຖືກໂຫລດ:
quartus_pgm -c 1 -mjtag -o “e;unsigned_hps_debug.cert;AGFB014R24A”
6. ເຊັນໃບຢັ້ງຢືນການດີບັ໊ກ HPS ທີ່ບໍ່ໄດ້ເຊັນໂດຍໃຊ້ເຄື່ອງມື quartus_sign ຫຼືການຈັດຕັ້ງປະຕິບັດການອ້າງອີງ ແລະລະບົບຕ່ອງໂສ້ລາຍເຊັນຂອງດີບັກ HPS:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 48
ສົ່ງຄຳຕິຊົມ
5. ຄຸນສົມບັດຂັ້ນສູງ 683823 | 2023.05.23
7. ສົ່ງໃບຮັບຮອງການດີບັ໊ກ HPS ທີ່ເຊັນແລ້ວກັບຄືນໄປຫາອຸປະກອນເພື່ອເປີດໃຊ້ການເຂົ້າເຖິງພອດ HPS ດີບັກ (DAP):
quartus_pgm -c 1 -mjtag -o “p;signed_hps_debug.cert”
ໃບຮັບຮອງການດີບັກ HPS ແມ່ນໃຊ້ໄດ້ຕັ້ງແຕ່ເວລາທີ່ມັນຖືກສ້າງຂື້ນຈົນຮອດວົງຈອນພະລັງງານຕໍ່ໄປຂອງອຸປະກອນ ຫຼືຈົນກວ່າເຟີມແວ SDM ປະເພດ ຫຼືລຸ້ນອື່ນຈະຖືກໂຫລດ. ທ່ານຕ້ອງສ້າງ, ເຊັນຊື່, ແລະດໍາເນີນໂຄງການໃບຢັ້ງຢືນການດີບັກ HPS ທີ່ໄດ້ເຊັນ, ແລະປະຕິບັດການດີບັກທັງຫມົດ, ກ່ອນທີ່ຈະວົງຈອນພະລັງງານອຸປະກອນ. ທ່ານອາດເຮັດໃຫ້ໃບຮັບຮອງການດີບັກ HPS ທີ່ເຊັນແລ້ວບໍ່ຖືກຕ້ອງໂດຍການຖີບອຸປະກອນ.
5.3. ການຢັ້ງຢືນເວທີ
ທ່ານສາມາດສ້າງ manifest ຄວາມຊື່ສັດການອ້າງອີງ (.rim) file ການນໍາໃຊ້ໂຄງການ file ເຄື່ອງມືຜະລິດ:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
ປະຕິບັດຕາມຂັ້ນຕອນເຫຼົ່ານີ້ເພື່ອຮັບປະກັນການຢັ້ງຢືນເວທີໃນການອອກແບບຂອງທ່ານ: 1. ໃຊ້ Intel Quartus Prime Pro Programmer ເພື່ອຕັ້ງຄ່າອຸປະກອນຂອງທ່ານກັບ
ການອອກແບບທີ່ທ່ານໄດ້ສ້າງຄວາມສົມບູນອ້າງອີງ manifest ສໍາລັບການ. 2. ໃຊ້ຕົວຢັ້ງຢືນການຢັ້ງຢືນເວທີເພື່ອລົງທະບຽນອຸປະກອນໂດຍການອອກຄໍາສັ່ງກັບ
SDM ຜ່ານກ່ອງຈົດໝາຍ SDM ເພື່ອສ້າງໃບຢັ້ງຢືນ ID ອຸປະກອນ ແລະໃບຢັ້ງຢືນເຟີມແວເມື່ອໂຫຼດຄືນໃໝ່. 3. ໃຊ້ Intel Quartus Prime Pro Programmer ເພື່ອປັບຕັ້ງຄ່າອຸປະກອນຂອງທ່ານກັບການອອກແບບ. 4. ໃຊ້ຕົວຢັ້ງຢືນການຢັ້ງຢືນແພລະຕະຟອມເພື່ອອອກຄຳສັ່ງໃຫ້ SDM ເພື່ອຮັບເອົາ ID ອຸປະກອນຢັ້ງຢືນ, ເຟີມແວ ແລະໃບຢັ້ງຢືນນາມແຝງ. 5. ໃຊ້ຕົວຢັ້ງຢືນເພື່ອອອກຄໍາສັ່ງ SDM mailbox ເພື່ອໃຫ້ໄດ້ຮັບຫຼັກຖານຢັ້ງຢືນແລະຜູ້ກວດສອບກວດສອບຫຼັກຖານທີ່ສົ່ງຄືນ.
ທ່ານອາດຈະປະຕິບັດການບໍລິການຕົວຢັ້ງຢືນຂອງທ່ານເອງໂດຍໃຊ້ຄໍາສັ່ງກ່ອງຈົດຫມາຍ SDM, ຫຼືໃຊ້ບໍລິການຕົວຢັ້ງຢືນແພລະຕະຟອມ Intel. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບຊອບແວການຢັ້ງຢືນແພລະຕະຟອມ Intel, ການມີໃຫ້, ແລະເອກະສານ, ຕິດຕໍ່ຝ່າຍຊ່ວຍເຫຼືອ Intel.
ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ Intel Agilex 7 Device Family Pin Guidelines Connection
5.4. ທາງດ້ານຮ່າງກາຍຕ້ານ Tamper
ທ່ານເປີດໃຊ້ການຕ້ານການທາງດ້ານຮ່າງກາຍamper ຄຸນນະສົມບັດໂດຍການນໍາໃຊ້ຂັ້ນຕອນດັ່ງຕໍ່ໄປນີ້: 1amper ເຫດການ 2. ການຕັ້ງຄ່າທີ່ຕ້ອງການ tamper ວິທີການກວດພົບແລະຕົວກໍານົດການ 3. ລວມທັງການຕ້ານການ tamper IP ໃນເຫດຜົນການອອກແບບຂອງທ່ານເພື່ອຊ່ວຍຈັດການຕ້ານ tamper
ເຫດການ
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 49
5. ຄຸນສົມບັດຂັ້ນສູງ 683823 | 2023.05.23
5.4.1. ຕ້ານ Tamper ຄໍາຕອບ
ທ່ານເປີດໃຊ້ການຕ້ານການ tamper ໂດຍເລືອກຄໍາຕອບຈາກ Anti-tamper response: dropdown list on the Assignments Device Device and Pin Options Security Anti-Tamper ແຖບ. ໂດຍຄ່າເລີ່ມຕົ້ນ, ການຕ້ານການ tamper ຕອບສະຫນອງແມ່ນພິການ. ຫ້າປະເພດຕ້ານ tampການຕອບສະຫນອງທີ່ມີຢູ່. ເມື່ອທ່ານເລືອກຄໍາຕອບທີ່ຕ້ອງການ, ທາງເລືອກໃນການເປີດໃຊ້ວິທີການກວດຫາຫນຶ່ງຫຼືຫຼາຍກວ່ານັ້ນຈະຖືກເປີດໃຊ້.
