د Intel Agilex 7 وسیلې امنیت کارونکي لارښود

Intel د محصول امنیت ته ژمن دی او کاروونکو ته وړاندیز کوي چې د چمتو شوي محصول امنیت سرچینو سره ځان وپیژني. دا سرچینې باید د Intel محصول په ټول ژوند کې وکارول شي.

2. پالن شوي امنیتي ځانګړتیاوې

لاندې امنیتي ب featuresې د انټیل کوارټس پریم پرو ایډیشن سافټویر راتلونکي خوشې کولو لپاره پلان شوي:

د جزوی بیا تنظیم بټ سټریم امنیت تایید: اضافي تضمین چمتو کوي چې د جزوي بیا تنظیم کولو (PR) بټ سټریمونه نشي کولی د نورو PR شخصیت بټ سټریمونو سره لاسرسی یا مداخله وکړي.

د فزیکي ضد T لپاره وسیله ځان وژنهamper: د وسیلې مسح کول یا د وسیلې صفر کولو غبرګون ترسره کوي او eFuses برنامې کوي ترڅو وسیله د بیا تنظیم کولو مخه ونیسي.

3. موجود امنیتي اسناد

لاندې جدول د Intel FPGA او جوړښت شوي ASIC وسیلو کې د وسیلې امنیت ځانګړتیاو لپاره موجود اسناد لیست کوي:

د سند نوم	موخه
د Intel FPGAs او جوړښت شوي ASICs کارونکي لپاره د امنیت میتودولوژي لارښود	د لوړې کچې سند چې د تفصیل توضیحات وړاندې کوي د انټیل پروګرام وړ حلونو کې امنیتي ځانګړتیاوې او ټیکنالوژي محصولات. د کاروونکو سره مرسته کوي چې اړین امنیتي ځانګړتیاوې غوره کړي خپل امنیتي اهداف پوره کړي.
د Intel Stratix 10 وسیلې امنیت کارونکي لارښود	د پلي کولو لپاره د Intel Stratix 10 وسیلو کاروونکو لپاره لارښوونې هغه امنیتي ځانګړتیاوې چې د امنیت میتودولوژي په کارولو سره پیژندل شوي د کارن لارښود.
د Intel Agilex 7 وسیلې امنیت کارونکي لارښود	د پلي کولو لپاره د Intel Agilex 7 وسیلو کاروونکو لپاره لارښوونې هغه امنیتي ځانګړتیاوې چې د امنیت میتودولوژي په کارولو سره پیژندل شوي د کارن لارښود.
د Intel eASIC N5X وسیلې امنیت کارونکي لارښود	د پلي کولو لپاره د Intel eASIC N5X وسیلو کاروونکو لپاره لارښوونې هغه امنیتي ځانګړتیاوې چې د امنیت میتودولوژي په کارولو سره پیژندل شوي د کارن لارښود.
Intel Agilex 7 او Intel eASIC N5X HPS کریپټوګرافیک خدمتونه د کارن لارښود	د تطبیق په اړه د HPS سافټویر انجینرانو لپاره معلومات او د کریپټوګرافیک خدماتو ته د لاسرسي لپاره د HPS سافټویر کتابتونونو کارول د SDM لخوا چمتو شوی.
AN-968 تور کیلي چمتو کولو خدمت ګړندي پیل لارښود	د تور کیلي چمتو کولو تنظیم کولو لپاره د مرحلو بشپړ سیټ خدمت

په مکرر ډول پوښتل شوي پوښتنې

پوښتنه: د امنیت میتودولوژي کارونکي لارښود هدف څه دی؟

A: د امنیت میتودولوژي کارونکي لارښود د انټیل برنامې وړ حلونو محصولاتو کې د امنیت ب featuresو او ټیکنالوژیو تفصيلي توضیحات وړاندې کوي. دا کاروونکو سره مرسته کوي چې د دوی امنیتي اهدافو پوره کولو لپاره اړین امنیتي ځانګړتیاوې غوره کړي.

