Intel Agilex 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага

Intel нь бүтээгдэхүүний аюулгүй байдлыг хангах үүрэг хүлээдэг бөгөөд хэрэглэгчдэд өгсөн бүтээгдэхүүний аюулгүй байдлын нөөцтэй танилцахыг зөвлөж байна. Эдгээр нөөцийг Intel-ийн бүтээгдэхүүний ашиглалтын туршид ашиглах ёстой.

2. Төлөвлөсөн аюулгүй байдлын онцлогууд

Intel Quartus Prime Pro Edition программ хангамжийг ирээдүйд гаргахын тулд дараах хамгаалалтын функцуудыг төлөвлөж байна.

Хэсэгчилсэн дахин тохируулгын бит урсгалын аюулгүй байдлын баталгаажуулалт: Хэсэгчилсэн дахин тохируулгын (PR) бит урсгалууд нь бусад PR persona бит урсгалуудад хандах эсвэл саад болохгүй гэсэн нэмэлт баталгааг өгдөг.

Физик анти-Т-ийн хувьд өөрөө өөрийгөө хөнөөх төхөөрөмжamper: Төхөөрөмжийг арчих эсвэл төхөөрөмжийг тэглэх хариу үйлдэл хийж, төхөөрөмжийг дахин тохируулахаас сэргийлэхийн тулд eFuses программчилна.

3. Аюулгүй байдлын баримт бичиг

Дараах хүснэгтэд Intel FPGA болон Structured ASIC төхөөрөмжүүд дээрх төхөөрөмжийн аюулгүй байдлын боломжит баримт бичгүүдийг жагсаав.

Баримт бичгийн нэр	Зорилго
Intel FPGA болон Structured ASIC хэрэглэгчийн аюулгүй байдлын арга зүй Хөтөч	Нарийвчилсан тайлбарыг агуулсан дээд түвшний баримт бичиг Intel программчлагдсан шийдэл дэх аюулгүй байдлын онцлог, технологи Бүтээгдэхүүн. Хэрэглэгчдэд шаардлагатай хамгаалалтын функцуудыг сонгоход тусалдаг аюулгүй байдлын зорилгодоо хүрэх.
Intel Stratix 10 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага	Intel Stratix 10 төхөөрөмжүүдийг хэрэглэгчдэд хэрэгжүүлэх заавар Аюулгүй байдлын аргачлалыг ашиглан тодорхойлсон хамгаалалтын шинж чанарууд Хэрэглэгчийн гарын авлага.
Intel Agilex 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага	Intel Agilex 7 төхөөрөмжүүдийг хэрэглэгчдэд хэрэгжүүлэх заавар Аюулгүй байдлын аргачлалыг ашиглан тодорхойлсон хамгаалалтын шинж чанарууд Хэрэглэгчийн гарын авлага.
Intel eASIC N5X төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага	Intel eASIC N5X төхөөрөмжүүдийг хэрэглэгчдэд хэрэгжүүлэх заавар Аюулгүй байдлын аргачлалыг ашиглан тодорхойлсон хамгаалалтын шинж чанарууд Хэрэглэгчийн гарын авлага.
Intel Agilex 7 болон Intel eASIC N5X HPS криптографийн үйлчилгээ Хэрэглэгчийн гарын авлага	Хэрэгжилтийн талаарх HPS программ хангамжийн инженерүүдэд зориулсан мэдээлэл мөн криптографийн үйлчилгээнд нэвтрэхийн тулд HPS програм хангамжийн санг ашиглах SDM-ээс өгсөн.
AN-968 Хар Түлхүүр хангах үйлчилгээний хурдан эхлүүлэх гарын авлага	Хар түлхүүрийн нөөцийг тохируулах алхмуудыг гүйцээнэ үү үйлчилгээ.

Байнга асуудаг асуултууд

А: Аюулгүй байдлын арга зүйн хэрэглэгчийн гарын авлагын зорилго юу вэ?

Х: Аюулгүй байдлын аргачлалын хэрэглэгчийн гарын авлага нь Intel програмчлагдсан шийдлийн бүтээгдэхүүний аюулгүй байдлын онцлог, технологийн дэлгэрэнгүй тайлбарыг агуулдаг. Энэ нь хэрэглэгчдэд аюулгүй байдлын зорилгодоо хүрэхийн тулд шаардлагатай хамгаалалтын функцуудыг сонгоход тусалдаг.

А: Intel Agilex 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлагыг хаанаас олох вэ?

Х: Intel Agilex 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлагыг Intel-ийн нөөц ба дизайны төвөөс олж болно webсайт.

А: Хар Түлхүүр хангах үйлчилгээ гэж юу вэ?

Х: Хар Түлхүүр Нөөцлөх үйлчилгээ нь аюулгүй ажиллагааны үндсэн нөөцийг тохируулах цогц алхмуудыг агуулсан үйлчилгээ юм.

View Fullscreen

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага
Intel® Quartus® Prime Design Suite-д шинэчлэгдсэн: 23.1

Онлайн хувилбар Санал хүсэлт илгээх

УГ-20335

683823 2023.05.23

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 2

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 3

683823 | 2023.05.23 Санал хүсэлт илгээх
1. Intel Agilex® 7

Төхөөрөмжийн аюулгүй байдал дууссанview

Intel® нь Intel Agilex® 7 төхөөрөмжүүдийг тусгай зориулалтын, өндөр тохируулгатай аюулгүй байдлын техник хангамж, программ хангамжаар бүтээдэг.
Энэхүү баримт бичиг нь Intel Quartus® Prime Pro Edition программ хангамжийг өөрийн Intel Agilex 7 төхөөрөмжид аюулгүй байдлын функцуудыг хэрэгжүүлэхэд ашиглах зааварчилгааг агуулна.
Нэмж дурдахад Intel FPGA болон Structured ASIC-ийн аюулгүй байдлын аргачлалыг Intel Resource & Design Center дээрээс авах боломжтой. Энэхүү баримт бичиг нь аюулгүй байдлын зорилгодоо хүрэхэд шаардлагатай хамгаалалтын функцуудыг сонгоход тань туслах Intel программчлагдсан шийдлийн бүтээгдэхүүнээр дамжуулан ашиглах боломжтой хамгаалалтын функцууд болон технологийн нарийвчилсан тайлбарыг агуулдаг. Intel FPGA болон Structured ASIC-н хэрэглэгчийн гарын авлагад зориулсан аюулгүй байдлын арга зүйд хандахын тулд 14014613136 лавлагааны дугаартай Intel-ийн дэмжлэгтэй холбогдоно уу.
Баримт бичгийг дараах байдлаар зохион байгуулна: · Authentication and Authorization: Үүсгэх зааварчилгааг өгнө
баталгаажуулалтын түлхүүрүүд болон гарын үсгийн гинж, зөвшөөрөл, хүчингүй болгох, объектод гарын үсэг зурах, Intel Agilex 7 төхөөрөмж дээрх нэвтрэлт таних функцуудыг программчилна. · AES Bitstream Encryption: AES root түлхүүр үүсгэх, тохиргооны бит урсгалыг шифрлэх, Intel Agilex 7 төхөөрөмжүүдэд AES root түлхүүр өгөх зааварчилгааг өгнө. · Төхөөрөмжийн хангамж: Intel Agilex 7 төхөөрөмжүүдийн аюулгүй байдлын функцуудыг програмчлахад Intel Quartus Prime программист болон Secure Device Manager (SDM) программ хангамжийг ашиглах зааварчилгааг өгдөг. · Нарийвчилсан функцууд: Аюулгүй дибаг хийх зөвшөөрөл, хатуу процессорын систем (HPS) дибаг хийх, алсын зайн системийн шинэчлэлт зэрэг аюулгүй байдлын дэвшилтэт функцуудыг идэвхжүүлэх зааварчилгааг өгдөг.
1.1. Бүтээгдэхүүний аюулгүй байдлыг хангах амлалт
Intel-ийн аюулгүй байдлын төлөөх удаан хугацааны амлалт хэзээ ч ийм хүчтэй байгаагүй. Intel танд манай бүтээгдэхүүний аюулгүй байдлын нөөцтэй танилцаж, тэдгээрийг Intel бүтээгдэхүүнийхээ ашиглалтын туршид ашиглахаар төлөвлөхийг зөвлөж байна.
Холбогдох мэдээлэл · Intel дээрх бүтээгдэхүүний аюулгүй байдал · Intel бүтээгдэхүүний аюулгүй байдлын төвийн зөвлөгөө

Intel корпораци. Бүх эрх хуулиар хамгаалагдсан. Intel, Intel лого болон бусад Intel тэмдэг нь Intel корпораци эсвэл түүний охин компаниудын худалдааны тэмдэг юм. Intel нь өөрийн FPGA болон хагас дамжуулагч бүтээгдэхүүнүүдээ Intel-ийн стандарт баталгааны дагуу одоогийн техникийн үзүүлэлтүүдэд нийцүүлэн ажиллуулах баталгаа өгдөг ч аливаа бүтээгдэхүүн, үйлчилгээнд ямар ч үед мэдэгдэлгүйгээр өөрчлөлт оруулах эрхтэй. Intel нь бичгээр тохиролцсоноос бусад тохиолдолд энд дурдсан аливаа мэдээлэл, бүтээгдэхүүн, үйлчилгээг ашиглах, ашиглахаас үүдэн гарах хариуцлага, хариуцлага хүлээхгүй. Intel-ийн хэрэглэгчид нийтлэгдсэн мэдээлэлд найдах, бүтээгдэхүүн, үйлчилгээний захиалга өгөхөөс өмнө төхөөрөмжийн техникийн үзүүлэлтүүдийн хамгийн сүүлийн хувилбарыг авахыг зөвлөж байна. *Бусад нэр, брэндийг бусдын өмч гэж үзэж болно.

ISO 9001:2015 Бүртгэгдсэн

1. Intel Agilex® 7 төхөөрөмжийн аюулгүй байдал дууссанview 683823 | 2023.05.23

1.2. Төлөвлөсөн аюулгүй байдлын онцлогууд

Энэ хэсэгт дурдсан функцуудыг Intel Quartus Prime Pro Edition программ хангамжийн ирээдүйд гаргахаар төлөвлөж байна.

Жич:

Энэ хэсгийн мэдээлэл нь урьдчилсан мэдээлэл юм.

1.2.1. Хэсэгчилсэн дахин тохируулга Бит урсгалын аюулгүй байдлын баталгаажуулалт
Хэсэгчилсэн дахин тохируулах (PR) бит урсгалын аюулгүй байдлын баталгаажуулалт нь PR persona бит урсгалууд нь бусад PR persona бит урсгалуудад хандах эсвэл саад болохгүй гэсэн нэмэлт баталгааг өгөхөд тусалдаг.

1.2.2. Физик анти-Т-ийн хувьд өөрөө өөрийгөө хөнөөх төхөөрөмжamper
Төхөөрөмжийг өөрөө устгах нь төхөөрөмжийг устгах эсвэл төхөөрөмжийг тэглэх хариу үйлдэл хийж, төхөөрөмжийг дахин тохируулахаас урьдчилан сэргийлэхийн тулд eFuses программчилдаг.

1.3. Аюулгүй байдлын баримт бичиг

Хүснэгт 1.

Боломжтой төхөөрөмжийн аюулгүй байдлын баримт бичиг

Баримт бичгийн нэр
Intel FPGA болон Structured ASIC-ийн аюулгүй байдлын аргачлалын хэрэглэгчийн гарын авлага

Зорилго
Intel програмчлагдсан шийдлийн бүтээгдэхүүн дэх аюулгүй байдлын онцлог, технологийн нарийвчилсан тайлбарыг агуулсан дээд түвшний баримт бичиг. Аюулгүй байдлын зорилгодоо хүрэхэд шаардлагатай хамгаалалтын функцуудыг сонгоход тань туслах зорилготой.

Баримт бичгийн ID 721596

Intel Stratix 10 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага
Intel Agilex 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага

Intel Stratix 10 төхөөрөмжүүдийн хэрэглэгчдэд зориулсан энэхүү гарын авлага нь Аюулгүй байдлын аргачлалын хэрэглэгчийн гарын авлагыг ашиглан тодорхойлсон хамгаалалтын функцуудыг хэрэгжүүлэхийн тулд Intel Quartus Prime Pro Edition програм хангамжийг ашиглах зааврыг агуулдаг.
Intel Agilex 7 төхөөрөмжүүдийн хэрэглэгчдэд зориулсан энэхүү гарын авлага нь Аюулгүй байдлын аргачлалын хэрэглэгчийн гарын авлагыг ашиглан тодорхойлсон хамгаалалтын функцуудыг хэрэгжүүлэхийн тулд Intel Quartus Prime Pro Edition програм хангамжийг ашиглах зааврыг агуулна.

683642 683823

Intel eASIC N5X төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага

Intel eASIC N5X төхөөрөмжүүдийн хэрэглэгчдэд зориулсан энэхүү гарын авлага нь Аюулгүй байдлын аргачлалын хэрэглэгчийн гарын авлагыг ашиглан тодорхойлсон хамгаалалтын функцуудыг хэрэгжүүлэхийн тулд Intel Quartus Prime Pro Edition програм хангамжийг ашиглах зааврыг агуулдаг.

626836

Intel Agilex 7 болон Intel eASIC N5X HPS криптографийн үйлчилгээний хэрэглэгчийн гарын авлага

Энэхүү гарын авлага нь HPS програм хангамжийн инженерүүдэд SDM-ээс үзүүлж буй криптографийн үйлчилгээнд нэвтрэхийн тулд HPS програм хангамжийн сангуудыг хэрэгжүүлэх, ашиглахад туслах мэдээллийг агуулна.

713026

AN-968 Хар Түлхүүр хангах үйлчилгээний хурдан эхлүүлэх гарын авлага

Энэхүү гарын авлага нь Хар Түлхүүр бэлтгэх үйлчилгээг тохируулах иж бүрэн алхмуудыг агуулна.

739071

Байршил Intel Resource болон
Дизайн төв
Intel.com
Intel.com
Intel-ийн нөөц ба дизайны төв
Intel-ийн нөөц ба дизайны төв
Intel-ийн нөөц ба дизайны төв

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 5

683823 | 2023.05.23 Санал хүсэлт илгээх

Баталгаажуулалт ба зөвшөөрөл

Intel Agilex 7 төхөөрөмжийн баталгаажуулалтын функцийг идэвхжүүлэхийн тулд та Intel Quartus Prime Pro Edition программ хангамж болон холбогдох хэрэгслүүдийг ашиглан гарын үсгийн хэлхээг үүсгэж эхэлнэ. Гарын үсгийн хэлхээ нь үндсэн түлхүүр, нэг буюу хэд хэдэн гарын үсэг зурах түлхүүр, холбогдох зөвшөөрлөөс бүрдэнэ. Та гарын үсгийн хэлхээг өөрийн Intel Quartus Prime Pro Edition төсөл болон эмхэтгэсэн програмчлалдаа хэрэглэнэ fileс. Үндсэн түлхүүрээ Intel Agilex 7 төхөөрөмжид програмчлахын тулд Төхөөрөмжийн хангамжийн зааврыг ашиглана уу.
Холбогдох мэдээлэл
Төхөөрөмжийн хангамж 25-р хуудас

2.1. Гарын үсэг зурах хэлхээ үүсгэх
Та гарын үсгийн хэлхээний үйлдлийг гүйцэтгэхийн тулд quartus_sign хэрэгсэл эсвэл agilex_sign.py лавлагааны хэрэгжилтийг ашиглаж болно. Энэхүү баримт бичиг нь жишээлбэлampquartus_sign ашиглаж байна.
Лавлагааны хэрэгжилтийг ашиглахын тулд та Intel Quartus Prime програм хангамжид багтсан Python хэлмэрч рүү залгах ба –family=agilex сонголтыг орхих; бусад бүх сонголтууд тэнцүү байна. Жишээ ньample, quartus_sign командыг энэ хэсгийн сүүлд олж болно
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky-г дараах байдлаар лавлагааны хэрэгжилттэй дүйцэхүйц дуудлага болгон хувиргаж болно.
pgm_py agilex_sign.py –operation=root_root root_public.pem root.qky

Intel Quartus Prime Pro Edition програм хангамж нь quartus_sign, pgm_py, agilex_sign.py хэрэгслүүдийг агуулдаг. Та Nios® II командын бүрхүүлийн хэрэглүүрийг ашиглаж болох бөгөөд энэ нь хэрэгслүүдэд хандахын тулд тохирох орчны хувьсагчдыг автоматаар тохируулдаг.

Nios II командын бүрхүүлийг гаргахын тулд эдгээр зааврыг дагана уу. 1. Nios II командын бүрхүүлийг гарга.

Сонголт Windows
Линукс

Тодорхойлолт
"Эхлүүлэх" цэсэн дээр "Programs Intel FPGA Nios II EDS" хэсгийг заана уу болон Nios II дээр дарна уу Command Shell.
Командын бүрхүүлд гэж өөрчилнө /nios2eds ба дараах тушаалыг ажиллуулна уу:
./nios2_command_shell.sh

эксampЭнэ хэсгийн les нь гарын үсгийн хэлхээ болон тохиргооны бит урсгал гэж үздэг files нь одоогийн ажлын лавлахад байрлана. Хэрэв та хуучин хүнийг дагахаар шийдсэн болamples хаана түлхүүр fileдээр хадгалагдаж байна file систем, тэдгээр жишээлбэлampтүлхүүр гэж бодъё files байна

ISO 9001:2015 Бүртгэгдсэн

2. Баталгаажуулалт ба Зөвшөөрөл 683823 | 2023.05.23
одоогийн ажлын лавлахад байрладаг. Та аль лавлахыг ашиглахаа сонгож болно, хэрэгслүүд нь харьцангуй дэмждэг file замууд. Хэрэв та түлхүүрээ хадгалахаар шийдсэн бол fileдээр байна file системийн хувьд та тэдгээрт хандах зөвшөөрлийг анхааралтай удирдах ёстой files.
Intel нь криптографийн түлхүүрүүдийг хадгалах, криптографийн үйлдлүүдийг гүйцэтгэхэд худалдаанд гарсан Тоног төхөөрөмжийн аюулгүй байдлын модулийг (HSM) ашиглахыг зөвлөж байна. Quartus_sign хэрэгсэл болон лавлагааны хэрэгжилт нь гарын үсгийн хэлхээний үйлдлийг гүйцэтгэх явцад HSM-тэй харилцахын тулд Нийтийн Түлхүүр Криптографийн Стандарт №11 (PKCS #11) Хэрэглээний Програмчлалын Интерфэйс (API) агуулдаг. agilex_sign.py лавлагааны хэрэгжилт нь интерфэйсийн хийсвэр болон хуучин хувилбарыг агуулдагampSoftHSM-ийн интерфейс.
Та эдгээр өмнөх хувилбаруудыг ашиглаж болноample интерфэйсүүд нь таны HSM-д интерфэйсийг хэрэгжүүлэх. HSM-ийн интерфейсийг хэрэгжүүлэх, ажиллуулах талаар нэмэлт мэдээлэл авахыг хүсвэл HSM худалдагчаас авсан баримт бичгүүдийг үзнэ үү.
SoftHSM нь OpenDNSSEC® төслөөс ашиглах боломжтой PKCS #11 интерфэйс бүхий ерөнхий криптограф төхөөрөмжийн програм хангамжийн хэрэгжилт юм. Та OpenDNSSEC төслөөс OpenHSM-г хэрхэн татаж авах, бүтээх, суулгах заавар зэрэг дэлгэрэнгүй мэдээллийг авах боломжтой. эксampЭнэ хэсгийн програмууд нь SoftHSM 2.6.1 хувилбарыг ашигладаг. эксampЭнэ хэсэгт байгаа les нь SoftHSM жетоноор нэмэлт PKCS #11 үйлдлүүдийг гүйцэтгэхийн тулд OpenSC-ийн pkcs11-хэрэгслийн хэрэгслийг нэмж ашигладаг. Та OpenSC-ээс pkcs11tool-ийг хэрхэн татаж авах, бүтээх, суулгах заавар зэрэг нэмэлт мэдээллийг олж авах боломжтой.
Холбогдох мэдээлэл
· OpenDNSSEC төсөл DNSSEC түлхүүрүүдийг хянах үйл явцыг автоматжуулах бодлогод суурилсан бүс гарын үсэг зурагч.
· SoftHSM PKCS #11 интерфэйсээр дамжуулан нэвтрэх боломжтой криптографийн дэлгүүрийн хэрэгжилтийн талаарх мэдээлэл.
· OpenSC нь ухаалаг карттай ажиллах боломжтой сангууд болон хэрэгслүүдийн багцыг хангадаг.
2.1.1. Локал дээр баталгаажуулалтын түлхүүр хос үүсгэх File Систем
Та quartus_sign хэрэгслийг ашиглан локал дээр гэрчлэлийн түлхүүрийн хос үүсгэх боломжтой file make_private_pem болон make_public_pem хэрэгслийн үйлдлийг ашиглан систем. Та эхлээд make_private_pem үйлдлээр хувийн түлхүүр үүсгэнэ. Та ашиглах зууван муруй, хувийн түлхүүрийг зааж өгнө fileнэр болон хувийн түлхүүрийг нэвтрэх үгээр хамгаалах эсэх. Intel нь бүх хувийн түлхүүр дээр хүчтэй, санамсаргүй нэвтрэх үг үүсгэхийн тулд secp384r1 муруйг ашиглах, салбарын шилдэг туршлагыг дагаж мөрдөхийг зөвлөж байна. fileс. Intel мөн хязгаарлахыг зөвлөж байна file .pem хувийн түлхүүр дээрх системийн зөвшөөрөл fileЗөвхөн эзэмшигч нь унших боломжтой. Та make_public_pem үйлдлээр хувийн түлхүүрээс нийтийн түлхүүрийг гаргаж авдаг. Түлхүүрийг .pem гэж нэрлэх нь ашигтай files тайлбарлав. Энэхүү баримт бичиг нь конвенцийг ашигладаг _ .pem in дараах examples.
1. Nios II командын бүрхүүлд хувийн түлхүүр үүсгэхийн тулд дараах командыг ажиллуулна уу. Доор үзүүлсэн хувийн түлхүүрийг өмнөх хувилбарт үндсэн түлхүүр болгон ашигладагampгарын үсгийн хэлхээг үүсгэдэг les. Intel Agilex 7 төхөөрөмжүүд нь олон үндсэн түлхүүрүүдийг дэмждэг тул та

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 7

2. Баталгаажуулалт ба Зөвшөөрөл 683823 | 2023.05.23

шаардлагатай тооны үндсэн түлхүүрүүдийг үүсгэхийн тулд энэ алхамыг давтана уу. Жишээ ньampЭнэ баримт бичигт байгаа бүх зүйл нь эхний үндсэн түлхүүрийг хэлнэ, гэхдээ та ямар ч үндсэн түлхүүрээр ижил төстэй байдлаар гарын үсэг зурж болно.