ຮູບ 15. ມີ Anti-Tamper ທາງເລືອກໃນການຕອບສະຫນອງ
ການມອບຫມາຍທີ່ສອດຄ້ອງກັນໃນການຕັ້ງຄ່າ Quartus Prime .gsf file ແມ່ນດັ່ງຕໍ່ໄປນີ້:
set_global_assignment -name ANTI_TAMPER_RESPONSE “ອຸປະກອນການແຈ້ງເຕືອນເຊັດການລັອກອຸປະກອນ ແລະ ZEROIZATION”
ເມື່ອທ່ານເປີດໃຊ້ anti-tamper ຕອບສະຫນອງ, ທ່ານອາດຈະເລືອກເອົາສອງ SDM ທີ່ມີຢູ່ທີ່ອຸທິດ I / O pins ທີ່ຈະອອກ t ໄດ້amper ການກວດຫາເຫດການ ແລະສະຖານະການຕອບສະໜອງໂດຍໃຊ້ໜ້າຕ່າງ Assignments Device Device and Pin Options Configuration Pin Options window.
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 50
ສົ່ງຄຳຕິຊົມ
5. ຄຸນສົມບັດຂັ້ນສູງ 683823 | 2023.05.23
ຮູບທີ 16. ມີ SDM ສະເພາະ I/O Pins ສໍາລັບ Tamper ການຊອກຫາເຫດການ
ທ່ານອາດຈະເຮັດການມອບຫມາຍ PIN ຕໍ່ໄປນີ້ໃນການຕັ້ງຄ່າ file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16
5.4.2. ຕ້ານ Tamper ການກວດສອບ
ທ່ານສາມາດເຮັດໃຫ້ເປັນສ່ວນບຸກຄົນຄວາມຖີ່ຂອງການ, ອຸນຫະພູມ, ແລະ voltage ລັກສະນະການຊອກຄົ້ນຫາຂອງ SDM. ການກວດຫາ FPGA ແມ່ນຂຶ້ນກັບການລວມເອົາ Anti-Tamper Lite Intel FPGA IP ໃນການອອກແບບຂອງທ່ານ.
ໝາຍເຫດ:
ຄວາມຖີ່ SDM ແລະ voltagແລະampວິທີການກວດພົບ er ແມ່ນຂຶ້ນກັບການອ້າງອິງພາຍໃນແລະຮາດແວການວັດແທກທີ່ສາມາດແຕກຕ່າງກັນໃນທົ່ວອຸປະກອນ. Intel ແນະນໍາໃຫ້ທ່ານກໍານົດລັກສະນະພຶດຕິກໍາຂອງ tampການຕັ້ງຄ່າການກວດພົບ.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 51
5. ຄຸນສົມບັດຂັ້ນສູງ 683823 | 2023.05.23
ຄວາມຖີ່ tamper detection ດໍາເນີນການຢູ່ໃນແຫຼ່ງໂມງການຕັ້ງຄ່າ. ເພື່ອເປີດໃຊ້ຄວາມຖີ່ tampເມື່ອກວດພົບ, ທ່ານຕ້ອງລະບຸທາງເລືອກອື່ນນອກເໜືອໄປຈາກ Oscillator ພາຍໃນໃນແຖບການກຳນົດຄ່າໂມງແບບເລື່ອນລົງໃນແຖບ Assignments Device ແລະ Pin Options General. ທ່ານຕ້ອງຮັບປະກັນວ່າ Run configuration CPU ຈາກ checkbox oscillator ພາຍໃນໄດ້ຖືກເປີດໃຊ້ກ່ອນທີ່ຈະເປີດໃຊ້ຄວາມຖີ່ t.ampການກວດສອບ. ຮູບທີ 17. ການຕັ້ງຄ່າ SDM ເປັນ Oscillator ພາຍໃນ
ເພື່ອເປີດໃຊ້ຄວາມຖີ່ tamper ການກວດພົບ, ເລືອກເອົາຄວາມຖີ່ຂອງການເຮັດໃຫ້ tamper detection checkbox ແລະເລືອກຄວາມຖີ່ທີ່ຕ້ອງການ tampໄລຍະການກວດຫາ er ຈາກເມນູເລື່ອນລົງ. ຮູບທີ 18. ການເປີດໃຊ້ຄວາມຖີ່ Tamper ການກວດສອບ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 52
ສົ່ງຄຳຕິຊົມ
5. ຄຸນສົມບັດຂັ້ນສູງ 683823 | 2023.05.23
ອີກທາງເລືອກ, ທ່ານອາດຈະເປີດໃຊ້ Frequency Tamper ການກວດສອບໂດຍການເຮັດໃຫ້ການປ່ຽນແປງຕໍ່ໄປນີ້ການຕັ້ງຄ່າ Quartus Prime .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION ປິດ set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_nameFENCENCEN_NAME_assignmentAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
ເພື່ອເປີດໃຊ້ອຸນຫະພູມ tamper ການກວດພົບ, ເລືອກເອົາການເຮັດໃຫ້ອຸນຫະພູມ tamper ການກວດສອບ checkbox ແລະເລືອກອຸນຫະພູມທີ່ຕ້ອງການຂອບເຂດເທິງແລະຕ່ໍາໃນຊ່ອງທີ່ສອດຄ້ອງກັນ. ຂອບເຂດເທິງ ແລະລຸ່ມແມ່ນຖືກບັນຈຸຕາມຄ່າເລີ່ມຕົ້ນດ້ວຍລະດັບອຸນຫະພູມທີ່ກ່ຽວຂ້ອງສໍາລັບອຸປະກອນທີ່ເລືອກໃນການອອກແບບ.
ເພື່ອເປີດໃຊ້ voltagແລະamper detection, ທ່ານເລືອກບໍ່ວ່າຈະຫຼືທັງສອງຂອງ Enable VCCL voltagແລະamper detection ຫຼື Enable VCCL_SDM voltagແລະamper detection checkboxes ແລະເລືອກ Voltagແລະamper detection trigger percentage ໃນພາກສະຫນາມທີ່ສອດຄ້ອງກັນ.
ຮູບທີ 19. ການເປີດໃຊ້ງານ Voltagແລະ Tamper ການກວດສອບ
ອີກທາງເລືອກ, ທ່ານອາດຈະເປີດໃຊ້ Voltagແລະ Tamper ການກວດສອບໂດຍການລະບຸການມອບຫມາຍດັ່ງຕໍ່ໄປນີ້ໃນ .qsf file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ເປີດ
5.4.3. ຕ້ານ Tamper Lite Intel FPGA IP
ການຕ້ານ Tamper Lite Intel FPGA IP, ທີ່ມີຢູ່ໃນລາຍການ IP ໃນຊອບແວ Intel Quartus Prime Pro Edition, ອໍານວຍຄວາມສະດວກໃນການສື່ສານສອງທິດທາງລະຫວ່າງການອອກແບບຂອງທ່ານແລະ SDM ສໍາລັບ t.amper ເຫດການ.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 53
ຮູບ 20. ຕ້ານ Tamper Lite Intel FPGA IP
5. ຄຸນສົມບັດຂັ້ນສູງ 683823 | 2023.05.23
IP ໃຫ້ສັນຍານຕໍ່ໄປນີ້ທີ່ທ່ານເຊື່ອມຕໍ່ກັບການອອກແບບຂອງທ່ານຕາມຄວາມຕ້ອງການ:
ຕາຕະລາງ 5.