پوښتنه: زه د Intel Agilex 7 وسیلې امنیت کارونکي لارښود چیرته موندلی شم؟

A: د Intel Agilex 7 وسیلې امنیت کارونکي لارښود د Intel سرچینې او ډیزاین مرکز کې موندل کیدی شي webسایټ

پوښتنه: د تور کلیدي چمتو کولو خدمت څه دی؟

A: د تور کیلي چمتو کولو خدمت یو خدمت دی چې د خوندي عملیاتو لپاره د کلیدي چمتو کولو تنظیم کولو لپاره د مرحلو بشپړ سیټ چمتو کوي.

View Fullscreen

د Intel Agilex® 7 وسیلې امنیت کارونکي لارښود
د Intel® Quartus® Prime Design Suite لپاره تازه شوی: 23.1

آنلاین نسخه فیډبیک واستوئ

UG-20335

683823 2023.05.23

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 2

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 3

683823 | 2023.05.23 فیډبیک واستوئ
1. Intel Agilex® 7

د وسیلې امنیت پای ته ورسیدview

Intel® د Intel Agilex® 7 وسیلې د وقف شوي ، خورا تنظیم شوي امنیت هارډویر او فرم ویئر سره ډیزاین کوي.
دا سند ستاسو د Intel Agilex 7 وسیلو کې د امنیت ب featuresو پلي کولو لپاره د Intel Quartus® Prime Pro Edition سافټویر کارولو کې د مرستې لپاره لارښوونې لري.
سربیره پردې ، د Intel FPGAs او جوړښت شوي ASICs کارونکي لارښود لپاره د امنیت میتودولوژي د Intel سرچینې او ډیزاین مرکز کې شتون لري. دا سند د امنیتي ځانګړتیاو او ټیکنالوژیو تفصيلي توضیحات لري چې د Intel Programmable Solutions محصولاتو له لارې شتون لري ترڅو تاسو سره ستاسو د امنیتي اهدافو پوره کولو لپاره اړین امنیتي ځانګړتیاوې غوره کولو کې مرسته وکړي. د Intel FPGAs او جوړښت شوي ASICs کارن لارښود لپاره د امنیت میتودولوژي ته لاسرسي لپاره د حوالې شمیرې 14014613136 سره د Intel ملاتړ سره اړیکه ونیسئ.
سند په لاندې ډول تنظیم شوی: · تصدیق او اختیار: د جوړولو لپاره لارښوونې وړاندې کوي
د تصدیق کیلي او د لاسلیک زنځیرونه ، د انټیل اګیلیکس 7 وسیلو کې اجازې او لغوه کول ، لاسلیک توکي ، او د برنامه تصدیق ب featuresې پلي کړئ. · د AES بټ سټریم کوډ کول: د AES روټ کیلي رامینځته کولو لپاره لارښوونې چمتو کوي ، د بټ سټریمونو کوډ کولو ترتیب کول ، او د Intel Agilex 7 وسیلو ته د AES روټ کیلي چمتو کول. · د وسیلې چمتو کول: د Intel Agilex 7 وسیلو کې د امنیت ب featuresو برنامه کولو لپاره د Intel Quartus Prime Programmer او Secur Device Manager (SDM) پروویژن فرم ویئر کارولو لارښوونې چمتو کوي. · پرمختللې ځانګړتیاوې: د پرمختللي امنیتي ځانګړتیاو د فعالولو لپاره لارښوونې وړاندې کوي، په شمول د خوندي ډیبګ اختیار، د هارډ پروسیسر سیسټم (HPS) ډیبګ، او د ریموټ سیسټم تازه کول.
1.1. د محصول خوندیتوب ته ژمنتیا
امنیت ته د انټیل اوږدمهاله ژمنتیا هیڅکله قوي نه وه. Intel په کلکه سپارښتنه کوي چې تاسو زموږ د محصول امنیتي سرچینو سره آشنا شئ او پالن لرئ چې د خپل انټیل محصول په ټول ژوند کې یې وکاروئ.
اړوند معلومات · په انټیل کې د محصول امنیت · د انټیل محصول امنیت مرکز مشورې

