Intel Agilex 7 ierīces drošības lietotāja rokasgrāmata

Intel ir apņēmusies nodrošināt produktu drošību un iesaka lietotājiem iepazīties ar piedāvātajiem produkta drošības resursiem. Šie resursi ir jāizmanto visā Intel produkta darbības laikā.

2. Plānotie drošības līdzekļi

Turpmākajā Intel Quartus Prime Pro Edition programmatūras izlaidumā ir plānoti šādi drošības līdzekļi:

Daļējas pārkonfigurācijas bitu plūsmas drošības pārbaude: sniedz papildu pārliecību, ka daļējas pārkonfigurācijas (PR) bitu straumes nevar piekļūt vai traucēt citām PR persona bitu plūsmām.

Ierīces pašnogalināšana fiziskai anti-Tamper: veic ierīces notīrīšanu vai ierīces nulles iestatīšanu un ieprogrammē eFuses, lai novērstu ierīces atkārtotu konfigurēšanu.

3. Pieejamā drošības dokumentācija

Šajā tabulā ir norādīta pieejamā dokumentācija par ierīču drošības līdzekļiem Intel FPGA un Structured ASIC ierīcēs:

Dokumenta nosaukums	Mērķis
Intel FPGA un strukturēto ASIC lietotāju drošības metodika Ceļvedis	Augstākā līmeņa dokuments, kas sniedz detalizētus aprakstus par Intel programmējamo risinājumu drošības līdzekļi un tehnoloģijas Produkti. Palīdz lietotājiem izvēlēties nepieciešamos drošības līdzekļus sasniegt savus drošības mērķus.
Intel Stratix 10 ierīces drošības lietotāja rokasgrāmata	Instrukcijas Intel Stratix 10 ierīču lietotājiem, kā ieviest drošības pazīmes, kas identificētas, izmantojot drošības metodoloģiju Lietotāja rokasgrāmata.
Intel Agilex 7 ierīces drošības lietotāja rokasgrāmata	Instrukcijas Intel Agilex 7 ierīču lietotājiem, kā ieviest drošības pazīmes, kas identificētas, izmantojot drošības metodoloģiju Lietotāja rokasgrāmata.
Intel eASIC N5X ierīces drošības lietotāja rokasgrāmata	Instrukcijas Intel eASIC N5X ierīču lietotājiem, kas jāievieš drošības pazīmes, kas identificētas, izmantojot drošības metodoloģiju Lietotāja rokasgrāmata.
Intel Agilex 7 un Intel eASIC N5X HPS kriptogrāfijas pakalpojumi Lietotāja rokasgrāmata	Informācija HPS programmatūras inženieriem par ieviešanu un HPS programmatūras bibliotēku izmantošana, lai piekļūtu kriptogrāfijas pakalpojumiem nodrošina SDM.
AN-968 melnās atslēgas nodrošināšanas pakalpojuma Īsā lietošanas pamācība	Pilnīgs darbību kopums, lai iestatītu Black Key Provisioning pakalpojumu.

Bieži uzdotie jautājumi

J: Kāds ir drošības metodoloģijas lietotāja rokasgrāmatas mērķis?

A: Drošības metodoloģijas lietotāja rokasgrāmatā ir sniegti detalizēti Intel Programmable Solutions produktu drošības līdzekļu un tehnoloģiju apraksti. Tas palīdz lietotājiem izvēlēties nepieciešamos drošības līdzekļus, lai sasniegtu savus drošības mērķus.

J: Kur es varu atrast Intel Agilex 7 ierīces drošības lietotāja rokasgrāmatu?

A: Intel Agilex 7 ierīču drošības lietotāja rokasgrāmatu var atrast Intel resursu un dizaina centrā webvietne.

J: Kas ir Black Key nodrošināšanas pakalpojums?

A: Melnās atslēgas nodrošināšanas pakalpojums ir pakalpojums, kas nodrošina pilnu darbību kopumu, lai iestatītu atslēgu nodrošināšanu drošām darbībām.

View Fullscreen

Intel Agilex® 7 ierīces drošības lietotāja rokasgrāmata
Atjaunināts Intel® Quartus® Prime Design Suite: 23.1

Tiešsaistes versija Sūtīt atsauksmes

UG-20335

683823 2023.05.23

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 2

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 3

683823 | 2023.05.23 Sūtīt atsauksmes
1. Intel Agilex® 7

Ierīces drošība beigusiesview

Intel® izstrādā Intel Agilex® 7 ierīces ar īpašu, ļoti konfigurējamu drošības aparatūru un programmaparatūru.
Šajā dokumentā ir ietverti norādījumi, kas palīdzēs izmantot Intel Quartus® Prime Pro Edition programmatūru, lai ieviestu drošības līdzekļus savās Intel Agilex 7 ierīcēs.
Turklāt Intel FPGA un strukturēto ASIC lietotāju rokasgrāmata drošības metodoloģija ir pieejama Intel resursu un dizaina centrā. Šajā dokumentā ir detalizēti aprakstīti drošības līdzekļi un tehnoloģijas, kas ir pieejamas, izmantojot Intel Programmable Solutions produktus, lai palīdzētu jums izvēlēties drošības līdzekļus, kas nepieciešami jūsu drošības mērķu sasniegšanai. Sazinieties ar Intel atbalsta dienestu ar atsauces numuru 14014613136, lai piekļūtu Intel FPGA un strukturēto ASIC lietotāju rokasgrāmatai drošības metodoloģijai.
Dokuments ir sakārtots šādi: · Autentifikācija un autorizācija: sniedz instrukcijas izveidei
autentifikācijas atslēgas un parakstu ķēdes, lietojiet atļaujas un atsaukumus, parakstiet objektus un programmu autentifikācijas līdzekļus Intel Agilex 7 ierīcēs. · AES bitu plūsmas šifrēšana: sniedz norādījumus, kā izveidot AES saknes atslēgu, šifrēt konfigurācijas bitu straumes un nodrošināt AES saknes atslēgu Intel Agilex 7 ierīcēm. · Ierīces nodrošināšana: sniedz norādījumus par Intel Quartus Prime Programmer un Secure Device Manager (SDM) nodrošināšanas programmaparatūras izmantošanu, lai programmētu drošības līdzekļus Intel Agilex 7 ierīcēs. · Papildu līdzekļi: sniedz norādījumus, lai iespējotu papildu drošības līdzekļus, tostarp drošu atkļūdošanas autorizāciju, cietā procesora sistēmas (HPS) atkļūdošanu un attālo sistēmas atjaunināšanu.
1.1. Apņemšanās nodrošināt produktu drošību
Intel ilgstošā apņemšanās nodrošināt drošību nekad nav bijusi tik spēcīga. Intel stingri iesaka iepazīties ar mūsu produktu drošības resursiem un plānot tos izmantot visu sava Intel produkta kalpošanas laiku.
Saistītā informācija · Produktu drošība uzņēmumā Intel · Intel produktu drošības centra ieteikumi

Intel korporācija. Visas tiesības aizsargātas. Intel, Intel logotips un citas Intel preču zīmes ir Intel Corporation vai tās meitasuzņēmumu preču zīmes. Intel garantē savu FPGA un pusvadītāju produktu veiktspēju atbilstoši pašreizējām specifikācijām saskaņā ar Intel standarta garantiju, taču patur tiesības jebkurā laikā bez brīdinājuma veikt izmaiņas jebkuros produktos un pakalpojumos. Intel neuzņemas nekādu atbildību vai saistības, kas izriet no jebkādas šeit aprakstītās informācijas, produkta vai pakalpojuma lietojuma vai izmantošanas, izņemot gadījumus, kad Intel ir nepārprotami rakstiski piekritis. Intel klientiem ir ieteicams iegūt jaunāko ierīces specifikāciju versiju, pirms paļauties uz jebkādu publicētu informāciju un pirms preču vai pakalpojumu pasūtījumu veikšanas. *Citi nosaukumi un zīmoli var tikt uzskatīti par citu personu īpašumiem.

ISO 9001: 2015 reģistrēts

1. Intel Agilex® 7 Device Security Overview 683823 | 2023.05.23

1.2. Plānotie drošības līdzekļi

Šajā sadaļā minētās funkcijas ir plānotas turpmākajā Intel Quartus Prime Pro Edition programmatūras izlaidumā.

Piezīme:

Šajā sadaļā sniegtā informācija ir provizoriska.

1.2.1. Daļējas pārkonfigurācijas bitu plūsmas drošības pārbaude
Daļējas pārkonfigurācijas (PR) bitu plūsmas drošības validācija palīdz nodrošināt papildu pārliecību, ka PR persona bitu straumes nevar piekļūt vai traucēt citām PR persona bitu straumēm.

1.2.2. Ierīces pašnogalināšana fiziskai anti-Tamper
Ierīces pašiznīcināšanās veic ierīces dzēšanu vai ierīces nulles iestatīšanu un papildus ieprogrammē eFuses, lai novērstu ierīces atkārtotu konfigurēšanu.

1.3. Pieejamā drošības dokumentācija

Šajā tabulā ir uzskaitīta pieejamā dokumentācija par ierīču drošības līdzekļiem Intel FPGA un Structured ASIC ierīcēs:

1. tabula.

Pieejamā ierīces drošības dokumentācija

Dokumenta nosaukums
Intel FPGA un strukturēto ASIC drošības metodoloģija lietotāja rokasgrāmata

Mērķis
Augstākā līmeņa dokuments, kas satur detalizētus Intel Programmable Solutions produktu drošības līdzekļu un tehnoloģiju aprakstus. Paredzēts, lai palīdzētu jums izvēlēties drošības līdzekļus, kas nepieciešami jūsu drošības mērķu sasniegšanai.

Dokumenta ID 721596

Intel Stratix 10 ierīces drošības lietotāja rokasgrāmata
Intel Agilex 7 ierīces drošības lietotāja rokasgrāmata

Intel Stratix 10 ierīču lietotājiem šajā rokasgrāmatā ir sniegti norādījumi par Intel Quartus Prime Pro Edition programmatūras lietošanu, lai ieviestu drošības līdzekļus, kas identificēti, izmantojot drošības metodoloģijas lietotāja rokasgrāmatu.
Intel Agilex 7 ierīču lietotājiem šajā rokasgrāmatā ir ietverti norādījumi par Intel Quartus Prime Pro Edition programmatūras lietošanu, lai ieviestu drošības līdzekļus, kas identificēti, izmantojot drošības metodoloģijas lietotāja rokasgrāmatu.

683642 683823

Intel eASIC N5X ierīces drošības lietotāja rokasgrāmata

Intel eASIC N5X ierīču lietotājiem šajā rokasgrāmatā ir ietverti norādījumi par Intel Quartus Prime Pro Edition programmatūras lietošanu, lai ieviestu drošības līdzekļus, kas identificēti, izmantojot drošības metodoloģijas lietotāja rokasgrāmatu.

626836

Intel Agilex 7 un Intel eASIC N5X HPS kriptogrāfijas pakalpojumu lietotāja rokasgrāmata

Šajā rokasgrāmatā ir ietverta informācija, kas palīdz HPS programmatūras inženieriem ieviest un izmantot HPS programmatūras bibliotēkas, lai piekļūtu SDM nodrošinātajiem kriptogrāfijas pakalpojumiem.

713026

AN-968 melnās atslēgas nodrošināšanas pakalpojuma Īsā lietošanas pamācība

Šajā rokasgrāmatā ir ietverts pilns darbību kopums, lai iestatītu pakalpojumu Black Key Provisioning.

739071

Atrašanās vieta Intel resurss un
Dizaina centrs
Intel.com
Intel.com
Intel resursu un dizaina centrs
Intel resursu un dizaina centrs
Intel resursu un dizaina centrs

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 5

683823 | 2023.05.23 Sūtīt atsauksmes

Autentifikācija un autorizācija

Lai iespējotu Intel Agilex 7 ierīces autentifikācijas līdzekļus, vispirms izmantojiet programmatūru Intel Quartus Prime Pro Edition un saistītos rīkus, lai izveidotu parakstu ķēdi. Paraksta ķēde sastāv no saknes atslēgas, vienas vai vairākām parakstīšanas atslēgām un piemērojamām pilnvarām. Jūs lietojat parakstu ķēdi savam Intel Quartus Prime Pro Edition projektam un apkopotajai programmēšanai files. Izmantojiet sadaļā Device Provisioning sniegtos norādījumus, lai ieprogrammētu saknes atslēgu Intel Agilex 7 ierīcēs.
Saistītā informācija
Ierīces nodrošināšana 25. lpp

2.1. Paraksta ķēdes izveide
Lai veiktu parakstu ķēdes darbības, varat izmantot rīku quartus_sign vai atsauces ieviešanu agilex_sign.py. Šis dokuments nodrošina piemamples, izmantojot quartus_sign.
Lai izmantotu atsauces ieviešanu, aizstājiet ar Intel Quartus Prime programmatūras komplektācijā iekļauto Python tulka izsaukumu un izlaidiet opciju –family=agilex; visas pārējās iespējas ir līdzvērtīgas. Piemēram,ample, komanda quartus_sign, kas atrodama vēlāk šajā sadaļā
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky var pārveidot par līdzvērtīgu atsauces ieviešanas izsaukumu, kā norādīts tālāk.
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Programmatūra Intel Quartus Prime Pro Edition ietver rīkus quartus_sign, pgm_py un agilex_sign.py. Varat izmantot Nios® II komandu apvalka rīku, kas automātiski iestata atbilstošus vides mainīgos, lai piekļūtu rīkiem.

Izpildiet šos norādījumus, lai atvērtu Nios II komandas čaulu. 1. Atveriet Nios II komandu apvalku.

Opcija Windows
Linux

Apraksts
Izvēlnē Sākt norādiet uz Programmas Intel FPGA Nios II EDS un noklikšķiniet uz Nios II Command Shell.
Komandu čaulā mainiet uz /nios2eds un palaidiet šādu komandu:
./nios2_command_shell.sh

BijušaisampŠajā sadaļā tiek pieņemta paraksta ķēde un konfigurācijas bitu plūsma files atrodas pašreizējā darba direktorijā. Ja izvēlaties sekot bijušajamamples kur atslēga files tiek turēti uz file sistēma, tie examppieņemsim atslēgu files ir

ISO 9001: 2015 reģistrēts

2. Autentifikācija un autorizācija 683823 | 2023.05.23
atrodas pašreizējā darba direktorijā. Varat izvēlēties, kurus direktorijus izmantot, un rīki atbalsta relatīvo file ceļi. Ja izvēlaties paturēt atslēgu files uz file sistēmā, jums rūpīgi jāpārvalda piekļuves atļaujas tām files.
Intel iesaka kriptogrāfisko atslēgu glabāšanai un kriptogrāfisko darbību veikšanai izmantot komerciāli pieejamu aparatūras drošības moduli (HSM). Rīks quartus_sign un atsauces ieviešana ietver publiskās atslēgas kriptogrāfijas standarta Nr. 11 (PKCS Nr. 11) lietojumprogrammu interfeisu (API), lai mijiedarbotos ar HSM, veicot parakstu ķēdes darbības. Agilex_sign.py atsauces ieviešana ietver interfeisa kopsavilkumu, kā arī example interfeisu SoftHSM.
Jūs varat izmantot šos example interfeisus, lai ieviestu saskarni jūsu HSM. Plašāku informāciju par HSM saskarnes ieviešanu un darbību skatiet sava HSM pārdevēja dokumentācijā.
SoftHSM ir programmatūras ieviešana vispārējai kriptogrāfijas ierīcei ar PKCS #11 saskarni, kas ir pieejama OpenDNSSEC® projektā. Papildinformāciju, tostarp norādījumus par OpenHSM lejupielādi, izveidi un instalēšanu, varat atrast OpenDNSSEC projektā. BijušaisampŠajā sadaļā tiek izmantota SoftHSM versija 2.6.1. BijušaisampŠajā sadaļā papildus izmantojiet OpenSC utilītu pkcs11, lai veiktu papildu PKCS #11 darbības ar SoftHSM marķieri. Varat atrast plašāku informāciju, tostarp norādījumus par pkcs11tool lejupielādi, izveidošanu un instalēšanu no OpenSC.
Saistītā informācija
· OpenDNSSEC projekts Uz politiku balstīts zonas parakstītājs DNSSEC atslēgu izsekošanas procesa automatizēšanai.
· SoftHSM Informācija par kriptogrāfijas veikala ieviešanu, kas pieejama, izmantojot PKCS #11 saskarni.
· OpenSC Nodrošina bibliotēku un utilītu komplektu, kas var strādāt ar viedkartēm.
2.1.1. Autentifikācijas atslēgu pāru izveide lokālajā ierīcē File Sistēma
Jūs izmantojat rīku quartus_sign, lai izveidotu autentifikācijas atslēgu pārus lokālajā ierīcē file sistēma, izmantojot make_private_pem un make_public_pem rīku darbības. Vispirms ģenerējiet privāto atslēgu, izmantojot operāciju make_private_pem. Jūs norādāt izmantojamo eliptisku līkni, privāto atslēgu filenosaukumu un pēc izvēles arī to, vai aizsargāt privāto atslēgu ar ieejas frāzi. Intel iesaka izmantot secp384r1 līkni un ievērot nozares paraugpraksi, lai izveidotu spēcīgu, nejaušu ieejas frāzi visai privātajai atslēgai. files. Intel arī iesaka ierobežot file sistēmas atļaujas privātajai atslēgai .pem files lasīt tikai īpašniekam. Jūs iegūstat publisko atslēgu no privātās atslēgas, izmantojot make_public_pem darbību. Atslēgai ir lietderīgi piešķirt nosaukumu .pem files aprakstoši. Šajā dokumentā tiek izmantota konvencija _ .pem šādā piemamples.
1. Nios II komandu apvalkā palaidiet šo komandu, lai izveidotu privāto atslēgu. Privātā atslēga, kas parādīta zemāk, tiek izmantota kā saknes atslēga vēlākā piemamples, kas izveido parakstu ķēdi. Intel Agilex 7 ierīces atbalsta vairākas saknes atslēgas, tāpēc jūs

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 7

2. Autentifikācija un autorizācija 683823 | 2023.05.23

atkārtojiet šo darbību, lai izveidotu nepieciešamo saknes atslēgu skaitu. Piemampvisi šajā dokumentā attiecas uz pirmo saknes atslēgu, lai gan jūs varat izveidot parakstu ķēdes līdzīgā veidā ar jebkuru saknes atslēgu.