ຕ້ານ Tamper Lite Intel FPGA IP I/O ສັນຍານ
ຊື່ສັນຍານ
ທິດທາງ
ລາຍລະອຽດ
gpo_sdm_at_event gpi_fpga_at_event
ຂາເຂົ້າຂາອອກ
ສັນຍານ SDM ເຖິງ FPGA fabric logic ທີ່ SDM ໄດ້ກວດພົບຢູ່amper ເຫດການ. ເຫດຜົນ FPGA ມີປະມານ 5ms ເພື່ອປະຕິບັດການທໍາຄວາມສະອາດທີ່ຕ້ອງການແລະຕອບສະຫນອງກັບ SDM ຜ່ານ gpi_fpga_at_response_done ແລະ gpi_fpga_at_zeroization_done. SDM ດໍາເນີນການກັບ tamper ປະຕິບັດການຕອບສະຫນອງເມື່ອ gpi_fpga_at_response_done ຖືກຢືນຢັນຫຼືຫຼັງຈາກບໍ່ໄດ້ຮັບການຕອບສະຫນອງໃນເວລາທີ່ໄດ້ຮັບ.
FPGA ຂັດຂວາງ SDM ທີ່ອອກແບບມາຂອງທ່ານຕໍ່ຕ້ານ tamper ການກວດສອບວົງຈອນໄດ້ກວດພົບຢູ່ທີ່amper ເຫດການແລະ SDM tampການຕອບສະ ໜອງ er ຄວນຈະຖືກກະຕຸ້ນ.
gpi_fpga_at_response_done
ປ້ອນຂໍ້ມູນ
FPGA ຂັດຂວາງ SDM ທີ່ເຫດຜົນ FPGA ໄດ້ປະຕິບັດການເຮັດຄວາມສະອາດທີ່ຕ້ອງການ.
gpi_fpga_at_zeroization_d ຫນຶ່ງ
ປ້ອນຂໍ້ມູນ
FPGA ສັນຍານກັບ SDM ວ່າເຫດຜົນ FPGA ໄດ້ສໍາເລັດການສູນຂໍ້ມູນການອອກແບບທີ່ຕ້ອງການ. ສັນຍານນີ້ແມ່ນ sampນໍາພາເມື່ອ gpi_fpga_at_response_done ຖືກຢືນຢັນ.
5.4.3.1. ປ່ອຍຂໍ້ມູນ
ໝາຍເລກ IP versioning scheme (XYZ) ປ່ຽນຈາກເວີຊັ່ນຊອບແວໜຶ່ງໄປຫາອີກລຸ້ນໜຶ່ງ. ການປ່ຽນແປງໃນ:
· X ຊີ້ໃຫ້ເຫັນເຖິງການປັບປຸງທີ່ສໍາຄັນຂອງ IP. ຖ້າທ່ານອັບເດດຊອບແວ Intel Quartus Prime ຂອງທ່ານ, ທ່ານຕ້ອງສ້າງ IP ຄືນໃໝ່.
· Y ຊີ້ໃຫ້ເຫັນ IP ປະກອບມີຄຸນສົມບັດໃຫມ່. ສ້າງ IP ຂອງທ່ານຄືນໃໝ່ເພື່ອປະກອບຄຸນສົມບັດໃໝ່ເຫຼົ່ານີ້.
· Z ຊີ້ໃຫ້ເຫັນ IP ປະກອບມີການປ່ຽນແປງເລັກນ້ອຍ. ສ້າງ IP ຂອງທ່ານເພື່ອລວມເອົາການປ່ຽນແປງເຫຼົ່ານີ້.
ຕາຕະລາງ 6.
ຕ້ານ Tamper Lite Intel FPGA ຂໍ້ມູນການປ່ອຍ IP
ລຸ້ນ IP
ລາຍການ
ລາຍລະອຽດ 20.1.0
ລຸ້ນ Intel Quartus Prime
21.2
ວັນທີປ່ອຍ
2021.06.21
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 54
ສົ່ງຄຳຕິຊົມ
5. ຄຸນສົມບັດຂັ້ນສູງ 683823 | 2023.05.23
5.5. ການນໍາໃຊ້ຄຸນນະສົມບັດຄວາມປອດໄພການອອກແບບກັບການປັບປຸງລະບົບຫ່າງໄກສອກຫຼີກ
Remote System Update (RSU) ເປັນຄຸນສົມບັດ Intel Agilex 7 FPGAs ທີ່ຊ່ວຍໃນການປັບປຸງການຕັ້ງຄ່າ files ໃນທາງທີ່ເຂັ້ມແຂງ. RSU ແມ່ນເຂົ້າກັນໄດ້ກັບລັກສະນະຄວາມປອດໄພຂອງການອອກແບບເຊັ່ນ: ການພິສູດຢືນຢັນ, ການເຊັນຊື່ຮ່ວມຂອງເຟີມແວ, ແລະການເຂົ້າລະຫັດ bitstream ເນື່ອງຈາກ RSU ບໍ່ໄດ້ຂຶ້ນກັບເນື້ອໃນການອອກແບບຂອງ bitstreams ການຕັ້ງຄ່າ.
ການກໍ່ສ້າງຮູບພາບ RSU ກັບ .sof Files
ຖ້າທ່ານກໍາລັງເກັບຮັກສາກະແຈສ່ວນຕົວຢູ່ໃນທ້ອງຖິ່ນຂອງທ່ານ fileລະບົບ, ທ່ານອາດຈະສ້າງຮູບພາບ RSU ທີ່ມີລັກສະນະຄວາມປອດໄພການອອກແບບໂດຍໃຊ້ການໄຫຼເຂົ້າທີ່ງ່າຍດາຍດ້ວຍ .sof files ເປັນວັດສະດຸປ້ອນ. ເພື່ອສ້າງຮູບພາບ RSU ກັບ .sof file, ທ່ານອາດຈະປະຕິບັດຕາມຄໍາແນະນໍາໃນພາກສ້າງຮູບພາບການປັບປຸງລະບົບໄລຍະໄກ Files ການນໍາໃຊ້ໂຄງການ File Generator ຂອງ Intel Agilex 7 ຄູ່ມືຜູ້ໃຊ້ການຕັ້ງຄ່າ. ສໍາລັບທຸກໆ .sof file ລະບຸໄວ້ໃນການປ້ອນຂໍ້ມູນ Files ແຖບ, ໃຫ້ຄລິກໃສ່ປຸ່ມ Properties… ແລະລະບຸການຕັ້ງຄ່າທີ່ເຫມາະສົມສໍາລັບເຄື່ອງມືການເຊັນແລະການເຂົ້າລະຫັດ. ການຂຽນໂປລແກລມ file ເຄື່ອງມືຜະລິດອັດຕະໂນມັດເຊັນແລະເຂົ້າລະຫັດຮູບພາບໂຮງງານຜະລິດແລະຄໍາຮ້ອງສະຫມັກໃນຂະນະທີ່ການສ້າງໂຄງການ RSU files.