Нууц үгтэй сонголт

Тодорхойлолт
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Сануулахад нэвтрэх үгийг оруулна уу.

Нууц үггүй

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Өмнөх алхамд үүсгэсэн хувийн түлхүүрийг ашиглан нийтийн түлхүүр үүсгэхийн тулд дараах тушаалыг ажиллуулна уу. Та нийтийн түлхүүрийн нууцлалыг хамгаалах шаардлагагүй.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Гарын үсгийн хэлхээнд дизайн гарын үсэг зурах түлхүүр болгон ашигладаг түлхүүрийн хослолыг үүсгэхийн тулд тушаалуудыг дахин ажиллуулна уу.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. SoftHSM дээр гэрчлэлийн түлхүүр хос үүсгэх
SoftHSM хуучинampЭнэ бүлэгт байгаа зүйлүүд нь өөртөө нийцдэг. Зарим параметрүүд нь таны SoftHSM суулгац болон SoftHSM доторх токеныг эхлүүлэхээс хамаарна.
Quartus_sign хэрэгсэл нь таны HSM-ийн PKCS #11 API номын сангаас хамаарна.
эксampЭнэ хэсэгт байгаа les нь SoftHSM номын санг дараах байршлуудын аль нэгэнд суулгасан гэж үздэг: · Linux дээрх /usr/local/lib/softhsm2.so · Windows-ийн 2 бит хувилбар дээрх C:SoftHSM2libsofthsm32.dll · C:SoftHSM2libsofthsm2-x64 Windows-ийн 64 битийн хувилбар дээр .dll.
SoftHSM доторх токеныг softhsm2-util хэрэгслийг ашиглан эхлүүлнэ үү:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Опционы параметрүүд, ялангуяа токен шошго болон токен зүү нь өмнөхampЭнэ бүлгийн турш ашигласан. Токен болон түлхүүрүүдийг үүсгэх, удирдахын тулд HSM үйлдвэрлэгчийн зааврыг дагаж мөрдөхийг Intel зөвлөж байна.
Та SoftHSM дээрх токентой харилцахын тулд pkcs11-хэрэгслийн хэрэгслээр баталгаажуулалтын түлхүүрийн хосуудыг үүсгэнэ. Хувийн болон нийтийн түлхүүрийг тодорхой дурдахын оронд .pem fileдахь s file систем жишээ ньamples, та товчлуурын хослолыг шошгон дээр нь заадаг бөгөөд хэрэгсэл нь тохирох түлхүүрийг автоматаар сонгоно.

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 8

Санал хүсэлт илгээх

2. Баталгаажуулалт ба Зөвшөөрөл 683823 | 2023.05.23

Дараах командуудыг ажиллуулна уу. Хожуу EX-д үндсэн түлхүүр болгон ашигладаг түлхүүрийн хослолыг үүсгэнэ үүamples, түүнчлэн гарын үсгийн хэлхээнд дизайн гарын үсэг зурах түлхүүр болгон ашигладаг түлхүүрийн хослол:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –механизм ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 – ашиглалтын тэмдэг – шошго root0 – id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –механизм ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 – ашиглалтын тэмдэг – шошгоны загвар0_тэмдэг – ID 1

Жич:

Энэ алхам дахь ID сонголт нь түлхүүр бүрт өвөрмөц байх ёстой, гэхдээ үүнийг зөвхөн HSM ашигладаг. Энэ ID сонголт нь гарын үсгийн хэлхээнд өгөгдсөн түлхүүр цуцлах ID-тай холбоогүй юм.

2.1.3. Гарын үсгийн гинжин хэлхээний эх оруулгыг үүсгэх
Үндсэн нийтийн түлхүүрийг локал дээр хадгалагдсан гарын үсгийн гинжин хэлхээний эх оруулга болгон хөрвүүлнэ file Intel Quartus Prime түлхүүр (.qky) форматтай систем file, make_root үйлдлээр. Өөрийн үүсгэсэн эх түлхүүр бүрийн хувьд энэ алхамыг давтана уу.
-ийн үндсэн нийтийн түлхүүрийг ашиглан үндсэн оруулгатай гарын үсгийн хэлхээ үүсгэхийн тулд дараах тушаалыг ажиллуулна уу file систем:
quartus_sign –family=agilex –operation=make_root –key_type=эзэмшигч root0_public.pem root0.qky
Өмнөх хэсэгт суулгасан SoftHSM жетоноос root түлхүүрийг ашиглан root оруулгатай гарын үсгийн хэлхээ үүсгэхийн тулд дараах тушаалыг ажиллуулна уу:
quartus_sign –family=agilex –operation=make_root –key_type=эзэмшигч –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm2/ ” root0 root0.qky

2.1.4. Гарын үсгийн сүлжээний нийтийн түлхүүрийн оруулгыг үүсгэх
append_key үйлдлээр гарын үсгийн хэлхээнд зориулж шинэ нийтийн түлхүүрийн оруулга үүсгэ. Та өмнөх гарын үсгийн хэлхээ, өмнөх гарын үсгийн гинжин хэлхээний сүүлчийн оруулгад зориулсан хувийн түлхүүр, дараагийн түвшний нийтийн түлхүүр, дараагийн түвшний нийтийн түлхүүрт олгох зөвшөөрөл, цуцлах ID, шинэ гарын үсгийн хэлхээг зааж өгнө. file.
SoftHSM номын сан нь Quartus суулгацтай хамт байхгүй тул тусад нь суулгах шаардлагатайг анхаарна уу. softHSM-ийн талаарх дэлгэрэнгүй мэдээллийг дээрх гарын үсгийн хэлхээ үүсгэх хэсгээс үзнэ үү.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 9

2. Баталгаажуулалт ба Зөвшөөрөл 683823 | 2023.05.23
Таны товчлуурын ашиглалтаас хамаарна file систем эсвэл HSM-д та дараах жишээнүүдийн аль нэгийг ашигладагample тушаалууд нь өмнөх хэсэгт үүсгэсэн үндсэн гарын үсгийн хэлхээнд design0_sign нийтийн түлхүүрийг хавсаргах болно:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2” –prename. root0 –өмнөх_qky=root0.qky –зөвшөөрөл=6 –цуцлах=0 –оролтын_түлхүүрийн нэр=загвар0_тэмдгийн загвар0_sign_chain.qky
Та нэг гарын үсгийн хэлхээн дэх үндсэн оруулга болон толгой хэсгийн блок оруулгын хооронд хамгийн ихдээ гурван нийтийн түлхүүр оруулахын тулд хавсаргах_түлхүүр үйлдлийг хоёр хүртэл удаа давтаж болно.
Дараах эксampТаныг design1_sign_public.pem нэртэй ижил зөвшөөрөлтэй, цуцлах ID 1-тэй өөр баталгаажуулалтын нийтийн түлхүүр үүсгэсэн гэж үзэж байгаа бөгөөд энэ түлхүүрийг өмнөх гарын үсгийн хэлхээнд хавсаргаж байна.ampле:
quartus_sign –family=agilex –operation=apppend_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2” –prename. design0_sign –өмнөх_qky=design0_sign_chain.qky –зөвшөөрөл=6 –цуцлах=1 –оролтын_түлхүүрийн нэр=загвар1_тэмдгийн загвар1_sign_chain.qky
Intel Agilex 7 төхөөрөмжүүд нь тухайн төхөөрөмжийн ашиглалтын хугацаанд үе үе өөрчлөгдөж болох түлхүүрийн хэрэглээг хөнгөвчлөх нэмэлт түлхүүр цуцлах тоолууртай. Та –cancel сонголтын аргументыг pts:pts_value болгож өөрчилснөөр энэ түлхүүр цуцлах тоолуурыг сонгож болно.
2.2. Тохируулгын бит урсгалд гарын үсэг зурж байна
Intel Agilex 7 төхөөрөмжүүд нь аюулгүй байдлын хувилбарын дугаар (SVN) тоолуурыг дэмждэг бөгөөд энэ нь танд түлхүүрийг цуцлахгүйгээр объектын зөвшөөрлийг хүчингүй болгох боломжийг олгодог. Та бит урсгалын хэсэг, програм хангамж .zip гэх мэт аливаа объектод гарын үсэг зурахдаа SVN тоолуур болон тохирох SVN тоолуурын утгыг оноож өгдөг. file, эсвэл авсаархан гэрчилгээ. Та SVN тоолуур болон SVN утгыг –cancel сонголт болон svn_counter:svn_value аргументыг ашиглан онооно. svn_counter-ийн хүчинтэй утга нь svnA, svnB, svnC болон svnD юм. svn_value нь [0,63] муж дахь бүхэл тоо юм.

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 10

Санал хүсэлт илгээх

2. Баталгаажуулалт ба Зөвшөөрөл 683823 | 2023.05.23
2.2.1. Квартын түлхүүр File Даалгавар
Та өөрийн Intel Quartus Prime программ хангамжийн төсөлдөө тухайн дизайны баталгаажуулалтын функцийг идэвхжүүлэхийн тулд гарын үсгийн хэлхээг зааж өгнө. Даалгавар цэснээс Device Device болон Pin Options Security Quartus Key-г сонгоно уу File, дараа нь .qky гарын үсгийн хэлхээг нээнэ үү file Та энэ загварт гарын үсэг зурахын тулд бүтээсэн.
Зураг 1. Configuration Bitstream Setting-ийг идэвхжүүлнэ

Эсвэл та Intel Quartus Prime тохиргоондоо дараах даалгаврын мэдэгдлийг нэмж болно file (.qsf):
set_global_assignment -Нэр QKY_FILE design0_sign_chain.qky
.sof үүсгэхийн тулд file Энэ тохиргоог багтаасан өмнө нь эмхэтгэсэн загвараас Боловсруулах цэснээс Start Assembler-г сонгоно уу. Шинэ гаралт .sof file өгөгдсөн гарын үсгийн гинжээр баталгаажуулалтыг идэвхжүүлэх даалгавруудыг багтаасан болно.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 11

2. Баталгаажуулалт ба Зөвшөөрөл 683823 | 2023.05.23
2.2.2. Хамтран гарын үсэг зурах SDM програм хангамж
Та quartus_sign хэрэгслийг ашиглан холбогдох SDM програм хангамжийг задлах, гарын үсэг зурах, суулгах .zip ашигладаг. file. Хамтран гарын үсэг зурсан программ хангамжийг дараа нь програмчлалд оруулна file .sof хөрвүүлэх үед генератор хэрэгсэл file тохиргооны бит урсгал руу .rbf file. Та шинэ гарын үсгийн хэлхээ үүсгэж, SDM програм хангамжийг гарын үсэг зурахын тулд дараах тушаалуудыг ашиглана.
1. Шинэ гарын үсэг зурах түлхүүрийн хослол үүсгэнэ үү.
а. дээр шинэ гарын үсэг зурах түлхүүр үүсгэнэ үү file систем:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
б. HSM-д шинэ гарын үсэг зурах түлхүүр үүсгэх:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -механизм ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 – ашиглалтын тэмдэг – шошгоны програм хангамж1 – ID 1
2. Шинэ нийтийн түлхүүр агуулсан гарын үсгийн шинэ хэлхээ үүсгэнэ үү:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2” –prename. root0 – өмнөх_qky = root0.qky – зөвшөөрөл = 1 – цуцлах = 1 – оролтын_түлхүүрийн нэр = програм хангамж1 firmware1_sign_chain.qky
3. .zip програмыг хуулна уу file таны Intel Quartus Prime Pro Edition програм хангамж суулгах лавлахаас ( /devices/programmer/firmware/ agilex.zip) одоогийн ажиллаж байгаа лавлах руу оруулна.
quartus_sign –family=agilex –get_firmware=.
4. Програм хангамжийн .zip дээр гарын үсэг зурна уу file. Энэхүү хэрэгсэл нь .zip файлыг автоматаар задалдаг file мөн бүх програм хангамжийн .cmf дээр тус тусад нь гарын үсэг зурдаг files, дараа нь .zip-г дахин бүтээдэг file Дараах хэсгүүдэд хэрэглэгдэх хэрэгслүүдэд зориулагдсан:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softsm/libsofthsm2.so”

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 12

Санал хүсэлт илгээх

2. Баталгаажуулалт ба Зөвшөөрөл 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Quartus_sign командыг ашиглан тохиргооны бит урсгалд гарын үсэг зурах
Quartus_sign командыг ашиглан тохиргооны бит урсгалд гарын үсэг зурахын тулд эхлээд .sof-г хөрвүүлнэ file гарын үсэггүй түүхий хоёртын файл руу file (.rbf) формат. Та хөрвүүлэх үе шатанд fw_source сонголтыг ашиглан хамтран гарын үсэг зурсан програм хангамжийг тохируулж болно.
Та дараах тушаалыг ашиглан гарын үсэг зураагүй түүхий бит урсгалыг .rbf форматаар үүсгэж болно:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Түлхүүрийнхээ байршлаас хамааран quartus_sign хэрэгслийг ашиглан бит урсгалд гарын үсэг зурахын тулд дараах командуудын аль нэгийг ажиллуулна уу.
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softsm/libsofthsm2=.so” –key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Та гарын үсэгтэй .rbf-г хөрвүүлж болно files бусад тохиргооны бит урсгал руу file форматууд.
Жишээ ньampХэрэв та Jam* стандарт тест ба програмчлалын хэл (STAPL) тоглуулагчийг ашиглан J дээр бит урсгалыг програмчилж байгаа болTAG, та .rbf-г хөрвүүлэхийн тулд дараах тушаалыг ашиглана file Jam STAPL тоглуулагчийн шаарддаг .jam формат руу:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Хэсэгчилсэн дахин тохируулах олон эрх бүхий дэмжлэг

Intel Agilex 7 төхөөрөмжүүд нь хэсэгчилсэн дахин тохируулах олон эрх бүхий баталгаажуулалтыг дэмждэг бөгөөд төхөөрөмжийн эзэмшигч нь статик бит урсгалыг үүсгэж, гарын үсэг зурдаг бөгөөд тусдаа PR эзэмшигч нь PR persona бит урсгалыг үүсгэж, гарын үсэг зурдаг. Intel Agilex 7 төхөөрөмжүүд нь төхөөрөмж эсвэл статик бит урсгал эзэмшигчид нэвтрэлт таних эх түлхүүрийн үүрийг оноож, хэсэгчилсэн дахин тохируулгын персона бит урсгал эзэмшигчид баталгаажуулалтын үндсэн түлхүүрийн үүрийг оноох замаар олон эрх бүхий дэмжлэгийг хэрэгжүүлдэг.
Хэрэв баталгаажуулалтын функц идэвхжсэн бол PR-ийн бүх дүр зураг, түүний дотор PR хувийн зураг дээр гарын үсэг зурсан байх ёстой. PR-ийн дүрсийг төхөөрөмжийн эзэмшигч эсвэл PR эзэмшигч гарын үсэг зурж болно; Гэсэн хэдий ч статик бүсийн бит урсгалуудад төхөөрөмжийн эзэмшигч гарын үсэг зурсан байх ёстой.

Жич:

Олон эрх бүхий дэмжлэгийг идэвхжүүлсэн үед статик болон хувь хүний бит урсгалын шифрлэлтийг хэсэгчлэн дахин тохируулахыг ирээдүйн хувилбарт хийхээр төлөвлөж байна.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 13

2. Баталгаажуулалт ба Зөвшөөрөл 683823 | 2023.05.23

Зураг 2.

