„Intel Agilex 7 Device Security“ vartotojo vadovas

„Intel“ yra įsipareigojusi užtikrinti produkto saugumą ir rekomenduoja vartotojams susipažinti su pateiktais produkto saugos ištekliais. Šie ištekliai turėtų būti naudojami visą „Intel“ produkto naudojimo laiką.

2. Planuojamos apsaugos priemonės

Ateityje „Intel Quartus Prime Pro Edition“ programinės įrangos leidime planuojamos šios saugos funkcijos:

Dalinio perkonfigūravimo bitų srauto saugos patikrinimas: suteikia papildomos garantijos, kad dalinio perkonfigūravimo (PR) bitų srautai negali pasiekti kitų PR persona bitų srautų arba jiems trukdyti.

Įrenginio savižudybė fiziniam anti-Tamper: atlieka įrenginio nuvalymo arba įrenginio nulio nustatymo atsaką ir užprogramuoja eFuses, kad įrenginys nebūtų konfigūruojamas iš naujo.

3. Turimi saugos dokumentai

Šioje lentelėje išvardyti galimi dokumentai apie įrenginio saugos funkcijas Intel FPGA ir Structured ASIC įrenginiuose:

Dokumento pavadinimas	Tikslas
„Intel“ FPGA ir struktūrinių ASIC vartotojų saugos metodika Vadovas	Aukščiausio lygio dokumentas, kuriame pateikiami išsamūs aprašymai „Intel Programable Solutions“ saugos funkcijos ir technologijos Produktai. Padeda vartotojams pasirinkti reikiamas saugos funkcijas atitinka jų saugumo tikslus.
„Intel Stratix 10 Device Security“ vartotojo vadovas	Diegimo instrukcijos „Intel Stratix 10“ įrenginių naudotojams apsaugos požymius, nustatytus taikant Apsaugos metodiką Vartotojo vadovas.
„Intel Agilex 7 Device Security“ vartotojo vadovas	Diegimo instrukcijos „Intel Agilex 7“ įrenginių naudotojams apsaugos požymius, nustatytus taikant Apsaugos metodiką Vartotojo vadovas.
„Intel eASIC N5X Device Security“ vartotojo vadovas	Diegimo instrukcijos Intel eASIC N5X įrenginių naudotojams apsaugos požymius, nustatytus taikant Apsaugos metodiką Vartotojo vadovas.
„Intel Agilex 7“ ir „Intel eASIC N5X HPS“ kriptografinės paslaugos Vartotojo vadovas	Informacija HPS programinės įrangos inžinieriams apie diegimą ir HPS programinės įrangos bibliotekų naudojimas kriptografinėms paslaugoms pasiekti pateikė SDM.
AN-968 Black Key Provisioning Service Greitos pradžios vadovas	Visas veiksmų rinkinys, norint nustatyti juodojo rakto aprūpinimą paslauga.

Dažnai užduodami klausimai

Kl.: koks yra saugos metodologijos vartotojo vadovo tikslas?

A: Saugos metodologijos vartotojo vadove pateikiami išsamūs „Intel Programable Solutions Products“ saugos funkcijų ir technologijų aprašymai. Tai padeda vartotojams pasirinkti reikiamas saugos funkcijas, kad jos atitiktų saugos tikslus.

K: Kur galiu rasti „Intel Agilex 7 Device Security“ vartotojo vadovą?

A: „Intel Agilex 7 Device Security“ vartotojo vadovą galite rasti „Intel“ išteklių ir dizaino centre websvetainę.

Kl .: Kas yra „Black Key Provisioning“ paslauga?

A: „Black Key Provisioning“ paslauga yra paslauga, teikianti visą veiksmų rinkinį, skirtą saugioms operacijoms nustatyti raktų aprūpinimą.

View Fullscreen

Intel Agilex® 7 Device Security vartotojo vadovas
Atnaujinta „Intel® Quartus® Prime Design Suite“: 23.1

Internetinė versija Siųsti atsiliepimą

UG-20335

683823 2023.05.23

„Intel Agilex® 7 Device Security“ vartotojo vadovas 2

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 3

683823 | 2023.05.23 Siųsti atsiliepimą
1. Intel Agilex® 7

Įrenginio sauga baigtaview

„Intel®“ kuria „Intel Agilex® 7“ įrenginius su specialia, labai konfigūruojama saugos aparatine ir programine įranga.
Šiame dokumente pateikiamos instrukcijos, padėsiančios naudoti „Intel Quartus® Prime Pro Edition“ programinę įrangą, kad įdiegtumėte saugos funkcijas „Intel Agilex 7“ įrenginiuose.
Be to, „Intel“ FPGA ir struktūrinių ASIC naudotojo vadovo saugos metodiką galima rasti „Intel“ išteklių ir dizaino centre. Šiame dokumente pateikiami išsamūs „Intel Programmable Solutions“ produktuose pasiekiamų saugos funkcijų ir technologijų aprašymai, padedantys pasirinkti saugos funkcijas, reikalingas saugos tikslams pasiekti. Susisiekite su „Intel“ palaikymo komanda nuorodos numeriu 14014613136, kad pasiektumėte „Intel“ FPGA ir struktūrinių ASIC naudotojo vadovo saugos metodiką.
Dokumentas sutvarkytas taip: · Autentifikavimas ir autorizacija: pateikiamos kūrimo instrukcijos
autentifikavimo raktus ir parašo grandines, taikyti leidimus ir atšaukimus, pasirašyti objektus ir programų autentifikavimo funkcijas „Intel Agilex 7“ įrenginiuose. · AES bitų srauto šifravimas: pateikia instrukcijas, kaip sukurti AES šakninį raktą, šifruoti konfigūracijos bitų srautus ir pateikti AES šakninį raktą Intel Agilex 7 įrenginiams. · Įrenginio aprūpinimas: pateikiamos instrukcijos, kaip naudoti „Intel Quartus Prime Programmer“ ir „Secure Device Manager“ (SDM) teikimo programinę-aparatinę įrangą, norint programuoti saugos funkcijas „Intel Agilex 7“ įrenginiuose. · Išplėstinės funkcijos: pateikiamos instrukcijos, kaip įjungti išplėstines saugos funkcijas, įskaitant saugų derinimo leidimą, kietojo procesoriaus sistemos (HPS) derinimą ir nuotolinį sistemos naujinimą.
1.1. Įsipareigojimas užtikrinti produkto saugumą
„Intel“ ilgalaikis įsipareigojimas saugumui niekada nebuvo toks stiprus. „Intel“ primygtinai rekomenduoja susipažinti su mūsų produktų saugos ištekliais ir planuoti juos naudoti visą „Intel“ produkto naudojimo laiką.
Susijusi informacija · Produkto sauga Intel · Intel produkto saugos centro patarimai

Intel korporacija. Visos teisės saugomos. „Intel“, „Intel“ logotipas ir kiti „Intel“ ženklai yra „Intel Corporation“ arba jos dukterinių įmonių prekių ženklai. „Intel“ garantuoja savo FPGA ir puslaidininkinių produktų veikimą pagal dabartines specifikacijas pagal standartinę „Intel“ garantiją, tačiau pasilieka teisę bet kuriuo metu be įspėjimo keisti bet kokius gaminius ir paslaugas. „Intel“ neprisiima jokios atsakomybės ar įsipareigojimų, kylančių dėl bet kokios čia aprašytos informacijos, produkto ar paslaugos taikymo ar naudojimo, išskyrus atvejus, kai „Intel“ aiškiai sutiko raštu. „Intel“ klientams patariama įsigyti naujausią įrenginio specifikacijų versiją prieš pasikliaujant bet kokia paskelbta informacija ir prieš užsakant produktus ar paslaugas. *Kiti pavadinimai ir prekės ženklai gali būti laikomi kitų nuosavybe.

Užregistruotas ISO 9001: 2015

1. „Intel Agilex® 7“ įrenginio sauga baigtaview 683823 | 2023.05.23

1.2. Planuojamos apsaugos priemonės

Šiame skyriuje paminėtos funkcijos numatytos būsimoje „Intel Quartus Prime Pro Edition“ programinės įrangos laidoje.

Pastaba:

Šiame skyriuje pateikta informacija yra preliminari.

1.2.1. Dalinio perkonfigūravimo bitų srauto saugos patikrinimas
Dalinio perkonfigūravimo (PR) bitų srauto saugos patvirtinimas padeda suteikti papildomos garantijos, kad PR persona bitų srautai negali pasiekti arba trukdyti kitiems PR persona bitų srautams.

1.2.2. Įrenginio savižudybė fiziniam anti-Tamper
Įrenginio savaiminio žudymo funkcija atlieka įrenginio nuvalymo arba įrenginio nulio nustatymo atsaką ir papildomai užprogramuoja eFuses, kad įrenginys nebekonfigūruotų.

1.3. Turimi saugos dokumentai

Šioje lentelėje išvardijami galimi „Intel FPGA“ ir „Structured ASIC“ įrenginių saugos funkcijų dokumentai:

1 lentelė.

Galimi įrenginio saugos dokumentai

Dokumento pavadinimas
„Intel“ FPGA ir struktūrinių ASIC saugos metodika vartotojo vadovas

Tikslas
Aukščiausio lygio dokumentas, kuriame pateikiami išsamūs „Intel Programable Solutions Products“ saugos funkcijų ir technologijų aprašymai. Skirta padėti jums pasirinkti saugos funkcijas, reikalingas jūsų saugos tikslams pasiekti.

Dokumento ID 721596

„Intel Stratix 10 Device Security“ vartotojo vadovas
„Intel Agilex 7 Device Security“ vartotojo vadovas

„Intel Stratix 10“ įrenginių naudotojams šiame vadove pateikiamos instrukcijos, kaip naudoti „Intel Quartus Prime Pro Edition“ programinę įrangą, kad būtų įdiegtos saugos funkcijos, nustatytos naudojant saugos metodologijos vartotojo vadovą.
„Intel Agilex 7“ įrenginių naudotojams šiame vadove pateikiamos instrukcijos, kaip naudoti „Intel Quartus Prime Pro Edition“ programinę įrangą, siekiant įdiegti saugos funkcijas, nustatytas naudojant saugos metodologijos vartotojo vadovą.

683642 683823

„Intel eASIC N5X Device Security“ vartotojo vadovas

Intel eASIC N5X įrenginių naudotojams šiame vadove pateikiamos instrukcijos, kaip naudoti Intel Quartus Prime Pro Edition programinę įrangą, kad būtų įdiegtos saugos funkcijos, nustatytos naudojant saugos metodologijos vartotojo vadovą.

626836

„Intel Agilex 7“ ir „Intel eASIC N5X HPS Cryptographic Services“ vartotojo vadovas

Šiame vadove pateikiama informacija, padedanti HPS programinės įrangos inžinieriams diegti ir naudoti HPS programinės įrangos bibliotekas, kad pasiektų SDM teikiamas kriptografines paslaugas.

713026

AN-968 Black Key Provisioning Service Greitos pradžios vadovas

Šiame vadove pateikiamas visas Black Key Provisioning paslaugos nustatymo veiksmų rinkinys.

739071

Vieta Intel Resource ir
Dizaino centras
Intel.com
Intel.com
„Intel“ išteklių ir dizaino centras
„Intel“ išteklių ir dizaino centras
„Intel“ išteklių ir dizaino centras

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 5

683823 | 2023.05.23 Siųsti atsiliepimą

Autentifikavimas ir autorizacija

Norėdami įjungti „Intel Agilex 7“ įrenginio autentifikavimo funkcijas, pirmiausia naudokite „Intel Quartus Prime Pro Edition“ programinę įrangą ir susijusius įrankius, kad sukurtumėte parašo grandinę. Parašo grandinė susideda iš šakninio rakto, vieno ar daugiau pasirašymo raktų ir taikomų įgaliojimų. Jūs taikote parašo grandinę savo Intel Quartus Prime Pro Edition projektui ir sudarytam programavimui files. Norėdami užprogramuoti pagrindinį raktą „Intel Agilex 7“ įrenginiuose, naudokite įrenginio aprūpinimo instrukcijas.
Susijusi informacija
Įrenginio aprūpinimas 25 puslapyje

2.1. Parašo grandinės kūrimas
Norėdami atlikti parašo grandinės operacijas, galite naudoti įrankį quartus_sign arba nuorodos diegimą agilex_sign.py. Šiame dokumente pateikiama pvzamples naudojant quartus_sign.
Norėdami naudoti nuorodos įgyvendinimą, pakeiskite Python interpretatoriaus, įtraukto į Intel Quartus Prime programinę įrangą, iškvietimą ir praleidžiate parinktį –family=agilex; visi kiti variantai yra lygiaverčiai. Pavyzdžiui,ample, komanda quartus_sign, kurią rasite vėliau šiame skyriuje
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky gali būti konvertuojamas į lygiavertį nuorodos diegimo iškvietimą, kaip nurodyta toliau.
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

„Intel Quartus Prime Pro Edition“ programinė įranga apima quartus_sign, pgm_py ir agilex_sign.py įrankius. Galite naudoti Nios® II komandų apvalkalo įrankį, kuris automatiškai nustato atitinkamus aplinkos kintamuosius, kad galėtumėte pasiekti įrankius.

Vykdykite šias instrukcijas, kad iškviestumėte Nios II komandos apvalkalą. 1. Iškvieskite Nios II komandos apvalkalą.

„Windows“ parinktis
Linux

Aprašymas
Meniu Pradėti pasirinkite Programos Intel FPGA Nios II EDS ir spustelėkite Nios II „Command Shell“.
Komandos apvalkale pakeiskite į /nios2eds ir paleiskite šią komandą:
./nios2_command_shell.sh

BuvęsampŠiame skyriuje daroma prielaida, kad parašo grandinė ir konfigūracijos bitų srautas files yra dabartiniame darbo kataloge. Jei nuspręsite sekti buvamples kur raktas files laikomi ant file sistema, tie examples prisiimti raktą files yra

Užregistruotas ISO 9001: 2015

2. Autentifikavimas ir autorizacija 683823 | 2023.05.23
esančiame dabartiniame darbo kataloge. Galite pasirinkti, kuriuos katalogus naudoti, o įrankiai palaiko santykinį file takai. Jei nuspręsite pasilikti raktą files ant file sistemoje, turite atidžiai tvarkyti prieigos prie tų leidimus files.
„Intel“ rekomenduoja kriptografiniams raktams saugoti ir kriptografinėms operacijoms atlikti naudoti komerciškai prieinamą aparatinės įrangos saugos modulį (HSM). Įrankis „quartus_sign“ ir nuorodos įgyvendinimas apima viešojo rakto kriptografijos standarto Nr. 11 (PKCS Nr. 11) taikomųjų programų sąsają (API), skirtą sąveikauti su HSM atliekant parašo grandinės operacijas. Agilex_sign.py nuorodos įgyvendinimas apima sąsajos santrauką ir example sąsaja su SoftHSM.
Galite naudoti šiuos example sąsajas, kad įdiegtumėte sąsają su jūsų HSM. Daugiau informacijos apie sąsajos įdiegimą ir valdymą HSM ieškokite savo HSM pardavėjo dokumentacijoje.
SoftHSM yra programinė įranga, skirta bendrojo kriptografinio įrenginio su PKCS #11 sąsaja, kuri yra prieinama OpenDNSSEC® projekto dėka. Daugiau informacijos, įskaitant instrukcijas, kaip atsisiųsti, kurti ir įdiegti OpenHSM, galite rasti OpenDNSSEC projekte. BuvęsampŠiame skyriuje naudojami SoftHSM 2.6.1 versija. BuvęsampŠiame skyriuje papildomai naudokite pkcs11 įrankio įrankį iš OpenSC, kad atliktumėte papildomas PKCS #11 operacijas su SoftHSM prieigos raktu. Galite rasti daugiau informacijos, įskaitant instrukcijas, kaip atsisiųsti, sukurti ir įdiegti pkcs11tool iš OpenSC.
Susijusi informacija
· OpenDNSSEC projektas Politika pagrįstas zonos signataras, skirtas automatizuoti DNSSEC raktų sekimo procesą.
· SoftHSM Informacija apie kriptografinės parduotuvės, pasiekiamos per PKCS #11 sąsają, įgyvendinimą.
· OpenSC Suteikia bibliotekų ir paslaugų, galinčių dirbti su intelektualiosiomis kortelėmis, rinkinį.
2.1.1. Autentifikavimo raktų porų kūrimas vietiniame tinkle File Sistema
Norėdami sukurti autentifikavimo raktų poras vietinėje sistemoje, naudojate įrankį quartus_sign file sistema naudojant make_private_pem ir make_public_pem įrankių operacijas. Pirmiausia sugeneruokite privatų raktą naudodami make_private_pem operaciją. Jūs nurodote naudotiną elipsinę kreivę, privatųjį raktą filevardą ir pasirinktinai ar apsaugoti privatųjį raktą slaptafraze. „Intel“ rekomenduoja naudoti sekp384r1 kreivę ir vadovautis geriausios pramonės praktikos pavyzdžiais, kad būtų sukurta stipri, atsitiktinė slaptažodžio frazė visam privačiam raktui. files. „Intel“ taip pat rekomenduoja apriboti file sistemos leidimai privačiame rakte .pem fileSkaityti gali tik savininkas. Viešąjį raktą gaunate iš privataus rakto naudodami make_public_pem operaciją. Naudinga raktą pavadinti .pem files aprašomasis. Šiame dokumente naudojama konvencija _ .pem toliau pateiktame pvzamples.
1. Nios II komandų apvalkale paleiskite šią komandą, kad sukurtumėte privatų raktą. Privatus raktas, parodytas žemiau, naudojamas kaip šakninis raktas vėlesniuose pvzamples, kurios sukuria parašo grandinę. „Intel Agilex 7“ įrenginiai palaiko kelis šakninius raktus, todėl jūs

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 7

2. Autentifikavimas ir autorizacija 683823 | 2023.05.23

pakartokite šį veiksmą, kad sukurtumėte reikiamą šakninių raktų skaičių. Pvzampvisi šiame dokumente nurodo pirmąjį šakninį raktą, nors parašo grandines galite kurti panašiai su bet kuriuo šakniniu raktu.