ອີກທາງເລືອກ, ຖ້າທ່ານກໍາລັງເກັບກະແຈສ່ວນຕົວຢູ່ໃນ HSM, ທ່ານຕ້ອງໃຊ້ເຄື່ອງມື quartus_sign ແລະດັ່ງນັ້ນຈຶ່ງໃຊ້ .rbf. files. ສ່ວນທີ່ເຫຼືອຂອງພາກນີ້ລາຍລະອຽດການປ່ຽນແປງໃນການໄຫຼເພື່ອສ້າງຮູບພາບ RSU ກັບ .rbf files ເປັນວັດສະດຸປ້ອນ. ທ່ານຕ້ອງເຂົ້າລະຫັດ ແລະເຊັນຊື່ຮູບແບບ .rbf files ກ່ອນທີ່ຈະເລືອກເອົາໃຫ້ເຂົາເຈົ້າເປັນການປ້ອນຂໍ້ມູນ files ສໍາລັບຮູບພາບ RSU; ຢ່າງໃດກໍຕາມ, ຂໍ້ມູນການບູດ RSU file ຈະຕ້ອງບໍ່ຖືກເຂົ້າລະຫັດລັບ ແລະພຽງແຕ່ຖືກເຊັນແທນເທົ່ານັ້ນ. ໂຄງການ File Generator ບໍ່ຮອງຮັບການດັດແກ້ຄຸນສົມບັດຂອງຮູບແບບ .rbf files.
ຕໍ່ໄປນີ້ examples ສະແດງໃຫ້ເຫັນການດັດແກ້ທີ່ຈໍາເປັນຕໍ່ຄໍາສັ່ງໃນພາກສ້າງຮູບພາບການປັບປຸງລະບົບຫ່າງໄກສອກຫຼີກ Files ການນໍາໃຊ້ໂຄງການ File Generator ຂອງ Intel Agilex 7 ຄູ່ມືຜູ້ໃຊ້ການຕັ້ງຄ່າ.
ການສ້າງຮູບພາບ RSU ເບື້ອງຕົ້ນໂດຍໃຊ້ .rbf Files: ການແກ້ໄຂຄໍາສັ່ງ
ຈາກການສ້າງຮູບພາບ RSU ເບື້ອງຕົ້ນໂດຍໃຊ້ .rbf Files ພາກ, ປັບປຸງແກ້ໄຂຄໍາສັ່ງໃນຂັ້ນຕອນ 1. ເພື່ອເປີດໃຊ້ຄຸນນະສົມບັດຄວາມປອດໄພຂອງການອອກແບບຕາມທີ່ຕ້ອງການໂດຍໃຊ້ຄໍາແນະນໍາຈາກພາກສ່ວນກ່ອນຫນ້າຂອງເອກະສານນີ້.
ຕົວຢ່າງampດັ່ງນັ້ນ, ທ່ານຈະລະບຸເຟີມແວທີ່ລົງນາມ file ຖ້າທ່ານກໍາລັງໃຊ້ firmware cosigning, ຫຼັງຈາກນັ້ນໃຫ້ໃຊ້ເຄື່ອງມືການເຂົ້າລະຫັດ Quartus ເພື່ອເຂົ້າລະຫັດແຕ່ລະ .rbf. file, ແລະສຸດທ້າຍໃຊ້ເຄື່ອງມື quartus_sign ເພື່ອເຊັນແຕ່ລະຄົນ file.
ໃນຂັ້ນຕອນ 2, ຖ້າທ່ານໄດ້ເປີດໃຊ້ການເຊັນຊື່ເຟີມແວ, ທ່ານຕ້ອງໃຊ້ທາງເລືອກເພີ່ມເຕີມໃນການສ້າງ boot .rbf ຈາກຮູບໂຮງງານ. file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
ຫຼັງຈາກທີ່ທ່ານສ້າງຂໍ້ມູນ boot .rbf file, ໃຊ້ເຄື່ອງມື quartus_sign ເພື່ອເຊັນ .rbf file. ທ່ານຕ້ອງບໍ່ເຂົ້າລະຫັດຂໍ້ມູນ boot .rbf file.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 55
5. ຄຸນສົມບັດຂັ້ນສູງ 683823 | 2023.05.23
ການສ້າງຮູບພາບແອັບພລິເຄຊັນ: ການແກ້ໄຂຄໍາສັ່ງ
ເພື່ອສ້າງຮູບພາບແອັບພລິເຄຊັນທີ່ມີລັກສະນະຄວາມປອດໄພໃນການອອກແບບ, ທ່ານດັດແປງຄໍາສັ່ງໃນການສ້າງຮູບພາບແອັບພລິເຄຊັນເພື່ອໃຊ້ .rbf ທີ່ມີຄຸນສົມບັດຄວາມປອດໄພໃນການອອກແບບທີ່ເປີດໃຊ້ງານ, ລວມທັງເຟີມແວທີ່ໄດ້ເຊັນຮ່ວມກັນຖ້າຕ້ອງການ, ແທນທີ່ຈະເປັນແອັບພລິເຄຊັນຕົ້ນສະບັບ .sof. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
ການສ້າງຮູບພາບການປັບປຸງໂຮງງານ: ການແກ້ໄຂຄໍາສັ່ງ
ຫຼັງຈາກທີ່ທ່ານສ້າງຂໍ້ມູນ boot .rbf file, ທ່ານໃຊ້ເຄື່ອງມື quartus_sign ເພື່ອເຊັນ .rbf file. ທ່ານຕ້ອງບໍ່ເຂົ້າລະຫັດຂໍ້ມູນ boot .rbf file.
ເພື່ອສ້າງຮູບພາບອັບເດດໂຮງງານ RSU, ທ່ານດັດແປງຄໍາສັ່ງຈາກການສ້າງຮູບພາບການປັບປຸງໂຮງງານເພື່ອໃຊ້ .rbf. file ດ້ວຍການເປີດໃຊ້ຄຸນສົມບັດຄວາມປອດໄພໃນການອອກແບບ ແລະເພີ່ມທາງເລືອກເພື່ອຊີ້ບອກການນຳໃຊ້ເຟີມແວທີ່ຮ່ວມເຊັນກັນ:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ Intel Agilex 7 ຄູ່ມືຜູ້ໃຊ້ການຕັ້ງຄ່າ
5.6. ບໍລິການເຂົ້າລະຫັດລັບ SDM
SDM ຢູ່ໃນອຸປະກອນ Intel Agilex 7 ໃຫ້ບໍລິການການເຂົ້າລະຫັດລັບທີ່ FPGA fabric logic ຫຼື HPS ອາດຈະຮ້ອງຂໍໂດຍຜ່ານການໂຕ້ຕອບຂອງກ່ອງຈົດຫມາຍ SDM ທີ່ກ່ຽວຂ້ອງ. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບຄໍາສັ່ງກ່ອງຈົດຫມາຍແລະຮູບແບບຂໍ້ມູນສໍາລັບການບໍລິການເຂົ້າລະຫັດ SDM ທັງຫມົດ, ເບິ່ງເອກະສານຊ້ອນທ້າຍ B ໃນວິທີການຄວາມປອດໄພສໍາລັບ Intel FPGAs ແລະຄູ່ມືຜູ້ໃຊ້ Structured ASICs.