Хэсэгчилсэн дахин тохируулгын олон эрх бүхий дэмжлэгийг хэрэгжүүлэхэд хэд хэдэн алхам шаардлагатай:
1. Төхөөрөмж эсвэл статик бит урсгал эзэмшигч нь 8-р хуудасны SoftHSM дээр гэрчлэх түлхүүрийн хос үүсгэх хэсэгт тайлбарласны дагуу нэг буюу хэд хэдэн баталгаажуулалтын үндсэн түлхүүрүүдийг үүсгэдэг бөгөөд энд –key_type сонголт нь утга эзэмшигчтэй байдаг.
2. Хэсэгчилсэн дахин тохируулгын бит урсгал эзэмшигч нь баталгаажуулалтын үндсэн түлхүүр үүсгэдэг боловч –key_type сонголтын утгыг secondary_owner болгон өөрчилдөг.
3. Статик бит урсгал болон хэсэгчилсэн дахин тохируулгын загвар эзэмшигчид аль аль нь Асsignments Device Device болон Pin Options Security tab дээр Олон эрх мэдлийн дэмжлэгийг идэвхжүүлэх нүдийг идэвхжүүлсэн эсэхийг баталгаажуулдаг.
Intel Quartus Prime нь олон эрх бүхий сонголтын тохиргоог идэвхжүүлнэ

4. Статик бит урсгал болон хэсэгчилсэн дахин тохируулгын дизайны эзэд хоёулаа 6-р хуудасны гарын үсгийн хэлхээ үүсгэх хэсэгт тайлбарласны дагуу тус тусын үндсэн түлхүүрүүд дээр тулгуурлан гарын үсгийн хэлхээг үүсгэдэг.
5. Статик бит урсгал болон хэсэгчилсэн дахин тохируулгын дизайны эзэд хоёулаа эмхэтгэсэн загвараа .rbf формат руу хөрвүүлдэг. files ба .rbf дээр гарын үсэг зурна уу files.
6. Төхөөрөмж эсвэл статик бит урсгал эзэмшигч нь PR нийтийн түлхүүрийн программын зөвшөөрлийн компакт гэрчилгээг үүсгэж, гарын үсэг зурдаг.
quartus_pfg –ccert эсвэл ccert_type=PR_PUBKEY_PROG_AUTH эсвэл эзэн_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softsm/libsofthsm2=.so” –key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 14

Санал хүсэлт илгээх

2. Баталгаажуулалт ба Зөвшөөрөл 683823 | 2023.05.23

7. Төхөөрөмж эсвэл статик бит урсгал эзэмшигч нь төхөөрөмжид нэвтрэлт танилтын үндсэн түлхүүрийн хэшүүдийг оруулж, дараа нь PR нийтийн түлхүүрийн программын зөвшөөрлийн авсаархан гэрчилгээг програмчилж, эцэст нь хэсэгчилсэн дахин тохируулгын бит урсгал эзэмшигчийн root түлхүүрийг төхөөрөмжид нийлүүлдэг. Төхөөрөмжийн хангамжийн хэсэг нь энэхүү хангамжийн үйл явцыг тайлбарладаг.
8. Intel Agilex 7 төхөөрөмж нь .rbf статик мужтай тохируулагдсан file.
9. Intel Agilex 7 төхөөрөмж нь .rbf persona дизайнаар хэсэгчлэн дахин тохируулагдсан file.
Холбогдох мэдээлэл
· 6-р хуудсанд гарын үсгийн хэлхээ үүсгэх
· SoftHSM дээр баталгаажуулах түлхүүрийн хос үүсгэх нь 8-р хуудас
· Төхөөрөмжийн хангамж 25-р хуудас

2.2.5. Бит урсгалын гарын үсгийн хэлхээг баталгаажуулж байна
Та гарын үсгийн хэлхээ болон гарын үсэг зурсан бит урсгалыг үүсгэсний дараа гарын үсэг зурсан бит урсгал нь өгөгдсөн үндсэн түлхүүрээр програмчлагдсан төхөөрөмжийг зөв тохируулж байгаа эсэхийг шалгаж болно. Та эхлээд үндсэн нийтийн түлхүүрийн хэшийг текст рүү хэвлэхийн тулд quartus_sign командын fuse_info үйлдлийг ашиглана. file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Дараа нь та quartus_pfg командын check_integrity сонголтыг ашиглан .rbf форматаар гарын үсэг зурсан бит урсгалын хэсэг бүр дээрх гарын үсгийн хэлхээг шалгана уу. check_integrity сонголт нь дараах мэдээллийг хэвлэдэг:
· Нийт бит урсгалын бүрэн бүтэн байдлын шалгалтын төлөв
· .rbf битийн урсгал дахь хэсэг бүрт хавсаргасан гарын үсгийн хэлхээ бүрийн оруулга бүрийн агуулга. file,
· Гарын үсэг бүрийн язгуур нийтийн түлхүүрийн хэшийн хүлээгдэж буй гал хамгаалагчийн утга.
Fuse_info гаралтын утга нь check_integrity гаралт дахь Гал хамгаалагчийн шугамтай тохирч байх ёстой.
quartus_pfg – бүрэн бүтэн байдлыг шалгах signed_bitstream.rbf

Энд хуучин хүн байнаampcheck_integrity командын гаралт:

Мэдээлэл: Команд: quartus_pfg –check_integrity signed_bitstream.rbf Бүрэн бүтэн байдлын төлөв: OK

Хэсэг

Төрөл: CMF

Гарын үсэг тодорхойлогч…

Гарын үсэг №0 (оруулга: -1, офсет: 96)

Оруулсан дугаар 0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Түлхүүр үүсгэх…

Муруй: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Түлхүүр үүсгэх…

Муруй: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 15

2. Баталгаажуулалт ба Зөвшөөрөл 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Оруулсан дугаар 1

Түлхүүр үүсгэх…

Муруй: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Оруулах дугаар 2 Түлхүүрийн оосорны зөвшөөрөл: SIGN_CODE Түлхүүрийн оосорыг ID: 3 дугаараар цуцалж болно.

Оруулсан дугаар 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Түлхүүр үүсгэх…

Муруй: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Түлхүүр үүсгэх…

Муруй: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Оруулсан дугаар 1

Түлхүүр үүсгэх…

Муруй: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Оруулсан дугаар 2

Түлхүүр үүсгэх…

Муруй: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Оруулах дугаар 3 Түлхүүрийн оосорын зөвшөөрөл: ТЭМДЭГИЙН_КОД Түлхүүрийн оосорыг ID: 15 дугаараар цуцалж болно. Гарын үсэг №2 (оруулга: -1, офсет: 0) Гарын үсгийн гинж №3 (оруулга: -1, офсет: 0) Гарын тэмдгийн гинж №4 (оруулга:: -1, офсет: 0) Гарын үсгийн хэлхээ №5 (оруулга: -1, офсет: 0) Гарын үсэг №6 (оруулга: -1, офсет: 0) Гарын үсгийн хэлхээ №7 (оруулга: -1, офсет: 0)

Хэсгийн төрөл: IO гарын үсэг тодорхойлогч … Гарын тэмдгийн хэлхээ №0 (оруулга: -1, офсет: 96)

Оруулсан дугаар 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Түлхүүр үүсгэх…

Муруй: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 16

Санал хүсэлт илгээх

2. Баталгаажуулалт ба Зөвшөөрөл 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Түлхүүр үүсгэх…

Муруй: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Оруулсан дугаар 1

Түлхүүр үүсгэх…

Муруй: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Оруулсан дугаар 2

Түлхүүр үүсгэх…

Муруй: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

№3 дугаар түлхүүрийн оосорын зөвшөөрөл: SIGN_CORE Түлхүүрийн оосорыг ID: 15 дугаараар цуцалж болно. -1, офсет: 1) Гарын үсгийн хэлхээ No0 (оруулга: -2, офсет: 1) Гарын үсэг №0 (оруулга: -3, зөрүү: 1) Гарын үсэг №0 (оруулга: -4, офсет: 1) Гарын үсэг гинж №0 (оруулга: -5, офсет: 1)

Хэсэг

Төрөл: HPS

Гарын үсэг тодорхойлогч…

Гарын үсэг №0 (оруулга: -1, офсет: 96)

Оруулсан дугаар 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Түлхүүр үүсгэх…

Муруй: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Түлхүүр үүсгэх…

Муруй: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Оруулсан дугаар 1

Түлхүүр үүсгэх…

Муруй: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Оруулсан дугаар 2

Түлхүүр үүсгэх…

Муруй: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 17

2. Баталгаажуулалт ба Зөвшөөрөл 683823 | 2023.05.23

№3 дугаар түлхүүрийн оосрын зөвшөөрөл: SIGN_HPS түлхүүрийн оосорыг ID: 15 дугаараар цуцалж болно. -1, офсет: 1) Гарын үсгийн хэлхээ No0 (оруулга: -2, офсет: 1) Гарын үсэг №0 (оруулга: -3, зөрүү: 1) Гарын үсэг №0 (оруулга: -4, офсет: 1) Гарын үсэг гинж №0 (оруулга: -5, офсет: 1)

Хэсгийн төрөл: CORE гарын үсэг тодорхойлогч … Гарын тэмдгийн хэлхээ №0 (оруулга: -1, офсет: 96)

Оруулсан дугаар 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Түлхүүр үүсгэх…

Муруй: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Түлхүүр үүсгэх…

Муруй: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Оруулсан дугаар 1

Түлхүүр үүсгэх…

Муруй: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Оруулсан дугаар 2

Түлхүүр үүсгэх…

Муруй: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 18

Санал хүсэлт илгээх

683823 | 2023.05.23 Санал хүсэлт илгээх

AES бит урсгалын шифрлэлт

Нарийвчилсан шифрлэлтийн стандарт (AES) бит урсгалын шифрлэлт нь төхөөрөмжийн эзэмшигчид тохиргооны бит урсгал дахь оюуны өмчийн нууцлалыг хамгаалах боломжийг олгодог функц юм.
Түлхүүрүүдийн нууцлалыг хамгаалахад туслахын тулд тохиргооны бит урсгалын шифрлэлт нь AES түлхүүрүүдийн гинжийг ашигладаг. Эдгээр түлхүүрүүд нь тохиргооны бит урсгал дахь эзэмшигчийн өгөгдлийг шифрлэхэд ашиглагддаг бөгөөд эхний завсрын түлхүүр нь AES root түлхүүрээр шифрлэгдсэн байдаг.

3.1. AES эх түлхүүр үүсгэх

Та quartus_encrypt хэрэгсэл эсвэл stratix10_encrypt.py лавлагаа хэрэглүүрийг Intel Quartus Prime программ хангамжийн шифрлэлтийн түлхүүр (.qek) форматаар AES үндсэн түлхүүр үүсгэх боломжтой. file.

Жич:

stratix10_encrypt.py file Intel Stratix® 10 болон Intel Agilex 7 төхөөрөмжүүдэд ашигладаг.

Та сонголтоор AES язгуур түлхүүр болон түлхүүр гарган авах түлхүүр, AES үндсэн түлхүүрийн утга, завсрын түлхүүрийн тоо, завсрын түлхүүр бүрийн хамгийн их ашиглалтыг зааж өгч болно.

Та төхөөрөмжийн гэр бүлийг зааж өгөх ёстой, гаралт .qek file байршил, асуух үед нэвтрэх үг.
Үндсэн түлхүүрийн санамсаргүй өгөгдөл болон завсрын түлхүүрүүдийн тоо болон түлхүүрийн дээд ашиглалтын өгөгдмөл утгыг ашиглан AES root түлхүүрийг үүсгэхийн тулд дараах тушаалыг ажиллуулна уу.
Лавлагааны хэрэгжилтийг ашиглахын тулд та Intel Quartus Prime програм хангамжид багтсан Python хэлмэрч рүү залгах ба –family=agilex сонголтыг орхих; бусад бүх сонголтууд тэнцүү байна. Жишээ ньample, quartus_encrypt командыг хожим хэсэгт олно

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek дараах байдлаар лавлагааны хэрэгжилтийн дүйцэх дуудлага болгон хувиргаж болно.

3.2. Quartus шифрлэлтийн тохиргоо
Загварт зориулсан бит урсгалын шифрлэлтийг идэвхжүүлэхийн тулд та Assignments Device Device болон Pin Options Security самбарыг ашиглан тохирох сонголтыг зааж өгөх ёстой. Та битийн урсгалын тохиргооны шифрлэлтийг идэвхжүүлэх хайрцгийг сонгоод унадаг цэснээс хүссэн Шифрлэлтийн түлхүүр хадгалах байршлыг сонгоно уу.

ISO 9001:2015 Бүртгэгдсэн

Зураг 3. Intel Quartus Prime шифрлэлтийн тохиргоо

3. AES Bitstream Encryption 683823 | 2023.05.23

Мөн та Intel Quartus Prime тохиргоондоо дараах даалгаврын мэдэгдлийг нэмж болно file .qsf:
set_global_assignment -set_global_assignment дээрх ENCRYPT_PROGRAMMING_BITSTREAM нэр - PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses нэр
Хэрэв та хажуугийн сувгийн довтолгооны векторуудын эсрэг нэмэлт саармагжуулалтыг идэвхжүүлэхийг хүсвэл Шифрлэлтийн шинэчлэлтийн харьцаа унадаг цэс болон Scrambling идэвхжүүлэх нүдийг идэвхжүүлж болно.

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 20

Санал хүсэлт илгээх

3. AES Bitstream Encryption 683823 | 2023.05.23

.qsf дээрх харгалзах өөрчлөлтүүд нь:
set_global_assignment -Нэр PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING дээр set_global_assignment -нэр PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Тохируулгын бит урсгалыг шифрлэх
Та бит урсгалд гарын үсэг зурахаас өмнө тохиргооны бит урсгалыг шифрлэдэг. Intel Quartus Prime програмчлал File Генератор хэрэгсэл нь хэрэглэгчийн график интерфэйс эсвэл командын мөрийг ашиглан тохиргооны бит урсгалыг автоматаар шифрлэж, гарын үсэг зурах боломжтой.
Та өөрийн сонголтоор quartus_encrypt болон quartus_sign хэрэглүүрт ашиглахын тулд хэсэгчлэн шифрлэгдсэн бит урсгалыг үүсгэж болно.

3.3.1. Програмчлалыг ашиглан бит урсгалын шифрлэлтийн тохиргоо File Генераторын график интерфэйс
Та програмчлалыг ашиглаж болно File Эзэмшигчийн зургийг шифрлэх, гарын үсэг зурах генератор.

Зураг 4.

1. Intel Quartus Prime дээр File цэснээс Програмчлалыг сонгоно уу File Генератор. 2. Гаралт дээр Files tab дээр гаралтыг зааж өгнө үү file өөрийн тохиргоонд зориулж бичнэ үү
схем.
Гаралт File Тодорхойлолт

Тохиргооны схем Гаралт file таб
Гаралт file төрөл

3. Оролт дээр Files таб, Add Bitstream дээр товшоод .sof руугаа очно уу. 4. Шифрлэлт болон баталгаажуулалтын сонголтыг зааж өгөхийн тулд .sof-г сонгоод товшино уу
Үл хөдлөх хөрөнгө. а. Гарын үсэг зурах хэрэгслийг идэвхжүүлнэ үү. б. Хувийн түлхүүрийн хувьд file хувийн гарын үсэг зурах түлхүүрээ сонгоно уу.pem file. в. Шифрлэлтийг дуусгахыг асаана уу.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 21

3. AES Bitstream Encryption 683823 | 2023.05.23

Зураг 5.

г. Шифрлэлтийн түлхүүрийн хувьд file, AES .qek-ээ сонгоно уу file. Оролт (.sof) File Баталгаажуулалт болон шифрлэлтийн шинж чанарууд

Баталгаажуулалтыг идэвхжүүлэх Хувийн root .pem-г зааж өгнө үү
Шифрлэлтийг идэвхжүүлэх Шифрлэлтийн түлхүүрийг зааж өгнө үү
5. Оролт дээр гарын үсэг зурсан болон шифрлэгдсэн бит урсгалыг үүсгэх Files таб, Үүсгэх дээр дарна уу. Таны AES түлхүүр .qek нууц үгээ оруулах нууц үгийн харилцах цонх гарч ирнэ file болон .pem хувийн түлхүүрт гарын үсэг зурах file. Програмчлал file генератор нь шифрлэгдсэн болон гарын үсэг зурсан гаралтыг үүсгэдэг_file.rbf.
3.3.2. Програмчлалыг ашиглан бит урсгалын шифрлэлтийн тохиргоо File Генераторын командын шугамын интерфейс
quartus_pfg командын мөрийн интерфейсээр .rbf форматаар шифрлэгдсэн, гарын үсэг зурсан тохиргооны бит урсгалыг үүсгэнэ үү:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
Та .rbf форматаар шифрлэгдсэн, гарын үсэг зурсан тохиргооны бит урсгалыг өөр тохиргооны бит урсгал руу хөрвүүлж болно. file форматууд.
3.3.3. Командын мөрийн интерфейсийг ашиглан хэсэгчлэн шифрлэгдсэн тохиргооны бит урсгал үүсгэх
Та хэсэгчлэн шифрлэгдсэн програмчлал үүсгэж болно file шифрлэлтийг дуусгаж, дараа нь зурган дээр гарын үсэг зурах. Хэсэгчилсэн шифрлэгдсэн програмчлалыг үүсгэх file thequartus_pfgкомандын мөрийн интерфейстэй .rbf форматаар: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 22

Санал хүсэлт илгээх

3. AES Bitstream Encryption 683823 | 2023.05.23
Та бит урсгалын шифрлэлтийг дуусгахын тулд quartus_encrypt командын мөрийн хэрэгслийг ашигладаг:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Та шифрлэгдсэн тохиргооны бит урсгалд гарын үсэг зурахын тулд quartus_sign командын мөрийн хэрэгслийг ашиглана:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softsm/libsofthsm2=.so” –key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Хэсэгчилсэн дахин тохируулах Бит урсгалын шифрлэлт
Та хэсэгчилсэн тохиргоог ашигладаг зарим Intel Agilex 7 FPGA загварууд дээр бит урсгалын шифрлэлтийг идэвхжүүлж болно.
Шаталсан хэсэгчилсэн дахин тохируулга (HPR) эсвэл Статик шинэчлэлтийг хэсэгчлэн дахин тохируулах (SUPR) ашиглан хэсэгчилсэн дахин тохируулгын загварууд бит урсгалын шифрлэлтийг дэмждэггүй. Хэрэв таны дизайн олон PR бүсийг агуулж байвал та бүх хүмүүсийг шифрлэх ёстой.
Хэсэгчилсэн дахин тохируулгын бит урсгалын шифрлэлтийг идэвхжүүлэхийн тулд дизайны бүх засварт ижил процедурыг дагана уу. 1. Intel Quartus Prime дээр File цэснээс Assignments Device Device-г сонгоно уу
болон Pin Options Security. 2. Хүссэн шифрлэлтийн түлхүүр хадгалах байршлыг сонгоно уу.
Зураг 6. Хэсэгчилсэн дахин тохируулах бит урсгалын шифрлэлтийн тохиргоо

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 23

3. AES Bitstream Encryption 683823 | 2023.05.23
Мөн та Quartus Prime тохиргоонд дараах даалгаврын мэдэгдлийг нэмж болно file .qsf:
set_global_assignment -нэр –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION асаалттай
Таныг үндсэн загвар болон засваруудыг эмхэтгэсний дараа программ хангамж нь a.sof-г үүсгэдэгfile болон нэг буюу түүнээс дээш.pmsffiles, персоналуудыг төлөөлдөг. 3. Шифрлэгдсэн, гарын үсэг зурсан програмчлалыг бий болгох files from.sof and.pmsf fileХэсэгчилсэн дахин тохируулгыг идэвхжүүлээгүй загвартай төстэй загвартай. 4. Эмхэтгэсэн persona.pmsf-г хөрвүүлнэ file хэсэгчлэн шифрлэгдсэн.rbf руу file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Quartus_encrypt командын мөрийн хэрэглүүрийг ашиглан бит урсгалын шифрлэлтийг дуусгана уу:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Quartus_sign командын мөрийн хэрэгслийг ашиглан шифрлэгдсэн тохиргооны бит урсгалд гарын үсэг зурна уу:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2=”. design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 24

Санал хүсэлт илгээх

683823 | 2023.05.23 Санал хүсэлт илгээх

Төхөөрөмжийн хангамж

Аюулгүй байдлын анхны тохиргоог зөвхөн SDM хангамжийн програм хангамжид дэмждэг. Intel Quartus Prime программистыг ашиглан SDM хангамжийн программыг ачаалж, нөөцийн үйлдлүүдийг гүйцэтгэнэ.
Та ямар ч төрлийн J ашиглаж болноTAG Квартус программистыг Intel Agilex 7 төхөөрөмжтэй холбох кабелийг татаж авах.
4.1. SDM хангамжийн програм хангамжийг ашиглах
Intel Quartus Prime программист нь тохиргооны бит урсгалаас өөр зүйлийг програмчлах команд болон эхлүүлэх үйлдлийг сонгох үед үйлдвэрийн өгөгдмөл туслах дүрсийг автоматаар үүсгэж ачаалдаг.
Заасан програмчлалын командаас хамааран үйлдвэрийн өгөгдмөл туслах дүрс нь хоёр төрлийн нэг юм:
· Нэвтрүүлгийн туслах дүрс – SDM хангамжийн програм хангамжийг агуулсан нэг бит урсгалын хэсгээс бүрдэнэ.
· QSPI туслагчийн зураг – бит урсгалын хоёр хэсгээс бүрдэх ба нэг хэсэг нь SDM үндсэн программ хангамж, нэг оролт гаралтын хэсгээс бүрдэнэ.
Та үйлдвэрийн өгөгдмөл туслах дүрс үүсгэж болно file ямар нэгэн програмчлалын командыг гүйцэтгэхийн өмнө төхөөрөмждөө ачаалах. Баталгаажуулалтын үндсэн түлхүүрийн хэшийг програмчилсны дараа та оруулсан I/O хэсгийн учир QSPI үйлдвэрийн өгөгдмөл туслах дүрсийг үүсгэж, гарын үсэг зурах ёстой. Хэрэв та хамтран гарын үсэг зурсан програм хангамжийн аюулгүй байдлын eFuse тохиргоог нэмж програмчлах юм бол хамтран гарын үсэг зурсан программ хангамжийн тусламжтайгаар нөөц болон QSPI үйлдвэрийн өгөгдмөл туслах зургийг үүсгэх ёстой. Зохицуулалт хийгдээгүй төхөөрөмж нь SDM программ хангамж дээр Intel-н бус гарын үсгийн хэлхээг үл тоомсорлодог тул та хамтран гарын үсэг зурсан үйлдвэрийн өгөгдмөл туслах дүрсийг тохируулаагүй төхөөрөмж дээр ашиглаж болно. QSPI үйлдвэрийн өгөгдмөл туслах дүрсийг үүсгэх, гарын үсэг зурах, ашиглах талаар дэлгэрэнгүйг 26-р хуудасны QSPI үйлдвэрийн өгөгдмөл туслах дүрсийг ашиглах хэсгээс үзнэ үү.
Үйлдвэрийн өгөгдмөл туслах дүр төрх нь баталгаажуулалтын үндсэн түлхүүрийн хэш, хамгаалалтын тохиргооны гал хамгаалагч, PUF бүртгэл эсвэл хар түлхүүрийн нөөцийг програмчлах гэх мэт нөөцийн үйлдлийг гүйцэтгэдэг. Та Intel Quartus Prime програмчлалыг ашигладаг File Туслах_зургийн сонголт, таны туслах_төхөөрөмжийн нэр, хангамжийн туслах зургийн дэд төрөл, сонголтоор хамтран гарын үсэг зурсан .zip программ хангамжийг зааж өгөх туслах дүрийг үүсгэх генераторын командын мөрийн хэрэгсэл file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o дэд төрөл=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Intel Quartus Prime Programmer хэрэгслийг ашиглан туслах дүрсийг програмчлах:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –хүчтэй

ISO 9001:2015 Бүртгэгдсэн

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23

Жич:

Та командуудаас эхлүүлэх үйлдлийг орхиж болно, тухайлбал exampТуслах дүрсийг програмчлах эсвэл эхлүүлэх үйлдлийг агуулсан командыг ашигласны дараа энэ бүлэгт өгсөн болно.