Parinktis Su slaptafraze

Aprašymas
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Įveskite slaptafrazę, kai būsite paraginti tai padaryti.

Be slaptafrazės

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Vykdykite šią komandą, kad sukurtumėte viešąjį raktą naudodami privatų raktą, sugeneruotą atliekant ankstesnį veiksmą. Jums nereikia saugoti viešojo rakto konfidencialumo.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Paleiskite komandas dar kartą, kad sukurtumėte raktų porą, naudojamą kaip dizaino pasirašymo raktas parašo grandinėje.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Autentifikavimo raktų porų kūrimas naudojant SoftHSM
SoftHSM examples šiame skyriuje yra savarankiški. Tam tikri parametrai priklauso nuo jūsų SoftHSM diegimo ir prieigos rakto inicijavimo sistemoje SoftHSM.
Įrankis quartus_sign priklauso nuo PKCS #11 API bibliotekos iš jūsų HSM.
BuvęsampŠiame skyriuje daroma prielaida, kad SoftHSM biblioteka įdiegta vienoje iš šių vietų: · /usr/local/lib/softhsm2.so sistemoje „Linux“ · C:SoftHSM2libsofthsm2.dll 32 bitų „Windows“ versijoje · C:SoftHSM2libsofthsm2-x64 .dll 64 bitų Windows versijoje.
Inicijuokite prieigos raktą SoftHSM naudodami įrankį softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Parinkčių parametrai, ypač žetono etiketė ir žetono kaištis, yra pvzampmažiau naudojami visame šiame skyriuje. „Intel“ rekomenduoja vadovautis HSM pardavėjo instrukcijomis, kad sukurtumėte ir tvarkytumėte žetonus ir raktus.
Autentifikavimo raktų poras sukuriate naudodami pkcs11 įrankio įrankį, kad galėtumėte sąveikauti su prieigos raktu SoftHSM. Vietoj to, kad būtų aiškiai nurodytas privatus ir viešasis raktas .pem files file sistema pvzamples, jūs nurodote raktų porą jos etikete ir įrankis automatiškai pasirenka atitinkamą raktą.

„Intel Agilex® 7 Device Security“ vartotojo vadovas 8

Siųsti Atsiliepimus

2. Autentifikavimas ir autorizacija 683823 | 2023.05.23

Vykdykite šias komandas, kad sukurtumėte raktų porą, naudojamą kaip šakninis raktas vėlesniuose pvzamples, taip pat raktų pora, naudojama kaip dizaino pasirašymo raktas parašo grandinėje:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –naudojimo ženklas –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –naudojimo ženklas –label design0_sign –id 1

Pastaba:

Šio veiksmo ID parinktis turi būti unikali kiekvienam raktui, tačiau ją naudoja tik HSM. Ši ID parinktis nesusijusi su rakto atšaukimo ID, priskirtu parašo grandinėje.

2.1.3. Parašo grandinės šakninio įrašo kūrimas
Konvertuokite šakninį viešąjį raktą į parašo grandinės šakninį įrašą, saugomą vietiniame file sistema Intel Quartus Prime rakto (.qky) formatu file, su make_root operacija. Pakartokite šį veiksmą kiekvienam sugeneruotam šakniniam raktui.
Vykdykite šią komandą, kad sukurtumėte parašo grandinę su šakniniu įrašu, naudodami šakninį viešąjį raktą iš file sistema:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
Vykdykite šią komandą, kad sukurtumėte parašo grandinę su šakniniu įrašu, naudodami šakninį raktą iš SoftHSM prieigos rakto, nustatyto ankstesniame skyriuje:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libohsm ” root2 root0.qky

2.1.4. Parašo grandinės viešojo rakto įvedimo sukūrimas
Sukurkite naują parašo grandinės viešojo rakto įrašą naudodami append_key operaciją. Nurodote ankstesnio parašo grandinę, privatųjį raktą paskutiniam ankstesnės parašo grandinės įrašui, kito lygio viešąjį raktą, leidimus ir atšaukimo ID, kuriuos priskiriate kito lygio viešajam raktui, ir naują parašo grandinę. file.
Atkreipkite dėmesį, kad „softHSM“ biblioteka negalima diegiant „Quartus“, o ją reikia įdiegti atskirai. Daugiau informacijos apie softHSM rasite aukščiau esančiame skyriuje „Parašo grandinės kūrimas“.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 9

2. Autentifikavimas ir autorizacija 683823 | 2023.05.23
Priklausomai nuo to, kaip naudojate klavišus file sistemoje arba HSM, naudojate vieną iš šių pvzample komandos, kad pridėtų design0_sign viešąjį raktą prie šakninio parašo grandinės, sukurtos ankstesniame skyriuje:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previo root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Galite pakartoti operaciją append_key dar ne daugiau kaip du kartus, kad bet kurioje parašo grandinėje tarp šakninio ir antraštės bloko būtų įvesti ne daugiau kaip trys viešojo rakto įrašai.
Šis buvęsampdaro prielaidą, kad sukūrėte kitą autentifikavimo viešąjį raktą su tais pačiais leidimais ir priskyrėte 1 atšaukimo ID, pavadintą design1_sign_public.pem, ir pridedate šį raktą prie parašo grandinės iš ankstesnio buvusio.ampLe:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previo design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
„Intel Agilex 7“ įrenginiuose yra papildomas rakto atšaukimo skaitiklis, kad būtų lengviau naudoti raktą, kuris gali periodiškai keistis per tam tikro įrenginio eksploatavimo laiką. Galite pasirinkti šį rakto atšaukimo skaitiklį pakeisdami parinkties –cancel argumentą į pts:pts_value.
2.2. Konfigūracijos bitų srauto pasirašymas
„Intel Agilex 7“ įrenginiai palaiko saugos versijos numerio (SVN) skaitiklius, kurie leidžia atšaukti objekto autorizaciją neatšaukiant rakto. SVN skaitiklį ir atitinkamą SVN skaitiklio reikšmę priskiriate pasirašydami bet kurį objektą, pvz., bitų srauto skyrių, programinės aparatinės įrangos .zip. file, arba kompaktiškas sertifikatas. SVN skaitiklį ir SVN reikšmę priskiriate naudodami parinktį –cancel ir svn_counter:svn_value kaip argumentą. Tinkamos svn_counter reikšmės yra svnA, svnB, svnC ir svnD. svn_value yra sveikasis skaičius diapazone [0,63].

„Intel Agilex® 7 Device Security“ vartotojo vadovas 10

Siųsti Atsiliepimus

2. Autentifikavimas ir autorizacija 683823 | 2023.05.23
2.2.1. Kvarto raktas File Užduotis
Savo „Intel Quartus Prime“ programinės įrangos projekte nurodote parašo grandinę, kad įgalintumėte to dizaino autentifikavimo funkciją. Meniu Priskyrimai pasirinkite Įrenginio įrenginys ir PIN parinktys Security Quartus Key File, tada naršykite iki parašų grandinės .qky file sukūrėte norėdami pasirašyti šį dizainą.
1 pav. Įjungti konfigūracijos bitų srauto nustatymą

Arba prie „Intel Quartus Prime“ nustatymų galite pridėti šį priskyrimo teiginį file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
Norėdami sukurti .sof file iš anksčiau sudaryto dizaino, kuriame yra šis parametras, meniu Apdorojimas pasirinkite Pradėti Pradėti surinkimo programą. Nauja produkcija .sof file apima priskyrimus, leidžiančius autentifikuoti naudojant pateiktą parašo grandinę.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 11

2. Autentifikavimas ir autorizacija 683823 | 2023.05.23
2.2.2. Bendro pasirašymo SDM programinė įranga
Naudojate įrankį quartus_sign norėdami išskleisti, pasirašyti ir įdiegti taikomą SDM programinę-aparatinę įrangą .zip file. Tada bendrai pasirašyta programinė įranga įtraukiama į programavimą file generatoriaus įrankis, kai konvertuojate .sof file į konfigūracijos bitų srautą .rbf file. Norėdami sukurti naują parašo grandinę ir pasirašyti SDM programinę įrangą, naudokite šias komandas.
1. Sukurkite naują pasirašymo raktų porą.
a. Sukurkite naują pasirašymo raktų porą file sistema:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Sukurkite naują pasirašymo raktų porą HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –naudojimo ženklas –label firmware1 –id 1
2. Sukurkite naują parašo grandinę su nauju viešuoju raktu:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previo root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Nukopijuokite programinę-aparatinę įrangą .zip file iš „Intel Quartus Prime Pro Edition“ programinės įrangos diegimo katalogo ( /devices/programer/firmware/agilex.zip) į dabartinį darbo katalogą.
quartus_sign –family=agilex –get_firmware=.
4. Pasirašykite programinę-aparatinę įrangą .zip file. Įrankis automatiškai išpakuoja .zip file ir individualiai pasirašo visą programinę-aparatinę įrangą .cmf files, tada atkuria .zip file skirtas naudoti šiuose skyriuose nurodytais įrankiais:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so“

„Intel Agilex® 7 Device Security“ vartotojo vadovas 12

Siųsti Atsiliepimus

2. Autentifikavimas ir autorizacija 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Pasirašymo konfigūracijos bitų srautas naudojant quartus_sign komandą
Norėdami pasirašyti konfigūracijos bitų srautą naudodami komandą quartus_sign, pirmiausia konvertuokite .sof file į nepasirašytą neapdorotą dvejetainį failą file (.rbf) formatu. Konvertavimo veiksmo metu galite pasirinktinai nurodyti bendrai pasirašytą programinę-aparatinę įrangą naudodami parinktį fw_source.
Galite sugeneruoti nepasirašytą neapdorotą bitų srautą .rbf formatu naudodami šią komandą:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Vykdykite vieną iš šių komandų, kad pasirašytumėte bitų srautą naudodami quartus_sign įrankį, atsižvelgiant į jūsų raktų vietą:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Galite konvertuoti pasirašytą .rbf files į kitą konfigūracijos bitų srautą file formatai.
Pavyzdžiui,ampjei naudojate Jam* standartinės testavimo ir programavimo kalbos (STAPL) grotuvą bitų srautui programuoti per JTAG, .rbf konvertavimui naudojate šią komandą file į .jam formatą, kurio reikalauja Jam STAPL Player:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Dalinio perkonfigūravimo kelių institucijų palaikymas

Intel Agilex 7 įrenginiai palaiko dalinio perkonfigūravimo kelių autoritetų autentifikavimą, kai įrenginio savininkas sukuria ir pasirašo statinį bitų srautą, o atskiras PR savininkas kuria ir pasirašo PR persona bitų srautus. „Intel Agilex 7“ įrenginiai įgyvendina kelių institucijų palaikymą, priskirdami pirmuosius autentifikavimo šakninio rakto lizdus įrenginio arba statinio bitų srauto savininkui, o galutinį autentifikavimo šakninio rakto lizdą priskirdami dalinio perkonfigūravimo asmens bitų srauto savininkui.
Jei autentifikavimo funkcija įjungta, visi PR asmens vaizdai turi būti pasirašyti, įskaitant įdėtus PR asmens vaizdus. PR asmens atvaizdus gali pasirašyti įrenginio savininkas arba viešųjų ryšių savininkas; tačiau statinio regiono bitų srautus turi pasirašyti įrenginio savininkas.

Pastaba:

Būsimame leidime planuojamas dalinis perkonfigūravimo statinis ir asmens bitų srauto šifravimas, kai įgalintas kelių institucijų palaikymas.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 13

2. Autentifikavimas ir autorizacija 683823 | 2023.05.23

2 pav.

Norint įgyvendinti dalinio perkonfigūravimo kelių institucijų palaikymą, reikia kelių veiksmų:
1. Įrenginio arba statinio bitų srauto savininkas sugeneruoja vieną ar daugiau autentifikavimo šakninių raktų, kaip aprašyta Autentifikavimo raktų porų kūrimas naudojant SoftHSM 8 puslapyje, kur parinktis –key_type turi reikšmės savininką.
2. Dalinio perkonfigūravimo bitų srauto savininkas sugeneruoja autentifikavimo šakninį raktą, bet pakeičia parinkties –key_type reikšmę į Secondar_owner.
3. Tiek statinio bitų srauto, tiek dalinio perkonfigūravimo dizaino savininkai užtikrina, kad žymės langelis Įgalinti kelių institucijų palaikymą būtų įjungtas skirtuke Priskyrimo įrenginio įrenginio ir PIN parinkčių sauga.
„Intel Quartus Prime“ įgalinti kelių institucijų parinkčių nustatymus

4. Tiek statinio bitų srauto, tiek dalinio perkonfigūravimo dizaino savininkai sukuria parašo grandines pagal atitinkamus šakninius raktus, kaip aprašyta Parašo grandinės kūrimas 6 puslapyje.
5. Tiek statinio bitų srauto, tiek dalinio perkonfigūravimo dizaino savininkai savo sudarytus dizainus konvertuoja į .rbf formatą files ir pasirašykite .rbf files.
6. Įrenginio arba statinio bitų srauto savininkas sugeneruoja ir pasirašo PR viešojo rakto programos autorizacijos kompaktinį sertifikatą.
quartus_pfg –ccert arba ccert_type=PR_PUBKEY_PROG_AUTH arba savininkas_qky_file="root0.qky;root1.qky" unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

„Intel Agilex® 7 Device Security“ vartotojo vadovas 14

Siųsti Atsiliepimus

2. Autentifikavimas ir autorizacija 683823 | 2023.05.23

7. Įrenginio arba statinio bitų srauto savininkas pateikia savo autentifikavimo šakninio rakto maišą įrenginiui, tada užprogramuoja PR viešojo rakto programos autorizacijos kompaktinį sertifikatą ir galiausiai suteikia įrenginiui dalinio perkonfigūravimo bitų srauto savininko šakninį raktą. Skyriuje Įrenginio aprūpinimas aprašomas šis aprūpinimo procesas.
8. Intel Agilex 7 įrenginys sukonfigūruotas su statiniu regionu .rbf file.
9. Intel Agilex 7 įrenginys iš dalies perkonfigūruotas su persona design .rbf file.
Susijusi informacija
· Parašo grandinės kūrimas 6 puslapyje
· Autentifikavimo raktų porų kūrimas naudojant SoftHSM 8 puslapyje
· Įrenginio aprūpinimas 25 puslapyje

2.2.5. Konfigūracijos bitų srauto parašo grandinių tikrinimas
Sukūrę parašo grandines ir pasirašytus bitų srautus, galite patikrinti, ar pasirašytas bitų srautas teisingai sukonfigūruoja įrenginį, užprogramuotą tam tikru šakniniu raktu. Pirmiausia naudokite komandos quartus_sign operaciją fuse_info, kad atspausdintumėte pagrindinio viešojo rakto maišą tekste file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Tada naudokite komandos quartus_pfg parinktį check_integrity, kad patikrintumėte parašo grandinę kiekvienoje pasirašyto bitų srauto dalyje .rbf formatu. Parinktis check_integrity atspausdina šią informaciją:
· Bendro bitų srauto vientisumo patikrinimo būsena
· Kiekvieno įrašo turinys kiekvienoje parašo grandinėje, pridedamas prie kiekvienos .rbf bitų srauto dalies file,
· Numatoma pagrindinės viešojo rakto maišos saugiklio vertė kiekvienai parašo grandinei.
Fuse_info išvesties reikšmė turi atitikti Fuse linijas check_integrity išvestyje.
quartus_pfg –check_integrity signed_bitstream.rbf