Intel Corporation. ټول حقونه خوندي دي. Intel، د Intel لوگو، او د Intel نورې نښې د Intel Corporation یا د هغې د فرعي شرکتونو سوداګریزې نښې دي. Intel د خپل FPGA او سیمیکمډکټر محصولاتو فعالیت د Intel معیاري تضمین سره سم اوسني مشخصاتو ته تضمینوي، مګر دا حق خوندي کوي چې په هر وخت کې پرته له خبرتیا څخه په هر محصول او خدماتو کې بدلون راولي. Intel هیڅ مسؤلیت یا مسؤلیت په غاړه نه اخلي چې د غوښتنلیک یا د کوم معلوماتو، محصول، یا خدماتو کارولو څخه رامینځته کیږي چې دلته تشریح شوي پرته له دې چې د Intel لخوا په لیکلي ډول موافقه شوې وي. د انټیل پیرودونکو ته مشوره ورکول کیږي چې د وسیلې ځانګړتیاو وروستۍ نسخه ترلاسه کړي مخکې لدې چې په کوم خپاره شوي معلوماتو تکیه وکړي او د محصولاتو یا خدماتو لپاره امر کولو دمخه. * نور نومونه او نښې ممکن د نورو ملکیت په توګه ادعا شي.

ISO 9001:2015 ثبت شوی

1. د Intel Agilex® 7 وسیلې امنیت اوورview 683823 | 2023.05.23

1.2. پالن شوي امنیتي ځانګړتیاوې

پدې برخه کې ذکر شوي ب featuresې د Intel Quartus Prime Pro Edition سافټویر راتلونکي خوشې کولو لپاره پلان شوي.

یادونه:

پدې برخه کې معلومات لومړني دي.

1.2.1. د جزوی بیا تنظیم Bitstream امنیت تایید
جزوی بیا تنظیم کول (PR) د بټ سټریم امنیت تایید د اضافي تضمین چمتو کولو کې مرسته کوي چې د PR شخصیت بټ سټریمونه نشي کولی د نورو PR شخصیت بټ سټریمونو ته لاسرسی یا مداخله وکړي.

1.2.2. د فزیکي ضد T لپاره وسیله ځان وژنهamper
د وسیلې ځان وژنه د وسیلې مسح کول یا د وسیلې صفر کولو غبرګون ترسره کوي او سربیره پردې eFuses برنامې کوي ترڅو وسیله د بیا تنظیم کولو مخه ونیسي.

1.3. موجود امنیتي اسناد

لاندې جدول د Intel FPGA او جوړښت شوي ASIC وسیلو کې د وسیلې امنیت ځانګړتیاو لپاره موجود اسناد شمیري:

جدول 1.

د وسیلې امنیت اسناد شتون لري

د سند نوم
د Intel FPGAs او جوړښت شوي ASICs کارونکي لارښود لپاره د امنیت میتودولوژي

موخه
د لوړې کچې سند چې د انټیل برنامې وړ حلونو محصولاتو کې د امنیت ب featuresو او ټیکنالوژیو تفصيلي توضیحات لري. ستاسو د امنیتي اهدافو پوره کولو لپاره اړین امنیتي ځانګړتیاوې غوره کولو کې مرسته کول دي.

د سند ID 721596

د Intel Stratix 10 وسیلې امنیت کارونکي لارښود
د Intel Agilex 7 وسیلې امنیت کارونکي لارښود

د Intel Stratix 10 وسیلو کاروونکو لپاره، دا لارښود د Intel Quartus Prime Pro Edition سافټویر کارولو لارښوونې لري ترڅو د امنیت میتودولوژي کارونکي لارښود په کارولو سره پیژندل شوي امنیتي ځانګړتیاوې پلي کړي.
د Intel Agilex 7 وسیلو کاروونکو لپاره، دا لارښود د Intel Quartus Prime Pro Edition سافټویر کارولو لارښوونې لري ترڅو د امنیت میتودولوژي کارونکي لارښود په کارولو سره پیژندل شوي امنیتي ځانګړتیاوې پلي کړي.