4.2. QSPI үйлдвэрийн өгөгдмөл туслах дүрсийг эзэмшдэг төхөөрөмжүүд дээр ашиглах
QSPI флаш програмчлалын эхлүүлэх ажиллагааг сонгох үед Intel Quartus Prime программист QSPI үйлдвэрийн өгөгдмөл туслах дүрсийг автоматаар үүсгэж ачаалдаг. file. Баталгаажуулалтын үндсэн түлхүүрийн хэшийг програмчилсны дараа та QSPI флэшийг програмчлахын өмнө QSPI үйлдвэрийн өгөгдмөл туслах дүрсийг үүсгэж, гарын үсэг зурж, гарын үсэг зурсан QSPI үйлдвэрийн туслах дүрсийг тусад нь програмчлах ёстой. 1. Та Intel Quartus Prime програмчлалыг ашигладаг File Генератор командын мөрийн хэрэгсэл
Туслах_зургийн сонголт, өөрийн туслах_төхөөрөмжийн төрөл, QSPI туслах зургийн дэд төрөл, мөн тохируулсан программ хангамжийн .zip-г зааж өгч, QSPI туслах дүрсийг үүсгэнэ үү. file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o дэд төрөл=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Та QSPI үйлдвэрийн өгөгдмөл туслах дүрд гарын үсэг зурна уу:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Та ямар ч QSPI флаш програмчлалыг ашиглаж болно file формат. Дараах эксamples нь .jic руу хөрвүүлсэн тохиргооны бит урсгалыг ашигладаг file формат:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o төхөөрөмж=MT25QU128 -o flash_loader=AGFB014R24A -o горим=ASX4
4. Та Intel Quartus Prime Programmer хэрэгслийг ашиглан гарын үсэг зурсан туслах дүрсийг програмчилна:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” – хүч
5. Та Intel Quartus Prime Programmer хэрэглүүрийг ашиглан .jic дүрсийг анивчихаар програмчилна.
quartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”

4.3. Баталгаажуулалтын эх түлхүүрийн хангамж
Эзэмшигчийн үндсэн түлхүүрийн хэшийг физик гал хамгаалагч руу програмчлахын тулд эхлээд програм хангамжийн программыг ачаалж, дараагийн эзэмшигчийн үндсэн түлхүүрийн хэшийг програмчилж, дараа нь асаалттай анхны тохиргоог нэн даруй хийх ёстой. Програмчлалын үндсэн түлхүүр виртуал гал хамгаалагч руу хэш орсон тохиолдолд асаалттай дахин тохируулах шаардлагагүй.

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 26

Санал хүсэлт илгээх

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23
Баталгаажуулалтын үндсэн түлхүүрийн хэшүүдийг програмчлахын тулд та програм хангамжийн туслах дүрсийг програмчилж, .qky үндсэн түлхүүрийг програмчлахын тулд дараах командуудын аль нэгийг ажиллуулна уу. files.
// Физик (дэгдэмхий бус) eFuses-ийн хувьд quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” – тогтворгүй_түлхүүр
// Виртуал (дэгдэмхий) eFuses-ийн хувьд quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky”
4.3.1. Хэсэгчилсэн дахин тохируулга Олон эрх бүхий эх түлхүүрийн програмчлал
Төхөөрөмж эсвэл статик бүсийн бит урсгал эзэмшигчийн үндсэн түлхүүрүүдийг бэлтгэсний дараа та төхөөрөмжийн хангамжийн туслах дүрсийг дахин ачаалж, гарын үсэг зурсан PR нийтийн түлхүүрийн программын зөвшөөрлийн компакт гэрчилгээг програмчилж, дараа нь PR persona бит урсгал эзэмшигчийн үндсэн түлхүүрийг хангана.
// Физик (дэгдэмхий бус) eFuses-ийн хувьд quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey – тогтворгүй_түлхүүр
// Виртуал (дэгдэмхий) eFuses-ийн хувьд quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Түлхүүрийг цуцлах ID гал хамгаалагчийг програмчлах
Intel Quartus Prime Pro Edition програм хангамжийн хувилбар 21.1-ээс эхлэн Intel болон эзэмшигчийн түлхүүрийг цуцлах ID гал хамгаалагчийг програмчлахад гарын үсэг зурсан авсаархан гэрчилгээ ашиглах шаардлагатай. Та түлхүүр цуцлах ID компакт гэрчилгээнд FPGA хэсгийн гарын үсэг зурах зөвшөөрөлтэй гарын үсгийн сүлжээгээр гарын үсэг зурж болно. Та програмчлалын тусламжтайгаар авсаархан гэрчилгээ үүсгэдэг file генератор командын мөрийн хэрэгсэл. Та quartus_sign хэрэгсэл эсвэл лавлагааны хэрэгжилтийг ашиглан гарын үсэг зураагүй гэрчилгээнд гарын үсэг зурна уу.
Intel Agilex 7 төхөөрөмжүүд нь үндсэн түлхүүр бүрийн эзэмшигчийн түлхүүр цуцлах ID-г тусад нь дэмждэг. Эзэмшигчийн түлхүүр цуцлах ID компакт гэрчилгээг Intel Agilex 7 FPGA-д програмчлах үед SDM нь авсаархан гэрчилгээнд аль эх түлхүүр гарын үсэг зурсныг тодорхойлж, тухайн үндсэн түлхүүрт тохирох түлхүүр цуцлах ID гал хамгаалагчийг үлээлгэдэг.
Дараах эксamples нь Intel түлхүүрийн ID 7-д Intel түлхүүр цуцлах гэрчилгээг үүсгэнэ. Та 7-г 0-31 хүртэлх Intel түлхүүр цуцлах ID-аар сольж болно.
Гарын үсэг зураагүй Intel түлхүүр цуцлах ID компакт сертификат үүсгэхийн тулд дараах тушаалыг ажиллуулна уу:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Гарын үсэг зураагүй Intel түлхүүр цуцлах ID компакт гэрчилгээнд гарын үсэг зурахын тулд дараах командуудын аль нэгийг ажиллуулна уу:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softsm/libsofthsm2.so”

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 27

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Гарын үсэг зураагүй эзэмшигчийн түлхүүр цуцлах ID компакт гэрчилгээ үүсгэхийн тулд дараах тушаалыг ажиллуулна уу:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Гарын үсэг зураагүй эзэмшигчийн түлхүүр цуцлах ID компакт гэрчилгээнд гарын үсэг зурахын тулд дараах командуудын аль нэгийг ажиллуулна уу:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softsm/libsofthsm2=.so” –key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Та гарын үсэг зурсан түлхүүр цуцлах ID компакт гэрчилгээ үүсгэсний дараа Intel Quartus Prime программистыг ашиглан J-ээр дамжуулан төхөөрөмжид компакт сертификатыг програмчлах болно.TAG.
//Физик (дэгдэмхий бус) eFuse-ийн хувьд quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –тогшдоггүй_түлхүүр quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –тогтворгүй_түлхүүр
//Виртуал (дэгдэмхий) eFuses-ийн хувьд quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
Та FPGA эсвэл HPS шуудангийн хайрцагны интерфейсийг ашиглан SDM руу авсаархан гэрчилгээг нэмж илгээж болно.
4.5. Root түлхүүрүүдийг цуцалж байна
Intel Agilex 7 төхөөрөмжүүд нь өөр нэг цуцлагдаагүй үндсэн түлхүүрийн хэш байгаа үед үндсэн түлхүүрийн хэшийг цуцлах боломжийг танд олгоно. Та эх түлхүүрийн хэшийг цуцлахдаа эхлээд төхөөрөмжийг гарын үсгийн хэлхээ нь өөр эх түлхүүрийн хэш-д үндэслэсэн загвараар тохируулж, дараа нь гарын үсэг зурсан үндсэн түлхүүрийн хэш цуцлах компакт сертификатыг програмчлах замаар цуцална. Та хүчингүй болгохын тулд үндсэн түлхүүрийн хэш хүчингүй болгох компакт гэрчилгээнд үндсэн түлхүүрт үндэслэсэн гарын үсгийн хэлхээнд гарын үсэг зурах ёстой.
Гарын үсэг зураагүй үндсэн түлхүүрийн хэш цуцлах компакт сертификат үүсгэхийн тулд дараах тушаалыг ажиллуулна уу:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 28

Санал хүсэлт илгээх

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23

Гарын үсэг зураагүй үндсэн түлхүүрийн хэш цуцлах компакт гэрчилгээнд гарын үсэг зурахын тулд дараах командуудын аль нэгийг ажиллуулна уу:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softsm/libsofthsm2=.so” –key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Та J-ээр дамжуулан root түлхүүрийн хэш цуцлах компакт сертификатыг програмчилж болноTAG, FPGA эсвэл HPS шуудангийн хайрцгууд.

4.6. Тоолуурын гал хамгаалагчийг програмчлах
Та Аюулгүй байдлын хувилбарын дугаар (SVN) болон Pseudo Time St-ийг шинэчилнэamp гарын үсэг зурсан авсаархан гэрчилгээ ашиглан (PTS) эсрэг гал хамгаалагч.

Жич:

SDM нь өгөгдсөн тохиргооны үед харагдах хамгийн бага тоолуурын утгыг бүртгэдэг бөгөөд тоолуурын утга нь хамгийн бага утгаас бага байх үед тоолуурын өсөлтийн гэрчилгээг хүлээн авдаггүй. Тоолуурын нэмэгдэл авсаархан гэрчилгээг програмчлахын өмнө та тоолуурт хуваарилагдсан бүх объектыг шинэчилж, төхөөрөмжийг дахин тохируулах ёстой.

Таны үүсгэхийг хүсэж буй тоолуурын нэмэгдлийн гэрчилгээтэй тохирох дараах командуудын аль нэгийг ажиллуулна уу.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Тоолуурын 1-ийн утга нь тоолуурын өсөлтийн зөвшөөрлийн гэрчилгээг үүсгэдэг. Тоолуурын өсөлтийн зөвшөөрлийн компакт гэрчилгээг програмчлах нь танд тус тусын тоолуурыг шинэчлэхийн тулд гарын үсэг зураагүй тоологч нэмэгдлийн гэрчилгээг програмчлах боломжийг олгоно. Та quartus_sign хэрэгслээр лангууны авсаархан гэрчилгээнд гарын үсэг зурахдаа түлхүүр цуцлах ID компакт гэрчилгээтэй ижил загвараар гарын үсэг зурна.
Та J-ээр дамжуулан root түлхүүрийн хэш цуцлах компакт сертификатыг програмчилж болноTAG, FPGA эсвэл HPS шуудангийн хайрцгууд.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 29

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23

4.7. Өгөгдлийн объектын үйлчилгээний эх түлхүүрийн аюулгүй байдлыг хангах
Та Intel Quartus Prime программистыг Secure Data Object Service (SDOS) үндсэн түлхүүрээр хангахад ашигладаг. Программист SDOS үндсэн түлхүүрийг хангахын тулд програм хангамжийн туслах дүрсийг автоматаар ачаална.
quartus_pgm c 1 mjtag –үйлчилгээний_үндэс_түлхүүр – тогтворгүй_түлхүүр

4.8. Хамгаалалтын тохиргоо Гал хамгаалагчийн хангамж
Intel Quartus Prime программист ашиглан төхөөрөмжийн аюулгүй байдлын тохиргооны гал хамгаалагчийг шалгаж, тэдгээрийг текстэд суурилсан .fuse руу бичнэ үү. file дараах байдлаар:
quartus_pgm -c 1 -mjtag -o “ei;програмчлалfile.гал хамгаалагч;AGFB014R24B”

Сонголтууд · i: Программист программ хангамжийн туслах дүрсийг төхөөрөмжид ачаална. · e: Программист гал хамгаалагчийг төхөөрөмжөөс уншиж, гал хамгаалагчид хадгална file.

Гал хамгаалагч file гал хамгаалагчийн нэр-утга хосын жагсаалтыг агуулна. Утга нь гал хамгаалагч шатсан эсэх эсвэл гал хамгаалагчийн талбарын агуулгыг тодорхойлно.

Дараах эксample нь .fuse-ийн форматыг харуулж байна file:

# Хамтран гарын үсэг зурсан програм хангамж

= "Үйлээгүй"

# Төхөөрөмжийг устгах

= "Үйлээгүй"

# Төхөөрөмж аюулгүй биш

= "Үйлээгүй"

# HPS дибаг идэвхгүй болгох

= "Үйлээгүй"

# Intrinsic ID PUF бүртгэлийг идэвхгүй болгох

= "Үйлээгүй"

# Жийг идэвхгүй болгохTAG

= "Үйлээгүй"

# PUF ороосон шифрлэлтийн түлхүүрийг идэвхгүй болгох

= "Үйлээгүй"

# BBRAM дахь эзэмшигчийн шифрлэлтийн түлхүүрийг идэвхгүй болгох = "Үйлээгүй"

# eFuses дэх эзэмшигчийн шифрлэлтийн түлхүүрийг идэвхгүй болгох = "Үйлээгүй"

# Эзэмшигчийн үндсэн нийтийн түлхүүрийн хэш 0-ийг идэвхгүй болгох

= "Үйлээгүй"

# Эзэмшигчийн үндсэн нийтийн түлхүүрийн хэш 1-ийг идэвхгүй болгох

= "Үйлээгүй"

# Эзэмшигчийн үндсэн нийтийн түлхүүрийн хэш 2-ийг идэвхгүй болгох

= "Үйлээгүй"

# Виртуал eFuse-г идэвхгүй болгох

= "Үйлээгүй"

# SDM цагийг дотоод осциллятор руу хүчээр оруулах = "Үлээгээгүй"

# Шифрлэлтийн түлхүүрийг хүчээр шинэчлэх

= "Үйлээгүй"

# Intel тодорхой түлхүүр цуцлалт

= “0”

# Хамгаалалтын eFuse-г түгжих

= "Үйлээгүй"

# Эзэмшигчийн шифрлэлтийн түлхүүрийн програм дууссан

= "Үйлээгүй"

# Эзэмшигчийн шифрлэлтийн түлхүүрийн програмыг эхлүүлнэ

= "Үйлээгүй"

# Эзэмшигчийн тодорхой түлхүүр цуцлалт 0

= ""

# Эзэмшигчийн тодорхой түлхүүр цуцлалт 1

= ""

# Эзэмшигчийн тодорхой түлхүүр цуцлалт 2

= ""

# Эзэмшигч гал хамгаалагч

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000"

# Эзэмшигчийн үндсэн нийтийн түлхүүрийн хэш 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Эзэмшигчийн үндсэн нийтийн түлхүүрийн хэш 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Эзэмшигчийн үндсэн нийтийн түлхүүрийн хэш 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Эзэмшигчийн үндсэн нийтийн түлхүүрийн хэмжээ

= "Байхгүй"

# PTS тоолуур

= “0”

# PTS тоолуурын суурь

= “0”

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 30

Санал хүсэлт илгээх

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23

# QSPI эхлэх саатал # RMA тоолуур # SDMIO0 нь I2C # SVN тоолуур A # SVN тоолуур B # SVN тоолуур C # SVN тоолуур D

= “10мс” = “0” = “Үлээгээгүй” = “0” = “0” = “0” = “0”

Гал хамгаалагчийг өөрчил file хүссэн аюулгүй байдлын тохиргооны гал хамгаалагчийг тохируулах. #-ээр эхэлсэн мөрийг тайлбар мөр гэж үзнэ. Аюулгүй байдлын тохиргооны гал хамгаалагчийг програмчлахын тулд урд #-г авч, утгыг Blown болгож тохируулна уу. Жишээ ньampХамтран гарын үсэг зурсан Firmware аюулгүй байдлын тохиргооны гал хамгаалагчийг идэвхжүүлэхийн тулд гал хамгаалагчийн эхний мөрийг өөрчилнө үү. file дараахь зүйлд:
Хамтдаа гарын үсэг зурсан програм хангамж = "Үлсэн"

Та мөн өөрийн шаардлагад үндэслэн эзэмшигчийн гал хамгаалагчийг хуваарилж, програмчилж болно.
Та дараах тушаалыг ашиглан хоосон шалгалт хийж, программчилж, эзэмшигчийн үндсэн нийтийн түлхүүрийг баталгаажуулж болно.
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

Сонголтууд · i: Програм хангамжийн туслах дүрсийг төхөөрөмжид ачаална. · b: Хүссэн аюулгүй байдлын тохиргоо гал хамгаалагч байхгүй эсэхийг шалгах хоосон шалгалтыг хийнэ
аль хэдийн үлээлгэсэн. · p: Гал хамгаалагчийг програмчилна. · v: Төхөөрөмж дээрх программчлагдсан түлхүүрийг баталгаажуулна.
.qky программчилсаны дараа file, та эзэмшигчийн нийтийн түлхүүрийн хэш болон эзэмшигчийн нийтийн түлхүүрийн хэмжээ тэгээс өөр утгатай байхын тулд гал хамгаалагчийн мэдээллийг дахин шалгаж гал хамгаалагчийн мэдээллийг шалгаж болно.
Дараах талбаруудыг .fuse-ээр бичих боломжгүй file аргын хувьд тэдгээр нь шалгалтын үйл ажиллагааны гаралтыг шалгах явцад оруулсан болно: · Төхөөрөмж аюулгүй биш · Төхөөрөмжийн зөвшөөрлийг устгах · Эзэмшигчийн root нийтийн түлхүүрийн хэшийг идэвхгүй болгох 0 · Эзэмшигчийн root нийтийн түлхүүр хэшийг идэвхгүй болгох 1 · Эзэмшигчийн root нийтийн түлхүүрийн хэшийг идэвхгүй болгох 2 · Intel түлхүүрийг цуцлах · Эзэмшигчийн шифрлэлтийн түлхүүрийн програмыг эхлүүлэх · Эзэмшигчийн шифрлэлтийн түлхүүрийн програмыг гүйцэтгэсэн · Эзэмшигчийн түлхүүрийг цуцлах · Эзэмшигчийн нийтийн түлхүүрийн хэш · Эзэмшигчийн нийтийн түлхүүрийн хэмжээ · Эзэмшигчийн үндсэн нийтийн түлхүүрийн хэш 0 · Эзэмшигчийн үндсэн нийтийн түлхүүрийн хэш 1 · Эзэмшигчийн үндсэн нийтийн түлхүүрийн хэш 2

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 31

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23
· PTS тоолуур · PTS тоолуурын суурь · QSPI эхлүүлэх саатал · RMA тоолуур · SDMIO0 нь I2C · SVN тоолуур A · SVN тоолуур B · SVN тоолуур C · SVN тоолуур D
.гал хамгаалагчийг програмчлахдаа Intel Quartus Prime программистыг ашиглана уу file төхөөрөмж рүү буцах. Хэрэв та i сонголтыг нэмбэл Программист хамгаалалтын тохиргооны гал хамгаалагчийг програмчлахын тулд программ хангамжийг автоматаар ачаална.
//Физик (дэгдэмхий бус) eFuse-ийн хувьд quartus_pgm -c 1 -mjtag -o “pi;програмчлалын_file.fuse” –дэгдэмхий_түлхүүр
//Виртуал (дэгдэмхий) eFuses-ийн хувьд quartus_pgm -c 1 -mjtag -o “pi;програмчлалын_file.гал хамгаалагч”
Төхөөрөмжийн үндсэн түлхүүрийн хэш нь тушаалд өгсөн .qky-тай ижил эсэхийг шалгахын тулд та дараах тушаалыг ашиглаж болно.
quartus_pgm -c 1 -mjtag -o “v;root0_another.qky”
Хэрэв товчлуурууд таарахгүй бол Программист Ажиллагаа амжилтгүй болсон алдааны мессеж гарч ирнэ.
4.9. AES Root Key Provisioning
Та AES root түлхүүрийг Intel Agilex 7 төхөөрөмжид програмчлахын тулд гарын үсэг зурсан AES root түлхүүрийн компакт гэрчилгээг ашиглах ёстой.
4.9.1. AES эх түлхүүрийн компакт гэрчилгээ
Та quartus_pfg командын мөрийн хэрэгслийг ашиглан AES үндсэн түлхүүрээ .qek хөрвүүлнэ file компакт сертификат .ccert формат руу. Компакт гэрчилгээ үүсгэх үед та түлхүүр хадгалах байршлыг зааж өгнө. Та quartus_pfg хэрэгслийг ашиглан гарын үсэг зураагүй гэрчилгээ үүсгэж, дараа нь гарын үсэг зурах боломжтой. Та AES root түлхүүрийн авсаархан гэрчилгээнд амжилттай гарын үсэг зурахын тулд AES үндсэн түлхүүрийн гэрчилгээний гарын үсэг зурах зөвшөөрөл, зөвшөөрлийн бит 6-г идэвхжүүлсэн гарын үсгийн сүлжээг ашиглах ёстой.