Opcija Ar ieejas frāzi

Apraksts
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Ievadiet ieejas frāzi, kad tas tiek prasīts.

Bez ieejas frāzes

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Palaidiet šo komandu, lai izveidotu publisko atslēgu, izmantojot iepriekšējā darbībā ģenerēto privāto atslēgu. Jums nav jāaizsargā publiskās atslēgas konfidencialitāte.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Atkārtoti palaidiet komandas, lai izveidotu atslēgu pāri, ko paraksta ķēdē izmanto kā noformējuma parakstīšanas atslēgu.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Autentifikācijas atslēgu pāru izveide programmā SoftHSM
SoftHSM bijušaisamples šajā nodaļā ir pašsaskaņas. Daži parametri ir atkarīgi no jūsu SoftHSM instalācijas un marķiera inicializācijas SoftHSM ietvaros.
Rīks quartus_sign ir atkarīgs no PKCS #11 API bibliotēkas no jūsu HSM.
BijušaisampŠajā sadaļā tiek pieņemts, ka SoftHSM bibliotēka ir instalēta vienā no šīm vietām: · /usr/local/lib/softhsm2.so operētājsistēmā Linux · C:SoftHSM2libsofthsm2.dll Windows 32 bitu versijā · C:SoftHSM2libsofthsm2-x64 .dll Windows 64 bitu versijā.
Inicializējiet marķieri programmā SoftHSM, izmantojot rīku softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Opciju parametri, jo īpaši marķiera etiķete un marķiera tapa, ir piemamptiek izmantoti visā šajā nodaļā. Intel iesaka ievērot HSM pārdevēja norādījumus, lai izveidotu un pārvaldītu marķierus un atslēgas.
Jūs izveidojat autentifikācijas atslēgu pārus, izmantojot utilītu pkcs11, lai mijiedarbotos ar marķieri programmā SoftHSM. Tā vietā, lai skaidri norādītu uz privāto un publisko atslēgu .pem files sadaļā file sistēma, piemamples, jūs atsaucaties uz atslēgu pāri pēc tā etiķetes, un rīks automātiski atlasa atbilstošo atslēgu.

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 8

Sūtīt atsauksmes

2. Autentifikācija un autorizācija 683823 | 2023.05.23

Izpildiet šādas komandas, lai izveidotu atslēgu pāri, kas tiek izmantots kā saknes atslēga vēlākā piemamples, kā arī atslēgu pāris, ko paraksta ķēdē izmanto kā dizaina parakstīšanas atslēgu:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mehānisms ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –lietojuma zīme –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mehānisms ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –izmantošanas zīme –label design0_sign –id 1

Piezīme:

Šīs darbības ID opcijai ir jābūt unikālai katrai atslēgai, taču to izmanto tikai HSM. Šī ID opcija nav saistīta ar atslēgas atcelšanas ID, kas piešķirts paraksta ķēdē.

2.1.3. Paraksta ķēdes saknes ieraksta izveide
Pārveidojiet saknes publisko atslēgu par parakstu ķēdes saknes ierakstu, kas tiek glabāts lokālajā file sistēma Intel Quartus Prime atslēgas (.qky) formātā file, ar operāciju make_root. Atkārtojiet šo darbību katrai ģenerētajai saknes atslēgai.
Palaidiet šo komandu, lai izveidotu paraksta ķēdi ar saknes ierakstu, izmantojot saknes publisko atslēgu no file sistēma:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
Palaidiet šo komandu, lai izveidotu paraksta ķēdi ar saknes ierakstu, izmantojot saknes atslēgu no SoftHSM pilnvaras, kas izveidota iepriekšējā sadaļā:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libohs ” root2 root0.qky

2.1.4. Parakstu ķēdes publiskās atslēgas ievades izveide
Izveidojiet jaunu publiskās atslēgas ierakstu parakstu ķēdei, izmantojot darbību append_key. Jūs norādāt iepriekšējo parakstu ķēdi, privāto atslēgu pēdējam ierakstam iepriekšējā paraksta ķēdē, nākamā līmeņa publisko atslēgu, atļaujas un atcelšanas ID, ko piešķirat nākamā līmeņa publiskajai atslēgai, un jauno parakstu ķēdi. file.
Ņemiet vērā, ka softHSM bibliotēka nav pieejama ar Quartus instalāciju, un tā ir jāinstalē atsevišķi. Papildinformāciju par softHSM skatiet iepriekš sadaļā Paraksta ķēdes izveide.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 9

2. Autentifikācija un autorizācija 683823 | 2023.05.23
Atkarībā no tā, kā izmantojat taustiņus uz file sistēmā vai HSM, jūs izmantojat kādu no šiem piemample komandas, lai pievienotu design0_sign publisko atslēgu saknes paraksta ķēdei, kas izveidota iepriekšējā sadaļā:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previo root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Varat atkārtot darbību append_key vēl divas reizes, lai ne vairāk kā trīs publiskās atslēgas ierakstus starp saknes ierakstu un galvenes bloka ierakstu jebkurā parakstu ķēdē.
Nākamais example pieņem, ka esat izveidojis citu autentifikācijas publisko atslēgu ar tādām pašām atļaujām un piešķirto atcelšanas ID 1 ar nosaukumu design1_sign_public.pem, un pievienojat šo atslēgu parakstu ķēdei no iepriekšējā ex.ample:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previo design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Intel Agilex 7 ierīcēs ir iekļauts papildu atslēgu atcelšanas skaitītājs, lai atvieglotu atslēgas izmantošanu, kas var periodiski mainīties visas ierīces darbības laikā. Varat atlasīt šo atslēgas atcelšanas skaitītāju, mainot opcijas –cancel argumentu uz pts:pts_value.
2.2. Konfigurācijas bitu straumes parakstīšana
Intel Agilex 7 ierīces atbalsta drošības versijas numura (SVN) skaitītājus, kas ļauj atsaukt objekta autorizāciju, neatceļot atslēgu. Jūs piešķirat SVN skaitītāju un atbilstošo SVN skaitītāja vērtību jebkura objekta parakstīšanas laikā, piemēram, bitu plūsmas sadaļas, programmaparatūras .zip. file, vai kompaktais sertifikāts. Jūs piešķirat SVN skaitītāju un SVN vērtību, izmantojot opciju –cancel un svn_counter:svn_value kā argumentu. Derīgās svn_counter vērtības ir svnA, svnB, svnC un svnD. Svn_value ir vesels skaitlis diapazonā [0,63].

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 10

Sūtīt atsauksmes

2. Autentifikācija un autorizācija 683823 | 2023.05.23
2.2.1. Kvartusa atslēga File Piešķiršana
Jūs norādāt paraksta ķēdi savā Intel Quartus Prime programmatūras projektā, lai iespējotu autentifikācijas līdzekli šim dizainam. Izvēlnē Uzdevumi atlasiet Ierīces ierīce un piespraudes opcijas Security Quartus Key File, pēc tam pārlūkojiet līdz parakstu ķēdei .qky file jūs izveidojāt, lai parakstītu šo dizainu.
1. attēls. Iespējot konfigurācijas bitu plūsmas iestatījumu

Varat arī pievienot tālāk norādīto piešķiršanas paziņojumu saviem Intel Quartus Prime iestatījumiem file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
Lai ģenerētu .sof file no iepriekš apkopota dizaina, kurā ir iekļauts šis iestatījums, izvēlnē Apstrāde atlasiet Start Start Assembler. Jaunā izvade .sof file ietver uzdevumus, lai iespējotu autentifikāciju, izmantojot nodrošināto parakstu ķēdi.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 11

2. Autentifikācija un autorizācija 683823 | 2023.05.23
2.2.2. Līdzparakstīšanas SDM programmaparatūra
Jūs izmantojat rīku quartus_sign, lai izvilktu, parakstītu un instalētu piemērojamo SDM programmaparatūru .zip file. Pēc tam programmā tiek iekļauta līdzparakstītā programmaparatūra file ģeneratora rīks, konvertējot .sof file konfigurācijas bitu plūsmā .rbf file. Lai izveidotu jaunu parakstu ķēdi un parakstītu SDM programmaparatūru, izmantojiet šādas komandas.
1. Izveidojiet jaunu parakstīšanas atslēgu pāri.
a. Izveidojiet jaunu parakstīšanas atslēgu pāri vietnē file sistēma:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Izveidojiet jaunu parakstīšanas atslēgu pāri HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mehānisms ECDSA-KEY-PAIR-GEN -key-type EC :secp384r1 –lietojuma zīme –label firmware1 –id 1
2. Izveidojiet jaunu parakstu ķēdi, kas satur jauno publisko atslēgu:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previo root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Kopējiet programmaparatūru .zip file no jūsu Intel Quartus Prime Pro Edition programmatūras instalēšanas direktorija ( /devices/programmer/firmware/agilex.zip) uz pašreizējo darba direktoriju.
quartus_sign –family=agilex –get_firmware=.
4. Parakstiet programmaparatūru .zip file. Šis rīks automātiski izpako .zip file un individuāli paraksta visu programmaparatūru .cmf files, pēc tam atjauno .zip file lietošanai ar rīkiem, kas minēti šādās sadaļās:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 12

Sūtīt atsauksmes

2. Autentifikācija un autorizācija 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Parakstīšanas konfigurācijas bitu plūsma, izmantojot komandu quartus_sign
Lai parakstītu konfigurācijas bitu straumi, izmantojot komandu quartus_sign, vispirms konvertējiet failu .sof file uz neparakstīto neapstrādāto bināro failu file (.rbf) formātā. Varat pēc izvēles norādīt līdzparakstīto programmaparatūru, izmantojot opciju fw_source konvertēšanas darbības laikā.
Neparakstītu neapstrādātu bitu straumi var ģenerēt .rbf formātā, izmantojot šādu komandu:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Palaidiet kādu no šīm komandām, lai parakstītu bitu straumi, izmantojot rīku quartus_sign atkarībā no jūsu atslēgu atrašanās vietas:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Varat konvertēt parakstīto .rbf files uz citu konfigurācijas bitu straumi file formātos.
Piemēram,ampja izmantojat Jam* standarta pārbaudes un programmēšanas valodas (STAPL) atskaņotāju, lai programmētu bitu straumi pa JTAG, lai konvertētu .rbf failu, izmantojiet šo komandu file uz .jam formātu, kas nepieciešams Jam STAPL Player:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Daļējas pārkonfigurācijas vairāku iestāžu atbalsts

Intel Agilex 7 ierīces atbalsta daļējas pārkonfigurācijas vairāku iestāžu autentifikāciju, kur ierīces īpašnieks izveido un paraksta statisko bitu straumi, bet atsevišķs PR īpašnieks veido un paraksta PR persona bitu straumes. Intel Agilex 7 ierīces īsteno vairāku iestāžu atbalstu, piešķirot ierīces vai statiskās bitu plūsmas īpašniekam pirmos autentifikācijas saknes atslēgas slotus un piešķirot galīgo autentifikācijas saknes atslēgas slotu daļējas pārkonfigurācijas personas bitu plūsmas īpašniekam.
Ja ir iespējota autentifikācijas funkcija, ir jāparaksta visi PR personas attēli, tostarp ligzdotie PR personas attēli. PR personas attēlus var parakstīt ierīces īpašnieks vai PR īpašnieks; tomēr statiskā reģiona bitu straumes ir jāparaksta ierīces īpašniekam.

Piezīme:

Daļējas pārkonfigurācijas statiskā un personiskā bitu straumes šifrēšana, ja ir iespējots vairāku iestāžu atbalsts, ir plānota nākamajā laidienā.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 13

2. Autentifikācija un autorizācija 683823 | 2023.05.23

2. attēls.

Lai īstenotu daļējas pārkonfigurācijas vairāku iestāžu atbalstu, ir jāveic vairākas darbības:
1. Ierīces vai statiskās bitu plūsmas īpašnieks ģenerē vienu vai vairākas autentifikācijas saknes atslēgas, kā aprakstīts sadaļā Autentifikācijas atslēgu pāru izveide programmā SoftHSM 8. lpp., kur opcijai –key_type ir vērtība īpašnieks.
2. Daļējas pārkonfigurācijas bitu plūsmas īpašnieks ģenerē autentifikācijas saknes atslēgu, bet maina opcijas –key_type vērtību uz Second_owner.
3. Gan statiskās bitu straumes, gan daļējas pārkonfigurācijas dizaina īpašnieki nodrošina, ka cilnē Piešķīrumu ierīces ierīces un piespraudes opcijas ir iespējota izvēles rūtiņa Iespējot vairāku iestāžu atbalstu.
Intel Quartus Prime Iespējot vairāku iestāžu opciju iestatījumus

4. Gan statiskās bitu plūsmas, gan daļējas pārkonfigurācijas dizaina īpašnieki izveido parakstu ķēdes, pamatojoties uz savām attiecīgajām saknes atslēgām, kā aprakstīts sadaļā Paraksta ķēdes izveide 6. lpp.
5. Gan statiskās bitu plūsmas, gan daļējas pārkonfigurācijas dizaina īpašnieki pārvērš savus apkopotos dizainus .rbf formātā. files un parakstiet .rbf files.
6. Ierīces vai statiskās bitu plūsmas īpašnieks ģenerē un paraksta PR publiskās atslēgas programmas autorizācijas kompakto sertifikātu.
quartus_pfg –ccert vai ccert_type=PR_PUBKEY_PROG_AUTH vai īpašnieks_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 14

Sūtīt atsauksmes

2. Autentifikācija un autorizācija 683823 | 2023.05.23

7. Ierīces vai statiskās bitu straumes īpašnieks nodrošina ierīcei savas autentifikācijas saknes atslēgas jaucējkodas, pēc tam ieprogrammē PR publiskās atslēgas programmas autorizācijas kompakto sertifikātu un, visbeidzot, nodrošina ierīcei daļējas pārkonfigurācijas bitu plūsmas īpašnieka saknes atslēgu. Sadaļā Ierīču nodrošināšana ir aprakstīts šis nodrošināšanas process.
8. Intel Agilex 7 ierīce ir konfigurēta ar statisko reģionu .rbf file.
9. Intel Agilex 7 ierīce ir daļēji pārkonfigurēta ar personisko dizainu .rbf file.
Saistītā informācija
· Paraksta ķēdes izveide 6. lpp
· Autentifikācijas atslēgu pāru izveide programmā SoftHSM 8. lpp
· Ierīces nodrošināšana 25. lpp