Čia yra buvęsample komandos check_integrity išvesties:

Informacija: komanda: quartus_pfg –check_integrity signed_bitstream.rbf Vientisumo būsena: gerai

Skyrius

Tipas: CMF

Parašo aprašas…

Parašo grandinė Nr. 0 (įrašai: -1, poslinkis: 96)

Įrašas Nr. 0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Sukurti raktą…

Kreivė: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Sukurti raktą…

Kreivė: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 15

2. Autentifikavimas ir autorizacija 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Įrašas Nr. 1

Sukurti raktą…

Kreivė: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

2 įrašo raktų pakabuko leidimas: SIGN_CODE Raktų pakabuką galima atšaukti pagal ID: 3 Parašo grandinė Nr. 1 (įrašai: -1, poslinkis: 648)

Įrašas Nr. 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Sukurti raktą…

Kreivė: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Sukurti raktą…

Kreivė: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Įrašas Nr. 1

Sukurti raktą…

Kreivė: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Įrašas Nr. 2

Sukurti raktą…

Kreivė: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

3 įrašo raktų pakabuko leidimas: SIGN_CODE Raktų pakabuką galima atšaukti pagal ID: 15 Parašo grandinė Nr. 2 (įrašai: -1, poslinkis: 0) Parašo grandinė Nr. 3 (įrašai: -1, poslinkis: 0) Parašo grandinė Nr. 4 (įrašai: -1, poslinkis: 0) Parašo grandinė #5 (įrašai: -1, poslinkis: 0) Parašo grandinė #6 (įrašai: -1, poslinkis: 0) Parašo grandinė #7 (įrašai: -1, poslinkis: 0)

Skyriaus tipas: IO parašo aprašas … Parašo grandinė #0 (įrašai: -1, poslinkis: 96)

Įrašas Nr. 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Sukurti raktą…

Kreivė: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

„Intel Agilex® 7 Device Security“ vartotojo vadovas 16

Siųsti Atsiliepimus

2. Autentifikavimas ir autorizacija 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Sukurti raktą…

Kreivė: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Įrašas Nr. 1

Sukurti raktą…

Kreivė: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Įrašas Nr. 2

Sukurti raktą…

Kreivė: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

3 įrašo raktų pakabuko leidimas: SIGN_CORE Raktų pakabuką galima atšaukti pagal ID: 15 Parašo grandinė Nr. 1 (įrašai: -1, poslinkis: 0) Parašo grandinė Nr. 2 (įrašai: -1, poslinkis: 0) Parašo grandinė Nr. 3 (įrašai: -1, poslinkis: 0) Parašo grandinė #4 (įrašai: -1, poslinkis: 0) Parašo grandinė #5 (įrašai: -1, poslinkis: 0) Parašo grandinė #6 (įrašai: -1, poslinkis: 0) Parašas grandinė Nr. 7 (įrašai: -1, poslinkis: 0)

Skyrius

Tipas: HPS

Parašo aprašas…

Parašo grandinė Nr. 0 (įrašai: -1, poslinkis: 96)

Įrašas Nr. 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Sukurti raktą…

Kreivė: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Sukurti raktą…

Kreivė: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Įrašas Nr. 1

Sukurti raktą…

Kreivė: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Įrašas Nr. 2

Sukurti raktą…

Kreivė: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 17

2. Autentifikavimas ir autorizacija 683823 | 2023.05.23

3 įrašo raktų pakabuko leidimas: SIGN_HPS raktų pakabuką galima atšaukti pagal ID: 15 Parašo grandinė Nr. 1 (įrašai: -1, poslinkis: 0) Parašo grandinė Nr. 2 (įrašai: -1, poslinkis: 0) Parašo grandinė Nr. 3 (įrašai: -1, poslinkis: 0) Parašo grandinė #4 (įrašai: -1, poslinkis: 0) Parašo grandinė #5 (įrašai: -1, poslinkis: 0) Parašo grandinė #6 (įrašai: -1, poslinkis: 0) Parašas grandinė Nr. 7 (įrašai: -1, poslinkis: 0)

Skyriaus tipas: PAGRINDINIS parašo aprašas … Parašo grandinė #0 (įrašai: -1, poslinkis: 96)

Įrašas Nr. 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Sukurti raktą…

Kreivė: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Sukurti raktą…

Kreivė: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Įrašas Nr. 1

Sukurti raktą…

Kreivė: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Įrašas Nr. 2

Sukurti raktą…

Kreivė: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

„Intel Agilex® 7 Device Security“ vartotojo vadovas 18

Siųsti Atsiliepimus

683823 | 2023.05.23 Siųsti atsiliepimą

AES bitų srauto šifravimas

Išplėstinio šifravimo standarto (AES) bitų srauto šifravimas yra funkcija, leidžianti įrenginio savininkui apsaugoti intelektinės nuosavybės konfidencialumą konfigūracijos bitų sraute.
Siekiant apsaugoti raktų konfidencialumą, konfigūracijos bitų srauto šifravimas naudoja AES raktų grandinę. Šie raktai naudojami savininko duomenims užšifruoti konfigūracijos bitų sraute, kur pirmasis tarpinis raktas užšifruojamas naudojant AES šakninį raktą.

3.1. AES šakninio rakto sukūrimas

Norėdami sukurti AES šakninį raktą Intel Quartus Prime programinės įrangos šifravimo rakto (.qek) formatu, galite naudoti įrankį quartus_encrypt arba stratix10_encrypt.py nuorodos diegimą. file.

Pastaba:

Stratix10_encrypt.py file naudojamas Intel Stratix® 10 ir Intel Agilex 7 įrenginiuose.

Pasirinktinai galite nurodyti pagrindinį raktą, naudojamą AES šakniniam raktui ir rakto išvedimo raktui gauti, tiesioginio AES šakninio rakto reikšmę, tarpinių raktų skaičių ir maksimalų tarpinio rakto naudojimą.

Turite nurodyti įrenginių šeimą, išvestis .qek file vietą ir slaptafrazę, kai būsite paraginti.
Vykdykite šią komandą, kad sugeneruotumėte AES šakninį raktą, naudodami atsitiktinius bazinio rakto duomenis ir numatytąsias tarpinių raktų skaičiaus ir maksimalaus rakto naudojimo vertes.
Norėdami naudoti nuorodos įgyvendinimą, pakeiskite Python interpretatoriaus, įtraukto į Intel Quartus Prime programinę įrangą, iškvietimą ir praleidžiate parinktį –family=agilex; visi kiti variantai yra lygiaverčiai. Pavyzdžiui,ample, komanda quartus_encrypt, kurią rasite vėliau skyriuje

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

gali būti konvertuojamas į lygiavertį nuorodos diegimo iškvietimą, kaip nurodyta toliau. pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. „Quartus“ šifravimo nustatymai
Norėdami įjungti dizaino bitų srauto šifravimą, turite nurodyti atitinkamas parinktis, naudodami skydelį Priskyrimo įrenginio įrenginio ir PIN parinkčių apsauga. Pažymėkite žymės langelį Įgalinti konfigūracijos bitų srauto šifravimą ir išskleidžiamajame meniu norimą šifravimo rakto saugojimo vietą.

Užregistruotas ISO 9001: 2015

3 pav. Intel Quartus Prime Encryption Settings

3. AES bitų srauto šifravimas 683823 | 2023.05.23

Arba prie „Intel Quartus Prime“ nustatymų galite pridėti šį priskyrimo teiginį file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM ant set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Jei norite įgalinti papildomas šalinimo priemones prieš šoninio kanalo atakų vektorius, galite įjungti išskleidžiamąjį meniu Šifravimo naujinimo koeficientas ir Įgalinti kodavimą.

„Intel Agilex® 7 Device Security“ vartotojo vadovas 20

Siųsti Atsiliepimus

3. AES bitų srauto šifravimas 683823 | 2023.05.23

Atitinkami .qsf pakeitimai yra šie:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING ant set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Konfigūracijos bitų srauto šifravimas
Prieš pasirašydami bitų srautą, užšifruojate konfigūracijos bitų srautą. „Intel Quartus Prime“ programavimas File Generatoriaus įrankis gali automatiškai užšifruoti ir pasirašyti konfigūracijos bitų srautą, naudodamas grafinę vartotojo sąsają arba komandinę eilutę.
Pasirinktinai galite sukurti iš dalies užšifruotą bitų srautą, skirtą naudoti su quartus_encrypt ir quartus_sign įrankiais arba nuorodos įgyvendinimo ekvivalentais.

3.3.1. Konfigūracija Bitų srauto šifravimas naudojant programavimą File Generatoriaus grafinė sąsaja
Galite naudoti programavimą File Generatorius, skirtas užšifruoti ir pasirašyti savininko vaizdą.

4 pav.

1. „Intel Quartus Prime“. File meniu pasirinkite Programavimas File Generatorius. 2. Ant išvesties Files skirtuką, nurodykite išvestį file įveskite savo konfigūraciją
schema.
Išvestis File Specifikacija

Konfigūracijos schema Išvestis file skirtuką
Išvestis file tipo

3. Ant įvesties Files skirtuką, spustelėkite Pridėti bitų srautą ir naršykite savo .sof. 4. Norėdami nurodyti šifravimo ir autentifikavimo parinktis, pasirinkite .sof ir spustelėkite
Savybės. a. Įjunkite Įgalinti pasirašymo įrankį. b. Dėl privataus rakto file pasirinkite savo pasirašymo raktą privatų .pem file. c. Įjunkite Finalize šifravimą.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 21

3. AES bitų srauto šifravimas 683823 | 2023.05.23

5 pav.

d. Šifravimo raktui file, pasirinkite savo AES .qek file. Įvestis (.sof) File Autentifikavimo ir šifravimo ypatybės

Įgalinti autentifikavimą Nurodykite privačią šakninę .pem
Įjungti šifravimą Nurodykite šifravimo raktą
5. Norėdami sugeneruoti pasirašytą ir užšifruotą bitų srautą, įvestyje Files skirtuką, spustelėkite Generuoti. Pasirodo slaptažodžio dialogo langai, kuriuose galite įvesti AES rakto .qek slaptafrazę file ir pasirašymo privatus raktas .pem file. Programavimas file generatorius sukuria užšifruotą ir pasirašytą išvestį_file.rbf.
3.3.2. Konfigūracija Bitų srauto šifravimas naudojant programavimą File Generatoriaus komandų eilutės sąsaja
Sugeneruokite užšifruotą ir pasirašytą konfigūracijos bitų srautą .rbf formatu naudodami komandų eilutės sąsają quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=dizainas0_sign_private.pem
Užšifruotą ir pasirašytą konfigūracijos bitų srautą .rbf formatu galite konvertuoti į kitą konfigūracijos bitų srautą file formatai.
3.3.3. Iš dalies šifruotos konfigūracijos bitų srauto generavimas naudojant komandų eilutės sąsają
Galite sukurti iš dalies užšifruotą programą file kad užbaigtumėte šifravimą ir vėliau pasirašytumėte vaizdą. Sukurkite iš dalies užšifruotą programavimą file .rbf formatu su quartus_pfg komandinės eilutės sąsaja: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

„Intel Agilex® 7 Device Security“ vartotojo vadovas 22

Siųsti Atsiliepimus

3. AES bitų srauto šifravimas 683823 | 2023.05.23
Norėdami užbaigti bitų srauto šifravimą, naudojate komandų eilutės įrankį quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Norėdami pasirašyti šifruotą konfigūracijos bitų srautą, naudojate komandų eilutės įrankį quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Dalinio perkonfigūravimo bitų srauto šifravimas
Galite įjungti bitų srauto šifravimą kai kuriuose „Intel Agilex 7 FPGA“ modeliuose, kuriuose naudojamas dalinis perkonfigūravimas.
Dalinio perkonfigūravimo projektai, naudojantys hierarchinę dalinę perkonfigūraciją (HPR) arba statinio atnaujinimo dalinę konfigūraciją (SUPR), nepalaiko bitų srauto šifravimo. Jei jūsų dizaine yra keli PR regionai, turite užšifruoti visus asmenis.
Norėdami įjungti dalinio perkonfigūravimo bitų srauto šifravimą, atlikite tą pačią procedūrą visose dizaino versijose. 1. „Intel Quartus Prime“. File meniu pasirinkite Priskyrimų įrenginio įrenginys
ir Pin Options Security. 2. Pasirinkite norimą šifravimo rakto saugojimo vietą.
6 pav. Dalinio perkonfigūravimo bitų srauto šifravimo nustatymas

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 23

3. AES bitų srauto šifravimas 683823 | 2023.05.23
Arba galite įtraukti šį priskyrimo teiginį į Quartus Prime nustatymus file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION įjungta
Sukūrus pagrindinį dizainą ir pataisas, programinė įranga sugeneruoja a.soffile ir vienas ar daugiau.pmsffiles, atstovaujančios asmenis. 3. Sukurti šifruotą ir pasirašytą programavimą files iš.sof ir.pmsf files panašiai kaip dizainai, kuriuose neįjungtas dalinis perkonfigūravimas. 4. Konvertuokite sudarytą persona.pmsf file į iš dalies užšifruotą.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Užbaikite bitų srauto šifravimą naudodami komandų eilutės įrankį quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Pasirašykite užšifruotą konfigūracijos bitų srautą naudodami quartus_sign komandinės eilutės įrankį:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

„Intel Agilex® 7 Device Security“ vartotojo vadovas 24

Siųsti Atsiliepimus

683823 | 2023.05.23 Siųsti atsiliepimą

Įrenginio aprūpinimas

Pradinis saugos elementų aprūpinimas palaikomas tik SDM teikimo programinėje įrangoje. Naudokite „Intel Quartus Prime Programmer“, kad įkeltumėte SDM teikimo programinę įrangą ir atliktumėte aprūpinimo operacijas.
Galite naudoti bet kokio tipo JTAG atsisiųskite kabelį, skirtą Quartus programuotojui prijungti prie „Intel Agilex 7“ įrenginio ir atlikti aprūpinimo operacijas.
4.1. Naudojant SDM Provision Firmware
„Intel Quartus Prime Programmer“ automatiškai sukuria ir įkelia gamyklinį numatytąjį pagalbinį vaizdą, kai pasirenkate inicijavimo operaciją ir komandą programuoti ką nors kita nei konfigūracijos bitų srautas.
Priklausomai nuo nurodytos programavimo komandos, gamyklinis numatytasis pagalbinis vaizdas yra vienas iš dviejų tipų:
· Teikimo pagalbinis vaizdas – susideda iš vienos bitų srauto dalies, kurioje yra SDM aprūpinimo programinė įranga.
· QSPI pagalbinis vaizdas – susideda iš dviejų bitų srauto sekcijų, vienoje yra pagrindinė SDM programinė įranga ir viena įvesties/išvesties sekcija.
Galite sukurti gamyklinį numatytąjį pagalbinį vaizdą file įkelti į savo įrenginį prieš atliekant bet kokią programavimo komandą. Užprogramavę autentifikavimo šakninio rakto maišą, turite sukurti ir pasirašyti QSPI gamyklos numatytąjį pagalbinį vaizdą, nes įtraukta įvesties / išvesties dalis. Jei papildomai programuojate bendrai pasirašytą programinės aparatinės įrangos saugos parametrą eFuse, turite sukurti paruošimo ir QSPI gamyklinius pagalbinius vaizdus su bendrai pasirašyta programine įranga. Nepriskirtame įrenginyje galite naudoti bendrai pasirašytą gamyklos numatytąjį pagalbinį vaizdą, nes nesuteiktas įrenginys nepaiso ne „Intel“ parašo grandinių per SDM programinę-aparatinę įrangą. Norėdami gauti daugiau informacijos apie QSPI gamyklinio numatytojo pagalbinio vaizdo kūrimą, pasirašymą ir naudojimą nuosavuose įrenginiuose, žr.
Gamyklos numatytasis pagalbinis atvaizdas atlieka paruošimo veiksmą, pvz., programuoja autentifikavimo šakninio rakto maišą, saugos nustatymų saugiklius, PUF registraciją arba juodojo rakto aprūpinimą. Naudojate Intel Quartus Prime programavimą File Generatoriaus komandų eilutės įrankis, skirtas sukurti aprūpinimo pagalbinės priemonės vaizdą, nurodant parinktį helper_image, jūsų helper_device pavadinimą, aprūpinimo pagalbininko vaizdo potipį ir pasirinktinai bendrai pasirašytą programinės įrangos .zip. file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=NUSTATYMAS -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Užprogramuokite pagalbinį vaizdą naudodami „Intel Quartus Prime Programmer“ įrankį:
quartus_pgm -c 1 -mjtag -o „p;signed_provision_helper_image.rbf“ – jėga

Užregistruotas ISO 9001: 2015

4. Įrenginio aprūpinimas 683823 | 2023.05.23

Pastaba:

Galite praleisti inicijavimo operaciją iš komandų, įskaitant pvzampŠiame skyriuje pateiktus veiksmus, suprogramavus nuostatos pagalbinį vaizdą arba naudojant komandą, kurioje yra inicijavimo operacija.