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 32

Санал хүсэлт илгээх

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23
1. Дараах командын аль нэгийг ашиглан AES түлхүүрийн компакт гэрчилгээнд гарын үсэг зурахад ашигладаг нэмэлт түлхүүрийн хослол үүсгэнэ үүamples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen механизм ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 – ашиглалтын тэмдэг – шошго aesccert1 – id 2
2. Дараах командуудын аль нэгийг ашиглан зөв зөвшөөрлийн бит тохируулсан гарын үсгийн хэлхээ үүсгэ.
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky.
quartus_sign –family=agilex –operation=apppend_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2” –prename. root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Хүссэн AES үндсэн түлхүүр хадгалах байршилд гарын үсэг зураагүй AES компакт сертификат үүсгэнэ үү. Дараах AES үндсэн түлхүүр хадгалах сонголтууд боломжтой:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//eFuse AES root түлхүүрийг гарын үсэг зураагүй сертификат үүсгэх quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Компакт гэрчилгээнд quartus_sign команд эсвэл лавлагааны хэрэгжилтээр гарын үсэг зурна уу.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.серт гарын үсэг зурсан_ 1. ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softsm/libsofthsm2.so”

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 33

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1. ccert гарын үсэг зурсан_ 1.ccert
5. Intel Quartus Prime программистыг ашиглан J-ээр дамжуулан Intel Agilex 7 төхөөрөмжид AES root түлхүүрийн компакт сертификатыг програмчлаарай.TAG. Intel Quartus Prime программист нь EFUSE_WRAPPED_AES_KEY авсаархан гэрчилгээний төрлийг ашиглахдаа виртуал eFuse-г программчилдаг.
Та програмчлалын физик гал хамгаалагчийг зааж өгөхийн тулд –non_volatile_key сонголтыг нэмнэ үү.
//Физик (дэгдэмхий бус) eFuse AES үндсэн түлхүүрийн хувьд quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –тогтворгүй_түлхүүр

//Виртуал (дэгдэмхий) eFuse AES үндсэн түлхүүрийн хувьд quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”

//BBRAM AES үндсэн түлхүүрийн хувьд quartus_pgm -c 1 -mjtag -o “pi;signed_bbram1.ccert”

SDM хангамжийн програм хангамж болон үндсэн програм хангамж нь AES үндсэн түлхүүрийн гэрчилгээний програмчлалыг дэмждэг. Та мөн AES үндсэн түлхүүрийн гэрчилгээг програмчлахын тулд FPGA даавуу эсвэл HPS-ийн SDM шуудангийн хайрцгийн интерфейсийг ашиглаж болно.

Жич:

Quartus_pgm команд нь авсаархан сертификатуудын (.ccert) b болон v сонголтыг дэмждэггүй.

4.9.2. Intrinsic ID® PUF AES Root Key Provisioning
Intrinsic* ID PUF ороосон AES түлхүүрийг хэрэгжүүлэх нь дараах алхмуудыг агуулна: 1. Intrinsic ID PUF-г J-ээр дамжуулан бүртгүүлэхTAG. 2. AES root түлхүүрийг боож байна. 3. Туслах өгөгдөл болон ороосон түлхүүрийг дөрвөлсөн SPI флаш санах ойд програмчлах. 4. Intrinsic ID PUF идэвхжүүлэлтийн статусыг асууж байна.
Intrinsic ID технологийг ашиглахын тулд Intrinsic ID-тай тусдаа лицензийн гэрээ байгуулах шаардлагатай. Intel Quartus Prime Pro Edition программ хангамж нь бүртгэл, түлхүүр боох, PUF дата програмчлал зэрэг зохих лицензгүйгээр PUF үйл ажиллагааг QSPI флэшээр хязгаарладаг.

4.9.2.1. Intrinsic ID PUF элсэлт
PUF-г бүртгүүлэхийн тулд та SDM хангамжийн програм хангамжийг ашиглах ёстой. Програм хангамжийн програм хангамж нь тэжээлийн мөчлөгийн дараа ачаалагдсан анхны програм хангамж байх ёстой бөгөөд та бусад командын өмнө PUF бүртгүүлэх командыг өгөх ёстой. Програм хангамж нь PUF-д бүртгүүлсний дараа бусад тушаалуудыг дэмждэг бөгөөд үүнд AES-ийн үндсэн түлхүүрийг ороох, дөрвөлжин SPI програмчлах боломжтой боловч та тохиргооны бит урсгалыг ачаалахын тулд төхөөрөмжийг асаах ёстой.
Та Intel Quartus Prime программистыг ашиглан PUF бүртгэлийг идэвхжүүлж, PUF туслах өгөгдлийг .puf үүсгэдэг. file.

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 34

Санал хүсэлт илгээх

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23

Зураг 7.

Intrinsic ID PUF элсэлт
quartus_pgm PUF элсэлт

Бүртгэлийн PUF туслах өгөгдөл

Аюулгүй төхөөрөмжийн менежер (SDM)

wrapper.puf туслах өгөгдөл
i үйлдэл болон .puf аргументыг хоёуланг нь зааж өгөх үед программист программ хангамжийн туслах дүрсийг автоматаар ачаална.
quartus_pgm -c 1 -mjtag -o “ei;help_data.puf;AGFB014R24A”
Хэрэв та хамтран гарын үсэг зурсан програм хангамжийг ашиглаж байгаа бол PUF бүртгүүлэх командыг ашиглахын өмнө хамтран гарын үсэг зурсан програм хангамжийн туслах дүрсийг програмчлах болно.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o “e;help_data.puf;AGFB014R24A”
UDS IID PUF нь төхөөрөмжийг үйлдвэрлэх явцад бүртгүүлсэн бөгөөд дахин бүртгүүлэх боломжгүй. Харин та IPCS дээрх UDS PUF туслах өгөгдлийн байршлыг программист ашиглан тодорхойлж, .puf татаж авна уу. file шууд, дараа нь UDS .puf ашиглана уу file .puf-тай ижил аргаар file Intel Agilex 7 төхөөрөмжөөс гаргаж авсан.
Текст үүсгэхийн тулд дараах программист командыг ашиглана уу file жагсаалтыг агуулсан URLs нь төхөөрөмжид зориулагдсан болохыг харуулж байна fileIPCS дээрх s:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. AES эх түлхүүрийг боож байна
Та IID PUF ороосон AES үндсэн түлхүүр .wkey үүсгэдэг file SDM-д гарын үсэг зурсан гэрчилгээг илгээх замаар.
Та Intel Quartus Prime программистыг ашиглан AES үндсэн түлхүүрээ боох сертификатыг автоматаар үүсгэж, гарын үсэг зурж, илгээж болно, эсвэл Intel Quartus Prime програмчлалыг ашиглаж болно. File Гарын үсэг зураагүй гэрчилгээ үүсгэх генератор. Та гарын үсэг зураагүй гэрчилгээнд өөрийн хэрэгсэл эсвэл Quartus гарын үсэг зурах хэрэгслийг ашиглан гарын үсэг зурна уу. Дараа нь та гарын үсэг зурсан гэрчилгээг илгээхийн тулд программист ашиглан AES root түлхүүрээ боож өгнө. Гарын үсэг зурсан гэрчилгээг гарын үсгийн хэлхээг баталгаажуулах бүх төхөөрөмжийг програмчлахад ашиглаж болно.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 35

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23

Зураг 8.

Intel Quartus Prime программист ашиглан AES түлхүүрийг боох
.pem Хувийн
Түлхүүр

.qky

quartus_pgm

AES түлхүүрийг боох

AES.QSKigYnature RootCPhuabilnic түлхүүр

PUF ороосон түлхүүр үүсгэх

Боодолтой AES түлхүүр

SDM

.qek Шифрлэлт
Түлхүүр

.wkey PUF ороосон
AES түлхүүр

1. Та дараах аргументуудыг ашиглан IID PUF ороосон AES үндсэн түлхүүрийг (.wkey) программист үүсгэж болно:
· .qky file AES үндсэн түлхүүрийн гэрчилгээний зөвшөөрөлтэй гарын үсгийн хэлхээг агуулсан
· Хувийн .pem file гарын үсгийн хэлхээний сүүлчийн түлхүүрийн хувьд
· .qek file AES үндсэн түлхүүрийг дарна уу
· 16 байт эхлүүлэх вектор (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Эсвэл та програмчлалын тусламжтайгаар гарын үсэг зураагүй IID PUF ороосон AES үндсэн түлхүүрийн гэрчилгээг үүсгэж болно. File Дараах аргументуудыг ашиглан үүсгэгч:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Та гарын үсэг зураагүй гэрчилгээнд гарын үсэг зурах хэрэгслээр эсвэл quartus_sign хэрэгслээр дараах тушаалыг ашиглан гарын үсэг зурна уу:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Дараа нь та программистыг ашиглан гарын үсэг зурсан AES гэрчилгээг илгээж, ороосон түлхүүрийг (.wkey) буцааж өгнө. file:

quarts_pgm -c 1 -mjtag -ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Тайлбар: Хэрэв та өмнө нь програм хангамжийн туслах дүрсийг ачаалсан бол i үйлдлийг хийх шаардлагагүй, жишээ ньample, PUF бүртгүүлэх.

4.9.2.3. Програмчлалын туслах өгөгдөл ба QSPI флаш санах ойн ороосон түлхүүр
Та Quartus програмчлалыг ашигладаг File PUF хуваалтыг агуулсан анхны QSPI флаш дүрсийг бүтээх генераторын график интерфэйс. QSPI флэш дээр PUF хуваалт нэмэхийн тулд та бүхэл бүтэн флаш програмчлалын дүрсийг үүсгэж, програмчлах ёстой. PUF үүсгэх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 36

Санал хүсэлт илгээх

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23

Зураг 9.

өгөгдлийн хуваалт болон PUF туслах өгөгдөл болон ороосон түлхүүрийн хэрэглээ fileФлэш зураг үүсгэх s програмчлалаар дэмжигддэггүй File Генераторын командын мөрийн интерфейс.
Дараах алхмууд нь PUF туслах өгөгдөл болон ороосон түлхүүрээр флаш програмчлалын дүрс бүтээхийг харуулж байна.
1. дээр File цэс, Програмчлал дээр дарна уу File Генератор. Гаралт дээр Files tab дээр дараах сонголтуудыг хийнэ үү.
а. Төхөөрөмжийн гэр бүлийн хувьд Agilex 7-г сонгоно уу.
б. Тохиргооны горимын хувьд Active Serial x4-г сонгоно уу.
в. Гаралтын лавлахын тулд гаралт руугаа очно уу file лавлах. Энэ эксample гаралтыг ашигладаг_files.
г. Нэрийн хувьд програмчлалын нэрийг зааж өгнө үү file бий болгох. Энэ эксample гаралтыг ашигладаг_file.
д. Тодорхойлолтоос програмчлалыг сонгоно уу fileүүсгэх s. Энэ эксample нь J-г үүсгэдэгTAG Шууд бус тохиргоо File (.jic) нь төхөөрөмжийн тохиргоо болон Raw Binary-д зориулагдсан File Төхөөрөмжийн туслах зургийн програмчлалын туслах зургийн (.rbf). Энэ эксample мөн нэмэлт санах ойн газрын зургийг сонгоно File (.map) болон түүхий програмчлалын өгөгдөл File (.rpd). Програмчлалын түүхий өгөгдөл file Хэрэв та ирээдүйд гуравдагч талын програмист ашиглахаар төлөвлөж байгаа бол л шаардлагатай.
Програмчлал File Генератор - Гаралт Files Tab - J-г сонгоно ууTAG Шууд бус тохиргоо

Төхөөрөмжийн гэр бүлийн тохиргооны горим
Гаралт file таб
Гаралтын лавлах
JTAG Шууд бус (.jic) санах ойн газрын зураг File Програмчлалын туслах Түүхий програмчлалын өгөгдөл
Оролт дээр Files tab дээр дараах сонголтуудыг хийнэ үү: 1. Add Bitstream дээр товшоод .sof руугаа очно уу. 2. .sof-ээ сонгоно уу file дараа нь Properties дээр дарна уу.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 37

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23
а. Гарын үсэг зурах хэрэгслийг идэвхжүүлнэ үү. б. Хувийн түлхүүрийн хувьд file .pem-ээ сонгоно уу file. в. Шифрлэлтийг дуусгахыг асаана уу. г. Шифрлэлтийн түлхүүрийн хувьд file .qek-ээ сонгоно уу file. д. Өмнөх цонх руу буцахын тулд OK дээр дарна уу. 3. PUF туслах датаг зааж өгөх file, Түүхий өгөгдөл нэмэх дээр дарна уу. -ийг өөрчлөх Files төрлийн унждаг цэсийг Quartus Physical Unclonable Function руу оруулна File (*.puf). Өөрийн .puf руу очно уу file. Хэрэв та IID PUF болон UDS IID PUF-ийг хоёуланг нь ашиглаж байгаа бол энэ алхмыг давтан хийнэ үү. filePUF бүрийн s-г оролт болгон нэмнэ fileс. 4. Боодолтой AES түлхүүрээ зааж өгөх file, Түүхий өгөгдөл нэмэх дээр дарна уу. -ийг өөрчлөх Files төрлийн унждаг цэсийг Quartus Wrapped Key рүү оруулна File (*.wkey). Өөрийн .wkey рүү очно уу file. Хэрэв та AES түлхүүрүүдийг IID PUF болон UDS IID PUF хоёрын аль алиныг нь ашиглан ороосон бол энэ алхмыг давтаж .wkey дарна уу. filePUF бүрийн s-г оролт болгон нэмнэ files.
Зураг 10. Оролтыг зааж өгнө үү Files нь Тохиргоо, Баталгаажуулалт, Шифрлэлтэд зориулагдсан

Bitstream нэмэх Түүхий өгөгдөл нэмнэ үү
Үл хөдлөх хөрөнгө
Хувийн түлхүүр file
Шифрлэлтийн түлхүүрийг дуусгах
Тохиргооны төхөөрөмж таб дээрээс дараах сонголтыг хийнэ үү: 1. Add Device дээр дарж, боломжтой флэшийн жагсаалтаас флаш төхөөрөмжөө сонгоно уу.
төхөөрөмжүүд. 2. Дөнгөж нэмсэн тохиргооны төхөөрөмжөө сонгоод Add Partition дээр дарна уу. 3. Оролтын Edit Partition харилцах цонхонд file болон дотроос .sof-ээ сонго
унадаг жагсаалт. Та хуваалтыг засах харилцах цонхны үндсэн тохиргоог хадгалах эсвэл бусад параметрүүдийг засах боломжтой.

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 38

Санал хүсэлт илгээх

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23
Зураг 11. Өөрийн .sof тохиргооны бит урсгал хуваалтыг зааж өгч байна

Тохиргооны төхөөрөмж
Засварлах хуваалт нэмэх .sof file

Хуваалт нэмэх

4. Та .puf болон .wkey-г оруулга болгон нэмэхэд files, Програмчлал File Генератор нь таны тохиргооны төхөөрөмжид PUF хуваалтыг автоматаар үүсгэдэг. PUF хуваалтад .puf болон .wkey-г хадгалахын тулд PUF хуваалтыг сонгоод Edit дээр дарна уу. Edit Partition харилцах цонхноос .puf болон .wkey-ээ сонгоно уу fileунадаг жагсаалтаас s. Хэрэв та PUF хуваалтыг устгавал Програмчлалын тохиргооны төхөөрөмжийг устгаад дахин нэмэх шаардлагатай File Өөр PUF хуваалт үүсгэх генератор. Та зөв .puf болон .wkey-г сонгосон эсэхээ баталгаажуулах ёстой file IID PUF болон UDS IID PUF-ийн хувьд тус тус.
Зураг 12. .puf болон .wkey-г нэмнэ үү files PUF хуваалт руу

PUF хуваалт

Засварлах

Хуваалтыг засах

Flash Loader

Үүсгэхийг сонгоно уу

5. Flash Loader параметрийн хувьд таны Intel Agilex 7 OPN-тэй тохирох Intel Agilex 7 төхөөрөмжийн гэр бүл болон төхөөрөмжийн нэрийг сонгоно уу.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 39

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23
6. Гаралтыг үүсгэхийн тулд Generate дээр дарна уу fileТаны Гаралт дээр заасан s Files таб.
7. Програмчлал File Генератор таны .qek-г уншдаг file мөн таны нэвтрэх үгийг асуух болно. QEK нууц үг оруулах хүсэлтийн хариуд нэвтрэх үгээ бичнэ үү. Enter товчийг дарна уу.
8. Програмчлал хийх үед OK товчийг дарна уу File Генератор амжилттай болсон тухай мэдээлдэг.
Та QSPI програмчлалын дүрсийг QSPI флаш санах ойд бичихдээ Intel Quartus Prime программист ашигладаг. 1. Intel Quartus Prime Tools цэснээс Programmer-ийг сонгоно. 2. Программист дотроос Hardware Setup дээр дараад холбогдсон Intel-г сонгоно уу
FPGA татаж авах кабель. 3. Нэмэх дээр дарна уу File болон өөрийн .jic-г хайна уу file.
Зураг 13. Програм .jic

Програмчлал file

Програм/Тохиргоо

JTAG сканнерын хэлхээ
4. Туслах зурагтай холбоотой нүдийг сонго. 5. .jic гаралтын хувьд Program/Configure командыг сонгоно file. 6. Quad SPI флаш санах ойгоо програмчлахын тулд Start товчийг асаана уу. 7. Самбараа цахилгаанаар эргүүл. Дөрвөн SPI флаш санах ойд програмчлагдсан загвар
төхөөрөмж дараа нь зорилтот FPGA руу ачаалагдана.
Дөрвөн SPI флэш дээр PUF хуваалт нэмэхийн тулд та бүхэл бүтэн флаш програмчлалын зургийг үүсгэж, програмчлах ёстой.
Флэш дотор PUF хуваалт аль хэдийн байгаа бол PUF туслах өгөгдөл болон ороосон түлхүүрт шууд хандахын тулд Intel Quartus Prime программистыг ашиглах боломжтой. fileс. Жишээ ньampХэрэв идэвхжүүлэлт амжилтгүй болбол PUF-г дахин бүртгүүлж, AES түлхүүрийг дахин боож, дараа нь зөвхөн PUF програмчлах боломжтой. fileфлашыг бүхэлд нь дарж бичих шаардлагагүй.