ເພື່ອເຂົ້າເຖິງອິນເຕີເຟດກ່ອງຈົດໝາຍ SDM ກັບ FPGA fabric logic ສໍາລັບການບໍລິການເຂົ້າລະຫັດ SDM, ທ່ານຕ້ອງເຮັດໃຫ້ Mailbox Client Intel FPGA IP ໃນການອອກແບບຂອງທ່ານທັນທີ.
ລະຫັດອ້າງອີງເພື່ອເຂົ້າເຖິງອິນເຕີເຟດກ່ອງຈົດໝາຍ SDM ຈາກ HPS ແມ່ນລວມຢູ່ໃນລະຫັດ ATF ແລະ Linux ທີ່ສະໜອງໃຫ້ໂດຍ Intel.
ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ Mailbox Client ຄູ່ມືຜູ້ໃຊ້ Intel FPGA IP
5.6.1. ຜູ້ຂາຍທີ່ໄດ້ຮັບອະນຸຍາດ Boot
Intel ສະຫນອງການປະຕິບັດການອ້າງອິງສໍາລັບຊອບແວ HPS ທີ່ນໍາໃຊ້ຄຸນສົມບັດການບູດຂອງຜູ້ຂາຍທີ່ໄດ້ຮັບອະນຸຍາດເພື່ອພິສູດຢືນຢັນຊອບແວບູດ HPS ຈາກຄັ້ງທໍາອິດ.tage boot loader ໂດຍຜ່ານ kernel Linux.
ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ Intel Agilex 7 SoC Secure Boot Demo Design
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 56
ສົ່ງຄຳຕິຊົມ
5. ຄຸນສົມບັດຂັ້ນສູງ 683823 | 2023.05.23
5.6.2. ບໍລິການວັດຖຸຂໍ້ມູນທີ່ປອດໄພ
ທ່ານສົ່ງຄໍາສັ່ງຜ່ານກ່ອງຈົດຫມາຍ SDM ເພື່ອປະຕິບັດການເຂົ້າລະຫັດແລະຖອດລະຫັດວັດຖຸ SDOS. ເຈົ້າອາດຈະໃຊ້ຄຸນສົມບັດ SDOS ຫຼັງຈາກຈັດຫາລະຫັດຮາກ SDOS.
ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ Secure Data Object Service Root Key Provisioning page 30
5.6.3. ການບໍລິການເບື້ອງຕົ້ນຂອງ SDM Cryptographic
ທ່ານສົ່ງຄໍາສັ່ງຜ່ານກ່ອງຈົດຫມາຍ SDM ເພື່ອເລີ່ມຕົ້ນການປະຕິບັດການບໍລິການເບື້ອງຕົ້ນຂອງ SDM cryptographic. ບາງບໍລິການ cryptographic primitive ຮຽກຮ້ອງໃຫ້ມີການໂອນຂໍ້ມູນຫຼາຍໄປຫາແລະຈາກ SDM ຫຼາຍກວ່າການໂຕ້ຕອບຂອງກ່ອງຈົດຫມາຍສາມາດຍອມຮັບໄດ້. ໃນກໍລະນີເຫຼົ່ານີ້, ຄໍາສັ່ງຂອງຮູບແບບປ່ຽນແປງເພື່ອໃຫ້ຕົວຊີ້ໄປຫາຂໍ້ມູນໃນຫນ່ວຍຄວາມຈໍາ. ນອກຈາກນັ້ນ, ທ່ານຕ້ອງປ່ຽນການຢືນຢັນຕົວຕົນຂອງ Mailbox Client Intel FPGA IP ເພື່ອໃຊ້ບໍລິການ SDM cryptographic primitive ຈາກເຫດຜົນຂອງຜ້າ FPGA. ນອກຈາກນັ້ນ, ທ່ານຕ້ອງໄດ້ກໍານົດພາລາມິເຕີການບໍລິການ Crypto ເປັນ 1 ແລະເຊື່ອມຕໍ່ອິນເຕີເຟດ AXI ຜູ້ລິເລີ່ມທີ່ເປີດເຜີຍໃຫມ່ກັບຫນ່ວຍຄວາມຈໍາໃນການອອກແບບຂອງທ່ານ.
ຮູບທີ 21. ການເປີດໃຊ້ງານບໍລິການເຂົ້າລະຫັດ SDM ໃນ Mailbox Client Intel FPGA IP
5.7. ການຕັ້ງຄ່າຄວາມປອດໄພ Bitstream (FM/S10)
ທາງເລືອກ FPGA Bitstream Security ແມ່ນການລວບລວມນະໂຍບາຍທີ່ຈໍາກັດຄຸນສົມບັດຫຼືຮູບແບບການດໍາເນີນງານພາຍໃນໄລຍະເວລາທີ່ກໍານົດໄວ້.
ຕົວເລືອກຄວາມປອດໄພ Bitstream ປະກອບດ້ວຍທຸງທີ່ທ່ານຕັ້ງໄວ້ໃນຊອບແວ Intel Quartus Prime Pro Edition. ທຸງເຫຼົ່ານີ້ຖືກຄັດລອກໂດຍອັດຕະໂນມັດເຂົ້າໄປໃນ bitstreams ການຕັ້ງຄ່າ.
ເຈົ້າອາດຈະບັງຄັບໃຊ້ທາງເລືອກຄວາມປອດໄພໃນອຸປະກອນຢ່າງຖາວອນຜ່ານການໃຊ້ການຕັ້ງຄ່າຄວາມປອດໄພທີ່ສອດຄ້ອງກັນ eFuse.
ເພື່ອໃຊ້ການຕັ້ງຄ່າຄວາມປອດໄພໃດໆໃນການຕັ້ງຄ່າ bitstream ຫຼືອຸປະກອນ eFuses, ທ່ານຕ້ອງເປີດໃຊ້ຄຸນສົມບັດການກວດສອບຄວາມຖືກຕ້ອງ.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 57
5. ຄຸນສົມບັດຂັ້ນສູງ 683823 | 2023.05.23
5.7.1. ການເລືອກ ແລະເປີດໃຊ້ຕົວເລືອກຄວາມປອດໄພ
ເພື່ອເລືອກ ແລະເປີດໃຊ້ຕົວເລືອກຄວາມປອດໄພ, ໃຫ້ເຮັດດັ່ງນີ້: ຈາກເມນູ Assignments, ເລືອກ Device Device and Pin Options Security More Options… ຮູບທີ 22. ການເລືອກ ແລະເປີດໃຊ້ຕົວເລືອກຄວາມປອດໄພ.