4.2. QSPI gamyklinio numatytojo pagalbininko vaizdo naudojimas nuosavuose įrenginiuose
„Intel Quartus Prime Programmer“ automatiškai sukuria ir įkelia numatytąjį QSPI gamyklinį pagalbinį vaizdą, kai pasirenkate QSPI „flash“ programavimo inicijavimo operaciją. file. Užprogramavę autentifikavimo šakninio rakto maišą, prieš programuodami QSPI blykstę turite sukurti ir pasirašyti gamyklinį QSPI pagalbinį atvaizdą, o pasirašytą QSPI gamyklinį pagalbinį vaizdą atskirai. 1. Naudojate Intel Quartus Prime programavimą File Generatoriaus komandų eilutės įrankis
sukurkite QSPI pagalbinį vaizdą, nurodydami parinktį helper_image, jūsų pagalbinio_įrenginio tipą, QSPI pagalbinio vaizdo potipį ir pasirinktinai susietą programinę-aparatinę įrangą .zip. file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Pasirašote gamyklinį QSPI pagalbinį vaizdą:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Galite naudoti bet kokį QSPI flash programavimą file formatu. Šis buvęsamples naudoja konfigūracijos bitų srautą, konvertuotą į .jic file formatas:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Programuojate pasirašytą pagalbinį vaizdą naudodami „Intel Quartus Prime Programmer“ įrankį:
quartus_pgm -c 1 -mjtag -o „p;signed_qspi_helper_image.rbf“ – jėga
5. Programuojate .jic vaizdą, kad jis blykstų, naudodami Intel Quartus Prime Programer įrankį:
quartus_pgm -c 1 -mjtag -o „p;signed_flash.jic“

4.3. Autentifikavimo šakninio rakto teikimas
Norėdami užprogramuoti savininko šakninio rakto maišą fiziniams saugikliams, pirmiausia turite įkelti programinę-aparatinę įrangą, tada užprogramuoti savininko šakninio rakto maišą ir nedelsdami atlikti įjungimo atstatymą. Įjungimo iš naujo nustatyti nereikia, jei programuojant pagrindinio rakto maišą virtualiems saugikliams.

„Intel Agilex® 7 Device Security“ vartotojo vadovas 26

Siųsti Atsiliepimus

4. Įrenginio aprūpinimas 683823 | 2023.05.23
Norėdami užprogramuoti autentifikavimo šakninio rakto maišą, užprogramuokite programinės įrangos pagalbinės įrangos atvaizdą ir paleiskite vieną iš šių komandų, kad užprogramuotumėte šakninį raktą .qky files.
// Fiziniams (nelakiiesiems) eFuse quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky" –ne_lakus_raktas
// Virtualiems (lakiiesiems) eFuses quartus_pgm -c 1 -mjtag -o „p;root0.qky;root1.qky;root2.qky“
4.3.1. Dalinio perkonfigūravimo kelių autoritetų šakninio rakto programavimas
Suteikę įrenginio arba statinio regiono bitų srauto savininko šakninius raktus, vėl įkeliate įrenginio teikimo pagalbinį atvaizdą, užprogramuojate pasirašytą PR viešojo rakto programos autorizacijos kompaktinį sertifikatą ir pateikiate PR persona bitų srauto savininko šakninį raktą.
// Fiziniams (nelakiiesiems) eFuse quartus_pgm -c 1 -mjtag -o "p;root_pr.qky" -pr_pubkey -non_volatile_key
// Virtualiems (lakiiesiems) eFuses quartus_pgm -c 1 -mjtag -o „p;p;root_pr.qky“ –pr_pubkey
4.4. Programavimo rakto atšaukimo ID saugikliai
Pradedant nuo „Intel Quartus Prime Pro Edition“ programinės įrangos versijos 21.1, programuojant „Intel“ ir savininko rakto atšaukimo ID saugiklius reikia naudoti pasirašytą kompaktišką sertifikatą. Rakto atšaukimo ID kompaktinį sertifikatą galite pasirašyti parašo grandine, kuri turi FPGA skyriaus pasirašymo teises. Kompaktišką sertifikatą sukuriate programuodami file generatoriaus komandinės eilutės įrankis. Pasirašote nepasirašytą sertifikatą naudodami quartus_sign įrankį arba nuorodos įgyvendinimą.
„Intel Agilex 7“ įrenginiai palaiko atskirus kiekvieno šakninio rakto savininko rakto atšaukimo ID bankus. Kai „Intel Agilex 7 FPGA“ užprogramuojamas savininko rakto atšaukimo ID kompaktiškas sertifikatas, SDM nustato, kuris šakninis raktas pasirašė kompaktišką sertifikatą, ir išjungia rakto atšaukimo ID saugiklį, atitinkantį tą šakninį raktą.
Šis buvęsampsukurkite „Intel“ rakto atšaukimo sertifikatą „Intel“ rakto ID 7. Galite pakeisti „7“ atitinkamu „Intel“ rakto atšaukimo ID nuo 0 iki 31.
Vykdykite šią komandą, kad sukurtumėte nepasirašytą „Intel“ rakto atšaukimo ID kompaktinį sertifikatą:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Vykdykite vieną iš šių komandų, kad pasirašytumėte nepasirašytą „Intel“ rakto atšaukimo ID kompaktinį sertifikatą:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so“

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 27

4. Įrenginio aprūpinimas 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Vykdykite šią komandą, kad sukurtumėte nepasirašytą savininko rakto atšaukimo ID kompaktinį sertifikatą:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Vykdykite vieną iš šių komandų, kad pasirašytumėte nepasirašytą savininko rakto atšaukimo ID kompaktinį sertifikatą:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Sukūrę pasirašytą rakto atšaukimo ID kompaktinį sertifikatą, naudodami „Intel Quartus Prime Programmer“ programuojate kompaktišką sertifikatą įrenginyje per JTAG.
//Fiziniams (nelakiiesiems) eFuses quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" -ne_lakus_raktas quartus_pgm -c 1 -mjtag -o „pi;signed_cancel_owner2.ccert“ –ne_kintamasis_raktas
//Virtualiems (lakiiesiems) eFuses quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" quartus_pgm -c 1 -mjtag -o „pi;signed_cancel_owner2.ccert“
Kompaktišką sertifikatą galite papildomai nusiųsti į SDM naudodami FPGA arba HPS pašto dėžutės sąsają.
4.5. Šakninių raktų atšaukimas
„Intel Agilex 7“ įrenginiai leidžia atšaukti šakninio rakto maišą, kai yra kita neatšaukta šakninio rakto maiša. Galite atšaukti šakninio rakto maišą pirmiausia sukonfigūruodami įrenginį su dizainu, kurio parašo grandinė yra įsišaknijusi kitoje šakninio rakto maišoje, tada užprogramuokite pasirašytą šakninio rakto maišos atšaukimo kompaktinį sertifikatą. Norėdami atšaukti, turite pasirašyti šakninio rakto maišos atšaukimo kompaktinį sertifikatą su parašo grandine, įsišaknijusia šakniniame rakte.
Vykdykite šią komandą, kad sugeneruotumėte nepasirašytą šakninio rakto maišos atšaukimo kompaktinį sertifikatą:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

„Intel Agilex® 7 Device Security“ vartotojo vadovas 28

Siųsti Atsiliepimus

4. Įrenginio aprūpinimas 683823 | 2023.05.23

Vykdykite vieną iš šių komandų, kad pasirašytumėte nepasirašytą šakninio rakto maišos atšaukimo kompaktinį sertifikatą:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Galite užprogramuoti šakninio rakto maišos atšaukimo kompaktinį sertifikatą naudodami JTAG, FPGA arba HPS pašto dėžutės.

4.6. Skaitiklio saugiklių programavimas
Jūs atnaujinate saugos versijos numerį (SVN) ir Pseudo Time Stamp (PTS) skaitiklio saugikliai naudojant pasirašytus kompaktiškus sertifikatus.

Pastaba:

SDM seka mažiausią skaitiklio vertę, matomą tam tikros konfigūracijos metu, ir nepriima skaitiklio padidėjimo sertifikatų, kai skaitiklio reikšmė yra mažesnė už mažiausią vertę. Prieš programuodami skaitiklio padidėjimo kompaktinį sertifikatą, turite atnaujinti visus skaitikliui priskirtus objektus ir iš naujo sukonfigūruoti įrenginį.

Vykdykite vieną iš šių komandų, atitinkančių skaitiklio padidėjimo sertifikatą, kurį norite sugeneruoti.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Skaitiklio reikšmė 1 sukuria skaitiklio padidėjimo autorizacijos sertifikatą. Užprogramavus skaitiklio prieaugio autorizacijos kompaktinį sertifikatą, galite užprogramuoti kitus nepasirašytus skaitiklio prieaugio sertifikatus, kad būtų atnaujintas atitinkamas skaitiklis. Naudojate įrankį quartus_sign, kad pasirašytumėte skaitiklio kompaktinius sertifikatus panašiai kaip rakto atšaukimo ID kompaktiškuose sertifikatuose.
Galite užprogramuoti šakninio rakto maišos atšaukimo kompaktinį sertifikatą naudodami JTAG, FPGA arba HPS pašto dėžutės.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 29

4. Įrenginio aprūpinimas 683823 | 2023.05.23

4.7. Saugus duomenų objektų paslaugos šakninio rakto teikimas
Naudojate „Intel Quartus Prime Programmer“, kad pateiktumėte Secure Data Object Service (SDOS) šakninį raktą. Programuotojas automatiškai įkelia programinės įrangos pagalbinės įrangos atvaizdą, kad pateiktų SDOS šakninį raktą.
quartus_pgm c 1 mjtag –service_root_key –ne_lakus_raktas

4.8. Apsaugos nustatymas Saugiklio aprūpinimas
Naudokite „Intel Quartus Prime Programmer“, kad patikrintumėte įrenginio saugos nustatymų saugiklius ir įrašytumėte juos į tekstinį .fuse file taip:
quartus_pgm -c 1 -mjtag -o "ei; programavimas_file.saugiklis;AGFB014R24B“

Parinktys · i: Programuotojas įkelia į įrenginį programinės įrangos pagalbinės įrangos atvaizdą. · e: Programuotojas nuskaito saugiklį iš įrenginio ir išsaugo jį .saugiklyje file.

.saugiklis file yra saugiklių pavadinimo-reikšmių porų sąrašas. Reikšmė nurodo, ar perdegė saugiklis, ar saugiklio lauko turinys.

Šis buvęsample rodo .saugiklio formatą file:

# Bendrai pasirašyta programinė įranga

= „Neišpūstas“

# Įrenginio leidimas nužudyti

= „Neišpūstas“

# Įrenginys nesaugus

= „Neišpūstas“

# Išjungti HPS derinimą

= „Neišpūstas“

# Išjungti vidinio ID PUF registraciją

= „Neišpūstas“

# Išjungti JTAG

= „Neišpūstas“

# Išjungti PUF apvyniotą šifravimo raktą

= „Neišpūstas“

# Išjungti savininko šifravimo raktą BBRAM = "Neišpūstas"

# Išjungti savininko šifravimo raktą „eFuses“ = „Neišpūstas“

# Išjungti savininko šakninio viešojo rakto maišą 0

= „Neišpūstas“

# Išjungti savininko šakninio viešojo rakto maišą 1

= „Neišpūstas“

# Išjungti savininko šakninio viešojo rakto maišą 2

= „Neišpūstas“

# Išjunkite virtualius saugiklius

= „Neišpūstas“

# Priverskite SDM laikrodį į vidinį osciliatorių = „Neišpūstas“

# Priverstinai atnaujinti šifravimo raktą

= „Neišpūstas“

# „Intel“ aiškus rakto atšaukimas

= "0"

# Užrakinkite saugiklius

= „Neišpūstas“

# Savininko šifravimo rakto programa atlikta

= „Neišpūstas“

# Paleidžiama savininko šifravimo rakto programa

= „Neišpūstas“

# Savininko aiškus rakto atšaukimas 0

= ""

# Savininko aiškus rakto atšaukimas 1

= ""

# Savininko aiškus rakto atšaukimas 2

= ""

# Savininko saugikliai

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000"

# Savininko šakninio viešojo rakto maiša 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Savininko šakninio viešojo rakto maiša 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Savininko šakninio viešojo rakto maiša 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Savininko šakninio viešojo rakto dydis

= "Nėra"

# PTS skaitiklis

= "0"

# PTS skaitiklio bazė

= "0"

„Intel Agilex® 7 Device Security“ vartotojo vadovas 30

Siųsti Atsiliepimus

4. Įrenginio aprūpinimas 683823 | 2023.05.23

# QSPI paleidimo delsa # RMA skaitiklis # SDMIO0 yra I2C # SVN skaitiklis A # SVN skaitiklis B # SVN skaitiklis C # SVN skaitiklis D

= "10 ms" = "0" = "Neišpūsta" = "0" = "0" = "0" = "0"

Pakeiskite .saugiklį file norėdami nustatyti norimus saugos nustatymų saugiklius. Eilutė, prasidedanti #, laikoma komentaro eilute. Norėdami užprogramuoti saugos nustatymo saugiklį, nuimkite priekinį # ir nustatykite reikšmę Blown. Pavyzdžiui,ample, kad įjungtumėte bendrai pasirašytos programinės aparatinės įrangos saugos nustatymų saugiklį, pakeiskite pirmąją saugiklio eilutę file į šiuos dalykus:
Bendrai pasirašyta programinė įranga = „Blown“

Taip pat galite priskirti ir programuoti savininko saugiklius pagal savo poreikius.
Galite naudoti šią komandą, norėdami atlikti tuščią patikrinimą, programuoti ir patvirtinti savininko pagrindinį viešąjį raktą:
quartus_pgm -c 1 -mjtag -o „ibpv;root0.qky“

Parinktys · i: į įrenginį įkelia programinės aparatinės įrangos pagalbinės įrangos atvaizdą. · b: Atlieka tuščią patikrinimą, kad patikrintų, ar nėra norimų saugos nustatymų saugiklių
jau prapūstas. · p: užprogramuoja saugiklį. · v: patikrina įrenginyje užprogramuotą raktą.
Suprogramavus .qky file, galite patikrinti saugiklio informaciją dar kartą patikrindami saugiklio informaciją, kad įsitikintumėte, jog ir savininko viešojo rakto maišos, ir savininko viešojo rakto dydžio reikšmės yra nulinės.
Nors šių laukų negalima įrašyti naudojant .fuse file metodą, jie įtraukiami į tyrimo operacijos išvestį, kad būtų galima patikrinti: · Įrenginys nesaugus · Įrenginio leidimo nužudymas · Išjungti savininko šakninio viešojo rakto maišą 0 · Išjungti savininko šakninio viešojo rakto maišą 1 · Išjungti savininko šakninio viešojo rakto maišą 2 · Išjungti savininko šakninio viešojo rakto maišą · Intel rakto atšaukimas · Savininko šifravimo rakto programos paleidimas · Savininko šifravimo rakto programa atlikta · Savininko rakto atšaukimas · Savininko viešojo rakto maiša · Savininko viešojo rakto dydis · Savininko šakninio viešojo rakto maiša 0 · Savininko šakninio viešojo rakto maiša 1 · Savininko šakninio viešojo rakto maiša

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 31

4. Įrenginio aprūpinimas 683823 | 2023.05.23
· PTS skaitiklis · PTS skaitiklio bazė · QSPI paleidimo delsa · RMA skaitiklis · SDMIO0 yra I2C · SVN skaitiklis A · SVN skaitiklis B · SVN skaitiklis C · SVN skaitiklis D
Naudokite „Intel Quartus Prime Programmer“, kad užprogramuotumėte .saugiklį file atgal į įrenginį. Jei pridėsite i parinktį, programuotojas automatiškai įkels programinę-aparatinę įrangą, kad užprogramuotų saugos parametrų saugiklius.
//Fiziniams (nelakiiesiems) eFuses quartus_pgm -c 1 -mjtag -o "pi; programavimas_file.saugiklis“ –ne_lakus_raktas
//Virtualiems (lakiiesiems) eFuses quartus_pgm -c 1 -mjtag -o "pi; programavimas_file.lydusis saugiklis"
Galite naudoti šią komandą, kad patikrintumėte, ar įrenginio šakninio rakto maiša yra tokia pati kaip komandoje pateikta .qky:
quartus_pgm -c 1 -mjtag -o „v;root0_another.qky“
Jei klavišai nesutampa, programuotojas sugenda ir pasirodo klaidos pranešimas Operation failed.
4.9. AES pagrindinio rakto aprūpinimas
Norėdami užprogramuoti AES šakninį raktą Intel Agilex 7 įrenginyje, turite naudoti pasirašytą AES šakninio rakto kompaktinį sertifikatą.
4.9.1. AES šakninio rakto kompaktiškas sertifikatas
Norėdami konvertuoti AES šakninį raktą .qek, naudojate komandų eilutės įrankį quartus_pfg file į kompaktišką sertifikatą .ccert formatu. Rakto saugojimo vietą nurodote kurdami kompaktinį sertifikatą. Galite naudoti įrankį quartus_pfg, kad sukurtumėte nepasirašytą sertifikatą vėliau pasirašyti. Norėdami sėkmingai pasirašyti AES šakninio rakto kompaktinį sertifikatą, turite naudoti parašo grandinę su AES šakninio rakto sertifikato pasirašymo leidimu, 6 leidimo bitu.