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 40

Санал хүсэлт илгээх

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23
Intel Quartus Prime программист нь PUF-ийн дараах үйлдлийн аргументыг дэмждэг files нь өмнө нь байгаа PUF хуваалтанд:
· p: програм
· v: баталгаажуулах
· r: арилгах
· b: хоосон чек
PUF хуваалт байгаа ч гэсэн та PUF бүртгүүлэхдээ ижил хязгаарлалтыг дагаж мөрдөх ёстой.
1. Эхний үйлдэлд зориулсан програм хангамжийн туслах дүрсийг ачаалахдаа i үйлдлийн аргументыг ашиглана уу. Жишээ ньample, дараах тушаалын дараалал нь PUF-г дахин бүртгэж, AES үндсэн түлхүүрийг дахин боож, хуучин PUF туслах өгөгдөл болон ороосон түлхүүрийг устгаж, дараа нь шинэ PUF туслах өгөгдөл болон AES үндсэн түлхүүрийг програмчилж, баталгаажуулна.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag -ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o “v;new.wkey”
4.9.2.4. Intrinsic ID PUF идэвхжүүлэх төлөвийг асууж байна
Intrinsic ID PUF-г бүртгүүлсний дараа AES түлхүүрийг боож, флаш програмчлалыг үүсгэнэ үү files болон дөрвөлсөн SPI флэшийг шинэчилснээр та шифрлэгдсэн бит урсгалаас PUF идэвхжүүлэлт болон тохиргоог идэвхжүүлэхийн тулд төхөөрөмжөө асаана. SDM нь PUF идэвхжүүлэлтийн төлөвийг тохиргооны статусын хамт мэдээлдэг. Хэрэв PUF идэвхжүүлэлт амжилтгүй болвол SDM оронд нь PUF алдааны төлөвийг мэдээлнэ. Тохируулгын статусыг асуухын тулд quartus_pgm командыг ашиглана уу.
1. Идэвхжүүлэх статусыг асуухын тулд дараах тушаалыг ашиглана уу.
quartus_pgm -c 1 -mjtag –status –status_type=”Тохируулга”
Энд сampАмжилттай идэвхжүүлэлтийн үр дүн:
Мэдээлэл (21597): CONFIG_STATUS төхөөрөмж хэрэглэгчийн горимд ажиллаж байна 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 ТӨЛӨВ=IDLE 00160300 Хувилбар C000007B MSEL=QSPI_STATUS=,CON1G, MSEL=QSPI_NO1G,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Алдааны байршил 00000000 Алдааны дэлгэрэнгүй хариулт PUF_STATUS00002000DECONG2= 00000500 ХЭРЭГЛЭГЧИЙН_IID БАЙДАЛ=PUF_ИДЭВХЖҮҮЛЭХ_АМЖИЛТ,
НАЙДВАРТАЙ_ОНОШИЛТЫН_ОНОО=5, ШИНЖИЛГЭЭНИЙ_ГОЁМ=0 00000500 UDS_IID БАЙДАЛ=PUF_ИДЭВХИЙН_АМЖИЛТ,
НАЙДВАРТАЙ_ОНОШИЛТЫН_ОНОО=5, ШИНЖИЛГЭЭНИЙ_ГОЦ=0

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 41

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23

Хэрэв та зөвхөн IID PUF эсвэл UDS IID PUF ашиглаж байгаа бөгөөд туслах датаг програмчлаагүй бол .puf file QSPI флэш дэх PUF-ийн аль нэгний хувьд PUF идэвхжихгүй бөгөөд PUF-ийн төлөв нь PUF туслах өгөгдөл хүчингүй болохыг харуулж байна. Дараах эксample нь PUF туслах өгөгдөл нь PUF-д програмчлагдаагүй үед PUF статусыг харуулдаг:
PUF_STATUS-ын хариулт 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
НАЙДВАРТАЙ_ОНОШИЛТЫН_ОНОО=0, ШИНЖИЛГЭЭНИЙ_ГОЦ=0

4.9.2.5. Flash санах ой дахь PUF-ийн байршил
PUF-ийн байршил file RSU-г дэмждэг загвар болон RSU функцийг дэмждэггүй загваруудын хувьд ялгаатай.

RSU-г дэмждэггүй дизайны хувьд та .puf болон .wkey-г оруулах ёстой files шинэчлэгдсэн флаш зураг үүсгэх үед. RSU-г дэмждэг загваруудын хувьд SDM нь үйлдвэрийн болон програмын зургийн шинэчлэлтийн үед PUF өгөгдлийн хэсгүүдийг дарж бичдэггүй.

Хүснэгт 2.

RSU дэмжлэггүйгээр Flash дэд хуваалтуудын зохион байгуулалт

Flash Offset (байтаар)

Хэмжээ (байтаар)

Агуулга

Тодорхойлолт

0К 256К

256К 256К

Тохиргооны удирдлагын програм хангамжийн тохиргооны удирдлагын програм хангамж

SDM дээр ажилладаг програм хангамж.

512 мянга

256 мянга

Тохиргооны удирдлагын програм хангамж

768 мянга

256 мянга

Тохиргооны удирдлагын програм хангамж

32 мянга

PUF мэдээллийн хуулбар 0

PUF туслах өгөгдөл болон PUF ороосон AES үндсэн түлхүүрийн хуулбарыг хадгалах өгөгдлийн бүтэц 0

1 сая+32 мянга

32 мянга

PUF мэдээллийн хуулбар 1

PUF туслах өгөгдөл болон PUF ороосон AES үндсэн түлхүүрийн хуулбарыг хадгалах өгөгдлийн бүтэц 1

Хүснэгт 3.

RSU дэмжлэгтэй Flash дэд хуваалтуудын зохион байгуулалт

Flash Offset (байтаар)

Хэмжээ (байтаар)

Агуулга

Тодорхойлолт

0К 512К

512К 512К

Decision firmware Decision firmware

Хамгийн чухал ач холбогдолтой зургийг тодорхойлж, ачаалах програм хангамж.

1 сая 1.5 сая

512К 512К

Decision firmware Decision firmware

8К + 24К

Шийдвэрлэлтийн програм хангамжийн өгөгдөл

Жиглүүр

Шийдвэрийн програм хангамжийг ашиглахад зориулагдсан.

2 сая + 32 мянга

32 мянга

SDM-д зориулж нөөцөлсөн

SDM-д зориулж нөөцөлсөн.

2 сая + 64 мянга

Хувьсагч

Үйлдвэрийн зураг

Бусад бүх програмын зургийг ачаалж чадаагүй тохиолдолд нөөц болгон үүсгэх энгийн зураг. Энэ зураг нь SDM дээр ажилладаг CMF-г агуулдаг.

Дараа нь

32 мянга

PUF мэдээллийн хуулбар 0

PUF туслах өгөгдөл болон PUF ороосон AES үндсэн түлхүүрийн хуулбарыг хадгалах өгөгдлийн бүтэц 0
үргэлжилсэн…

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 42

Санал хүсэлт илгээх

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23

Flash Offset (байтаар)

Хэмжээ (байтаар)

Дараагийн +32К 32К

Агуулга PUF мэдээллийн хуулбар 1

Дараагийн + 256К 4К Дараагийн +32К 4К Дараагийн +32К 4К

Дэд хуваалтын хүснэгтийн хуулбар 0 Дэд хуваалтын хүснэгтийн хуулбар 1 CMF заагч блок хуулбар 0

Дараагийн +32K _

CMF заагч блокийн хуулбар 1

Хувьсах хувьсагч

Хэрэглээний зураг 1 Хэрэглээний зураг 2

4.9.3. Хар түлхүүрийн хангамж

Тодорхойлолт
PUF туслах өгөгдөл болон PUF ороосон AES үндсэн түлхүүрийн хуулбарыг хадгалах өгөгдлийн бүтэц 1
Флаш санах ойн менежментийг хөнгөвчлөх мэдээллийн бүтэц.
Аппликешны зургуудыг тэргүүлэх ач холбогдлын дарааллаар харуулах заагчийн жагсаалт. Та зураг нэмэхэд тэр зураг хамгийн өндөр болно.
Програмын зураг руу чиглүүлэх заагчийн жагсаалтын хоёр дахь хуулбар.
Таны анхны хэрэглээний зураг.
Таны хоёр дахь програмын зураг.

Жич:

Intel Quartus PrimeProgrammer нь Intel Agilex 7 төхөөрөмж болон хар түлхүүрийн хангамжийн үйлчилгээний хооронд харилцан баталгаажсан аюулгүй холболтыг бий болгоход тусалдаг. Аюулгүй холболтыг https-ээр үүсгэсэн бөгөөд текст ашиглан тодорхойлсон хэд хэдэн гэрчилгээ шаардлагатай file.
Black Key Provisioning-ийг ашиглах үед Intel нь резисторыг J-д ашиглаж байх зуураа TCK зүүг татах эсвэл татахын тулд гаднаас нь холбохоос зайлсхийхийг зөвлөж байна.TAG. Гэхдээ та TCK зүүг 10 к резистор ашиглан VCCIO SDM тэжээлийн хангамжид холбож болно. TCK-ийг 1 к-ийн доош татдаг резистортой холбох зүү холболтын зааварт байгаа зааврыг дуу чимээг дарах зорилгоор оруулсан болно. Удирдамжийг 10 к татах резистор болгон өөрчлөх нь төхөөрөмжийн үйл ажиллагаанд нөлөөлөхгүй. TCK зүүг холбох талаар нэмэлт мэдээлэл авахыг хүсвэл Intel Agilex 7 Pin холболтын удирдамжийг үзнэ үү.
Thebkp_tls_ca_certcertcertificate нь таны хар түлхүүрийн нөөцийн үйлчилгээний жишээг таны хар түлхүүрийн программистын инстанц руу баталгаажуулдаг. Thebkp_tls_*сертификатууд нь таны хар түлхүүр бэлтгэх программист инстанцыг таны хар түлхүүрээр хангах үйлчилгээний жишээнд баталгаажуулдаг.
Та текст үүсгэ file Intel Quartus Prime программист хар түлхүүрийн хангамжийн үйлчилгээнд холбогдоход шаардлагатай мэдээллийг агуулсан. Хар түлхүүрийн тохиргоог эхлүүлэхийн тулд программист командын мөрийн интерфейсийг ашиглан хар түлхүүрийн тохируулгын текстийг зааж өгнө үү file. Дараа нь хар түлхүүрийн бэлтгэл автоматаар явагдана. Хар түлхүүр бэлтгэх үйлчилгээ болон холбогдох баримт бичигт хандахыг хүсвэл Intel-ийн тусламж үйлчилгээтэй холбогдоно уу.
Та хар түлхүүрийн тохиргоог thequartus_pgmcommand ашиглан идэвхжүүлж болно:
quartus_pgm -c -м - төхөөрөмж –bkp_options=bkp_options.txt
Тушаалын аргументууд нь дараах мэдээллийг зааж өгнө.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 43

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23

· -c: кабелийн дугаар · -m: J гэх мэт програмчлалын горимыг заанаTAG · –device: J дээр төхөөрөмжийн индексийг зааж өгнөTAG гинж. Өгөгдмөл утга нь 1. · –bkp_options: текстийг заана file хар түлхүүрээр хангах сонголтуудыг агуулсан.
Холбогдох мэдээлэл Intel Agilex 7 төхөөрөмжийн гэр бүлийн зүү холболтын удирдамж

4.9.3.1. Хар түлхүүрийн хангамжийн сонголтууд
Хар түлхүүрийн тохируулгын сонголтууд нь текст юм file quartus_pgm командаар дамжуулан программист руу дамжуулсан. The file хар түлхүүрийн нөөцийг идэвхжүүлэхэд шаардлагатай мэдээллийг агуулна.
Дараах нь эксampbkp_options.txt-ийн le file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem_xp1234 хаяг = https://192.167.5.5:5000 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Хүснэгт 4.

Хар түлхүүрийн хангамжийн сонголтууд
Энэ хүснэгтэд хар түлхүүрийн тохиргоог идэвхжүүлэхэд шаардлагатай сонголтуудыг харуулав.

Сонголтын нэр

Төрөл

Тодорхойлолт

bkp_ip

Шаардлагатай

Хар түлхүүрийн хангамжийн үйлчилгээг ажиллуулж буй серверийн IP хаягийг зааж өгнө.

bkp_port

Шаардлагатай

Сервертэй холбогдоход шаардлагатай хар түлхүүрийн хангамжийн үйлчилгээний портыг заана.

bkp_cfg_id

Шаардлагатай

Хар түлхүүрийн бэлтгэлийн тохиргооны урсгалын ID-г тодорхойлно.
Хар түлхүүрийн нөөцийн үйлчилгээ нь AES үндсэн түлхүүр, хүссэн eFuse тохиргоо болон бусад хар түлхүүрийн зөвшөөрлийн сонголтуудыг багтаасан хар түлхүүрийн нөөцийн тохиргооны урсгалыг бий болгодог. Хар түлхүүрээр хангах үйлчилгээний тохиргооны үед олгосон дугаар нь хар түлхүүрийн нөөцийн тохиргооны урсгалыг тодорхойлдог.
Тэмдэглэл: Олон төхөөрөмж нь ижил хар түлхүүрийн нөөцийн үйлчилгээний тохиргооны урсгалыг хэлж болно.

bkp_tls_ca_cert

Шаардлагатай

Үндэс TLS гэрчилгээ нь Intel Quartus Prime программист (программист) хар түлхүүрээр хангах үйлчилгээг тодорхойлоход хэрэглэгддэг. Хар түлхүүр бэлтгэх үйлчилгээний итгэмжлэгдсэн гэрчилгээний газар энэ гэрчилгээг гаргадаг.
Хэрэв та программистыг Microsoft® Windows® үйлдлийн системтэй компьютер дээр ажиллуулж байгаа бол (Windows) энэ гэрчилгээг Windows сертификатын дэлгүүрт суулгах ёстой.

bkp_tls_prog_cert

Шаардлагатай

Хар түлхүүрээр хангах программист (BKP программист) жишээнд зориулж бүтээсэн гэрчилгээ. Энэ бол BKP программистын жишээг тодорхойлоход ашигладаг https клиентийн гэрчилгээ юм
үргэлжилсэн…

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 44

Санал хүсэлт илгээх

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23

Сонголтын нэр

Төрөл

bkp_tls_prog_key

Шаардлагатай

bkp_tls_prog_key_pass Нэмэлт

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Нэмэлт Нэмэлт Нэмэлт

Тодорхойлолт
хар түлхүүрээр хангах үйлчилгээ рүү. Та хар түлхүүр бэлтгэх сессийг эхлүүлэхийн өмнө энэ гэрчилгээг хар түлхүүрээр хангах үйлчилгээнд суулгаж, зөвшөөрөл өгөх ёстой. Хэрэв та Windows дээр программист ажиллуулж байгаа бол энэ сонголт боломжгүй. Энэ тохиолдолд bkp_tls_prog_key нь энэ гэрчилгээг аль хэдийн агуулна.
BKP программерын гэрчилгээнд тохирох хувийн түлхүүр. Түлхүүр нь BKP Программерын жишээг хар түлхүүрээр хангах үйлчилгээг баталгаажуулдаг. Хэрэв та Windows дээр программист ажиллуулж байгаа бол .pfx file bkp_tls_prog_cert сертификат болон хувийн түлхүүрийг нэгтгэдэг. bkp_tlx_prog_key сонголт нь .pfx-г дамжуулдаг file bkp_options.txt дотор file.
bkp_tls_prog_key хувийн түлхүүрийн нууц үг. Хар түлхүүрээр хангах тохиргооны сонголтууд (bkp_options.txt) текстэд шаардлагагүй file.
Прокси серверийг зааж өгнө URL хаяг.
Прокси серверийн хэрэглэгчийн нэрийг зааж өгнө.
Прокси баталгаажуулалтын нууц үгийг зааж өгнө.

4.10. Өмчлөгчийн эх түлхүүр, AES эх түлхүүрийн гэрчилгээ, гал хамгаалагчийг хөрвүүлэх files Jam STAPL руу File Форматууд

Та quartus_pfg командын мөрийн командыг ашиглан .qky, AES root түлхүүр .ccert болон .fuse-г хөрвүүлэх боломжтой. files Jam STAPL формат руу оруулна File (.jam) болон Jam байт кодын формат File (.jbc). Та эдгээрийг ашиглаж болно fileJam STAPL тоглуулагч болон Jam STAPL байт код тоглуулагчийг ашиглан Intel FPGA-г програмчлах.

Ганц .jam эсвэл .jbc нь програм хангамжийн туслах зургийн тохиргоо, программ, хоосон шалгах, түлхүүр болон гал хамгаалагчийн програмчлалын баталгаажуулалт зэрэг хэд хэдэн функцийг агуулдаг.

Анхааруулга:

Та AES үндсэн түлхүүрийг хөрвүүлэх үед .ccert file .jam формат руу, .jam file нь AES түлхүүрийг энгийн боловч бүдэг бадаг хэлбэрээр агуулдаг. Тиймээс та .jam-г хамгаалах ёстой file AES түлхүүрийг хадгалах үед. Та үүнийг аюулгүй орчинд AES түлхүүрээр хангах замаар хийж болно.