ແລະຫຼັງຈາກນັ້ນເລືອກເອົາຄຸນຄ່າຈາກບັນຊີລາຍການເລື່ອນລົງສໍາລັບທາງເລືອກຄວາມປອດໄພທີ່ທ່ານຕ້ອງການທີ່ຈະເຮັດໃຫ້ໄດ້ສະແດງໃຫ້ເຫັນໃນ ex ດັ່ງຕໍ່ໄປນີ້ample:
ຮູບທີ 23. ການເລືອກຄ່າສໍາລັບທາງເລືອກຄວາມປອດໄພ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 58
ສົ່ງຄຳຕິຊົມ
5. ຄຸນສົມບັດຂັ້ນສູງ 683823 | 2023.05.23
ຕໍ່ໄປນີ້ແມ່ນການປ່ຽນແປງທີ່ສອດຄ້ອງກັນໃນການຕັ້ງຄ່າ Quartus Prime .qsf file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG “ON CHECK” set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE “ON STICKY” set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECUON_OPTION_NAMEglobal_assignment SECU_OPTION_LOCK_SECURITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -OPTION_SEAB_name ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPONED_ENCRY
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 59
683823 | 2023.05.23 ສົ່ງຄຳຕິຊົມ
ການແກ້ໄຂບັນຫາ
ບົດນີ້ອະທິບາຍຂໍ້ຜິດພາດທົ່ວໄປ ແລະຂໍ້ຄວາມເຕືອນທີ່ເຈົ້າອາດຈະພົບໃນຂະນະທີ່ພະຍາຍາມໃຊ້ຄຸນສົມບັດ ແລະມາດຕະການຄວາມປອດໄພຂອງອຸປະກອນເພື່ອແກ້ໄຂພວກມັນ.
6.1. ການນໍາໃຊ້ຄໍາສັ່ງ Quartus ໃນ Windows Environment ຜິດພາດ
ຂໍ້ຜິດພາດ quartus_pgm: ບໍ່ພົບຄໍາສັ່ງ ລາຍລະອຽດ ຂໍ້ຜິດພາດນີ້ຈະສະແດງໃນເວລາທີ່ພະຍາຍາມໃຊ້ຄໍາສັ່ງ Quartus ໃນ NIOS II Shell ໃນສະພາບແວດລ້ອມ Windows ໂດຍໃຊ້ WSL. ການແກ້ໄຂຄໍາສັ່ງນີ້ເຮັດວຽກຢູ່ໃນສະພາບແວດລ້ອມ Linux; ສໍາລັບ Windows hosts, ໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້: quartus_pgm.exe -h ເຊັ່ນດຽວກັນ, ນໍາໃຊ້ syntax ດຽວກັນກັບຄໍາສັ່ງ Quartus Prime ອື່ນໆເຊັ່ນ: quartus_pfg, quartus_sign, quartus_encrypt ໃນບັນດາຄໍາສັ່ງອື່ນໆ.
ບໍລິສັດ Intel. ສະຫງວນລິຂະສິດທັງໝົດ. Intel, ໂລໂກ້ Intel, ແລະເຄື່ອງໝາຍ Intel ອື່ນໆແມ່ນເຄື່ອງໝາຍການຄ້າຂອງ Intel Corporation ຫຼືບໍລິສັດຍ່ອຍຂອງມັນ. Intel ຮັບປະກັນປະສິດທິພາບຂອງຜະລິດຕະພັນ FPGA ແລະ semiconductor ຂອງຕົນຕໍ່ກັບຂໍ້ມູນຈໍາເພາະໃນປະຈຸບັນໂດຍສອດຄ່ອງກັບການຮັບປະກັນມາດຕະຖານຂອງ Intel, ແຕ່ສະຫງວນສິດທີ່ຈະປ່ຽນແປງຜະລິດຕະພັນແລະການບໍລິການໄດ້ທຸກເວລາໂດຍບໍ່ມີການແຈ້ງການ. Intel ຖືວ່າບໍ່ມີຄວາມຮັບຜິດຊອບ ຫຼືຄວາມຮັບຜິດຊອບທີ່ເກີດຂຶ້ນຈາກແອັບພລິເຄຊັນ ຫຼືການນຳໃຊ້ຂໍ້ມູນ, ຜະລິດຕະພັນ, ຫຼືບໍລິການໃດໜຶ່ງທີ່ໄດ້ອະທິບາຍໄວ້ໃນນີ້ ຍົກເວັ້ນຕາມທີ່ໄດ້ຕົກລົງຢ່າງຈະແຈ້ງໃນລາຍລັກອັກສອນໂດຍ Intel. ລູກຄ້າ Intel ໄດ້ຮັບຄໍາແນະນໍາໃຫ້ໄດ້ຮັບສະບັບຫລ້າສຸດຂອງຂໍ້ມູນຈໍາເພາະຂອງອຸປະກອນກ່ອນທີ່ຈະອີງໃສ່ຂໍ້ມູນໃດໆທີ່ຈັດພີມມາແລະກ່ອນທີ່ຈະວາງຄໍາສັ່ງສໍາລັບຜະລິດຕະພັນຫຼືການບໍລິການ. *ຊື່ ແລະຍີ່ຫໍ້ອື່ນໆອາດຈະຖືກອ້າງວ່າເປັນຊັບສິນຂອງຄົນອື່ນ.
ISO 9001:2015 ລົງທະບຽນ
6. ການແກ້ໄຂບັນຫາ 683823 | 2023.05.23
6.2. ກຳລັງສ້າງຄຳເຕືອນກະແຈສ່ວນຕົວ
ຄຳເຕືອນ:
ລະຫັດຜ່ານທີ່ລະບຸໄວ້ແມ່ນຖືວ່າບໍ່ປອດໄພ. Intel ແນະນຳໃຫ້ໃຊ້ລະຫັດຜ່ານຢ່າງໜ້ອຍ 13 ຕົວ. ເຈົ້າແນະນຳໃຫ້ປ່ຽນລະຫັດຜ່ານໂດຍການໃຊ້ OpenSSL executable.
openssl ec -in - ອອກ -aes256
ລາຍລະອຽດ
ການເຕືອນນີ້ແມ່ນກ່ຽວຂ້ອງກັບຄວາມເຂັ້ມຂອງລະຫັດຜ່ານແລະສະແດງໃນເວລາທີ່ພະຍາຍາມສ້າງລະຫັດສ່ວນຕົວໂດຍການອອກຄໍາສັ່ງຕໍ່ໄປນີ້:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem
ການແກ້ໄຂການນໍາໃຊ້ openssl ທີ່ສາມາດປະຕິບັດໄດ້ເພື່ອລະບຸລະຫັດຜ່ານທີ່ຍາວກວ່າແລະດັ່ງນັ້ນຈຶ່ງເຂັ້ມແຂງຂຶ້ນ.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 61
6. ການແກ້ໄຂບັນຫາ 683823 | 2023.05.23
6.3. ການເພີ່ມລະຫັດການລົງນາມກັບຄວາມຜິດພາດໂຄງການ Quartus
ຜິດພາດ…File ມີຂໍ້ມູນລະຫັດຮາກ…
ລາຍລະອຽດ
ຫຼັງຈາກເພີ່ມລະຫັດການລົງນາມ .qky file ກັບໂຄງການ Quartus, ທ່ານຈໍາເປັນຕ້ອງປະກອບ .sof file. ໃນເວລາທີ່ທ່ານເພີ່ມນີ້ regenerated .sof file ກັບອຸປະກອນທີ່ເລືອກໂດຍໃຊ້ Quartus Programmer, ຂໍ້ຄວາມສະແດງຂໍ້ຜິດພາດຕໍ່ໄປນີ້ຊີ້ໃຫ້ເຫັນວ່າ file ປະກອບມີຂໍ້ມູນຫຼັກຮາກ:
ເພີ່ມລົ້ມເຫລວfile-path-name> ກັບ Programmer. ໄດ້ file ມີຂໍ້ມູນຫຼັກຮາກ (.qky). ຢ່າງໃດກໍຕາມ, Programmer ບໍ່ສະຫນັບສະຫນູນຄຸນນະສົມບັດການເຊັນ bitstream. ທ່ານສາມາດນໍາໃຊ້ Programming File ເຄື່ອງກໍາເນີດໄຟຟ້າເພື່ອແປງ file ກັບ Binary ດິບທີ່ໄດ້ເຊັນ file (.rbf) ສໍາລັບການຕັ້ງຄ່າ.