„Intel Agilex® 7 Device Security“ vartotojo vadovas 32

Siųsti Atsiliepimus

4. Įrenginio aprūpinimas 683823 | 2023.05.23
1. Sukurkite papildomą raktų porą, naudojamą AES rakto kompaktiniam sertifikatui pasirašyti, naudodami vieną iš šių komandų pvzampmažiau:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mechanizmas ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –naudojimo ženklas –etiketė aesccert1 –id 2
2. Sukurkite parašo grandinę su teisingu leidimo bitų rinkiniu naudodami vieną iš šių komandų:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previo root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Sukurkite nepasirašytą kompaktinį AES sertifikatą norimai AES šakninio rakto saugojimo vietai. Galimos šios AES šakninio rakto saugojimo parinktys:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Sukurti eFuse AES šakninį raktą nepasirašytas sertifikatas quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Pasirašykite kompaktinį sertifikatą naudodami komandą quartus_sign arba nuorodas.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert signed_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so“

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 33

4. Įrenginio aprūpinimas 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert signed_ 1.ccert
5. Naudokite „Intel Quartus Prime Programmer“, kad užprogramuotumėte AES šakninio rakto kompaktinį sertifikatą „Intel Agilex 7“ įrenginyje per JTAG. „Intel Quartus Prime Programmer“ pagal numatytuosius nustatymus programuoja virtualius saugiklius, kai naudoja kompaktinį sertifikato tipą EFUSE_WRAPPED_AES_KEY.
Pridedate parinktį –non_volatile_key, kad nurodytumėte programuojamus fizinius saugiklius.
//Fiziniam (nelakiam) eFuse AES šakniniam raktui quartus_pgm -c 1 -mjtag -o "pi;signed_efuse1.ccert" -ne_lakus_raktas

//Virtualiam (nepastoviam) eFuse AES šakniniam raktui quartus_pgm -c 1 -mjtag -o „pi;signed_efuse1.ccert“

// BBRAM AES šakniniam raktui quartus_pgm -c 1 -mjtag -o „pi;signed_bbram1.ccert“

SDM teikimo programinė įranga ir pagrindinė programinė įranga palaiko AES šakninio rakto sertifikato programavimą. AES šakninio rakto sertifikatui programuoti taip pat galite naudoti SDM pašto dėžutės sąsają iš FPGA audinio arba HPS.

Pastaba:

Komanda quartus_pgm nepalaiko kompaktinių sertifikatų (.ccert) parinkčių b ir v.

4.9.2. Intrinsic ID® PUF AES šakninio rakto aprūpinimas
Vidinio* ID PUF suvynioto AES rakto įdiegimas apima šiuos veiksmus: 1. Vidinio ID PUF užregistravimas naudojant JTAG. 2. AES šakninio rakto apvyniojimas. 3. Pagalbinių duomenų ir įvynioto rakto programavimas į keturių SPI „flash“ atmintį. 4. Intrinsic ID PUF aktyvinimo būsenos užklausa.
Norint naudoti „Intrinsic ID“ technologiją, reikalinga atskira licencijos sutartis su „Intrinsic ID“. „Intel Quartus Prime Pro Edition“ programinė įranga riboja PUF operacijas be atitinkamos licencijos, pvz., registraciją, raktų įvyniojimą ir PUF duomenų programavimą, naudojant QSPI blykstę.

4.9.2.1. Intrinsic ID PUF registracija
Norėdami užregistruoti PUF, turite naudoti SDM teikimo programinę įrangą. Suteikimo programinė įranga turi būti pirmoji programinė įranga, įkelta po maitinimo ciklo, o PUF registravimo komandą turite išduoti prieš bet kokią kitą komandą. Įrenginio programinė įranga palaiko kitas komandas po PUF registravimo, įskaitant AES šakninio rakto apvyniojimą ir programavimą keturiais SPI, tačiau, norėdami įkelti konfigūracijos bitų srautą, turite įjungti įrenginį.
Naudojate Intel Quartus Prime programuotoją, kad suaktyvintumėte PUF registraciją ir generuotumėte PUF pagalbinius duomenis .puf file.

„Intel Agilex® 7 Device Security“ vartotojo vadovas 34

Siųsti Atsiliepimus

4. Įrenginio aprūpinimas 683823 | 2023.05.23

7 pav.

Intrinsic ID PUF registracija
quartus_pgm PUF registracija

Registracijos PUF pagalbiniai duomenys

Saugi įrenginių tvarkyklė (SDM)

wrapper.puf pagalbininko duomenys
Kai nurodote i operaciją ir .puf argumentą, programuotojas automatiškai įkelia programinės įrangos pagalbinės įrangos atvaizdą.
quartus_pgm -c 1 -mjtag -o „ei;help_data.puf;AGFB014R24A“
Jei naudojate bendrai pasirašytą programinę-aparatinę įrangą, prieš naudodami PUF registravimo komandą užprogramuojate bendrai pasirašytą programinės įrangos pagalbinį vaizdą.
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" -force quartus_pgm -c 1 -mjtag -o „e;help_data.puf;AGFB014R24A“
UDS IID PUF užregistruojamas gaminant įrenginį ir jo negalima registruoti iš naujo. Vietoj to, norėdami nustatyti UDS PUF pagalbinio duomenų vietą IPCS, naudokite programuotoją, atsisiųskite .puf file tiesiogiai, tada naudokite UDS .puf file taip pat kaip ir .puf file išgautas iš Intel Agilex 7 įrenginio.
Norėdami sukurti tekstą, naudokite šią programuotojo komandą file kuriame yra sąrašas URLs nurodo konkretų įrenginį fileIPCS:
quartus_pgm -c 1 -mjtag -o „e;ipcs_urls.txt;AGFB014R24B“ – ipcs_urls
4.9.2.2. AES šakninio rakto įvyniojimas
Sugeneruojate IID PUF supakuotą AES šakninį raktą .wkey file išsiunčiant pasirašytą pažymą į SDM.
Galite naudoti „Intel Quartus Prime Programmer“, kad automatiškai sugeneruotumėte, pasirašytumėte ir išsiųstumėte sertifikatą, kad suvyniotumėte savo AES šakninį raktą, arba galite naudoti „Intel Quartus Prime“ programavimą. File Generatorius nepasirašytam sertifikatui generuoti. Nepasirašytą sertifikatą pasirašote naudodami savo įrankius arba pasirašymo įrankį Quartus. Tada naudokite programuotoją, kad išsiųstumėte pasirašytą sertifikatą ir suvyniotumėte savo AES šakninį raktą. Pasirašytas sertifikatas gali būti naudojamas programuoti visus įrenginius, galinčius patvirtinti parašo grandinę.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 35

4. Įrenginio aprūpinimas 683823 | 2023.05.23

8 pav.

AES rakto įvyniojimas naudojant „Intel Quartus Prime“ programuotoją
.pem Privatus
Raktas

.qky

quartus_pgm

Apvyniokite AES raktą

AES.QSKigYnature RootCPhuabilnic raktas

Sukurkite PUF apvyniotą raktą

Supakuotas AES raktas

SDM

.qek Šifravimas
Raktas

.wkey PUF suvyniotas
AES raktas

1. Galite sugeneruoti IID PUF suvyniotą AES šakninį raktą (.wkey) naudodami programuotoją, naudodami šiuos argumentus:
· .qky file kurioje yra parašo grandinė su AES šakninio rakto sertifikato leidimu
· Privatus .pem file paskutiniam raktui parašo grandinėje
· .qek file laikant AES šakninį raktą
· 16 baitų inicijavimo vektorius (iv).

quartus_pgm -c 1 -mjtag -qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o "ei;aes.wkey; AGFB014R24A"

2. Arba galite sugeneruoti nepasirašytą IID PUF apvyniojantį AES šakninio rakto sertifikatą naudodami programavimą File Generatorius naudojant šiuos argumentus:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Pasirašote nepasirašytą sertifikatą naudodami savo pasirašymo įrankius arba įrankį quartus_sign naudodami šią komandą:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Tada naudokite programuotoją, kad išsiųstumėte pasirašytą AES sertifikatą ir grąžintumėte supakuotą raktą (.wkey) file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

Pastaba: i operacija nebūtina, jei anksčiau įkėlėte programinės aparatinės įrangos pagalbinės programos vaizdą, pvz.,ample, norėdami užsiregistruoti PUF.

4.9.2.3. Programavimo pagalbininko duomenys ir apvyniotas raktas į QSPI „flash“ atmintį
Jūs naudojate Quartus programavimą File Generatoriaus grafinė sąsaja, skirta sukurti pradinį QSPI flash vaizdą su PUF skaidiniu. Norėdami pridėti PUF skaidinį prie QSPI blykstės, turite sugeneruoti ir užprogramuoti visą blykstės programavimo vaizdą. PUF sukūrimas

„Intel Agilex® 7 Device Security“ vartotojo vadovas 36

Siųsti Atsiliepimus

4. Įrenginio aprūpinimas 683823 | 2023.05.23

9 pav.

duomenų skaidinys ir PUF pagalbinio duomenų bei suvynioto rakto naudojimas files blykstės vaizdo generavimui programavimas nepalaikomas File Generatoriaus komandų eilutės sąsaja.
Šie veiksmai demonstruoja „flash“ programavimo vaizdo kūrimą naudojant PUF pagalbininko duomenis ir supakuotą raktą:
1. Ant File meniu spustelėkite Programavimas File Generatorius. Ant išvesties Files skirtuke atlikite šiuos pasirinkimus:
a. Įrenginių šeimai pasirinkite Agilex 7.
b. Konfigūravimo režimui pasirinkite Active Serial x4.
c. Norėdami rasti išvesties katalogą, eikite į išvestį file katalogas. Šis buvęsample naudoja išvestį_files.
d. Lauke Pavadinimas nurodykite programavimo pavadinimą file būti generuojami. Šis buvęsample naudoja išvestį_file.
e. Dalyje Aprašymas pasirinkite programavimą files generuoti. Šis buvęsample generuoja JTAG Netiesioginė konfigūracija File (.jic) įrenginio konfigūravimui ir neapdorotam dvejetainiam formatui File programavimo pagalbinio vaizdo (.rbf) įrenginio pagalbiniam vaizdui. Šis buvęsample taip pat pasirenka pasirenkamą atminties žemėlapį File (.žemėlapis) ir neapdoroti programavimo duomenys File (.rpd). Neapdoroti programavimo duomenys file būtina tik tuo atveju, jei ateityje planuojate naudoti trečiosios šalies programuotoją.
Programavimas File Generatorius – išvestis Files skirtukas – pasirinkite JTAG Netiesioginė konfigūracija

Įrenginio šeimos konfigūracijos režimas
Išvestis file skirtuką
Išvesties katalogas
JTAG Netiesioginis (.jic) atminties žemėlapis File Programavimo pagalbininkas Neapdoroti programavimo duomenys
Ant įvesties Files skirtuką, atlikite šiuos pasirinkimus: 1. Spustelėkite Add Bitstream ir naršykite savo .sof. 2. Pasirinkite savo .sof file tada spustelėkite Ypatybės.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 37

4. Įrenginio aprūpinimas 683823 | 2023.05.23
a. Įjunkite Įgalinti pasirašymo įrankį. b. Dėl privataus rakto file pasirinkite savo .pem file. c. Įjunkite Užbaigti šifravimą. d. Šifravimo raktui file pasirinkite savo .qek file. e. Spustelėkite Gerai, kad grįžtumėte į ankstesnį langą. 3. Norėdami nurodyti savo PUF pagalbininko duomenis file, spustelėkite Pridėti neapdorotus duomenis. Pakeisti Files tipo išskleidžiamajame meniu į Quartus Physical Unclonable Function File (*.puf). Naršykite savo .puf file. Jei naudojate ir IID PUF, ir UDS IID PUF, pakartokite šį veiksmą, kad .puf files kiekvienam PUF pridedami kaip įvestis files. 4. Norėdami nurodyti supakuotą AES raktą file, spustelėkite Pridėti neapdorotus duomenis. Pakeisti Files tipo išskleidžiamajame meniu į Quartus Wrapped Key File (*.wkey). Naršykite savo .wkey file. Jei suvyniojote AES raktus naudodami IID PUF ir UDS IID PUF, pakartokite šį veiksmą, kad .wkey files kiekvienam PUF pridedami kaip įvestis files.
10 pav. Nurodykite įvestį Files konfigūracijai, autentifikavimui ir šifravimui

Pridėti bitų srautą Pridėti neapdorotus duomenis
Savybės
Privatus raktas file
Užbaikite šifravimą Šifravimo raktas
Skirtuke Konfigūravimo įrenginys atlikite šiuos pasirinkimus: 1. Spustelėkite Pridėti įrenginį ir iš galimų „flash“ sąrašo pasirinkite savo „flash“ įrenginį.
prietaisai. 2. Pasirinkite ką tik pridėtą konfigūravimo įrenginį ir spustelėkite Pridėti skaidinį. 3. Įvesties dialogo lange Redaguoti skaidinį file ir pasirinkite savo .sof iš
Pasirinkimu sarasas. Galite išlaikyti numatytuosius nustatymus arba redaguoti kitus parametrus dialogo lange Redaguoti skaidinį.

„Intel Agilex® 7 Device Security“ vartotojo vadovas 38

Siųsti Atsiliepimus

4. Įrenginio aprūpinimas 683823 | 2023.05.23
11 pav. Nurodykite savo .sof konfigūracijos bitų srauto skaidinį

Konfigūravimo įrenginys
Redaguoti skaidinį Pridėti .sof file

Pridėti skaidinį

4. Kai pridedate .puf ir .wkey kaip įvestį files, Programavimas File Generatorius automatiškai sukuria PUF skaidinį jūsų konfigūravimo įrenginyje. Norėdami išsaugoti .puf ir .wkey PUF skaidinyje, pasirinkite PUF skaidinį ir spustelėkite Redaguoti. Dialogo lange Redaguoti skaidinį pasirinkite .puf ir .wkey files iš išskleidžiamųjų sąrašų. Jei pašalinsite PUF skaidinį, turite pašalinti ir iš naujo pridėti programavimo konfigūracijos įrenginį File Generatorius, skirtas sukurti kitą PUF skaidinį. Turite įsitikinti, kad pasirinkote teisingus .puf ir .wkey file atitinkamai IID PUF ir UDS IID PUF.
12 pav. Pridėkite .puf ir .wkey files į PUF skaidinį

PUF skaidinys

Redaguoti

Redaguoti skaidinį

Flash Loader

Pasirinkite Generuoti

5. „Flash Loader“ parametre pasirinkite „Intel Agilex 7“ įrenginių šeimą ir įrenginio pavadinimą, atitinkantį jūsų „Intel Agilex 7 OPN“.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 39

4. Įrenginio aprūpinimas 683823 | 2023.05.23
6. Spustelėkite Generuoti, kad sugeneruotumėte išvestį files, kurias nurodėte išvestyje Files skirtukas.
7. Programavimas File Generatorius nuskaito jūsų .qek file ir paragins įvesti slaptafrazę. Įveskite slaptafrazę atsakydami į raginimą Įveskite QEK slaptafrazę. Spustelėkite Enter klavišą.
8. Programavimas spustelėkite Gerai File Generatorius praneša apie sėkmingą generavimą.
Norėdami įrašyti QSPI programavimo vaizdą į QSPI „flash“ atmintį, naudojate „Intel Quartus Prime Programmer“. 1. Meniu Intel Quartus Prime Tools pasirinkite Programer. 2. Programuotoje spustelėkite Hardware Setup ir pasirinkite prijungtą Intel
FPGA atsisiuntimo kabelis. 3. Spustelėkite Pridėti File ir naršykite savo .jic file.
13 pav. Programa .jic

Programavimas file

Programa/ Konfigūruoti

JTAG nuskaitymo grandinė
4. Panaikinkite laukelio, susieto su pagalbinio atvaizdu, žymėjimą. 5. Pasirinkite Program/Configure .jic išėjimui file. 6. Įjunkite mygtuką Pradėti, kad užprogramuotumėte keturių SPI atmintį. 7. Įjunkite plokštę. Dizainas suprogramuotas keturių SPI „flash“ atmintyje
vėliau įrenginys įkeliamas į tikslinį FPGA.
Norėdami pridėti PUF skaidinį prie keturių SPI blykstės, turite sugeneruoti ir užprogramuoti visą blykstės programavimo vaizdą.
Kai „Flash“ jau yra PUF skaidinys, galima naudoti „Intel Quartus Prime Programmer“, kad būtų galima tiesiogiai pasiekti PUF pagalbininko duomenis ir supakuotą raktą. files. Pavyzdžiui,ampJei aktyvinimas nepavyksta, galima iš naujo užregistruoti PUF, pervynioti AES raktą ir vėliau tik užprogramuoti PUF files nereikia perrašyti visos blykstės.