Энд экс байнаampquartus_pfg хөрвүүлэх командууд:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.cgotpy”quartus c -o helper_device=AGFB2R014A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB24R014A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device = AGFB24R014use settings -aes.ccert help er_device=AGFB24R014A тохиргоо. гал хамгаалагчийн тохиргоо_fuse.jbc

Төхөөрөмжийн програмчлалд Jam STAPL тоглуулагчийг ашиглах талаар дэлгэрэнгүй мэдээллийг AN 425: Төхөөрөмжийн програмчлалд зориулсан командын шугамын Jam STAPL шийдлийг ашиглах хэсгээс үзнэ үү.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 45

4. Төхөөрөмжийн хангамж 683823 | 2023.05.23
Эзэмшигчийн үндсэн нийтийн түлхүүр болон AES шифрлэлтийн түлхүүрийг програмчлахын тулд дараах тушаалуудыг ажиллуулна уу:
//FPGA-д туслах бит урсгалыг ачаалах. // Туслах бит урсгалд програм хангамжийн quartus_jli -c 1 -a ТОХИРУУЛАХ RootKey.jam-г агуулдаг.
//Үндсэн нийтийн түлхүүрийг виртуал eFuses болгон програмчлахын тулд quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Эзэмшигчийн үндсэн нийтийн түлхүүрийг физик eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam болгон програмчлахын тулд.
//PR эзэмшигчийн root нийтийн түлхүүрийг виртуал eFuses руу програмчлахын тулд quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//PR эзэмшигчийн root нийтийн түлхүүрийг физик eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam болгон програмчлахын тулд.
//AES шифрлэлтийн түлхүүр CCERT-ийг BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam болгон програмчлахын тулд
//AES шифрлэлтийн түлхүүр CCERT-ийг физик eFuses-д програмчлахын тулд quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Холбоотой мэдээлэл AN 425: Төхөөрөмжийн програмчлалд командын шугамын саатал STAPL шийдлийг ашиглах

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 46

Санал хүсэлт илгээх

683823 | 2023.05.23 Санал хүсэлт илгээх

Нарийвчилсан шинж чанарууд

5.1. Аюулгүй дибаг хийх зөвшөөрөл
Secure Debug Authorization-ийг идэвхжүүлэхийн тулд дибаг эзэмшигч нь баталгаажуулалтын түлхүүрийн хослолыг үүсгэж, төхөөрөмжийн мэдээллийг үүсгэхийн тулд Intel Quartus Prime Pro программист ашиглах шаардлагатай. file дибаг хийх дүрсийг ажиллуулдаг төхөөрөмжийн хувьд:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
Төхөөрөмж эзэмшигч нь дибаг хийх эзэмшигчийн нийтийн түлхүүр, шаардлагатай зөвшөөрөл, төхөөрөмжийн мэдээллийн текстийг ашиглан дибаг хийх ажиллагаанд зориулагдсан гарын үсгийн хэлхээнд нөхцөлт нийтийн түлхүүрийн оруулгыг хавсаргахын тулд quartus_sign хэрэгсэл эсвэл лавлагааны хэрэгжилтийг ашигладаг. file, болон холбогдох бусад хязгаарлалтууд:
quartus_sign –family=agilex –operation=apppend_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –хязгаарлалт=”1,2,17,18″_pem=XNUMX оруулах, debug_authorization_public_key.pem security_debug_auth_chain.qky
Төхөөрөмж эзэмшигч нь гарын үсгийн хэлхээ болон өөрийн хувийн түлхүүрийг ашиглан дибаг хийх зурагт гарын үсэг зурдаг дибаг эзэмшигч рүү бүрэн гарын үсгийн хэлхээг буцааж илгээдэг.
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Та quartus_pfg командыг ашиглан энэхүү гарын үсэгтэй аюулгүй дибаг хийх бит урсгалын хэсэг бүрийн гарын үсгийн хэлхээг шалгаж болно:
quartus_pfg – бүрэн бүтэн байдлыг шалгана уу.
Энэ командын гаралт нь гарын үсэг зурсан бит урсгалыг үүсгэхэд ашигласан нөхцөлт нийтийн түлхүүрийн хязгаарлалтын 1,2,17,18 утгыг хэвлэнэ.
Дибаг эзэмшигч нь аюулгүйгээр зөвшөөрөгдсөн дибаг хийх дизайныг програмчилж болно:
quartus_pgm -c 1 -mjtag -o “p;authorized_debug_design.rbf”
Төхөөрөмж эзэмшигч нь аюулгүй дибаг хийх зөвшөөрлийн гарын үсгийн хэлхээнд өгөгдсөн тодорхой түлхүүр цуцлах ID-г цуцалснаар аюулгүй дибаг хийх зөвшөөрлийг цуцалж болно.
5.2. HPS дибаг хийх гэрчилгээ
J-ээр дамжуулан HPS дибаг хийх хандалтын порт (DAP) руу зөвхөн зөвшөөрөгдсөн хандалтыг идэвхжүүлэхTAG интерфэйс нь хэд хэдэн алхам шаарддаг:

ISO 9001:2015 Бүртгэгдсэн

5. Нарийвчилсан функцууд 683823 | 2023.05.23
1. Intel Quartus Prime програм хангамжийн даалгавар цэсийг товшоод Төхөөрөмжийн төхөөрөмж ба зүү тохируулгын тохиргооны табыг сонгоно уу.
2. "Тохиргоо" цонхны унадаг цэснээс HPS дибаг хийх хандалтын портыг (DAP) идэвхжүүлж, унадаг цэснээс HPS Pins эсвэл SDM Pins-ийг сонгоод, HPS-ийг сертификатгүйгээр дибаг хийхийг зөвшөөрөх нүдийг сонгоогүй эсэхийг шалгаарай.
Зураг 14. HPS DAP-д HPS эсвэл SDM зүүг зааж өгнө үү

HPS дибаг хийх хандалтын порт (DAP)
Мөн та Quartus Prime тохиргооны .qsf хэсэгт доорх даалгаврыг тохируулж болно file:
set_global_assignment -Нэр HPS_DAP_SPLIT_MODE "SDM PINS"
3. Эдгээр тохиргоогоор дизайныг эмхэтгэж ачаална. 4. HPS дибагт гарын үсэг зурах зохих зөвшөөрөл бүхий гарын үсгийн сүлжээг үүсгэ
гэрчилгээ:
quartus_sign –family=agilex –operation=apppend_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_chainqky.
5. Дибаг хийх загвар ачаалагдсан төхөөрөмжөөс гарын үсэг зураагүй HPS дибаг хийх гэрчилгээг хүсэх:
quartus_pgm -c 1 -mjtag -o “e;unsigned_hps_debug.cert;AGFB014R24A”
6. Quartus_sign хэрэгсэл эсвэл лавлагааны хэрэгжилт болон HPS дибаг хийх гарын үсгийн хэлхээг ашиглан гарын үсэг зураагүй HPS дибаг хийх гэрчилгээнд гарын үсэг зурна уу:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 48

Санал хүсэлт илгээх

5. Нарийвчилсан функцууд 683823 | 2023.05.23
7. HPS дибагийн хандалтын порт (DAP) руу нэвтрэхийг идэвхжүүлэхийн тулд гарын үсэг зурсан HPS дибаг хийх гэрчилгээг төхөөрөмж рүү буцааж илгээнэ үү:
quartus_pgm -c 1 -mjtag -o “p;signed_hps_debug.cert”
HPS дибаг хийх гэрчилгээ нь зөвхөн үүсгэгдсэн үеэс эхлэн төхөөрөмжийн дараагийн тэжээлийн мөчлөг эсвэл SDM програмын өөр төрөл эсвэл хувилбарыг ачаалах хүртэл хүчинтэй байна. Та төхөөрөмжийг асаахаас өмнө гарын үсэг зурсан HPS дибаг хийх гэрчилгээг үүсгэж, гарын үсэг зурж, програмчлах ёстой бөгөөд бүх дибаг хийх үйлдлийг гүйцэтгэх ёстой. Та төхөөрөмжийг асаах замаар гарын үсэг зурсан HPS дибаг хийх гэрчилгээг хүчингүй болгож болно.
5.3. Платформын гэрчилгээ
Та лавлагааны бүрэн бүтэн байдлын манифест (.rim) үүсгэж болно. file програмчлалыг ашиглан file генератор хэрэгсэл:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Загвар дээрээ платформыг баталгаажуулахын тулд дараах алхмуудыг дагана уу: 1. Intel Quartus Prime Pro программист ашиглан төхөөрөмжөө тохируулна уу.
Та лавлагааны бүрэн бүтэн байдлын манифест үүсгэсэн загвар. 2. Төхөөрөмжийг бүртгүүлэхийн тулд платформын баталгаажуулалтын баталгаажуулагчийг ашиглан
SDM шуудангийн хайрцгаар дамжуулан SDM ашиглан төхөөрөмжийн ID гэрчилгээ болон програм хангамжийн гэрчилгээг дахин ачаална уу. 3. Intel Quartus Prime Pro программист ашиглан төхөөрөмжийнхөө тохиргоог хийцтэй тохируулаарай. 4. Платформын баталгаажуулалтын баталгаажуулагчийг ашиглан SDM-д тушаал өгөхийн тулд баталгаажуулалтын төхөөрөмжийн ID, програм хангамж, нэрийн гэрчилгээг авна уу. 5. Гэрчилгээний баталгаажуулагчийг ашиглан SDM шуудангийн хайрцгийн командыг өгч, баталгаажуулалтын нотлох баримтыг авах ба баталгаажуулагч нь буцаасан нотлох баримтыг шалгана.
Та SDM шуудангийн хайрцгийн командуудыг ашиглан өөрийн баталгаажуулагч үйлчилгээг хэрэгжүүлэх эсвэл Intel платформын баталгаажуулалтын баталгаажуулагч үйлчилгээг ашиглаж болно. Intel платформын баталгаажуулалтын баталгаажуулагч үйлчилгээний програм хангамж, бэлэн байдал, баримт бичгийн талаар нэмэлт мэдээлэл авахыг хүсвэл Intel-ийн дэмжлэгтэй холбогдоно уу.
Холбогдох мэдээлэл Intel Agilex 7 төхөөрөмжийн гэр бүлийн зүү холболтын удирдамж
5.4. Физик эсрэг Тamper
Та физик эсрэг t-г идэвхжүүлнэampдараах алхмуудыг ашиглан er онцлог: 1. Илэрсэн t хүссэн хариу сонгохamper үйл явдал 2. Хүссэн t-г тохируулахamper илрүүлэх арга ба параметрүүд 3. Үүнд эсрэг тampAnti-t-ийг удирдахад туслахын тулд таны дизайны логик дахь IPamper
үйл явдал

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 49

5. Нарийвчилсан функцууд 683823 | 2023.05.23
5.4.1. Эсрэг Тamper Хариултууд
Та физик анти-t-г идэвхжүүлнэamper Anti-t-ээс хариу сонгох замаарampХариулт: Даалгаврын төхөөрөмж дээрх унждаг жагсаалт ба Pin Options Security Anti-Tamper tab. Анхдагч байдлаар, эсрэг tampхариу идэвхгүй болсон. Anti-t-ийн таван ангилалampхариу өгөх боломжтой. Хүссэн хариултаа сонгох үед нэг буюу хэд хэдэн илрүүлэх аргыг идэвхжүүлэх сонголтууд идэвхждэг.
Зураг 15. Боломжтой Anti-TampХариулах сонголтууд

Quartus Prime тохиргоон дахь харгалзах даалгавар .gsf file дараах нь:
set_global_assignment -нэр ANTI_TAMPER_RESPONSE “МЭДЭГДЭЛИЙН ТӨХӨӨРӨМЖИЙГ АРЧИХ ТӨХӨӨРӨМЖИЙГ ТҮГЖИЖ, ТЭГЛЭХ”
Та эсрэг t-г идэвхжүүлэх үедampХариулт өгөхийн тулд та t-г гаргах боломжтой SDM-д зориулагдсан хоёр оролт гаралтын зүүг сонгож болноampДаалгаврын төхөөрөмжийн төхөөрөмж болон зүү тохируулгын тохиргооны тохиргооны тохируулгын тохируулгын цонхыг ашиглан үйл явдлын илрүүлэлт болон хариу үйлдлийн төлөв.

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 50

Санал хүсэлт илгээх

5. Нарийвчилсан функцууд 683823 | 2023.05.23
Зураг 16. T-д зориулсан SDM-д зориулагдсан I/O зүү боломжтойamper Үйл явдал илрүүлэх

Та мөн тохиргоон дотроос дараах зүү оноолтыг хийж болно file: set_global_assignment -USE_T нэрAMPER_DETECT SDM_IO15 set_global_assignment -нэр ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Эсрэг Тamper Илрүүлэх

Та давтамж, температур, эзлэхүүнийг тус тусад нь идэвхжүүлж болноtagSDM-ийн e илрүүлэх онцлогууд. FPGA илрүүлэх нь Anti-T-г оруулахаас хамаарнаamper Lite Intel FPGA IP таны дизайн.

Жич:

SDM давтамж ба ботьtagгэх мэтampилрүүлэх аргууд нь дотоод лавлагаа болон хэмжилтийн тоног төхөөрөмжөөс хамаардаг бөгөөд тэдгээр нь төхөөрөмжөөс хамаарч өөр өөр байж болно. Intel танд t-ийн зан төлөвийг тодорхойлохыг зөвлөж байнаampилрүүлэх тохиргоо.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 51

5. Нарийвчилсан функцууд 683823 | 2023.05.23
Давтамж tamper илрүүлэх нь тохируулгын цагийн эх үүсвэр дээр ажилладаг. Давтамжийг идэвхжүүлэхийн тулд tampХэрэв илрүүлэхийн тулд та "Төхөөрөмжийн төхөөрөмж" болон "Бүтэн тохируулга" ерөнхий таб дээрх "Тохиргооны цагийн эх сурвалж" цэсэнд Дотоод осциллятороос өөр сонголтыг зааж өгөх ёстой. Та давтамжийг идэвхжүүлэхийн өмнө дотоод осциллятороос CPU-г ажиллуулах тохиргоо идэвхжсэн эсэхийг шалгах хэрэгтэй.ampилрүүлэх. Зураг 17. SDM-ийг дотоод осцилляторт тохируулах
Давтамжийг идэвхжүүлэхийн тулд tampилрүүлэхийн тулд Enable давтамж t-г сонгоно ууamper илрүүлэх хайрцгийг сонгоод хүссэн Давтамж t-г сонгоampунадаг цэснээс илрүүлэх хүрээг сонгоно уу. Зураг 18. Давтамжийг идэвхжүүлэх Тamper Илрүүлэх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 52

Санал хүсэлт илгээх

5. Нарийвчилсан функцууд 683823 | 2023.05.23
Эсвэл та давтамж T-г идэвхжүүлж болноamper Quartus Prime тохиргоонд дараах өөрчлөлтүүдийг хийснээр илрүүлэх .qsf file:
set_global_assignment -нэр AUTO_RESTART_CONFIGURATION OFF set_global_assignment -нэр DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -Нэр RUN_CONFIG_CPU_FROM_INT_OSC ON set_global EN_QUO_Global нэрAMPER_DETECTION ON set_global_assignment -Нэр FREQUENCY_TAMPER_DETECTION_RANGE 35
Температурыг идэвхжүүлэхийн тулд tampилрүүлэхийн тулд Температурыг идэвхжүүлэх t-г сонгоно ууamper илрүүлэх хайрцгийг сонгоод харгалзах талбарт хүссэн температурын дээд ба доод хязгаарыг сонгоно уу. Дээд ба доод хязгаарыг анхдагчаар загварт сонгосон төхөөрөмжийн холбогдох температурын мужид оруулсан болно.
Боть идэвхжүүлэхийн тулдtagгэх мэтampилрүүлэх үед та VCCL-г идэвхжүүлэхийн аль нэгийг эсвэл хоёуланг нь сонгоно ууtagгэх мэтamper илрүүлэх эсвэл VCCL_SDM-г идэвхжүүлэхtagгэх мэтampилрүүлэх хайрцгийг сонгоод хүссэн Боть-г сонгоно ууtagгэх мэтampилрүүлэх гох хувьtage харгалзах талбарт.
Зураг 19. Enabling Voltage Т.amper Илрүүлэх

Эсвэл та Vol.-г идэвхжүүлж болноtage Т.amper .qsf-д дараах даалгавруудыг зааж өгөх замаар илрүүлэх file:
set_global_assignment -нэр ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -нэр TEMPERATURE_TAMPER_UPPER_BOUND 100 багц_дэлхий_даалгавар -нэр ENABLE_VCCL_VOLTAGЭ_ТAMPER_DETECTION ON set_global_assignment -нэр ENABLE_VCCL_SDM_VOLTAGЭ_ТAMPER_DETECTION АСААЛТТАЙ
5.4.3. Эсрэг Тamper Lite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP нь Intel Quartus Prime Pro Edition программ хангамжийн IP каталогт байдаг бөгөөд таны дизайн болон SDM-ийн хооронд хоёр чиглэлтэй харилцаа холбоог хөнгөвчилдөг.ampүйл явдлууд.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 53

Зураг 20. Anti-Tamper Lite Intel FPGA IP

5. Нарийвчилсан функцууд 683823 | 2023.05.23

IP нь шаардлагатай бол дизайнтайгаа холбогдох дараах дохиог өгдөг.

Хүснэгт 5.

Эсрэг Т.amper Lite Intel FPGA IP I/O дохио

Дохионы нэр

Чиглэл

Тодорхойлолт

gpo_sdm_at_event gpi_fpga_at_event

Гаралтын оролт

SDM-ийн илрүүлсэн FPGA даавуу логик руу SDM дохиоampүйл явдал. FPGA логик нь хүссэн цэвэрлэгээг хийж, gpi_fpga_at_response_done болон gpi_fpga_at_zeroization_done-ээр дамжуулан SDM-д хариу өгөхөд ойролцоогоор 5 мс байна. SDM нь t-ээр үргэлжилдэгampgpi_fpga_at_response_done баталгаажсан эсвэл заасан хугацаанд ямар ч хариу ирээгүй тохиолдолд хариу үйлдэл хийх.
FPGA нь таны зохион бүтээсэн анти-t SDM-д тасалддагamper илрүүлэх хэлхээг үед илрүүлсэнamper үйл явдал болон SDM tampхариу үйлдлийг өдөөх ёстой.

gpi_fpga_хариулт_хийсэн

Оруулах

FPGA логик нь хүссэн цэвэрлэгээг хийсэн SDM-д FPGA тасалддаг.

gpi_fpga_at_zeroization_d нэг

Оруулах

FPGA нь SDM-д FPGA логик нь дизайны өгөгдлийн хүссэн тэглэлтийг дуусгасан гэсэн дохио өгдөг. Энэ дохио нь sampgpi_fpga_at_response_done-г баталгаажуулах үед удирддаг.

5.4.3.1. Мэдээлэл гаргах

IP хувилбарын схемийн (XYZ) дугаар нь нэг програм хангамжийн хувилбараас нөгөөд шилждэг. Өөрчлөлт:
· X нь IP-ийн томоохон засварыг илэрхийлнэ. Хэрэв та Intel Quartus Prime программ хангамжаа шинэчилсэн бол IP-г дахин үүсгэх ёстой.
· Y нь IP нь шинэ боломжуудыг агуулж байгааг харуулж байна. Эдгээр шинэ боломжуудыг оруулахын тулд өөрийн IP-г сэргээнэ үү.
· Z нь IP-д бага зэргийн өөрчлөлт орсон байгааг харуулж байна. Эдгээр өөрчлөлтүүдийг оруулахын тулд өөрийн IP-г сэргээнэ үү.

Хүснэгт 6.