2.2.5. Konfigurācijas bitu straumes parakstu ķēžu pārbaude
Kad esat izveidojis paraksta ķēdes un parakstītas bitu straumes, varat pārbaudīt, vai parakstītā bitu straume pareizi konfigurē ierīci, kas ieprogrammēta ar noteiktu saknes atslēgu. Vispirms izmantojiet komandas quartus_sign darbību fuse_info, lai tekstam izdrukātu saknes publiskās atslēgas jaucējkodu. file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Pēc tam izmantojiet komandas quartus_pfg opciju check_integrity, lai pārbaudītu parakstu ķēdi katrā parakstītas bitu straumes sadaļā .rbf formātā. Opcija check_integrity izdrukā šādu informāciju:
· Vispārējās bitu plūsmas integritātes pārbaudes statuss
· Katra ieraksta saturs katrā parakstu ķēdē, kas pievienots katrai sadaļai bitu straumē .rbf file,
· Sagaidāmā drošinātāja vērtība saknes publiskās atslēgas hash katrai parakstu ķēdei.
Vērtībai no fuse_info izejas ir jāatbilst Fuse līnijām izvadē check_integrity.
quartus_pfg – check_integrity signed_bitstream.rbf

Šeit ir bijušaisampkomandas check_integrity izvades le:

Informācija: komanda: quartus_pfg –check_integrity signed_bitstream.rbf Integritātes statuss: OK

sadaļa

Tips: CMF

Paraksta deskriptors…

Parakstu ķēde #0 (ieraksti: -1, nobīde: 96)

Ieraksts #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Ģenerēt atslēgu…

Līkne: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Ģenerēt atslēgu…

Līkne: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 15

2. Autentifikācija un autorizācija 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Ieraksts #1

Ģenerēt atslēgu…

Līkne: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

2. ieraksta atslēgu piekariņa atļauja: SIGN_CODE Atslēgu piekariņu var atcelt, izmantojot ID: 3 Parakstu ķēde #1 (ieraksti: -1, nobīde: 648)

Ieraksts #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Ģenerēt atslēgu…

Līkne: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ģenerēt atslēgu…

Līkne: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ieraksts #1

Ģenerēt atslēgu…

Līkne: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Ieraksts #2

Ģenerēt atslēgu…

Līkne: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

3. ieraksta Atslēgu piekariņa atļauja: SIGN_CODE Atslēgu piekariņu var atcelt ar ID: 15 Parakstu ķēde #2 (ieraksti: -1, nobīde: 0) Parakstu ķēde #3 (ieraksti: -1, nobīde: 0) Parakstu ķēde #4 (ieraksti: -1, nobīde: 0) Parakstu ķēde #5 (ieraksti: -1, nobīde: 0) Parakstu ķēde #6 (ieraksti: -1, nobīde: 0) Parakstu ķēde #7 (ieraksti: -1, nobīde: 0)

Sadaļas veids: IO paraksta deskriptors … Paraksta ķēde #0 (ieraksti: -1, nobīde: 96)

Ieraksts #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Ģenerēt atslēgu…

Līkne: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 16

Sūtīt atsauksmes

2. Autentifikācija un autorizācija 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ģenerēt atslēgu…

Līkne: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ieraksts #1

Ģenerēt atslēgu…

Līkne: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Ieraksts #2

Ģenerēt atslēgu…

Līkne: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

3. ieraksta Keychain atļauja: SIGN_CORE Keychain var atcelt ar ID: 15 Parakstu ķēde #1 (ieraksti: -1, nobīde: 0) Parakstu ķēde #2 (ieraksti: -1, nobīde: 0) Parakstu ķēde #3 (ieraksti: -1, nobīde: 0) Parakstu ķēde #4 (ieraksti: -1, nobīde: 0) Parakstu ķēde #5 (ieraksti: -1, nobīde: 0) Parakstu ķēde #6 (ieraksti: -1, nobīde: 0) Paraksts ķēde #7 (ieraksti: -1, nobīde: 0)

sadaļa

Tips: HPS

Paraksta deskriptors…

Parakstu ķēde #0 (ieraksti: -1, nobīde: 96)

Ieraksts #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Ģenerēt atslēgu…

Līkne: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ģenerēt atslēgu…

Līkne: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ieraksts #1

Ģenerēt atslēgu…

Līkne: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Ieraksts #2

Ģenerēt atslēgu…

Līkne: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 17

2. Autentifikācija un autorizācija 683823 | 2023.05.23

3. ieraksts Keychain atļauja: SIGN_HPS Keychain var atcelt ar ID: 15 Parakstu ķēde #1 (ieraksti: -1, nobīde: 0) Parakstu ķēde #2 (ieraksti: -1, nobīde: 0) Parakstu ķēde #3 (ieraksti: -1, nobīde: 0) Parakstu ķēde #4 (ieraksti: -1, nobīde: 0) Parakstu ķēde #5 (ieraksti: -1, nobīde: 0) Parakstu ķēde #6 (ieraksti: -1, nobīde: 0) Paraksts ķēde #7 (ieraksti: -1, nobīde: 0)

Sadaļas veids: CORE Paraksta deskriptors … Paraksta ķēde #0 (ieraksti: -1, nobīde: 96)

Ieraksts #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Ģenerēt atslēgu…

Līkne: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ģenerēt atslēgu…

Līkne: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ieraksts #1

Ģenerēt atslēgu…

Līkne: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Ieraksts #2

Ģenerēt atslēgu…

Līkne: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 18

Sūtīt atsauksmes

683823 | 2023.05.23 Sūtīt atsauksmes

AES bitu plūsmas šifrēšana

Uzlabotā šifrēšanas standarta (AES) bitu plūsmas šifrēšana ir līdzeklis, kas ļauj ierīces īpašniekam aizsargāt intelektuālā īpašuma konfidencialitāti konfigurācijas bitu straumē.
Lai palīdzētu aizsargāt atslēgu konfidencialitāti, konfigurācijas bitu plūsmas šifrēšanai tiek izmantota AES atslēgu ķēde. Šīs atslēgas tiek izmantotas, lai šifrētu īpašnieka datus konfigurācijas bitu plūsmā, kur pirmā starpatslēga tiek šifrēta ar AES saknes atslēgu.

3.1. AES saknes atslēgas izveide

Varat izmantot rīku quartus_encrypt vai stratix10_encrypt.py atsauces ieviešanu, lai izveidotu AES saknes atslēgu Intel Quartus Prime programmatūras šifrēšanas atslēgas (.qek) formātā. file.

Piezīme:

Stratix10_encrypt.py file tiek izmantots Intel Stratix® 10 un Intel Agilex 7 ierīcēm.

Pēc izvēles varat norādīt pamata atslēgu, ko izmanto, lai atvasinātu AES saknes atslēgu un atslēgas atvasināšanas atslēgu, tieši AES saknes atslēgas vērtību, starpatslēgu skaitu un maksimālo izmantošanu vienai starpatslēgai.

Jānorāda ierīču saime, izvade .qek file atrašanās vieta un ieejas frāze, kad tas tiek prasīts.
Izpildiet šo komandu, lai ģenerētu AES saknes atslēgu, izmantojot nejaušus datus bāzes atslēgai un noklusējuma vērtības starpatslēgu skaitam un maksimālajam atslēgas lietojumam.
Lai izmantotu atsauces ieviešanu, aizstājiet ar Intel Quartus Prime programmatūras komplektācijā iekļauto Python tulka izsaukumu un izlaidiet opciju –family=agilex; visas pārējās iespējas ir līdzvērtīgas. Piemēram,ample, komanda quartus_encrypt, kas atrodama vēlāk sadaļā

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

var pārvērst par līdzvērtīgu atsauces ieviešanas izsaukumu šādi pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Quartus šifrēšanas iestatījumi
Lai dizainam iespējotu bitu straumes šifrēšanu, jums ir jānorāda atbilstošās opcijas, izmantojot paneli Piešķīrumu ierīces ierīce un piespraudes opcijas. Atzīmējiet izvēles rūtiņu Iespējot konfigurācijas bitu plūsmas šifrēšanu un nolaižamajā izvēlnē atlasiet vajadzīgo šifrēšanas atslēgas glabāšanas vietu.

ISO 9001: 2015 reģistrēts

3. attēls. Intel Quartus Prime šifrēšanas iestatījumi

3. AES bitu plūsmas šifrēšana 683823 | 2023.05.23

Varat arī pievienot tālāk norādīto piešķiršanas paziņojumu saviem Intel Quartus Prime iestatījumiem file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM uz set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Ja vēlaties iespējot papildu mazināšanas pasākumus pret sānu kanālu uzbrukuma vektoriem, varat iespējot nolaižamo izvēlni Šifrēšanas atjaunināšanas koeficients un izvēles rūtiņas Iespējot kodēšanu.

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 20

Sūtīt atsauksmes

3. AES bitu plūsmas šifrēšana 683823 | 2023.05.23

Atbilstošās izmaiņas .qsf failā ir šādas:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING uz set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Konfigurācijas bitu straumes šifrēšana
Pirms bitu straumes parakstīšanas jūs šifrējat konfigurācijas bitu straumi. Intel Quartus Prime programmēšana File Ģeneratora rīks var automātiski šifrēt un parakstīt konfigurācijas bitu straumi, izmantojot grafisko lietotāja interfeisu vai komandrindu.
Pēc izvēles varat izveidot daļēji šifrētu bitu straumi lietošanai ar quartus_encrypt un quartus_sign rīkiem vai atsauces ieviešanas ekvivalentiem.

3.3.1. Konfigurācijas bitu plūsmas šifrēšana, izmantojot programmēšanu File Ģeneratora grafiskais interfeiss
Jūs varat izmantot Programmēšanu File Ģenerators īpašnieka attēla šifrēšanai un parakstīšanai.

4. attēls.

1. Intel Quartus Prime File izvēlnē atlasiet Programmēšana File Ģenerators. 2. Izvadē Files, norādiet izvadi file ierakstiet savai konfigurācijai
shēma.
Izvade File Specifikācija

Konfigurācijas shēma Izvade file cilne
Izvade file veids

3. Uz ievades Files cilnē noklikšķiniet uz Pievienot bitu straumi un pārlūkojiet savu .sof. 4. Lai norādītu šifrēšanas un autentifikācijas opcijas, atlasiet .sof un noklikšķiniet uz
Īpašības. a. Ieslēdziet opciju Iespējot parakstīšanas rīku. b. Privātajai atslēgai file atlasiet savu paraksta atslēgu privāto .pem file. c. Ieslēdziet Pabeigt šifrēšanu.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 21

3. AES bitu plūsmas šifrēšana 683823 | 2023.05.23

5. attēls.

d. Šifrēšanas atslēgai file, atlasiet savu AES .qek file. Ievade (.sof) File Autentifikācijas un šifrēšanas rekvizīti

Iespējot autentifikāciju Norādiet privāto saknes .pem
Iespējot šifrēšanu Norādiet šifrēšanas atslēgu
5. Lai ģenerētu parakstīto un šifrēto bitu straumi, ievadē Files, noklikšķiniet uz Ģenerēt. Tiek parādīti paroles dialoglodziņi, lai ievadītu AES atslēgas .qek ieejas frāzi file un parakstīšanas privātā atslēga .pem file. Programmēšana file ģenerators izveido šifrētu un parakstītu izvadi_file.rbf.
3.3.2. Konfigurācijas bitu plūsmas šifrēšana, izmantojot programmēšanu File Ģeneratora komandrindas interfeiss
Ģenerējiet šifrētu un parakstītu konfigurācijas bitu straumi .rbf formātā, izmantojot komandrindas interfeisu quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=dizains0_sign_private.pem
Šifrētu un parakstītu konfigurācijas bitu straumi .rbf formātā varat pārvērst citā konfigurācijas bitu straumē file formātos.
3.3.3. Daļēji šifrētas konfigurācijas bitu plūsmas ģenerēšana, izmantojot komandrindas interfeisu
Jūs varat ģenerēt daļēji šifrētu programmu file lai pabeigtu šifrēšanu un vēlāk parakstītu attēlu. Ģenerējiet daļēji šifrētu programmu file .rbf formātā ar quartus_pfg komandrindas saskarni: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 22

Sūtīt atsauksmes

3. AES bitu plūsmas šifrēšana 683823 | 2023.05.23
Lai pabeigtu bitu plūsmas šifrēšanu, izmantojat komandrindas rīku quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Jūs izmantojat komandrindas rīku quartus_sign, lai parakstītu šifrētu konfigurācijas bitu straumi:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Daļējas pārkonfigurācijas bitu plūsmas šifrēšana
Varat iespējot bitu straumes šifrēšanu dažos Intel Agilex 7 FPGA projektos, kas izmanto daļēju pārkonfigurāciju.
Daļējas pārkonfigurācijas modeļi, kuros tiek izmantota hierarhiskā daļēja pārkonfigurācija (HPR) vai statiskā atjaunināšanas daļēja pārkonfigurācija (SUPR), neatbalsta bitu plūsmas šifrēšanu. Ja jūsu dizainā ir vairāki PR reģioni, jums ir jāšifrē visas personas.
Lai iespējotu daļējas pārkonfigurācijas bitu straumes šifrēšanu, izpildiet to pašu procedūru visos dizaina labojumos. 1. Intel Quartus Prime File izvēlnē atlasiet Uzdevumu ierīces ierīce
un Pin Options Security. 2. Izvēlieties vajadzīgo šifrēšanas atslēgas glabāšanas vietu.
6. attēls. Daļējas pārkonfigurācijas bitu plūsmas šifrēšanas iestatījums

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 23

3. AES bitu plūsmas šifrēšana 683823 | 2023.05.23
Varat arī pievienot šādu piešķiršanas paziņojumu Quartus Prime iestatījumos file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION ir
Pēc bāzes dizaina un labojumu apkopošanas programmatūra ģenerē a.soffile un viens vai vairāki.pmsffiles, kas pārstāv personas. 3. Izveidot šifrētu un parakstītu programmēšanu files no.sof un.pmsf files līdzīgā veidā kā dizainparaugiem, kuriem nav iespējota daļēja pārkonfigurācija. 4. Konvertējiet apkopoto persona.pmsf file uz daļēji šifrētu.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Pabeidziet bitu straumes šifrēšanu, izmantojot komandrindas rīku quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Parakstiet šifrētās konfigurācijas bitu straumi, izmantojot komandrindas rīku quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 24

Sūtīt atsauksmes

683823 | 2023.05.23 Sūtīt atsauksmes

Ierīču nodrošināšana

Sākotnējā drošības līdzekļa nodrošināšana tiek atbalstīta tikai SDM nodrošināšanas programmaparatūrā. Izmantojiet Intel Quartus Prime Programmer, lai ielādētu SDM nodrošināšanas programmaparatūru un veiktu nodrošināšanas darbības.
Varat izmantot jebkura veida JTAG lejupielādes kabeli, lai savienotu Quartus Programmer ar Intel Agilex 7 ierīci, lai veiktu nodrošināšanas darbības.
4.1. SDM nodrošināšanas programmaparatūras izmantošana
Intel Quartus Prime Programmer automātiski izveido un ielādē rūpnīcas noklusējuma palīga attēlu, kad atlasāt inicializācijas darbību un komandu programmēt kaut ko citu, nevis konfigurācijas bitu straumi.
Atkarībā no norādītās programmēšanas komandas rūpnīcas noklusējuma palīga attēls ir viens no diviem veidiem:
· Nodrošināšanas palīga attēls — sastāv no vienas bitu plūsmas sadaļas, kurā ir SDM nodrošināšanas programmaparatūra.
· QSPI palīgattēls — sastāv no divām bitu plūsmas sadaļām, no kurām viena satur SDM galveno programmaparatūru un viena I/O sadaļa.
Varat izveidot rūpnīcas noklusējuma palīga attēlu file lai ielādētu ierīcē pirms programmēšanas komandas izpildes. Pēc autentifikācijas saknes atslēgas jaucējkoda programmēšanas jums ir jāizveido un jāparaksta QSPI rūpnīcas noklusējuma palīga attēls, jo ir iekļauta I/O sadaļa. Ja papildus ieprogrammējat kopīgi parakstīto programmaparatūras drošības iestatījumu eFuse, jums ir jāizveido nodrošinājuma un QSPI rūpnīcas noklusējuma palīga attēli ar kopīgi parakstītu programmaparatūru. Nenodrošinātā ierīcē varat izmantot līdzparakstītu rūpnīcas noklusējuma palīga attēlu, jo nenodrošinātā ierīce ignorē ne-Intel parakstu ķēdes, izmantojot SDM programmaparatūru. Plašāku informāciju par QSPI rūpnīcas noklusējuma palīga attēla izveidi, parakstīšanu un izmantošanu skatiet sadaļā QSPI rūpnīcas noklusējuma palīga attēla izmantošana īpašumā esošās ierīcēs 26. lpp.
Nodrošinājuma rūpnīcas noklusējuma palīga attēls veic nodrošināšanas darbību, piemēram, ieprogrammē autentifikācijas saknes atslēgas hash, drošības iestatījumu drošinātājus, PUF reģistrāciju vai melnās atslēgas nodrošināšanu. Jūs izmantojat Intel Quartus Prime programmēšanu File Ģeneratora komandrindas rīks, lai izveidotu nodrošināšanas palīga attēlu, norādot opciju helper_image, jūsu helper_ierīces nosaukumu, nodrošināšanas palīga attēla apakštipu un pēc izvēles līdzparakstītu programmaparatūru .zip. file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Programmējiet palīga attēlu, izmantojot Intel Quartus Prime Programmer rīku:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” — spēkā

ISO 9001: 2015 reģistrēts

4. Ierīču nodrošināšana 683823 | 2023.05.23

Piezīme:

Jūs varat izlaist inicializācijas darbību komandās, ieskaitot piemampšajā nodaļā sniegtajām prasībām pēc nodrošinājuma palīga attēla programmēšanas vai komandas, kas satur inicializācijas darbību.