„Intel Agilex® 7 Device Security“ vartotojo vadovas 40

Siųsti Atsiliepimus

4. Įrenginio aprūpinimas 683823 | 2023.05.23
„Intel Quartus Prime Programmer“ palaiko šį PUF veikimo argumentą files jau esamame PUF skaidinyje:
· p: programa
· v: patikrinti
· r: ištrinti
· b: tuščias čekis
Turite laikytis tų pačių apribojimų registruodamiesi PUF, net jei yra PUF skaidinys.
1. Naudokite i operacijos argumentą, kad įkeltumėte programinės aparatinės įrangos pagalbinės programos vaizdą pirmai operacijai. Pavyzdžiui,ample, toliau nurodyta komandų seka iš naujo užregistruoja PUF, iš naujo apvynioja AES šakninį raktą, ištrina senus PUF pagalbinės priemonės duomenis ir suvyniotą raktą, tada užprogramuoja ir patikrina naujus PUF pagalbininko duomenis ir AES šakninį raktą.
quartus_pgm -c 1 -mjtag -o "ei;new.puf;AGFB014R24A" quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "e;new.wkey;AGFB014R24A" quartus_pgm -c 1 -mjtag -o "r;old.puf" quartus_pgm -c 1 -mjtag -o „r;senas.wkey“ quartus_pgm -c 1 -mjtag -o "p;naujas.puf" quartus_pgm -c 1 -mjtag -o "p;naujas.wkey" quartus_pgm -c 1 -mjtag -o "v;new.puf" quartus_pgm -c 1 -mjtag -o „v;naujas.wkey“
4.9.2.4. Užklausa dėl vidinio ID PUF aktyvinimo būsenos
Užregistravę vidinį ID PUF, suvyniokite AES raktą, sugeneruokite „flash“ programavimą files, ir atnaujinate keturių SPI blykstę, įjungiate įrenginį, kad suaktyvintumėte PUF ir konfigūruotų šifruotą bitų srautą. SDM praneša apie PUF aktyvinimo būseną kartu su konfigūracijos būsena. Jei PUF aktyvinimas nepavyksta, SDM praneša apie PUF klaidos būseną. Norėdami užklausti konfigūracijos būseną, naudokite komandą quartus_pgm.
1. Norėdami sužinoti aktyvinimo būseną, naudokite šią komandą:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Čia yra sampsėkmingo aktyvinimo išvestis:
Informacija (21597): CONFIG_STATUS atsakymas Įrenginys veikia vartotojo režimu 00006000 RESPONSE_CODE=Gerai, LENGTH=6 00000000 STATE=IDLE 00160300 Versija C000007B MSEL=QSPI_NORMAL=1,n=1,n
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Klaidos vieta 00000000 Išsami informacija apie klaidą Atsakymas į PUF_STATUS 00002000 2 USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 41

4. Įrenginio aprūpinimas 683823 | 2023.05.23

Jei naudojate tik IID PUF arba UDS IID PUF ir nesate užprogramavę pagalbinių duomenų .puf file bet kuriam PUF QSPI blykstėje tas PUF nesuaktyvinamas, o PUF būsena rodo, kad PUF pagalbininko duomenys negalioja. Šis buvęsample rodo PUF būseną, kai PUF pagalbiniai duomenys nebuvo užprogramuoti nė vienam PUF:
Atsakymas PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. PUF vieta „Flash“ atmintyje
PUF vieta file skiriasi dizaino, kuris palaiko RSU, ir dizaino, kuris nepalaiko RSU funkcijos.

Jei dizainas nepalaiko RSU, turite įtraukti .puf ir .wkey files, kai kuriate atnaujintus blykstės vaizdus. RSU palaikančių dizainų atveju SDM neperrašo PUF duomenų sekcijų gamyklos ar programos vaizdo atnaujinimo metu.

2 lentelė.

„Flash“ poskyrių išdėstymas be RSU palaikymo

Blykstės poslinkis (baitais)

Dydis (baitais)

Turinys

Aprašymas

0K 256K

256K 256K

Konfigūracijos valdymo programinė įranga Konfigūracijos valdymo programinė įranga

SDM veikianti programinė įranga.

512 tūkst

256 tūkst

Konfigūracijos valdymo programinė įranga

768 tūkst

256 tūkst

Konfigūracijos valdymo programinė įranga

32 tūkst

PUF duomenų kopija 0

Duomenų struktūra, skirta PUF pagalbinių duomenų ir PUF apvyniotos AES šakninio rakto kopijos 0 saugojimui

1 mln. + 32 tūkst

32 tūkst

PUF duomenų kopija 1

Duomenų struktūra, skirta PUF pagalbinių duomenų ir PUF apvyniotos AES šakninio rakto kopijos 1 saugojimui

3 lentelė.

„Flash“ poskyrių išdėstymas su RSU palaikymu

Blykstės poslinkis (baitais)

Dydis (baitais)

Turinys

Aprašymas

0K 512K

512K 512K

Sprendimo programinė įranga Sprendimo programinė įranga

Programinė įranga, skirta nustatyti ir įkelti aukščiausio prioriteto vaizdą.

1 mln. 1.5 mln

512K 512K

Sprendimo programinė įranga Sprendimo programinė įranga

8 tūkst + 24 tūkst

Sprendimo programinės įrangos duomenys

Paminkštinimas

Rezervuota sprendimų programinės įrangos naudojimui.

2 mln. + 32 tūkst

32 tūkst

Rezervuota SDM

Rezervuota SDM.

2 mln. + 64 tūkst

Kintamasis

Gamyklos vaizdas

Paprastas vaizdas, kurį sukuriate kaip atsarginę kopiją, jei nepavyksta įkelti visų kitų programos vaizdų. Šiame paveikslėlyje yra CMF, kuris veikia SDM.

Kitas

32 tūkst

PUF duomenų kopija 0

Duomenų struktūra, skirta PUF pagalbinių duomenų ir PUF apvyniotos AES šakninio rakto kopijos 0 saugojimui
tęsėsi…

„Intel Agilex® 7 Device Security“ vartotojo vadovas 42

Siųsti Atsiliepimus

4. Įrenginio aprūpinimas 683823 | 2023.05.23

Blykstės poslinkis (baitais)

Dydis (baitais)

Kitas +32 tūkst. 32 tūkst

Turinys PUF duomenų kopija 1

Kitas + 256 4 32 K Kitas + 4 32 4 K Kitas + XNUMX XNUMX XNUMX K

Poskyrio lentelės kopija 0 Poskyrio lentelės kopija 1 CMF rodyklės bloko kopija 0

Kitas +32 tūkst.

CMF rodyklės bloko kopija 1

Kintamasis Kintamasis

1 programos vaizdas 2 programos vaizdas

4.9.3. Juodojo rakto aprūpinimas

Aprašymas
Duomenų struktūra, skirta PUF pagalbinių duomenų ir PUF apvyniotos AES šakninio rakto kopijos 1 saugojimui
Duomenų struktūra, palengvinanti „flash“ saugyklos valdymą.
Programos vaizdų rodyklių sąrašas prioriteto tvarka. Kai pridedate vaizdą, jis tampa aukščiausias.
Antroji programų vaizdų nuorodų sąrašo kopija.
Jūsų pirmasis programos vaizdas.
Jūsų antrasis programos vaizdas.

Pastaba:

„Intel Quartus PrimeProgrammer“ padeda užmegzti abipusiai autentifikuotą saugų ryšį tarp „Intel Agilex 7“ įrenginio ir juodojo rakto teikimo paslaugos. Saugus ryšys užmezgamas per https ir reikalauja kelių sertifikatų, identifikuotų naudojant tekstą file.
Kai naudojate juodojo rakto aprūpinimą, „Intel“ rekomenduoja vengti išorinio TCK kaiščio prijungimo, kad būtų galima pakelti arba nuleisti rezistorių, o naudojant jį JTAG. Tačiau galite prijungti TCK kaištį prie VCCIO SDM maitinimo šaltinio naudodami 10 k rezistorių. Esamos smeigtukų prijungimo gairėse pateiktos instrukcijos, kaip prijungti TCK prie 1 k ištraukiamojo rezistoriaus, įtrauktos dėl triukšmo slopinimo. Kreipimosi į 10 k traukimo rezistorių pakeitimas neturi įtakos įrenginio funkcionalumui. Daugiau informacijos apie TCK kaiščio prijungimą rasite „Intel Agilex 7 Pin Connection Guidelines“.
Thebkp_tls_ca_certcertificate autentifikuoja juodojo rakto teikimo paslaugos egzempliorių su juodojo rakto teikimo programuotojo egzemplioriumi. Thebkp_tls_*sertifikatai patvirtina jūsų juodojo rakto teikimo programuotojo egzempliorių su juodojo rakto teikimo paslaugos egzemplioriumi.
Jūs sukuriate tekstą file kurioje yra reikalinga informacija, kad „Intel Quartus Prime Programmer“ galėtų prisijungti prie juodojo rakto teikimo paslaugos. Norėdami pradėti juodojo rakto aprūpinimą, naudokite programuotojo komandų eilutės sąsają, kad nurodytumėte juodojo rakto parinkčių tekstą file. Tada juodojo rakto aprūpinimas tęsiamas automatiškai. Norėdami pasiekti juodojo rakto aprūpinimo paslaugą ir susijusią dokumentaciją, susisiekite su „Intel“ palaikymo tarnyba.
Galite įjungti juodojo rakto aprūpinimą naudodami komandą thequartus_pgmcommand:
quartus_pgm -c -m – prietaisas –bkp_options=bkp_options.txt
Komandos argumentai nurodo šią informaciją:

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 43

4. Įrenginio aprūpinimas 683823 | 2023.05.23

· -c: laido numeris · -m: nurodo programavimo režimą, pvz., JTAG · –įrenginys: nurodo įrenginio indeksą JTAG grandine. Numatytoji reikšmė yra 1. · –bkp_options: nurodo tekstą file kuriame yra juodojo rakto aprūpinimo parinktys.
Susijusi informacija „Intel Agilex 7“ įrenginių šeimos kontaktų prijungimo gairės

4.9.3.1. Juodojo rakto aprūpinimo parinktys
Juodojo rakto parinktys yra tekstas file perduodama programuotojui per komandą quartus_pgm. The file yra informacijos, reikalingos juodojo rakto aprūpinimui suaktyvinti.
Toliau yra buvęsampbkp_options.txt le file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key_key_tpls1234 b_progpkpas192.167.5.5 b_progkpas5000 adresas = https://XNUMX:XNUMX bkp_proxy_user = proxy_user bkp_proxy_password = proxy_slaptažodis

4 lentelė.

Juodojo rakto aprūpinimo parinktys
Šioje lentelėje pateikiamos parinktys, reikalingos norint suaktyvinti juodojo rakto aprūpinimą.

Parinkties pavadinimas

Tipas

Aprašymas

bkp_ip

Privaloma

Nurodo serverio IP adresą, kuriame veikia juodojo rakto teikimo paslauga.

bkp_port

Privaloma

Nurodo juodojo rakto teikimo paslaugos prievadą, reikalingą prisijungti prie serverio.

bkp_cfg_id

Privaloma

Nurodo juodojo rakto sudarymo konfigūracijos srauto ID.
Juodojo rakto aprūpinimo paslauga sukuria juodojo rakto teikimo konfigūracijos srautus, įskaitant AES šakninį raktą, norimus „eFuse“ nustatymus ir kitas juodojo rakto suteikimo prieigos parinktis. Numeris, priskirtas juodojo rakto teikimo paslaugos sąrankos metu, identifikuoja juodojo rakto teikimo konfigūracijos srautus.
Pastaba: keli įrenginiai gali nurodyti tą patį juodojo rakto teikimo paslaugos konfigūracijos srautą.

bkp_tls_ca_cert

Privaloma

Šakninis TLS sertifikatas, naudojamas juodojo rakto teikimo paslaugoms identifikuoti Intel Quartus Prime programuotojui (programuotojui). Patikima juodojo rakto teikimo paslaugos egzemplioriaus sertifikatų institucija išduoda šį sertifikatą.
Jei programuotoją paleisite kompiuteryje su Microsoft® Windows® operacine sistema (Windows), turite įdiegti šį sertifikatą Windows sertifikatų saugykloje.

bkp_tls_prog_cert

Privaloma

Sertifikatas, sukurtas juodojo rakto sudarymo programuotojo (BKP programuotojo) egzemplioriui. Tai yra https kliento sertifikatas, naudojamas šiam BKP programuotojo egzemplioriui identifikuoti
tęsėsi…

„Intel Agilex® 7 Device Security“ vartotojo vadovas 44

Siųsti Atsiliepimus

4. Įrenginio aprūpinimas 683823 | 2023.05.23

Parinkties pavadinimas

Tipas

bkp_tls_prog_key

Privaloma

bkp_tls_prog_key_pass Neprivaloma

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Neprivaloma Neprivaloma

Aprašymas
į juodojo rakto teikimo paslaugą. Prieš pradėdami juodojo rakto sudarymo seansą, turite įdiegti ir įgalioti šį sertifikatą juodojo rakto teikimo tarnyboje. Jei programuotoją paleisite sistemoje Windows, ši parinktis nepasiekiama. Šiuo atveju bkp_tls_prog_key jau apima šį sertifikatą.
Privatus raktas, atitinkantis BKP programuotojo sertifikatą. Raktas patvirtina BKP programuotojo egzemplioriaus tapatybę juodojo rakto teikimo paslaugai. Jei programuotoją paleisite sistemoje Windows, .pfx file sujungia bkp_tls_prog_cert sertifikatą ir privatųjį raktą. Parinktis bkp_tlx_prog_key perduoda .pfx file faile bkp_options.txt file.
Privataus rakto bkp_tls_prog_key slaptažodis. Nereikalaujama juodojo rakto konfigūravimo parinkčių (bkp_options.txt) tekste file.
Nurodo tarpinį serverį URL adresu.
Nurodo įgaliotojo serverio vartotojo vardą.
Nurodo įgaliotojo serverio autentifikavimo slaptažodį.

4.10. Savininko šakninio rakto, AES šakninio rakto sertifikatų ir saugiklio konvertavimas files į Jam STAPL File Formatai

Galite naudoti komandų eilutės komandą quartus_pfg norėdami konvertuoti .qky, AES šakninį raktą .ccert ir .fuse files į Jam STAPL formatą File (.jam) ir Jam Byte kodo formatas File (.jbc). Galite naudoti šiuos files programuoti Intel FPGA naudojant atitinkamai Jam STAPL Player ir Jam STAPL Byte-Code Player.

Viename .jam arba .jbc faile yra keletas funkcijų, įskaitant programinės aparatinės įrangos pagalbinio vaizdo konfigūraciją ir programą, tuščią patikrinimą ir raktų bei saugiklių programavimo patikrinimą.

Atsargiai:

Kai konvertuojate AES šakninį raktą .ccert file į .jam formatą, .jam file yra AES raktas paprastu tekstu, bet užmaskuota forma. Vadinasi, turite apsaugoti .jam file išsaugant AES raktą. Tai galite padaryti užtikrindami AES raktą saugioje aplinkoje.