Эсрэг Т.amper Lite Intel FPGA IP хувилбарын мэдээлэл

IP хувилбар

Зүйл

Тодорхойлолт 20.1.0

Intel Quartus Prime хувилбар

21.2

Гарсан огноо

2021.06.21

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 54

Санал хүсэлт илгээх

5. Нарийвчилсан функцууд 683823 | 2023.05.23
5.5. Системийн алсын шинэчлэлтийн дизайны хамгаалалтын функцуудыг ашиглах
Remote System Update (RSU) нь тохиргоог шинэчлэхэд тусалдаг Intel Agilex 7 FPGA функц юм. fileбат бөх байдлаар. RSU нь тохиргооны бит урсгалуудын дизайны агуулгаас хамаардаггүй тул RSU нь нэвтрэлт танилт, програм хангамжийн хамтран гарын үсэг зурах, бит урсгалын шифрлэлт зэрэг дизайны аюулгүй байдлын функцуудтай нийцдэг.
.sof ашиглан RSU дүрсийг бүтээх Files
Хэрэв та хувийн түлхүүрээ орон нутагтаа хадгалж байгаа бол fileсистемийн хувьд та .sof-тэй хялбаршуулсан урсгалыг ашиглан дизайны хамгаалалтын функц бүхий RSU зургийг үүсгэж болно files нь оролт болно. .sof ашиглан RSU дүрс үүсгэхийн тулд file, та алсын зайнаас системийн шинэчлэлтийн зураг үүсгэх хэсэгт байгаа зааврыг дагаж болно Files Програмчлалыг ашиглах File Intel Agilex 7 тохиргооны хэрэглэгчийн гарын авлагын генератор. .sof бүрийн хувьд file Оролт дээр заасан Files tab дээр Properties… товчийг дарж, гарын үсэг зурах, шифрлэх хэрэгслүүдийн тохирох тохиргоо, түлхүүрүүдийг зааж өгнө үү. Програмчлал file генераторын хэрэгсэл нь RSU програмчлалыг үүсгэх явцад үйлдвэрийн болон хэрэглээний зургийг автоматаар гарын үсэг зурж, шифрлэдэг files.
Эсвэл, хэрэв та хувийн түлхүүрүүдийг HSM-д хадгалж байгаа бол quartus_sign хэрэгслийг ашиглах ёстой тул .rbf-г ашиглах хэрэгтэй. fileс. Энэ хэсгийн үлдсэн хэсэг нь .rbf-ээр RSU дүрсийг үүсгэх урсгалын өөрчлөлтийг дэлгэрэнгүй харуулав files нь оролт болно. Та .rbf форматыг шифрлэж, гарын үсэг зурах ёстой files тэдгээрийг оролт болгон сонгохын өмнө fileRSU зургийн хувьд s; Гэсэн хэдий ч RSU ачаалах мэдээлэл file шифрлэгдсэн байж болохгүй бөгөөд зөвхөн гарын үсэг зурсан байх ёстой. Програмчлал File Generator нь .rbf форматын шинж чанарыг өөрчлөхийг дэмждэггүй files.
Дараах эксamples нь алсын зайнаас системийн шинэчлэлтийн зураг үүсгэх хэсэгт байгаа командуудад шаардлагатай өөрчлөлтүүдийг харуулж байна Files Програмчлалыг ашиглах File Intel Agilex 7 тохиргооны хэрэглэгчийн гарын авлагын генератор.
.rbf ашиглан анхны RSU дүрсийг үүсгэх Files: Тушаалын өөрчлөлт
.rbf ашиглан анхны RSU дүрсийг үүсгэхээс Files хэсэгт энэ баримт бичгийн өмнөх хэсгүүдийн зааврыг ашиглан дизайны хамгаалалтын функцуудыг хүссэнээр идэвхжүүлэхийн тулд 1-р алхам дахь командуудыг өөрчил.
Жишээ ньample, та гарын үсэг зурсан програм хангамжийг зааж өгөх болно file Хэрэв та програм хангамжийн кодыг ашиглаж байсан бол .rbf бүрийг шифрлэхийн тулд Quartus шифрлэлтийн хэрэгслийг ашиглана уу. file, эцэст нь quartus_sign хэрэгслээр гарын үсэг зурна уу file.
2-р алхамд, хэрэв та програм хангамжийн хамтран гарын үсэг зурахыг идэвхжүүлсэн бол үйлдвэрийн зурагнаас ачаалах .rbf үүсгэх нэмэлт сонголтыг ашиглах ёстой. file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Та ачаалах мэдээллийг үүсгэсний дараа .rbf file, .rbf-д гарын үсэг зурахын тулд quartus_sign хэрэгслийг ашиглана уу file. Та .rbf ачаалах мэдээллийг шифрлэх ёсгүй file.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 55

5. Нарийвчилсан функцууд 683823 | 2023.05.23
Хэрэглээний зураг үүсгэх: Командын өөрчлөлт
Дизайны хамгаалалтын функц бүхий програмын дүрсийг үүсгэхийн тулд та "Програмын дүрс үүсгэх" хэсгийн командыг өөрчилснөөр дизайны хамгаалалтын функцийг идэвхжүүлсэн .rbf, шаардлагатай бол хамтран гарын үсэг зурсан программ хангамжийг ашиглан анхны програмын оронд .sof ашиглана. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Үйлдвэрийн шинэчлэлтийн зураг үүсгэх: Командын өөрчлөлт
Та ачаалах мэдээллийг үүсгэсний дараа .rbf file, та .rbf-д гарын үсэг зурахын тулд quartus_sign хэрэгслийг ашигладаг file. Та .rbf ачаалах мэдээллийг шифрлэх ёсгүй file.
RSU үйлдвэрийн шинэчлэлтийн дүрсийг үүсгэхийн тулд та Үйлдвэрийн шинэчлэлтийн зураг үүсгэх командыг .rbf ашиглан өөрчилнө үү. file дизайны аюулгүй байдлын функцуудыг идэвхжүүлж, хамтран гарын үсэг зурсан програм хангамжийн хэрэглээг зааж өгөх сонголтыг нэмнэ үү:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o горим=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Холбогдох мэдээлэл Intel Agilex 7 тохиргооны хэрэглэгчийн гарын авлага
5.6. SDM криптографийн үйлчилгээ
Intel Agilex 7 төхөөрөмж дээрх SDM нь FPGA даавууны логик эсвэл HPS нь холбогдох SDM шуудангийн хайрцагны интерфейсээр дамжуулан хүссэн криптографийн үйлчилгээг үзүүлдэг. Бүх SDM криптографийн үйлчилгээний шуудангийн хайрцгийн командууд болон өгөгдлийн форматуудын талаар нэмэлт мэдээллийг Intel FPGA болон Structured ASIC-ийн хэрэглэгчийн гарын авлагын Аюулгүй байдлын аргачлалын Хавсралт В-ээс үзнэ үү.
SDM мэйл хайрцагны интерфейсийг SDM криптографийн үйлчилгээний FPGA бүтэцтэй логик руу нэвтрэхийн тулд та өөрийн дизайндаа шуудангийн хайрцгийн үйлчлүүлэгч Intel FPGA IP-г үүсгэсэн байх ёстой.
HPS-ээс SDM шуудангийн хайрцгийн интерфэйс рүү нэвтрэх лавлах кодыг Intel-ээс өгсөн ATF болон Linux кодонд оруулсан болно.
Холбогдох мэдээлэл Мэйл хайрцагны үйлчлүүлэгч Intel FPGA IP хэрэглэгчийн гарын авлага
5.6.1. Борлуулагчийн эрх бүхий ачаалах
Intel нь HPS-ийн ачаалах программ хангамжийг эхний мөчөөс баталгаажуулахын тулд борлуулагчийн зөвшөөрөгдсөн ачаалах функцийг ашигладаг HPS програм хангамжийн лавлагааны хэрэгжилтийг хангадаг.tage ачаалагчийг Линукс цөм рүү шилжүүлнэ.
Холбогдох мэдээлэл Intel Agilex 7 SoC Secure Boot Demo Design

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 56

Санал хүсэлт илгээх

5. Нарийвчилсан функцууд 683823 | 2023.05.23
5.6.2. Аюулгүй мэдээллийн объектын үйлчилгээ
Та SDOS объектын шифрлэлт болон шифрийг тайлах командуудыг SDM шуудангийн хайрцгаар илгээдэг. Та SDOS үндсэн түлхүүрийг бэлтгэсний дараа SDOS функцийг ашиглаж болно.
Холбогдох мэдээлэл 30-р хуудасны аюулгүй өгөгдлийн объектын үйлчилгээний эх түлхүүрийн хангамж
5.6.3. SDM Cryptographic Primitive Services
Та SDM криптографийн команд үйлчилгээний үйлдлийг эхлүүлэхийн тулд SDM шуудангийн хайрцгаар тушаалуудыг илгээдэг. Зарим криптографийн анхдагч үйлчилгээ нь шуудангийн хайрцгийн интерфэйсээс илүү их өгөгдлийг SDM-ээс дамжуулахыг шаарддаг. Эдгээр тохиолдолд санах ой дахь өгөгдөлд заагч өгөхийн тулд форматын тушаал өөрчлөгддөг. Нэмж дурдахад та FPGA бүтцийн логикоос SDM криптографийн команд үйлчилгээг ашиглахын тулд шуудангийн хайрцгийн үйлчлүүлэгч Intel FPGA IP-ийн хувилбарыг өөрчлөх ёстой. Та нэмэлт Crypto үйлчилгээг идэвхжүүлэх параметрийг 1 болгож, шинээр нээгдсэн AXI эхлүүлэгчийн интерфэйсийг загвартаа санах ойтой холбох ёстой.
Зураг 21. Мэйл хайрцагны үйлчлүүлэгч Intel FPGA IP-д SDM криптографийн үйлчилгээг идэвхжүүлэх нь

5.7. Бит урсгалын аюулгүй байдлын тохиргоо (FM/S10)
FPGA бит урсгалын аюулгүй байдлын сонголтууд нь тодорхой хугацаанд заасан функц эсвэл үйлдлийн горимыг хязгаарласан бодлогын цуглуулга юм.
Bitstream Security сонголтууд нь таны Intel Quartus Prime Pro Edition програм хангамжид тохируулсан тугуудаас бүрдэнэ. Эдгээр тугуудыг тохиргооны бит урсгал руу автоматаар хуулдаг.
Та харгалзах аюулгүй байдлын тохиргоог eFuse ашиглан төхөөрөмж дээрх аюулгүй байдлын сонголтыг байнга хэрэгжүүлж болно.
Тохиргооны бит урсгал эсвэл төхөөрөмжийн eFuses-д аюулгүй байдлын аливаа тохиргоог ашиглахын тулд та баталгаажуулалтын функцийг идэвхжүүлэх ёстой.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 57

5. Нарийвчилсан функцууд 683823 | 2023.05.23
5.7.1. Аюулгүй байдлын сонголтуудыг сонгох, идэвхжүүлэх
Хамгаалалтын сонголтуудыг сонгох, идэвхжүүлэхийн тулд дараах зүйлийг хийнэ үү: Даалгаврууд цэснээс Төхөөрөмжийн төхөөрөмж болон тохируулгын тохиргооны аюулгүй байдлын нэмэлт сонголтуудыг сонго... Зураг 22. Хамгаалалтын сонголтуудыг сонгох, идэвхжүүлэх

Дараа нь дараах жишээнд үзүүлсэн шиг идэвхжүүлэхийг хүссэн аюулгүй байдлын сонголтуудын унждаг жагсаалтаас утгуудыг сонгоно ууampле:
Зураг 23. Хамгаалалтын сонголтуудын утгыг сонгох

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 58

Санал хүсэлт илгээх

5. Нарийвчилсан функцууд 683823 | 2023.05.23
Дараах нь Quartus Prime тохиргооны .qsf-д холбогдох өөрчлөлтүүд юм file:
set_global_assignment -нэр SECU_OPTION_DISABLE_JTAG "Шалгах" Set_Global_Alcal_Alce_ce_ce_ce_ce_ce_ce_Option_ceAnt_toction_teMock_ceAnt_seAnt_tocte_ction_stock_ceAnt_steAnt_tocte_teMATE_SAMENTATESATE Set_GLOBLAL_ALTINTENTE -NAME-NEAR_ALT_APTINE_ESTINE_EMPTERT_ENTINTER_ENSTABETE_EEFUCE-ийг SET_GLOBLANTE_DESTINTE_DEATE_INECTATE_EEFUSE-д e secuty_distable_ye_cey_eefuse. Set_Global_Ald_assignment -name дээр шифрлэх_эчгээх_э SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -Нэр SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -Нэр SECU_OPTION_DISABLE_PUF_WRAPPTIONED_ENCEY

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 59

683823 | 2023.05.23 Санал хүсэлт илгээх

Алдааг олж засварлах

Энэ бүлэгт төхөөрөмжийн аюулгүй байдлын функцуудыг ашиглахыг оролдох үед гарч болох нийтлэг алдаа болон анхааруулах мессежүүдийг тайлбарлаж, тэдгээрийг шийдвэрлэх арга хэмжээг авч үзнэ.
6.1. Квартусын командуудыг Windows орчны алдаатай ашиглах
Quartus_pgm алдаа: тушаал олдсонгүй Тайлбар нь WSL ашиглан Windows орчинд NIOS II Shell-д Quartus командуудыг ашиглахыг оролдох үед энэ алдаа гарч ирдэг. Шийдвэрлэх Энэ команд нь Линукс орчинд ажилладаг; Windows хостуудын хувьд дараах тушаалыг ашиглана уу: quartus_pgm.exe -h Үүнтэй адилаар quartus_pfg, quartus_sign, quartus_encrypt гэх мэт бусад Quartus Prime командуудад ижил синтаксийг бусад командуудын дунд хэрэглээрэй.

ISO 9001:2015 Бүртгэгдсэн

6. Алдааг олж засварлах 683823 | 2023.05.23

6.2. Хувийн түлхүүрийн анхааруулгыг үүсгэж байна

Анхааруулга:

Заасан нууц үгийг аюултай гэж үзнэ. Intel хамгийн багадаа 13 тэмдэгтээс бүрдсэн нууц үг ашиглахыг зөвлөж байна. OpenSSL программыг ашиглан нууц үгээ солихыг зөвлөж байна.

openssl ec -in - гарлаа -aes256

Тодорхойлолт
Энэхүү анхааруулга нь нууц үгийн хүчтэй холбоотой бөгөөд дараах тушаалуудыг гаргаж хувийн түлхүүр үүсгэхийг оролдох үед харагдана.

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Шийдвэрлэх хугацаа Openssl программыг ашиглан илүү урт, илүү хүчтэй нууц үг зааж өгнө үү.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 61

6. Алдааг олж засварлах 683823 | 2023.05.23
6.3. Квартусын төслийн алдаанд гарын үсэг зурах түлхүүр нэмэх
Алдаа…File үндсэн түлхүүрийн мэдээллийг агуулсан...
Тодорхойлолт
Гарын үсэг зурах түлхүүрийг нэмсний дараа .qky file Quartus төсөлд та .sof-ийг дахин угсрах хэрэгтэй file. Та энэ шинэчилсэн .sof-г нэмэхэд file Quartus программистыг ашиглан сонгосон төхөөрөмжид дараах алдааны мэдэгдэл гарч ирнэ file үндсэн түлхүүрийн мэдээллийг агуулсан:
Нэмэж чадсангүйfile-path-name> программист руу. The file root түлхүүрийн мэдээллийг (.qky) агуулна. Гэсэн хэдий ч, Программист нь бит урсгалын гарын үсэг зурах функцийг дэмждэггүй. Та програмчлалыг ашиглаж болно File хувиргах генератор file гарын үсэг зурсан Raw Binary руу file (.rbf) тохиргоог хийнэ.
Шийдвэр
Quartus програмчлалыг ашигла file хувиргах генератор file гарын үсэг зурсан Raw Binary руу File тохиргооны хувьд .rbf.
Холбогдох мэдээлэл Гарын үсэг зурах тохиргооны бит урсгал 13-р хуудасны quartus_sign командыг ашиглана

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 62

Санал хүсэлт илгээх

6. Алдааг олж засварлах 683823 | 2023.05.23
6.4. Quartus Prime програмчлалыг бий болгож байна File амжилтгүй болсон
Алдаа
Алдаа (20353): QKY-ийн нийтийн түлхүүрийн X нь PEM-ийн хувийн түлхүүртэй таарахгүй байна file.
Алдаа (20352): agilex_sign.py python скриптээр дамжуулан бит урсгалд гарын үсэг зурж чадсангүй.
Алдаа: Quartus Prime програмчлал File Генератор амжилтгүй болсон.
Тодорхойлолт Хэрэв та буруу хувийн түлхүүр ашиглан тохиргооны бит урсгалд гарын үсэг зурахыг оролдвол .pem file эсвэл .pem file Энэ нь төсөлд нэмсэн .qky-тай таарахгүй байгаа тохиолдолд дээрх нийтлэг алдаанууд гарч ирнэ. Шийдвэр Бит урсгалд гарын үсэг зурахын тулд зөв хувийн түлхүүр .pem ашигласан эсэхээ шалгаарай.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 63

6. Алдааг олж засварлах 683823 | 2023.05.23
6.5. Үл мэдэгдэх аргументын алдаа
Алдаа
Алдаа (23028): Үл мэдэгдэх аргумент "ûc". Хуулийн аргументуудыг –help-ээс үзнэ үү.
Алдаа (213008): Програмчлалын сонголтын мөр "ûp" хууль бус байна. Хуулийн програмчлалын сонголтын форматыг -help-ээс үзнэ үү.
Тодорхойлолт Хэрэв та .pdf файлаас тушаалын мөрийн сонголтыг хуулж буулгавал file Windows NIOS II Shell дээр дээр үзүүлсэн шиг үл мэдэгдэх аргументын алдаатай тулгарч магадгүй. Шийдвэрлэх Ийм тохиолдолд та санах ойноос буулгахын оронд тушаалуудыг гараар оруулж болно.

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 64

Санал хүсэлт илгээх

6. Алдааг олж засварлах 683823 | 2023.05.23
6.6. Бит урсгалын шифрлэлтийн сонголтыг идэвхгүй болгосон алдаа
Алдаа
-ын шифрлэлтийг эцэслэх боломжгүй байна file design .sof учир нь энэ нь бит урсгалын шифрлэлтийн сонголтыг идэвхгүй болгосон.
Тодорхойлолт Хэрэв та бит урсгалын шифрлэлтийн сонголтыг идэвхгүй болгосон төслийг хөрвүүлсний дараа GUI эсвэл командын мөрөөр бит урсгалыг шифрлэхийг оролдвол Квартус дээр үзүүлсэн шиг тушаалаас татгалзана.
Шийдвэрлэх Та төслийг GUI эсвэл тушаалын мөрөөр идэвхжүүлсэн бит урсгалын шифрлэлтийн сонголтоор эмхэтгэсэн эсэхийг шалгаарай. GUI-д энэ сонголтыг идэвхжүүлэхийн тулд та энэ сонголтын нүдийг шалгах ёстой.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 65

6. Алдааг олж засварлах 683823 | 2023.05.23
6.7. Түлхүүрт хүрэх зөв замыг зааж өгч байна
Алдаа
Алдаа (19516): Илэрсэн програмчлал File Генераторын тохиргооны алдаа: 'key_-г олж чадсангүйfile'. эсэхийг шалгаарай file хүлээгдэж буй байршилд байрлах эсвэл тохиргоог шинэчлэх.сек
Алдаа (19516): Илэрсэн програмчлал File Генераторын тохиргооны алдаа: 'key_-г олж чадсангүйfile'. эсэхийг шалгаарай file хүлээгдэж буй байршилд байрлах эсвэл тохиргоог шинэчлэх.
Тодорхойлолт
Хэрэв та дээр хадгалагдсан түлхүүрүүдийг ашиглаж байгаа бол file системд бит урсгалын шифрлэлт болон гарын үсэг зурахад ашигладаг түлхүүрүүдийн зөв замыг зааж өгөх хэрэгтэй. Хэрэв програмчлал File Генератор зөв замыг илрүүлж чадахгүй байгаа тул дээрх алдааны мэдэгдлүүд гарч ирнэ.
Шийдвэр
Quartus Prime тохиргооноос .qsf-г үзнэ үү file түлхүүрүүдийн зөв замыг олохын тулд. Үнэмлэхүй замын оронд харьцангуй замыг ашиглахаа мартуузай.

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 66

Санал хүсэлт илгээх

6. Алдааг олж засварлах 683823 | 2023.05.23
6.8. Дэмжигдээгүй гаралтыг ашиглаж байна File Төрөл
Алдаа
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o гарын үсэг зурах=ON -o pem_file=sign_private.pem
Алдаа (19511): Дэмжигдээгүй гаралт file төрөл (ebf). Дэмждэгийг харуулахын тулд "-l" эсвэл "-list" сонголтыг ашиглана уу file төрлийн мэдээлэл.
Квартусын програмчлалыг ашиглах явцад тайлбар File Шифрлэгдсэн болон гарын үсэг зурсан тохиргооны бит урсгалыг үүсгэх генератор, хэрэв дэмжигдээгүй гаралт байвал дээрх алдааг харж болно. file төрлийг тодорхойлсон. Resolution -l эсвэл -list сонголтыг ашиглан дэмжигчдийн жагсаалтыг харна уу file төрөл.

Санал хүсэлт илгээх

Intel Agilex® 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлага 67

683823 | 2023.05.23 Санал хүсэлт илгээх
7. Intel Agilex 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлагын архив
Энэхүү хэрэглэгчийн гарын авлагын хамгийн сүүлийн болон өмнөх хувилбаруудыг Intel Agilex 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлагаас үзнэ үү. Хэрэв IP эсвэл програм хангамжийн хувилбар жагсаалтад ороогүй бол өмнөх IP эсвэл програм хангамжийн хувилбарт зориулсан хэрэглэгчийн гарын авлага хамаарна.

ISO 9001:2015 Бүртгэгдсэн

683823 | 2023.05.23 Санал хүсэлт илгээх

8. Intel Agilex 7 төхөөрөмжийн аюулгүй байдлын хэрэглэгчийн гарын авлагын засварын түүх

Баримт бичгийн хувилбар 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Баримт бичиг / нөөц

Intel Agilex 7 төхөөрөмжийн аюулгүй байдал [pdf] Хэрэглэгчийн гарын авлага
Agilex 7 Device Security, Agilex 7, Device Security, Security

Лавлагаа

Хэрэглэгчийн гарын авлага

Intel Agilex 7 төхөөрөмжийн аюулгүй байдал

Бүтээгдэхүүний мэдээлэл

Бүтээгдэхүүнийг ашиглах заавар

Байнга асуудаг асуултууд

Төхөөрөмжийн аюулгүй байдал дууссанview

Баталгаажуулалт ба зөвшөөрөл

AES бит урсгалын шифрлэлт

Төхөөрөмжийн хангамж

Нарийвчилсан шинж чанарууд

Алдааг олж засварлах

Баримт бичиг / нөөц

Лавлагаа

Сэтгэгдэл үлдээгээрэй

Хариултыг цуцлах