4.2. QSPI rūpnīcas noklusējuma palīga attēla izmantošana īpašumā esošajās ierīcēs
Intel Quartus Prime Programmer automātiski izveido un ielādē QSPI rūpnīcas noklusējuma palīga attēlu, kad atlasāt inicializācijas darbību QSPI zibatmiņas programmēšanai. file. Pēc autentifikācijas saknes atslēgas jaucējkoda programmēšanas ir jāizveido un jāparaksta QSPI rūpnīcas noklusējuma palīga attēls un atsevišķi jāieprogrammē parakstītais QSPI rūpnīcas palīga attēls pirms QSPI zibatmiņas programmēšanas. 1. Jūs izmantojat Intel Quartus Prime programmēšanu File Ģeneratora komandrindas rīks, lai
izveidojiet QSPI palīga attēlu, norādot opciju helper_image, jūsu helper_device veidu, QSPI palīga attēla apakštipu un pēc izvēles parakstītu programmaparatūras .zip. file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Jūs parakstāt QSPI rūpnīcas noklusējuma palīga attēlu:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Jūs varat izmantot jebkuru QSPI zibatmiņas programmēšanu file formātā. Nākamais exampizmanto konfigurācijas bitu straumi, kas pārveidota par .jic file formāts:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Jūs programmējat parakstīto palīga attēlu, izmantojot Intel Quartus Prime Programmer rīku:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” — spēkā
5. Jūs ieprogrammējat .jic attēlu mirgošanai, izmantojot Intel Quartus Prime Programmer rīku:
quartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. Autentifikācijas saknes atslēgas nodrošināšana
Lai ieprogrammētu īpašnieka saknes atslēgas jaucējus fiziskajiem drošinātājiem, vispirms ir jāielādē nodrošinājuma programmaparatūra, pēc tam jāieprogrammē īpašnieka saknes atslēgas jaucējkodi un pēc tam nekavējoties jāveic ieslēgšanas atiestatīšana. Ieslēgšanas atiestatīšana nav nepieciešama, ja programmējot saknes atslēgu, tiek sajaukti virtuālie drošinātāji.

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 26

Sūtīt atsauksmes

4. Ierīču nodrošināšana 683823 | 2023.05.23
Lai programmētu autentifikācijas saknes atslēgas jaucējus, ieprogrammējiet nodrošinājuma programmaparatūras palīga attēlu un palaidiet kādu no šīm komandām, lai ieprogrammētu saknes atslēgu .qky files.
// Fiziskiem (negaistošiem) eFuse quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky" – nepastāvīga_atslēga
// Virtuālajiem (gaistošajiem) eFuses quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. Daļēja pārkonfigurācija, vairāku iestāžu saknes atslēgas programmēšana
Pēc ierīces vai statiskā reģiona bitu plūsmas īpašnieka saknes atslēgu nodrošināšanas vēlreiz ielādējiet ierīces nodrošināšanas palīga attēlu, ieprogrammējiet parakstīto PR publiskās atslēgas programmas autorizācijas kompakto sertifikātu un pēc tam nodrošināsiet PR persona bitu plūsmas īpašnieka saknes atslēgu.
// Fiziskiem (negaistošiem) eFuse quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Virtuālajiem (gaistošajiem) eFuses quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Programmēšanas atslēgas atcelšanas ID drošinātāji
Sākot ar Intel Quartus Prime Pro Edition programmatūras versiju 21.1, Intel un īpašnieka atslēgas atcelšanas ID drošinātāju programmēšanai ir nepieciešams parakstīts kompaktais sertifikāts. Atslēgas atcelšanas ID kompakto sertifikātu varat parakstīt ar parakstu ķēdi, kurai ir FPGA sadaļas parakstīšanas atļaujas. Jūs izveidojat kompakto sertifikātu ar programmēšanu file ģeneratora komandrindas rīks. Neparakstīto sertifikātu parakstāt, izmantojot rīku quartus_sign vai atsauces ieviešanu.
Intel Agilex 7 ierīces katrai saknes atslēgai atbalsta atsevišķas īpašnieka atslēgas atcelšanas ID bankas. Kad Intel Agilex 7 FPGA ir ieprogrammēts īpašnieka atslēgas atcelšanas ID kompaktais sertifikāts, SDM nosaka, kura saknes atslēga parakstīja kompakto sertifikātu, un izslēdz atslēgas atcelšanas ID drošinātāju, kas atbilst šai saknes atslēgai.
Nākamais exampizveidojiet Intel atslēgas atcelšanas sertifikātu Intel atslēgas ID 7. Varat aizstāt 7 ar atbilstošo Intel atslēgas atcelšanas ID no 0 līdz 31.
Palaidiet šo komandu, lai izveidotu neparakstītu Intel atslēgas atcelšanas ID kompakto sertifikātu:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Palaidiet vienu no šīm komandām, lai parakstītu neparakstīto Intel atslēgas atcelšanas ID kompakto sertifikātu:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 27

4. Ierīču nodrošināšana 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Palaidiet šo komandu, lai izveidotu neparakstītu īpašnieka atslēgas atcelšanas ID kompakto sertifikātu:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Palaidiet kādu no šīm komandām, lai parakstītu neparakstīto īpašnieka atslēgas atcelšanas ID kompakto sertifikātu:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Kad esat izveidojis parakstītu atslēgas atcelšanas ID kompakto sertifikātu, izmantojiet Intel Quartus Prime Programmer, lai ieprogrammētu kompakto sertifikātu ierīcē, izmantojot JTAG.
//Fiziskiem (negaistošiem) eFuse quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” – nepastāvīgā_atslēga quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” – nepastāvīga_atslēga
//Virtuālajiem (gaistošajiem) eFuses quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
Jūs varat papildus nosūtīt kompakto sertifikātu uz SDM, izmantojot FPGA vai HPS pastkastes saskarni.
4.5. Saknes atslēgu atcelšana
Intel Agilex 7 ierīces ļauj atcelt saknes atslēgas jaucējfunkcijas, ja ir cita neatcelta saknes atslēgas jaucēja. Varat atcelt saknes atslēgas jaucējfunkciju, vispirms konfigurējot ierīci ar dizainu, kura paraksta ķēde sakņojas citā saknes atslēgas jaucējkodā, un pēc tam ieprogrammējiet parakstītu saknes atslēgas jaucējkoda atcelšanas kompakto sertifikātu. Lai atceltu saknes atslēgas jaucējkoda atcelšanas kompakto sertifikātu, jums ir jāparaksta ar parakstu ķēdi, kas sakņojas saknes atslēgā.
Palaidiet šo komandu, lai ģenerētu neparakstītu saknes atslēgas jaucējkoda atcelšanas kompakto sertifikātu:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 28

Sūtīt atsauksmes

4. Ierīču nodrošināšana 683823 | 2023.05.23

Palaidiet vienu no šīm komandām, lai parakstītu neparakstīto saknes atslēgas jaucējkoda atcelšanas kompakto sertifikātu:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Varat ieprogrammēt saknes atslēgas jaucējkoda atcelšanas kompakto sertifikātu, izmantojot JTAG, FPGA vai HPS pastkastes.

4.6. Counter drošinātāju programmēšana
Jūs atjaunināt drošības versijas numuru (SVN) un pseidolaiku Stamp (PTS) skaitītāju drošinātāji, izmantojot parakstītus kompaktos sertifikātus.

Piezīme:

SDM seko minimālajai skaitītāja vērtībai, kas ir redzama noteiktā konfigurācijā, un nepieņem skaitītāja pieauguma sertifikātus, ja skaitītāja vērtība ir mazāka par minimālo vērtību. Pirms skaitītāja pieauguma kompaktā sertifikāta programmēšanas ir jāatjaunina visi skaitītājam piešķirtie objekti un jāpārkonfigurē ierīce.

Palaidiet vienu no šīm komandām, kas atbilst skaitītāja pieauguma sertifikātam, kuru vēlaties ģenerēt.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Skaitītāja vērtība 1 izveido skaitītāja pieauguma autorizācijas sertifikātu. Skaitītāja pieauguma autorizācijas kompaktā sertifikāta programmēšana ļauj ieprogrammēt papildu neparakstītus skaitītāja pieauguma sertifikātus, lai atjauninātu attiecīgo skaitītāju. Jūs izmantojat rīku quartus_sign, lai parakstītu skaitītāja kompaktos sertifikātus līdzīgi atslēgas atcelšanas ID kompaktajiem sertifikātiem.
Varat ieprogrammēt saknes atslēgas jaucējkoda atcelšanas kompakto sertifikātu, izmantojot JTAG, FPGA vai HPS pastkastes.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 29

4. Ierīču nodrošināšana 683823 | 2023.05.23

4.7. Droša datu objektu pakalpojuma saknes atslēgas nodrošināšana
Jūs izmantojat Intel Quartus Prime Programmer, lai nodrošinātu Secure Data Object Service (SDOS) saknes atslēgu. Programmētājs automātiski ielādē nodrošināšanas programmaparatūras palīga attēlu, lai nodrošinātu SDOS saknes atslēgu.
quartus_pgm c 1 mjtag –pakalpojuma_saknes_atslēga –negaistošā_atslēga

4.8. Drošības iestatījums Drošinātāju nodrošināšana
Izmantojiet Intel Quartus Prime Programmer, lai pārbaudītu ierīces drošības iestatījumu drošinātājus un ierakstītu tos teksta .fuse. file šādi:
quartus_pgm -c 1 -mjtag -o "ei; programmēšana_filedrošinātājs; AGFB014R24B”

Opcijas · i: Programmētājs ielādē ierīcē nodrošinājuma programmaparatūras palīga attēlu. · e: Programmētājs nolasa drošinātāju no ierīces un saglabā to drošinātājā file.

Drošinātājs file satur drošinātāju nosaukuma-vērtības pāru sarakstu. Vērtība norāda, vai ir izdedzis drošinātājs, vai drošinātāja lauka saturu.

Nākamais example parāda .fuse formātu file:

# Līdzparakstīta programmaparatūra

= "Nav izpūstas"

# Ierīces atļauja nogalināt

= "Nav izpūstas"

# Ierīce nav droša

= "Nav izpūstas"

# Atspējot HPS atkļūdošanu

= "Nav izpūstas"

# Atspējot iekšējā ID PUF reģistrāciju

= "Nav izpūstas"

# Atspējot JTAG

= "Nav izpūstas"

# Atspējot PUF iesaiņoto šifrēšanas atslēgu

= "Nav izpūstas"

# Atspējot īpašnieka šifrēšanas atslēgu BBRAM = “Nav izpūsts”

# Atspējot īpašnieka šifrēšanas atslēgu programmā eFuses = “Nav izpūstas”

# Atspējot īpašnieka saknes publiskās atslēgas hash 0

= "Nav izpūstas"

# Atspējot īpašnieka saknes publiskās atslēgas hash 1

= "Nav izpūstas"

# Atspējot īpašnieka saknes publiskās atslēgas hash 2

= "Nav izpūstas"

# Atspējojiet virtuālos drošinātājus

= "Nav izpūstas"

# Piespiediet SDM pulksteni iekšējam oscilatoram = “Nav izpūsts”

# Piespiedu šifrēšanas atslēgas atjaunināšana

= "Nav izpūstas"

# Intel skaidra atslēgas atcelšana

= "0"

# Bloķējiet drošības eDrošinātājus

= "Nav izpūstas"

# Īpašnieka šifrēšanas atslēgas programma ir pabeigta

= "Nav izpūstas"

# Tiek startēta īpašnieka šifrēšanas atslēgas programma

= "Nav izpūstas"

# Īpašnieka skaidra atslēgas atcelšana 0

= ""

# Īpašnieka skaidra atslēgas atcelšana 1

= ""

# Īpašnieka skaidra atslēgas atcelšana 2

= ""

# Īpašnieka drošinātāji

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Īpašnieka saknes publiskās atslēgas hash 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Īpašnieka saknes publiskās atslēgas hash 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Īpašnieka saknes publiskās atslēgas hash 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Īpašnieka saknes publiskās atslēgas lielums

= "Nav"

# PTS skaitītājs

= "0"

# PTS skaitītāja bāze

= "0"

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 30

Sūtīt atsauksmes

4. Ierīču nodrošināšana 683823 | 2023.05.23

# QSPI palaišanas aizkave # RMA skaitītājs # SDMIO0 ir I2C # SVN skaitītājs A # SVN skaitītājs B # SVN skaitītājs C # SVN skaitītājs D

= "10 ms" = "0" = "nav izpūsts" = "0" = "0" = "0" = "0"

Modificējiet .fuse file lai iestatītu vēlamos drošības iestatījumu drošinātājus. Rinda, kas sākas ar #, tiek uzskatīta par komentāru rindiņu. Lai ieprogrammētu drošības iestatījuma drošinātāju, noņemiet priekšējo # un iestatiet vērtību uz Blown. Piemēram,ample, lai iespējotu līdzparakstītās programmaparatūras drošības iestatījuma drošinātāju, modificējiet drošinātāja pirmo rindiņu file uz šādu:
Līdzparakstīta programmaparatūra = “Blown”

Varat arī piešķirt un ieprogrammēt īpašnieka drošinātājus atbilstoši savām prasībām.
Varat izmantot šo komandu, lai veiktu tukšu pārbaudi, ieprogrammētu un pārbaudītu īpašnieka saknes publisko atslēgu:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

Opcijas · i: ierīcē tiek ielādēts nodrošinājuma programmaparatūras palīga attēls. · b: veic tukšu pārbaudi, lai pārbaudītu, vai nav vēlamā drošības iestatījuma drošinātāji
jau izpūstas. · p: ieprogrammē drošinātāju. · v: pārbauda ierīcē ieprogrammēto taustiņu.
Pēc .qky programmēšanas file, varat pārbaudīt drošinātāja informāciju, vēlreiz pārbaudot drošinātāja informāciju, lai pārliecinātos, ka gan īpašnieka publiskās atslēgas jaucējkods, gan īpašnieka publiskās atslēgas lieluma vērtības nav nulle.
Lai gan tālāk norādītos laukus nevar ierakstīt, izmantojot .fuse file metodi, tie tiek iekļauti pārbaudes operācijas izvades laikā verifikācijai: · Ierīce nav droša · Ierīces atļaujas iznīcināšana · Atspējot īpašnieka saknes publiskās atslēgas jaucējfunkciju 0 · Atspējot īpašnieka saknes publiskās atslēgas jaucējkodu 1 · Atspējot īpašnieka saknes publiskās atslēgas jaucējkodu 2 · Atspējot īpašnieka saknes publiskās atslēgas jaucējfunkciju 0 · Intel atslēgas atcelšana · Īpašnieka šifrēšanas atslēgas programmas palaišana · Īpašnieka šifrēšanas atslēgas programma pabeigta · Īpašnieka atslēgas atcelšana · Īpašnieka publiskās atslēgas jaukšana · Īpašnieka publiskās atslēgas lielums · Īpašnieka saknes publiskās atslēgas jaucējvārds 1 · Īpašnieka saknes publiskās atslēgas jaucējvārds 2 · Īpašnieka saknes publiskās atslēgas jaucējvārds XNUMX

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 31

4. Ierīču nodrošināšana 683823 | 2023.05.23
· PTS skaitītājs · PTS skaitītāja bāze · QSPI palaišanas aizkave · RMA skaitītājs · SDMIO0 ir I2C · SVN skaitītājs A · SVN skaitītājs B · SVN skaitītājs C · SVN skaitītājs D
Izmantojiet Intel Quartus Prime Programmer, lai ieprogrammētu .fuse file atpakaļ uz ierīci. Ja pievienojat opciju i, programmētājs automātiski ielādē nodrošinājuma programmaparatūru, lai ieprogrammētu drošības iestatījumu drošinātājus.
//Fiziskiem (negaistošiem) eFuse quartus_pgm -c 1 -mjtag -o "pi; programmēšana_file.fuse” – nepastāvīgā_atslēga
//Virtuālajiem (gaistošajiem) eFuses quartus_pgm -c 1 -mjtag -o "pi; programmēšana_file.fuse”
Varat izmantot šo komandu, lai pārbaudītu, vai ierīces saknes atslēgas jaucējkods ir tāds pats kā komandā norādītais .qky:
quartus_pgm -c 1 -mjtag -o “v;root0_another.qky”
Ja atslēgas nesakrīt, programmētājs neizdodas un tiek parādīts kļūdas ziņojums Operation failed.
4.9. AES saknes atslēgas nodrošināšana
Lai ieprogrammētu AES saknes atslēgu Intel Agilex 7 ierīcē, ir jāizmanto parakstīts AES saknes atslēgas kompaktais sertifikāts.
4.9.1. AES saknes atslēgas kompaktais sertifikāts
Jūs izmantojat komandrindas rīku quartus_pfg, lai pārveidotu savu AES saknes atslēgu .qek file kompaktā sertifikāta .ccert formātā. Veidojot kompakto sertifikātu, jūs norādāt atslēgu glabāšanas vietu. Varat izmantot rīku quartus_pfg, lai izveidotu neparakstītu sertifikātu vēlākai parakstīšanai. Lai veiksmīgi parakstītu AES saknes atslēgas kompakto sertifikātu, ir jāizmanto parakstu ķēde ar iespējotu AES saknes atslēgas sertifikāta parakstīšanas atļauju, atļaujas bitu 6.