683642 683823

د Intel eASIC N5X وسیلې امنیت کارونکي لارښود

د Intel eASIC N5X وسیلو کاروونکو لپاره، دا لارښود د Intel Quartus Prime Pro Edition سافټویر کارولو لپاره لارښوونې لري ترڅو د امنیت میتودولوژي کارونکي لارښود په کارولو سره پیژندل شوي امنیتي ځانګړتیاوې پلي کړي.

626836

Intel Agilex 7 او Intel eASIC N5X HPS کریپټوګرافیک خدماتو کارونکي لارښود

دا لارښود معلومات لري چې د HPS سافټویر انجینرانو سره د SDM لخوا چمتو شوي کریپټوګرافیک خدماتو ته د لاسرسي لپاره د HPS سافټویر کتابتونونو پلي کولو او کارولو کې مرسته وکړي.

713026

AN-968 تور کیلي چمتو کولو خدمت ګړندي پیل لارښود

دا لارښود د تور کیلي چمتو کولو خدمت تنظیم کولو لپاره د مرحلو بشپړ سیټ لري.

739071

د ځای Intel سرچینې او
د ډیزاین مرکز
Intel.com
Intel.com
د Intel سرچینې او ډیزاین مرکز
د Intel سرچینې او ډیزاین مرکز
د Intel سرچینې او ډیزاین مرکز

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 5

683823 | 2023.05.23 فیډبیک واستوئ

تصدیق او واک ورکول

د Intel Agilex 7 وسیلې د تصدیق ب featuresو فعالولو لپاره ، تاسو د لاسلیک سلسلې رامینځته کولو لپاره د Intel Quartus Prime Pro Edition سافټویر او اړوندو وسیلو په کارولو سره پیل کوئ. د لاسلیک سلسله د روټ کیلي، یو یا ډیرو لاسلیک کولو کیلي، او د تطبیق وړ واکونو څخه جوړه ده. تاسو د لاسلیک سلسله په خپل Intel Quartus Prime Pro Edition پروژې او ترتیب شوي برنامه کې پلي کوئ files. په Intel Agilex 7 وسیلو کې د خپل روټ کیلي برنامه کولو لپاره د وسیلې چمتو کولو کې لارښوونې وکاروئ.
اړوند معلومات
د وسیلې چمتو کول په 25 پاڼه کې

2.1. د لاسلیک سلسله رامینځته کول
تاسو کولی شئ د لاسلیک سلسلې عملیات ترسره کولو لپاره د quartus_sign وسیله یا agilex_sign.py حوالې تطبیق وکاروئ. دا سند وړاندې کويampد quartus_sign په کارولو سره.
د حوالې پلي کولو کارولو لپاره، تاسو د Python ژباړونکي ته زنګ بدیل کړئ چې د Intel Quartus Prime سافټویر سره شامل دي او -family=agilex اختیار پریږدئ؛ نور ټول انتخابونه مساوي دي. د مثال لپارهample، د quartus_sign کمانډ وروسته په دې برخه کې وموندل شو
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky په لاندې ډول د حوالې پلي کولو ته مساوي کال کې بدلیدلی شي
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

د Intel Quartus Prime Pro Edition سافټویر کې quartus_sign، pgm_py، او agilex_sign.py اوزار شامل دي. تاسو ممکن د Nios® II کمانډ شیل وسیله وکاروئ ، کوم چې په اتوماتيک ډول وسیلو ته د لاسرسي لپاره مناسب چاپیریال متغیرونه تنظیموي.