Čia yra buvampquartus_pfg konvertavimo komandų les:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A „root0.qky;root1.qtusfcroot2.qtuskjbcroot014.qtuskj; c -o helper_device=AGFB24R014A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB24R014A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFBA_fuse_helper_device=AGFBA_fuse_use. vice=AGFB24R014A nustatymai. saugiklio nustatymai_saugiklis.jbc

Daugiau informacijos apie Jam STAPL Player naudojimą įrenginių programavimui rasite AN 425: Komandinės eilutės strigties STAPL sprendimo naudojimas įrenginių programavimui.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 45

4. Įrenginio aprūpinimas 683823 | 2023.05.23
Vykdykite šias komandas, kad užprogramuotumėte savininko šakninį viešąjį raktą ir AES šifravimo raktą:
//Norėdami įkelti pagalbinį bitų srautą į FPGA. // Pagalbinis bitų srautas apima programinės aparatinės įrangos teikimą quartus_jli -c 1 -a CONFIGURE RootKey.jam
//Norėdami programuoti savininko šakninį viešąjį raktą į virtualų eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Norėdami programuoti savininko pagrindinį viešąjį raktą į fizinį eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Norėdami užprogramuoti PR savininko šakninį viešąjį raktą į virtualųjį eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Programuoti PR savininko šakninį viešąjį raktą į fizinį eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//AES šifravimo rakto CCERT programavimas į BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//AES šifravimo rakto CCERT programavimas į fizinį eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Susijusi informacija AN 425: Komandinės eilutės strigties STAPL sprendimo naudojimas įrenginių programavimui

„Intel Agilex® 7 Device Security“ vartotojo vadovas 46

Siųsti Atsiliepimus

683823 | 2023.05.23 Siųsti atsiliepimą

Išplėstinės funkcijos

5.1. Saugus derinimo autorizavimas
Norėdami įjungti saugaus derinimo autorizaciją, derinimo savininkas turi sugeneruoti autentifikavimo raktų porą ir naudoti Intel Quartus Prime Pro programuotoją įrenginio informacijai generuoti. file įrenginiui, kuriame veikia derinimo vaizdas:
quartus_pgm -c 1 -mjtag -o „ei;device_info.txt;AGFB014R24A“ –dev_info
Įrenginio savininkas naudoja įrankį quartus_sign arba nuorodos įgyvendinimą, kad pridėtų sąlyginį viešojo rakto įrašą prie parašo grandinės, skirtos derinimo operacijoms, naudodamas derinimo savininko viešąjį raktą, reikiamas teises, įrenginio informacijos tekstą. fileir taikomi kiti apribojimai:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18 –in, debug_authorization_public_key.pem secure_debug_auth_chain.qky
Įrenginio savininkas siunčia visą parašo grandinę atgal derinimo savininkui, kuris naudoja parašo grandinę ir savo privatų raktą derinimo vaizdui pasirašyti:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorised_debug_design.rbf
Galite naudoti komandą quartus_pfg norėdami patikrinti kiekvienos šio pasirašyto saugaus derinimo bitų srauto sekcijos parašo grandinę taip:
quartus_pfg –check_integrity authorised_debug_design.rbf
Šios komandos išvestis išspausdina sąlyginio viešojo rakto, kuris buvo naudojamas pasirašytam bitų srautui generuoti, apribojimų reikšmes 1,2,17,18, XNUMX, XNUMX, XNUMX.
Derinimo savininkas gali užprogramuoti saugiai įgaliotą derinimo dizainą:
quartus_pgm -c 1 -mjtag -o „p;authorized_debug_design.rbf“
Įrenginio savininkas gali atšaukti saugaus derinimo įgaliojimą atšaukdamas aiškų rakto atšaukimo ID, priskirtą saugaus derinimo įgaliojimo parašo grandinėje.
5.2. HPS derinimo sertifikatai
Įgalinant tik įgaliotą prieigą prie HPS derinimo prieigos prievado (DAP) per JTAG sąsaja reikalauja kelių žingsnių:

Užregistruotas ISO 9001: 2015

5. Papildomos funkcijos 683823 | 2023.05.23
1. Spustelėkite Intel Quartus Prime programinės įrangos priskyrimų meniu ir pasirinkite Device Device and Pin Options Configuration skirtuką.
2. Skirtuke Konfigūracija įgalinkite HPS derinimo prieigos prievadą (DAP), išskleidžiamajame meniu pasirinkę HPS Pins arba SDM Pins ir įsitikinkite, kad nėra pažymėtas žymimasis laukelis Leisti HPS derinimą be sertifikatų.
14 pav. Nurodykite HPS arba SDM kaiščius HPS DAP

HPS derinimo prieigos prievadas (DAP)
Arba galite nustatyti toliau pateiktą priskyrimą Quartus Prime Settings .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE „SDM PINS“
3. Sukompiliuokite ir įkelkite dizainą su šiais parametrais. 4. Sukurkite parašo grandinę su atitinkamais leidimais pasirašyti HPS derinimą
sertifikatas:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_
5. Pateikite nepasirašyto HPS derinimo sertifikato užklausą iš įrenginio, kuriame įkeltas derinimo dizainas:
quartus_pgm -c 1 -mjtag -o „e;unsigned_hps_debug.cert;AGFB014R24A“
6. Pasirašykite nepasirašytą HPS derinimo sertifikatą naudodami quartus_sign įrankį arba nuorodos diegimą ir HPS derinimo parašo grandinę:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

„Intel Agilex® 7 Device Security“ vartotojo vadovas 48

Siųsti Atsiliepimus

5. Papildomos funkcijos 683823 | 2023.05.23
7. Išsiųskite pasirašytą HPS derinimo sertifikatą atgal į įrenginį, kad įgalintumėte prieigą prie HPS derinimo prieigos prievado (DAP):
quartus_pgm -c 1 -mjtag -o „p;signed_hps_debug.cert“
HPS derinimo sertifikatas galioja tik nuo jo sukūrimo iki kito įrenginio maitinimo ciklo arba tol, kol įkeliamas kitokio tipo ar versijos SDM programinė įranga. Prieš paleisdami įrenginį, turite sugeneruoti, pasirašyti ir užprogramuoti pasirašytą HPS derinimo sertifikatą ir atlikti visas derinimo operacijas. Galite anuliuoti pasirašytą HPS derinimo sertifikatą, įjungdami įrenginį.
5.3. Platformos patvirtinimas
Galite sugeneruoti nuorodos vientisumo aprašą (.rim) file naudojant programavimą file generatoriaus įrankis:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Norėdami užtikrinti platformos patvirtinimą savo dizaine, atlikite šiuos veiksmus: 1. Naudokite Intel Quartus Prime Pro programuotoją, kad sukonfigūruotumėte savo įrenginį su
dizainas, kuriam sukūrėte nuorodos vientisumo manifestą. 2. Naudokite platformos patvirtinimo tikrintuvą, kad užregistruotumėte įrenginį, duodami komandas
SDM per SDM pašto dėžutę, kad būtų sukurtas įrenginio ID sertifikatas ir programinės įrangos sertifikatas įkeliant iš naujo. 3. Naudokite Intel Quartus Prime Pro programuotoją, kad iš naujo sukonfigūruotumėte savo įrenginį pagal dizainą. 4. Naudokite platformos patvirtinimo tikrintuvą, kad pateiktumėte komandas SDM, kad gautumėte atestavimo įrenginio ID, programinės įrangos ir slapyvardžio sertifikatus. 5. Naudokite patvirtinimo tikrintuvą, kad pateiktumėte SDM pašto dėžutės komandą, kad gautumėte patvirtinimo įrodymus, o tikrintojas patikrins grąžintus įrodymus.
Galite įdiegti savo tikrinimo paslaugą naudodami SDM pašto dėžutės komandas arba naudoti „Intel“ platformos atestacijos tikrinimo paslaugą. Norėdami gauti daugiau informacijos apie „Intel“ platformos atestacijos tikrinimo paslaugos programinę įrangą, prieinamumą ir dokumentaciją, susisiekite su „Intel“ palaikymo tarnyba.
Susijusi informacija „Intel Agilex 7“ įrenginių šeimos kontaktų prijungimo gairės
5.4. Fizinis anti-Tamper
Įjungiate fizinį anti-tamper funkcijas atlikdami šiuos veiksmus: 1. Pasirinkite norimą atsaką į aptiktą tamper įvykis 2. Norimo t konfigūravimasamper aptikimo metodai ir parametrai 3. Įskaitant anti-tamper IP savo projektavimo logikoje, kad padėtų valdyti anti-tamper
įvykius

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 49

5. Papildomos funkcijos 683823 | 2023.05.23
5.4.1. Anti-Tamper Atsakymai
Įjungiate fizinį anti-tamper pasirinkdami atsakymą iš Anti-tamper atsakymas: išskleidžiamajame sąraše Priskyrimų įrenginio įrenginys ir PIN parinktys Security Anti-Tamper skirtukas. Pagal numatytuosius nustatymus anti-tampatsakymas išjungtas. Penkios anti-t kategorijosampyra atsakymas. Kai pasirenkate norimą atsakymą, įjungiamos parinktys, leidžiančios įjungti vieną ar daugiau aptikimo metodų.
15 pav. Galima anti-Tamper Atsakymo parinktys

Atitinkamas priskyrimas Quartus Prime nustatymuose .gsf file yra toks:
set_global_assignment -name ANTI_TAMPER_RESPONSE „PRANEŠIMO ĮRENGINIO IŠVALYMAS ĮRENGINIO UŽRAKINIMAS IR NULIAVIMAS“
Kai įjungiate anti-tampJei atsakysite, galite pasirinkti du turimus SDM skirtus įvesties / išvesties kaiščius, kad išvestų tampĮvykio aptikimo ir atsakymo būsena naudojant langą Priskyrimo įrenginio įrenginys ir PIN parinktys Konfigūracijos konfigūracijos PIN parinktys.

„Intel Agilex® 7 Device Security“ vartotojo vadovas 50

Siųsti Atsiliepimus

5. Papildomos funkcijos 683823 | 2023.05.23
16 pav. Galimi SDM skirti įvesties/išvesties kaiščiai, skirti Tamper įvykių aptikimas

Nustatymuose taip pat galite atlikti toliau nurodytus kaiščių priskyrimus file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper aptikimas

Galite atskirai įjungti dažnį, temperatūrą ir tūrįtagSDM aptikimo funkcijos. FPGA aptikimas priklauso nuo anti-T įtraukimoamper Lite Intel FPGA IP jūsų dizaine.

Pastaba:

SDM dažnis ir ttagetampAptikimo metodai priklauso nuo vidinių nuorodų ir matavimo aparatinės įrangos, kuri įvairiuose įrenginiuose gali skirtis. „Intel“ rekomenduoja apibūdinti tamper aptikimo nustatymus.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 51

5. Papildomos funkcijos 683823 | 2023.05.23
dažnio Tamper aptikimas veikia konfigūracijos laikrodžio šaltinyje. Norėdami įjungti dažnį tampNorėdami aptikti, turite nurodyti kitą parinktį nei vidinis generatorius išskleidžiamajame meniu Konfigūracijos laikrodžio šaltinis skirtuke Priskyrimo įrenginio įrenginys ir PIN parinktys Bendra. Prieš įjungdami dažnį t, turite įsitikinti, kad žymimasis laukelis Vykdyti konfigūraciją CPU iš vidinio generatoriaus yra įjungtasamper aptikimas. 17 pav. SDM nustatymas į vidinį osciliatorių
Norėdami įjungti dažnį tampJei norite aptikti, pasirinkite Įjungti dažnį tamper aptikimo žymimąjį langelį ir pasirinkite norimą Dažnį tamper aptikimo diapazoną iš išskleidžiamojo meniu. 18 pav. Dažnio T įjungimasamper aptikimas

„Intel Agilex® 7 Device Security“ vartotojo vadovas 52

Siųsti Atsiliepimus

5. Papildomos funkcijos 683823 | 2023.05.23
Arba galite įjungti dažnį Tamper Aptikimas atlikus šiuos Quartus Prime Settings .qsf pakeitimus file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ĮJUNGTAS set_global_assignment -name ENNCYABLETAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Norėdami įjungti temperatūrą tampJei aptiksite, pasirinkite Įjungti temperatūrą tamper aptikimo žymės langelį ir atitinkamuose laukuose pasirinkite pageidaujamą viršutinę ir apatinę temperatūros ribas. Viršutinė ir apatinė ribos pagal numatytuosius nustatymus užpildomos atitinkamu projekte pasirinkto įrenginio temperatūros diapazonu.
Norėdami įjungti ttagetampJei norite aptikti, pasirenkate vieną arba abu iš Įgalinti VCCL voltagetamper aptikimas arba Įjungti VCCL_SDM voltagetamper aptikimo žymimuosius langelius ir pasirinkite norimą tomątagetamper aptikimo trigeris proctage atitinkamame lauke.
19 pav. Įjungimas Voltagir Tamper aptikimas

Arba galite įjungti Voltagir Tamper Aptikimas, .qsf nurodant šias užduotis file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ĮJUNGTA
5.4.3. Anti-Tamper Lite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP, prieinamas Intel Quartus Prime Pro Edition programinės įrangos IP kataloge, palengvina dvikryptį ryšį tarp jūsų dizaino ir SDM.amper įvykius.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 53

20 pav. Anti-Tamper Lite Intel FPGA IP

5. Papildomos funkcijos 683823 | 2023.05.23

IP suteikia šiuos signalus, kuriuos prireikus prijungiate prie savo dizaino:

5 lentelė.

Anti-Tamper Lite Intel FPGA IP I/O signalai

Signalo pavadinimas

Kryptis

Aprašymas

gpo_sdm_at_event gpi_fpga_at_event

Išvesties įvestis

SDM signalas į FPGA audinio logiką, kurį SDM aptikoamper įvykis. FPGA logika turi maždaug 5 ms atlikti bet kokį norimą valymą ir atsakyti į SDM per gpi_fpga_at_response_done ir gpi_fpga_at_zeroization_done. SDM tęsia tamper atsakymo veiksmai, kai teigiamas gpi_fpga_at_response_done arba po to, kai per skirtą laiką negaunamas atsakymas.
FPGA pertraukimas į SDM, kad jūsų sukurta anti-tamper aptikimo grandinė aptikoamper įvykį ir SDM tampturi būti suaktyvintas atsakas.

gpi_fpga_at_response_done

Įvestis

FPGA pertraukimas į SDM, kad FPGA logika atliko norimą valymą.

gpi_fpga_at_zeroization_d one

Įvestis

FPGA signalas SDM, kad FPGA logika užbaigė bet kokį norimą projektinių duomenų nulinį nustatymą. Šis signalas yra samprodoma, kai teigiama, kad gpi_fpga_at_response_done.

5.4.3.1. Išleidimo informacija

IP versijų schemos (XYZ) numeris keičiasi iš vienos programinės įrangos versijos į kitą. Pakeitimas:
· X reiškia esminį TL pataisymą. Jei atnaujinate „Intel Quartus Prime“ programinę įrangą, turite atkurti IP.
· Y reiškia, kad IP yra naujų funkcijų. Iš naujo sugeneruokite savo IP, kad įtrauktumėte šias naujas funkcijas.
· Z reiškia, kad IP yra nedidelių pakeitimų. Iš naujo sugeneruokite savo IP, kad įtrauktumėte šiuos pakeitimus.

6 lentelė.