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 32

Sūtīt atsauksmes

4. Ierīču nodrošināšana 683823 | 2023.05.23
1. Izveidojiet papildu atslēgu pāri, ko izmanto, lai parakstītu AES atslēgas kompakto sertifikātu, izmantojot vienu no šīm komandām, piemēram,ampmazāk:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mehānisms ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. Izveidojiet paraksta ķēdi ar pareizo atļauju bitu, izmantojot vienu no šīm komandām:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previo root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Izveidojiet neparakstītu AES kompakto sertifikātu vajadzīgajai AES saknes atslēgas glabāšanas vietai. Ir pieejamas šādas AES saknes atslēgas glabāšanas iespējas:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Izveidot eFuse AES saknes atslēgu neparakstīts sertifikāts quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Parakstiet kompakto sertifikātu ar komandu quartus_sign vai atsauces ieviešanu.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert parakstīts_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 33

4. Ierīču nodrošināšana 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert parakstīts_ 1.ccert
5. Izmantojiet Intel Quartus Prime Programmer, lai ieprogrammētu AES saknes atslēgas kompakto sertifikātu Intel Agilex 7 ierīcē, izmantojot JTAG. Intel Quartus Prime Programmer pēc noklusējuma ieprogrammē virtuālos drošinātājus, ja tiek izmantots kompaktā sertifikāta veids EFUSE_WRAPPED_AES_KEY.
Jūs pievienojat opciju –non_volatile_key, lai norādītu programmēšanas fiziskos drošinātājus.
//Fiziskajai (nepastāvīgai) eFuse AES saknes atslēgai quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” – nepastāvīgā_atslēga

//Virtuālajai (gaistošajai) eFuse AES saknes atslēgai quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”

// BBRAM AES saknes atslēgai quartus_pgm -c 1 -mjtag -o “pi;signed_bbram1.ccert”

SDM nodrošinājuma programmaparatūra un galvenā programmaparatūra atbalsta AES saknes atslēgas sertifikātu programmēšanu. Varat arī izmantot SDM pastkastes saskarni no FPGA auduma vai HPS, lai programmētu AES saknes atslēgas sertifikātu.

Piezīme:

Komanda quartus_pgm neatbalsta opcijas b un v kompaktajiem sertifikātiem (.ccert).

4.9.2. Intrinsic ID® PUF AES saknes atslēgas nodrošināšana
Iekšējās* ID PUF aptvertās AES atslēgas ieviešana ietver šādas darbības: 1. Iekšējā ID PUF reģistrēšana, izmantojot J.TAG. 2. AES saknes atslēgas iesaiņošana. 3. Palīdzības datu un iesaiņotās atslēgas programmēšana četrkāršā SPI zibatmiņā. 4. Intrinsic ID PUF aktivizācijas statusa vaicājums.
Intrinsic ID tehnoloģijas izmantošanai ir nepieciešams atsevišķs licences līgums ar Intrinsic ID. Intel Quartus Prime Pro Edition programmatūra ierobežo PUF darbības bez atbilstošas licences, piemēram, reģistrāciju, atslēgu iesaiņošanu un PUF datu programmēšanu, izmantojot QSPI zibspuldzi.

4.9.2.1. Iekšējā ID PUF reģistrācija
Lai reģistrētu PUF, ir jāizmanto SDM nodrošināšanas programmaparatūra. Nodrošināšanas programmaparatūrai ir jābūt pirmajai programmaparatūrai, kas tiek ielādēta pēc barošanas cikla, un pirms jebkuras citas komandas ir jāizdod PUF reģistrācijas komanda. Nodrošinātā programmaparatūra atbalsta citas komandas pēc PUF reģistrēšanas, tostarp AES saknes atslēgas iesaiņošanu un programmēšanas quad SPI, tomēr jums ir jāieslēdz ierīce, lai ielādētu konfigurācijas bitu straumi.
Jūs izmantojat Intel Quartus Prime Programmer, lai aktivizētu PUF reģistrāciju un ģenerētu PUF palīga datus .puf file.

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 34

Sūtīt atsauksmes

4. Ierīču nodrošināšana 683823 | 2023.05.23

7. attēls.

Iekšējā ID PUF reģistrācija
quartus_pgm PUF reģistrācija

Reģistrācijas PUF palīga dati

Secure Device Manager (SDM)

wrapper.puf palīgdati
Programmētājs automātiski ielādē nodrošinājuma programmaparatūras palīga attēlu, kad norādāt gan i darbību, gan .puf argumentu.
quartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
Ja izmantojat līdzparakstīto programmaparatūru, pirms PUF reģistrācijas komandas izmantošanas ieprogrammējiet līdzparakstītās programmaparatūras palīga attēlu.
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" -force quartus_pgm -c 1 -mjtag -o “e;help_data.puf;AGFB014R24A”
UDS IID PUF tiek reģistrēts ierīces ražošanas laikā, un tas nav pieejams atkārtotai reģistrācijai. Tā vietā izmantojiet programmētāju, lai noteiktu UDS PUF palīga datu atrašanās vietu IPCS, lejupielādējiet .puf. file tieši un pēc tam izmantojiet UDS .puf file tādā pašā veidā kā .puf file iegūts no Intel Agilex 7 ierīces.
Izmantojiet šo programmētāja komandu, lai ģenerētu tekstu file satur sarakstu URLs norāda uz konkrētu ierīci files uz IPCS:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. AES saknes atslēgas iesaiņošana
Jūs ģenerējat IID PUF iesaiņoto AES saknes atslēgu .wkey file nosūtot SDM parakstītu sertifikātu.
Varat izmantot Intel Quartus Prime Programmer, lai automātiski ģenerētu, parakstītu un nosūtītu sertifikātu, lai iesaiņotu savu AES saknes atslēgu, vai arī varat izmantot Intel Quartus Prime programmēšanu. File Ģenerators neparakstīta sertifikāta ģenerēšanai. Neparakstīto sertifikātu parakstāt, izmantojot savus rīkus vai parakstīšanas rīku Quartus. Pēc tam izmantojiet programmētāju, lai nosūtītu parakstīto sertifikātu un iesaiņotu savu AES saknes atslēgu. Parakstīto sertifikātu var izmantot, lai programmētu visas ierīces, kas var pārbaudīt paraksta ķēdi.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 35

4. Ierīču nodrošināšana 683823 | 2023.05.23

8. attēls.

AES atslēgas iesaiņošana, izmantojot Intel Quartus Prime programmētāju
.pem Privāts
Atslēga

.qky

quartus_pgm

Aptiniet AES atslēgu

AES.QSKigYnature RootCPhuabilnic atslēga

Ģenerējiet PUF iesaiņoto atslēgu

Iesaiņota AES atslēga

SDM

.qek Šifrēšana
Atslēga

.wkey PUF iesaiņots
AES atslēga

1. Varat ģenerēt IID PUF iesaiņoto AES saknes atslēgu (.wkey) ar programmētāju, izmantojot šādus argumentus:
· .qky file satur parakstu ķēdi ar AES saknes atslēgas sertifikāta atļauju
· Privātā .pem file pēdējai atslēgai parakstu ķēdē
· .qek file turot AES saknes atslēgu
· 16 baitu inicializācijas vektors (iv).

quartus_pgm -c 1 -mjtag -qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Varat arī ģenerēt neparakstītu IID PUF iesaiņojuma AES saknes atslēgas sertifikātu, izmantojot programmu Programmēšana. File Ģenerators, izmantojot šādus argumentus:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Parakstāt neparakstīto sertifikātu ar saviem parakstīšanas rīkiem vai quartus_sign rīku, izmantojot šādu komandu:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Pēc tam izmantojiet programmu Programmētājs, lai nosūtītu parakstīto AES sertifikātu un atgrieztu iesaiņoto atslēgu (.wkey). file:

kvarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

Piezīme. Darbība i nav nepieciešama, ja iepriekš ielādējāt nodrošinājuma programmaparatūras palīga attēlu, piemēram,ample, lai reģistrētu PUF.

4.9.2.3. Programmēšanas palīga dati un iesaiņotā atslēga QSPI zibatmiņai
Jūs izmantojat Quartus programmēšanu File Ģeneratora grafiskā saskarne, lai izveidotu sākotnējo QSPI zibatmiņas attēlu, kas satur PUF nodalījumu. Jums ir jāģenerē un jāieprogrammē viss zibspuldzes programmēšanas attēls, lai QSPI zibspuldzei pievienotu PUF nodalījumu. PUF izveide

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 36

Sūtīt atsauksmes

4. Ierīču nodrošināšana 683823 | 2023.05.23

9. attēls.

datu nodalījums un PUF palīga datu un iesaiņotās atslēgas izmantošana fileProgrammēšana netiek atbalstīta zibspuldzes attēlu ģenerēšanai File Ģeneratora komandrindas interfeiss.
Tālāk norādītās darbības parāda zibatmiņas programmēšanas attēla izveidi, izmantojot PUF palīga datus un iesaiņoto atslēgu:
1. Uz File izvēlnē noklikšķiniet uz Programmēšana File Ģenerators. Uz Izvades Files cilnē veiciet šādas atlases:
a. Ierīču saimei atlasiet Agilex 7.
b. Konfigurācijas režīmam atlasiet Active Serial x4.
c. Izvades direktorijā pārlūkojiet savu izvadi file direktoriju. Šis bijušaisample izmanto izvadi_files.
d. Laukā Name norādiet programmēšanas nosaukumu file jāģenerē. Šis bijušaisample izmanto izvadi_file.
e. Sadaļā Apraksts atlasiet programmu files ģenerēt. Šis bijušaisample ģenerē DžTAG Netiešā konfigurācija File (.jic) ierīces konfigurācijai un Raw Binary File no Programming Helper Image (.rbf) ierīces palīga attēlam. Šis bijušaisample atlasa arī izvēles atmiņas karti File (.map) un Raw Programming Data File (.rpd). Neapstrādāti programmēšanas dati file ir nepieciešams tikai tad, ja plānojat nākotnē izmantot trešās puses programmētāju.
Programmēšana File Ģenerators - izeja FileCilne s — atlasiet JTAG Netiešā konfigurācija

Ierīces ģimenes konfigurācijas režīms
Izvade file cilne
Izvades direktorijs
JTAG Netiešā (.jic) atmiņas karte File Programmēšanas palīgs Neapstrādāti programmēšanas dati
Uz ievades Files cilnē veiciet šādas atlases: 1. Noklikšķiniet uz Add Bitstream un pārlūkojiet savu .sof. 2. Atlasiet savu .sof file un pēc tam noklikšķiniet uz Rekvizīti.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 37

4. Ierīču nodrošināšana 683823 | 2023.05.23
a. Ieslēdziet Iespējot parakstīšanas rīku. b. Privātajai atslēgai file atlasiet savu .pem file. c. Ieslēdziet Pabeigt šifrēšanu. d. Šifrēšanas atslēgai file atlasiet savu .qek file. e. Noklikšķiniet uz Labi, lai atgrieztos iepriekšējā logā. 3. Lai norādītu savus PUF palīga datus file, noklikšķiniet uz Pievienot neapstrādātus datus. Nomaini Files tipa nolaižamajā izvēlnē Quartus Physical Unclonable Function File (*.puf). Pārlūkojiet savu .puf file. Ja izmantojat gan IID PUF, gan UDS IID PUF, atkārtojiet šo darbību, lai .puf files katram PUF tiek pievienoti kā ievade files. 4. Lai norādītu iesaiņoto AES atslēgu file, noklikšķiniet uz Pievienot neapstrādātus datus. Nomaini Files tipa nolaižamajā izvēlnē uz Quartus Wrapped Key File (*.wkey). Pārlūkojiet savu .wkey file. Ja esat iesaiņojis AES atslēgas, izmantojot gan IID PUF, gan UDS IID PUF, atkārtojiet šo darbību, lai .wkey files katram PUF tiek pievienoti kā ievade files.
10. attēls. Norādiet ievadi Files konfigurācijai, autentifikācijai un šifrēšanai

Pievienot bitu straumi Pievienot neapstrādātus datus
Īpašības
Privātā atslēga file
Pabeigt šifrēšanu Šifrēšanas atslēga
Cilnē Konfigurācijas ierīce veiciet šādas atlases: 1. Noklikšķiniet uz Pievienot ierīci un pieejamo zibatmiņas sarakstā atlasiet savu zibatmiņas ierīci.
ierīces. 2. Atlasiet tikko pievienoto konfigurācijas ierīci un noklikšķiniet uz Pievienot nodalījumu. 3. Ievades dialoglodziņā Rediģēt nodalījumu file un atlasiet savu .sof no
izvēlnes saraksts. Dialoglodziņā Rediģēt nodalījumu varat saglabāt noklusējuma iestatījumus vai rediģēt citus parametrus.

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 38

Sūtīt atsauksmes

4. Ierīču nodrošināšana 683823 | 2023.05.23
11. attēls. .sof konfigurācijas bitu plūsmas nodalījuma norādīšana

Konfigurācijas ierīce
Rediģēt nodalījumu Pievienot .sof file

Pievienot nodalījumu

4. Kad kā ievadi pievienojat .puf un .wkey files, Programmēšana File Ģenerators automātiski izveido PUF nodalījumu jūsu konfigurācijas ierīcē. Lai saglabātu .puf un .wkey PUF nodalījumā, atlasiet PUF nodalījumu un noklikšķiniet uz Rediģēt. Dialoglodziņā Rediģēt nodalījumu atlasiet .puf un .wkey files no nolaižamajiem sarakstiem. Ja noņemat PUF nodalījumu, jums ir jānoņem un atkārtoti jāpievieno programmēšanas konfigurācijas ierīce File Ģenerators, lai izveidotu citu PUF nodalījumu. Pārliecinieties, ka esat atlasījis pareizos .puf un .wkey file attiecīgi IID PUF un UDS IID PUF.
12. attēls. Pievienojiet .puf un .wkey files uz PUF nodalījumu

PUF nodalījums

Rediģēt

Rediģēt nodalījumu

Flash Loader

Atlasiet Ģenerēt

5. Parametram Flash Loader atlasiet Intel Agilex 7 ierīču saimi un ierīces nosaukumu, kas atbilst jūsu Intel Agilex 7 OPN.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 39

4. Ierīču nodrošināšana 683823 | 2023.05.23
6. Noklikšķiniet uz Ģenerēt, lai ģenerētu izvadi files, ko norādījāt izvadē Files cilne.
7. Programmēšana File Ģenerators nolasa jūsu .qek file un pieprasa ievadīt ieejas frāzi. Ievadiet savu ieejas frāzi, atbildot uz uzvedni Enter QEK ieejas frāze. Noklikšķiniet uz taustiņu Enter.
8. Programmēšana noklikšķiniet uz Labi File Ģenerators ziņo par veiksmīgu ģenerēšanu.
Jūs izmantojat Intel Quartus Prime Programmer, lai ierakstītu QSPI programmēšanas attēlu QSPI zibatmiņā. 1. Intel Quartus Prime Tools izvēlnē atlasiet Programmētājs. 2. Programmētājā noklikšķiniet uz Hardware Setup un pēc tam atlasiet pievienoto Intel
FPGA lejupielādes kabelis. 3. Noklikšķiniet uz Pievienot File un pārlūkojiet savu .jic file.
13. attēls Programma .jic

Programmēšana file

Programmēšana/ konfigurēšana

JTAG skenēšanas ķēde
4. Noņemiet atzīmi no izvēles rūtiņas, kas saistīta ar palīdzības attēlu. 5. Atlasiet Programma/Configure .jic izvadei file. 6. Ieslēdziet pogu Sākt, lai ieprogrammētu četru SPI zibatmiņu. 7. Ieslēdziet dēli. Dizains ieprogrammēts četrkāršai SPI zibatmiņai
ierīce pēc tam tiek ielādēta mērķa FPGA.
Jums ir jāģenerē un jāieprogrammē viss zibspuldzes programmēšanas attēls, lai pievienotu PUF nodalījumu quad SPI zibspuldzei.
Ja zibatmiņā jau pastāv PUF nodalījums, ir iespējams izmantot Intel Quartus Prime Programmer, lai tieši piekļūtu PUF palīga datiem un iesaiņotajai atslēgai. files. Piemēram,ampJa aktivizēšana ir neveiksmīga, ir iespējams atkārtoti reģistrēt PUF, atkārtoti ietīt AES atslēgu un pēc tam tikai ieprogrammēt PUF files, nepārrakstot visu zibspuldzi.