د Nios II کمانډ شیل راوړلو لپاره دا لارښوونې تعقیب کړئ. 1. د Nios II کمانډ شیل راوړئ.

وینډوز اختیار
لینکس

تفصیل
په سټارټ مینو کې، د پروګرامونو Intel FPGA Nios II EDS ته اشاره وکړئ او د Nios II کمانډ شیل کلیک وکړئ.
په کمانډ شیل کې /nios2eds ته بدلون ورکړئ او لاندې کمانډ چل کړئ:
./nios2_command_shell.sh

د پخوانيampپه دې برخه کې د لاسلیک سلسله او ترتیب بټ سټریم فرض کړئ files په اوسني کاري لارښود کې موقعیت لري. که تاسو د پخواني تعقیب غوره کړئamples چیرته کلیدي files په کې ساتل کیږي file سیسټم، هغه پخوانيamples کلیدي فرض کړئ files دي

ISO 9001:2015 ثبت شوی

2. تصدیق او اختیار 683823 | ۲۰۲۳.۰۵.۲۳
په اوسني کاري لارښود کې موقعیت لري. تاسو کولی شئ غوره کړئ چې کوم لارښودونه وکاروئ، او وسیلې د نسبي ملاتړ کوي file لارې که تاسو د کیلي ساتلو لپاره غوره کړئ fileپه دی file سیسټم، تاسو باید په احتیاط سره دوی ته د لاسرسي اجازه اداره کړئ files.
انټیل وړاندیز کوي چې په سوداګریزه توګه د هارډویر امنیت ماډل (HSM) د کریپټوګرافیک کیلي ذخیره کولو او کریپټوګرافیک عملیاتو ترسره کولو لپاره وکارول شي. د quartus_sign وسیلې او د حوالې پلي کولو کې د عامه کیلي کریپټوګرافي معیاري #11 (PKCS #11) د غوښتنلیک برنامې انٹرفیس (API) شامل دي ترڅو د لاسلیک سلسلې عملیاتو ترسره کولو پرمهال د HSM سره اړیکه ونیسي. د agilex_sign.py حوالې تطبیق کې د انٹرفیس خلاصون او همدارنګه یو پخوانی شامل دیampد نرم ایچ ایس ایم لپاره لی انٹرفیس.
تاسو کولی شئ دا سابقه وکاروئampستاسو HSM ته د انٹرفیس پلي کولو لپاره لی انٹرفیس. خپل HSM ته د انٹرفیس پلي کولو او چلولو په اړه د نورو معلوماتو لپاره ستاسو د HSM پلورونکي څخه اسنادو ته مراجعه وکړئ.
SoftHSM د PKCS #11 انٹرفیس سره د عمومي کریپټوګرافیک وسیلې سافټویر پلي کول دي چې د OpenDNSSEC® پروژې لخوا چمتو شوي. تاسو ممکن په OpenDNSSEC پروژه کې د OpenHSM ډاونلوډ، جوړولو، او نصبولو څرنګوالي په اړه نور معلومات ومومئ. د پخوانيampپه دې برخه کې د SoftHSM نسخه 2.6.1 وکاروئ. د پخوانيampپه دې برخه کې اضافي اضافي PKCS11-tool د OpenSC څخه د PKCS #11 اضافي عملیات د SoftHSM نښه سره ترسره کولو لپاره کاروئ. تاسو ممکن نور معلومات ومومئ، پشمول د لارښوونو په شمول چې څنګه د OpenSC څخه pkcs11tool ډاونلوډ، جوړ او نصب کړئ.
اړوند معلومات
· د DNSSEC کیلي تعقیب پروسې اتومات کولو لپاره د OpenDNSSEC پروژې د پالیسۍ پراساس زون لاسلیک کونکی.
· د PKCS #11 انٹرفیس له لارې د لاسرسي وړ کریپټوګرافیک پلورنځي پلي کولو په اړه SoftHSM معلومات.
OpenSC د کتابتونونو او اسانتیاوو سیټ چمتو کوي چې د سمارټ کارتونو سره کار کولو وړ وي.
2.1.1. په محلي کې د تصدیق کلیدي جوړې جوړول File سیسټم
تاسو د quartus_sign وسیله کاروئ ترڅو په محلي کې د تصدیق کلیدي جوړه جوړه کړئ file سیسټم د make_private_pem او make_public_pem وسیلې عملیات کاروي. تاسو لومړی د make_private_pem عملیاتو سره شخصي کیلي رامینځته کړئ. تاسو د کارولو لپاره ایلیپټیک وکر مشخص کړئ، شخصي کیلي fileنوم، او په اختیاري توګه ایا د شخصي کیلي د پاسفریج سره خوندي کول. Intel سپارښتنه کوي د secp384r1 وکر کارول او د صنعت غوره عملونه تعقیب کړي ترڅو په ټولو خصوصي کیلي کې قوي ، تصادفي پاسفریج رامینځته کړي. files. انټیل هم د محدودیت وړاندیز کوي file په شخصي کیلي کې د سیسټم اجازې .pem fileیوازې د مالک لخوا لوستل کیږي. تاسو عامه کیلي له شخصي کیلي څخه د make_public_pem عملیاتو سره ترلاسه کوئ. دا ګټوره ده چې د کلیدي نوم .pem fileپه تفصیل سره. دا سند په لاندې مثال کې _.pem کنوانسیون کارويamples.
1. د Nios II کمانډ شیل کې، د شخصي کیلي جوړولو لپاره لاندې کمانډ چل کړئ. شخصي کیلي، چې لاندې ښودل شوي، په وروستیو کې د اصلي کیلي په توګه کارول کیږيamples چې د لاسلیک سلسله رامینځته کوي. د Intel Agilex 7 وسیلې د ډیری روټ کیلي ملاتړ کوي ، نو تاسو