Anti-Tamper Lite Intel FPGA IP išleidimo informacija

IP versija

Prekė

Aprašymas 20.1.0

Intel Quartus Prime versija

21.2

Išleidimo data

2021.06.21

„Intel Agilex® 7 Device Security“ vartotojo vadovas 54

Siųsti Atsiliepimus

5. Papildomos funkcijos 683823 | 2023.05.23
5.5. Dizaino saugos funkcijų naudojimas su nuotoliniu sistemos atnaujinimu
Nuotolinis sistemos naujinimas (RSU) yra „Intel Agilex 7 FPGA“ funkcija, padedanti atnaujinti konfigūraciją files tvirtu būdu. RSU yra suderinamas su dizaino saugos funkcijomis, tokiomis kaip autentifikavimas, bendras programinės įrangos pasirašymas ir bitų srauto šifravimas, nes RSU nepriklauso nuo konfigūracijos bitų srautų projektinio turinio.
RSU vaizdų kūrimas su .sof Files
Jei privačius raktus saugote vietiniame filesistemoje, galite generuoti RSU vaizdus su dizaino saugos funkcijomis, naudodami supaprastintą srautą su .sof files kaip įvestis. Norėdami generuoti RSU vaizdus su .sof file, galite vadovautis instrukcijomis skyriuje Nuotolinio sistemos atnaujinimo vaizdo generavimas Files Programavimo naudojimas File „Intel Agilex 7“ konfigūracijos vartotojo vadovo generatorius. Už kiekvieną .sof file nurodyta įvestyje Files skirtuką, spustelėkite mygtuką Ypatybės… ir nurodykite atitinkamus pasirašymo ir šifravimo įrankių parametrus bei raktus. Programavimas file generatoriaus įrankis automatiškai pasirašo ir užšifruoja gamyklinius ir taikomųjų programų vaizdus kurdamas RSU programavimą files.
Arba, jei saugote privačius raktus HSM, turite naudoti įrankį quartus_sign ir naudoti .rbf files. Likusioje šio skyriaus dalyje išsamiai aprašomi srauto pakeitimai, skirti generuoti RSU vaizdus naudojant .rbf files kaip įvestis. Turite užšifruoti ir pasirašyti .rbf formatą files prieš pasirenkant juos kaip įvestį files RSU vaizdams; tačiau RSU įkrovos informacija file neturi būti užšifruotas, o tik pasirašytas. Programavimas File Generatorius nepalaiko .rbf formato savybių modifikavimo files.
Šis buvęsamples parodyti reikiamus komandų pakeitimus skyriuje Nuotolinio sistemos atnaujinimo vaizdo generavimas Files Programavimo naudojimas File „Intel Agilex 7“ konfigūracijos vartotojo vadovo generatorius.
Pradinio RSU vaizdo generavimas naudojant .rbf Files: komandų modifikavimas
Iš pradinio RSU vaizdo generavimo naudojant .rbf Files skyrių, pakeiskite 1 veiksmo komandas, kad įgalintumėte dizaino saugos funkcijas, kaip norite, naudodami instrukcijas iš ankstesnių šio dokumento skyrių.
Pavyzdžiui,ample, nurodytumėte pasirašytą programinę-aparatinę įrangą file jei naudojote programinės įrangos kosignavimą, naudokite Quartus šifravimo įrankį, kad užšifruotumėte kiekvieną .rbf file, ir galiausiai naudokite įrankį quartus_sign pasirašyti kiekvieną file.
Jei 2 veiksme įgalinote bendrą programinės įrangos pasirašymą, turite naudoti papildomą parinktį kurdami įkrovos .rbf iš gamyklinio vaizdo file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Sukūrę įkrovos informaciją .rbf file, naudokite įrankį quartus_sign, kad pasirašytumėte .rbf file. Negalite šifruoti įkrovos informacijos .rbf file.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 55

5. Papildomos funkcijos 683823 | 2023.05.23
Programos vaizdo generavimas: komandos modifikavimas
Norėdami sugeneruoti programos atvaizdą su dizaino saugos funkcijomis, pakeiskite komandą, esančią skiltyje „Programos vaizdo generavimas“, kad būtų naudojamas .rbf su įjungtomis dizaino saugos funkcijomis, įskaitant, jei reikia, kartu pasirašytą programinę-aparatinę įrangą, o ne originalią programą .sof. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Gamyklos atnaujinimo vaizdo generavimas: komandos modifikavimas
Sukūrę įkrovos informaciją .rbf file, .rbf pasirašyti naudojate įrankį quartus_sign file. Negalite šifruoti įkrovos informacijos .rbf file.
Norėdami sugeneruoti RSU gamyklinio atnaujinimo vaizdą, pakeiskite komandą iš Gamyklinio atnaujinimo vaizdo generavimas, kad naudotumėte .rbf file su įjungtomis dizaino saugos funkcijomis ir pridėkite parinktį nurodyti bendrai pasirašytą programinės įrangos naudojimą:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Susijusi informacija Intel Agilex 7 konfigūracijos vartotojo vadovas
5.6. SDM kriptografijos paslaugos
„Intel Agilex 7“ įrenginių SDM teikia kriptografines paslaugas, kurių FPGA audinio logika arba HPS gali paprašyti per atitinkamą SDM pašto dėžutės sąsają. Daugiau informacijos apie visų SDM kriptografinių paslaugų pašto dėžutės komandas ir duomenų formatus rasite „Intel FPGA“ ir struktūrinių ASIC naudotojo vadovo saugos metodologijos B priede.
Norėdami pasiekti SDM pašto dėžutės sąsają su FPGA audinio logika SDM kriptografijos paslaugoms, savo dizaine turite sukurti pašto dėžutės kliento Intel FPGA IP.
Nuorodos kodas prieigai prie SDM pašto dėžutės sąsajos iš HPS yra įtrauktas į ATF ir Linux kodą, kurį teikia Intel.
Susijusi informacija Pašto dėžutės klientas Intel FPGA IP vartotojo vadovas
5.6.1. Pardavėjo įgaliotas paleidimas
„Intel“ pateikia pagrindinį HPS programinės įrangos diegimą, kuris naudoja pardavėjo įgaliotą įkrovos funkciją, kad autentifikuotų HPS įkrovos programinę įrangą nuo pirmųjų s.tage įkrovos įkroviklį iki Linux branduolio.
Susijusi informacija „Intel Agilex 7 SoC Secure Boot Demo Design“.

„Intel Agilex® 7 Device Security“ vartotojo vadovas 56

Siųsti Atsiliepimus

5. Papildomos funkcijos 683823 | 2023.05.23
5.6.2. Saugi duomenų objektų paslauga
Per SDM pašto dėžutę siunčiate komandas, kad atliktumėte SDOS objektų šifravimą ir iššifravimą. Suteikę SDOS šakninį raktą, galite naudoti SDOS funkciją.
Susijusios informacijos saugaus duomenų objekto paslaugos šakninio rakto teikimas 30 puslapyje
5.6.3. SDM kriptografinės primityviosios paslaugos
Jūs siunčiate komandas per SDM pašto dėžutę, kad pradėtumėte SDM kriptografinės primityvios paslaugos operacijas. Kai kurios kriptografinės primityvios paslaugos reikalauja, kad į SDM ir iš jo būtų perkelta daugiau duomenų, nei gali priimti pašto dėžutės sąsaja. Tokiais atvejais formato komanda pasikeičia, kad būtų pateiktos rodyklės į atmintyje esančius duomenis. Be to, turite pakeisti pašto dėžutės kliento Intel FPGA IP egzempliorių, kad galėtumėte naudoti SDM kriptografines primityvias paslaugas iš FPGA audinio logikos. Turite papildomai nustatyti parametrą Enable Crypto Service į 1 ir prijungti naujai atskleistą AXI iniciatoriaus sąsają prie savo dizaino atminties.
21 pav. SDM kriptografijos paslaugų įjungimas pašto dėžutės kliente Intel FPGA IP

5.7. Bitų srauto saugos nustatymai (FM/S10)
FPGA bitų srauto saugos parinktys yra strategijų rinkinys, ribojantis nurodytą funkciją arba veikimo režimą per nustatytą laikotarpį.
Bitstream Security parinktis sudaro vėliavėlės, kurias nustatėte „Intel Quartus Prime Pro Edition“ programinėje įrangoje. Šios vėliavėlės automatiškai nukopijuojamos į konfigūracijos bitų srautus.
Naudodami atitinkamą saugos nustatymą „eFuse“, galite visam laikui pritaikyti įrenginio saugos parinktis.
Norėdami naudoti bet kokius saugos nustatymus konfigūracijos bitų sraute arba įrenginio eFuses, turite įjungti autentifikavimo funkciją.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 57

5. Papildomos funkcijos 683823 | 2023.05.23
5.7.1. Saugos parinkčių pasirinkimas ir įjungimas
Norėdami pasirinkti ir įjungti saugos parinktis, atlikite šiuos veiksmus: Meniu Priskyrimai pasirinkite Įrenginio įrenginio ir PIN parinktys Sauga Daugiau parinkčių... 22 pav. Saugos parinkčių pasirinkimas ir įjungimas

Tada išskleidžiamajame sąraše pasirinkite saugos parinkčių, kurias norite įjungti, reikšmes, kaip parodyta toliau pateiktame pvzampLe:
23 pav. Saugos parinkčių reikšmių pasirinkimas

„Intel Agilex® 7 Device Security“ vartotojo vadovas 58

Siųsti Atsiliepimus

5. Papildomos funkcijos 683823 | 2023.05.23
Toliau pateikiami atitinkami Quartus Prime nustatymų .qsf pakeitimai file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG „Set_encryphy_update“ set_global_assignment -name secu_option_pice_pis Security_efuses on set_global_assignment -name secu_option_disable_hps_debug on set_global_assignment -name Disable_encryphy_key_in_efuses On set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ĮJUNGTAS rinkinio_visuotinio_priskyrimo pavadinimas SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ĮJUNGTAS set_global_assignment -pavadinimas SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEYON

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 59

683823 | 2023.05.23 Siųsti atsiliepimą

Trikčių šalinimas

Šiame skyriuje aprašomos dažniausios klaidos ir įspėjamieji pranešimai, su kuriais galite susidurti bandydami naudoti įrenginio saugos funkcijas ir priemones joms išspręsti.
6.1. „Quartus“ komandų naudojimas „Windows“ aplinkos klaidoje
Klaida quartus_pgm: komanda nerasta Aprašymas Ši klaida rodoma bandant naudoti Quartus komandas NIOS II apvalkale Windows aplinkoje naudojant WSL. Rezoliucija Ši komanda veikia Linux aplinkoje; „Windows“ pagrindiniams kompiuteriams naudokite šią komandą: quartus_pgm.exe -h Panašiai taikykite tą pačią sintaksę kitoms Quartus Prime komandoms, tokioms kaip quartus_pfg, quartus_sign, quartus_encrypt, be kitų komandų.

Užregistruotas ISO 9001: 2015

6. Trikčių šalinimas 683823 | 2023.05.23

6.2. Privataus rakto įspėjimo generavimas

Įspėjimas:

Nurodytas slaptažodis laikomas nesaugiu. „Intel“ rekomenduoja naudoti bent 13 simbolių slaptažodį. Rekomenduojame pakeisti slaptažodį naudojant OpenSSL vykdomąjį failą.

openssl ec -in -išeina -aes256

Aprašymas
Šis įspėjimas yra susijęs su slaptažodžio stiprumu ir rodomas bandant sugeneruoti privatųjį raktą išduodant šias komandas:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Rezoliucija Norėdami nurodyti ilgesnį ir stipresnį slaptažodį, naudokite vykdomąjį failą openssl.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 61

6. Trikčių šalinimas 683823 | 2023.05.23
6.3. Pridedant pasirašymo raktą prie „Quartus“ projekto klaida
Klaida…File yra šakninio rakto informacija...
Aprašymas
Pridėjus pasirašymo raktą .qky file į Quartus projektą, turite iš naujo surinkti .sof file. Kai pridėsite šį iš naujo sukurtą .sof file į pasirinktą įrenginį naudodami Quartus Programer, šis klaidos pranešimas rodo, kad file yra šakninio rakto informacija:
Nepavyko pridėtifile-kelio pavadinimas> į Programuotoją. The file yra šakninio rakto informacija (.qky). Tačiau Programuotojas nepalaiko bitų srauto pasirašymo funkcijos. Galite naudoti programavimą File Generatorius konvertuoti file į pasirašytą Raw Binary file (.rbf) konfigūravimui.
Rezoliucija
Naudokite Quartus programavimą file generatorius konvertuoti file į pasirašytą neapdorotą dvejetainį failą File .rbf konfigūracijai.
Susijusios informacijos pasirašymo konfigūracijos bitų srautas Naudojant komandą quartus_sign 13 puslapyje

„Intel Agilex® 7 Device Security“ vartotojo vadovas 62

Siųsti Atsiliepimus

6. Trikčių šalinimas 683823 | 2023.05.23
6.4. „Quartus Prime“ programavimo generavimas File buvo nesėkmingas
Klaida
Klaida (20353): X viešojo rakto iš QKY nesutampa su privačiuoju raktu iš PEM file.
Klaida (20352): nepavyko pasirašyti bitų srauto naudojant python scenarijų agilex_sign.py.
Klaida: Quartus Prime programavimas File Generatorius buvo nesėkmingas.
Aprašymas Jei bandote pasirašyti konfigūracijos bitų srautą naudodami neteisingą privatųjį raktą .pem file arba .pem file kuri neatitinka prie projekto pridėto .qky, rodomos pirmiau nurodytos dažniausiai pasitaikančios klaidos. Sprendimas Įsitikinkite, kad pasirašydami bitų srautą naudojate teisingą privatųjį raktą .pem.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 63

6. Trikčių šalinimas 683823 | 2023.05.23
6.5. Nežinomos argumentų klaidos
Klaida
Klaida (23028): nežinomas argumentas „ûc“. Teisinių argumentų ieškokite pagalbos skyriuje.
Klaida (213008): Programavimo parinkčių eilutė „ûp“ yra neteisėta. Žr. žinyną dėl legalių programavimo parinkčių formatų.
Aprašymas Jei nukopijuojate ir įklijuojate komandų eilutės parinktis iš .pdf file Windows NIOS II apvalkale galite susidurti su nežinomų argumentų klaidomis, kaip parodyta aukščiau. Sprendimas Tokiais atvejais galite įvesti komandas rankiniu būdu, o ne įklijuoti iš mainų srities.

„Intel Agilex® 7 Device Security“ vartotojo vadovas 64

Siųsti Atsiliepimus

6. Trikčių šalinimas 683823 | 2023.05.23
6.6. Bitų srauto šifravimo parinkties išjungta klaida
Klaida
Nepavyko užbaigti šifravimo file dizainas .sof, nes jis buvo sudarytas su išjungta bitų srauto šifravimo parinktimi.
Aprašymas Jei bandote užšifruoti bitų srautą per GUI arba komandinę eilutę po to, kai sukompiliavote projektą su išjungta bitų srauto šifravimo parinktimi, Quartus atmeta komandą, kaip parodyta aukščiau.
Sprendimas Įsitikinkite, kad sukompiliavote projektą su įjungta bitų srauto šifravimo parinktimi per GUI arba komandinę eilutę. Norėdami įjungti šią parinktį GUI, turite pažymėti šios parinkties žymimąjį laukelį.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 65

6. Trikčių šalinimas 683823 | 2023.05.23
6.7. Nurodykite teisingą rakto kelią
Klaida
Klaida (19516): aptiktas programavimas File Generatoriaus nustatymų klaida: nepavyko rasti rakto_file“. Įsitikinkite, kad file yra numatytoje vietoje arba atnaujinkite nustatymą.sec
Klaida (19516): aptiktas programavimas File Generatoriaus nustatymų klaida: nepavyko rasti rakto_file“. Įsitikinkite, kad file yra numatytoje vietoje arba atnaujinkite nustatymą.
Aprašymas
Jei naudojate raktus, kurie yra saugomi file sistemoje, turite įsitikinti, kad jie nurodo teisingą raktų, naudojamų bitų srauto šifravimui ir pasirašymui, kelią. Jei Programavimas File Generatorius negali aptikti teisingo kelio, rodomi aukščiau pateikti klaidų pranešimai.
Rezoliucija
Žr. Quartus Prime nustatymus .qsf file kad surastumėte teisingus raktų kelius. Įsitikinkite, kad naudojate santykinius, o ne absoliučius kelius.

„Intel Agilex® 7 Device Security“ vartotojo vadovas 66

Siųsti Atsiliepimus

6. Trikčių šalinimas 683823 | 2023.05.23
6.8. Nepalaikomos išvesties naudojimas File Tipas
Klaida
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Klaida (19511): nepalaikoma išvestis file tipas (ebf). Naudokite „-l“ arba „–list“ parinktį, kad būtų rodoma palaikoma file tipo informaciją.
Aprašymas Naudojant Quartus programavimą File Generatorius, skirtas generuoti užšifruotą ir pasirašytą konfigūracijos bitų srautą, galite matyti aukščiau pateiktą klaidą, jei išvestis nepalaikoma file tipas nurodytas. Rezoliucija Norėdami pamatyti palaikomų sąrašą, naudokite parinktį -l arba -list file tipai.

Siųsti Atsiliepimus

„Intel Agilex® 7 Device Security“ vartotojo vadovas 67

683823 | 2023.05.23 Siųsti atsiliepimą
7. Intel Agilex 7 Device Security vartotojo vadovo archyvai
Naujausias ir ankstesnes šio vartotojo vadovo versijas rasite „Intel Agilex 7 Device Security“ vartotojo vadove. Jei IP arba programinės įrangos versijos sąraše nėra, taikomas ankstesnės IP arba programinės įrangos versijos vartotojo vadovas.

Užregistruotas ISO 9001: 2015

683823 | 2023.05.23 Siųsti atsiliepimą

8. „Intel Agilex 7 Device Security“ vartotojo vadovo peržiūrų istorija

Dokumento versija 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumentai / Ištekliai

„Intel Agilex 7“ įrenginio sauga [pdf] Naudotojo vadovas
„Agilex 7“ įrenginių sauga, „Agilex 7“, „Device Security“, „Sauga“.

Nuorodos

Vartotojo vadovas

„Intel Agilex 7“ įrenginio sauga

Informacija apie produktą

Produkto naudojimo instrukcijos

Dažnai užduodami klausimai

Įrenginio sauga baigtaview

Autentifikavimas ir autorizacija

AES bitų srauto šifravimas

Įrenginio aprūpinimas

Išplėstinės funkcijos

Trikčių šalinimas

Dokumentai / Ištekliai

Nuorodos

Palikite komentarą

Atšaukti atsakymą