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 40

Sūtīt atsauksmes

4. Ierīču nodrošināšana 683823 | 2023.05.23
Intel Quartus Prime Programmer atbalsta šādu PUF darbības argumentu files jau esošajā PUF nodalījumā:
· p: programma
· v: pārbaudīt
· r: dzēst
· b: tukšs čeks
Jums ir jāievēro tie paši ierobežojumi PUF reģistrācijai, pat ja pastāv PUF nodalījums.
1. Izmantojiet i operation argumentu, lai ielādētu nodrošināšanas programmaparatūras palīga attēlu pirmajai darbībai. Piemēram,ample, tālāk norādītā komandu secība atkārtoti reģistrē PUF, atkārtoti iesaiņo AES saknes atslēgu, izdzēš vecos PUF palīga datus un iesaiņoto atslēgu, pēc tam ieprogrammē un verificē jaunos PUF palīga datus un AES saknes atslēgu.
quartus_pgm -c 1 -mjtag -o "ei;new.puf;AGFB014R24A" quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "e;new.wkey;AGFB014R24A" quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o "p;new.puf" quartus_pgm -c 1 -mjtag -o "p;jauns.wkey" quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o “v;new.wkey”
4.9.2.4. Vaicājums par iekšējo ID PUF aktivizācijas statusu
Pēc Intrinsic ID PUF reģistrēšanas ietiniet AES atslēgu, ģenerējiet zibatmiņas programmēšanu files un atjauniniet četrkāršo SPI zibspuldzi, ieslēdziet ierīci, lai aktivizētu PUF aktivizēšanu un konfigurāciju no šifrētās bitu straumes. SDM ziņo par PUF aktivizācijas statusu kopā ar konfigurācijas statusu. Ja PUF aktivizēšana neizdodas, SDM tā vietā ziņo par PUF kļūdas statusu. Izmantojiet komandu quartus_pgm, lai vaicātu konfigurācijas statusu.
1. Izmantojiet šo komandu, lai vaicātu aktivizācijas statusu:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Šeit ir sampveiksmīgas aktivizēšanas rezultāts:
Informācija (21597): atbilde uz CONFIG_STATUS Ierīce darbojas lietotāja režīmā 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Versija C000007B MSEL=QSPI_NORMAL=1,n=1,n CONFIRMAL=1,n
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Kļūdas atrašanās vieta 00000000 Detalizēta informācija par kļūdu Response of PUF_STATUS 00002000 2 USER_IID STATUSS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 41

4. Ierīču nodrošināšana 683823 | 2023.05.23

Ja izmantojat tikai IID PUF vai UDS IID PUF un neesat ieprogrammējis palīgdatus .puf file jebkuram PUF QSPI zibspuldzē šis PUF netiek aktivizēts un PUF statuss norāda, ka PUF palīga dati nav derīgi. Nākamais example parāda PUF statusu, ja PUF palīga dati nav ieprogrammēti nevienam PUF:
Atbilde uz PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUSS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. PUF atrašanās vieta zibatmiņā
PUF atrašanās vieta file ir atšķirīgs dizainiem, kas atbalsta RSU, un dizainiem, kas neatbalsta RSU funkciju.

Dizainiem, kas neatbalsta RSU, ir jāiekļauj .puf un .wkey files, kad veidojat atjauninātus zibspuldzes attēlus. Dizainiem, kas atbalsta RSU, rūpnīcas vai lietojumprogrammas attēla atjaunināšanas laikā SDM nepārraksta PUF datu sadaļas.

2. tabula.

Flash apakšnodaļu izkārtojums bez RSU atbalsta

Zibspuldzes nobīde (baitos)

Izmērs (baitos)

Saturs

Apraksts

0 256 XNUMX XNUMX

256 256 XNUMX XNUMX

Konfigurācijas pārvaldības programmaparatūra Konfigurācijas pārvaldības programmaparatūra

Programmaparatūra, kas darbojas SDM.

512 tūkst

256 tūkst

Konfigurācijas pārvaldības programmaparatūra

768 tūkst

256 tūkst

Konfigurācijas pārvaldības programmaparatūra

32 tūkst

PUF datu kopija 0

Datu struktūra PUF palīga datu un PUF aplauztās AES saknes atslēgas kopijas 0 glabāšanai

1 miljons+32 tūkst

32 tūkst

PUF datu kopija 1

Datu struktūra PUF palīga datu un PUF aplauztās AES saknes atslēgas kopijas 1 glabāšanai

3. tabula.

Flash apakšnodaļu izkārtojums ar RSU atbalstu

Zibspuldzes nobīde (baitos)

Izmērs (baitos)

Saturs

Apraksts

0 512 XNUMX XNUMX

512 512 XNUMX XNUMX

Lēmumu programmaparatūra Lēmumu programmaparatūra

Programmaparatūra augstākās prioritātes attēla identificēšanai un ielādei.

1M 1.5M

512 512 XNUMX XNUMX

Lēmumu programmaparatūra Lēmumu programmaparatūra

8K + 24K

Lēmuma programmaparatūras dati

Polsterējums

Rezervēts Lēmumu programmaparatūras lietošanai.

2 miljoni + 32 tūkst

32 tūkst

Rezervēts SDM

Rezervēts SDM.

2 miljoni + 64 tūkst

Mainīgs

Rūpnīcas attēls

Vienkāršs attēls, ko izveidojat kā dublējumu, ja neizdodas ielādēt visus citus lietojumprogrammas attēlus. Šajā attēlā ir iekļauts CMF, kas darbojas SDM.

Tālāk

32 tūkst

PUF datu kopija 0

Datu struktūra PUF palīga datu un PUF aplauztās AES saknes atslēgas kopijas 0 glabāšanai
turpinājums…

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 42

Sūtīt atsauksmes

4. Ierīču nodrošināšana 683823 | 2023.05.23

Zibspuldzes nobīde (baitos)

Izmērs (baitos)

Nākamais +32K 32K

Saturs PUF datu kopija 1

Nākamais + 256K 4K Nākamais +32K 4K Nākamais +32K 4K

Apakšnodalījumu tabulas kopija 0 Apakšsadalījuma tabulas kopija 1 CMF rādītāja bloka kopija 0

Nākamais +32K_

CMF rādītāja bloka kopija 1

Mainīgais Mainīgais

Lietojumprogrammas attēls 1 Lietojumprogrammas attēls 2

4.9.3. Melnās atslēgas nodrošināšana

Apraksts
Datu struktūra PUF palīga datu un PUF aplauztās AES saknes atslēgas kopijas 1 glabāšanai
Datu struktūra, lai atvieglotu zibatmiņas pārvaldību.
Norāžu saraksts uz lietojumprogrammas attēliem prioritātes secībā. Kad pievienojat attēlu, tas kļūst par visaugstāko.
Otrs norādes uz lietojumprogrammu attēliem saraksta kopija.
Jūsu pirmais lietojumprogrammas attēls.
Jūsu otrais lietojumprogrammas attēls.

Piezīme:

Intel Quartus PrimeProgrammer palīdz izveidot savstarpēji autentificētu drošu savienojumu starp Intel Agilex 7 ierīci un melnās atslēgas nodrošināšanas pakalpojumu. Drošais savienojums tiek izveidots, izmantojot https, un tam ir nepieciešami vairāki sertifikāti, kas identificēti, izmantojot tekstu file.
Izmantojot Black Key Provisioning, Intel iesaka izvairīties no ārējās TCK tapas pievienošanas, lai paceltu vai novilktu rezistoru, vienlaikus izmantojot to J.TAG. Tomēr jūs varat savienot TCK tapu ar VCCIO SDM barošanas avotu, izmantojot 10 k rezistoru. Esošie norādījumi Pin Connection Guidelines, lai savienotu TCK ar 1 k nolaižamo rezistoru, ir iekļauti trokšņu slāpēšanai. Vadības maiņa uz 10 k uzvilkšanas rezistoru neietekmē ierīces funkcionālo darbību. Lai iegūtu papildinformāciju par TCK tapas pievienošanu, skatiet Intel Agilex 7 Pin savienojuma vadlīnijas.
Thebkp_tls_ca_certcertificate autentificē jūsu melnās atslēgas nodrošināšanas pakalpojuma gadījumu jūsu melnās atslēgas nodrošināšanas programmētāja instancei. Thebkp_tls_*sertifikāti autentificē jūsu melnās atslēgas nodrošināšanas programmētāja gadījumu jūsu melnās atslēgas nodrošināšanas pakalpojuma instancē.
Jūs izveidojat tekstu file kas satur nepieciešamo informāciju, lai Intel Quartus Prime Programmer izveidotu savienojumu ar melnās atslēgas nodrošināšanas pakalpojumu. Lai sāktu melnās atslēgas nodrošināšanu, izmantojiet programmētāja komandrindas saskarni, lai norādītu melnās atslēgas nodrošināšanas opciju tekstu file. Pēc tam melnās atslēgas nodrošināšana turpinās automātiski. Lai piekļūtu melnās atslēgas nodrošināšanas pakalpojumam un saistītajai dokumentācijai, lūdzu, sazinieties ar Intel atbalsta dienestu.
Varat iespējot melnās atslēgas nodrošināšanu, izmantojot thequartus_pgmcommand:
quartus_pgm -c -m - ierīce –bkp_options=bkp_options.txt
Komandas argumenti norāda šādu informāciju:

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 43

4. Ierīču nodrošināšana 683823 | 2023.05.23

· -c: kabeļa numurs · -m: norāda programmēšanas režīmu, piemēram, JTAG · –ierīce: norāda ierīces indeksu JTAG ķēde. Noklusējuma vērtība ir 1. · –bkp_options: norāda tekstu file satur melnās atslēgas nodrošināšanas opcijas.
Saistītā informācija Intel Agilex 7 ierīču saimes pin savienojuma vadlīnijas

4.9.3.1. Melnās atslēgas nodrošināšanas iespējas
Melnās atslēgas nodrošināšanas opcijas ir teksts file nosūtīts programmētājam, izmantojot komandu quartus_pgm. The file satur nepieciešamo informāciju, lai aktivizētu melnās atslēgas nodrošināšanu.
Tālāk ir norādīts bijušaisample no faila bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key_key_tppl1234 b_prog_key_tppl adrese = https://192.167.5.5:5000 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

4. tabula.

Melnās atslēgas nodrošināšanas iespējas
Šajā tabulā ir parādītas opcijas, kas nepieciešamas, lai aktivizētu melnās atslēgas nodrošinājumu.

Opcijas nosaukums

Tips

Apraksts

bkp_ip

Obligāti

Norāda servera IP adresi, kurā darbojas melnās atslēgas nodrošināšanas pakalpojums.

bkp_port

Obligāti

Norāda melnās atslēgas nodrošināšanas pakalpojuma portu, kas nepieciešams, lai izveidotu savienojumu ar serveri.

bkp_cfg_id

Obligāti

Identificē melnās atslēgas nodrošināšanas konfigurācijas plūsmas ID.
Melnās atslēgas nodrošināšanas pakalpojums izveido melnās atslēgas nodrošināšanas konfigurācijas plūsmas, tostarp AES saknes atslēgu, vēlamos eFuse iestatījumus un citas melnās atslēgas nodrošināšanas autorizācijas opcijas. Numurs, kas piešķirts melnās atslēgas nodrošināšanas pakalpojuma iestatīšanas laikā, identificē melnās atslēgas nodrošināšanas konfigurācijas plūsmas.
Piezīme. Vairākas ierīces var atsaukties uz vienu un to pašu melnās atslēgas nodrošināšanas pakalpojuma konfigurācijas plūsmu.

bkp_tls_ca_cert

Obligāti

Saknes TLS sertifikāts, ko izmanto, lai identificētu melnās atslēgas nodrošināšanas pakalpojumus Intel Quartus Prime programmētājam (programmētājam). Uzticama sertifikācijas iestāde melnās atslēgas nodrošināšanas pakalpojuma instancei izsniedz šo sertifikātu.
Ja palaižat Programmētāju datorā ar Microsoft® Windows® operētājsistēmu (Windows), šis sertifikāts ir jāinstalē Windows sertifikātu krātuvē.

bkp_tls_prog_cert

Obligāti

Sertifikāts, kas izveidots melnās atslēgas nodrošināšanas programmētāja (BKP programmētāja) gadījumam. Šis ir https klienta sertifikāts, ko izmanto, lai identificētu šo BKP programmētāja gadījumu
turpinājums…

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 44

Sūtīt atsauksmes

4. Ierīču nodrošināšana 683823 | 2023.05.23

Opcijas nosaukums

Tips

bkp_tls_prog_key

Obligāti

bkp_tls_prog_key_pass Pēc izvēles

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Izvēles Izvēles Izvēles

Apraksts
uz melnās atslēgas nodrošināšanas pakalpojumu. Pirms melnās atslēgas nodrošināšanas sesijas uzsākšanas jums ir jāinstalē un jāautorizē šis sertifikāts melnās atslēgas nodrošināšanas pakalpojumā. Ja programmā Windows palaižat programmu Programmētājs, šī opcija nav pieejama. Šajā gadījumā atslēgā bkp_tls_prog_key jau ir iekļauts šis sertifikāts.
Privātā atslēga, kas atbilst BKP Programmētāja sertifikātam. Atslēga apstiprina BKP programmētāja instances identitāti melnās atslēgas nodrošināšanas pakalpojumam. Ja programmā Windows palaižat programmu Programmētājs, .pfx file apvieno bkp_tls_prog_cert sertifikātu un privāto atslēgu. Opcija bkp_tlx_prog_key nodod .pfx file failā bkp_options.txt file.
Privātās atslēgas bkp_tls_prog_key parole. Nav nepieciešams melnās atslēgas nodrošināšanas konfigurācijas opciju (bkp_options.txt) tekstā file.
Norāda starpniekserveri URL adrese.
Norāda starpniekservera lietotājvārdu.
Norāda starpniekservera autentifikācijas paroli.

4.10. Īpašnieka saknes atslēgas, AES saknes atslēgas sertifikātu un drošinātāju konvertēšana files uz Jam STAPL File Formāti

Varat izmantot komandrindas komandu quartus_pfg, lai konvertētu .qky, AES saknes atslēgu .ccert un .fuse. files uz Jam STAPL formātu File (.jam) un Jam Byte Code Format File (.jbc). Jūs varat izmantot šos files programmēt Intel FPGA, izmantojot attiecīgi Jam STAPL Player un Jam STAPL Byte-Code Player.

Viens .jam vai .jbc satur vairākas funkcijas, tostarp programmaparatūras palīga attēla konfigurāciju un programmu, tukšas pārbaudes pārbaudi un atslēgu un drošinātāju programmēšanas pārbaudi.

Uzmanību:

Pārveidojot AES saknes atslēgu .ccert file uz .jam formātu, .jam file satur AES atslēgu vienkāršā tekstā, bet neskaidrā formā. Līdz ar to jums ir jāaizsargā .jam file saglabājot AES atslēgu. To var izdarīt, nodrošinot AES atslēgu drošā vidē.