ຄວາມລະອຽດ
ໃຊ້ໂຄງການ Quartus file ເຄື່ອງກໍາເນີດໄຟຟ້າເພື່ອແປງ file ເຂົ້າໄປໃນລະບົບ Binary ດິບ File .rbf ສໍາລັບການຕັ້ງຄ່າ.
ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງການລົງນາມການຕັ້ງຄ່າ Bitstream ການນໍາໃຊ້ຄໍາສັ່ງ quartus_sign ໃນຫນ້າ 13
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 62
ສົ່ງຄຳຕິຊົມ
6. ການແກ້ໄຂບັນຫາ 683823 | 2023.05.23
6.4. ການສ້າງໂຄງການ Quartus Prime File ບໍ່ສຳເລັດ
ຜິດພາດ
ຂໍ້ຜິດພາດ (20353): X ຂອງກະແຈສາທາລະນະຈາກ QKY ບໍ່ກົງກັບລະຫັດສ່ວນຕົວຈາກ PEM file.
ຂໍ້ຜິດພາດ (20352): ລົ້ມເຫລວໃນການລົງນາມໃນ bitstream ຜ່ານ python script agilex_sign.py.
ຜິດພາດ: Quartus Prime Programming File ເຄື່ອງກໍາເນີດໄຟຟ້າບໍ່ສໍາເລັດ.
ລາຍລະອຽດ ຖ້າຫາກວ່າທ່ານພະຍາຍາມທີ່ຈະລົງນາມໃນການຕັ້ງຄ່າ bitstream ການນໍາໃຊ້ກະແຈສ່ວນຕົວທີ່ບໍ່ຖືກຕ້ອງ .pem file ຫຼື .pem file ທີ່ບໍ່ກົງກັບ .qky ເພີ່ມໃສ່ໂຄງການ, ຂໍ້ຜິດພາດທົ່ວໄປຂ້າງເທິງສະແດງ. ການແກ້ໄຂໃຫ້ແນ່ໃຈວ່າທ່ານໃຊ້ກະແຈສ່ວນຕົວທີ່ຖືກຕ້ອງ .pem ເພື່ອເຊັນ bitstream.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 63
6. ການແກ້ໄຂບັນຫາ 683823 | 2023.05.23
6.5. ຄວາມຜິດພາດການໂຕ້ຖຽງທີ່ບໍ່ຮູ້ຈັກ
ຜິດພາດ
ຂໍ້ຜິດພາດ (23028): ການໂຕ້ຖຽງທີ່ບໍ່ຮູ້ຈັກ “ûc”. ອ້າງອີງເຖິງ –help ສໍາລັບການໂຕ້ຖຽງທາງກົດໝາຍ.
ຂໍ້ຜິດພາດ (213008): ຕົວເລືອກການຂຽນໂປຼແກຼມ string “ûp” ແມ່ນຜິດກົດໝາຍ. ອ້າງອີງເຖິງ –help ສໍາລັບຮູບແບບທາງເລືອກການຂຽນໂປຼແກຼມທາງດ້ານກົດໝາຍ.
ລາຍລະອຽດ ຖ້າຫາກວ່າທ່ານຄັດລອກແລະວາງທາງເລືອກແຖວຄໍາສັ່ງຈາກ .pdf file ໃນ Windows NIOS II Shell, ທ່ານອາດຈະພົບກັບຄວາມຜິດພາດທີ່ບໍ່ຮູ້ຈັກການໂຕ້ຖຽງດັ່ງທີ່ສະແດງຂ້າງເທິງ. ການແກ້ໄຂໃນກໍລະນີດັ່ງກ່າວ, ທ່ານສາມາດໃສ່ຄໍາສັ່ງດ້ວຍຕົນເອງແທນທີ່ຈະວາງຈາກ clipboard.
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 64
ສົ່ງຄຳຕິຊົມ
6. ການແກ້ໄຂບັນຫາ 683823 | 2023.05.23
6.6. ທາງເລືອກການເຂົ້າລະຫັດ Bitstream ປິດການໃຊ້ງານຜິດພາດ
ຜິດພາດ
ບໍ່ສາມາດສໍາເລັດການເຂົ້າລະຫັດສໍາລັບການ file ການອອກແບບ .sof ເນື່ອງຈາກວ່າມັນຖືກລວບລວມດ້ວຍທາງເລືອກການເຂົ້າລະຫັດ bitstream ປິດການໃຊ້ງານ.
ລາຍລະອຽດ ຖ້າຫາກວ່າທ່ານພະຍາຍາມທີ່ຈະເຂົ້າລະຫັດ bitstream ຜ່ານ GUI ຫຼືບັນຊີຄໍາສັ່ງຫຼັງຈາກທີ່ທ່ານໄດ້ສັງລວມໂຄງການທີ່ມີທາງເລືອກການເຂົ້າລະຫັດ bitstream ປິດໃຊ້ງານ, Quartus ປະຕິເສດຄໍາສັ່ງດັ່ງທີ່ສະແດງໃຫ້ເຫັນຂ້າງເທິງ.
ການແກ້ໄຂໃຫ້ແນ່ໃຈວ່າທ່ານລວບລວມໂຄງການດ້ວຍທາງເລືອກການເຂົ້າລະຫັດ bitstream ທີ່ເປີດໃຊ້ຜ່ານ GUI ຫຼືເສັ້ນຄໍາສັ່ງ. ເພື່ອເປີດໃຊ້ຕົວເລືອກນີ້ໃນ GUI, ທ່ານຕ້ອງກວດເບິ່ງກ່ອງໝາຍສຳລັບຕົວເລືອກນີ້.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 65
6. ການແກ້ໄຂບັນຫາ 683823 | 2023.05.23
6.7. ການລະບຸເສັ້ນທາງທີ່ຖືກຕ້ອງໄປຫາກະແຈ
ຜິດພາດ
ຂໍ້ຜິດພາດ (19516): ກວດພົບການຂຽນໂປຼແກຼມ File ເກີດຄວາມຜິດພາດໃນການຕັ້ງຄ່າເຄື່ອງກໍາເນີດ: ບໍ່ສາມາດຊອກຫາ 'key_file'. ໃຫ້ແນ່ໃຈວ່າ file ຕັ້ງຢູ່ໃນສະຖານທີ່ທີ່ຄາດໄວ້ຫຼືອັບເດດ setting.sec
ຂໍ້ຜິດພາດ (19516): ກວດພົບການຂຽນໂປຼແກຼມ File ເກີດຄວາມຜິດພາດໃນການຕັ້ງຄ່າເຄື່ອງກໍາເນີດ: ບໍ່ສາມາດຊອກຫາ 'key_file'. ໃຫ້ແນ່ໃຈວ່າ file ຕັ້ງຢູ່ໃນສະຖານທີ່ທີ່ຄາດໄວ້ຫຼືປັບປຸງການຕັ້ງຄ່າ.