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 7

2. تصدیق او اختیار 683823 | ۲۰۲۳.۰۵.۲۳

دا مرحله تکرار کړئ ترڅو خپل اړین شمیر د روټ کیلي رامینځته کړئ. Exampپه دې سند کې ټول د لومړي روټ کیلي ته اشاره کوي، که څه هم تاسو کولی شئ په ورته فیشن کې د هرې روټ کیلي سره د لاسلیک زنځیرونه جوړ کړئ.

د پاسفریج سره اختیار

تفصیل
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem پاسفراس دننه کړئ کله چې د دې کولو غوښتنه وشي.

د پاسفریج پرته

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. په مخکینۍ مرحله کې رامینځته شوي شخصي کیلي په کارولو سره د عامه کیلي جوړولو لپاره لاندې کمانډ چل کړئ. تاسو اړتیا نلرئ د عامه کیلي محرمیت خوندي کړئ.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. د لاسلیک سلسله کې د ډیزاین لاسلیک کیلي په توګه کارول شوي کلیدي جوړه رامینځته کولو لپاره امرونه بیا چل کړئ.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 ډیزاین0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem ډیزاین0_sign_public.pem

2.1.2. په SoftHSM کې د تصدیق کلیدي جوړې جوړول
د SoftHSM exampپه دې څپرکي کې د ځان سره مطابقت لري. ځینې پیرامیټونه ستاسو د SoftHSM نصب او په SoftHSM کې د نښه پیل کولو پورې اړه لري.
د quartus_sign وسیله ستاسو د HSM څخه PKCS #11 API کتابتون پورې اړه لري.
د پخوانيampپه دې برخه کې فرض کړئ چې د SoftHSM کتابتون له لاندې ځایونو څخه یو ته نصب شوی دی: · /usr/local/lib/softhsm2.so په لینکس کې؛ C:SoftHSM2libsofthsm2.dll د وینډوز په 32-bit نسخه کې؛ C:SoftHSM2libsofthsm2-x64 .dll د وینډوز په 64-bit نسخه کې.
د softhsm2-util وسیلې په کارولو سره په SoftHSM کې نښه پیل کړئ:
softhsm2-util-init-token-label agilex-token-pin agilex-token-pin-so-pin agilex-so-pin-free
د اختیار پیرامیټونه، په ځانګړې توګه د نښه لیبل او د نښه پن سابق ديampد دې فصل په اوږدو کې کارول کیږي. Intel وړاندیز کوي چې تاسو د خپل HSM پلورونکي لارښوونې تعقیب کړئ ترڅو ټوکن او کیلي رامینځته او اداره کړئ.
تاسو په SoftHSM کې د نښه کولو سره د تعامل لپاره د pkcs11-tool یوټیلیټ په کارولو سره د تصدیق کلیدي جوړه جوړه کړئ. د دې پر ځای چې په ښکاره توګه د خصوصي او عامه کلیمې ته اشاره وکړي .pem fileپه دی file سیسټم مثالamples، تاسو د دې لیبل لخوا کلیدي جوړه ته مراجعه کوئ او وسیله په اتوماتيک ډول مناسب کیلي غوره کوي.