Šeit ir bijušieampquartus_pfg konvertēšanas komandu les:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qkypcroot2.qkyp. c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFBA014R24c - help_use. vice=AGFB014R24A iestatījumi. drošinātāja iestatījumi_fuse.jbc

Papildinformāciju par Jam STAPL Player izmantošanu ierīču programmēšanai skatiet AN 425: Komandrindas Jam STAPL risinājuma izmantošana ierīču programmēšanai.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 45

4. Ierīču nodrošināšana 683823 | 2023.05.23
Palaidiet šādas komandas, lai ieprogrammētu īpašnieka saknes publisko atslēgu un AES šifrēšanas atslēgu:
//Lai ielādētu palīga bitu straumi FPGA. // Palīdzības bitu straumē ir nodrošināta programmaparatūra quartus_jli -c 1 -a CONFIGURE RootKey.jam
//Lai ieprogrammētu īpašnieka saknes publisko atslēgu virtuālajā eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Lai ieprogrammētu īpašnieka saknes publisko atslēgu fiziskajā eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Lai ieprogrammētu PR īpašnieka saknes publisko atslēgu virtuālajā eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Lai ieprogrammētu PR īpašnieka saknes publisko atslēgu fiziskajā eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Lai ieprogrammētu AES šifrēšanas atslēgu CCERT BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Lai ieprogrammētu AES šifrēšanas atslēgu CCERT fiziskajā eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Saistītā informācija AN 425: Komandrindas Jam STAPL risinājuma izmantošana ierīču programmēšanai

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 46

Sūtīt atsauksmes

683823 | 2023.05.23 Sūtīt atsauksmes

Papildu funkcijas

5.1. Droša atkļūdošanas autorizācija
Lai iespējotu drošās atkļūdošanas autorizāciju, atkļūdošanas īpašniekam ir jāģenerē autentifikācijas atslēgu pāris un jāizmanto Intel Quartus Prime Pro Programmer, lai ģenerētu ierīces informāciju. file ierīcei, kurā darbojas atkļūdošanas attēls:
quartus_pgm -c 1 -mjtag -o "ei;device_info.txt;AGFB014R24A" -dev_info
Ierīces īpašnieks izmanto rīku quartus_sign vai atsauces ieviešanu, lai paraksta ķēdei, kas paredzēta atkļūdošanas operācijām, pievienotu nosacījuma publiskās atslēgas ierakstu, izmantojot atkļūdošanas īpašnieka publisko atslēgu, nepieciešamās autorizācijas, ierīces informācijas tekstu. file, un piemērojamie papildu ierobežojumi:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18 –in, debug_authorization_public_key.pem secure_debug_auth_chain.qky
Ierīces īpašnieks nosūta pilnu paraksta ķēdi atpakaļ atkļūdošanas īpašniekam, kurš izmanto paraksta ķēdi un savu privāto atslēgu, lai parakstītu atkļūdošanas attēlu:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorised_debug_design.rbf
Varat izmantot komandu quartus_pfg, lai pārbaudītu parakstu ķēdi katrā šīs parakstītās drošās atkļūdošanas bitu straumes sadaļā:
quartus_pfg –check_integrity authorised_debug_design.rbf
Šīs komandas izvade izdrukā nosacītās publiskās atslēgas ierobežojumu vērtības 1,2,17,18, kas tika izmantota parakstītās bitu plūsmas ģenerēšanai.
Pēc tam atkļūdošanas īpašnieks var ieprogrammēt droši autorizēto atkļūdošanas dizainu:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
Ierīces īpašnieks var atsaukt drošās atkļūdošanas autorizāciju, atceļot skaidrās atslēgas atcelšanas ID, kas piešķirts drošās atkļūdošanas autorizācijas paraksta ķēdē.
5.2. HPS atkļūdošanas sertifikāti
Iespējojot tikai autorizētu piekļuvi HPS atkļūdošanas piekļuves portam (DAP), izmantojot JTAG saskarnei jāveic vairākas darbības:

ISO 9001: 2015 reģistrēts

5. Papildu funkcijas 683823 | 2023.05.23
1. Noklikšķiniet uz Intel Quartus Prime programmatūras izvēlnes Assignments un atlasiet cilni Device Device and Pin Options Configuration.
2. Cilnē Konfigurācija iespējojiet HPS atkļūdošanas piekļuves portu (DAP), nolaižamajā izvēlnē atlasot HPS pins vai SDM Pins un nodrošinot, ka nav atzīmēta izvēles rūtiņa Atļaut HPS atkļūdošanu bez sertifikātiem.
14. attēls. HPS DAP norādiet HPS vai SDM tapas

HPS atkļūdošanas piekļuves ports (DAP)
Varat arī iestatīt tālāk norādīto uzdevumu Quartus Prime iestatījumos .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE “SDM PINS”
3. Kompilējiet un ielādējiet dizainu ar šiem iestatījumiem. 4. Izveidojiet parakstu ķēdi ar atbilstošām atļaujām, lai parakstītu HPS atkļūdošanu
apliecība:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign
5. Pieprasiet neparakstītu HPS atkļūdošanas sertifikātu no ierīces, kurā ir ielādēts atkļūdošanas dizains:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. Parakstiet neparakstīto HPS atkļūdošanas sertifikātu, izmantojot rīku quartus_sign vai atsauces ieviešanu un HPS atkļūdošanas paraksta ķēdi:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 48

Sūtīt atsauksmes

5. Papildu funkcijas 683823 | 2023.05.23
7. Nosūtiet parakstīto HPS atkļūdošanas sertifikātu atpakaļ uz ierīci, lai iespējotu piekļuvi HPS atkļūdošanas piekļuves portam (DAP):
quartus_pgm -c 1 -mjtag -o “p;signed_hps_debug.cert”
HPS atkļūdošanas sertifikāts ir derīgs tikai no tā ģenerēšanas līdz nākamajam ierīces barošanas ciklam vai līdz tiek ielādēts cita veida vai versijas SDM programmaparatūra. Pirms ierīces ieslēgšanas ir jāģenerē, jāparaksta un jāieprogrammē parakstītais HPS atkļūdošanas sertifikāts un jāveic visas atkļūdošanas darbības. Varat anulēt parakstīto HPS atkļūdošanas sertifikātu, pārslēdzot ierīci.
5.3. Platformas atestācija
Varat ģenerēt atsauces integritātes manifestu (.rim) file izmantojot programmēšanu file ģeneratora rīks:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Veiciet šīs darbības, lai nodrošinātu platformas atestāciju savā dizainā: 1. Izmantojiet Intel Quartus Prime Pro Programmer, lai konfigurētu ierīci ar
dizains, kuram izveidojāt atsauces integritātes manifestu. 2. Izmantojiet platformas atestācijas verificētāju, lai reģistrētu ierīci, izdodot komandas
SDM, izmantojot SDM pastkasti, lai atkārtotas ielādes laikā izveidotu ierīces ID sertifikātu un programmaparatūras sertifikātu. 3. Izmantojiet Intel Quartus Prime Pro Programmer, lai pārkonfigurētu ierīci ar dizainu. 4. Izmantojiet platformas atestācijas verificētāju, lai izdotu komandas SDM, lai iegūtu atestācijas ierīces ID, programmaparatūras un aizstājvārda sertifikātus. 5. Izmantojiet atestācijas verificētāju, lai izdotu SDM pastkastes komandu, lai iegūtu apliecinājuma pierādījumus, un verificētājs pārbauda atgrieztos pierādījumus.
Varat ieviest savu verificētāja pakalpojumu, izmantojot SDM pastkastes komandas, vai izmantot Intel platformas atestācijas verifikācijas pakalpojumu. Lai iegūtu papildinformāciju par Intel platformas atestācijas verificētāja pakalpojumu programmatūru, pieejamību un dokumentāciju, sazinieties ar Intel atbalsta dienestu.
Saistītā informācija Intel Agilex 7 ierīču saimes pin savienojuma vadlīnijas
5.4. Fiziskā anti-Tamper
Jūs iespējojat fizisko anti-tamper funkcijas, izmantojot šādas darbības: 1. Atlasot vēlamo atbildi uz konstatēto tamper notikums 2. Vēlamā t. konfigurēšanaamper noteikšanas metodes un parametri 3. Tostarp anti-tamper IP jūsu dizaina loģikā, lai palīdzētu pārvaldīt anti-tamper
notikumiem

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 49

5. Papildu funkcijas 683823 | 2023.05.23
5.4.1. Anti-Tamper atbildes
Jūs iespējojat fizisko anti-tamper, atlasot atbildi no Anti-tamper atbilde: nolaižamais saraksts sadaļā Piešķīrumu ierīces ierīce un Pin opcijas Security Anti-Tamper cilne. Pēc noklusējuma anti-tampatbilde ir atspējota. Piecas kategorijas anti-tampir pieejama atbilde. Kad atlasāt vēlamo atbildi, tiek iespējotas opcijas, lai iespējotu vienu vai vairākas noteikšanas metodes.
15. attēls. Pieejamais anti-Tamper atbildes opcijas

Atbilstošais uzdevums Quartus Prime iestatījumos .gsf file ir sekojošs:
set_global_assignment -name ANTI_TAMPER_RESPONSE “PAZIŅOJUMA IERĪCES NOSAUKŠANA IERĪCES BLOĶĒŠANA UN NULLĒŠANA”
Iespējojot anti-tamper atbildi, varat izvēlēties divus pieejamus SDM paredzētus I/O kontaktus, lai izvadītu tamper notikumu noteikšanas un atbildes statusu, izmantojot logu Assignments Device Device and Pin Options Configuration Configuration Pin Options.

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 50

Sūtīt atsauksmes

5. Papildu funkcijas 683823 | 2023.05.23
16. attēls. Pieejamās SDM paredzētās I/O tapas priekš Tamper notikumu noteikšana

Iestatījumos varat veikt arī šādus tapu piešķiršanas veidus file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Atklāšana

Varat atsevišķi iespējot frekvenci, temperatūru un tilpumutage SDM noteikšanas funkcijas. FPGA noteikšana ir atkarīga no Anti-T iekļaušanasamper Lite Intel FPGA IP jūsu dizainā.

Piezīme:

SDM frekvence un tilptagetampnoteikšanas metodes ir atkarīgas no iekšējām atsaucēm un mērījumu aparatūras, kas dažādās ierīcēs var atšķirties. Intel iesaka raksturot t uzvedībuamper noteikšanas iestatījumi.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 51

5. Papildu funkcijas 683823 | 2023.05.23
Frekvenču tamper noteikšana darbojas konfigurācijas pulksteņa avotā. Lai iespējotu frekvenci tampLai noteiktu, jums jānorāda opcija, kas nav iekšējais oscilators, nolaižamajā izvēlnē Konfigurācijas pulksteņa avots cilnē Piešķīrumu ierīces ierīce un Pin opcijas Vispārīgi. Pirms frekvences t iespējošanas ir jāiespējo izvēles rūtiņa Palaist konfigurāciju CPU no iekšējā oscilatora.amper atklāšana. 17. attēls. SDM iestatīšana uz iekšējo oscilatoru
Lai iespējotu frekvenci tampAtklāšanas laikā atlasiet Iespējot frekvenci tamper noteikšanas izvēles rūtiņu un atlasiet vajadzīgo Frekvence tamper noteikšanas diapazonu no nolaižamās izvēlnes. 18. attēls. Frekvences T iespējošanaamper Atklāšana

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 52

Sūtīt atsauksmes

5. Papildu funkcijas 683823 | 2023.05.23
Varat arī iespējot frekvenci Tamper Noteikšanu, veicot šādas izmaiņas Quartus Prime Settings .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -name ENNCY_FAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Lai iespējotu temperatūru tampAtklājot, atlasiet Iespējot temperatūru tamper noteikšanas izvēles rūtiņu un atbilstošajos laukos atlasiet vajadzīgās temperatūras augšējo un apakšējo robežu. Augšējā un apakšējā robeža pēc noklusējuma tiek aizpildīta ar saistīto temperatūras diapazonu dizainā atlasītajai ierīcei.
Lai iespējotu voltagetampAtklāšanas gadījumā atlasiet vienu vai abus no Iespējot VCCL voltagetamper noteikšana vai Iespējot VCCL_SDM voltagetamper noteikšanas izvēles rūtiņas un atlasiet vajadzīgo Voltagetamper noteikšanas trigera procentitage attiecīgajā laukā.
19. attēls. Iespējošana Voltagun Tamper Atklāšana

Varat arī iespējot Voltagun Tamper Noteikšanu, .qsf failā norādot šādus uzdevumus file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION IESL
5.4.3. Anti-Tamper Lite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP, kas ir pieejams Intel Quartus Prime Pro Edition programmatūras IP katalogā, atvieglo divvirzienu saziņu starp jūsu dizainu un SDM.amper notikumi.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 53

20. attēls. Anti-Tamper Lite Intel FPGA IP

5. Papildu funkcijas 683823 | 2023.05.23

IP nodrošina šādus signālus, kurus pēc vajadzības varat izveidot savienojumu ar savu dizainu:

5. tabula.

Anti-Tamper Lite Intel FPGA IP I/O signāli

Signāla nosaukums

Virziens

Apraksts

gpo_sdm_at_event gpi_fpga_at_event

Izejas ievade

SDM signāls uz FPGA auduma loģiku, ko SDM ir konstatējisamper notikums. FPGA loģikai ir aptuveni 5 ms, lai veiktu jebkuru vēlamo tīrīšanu un atbildētu uz SDM, izmantojot gpi_fpga_at_response_done un gpi_fpga_at_zeroization_done. SDM turpina ar tampatbildes darbības, kad tiek apgalvots gpi_fpga_at_response_done vai pēc tam, kad atvēlētajā laikā nav saņemta atbilde.
FPGA pārtraukums SDM, ka jūsu izstrādātā anti-tamper noteikšanas shēma ir konstatēta plkstamper notikumu un SDM tampjāaktivizē atbilde.

gpi_fpga_at_response_done

Ievade

FPGA pārtraukums SDM, ka FPGA loģika ir veikusi vēlamo tīrīšanu.

gpi_fpga_at_zeroization_d one

Ievade

FPGA signāls SDM, ka FPGA loģika ir pabeigusi jebkuru vēlamo dizaina datu nulli. Šis signāls ir samptiek parādīts, kad tiek apgalvots gpi_fpga_at_response_done.

5.4.3.1. Izlaiduma informācija

IP versiju shēmas (XYZ) numurs mainās no vienas programmatūras versijas uz citu. Izmaiņas:
· X norāda uz būtisku IP pārskatīšanu. Ja atjaunināt Intel Quartus Prime programmatūru, jums ir jāreģenerē IP.
· Y norāda, ka IP ietver jaunas funkcijas. Atjaunojiet savu IP, lai iekļautu šīs jaunās funkcijas.
· Z norāda, ka IP ietver nelielas izmaiņas. Atjaunojiet savu IP, lai iekļautu šīs izmaiņas.

6. tabula.