ລາຍລະອຽດ
ຖ້າທ່ານກໍາລັງໃຊ້ກະແຈທີ່ເກັບໄວ້ໃນ file ລະບົບ, ທ່ານຈໍາເປັນຕ້ອງໃຫ້ແນ່ໃຈວ່າພວກເຂົາກໍານົດເສັ້ນທາງທີ່ຖືກຕ້ອງສໍາລັບກະແຈທີ່ໃຊ້ສໍາລັບການເຂົ້າລະຫັດ bitstream ແລະເຊັນ. ຖ້າ Programming File Generator ບໍ່ສາມາດກວດພົບເສັ້ນທາງທີ່ຖືກຕ້ອງ, ຂໍ້ຄວາມສະແດງຂໍ້ຜິດພາດຂ້າງເທິງຈະສະແດງ.
ຄວາມລະອຽດ
ອ້າງເຖິງການຕັ້ງຄ່າ Quartus Prime .qsf file ເພື່ອຊອກຫາເສັ້ນທາງທີ່ຖືກຕ້ອງສໍາລັບກະແຈ. ໃຫ້ແນ່ໃຈວ່າທ່ານໃຊ້ເສັ້ນທາງທີ່ກ່ຽວຂ້ອງແທນທີ່ຈະເປັນເສັ້ນທາງຢ່າງແທ້ຈິງ.
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 66
ສົ່ງຄຳຕິຊົມ
6. ການແກ້ໄຂບັນຫາ 683823 | 2023.05.23
6.8. ໃຊ້ການສົ່ງອອກທີ່ບໍ່ຮອງຮັບ File ປະເພດ
ຜິດພາດ
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
ຂໍ້ຜິດພາດ (19511): ບໍ່ຮອງຮັບຜົນຜະລິດ file ປະເພດ (ebf). ໃຊ້ຕົວເລືອກ “-l” ຫຼື “–list” ເພື່ອສະແດງການຮອງຮັບ file ພິມຂໍ້ມູນ.
ຄໍາອະທິບາຍໃນຂະນະທີ່ໃຊ້ Quartus Programming File Generator ເພື່ອສ້າງ bitstream ການຕັ້ງຄ່າທີ່ຖືກເຂົ້າລະຫັດແລະລົງນາມ, ທ່ານອາດຈະເຫັນຂໍ້ຜິດພາດຂ້າງເທິງຖ້າຜົນຜະລິດທີ່ບໍ່ຮອງຮັບ file ປະເພດຖືກລະບຸ. ການແກ້ໄຂການນໍາໃຊ້ -l ຫຼືທາງເລືອກ –list ເພື່ອເບິ່ງບັນຊີລາຍການສະຫນັບສະຫນູນ file ປະເພດ.
ສົ່ງຄຳຕິຊົມ
ຄູ່ມືຜູ້ໃຊ້ດ້ານຄວາມປອດໄພຂອງອຸປະກອນ Intel Agilex® 7 67
683823 | 2023.05.23 ສົ່ງຄຳຕິຊົມ
7. ເອກະສານຄູ່ມືຜູ້ໃຊ້ຄວາມປອດໄພອຸປະກອນ Intel Agilex 7
ສໍາລັບສະບັບຫລ້າສຸດ ແລະທີ່ຜ່ານມາຂອງຄູ່ມືຜູ້ໃຊ້ນີ້, ອ້າງອີງເຖິງ Intel Agilex 7 Device Security User Guide. ຖ້າ IP ຫຼືເວີຊັນຊອບແວບໍ່ໄດ້ຢູ່ໃນລາຍການ, ຄູ່ມືຜູ້ໃຊ້ສໍາລັບ IP ຫຼືຮຸ່ນຊອບແວທີ່ຜ່ານມາຖືກນໍາໃຊ້.
ບໍລິສັດ Intel. ສະຫງວນລິຂະສິດທັງໝົດ. Intel, ໂລໂກ້ Intel, ແລະເຄື່ອງໝາຍ Intel ອື່ນໆແມ່ນເຄື່ອງໝາຍການຄ້າຂອງ Intel Corporation ຫຼືບໍລິສັດຍ່ອຍຂອງມັນ. Intel ຮັບປະກັນປະສິດທິພາບຂອງຜະລິດຕະພັນ FPGA ແລະ semiconductor ຂອງຕົນຕໍ່ກັບຂໍ້ມູນຈໍາເພາະໃນປະຈຸບັນໂດຍສອດຄ່ອງກັບການຮັບປະກັນມາດຕະຖານຂອງ Intel, ແຕ່ສະຫງວນສິດທີ່ຈະປ່ຽນແປງຜະລິດຕະພັນແລະການບໍລິການໄດ້ທຸກເວລາໂດຍບໍ່ມີການແຈ້ງການ. Intel ຖືວ່າບໍ່ມີຄວາມຮັບຜິດຊອບ ຫຼືຄວາມຮັບຜິດຊອບທີ່ເກີດຂຶ້ນຈາກແອັບພລິເຄຊັນ ຫຼືການນຳໃຊ້ຂໍ້ມູນ, ຜະລິດຕະພັນ, ຫຼືບໍລິການໃດໜຶ່ງທີ່ໄດ້ອະທິບາຍໄວ້ໃນນີ້ ຍົກເວັ້ນຕາມທີ່ໄດ້ຕົກລົງຢ່າງຈະແຈ້ງໃນລາຍລັກອັກສອນໂດຍ Intel. ລູກຄ້າ Intel ໄດ້ຮັບຄໍາແນະນໍາໃຫ້ໄດ້ຮັບສະບັບຫລ້າສຸດຂອງຂໍ້ມູນຈໍາເພາະຂອງອຸປະກອນກ່ອນທີ່ຈະອີງໃສ່ຂໍ້ມູນໃດໆທີ່ຈັດພີມມາແລະກ່ອນທີ່ຈະວາງຄໍາສັ່ງສໍາລັບຜະລິດຕະພັນຫຼືການບໍລິການ. *ຊື່ ແລະຍີ່ຫໍ້ອື່ນໆອາດຈະຖືກອ້າງວ່າເປັນຊັບສິນຂອງຄົນອື່ນ.
ISO 9001:2015 ລົງທະບຽນ
683823 | 2023.05.23 ສົ່ງຄຳຕິຊົມ
8. ປະຫວັດການແກ້ໄຂສໍາລັບຄູ່ມືຜູ້ໃຊ້ຄວາມປອດໄພອຸປະກອນ Intel Agilex 7
ສະບັບເອກະສານ 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09
ເອກະສານ / ຊັບພະຍາກອນ
 |
Intel Agilex 7 ຄວາມປອດໄພອຸປະກອນ [pdf] ຄູ່ມືຜູ້ໃຊ້ Agilex 7 ຄວາມປອດໄພອຸປະກອນ, Agilex 7, ຄວາມປອດໄພອຸປະກອນ, ຄວາມປອດໄພ |