Anti-Tamper Lite Intel FPGA IP izlaišanas informācija

IP versija

Vienums

Apraksts 20.1.0

Intel Quartus Prime versija

21.2

Izdošanas datums

2021.06.21

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 54

Sūtīt atsauksmes

5. Papildu funkcijas 683823 | 2023.05.23
5.5. Dizaina drošības līdzekļu izmantošana ar attālo sistēmas atjaunināšanu
Remote System Update (RSU) ir Intel Agilex 7 FPGA funkcija, kas palīdz atjaunināt konfigurāciju files robustā veidā. RSU ir saderīgs ar dizaina drošības līdzekļiem, piemēram, autentifikāciju, programmaparatūras kopparakstīšanu un bitu straumes šifrēšanu, jo RSU nav atkarīga no konfigurācijas bitu straumju dizaina satura.
RSU attēlu celtniecība ar .sof Files
Ja privātās atslēgas glabājat savā lokālajā filesistēmā, varat ģenerēt RSU attēlus ar dizaina drošības līdzekļiem, izmantojot vienkāršotu plūsmu ar .sof files kā ievades. Lai ģenerētu RSU attēlus ar .sof file, varat izpildīt norādījumus sadaļā Attālā sistēmas atjaunināšanas attēla ģenerēšana Files Programmēšanas izmantošana File Intel Agilex 7 konfigurācijas lietotāja rokasgrāmatas ģenerators. Par katru .sof file norādīts ievadē Files, noklikšķiniet uz pogas Rekvizīti… un norādiet atbilstošos iestatījumus un atslēgas parakstīšanas un šifrēšanas rīkiem. Programmēšana file ģeneratora rīks automātiski paraksta un šifrē rūpnīcas un lietojumprogrammu attēlus, veidojot RSU programmu files.
Alternatīvi, ja glabājat privātās atslēgas HSM, jums ir jāizmanto rīks quartus_sign un tāpēc jāizmanto .rbf. files. Pārējā šīs sadaļas daļā ir sīki aprakstītas izmaiņas plūsmā, lai ģenerētu RSU attēlus ar .rbf files kā ievades. Jums ir jāšifrē un jāparaksta .rbf formāts files pirms to atlasīšanas kā ievadi files RSU attēliem; tomēr RSU sāknēšanas info file nedrīkst būt šifrēts, bet tikai parakstīts. Programmēšana File Ģenerators neatbalsta .rbf formāta rekvizītu modificēšanu files.
Nākamais examples demonstrē nepieciešamās modifikācijas komandām sadaļā Attālā sistēmas atjaunināšanas attēla ģenerēšana Files Programmēšanas izmantošana File Intel Agilex 7 konfigurācijas lietotāja rokasgrāmatas ģenerators.
Sākotnējā RSU attēla ģenerēšana, izmantojot .rbf Files: komandu modifikācija
Sākotnējā RSU attēla ģenerēšana, izmantojot .rbf Files sadaļu, modificējiet 1. darbības komandas, lai pēc vajadzības iespējotu dizaina drošības līdzekļus, izmantojot norādījumus no šī dokumenta iepriekšējām sadaļām.
Piemēram,ample, jūs norādītu parakstītu programmaparatūru file ja izmantojāt programmaparatūras līdzsignalizāciju, izmantojiet Quartus šifrēšanas rīku, lai šifrētu katru .rbf. file, un visbeidzot izmantojiet rīku quartus_sign, lai parakstītu katru file.
2. darbībā, ja esat iespējojis programmaparatūras kopparakstīšanu, ir jāizmanto papildu opcija, lai izveidotu sāknēšanas .rbf no rūpnīcas attēla. file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Kad esat izveidojis sāknēšanas informāciju, .rbf file, izmantojiet rīku quartus_sign, lai parakstītu .rbf file. Jūs nedrīkstat šifrēt sāknēšanas informāciju .rbf file.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 55

5. Papildu funkcijas 683823 | 2023.05.23
Lietojumprogrammas attēla ģenerēšana: komandu modifikācija
Lai ģenerētu lietojumprogrammas attēlu ar dizaina drošības līdzekļiem, sadaļā Lietojumprogrammas attēla ģenerēšana ir jāmaina komanda, lai oriģinālās lietojumprogrammas .sof vietā izmantotu .rbf ar iespējotiem dizaina drošības līdzekļiem, tostarp līdzparakstītu programmaparatūru, ja nepieciešams. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Rūpnīcas atjauninājuma attēla ģenerēšana: komandu modifikācija
Kad esat izveidojis sāknēšanas informāciju, .rbf file, jūs izmantojat rīku quartus_sign, lai parakstītu .rbf file. Jūs nedrīkstat šifrēt sāknēšanas informāciju .rbf file.
Lai ģenerētu RSU rūpnīcas atjaunināšanas attēlu, modificējiet komandu sadaļā Rūpnīcas atjauninājuma attēla ģenerēšana, lai izmantotu .rbf. file ar iespējotiem dizaina drošības līdzekļiem un pievienojiet iespēju norādīt līdzparakstīto programmaparatūras lietojumu:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Saistītā informācija Intel Agilex 7 konfigurācijas lietotāja rokasgrāmata
5.6. SDM kriptogrāfijas pakalpojumi
Intel Agilex 7 ierīču SDM nodrošina kriptogrāfijas pakalpojumus, kurus FPGA auduma loģika vai HPS var pieprasīt, izmantojot attiecīgo SDM pastkastes saskarni. Papildinformāciju par pastkastes komandām un datu formātiem visiem SDM kriptogrāfijas pakalpojumiem skatiet Intel FPGA un strukturēto ASIC drošības metodoloģijas lietotāja rokasgrāmatas B pielikumā.
Lai piekļūtu SDM pastkastes saskarnei ar FPGA auduma loģiku SDM kriptogrāfijas pakalpojumiem, jums savā dizainā ir jāiestata pastkastes klienta Intel FPGA IP.
Atsauces kods, lai piekļūtu SDM pastkastes saskarnei no HPS, ir iekļauts Intel nodrošinātajā ATF un Linux kodā.
Saistītā informācija Pastkastes klienta Intel FPGA IP lietotāja rokasgrāmata
5.6.1. Pārdevēja autorizēta sāknēšana
Intel nodrošina HPS programmatūras atsauces ieviešanu, kas izmanto pārdevēja autorizēto sāknēšanas funkciju, lai autentificētu HPS sāknēšanas programmatūru no pirmajiem s.tage boot loader līdz Linux kodolam.
Saistītā informācija Intel Agilex 7 SoC Secure Boot Demo Design

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 56

Sūtīt atsauksmes

5. Papildu funkcijas 683823 | 2023.05.23
5.6.2. Drošs datu objektu pakalpojums
Jūs nosūtāt komandas, izmantojot SDM pastkasti, lai veiktu SDOS objektu šifrēšanu un atšifrēšanu. Varat izmantot SDOS funkciju pēc SDOS saknes atslēgas nodrošināšanas.
Saistītā informācija Drošu datu objektu pakalpojuma saknes atslēgas nodrošināšana 30. lpp
5.6.3. SDM kriptogrāfijas primitīvie pakalpojumi
Jūs nosūtāt komandas, izmantojot SDM pastkasti, lai sāktu SDM kriptogrāfijas primitīvā pakalpojuma darbības. Daži kriptogrāfijas primitīvie pakalpojumi pieprasa, lai uz SDM un no tā tiktu pārsūtīts vairāk datu, nekā var pieņemt pastkastes saskarne. Šādos gadījumos formāta komanda mainās, lai nodrošinātu norādes uz atmiņā esošajiem datiem. Turklāt jums ir jāmaina pastkastes klienta Intel FPGA IP instantiācija, lai izmantotu SDM kriptogrāfijas primitīvos pakalpojumus no FPGA auduma loģikas. Papildus jāiestata parametrs Enable Crypto Service uz 1 un jaunizveidotais AXI iniciatora interfeiss ir jāsavieno ar atmiņu savā dizainā.
21. attēls. SDM kriptogrāfijas pakalpojumu iespējošana pastkastes klientā Intel FPGA IP

5.7. Bitu straumes drošības iestatījumi (FM/S10)
FPGA bitu plūsmas drošības opcijas ir politiku kopums, kas ierobežo norādīto līdzekli vai darbības režīmu noteiktā laika posmā.
Bitu plūsmas drošības opcijas sastāv no karodziņiem, kurus iestatījāt programmatūrā Intel Quartus Prime Pro Edition. Šie karodziņi tiek automātiski kopēti konfigurācijas bitu plūsmās.
Varat pastāvīgi ieviest drošības opcijas ierīcē, izmantojot atbilstošo drošības iestatījumu eFuse.
Lai izmantotu jebkādus drošības iestatījumus konfigurācijas bitu plūsmā vai ierīces eFuses, ir jāiespējo autentifikācijas funkcija.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 57

5. Papildu funkcijas 683823 | 2023.05.23
5.7.1. Drošības opciju atlase un iespējošana
Lai atlasītu un iespējotu drošības opcijas, rīkojieties šādi: Izvēlnē Assignments atlasiet Device Device and Pin Options Security Papildu opcijas… 22. attēls. Drošības opciju atlase un iespējošana

Un pēc tam nolaižamajos sarakstos atlasiet vērtības tām drošības opcijām, kuras vēlaties iespējot, kā parādīts tālāk norādītajā piemērāample:
23. attēls. Drošības opciju vērtību atlasīšana

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 58

Sūtīt atsauksmes

5. Papildu funkcijas 683823 | 2023.05.23
Tālāk ir norādītas atbilstošās izmaiņas Quartus Prime iestatījumos .qsf file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG “ON CHECK” set_global_assignment -nosaukums SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE "ON STICKY" set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -nosaukums SECU_OPTION_DISABLE_global_VIRTUONECTION_NAME SECU_OPTION_DISABLE_VIRTUON. _EFUSES ON set_global_assignment -nosaukums SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -nosaukums SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_SEY_DISABTIONONCEY_assignment PTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES IESLĒGTS set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEYON

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 59

683823 | 2023.05.23 Sūtīt atsauksmes

Problēmu novēršana

Šajā nodaļā ir aprakstītas izplatītākās kļūdas un brīdinājuma ziņojumi, kas var rasties, mēģinot izmantot ierīces drošības līdzekļus, un to novēršanas pasākumi.
6.1. Quartus komandu izmantošana Windows vides kļūdā
Kļūda quartus_pgm: komanda nav atrasta Apraksts Šī kļūda tiek parādīta, mēģinot izmantot Quartus komandas NIOS II apvalkā Windows vidē, izmantojot WSL. Izšķirtspēja Šī komanda darbojas Linux vidē; Windows saimniekiem izmantojiet šādu komandu: quartus_pgm.exe -h Tāpat lietojiet to pašu sintaksi citām Quartus Prime komandām, piemēram, quartus_pfg, quartus_sign, quartus_encrypt, kā arī citām komandām.

ISO 9001: 2015 reģistrēts

6. Traucējummeklēšana 683823 | 2023.05.23

6.2. Privātās atslēgas brīdinājuma ģenerēšana

Brīdinājums:

Norādītā parole tiek uzskatīta par nedrošu. Intel iesaka izmantot vismaz 13 rakstzīmes paroli. Ieteicams nomainīt paroli, izmantojot OpenSSL izpildāmo failu.

openssl ec -in - ārā -aes256

Apraksts
Šis brīdinājums ir saistīts ar paroles stiprumu un tiek parādīts, mēģinot ģenerēt privāto atslēgu, izdodot šādas komandas:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Izšķirtspēja Izmantojiet openssl izpildāmo failu, lai norādītu garāku un tādējādi spēcīgāku paroli.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 61

6. Traucējummeklēšana 683823 | 2023.05.23
6.3. Paraksta atslēgas pievienošana Quartus projekta kļūdai
Kļūda…File satur saknes atslēgas informāciju…
Apraksts
Pēc parakstīšanas atslēgas pievienošanas .qky file uz Quartus projektu, jums ir atkārtoti jāsamontē .sof file. Kad pievienojat šo atjaunoto .sof file uz atlasīto ierīci, izmantojot Quartus Programmer, šāds kļūdas ziņojums norāda, ka file satur saknes atslēgas informāciju:
Neizdevās pievienotfile-ceļa nosaukums> uz Programmētājs. The file satur saknes atslēgas informāciju (.qky). Tomēr Programmētājs neatbalsta bitu straumes parakstīšanas funkciju. Varat izmantot programmēšanu File Ģenerators, lai pārveidotu file uz parakstīto Raw Binary file (.rbf) konfigurācijai.
Izšķirtspēja
Izmantojiet Quartus programmēšanu file ģenerators, lai pārveidotu file parakstītā neapstrādātā binārā File .rbf konfigurācijai.
Saistītās informācijas parakstīšanas konfigurācijas bitu plūsma, izmantojot komandu quartus_sign 13. lpp

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 62

Sūtīt atsauksmes

6. Traucējummeklēšana 683823 | 2023.05.23
6.4. Quartus Prime programmēšanas ģenerēšana File bija neveiksmīgs
Kļūda
Kļūda (20353): X publiskās atslēgas no QKY neatbilst privātajai atslēgai no PEM file.
Kļūda (20352): neizdevās parakstīt bitu straumi, izmantojot python skriptu agilex_sign.py.
Kļūda: Quartus Prime programmēšana File Ģenerators nedarbojās.
Apraksts Ja mēģināt parakstīt konfigurācijas bitu straumi, izmantojot nepareizu privāto atslēgu .pem file vai .pem file kas neatbilst projektam pievienotajam .qky, tiek parādītas iepriekš minētās izplatītās kļūdas. Risinājums Pārliecinieties, vai bitu straumes parakstīšanai izmantojat pareizo privāto atslēgu .pem.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 63

6. Traucējummeklēšana 683823 | 2023.05.23
6.5. Nezināmas argumentu kļūdas
Kļūda
Kļūda (23028): nezināms arguments “ûc”. Juridiskos argumentus skatiet palīdzības sadaļā.
Kļūda (213008): programmēšanas opciju virkne “ûp” ir nelikumīga. Lai iegūtu juridisko programmēšanas opciju formātus, skatiet –palīdzību.
Apraksts Ja kopējat un ielīmējat komandrindas opcijas no .pdf faila file Windows NIOS II čaulā varat saskarties ar nezināmu argumentu kļūdām, kā parādīts iepriekš. Izšķirtspēja Šādos gadījumos komandas var ievadīt manuāli, nevis ielīmēt no starpliktuves.

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 64

Sūtīt atsauksmes

6. Traucējummeklēšana 683823 | 2023.05.23
6.6. Bitu plūsmas šifrēšanas opcija ir atspējota kļūda
Kļūda
Nevar pabeigt šifrēšanu file dizains .sof, jo tas tika kompilēts ar atspējotu bitu plūsmas šifrēšanas opciju.
Apraksts Ja mēģināt šifrēt bitu straumi, izmantojot GUI vai komandrindu pēc tam, kad esat kompilējis projektu ar atspējotu bitu plūsmas šifrēšanas opciju, Quartus noraida komandu, kā parādīts iepriekš.
Risinājums Pārliecinieties, ka esat kompilējis projektu ar iespējotu bitu plūsmas šifrēšanas opciju, izmantojot GUI vai komandrindu. Lai iespējotu šo opciju GUI, ir jāatzīmē šīs opcijas izvēles rūtiņa.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 65

6. Traucējummeklēšana 683823 | 2023.05.23
6.7. Pareiza atslēgas ceļa norādīšana
Kļūda
Kļūda (19516): Atklāta programmēšana File Ģeneratora iestatījumu kļūda: nevar atrast atslēgu_file'. Pārliecinieties, ka file atrodas paredzētajā vietā vai atjauniniet iestatījumu.sec
Kļūda (19516): Atklāta programmēšana File Ģeneratora iestatījumu kļūda: nevar atrast atslēgu_file'. Pārliecinieties, ka file atrodas paredzētajā vietā vai atjauniniet iestatījumu.
Apraksts
Ja izmantojat atslēgas, kas ir saglabātas file sistēmā, jums ir jānodrošina, lai tie norādītu pareizo ceļu bitu straumes šifrēšanai un parakstīšanai izmantotajām atslēgām. Ja Programmēšana File Ģenerators nevar noteikt pareizo ceļu, tiek parādīti iepriekš minētie kļūdu ziņojumi.
Izšķirtspēja
Skatiet sadaļu Quartus Prime iestatījumi .qsf file lai atrastu pareizos taustiņu ceļus. Noteikti izmantojiet relatīvos ceļus, nevis absolūtos ceļus.

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 66

Sūtīt atsauksmes

6. Traucējummeklēšana 683823 | 2023.05.23
6.8. Neatbalstītas izvades izmantošana File Tips
Kļūda
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Kļūda (19511): neatbalstīta izvade file veids (ebf). Izmantojiet opciju “-l” vai “–list”, lai parādītu atbalstīto file tipa informāciju.
Apraksts Izmantojot Quartus programmēšanu File Ģenerators, lai ģenerētu šifrētu un parakstītu konfigurācijas bitu straumi, jūs varat redzēt iepriekš minēto kļūdu, ja izvade netiek atbalstīta file veids ir norādīts. Izšķirtspēja Izmantojiet -l vai -list opciju, lai skatītu atbalstīto sarakstu file veidi.

Sūtīt atsauksmes

Intel Agilex® 7 Device Security lietotāja rokasgrāmata 67

683823 | 2023.05.23 Sūtīt atsauksmes
7. Intel Agilex 7 Device Security lietotāja rokasgrāmatas arhīvi
Lai iegūtu jaunāko un iepriekšējo šīs lietotāja rokasgrāmatas versiju, skatiet Intel Agilex 7 Device Security lietotāja rokasgrāmatu. Ja IP vai programmatūras versija nav norādīta sarakstā, ir spēkā iepriekšējās IP vai programmatūras versijas lietotāja rokasgrāmata.

ISO 9001: 2015 reģistrēts

683823 | 2023.05.23 Sūtīt atsauksmes

8. Intel Agilex 7 Device Security lietotāja rokasgrāmatas pārskatīšanas vēsture

Dokumenta versija 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumenti / Resursi

Intel Agilex 7 ierīču drošība [pdfLietotāja rokasgrāmata
Agilex 7 ierīču drošība, Agilex 7, ierīču drošība, drošība

Atsauces

Lietotāja rokasgrāmata

Intel Agilex 7 ierīču drošība

Informācija par produktu

Produkta lietošanas instrukcijas

Bieži uzdotie jautājumi

Ierīces drošība beigusiesview

Autentifikācija un autorizācija

AES bitu plūsmas šifrēšana

Ierīču nodrošināšana

Papildu funkcijas

Problēmu novēršana

Dokumenti / Resursi

Atsauces

Atstājiet komentāru

Atcelt atbildi