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 8

فیډبیک واستوئ

2. تصدیق او اختیار 683823 | ۲۰۲۳.۰۵.۲۳

لاندې کمانډونه پرمخ وړئ ترڅو د کیلي جوړه رامینځته کړئ چې په وروستیو کې د ریښې کیلي په توګه کارول کیږيamples او همدارنګه کلیدي جوړه د لاسلیک سلسله کې د ډیزاین لاسلیک کولو کیلي په توګه کارول کیږي:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –میکانیزم ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –استعمال-نښه –لیبل روټ0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –میکانیزم ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –استعمال-نښه –لیبل ډیزاین0_نښه – id 1

یادونه:

په دې مرحله کې د ID اختیار باید هر کلی ته ځانګړی وي، مګر دا یوازې د HSM لخوا کارول کیږي. د ID دا اختیار د لاسلیک کولو سلسله کې ټاکل شوي کلیدي لغوه کولو ID سره تړاو نلري.

2.1.3. د لاسلیک سلسله روټ ننوتلو رامینځته کول
د روټ عامه کیلي د لاسلیک سلسلې روټ ننوتلو ته واړوئ ، په محلي کې زیرمه شوي file سیسټم د Intel Quartus Prime key (.qky) بڼه کې fileد make_root عملیاتو سره. دا مرحله د هرې روټ کیلي لپاره تکرار کړئ چې تاسو یې رامینځته کوئ.
د روټ ننوتلو سره د لاسلیک سلسله رامینځته کولو لپاره لاندې کمانډ چل کړئ ، د ریټ عامه کیلي په کارولو سره file سیسټم:
quartus_sign –family=agilex –operation=make_root –key_type=مالک روټ0_public.pem root0.qky
د روټ ننوتلو سره د لاسلیک سلسله رامینځته کولو لپاره لاندې کمانډ چل کړئ ، په مخکینۍ برخه کې رامینځته شوي د SoftHSM نښه څخه د روټ کیلي په کارولو سره:
quartus_sign –family=agilex –operation=make_root –key_type=مالک –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm2/softhsm. root0 root0.qky

2.1.4. د لاسلیک سلسله رامینځته کول د عامه کیلي ننوتل
د ضمیمه_کی عملیاتو سره د لاسلیک سلسلې لپاره نوې عامه کیلي ننوتل رامینځته کړئ. تاسو د مخکینۍ لاسلیک سلسله مشخص کوئ، د مخکینۍ لاسلیک سلسله کې د وروستي ننوتلو لپاره شخصي کیلي، د بلې کچې عامه کیلي، د اجازې او لغوه کولو ID چې تاسو د بلې کچې عامه کیلي ته ځانګړي کوئ، او د نوي لاسلیک سلسله file.
په یاد ولرئ چې د کوارټس نصب کولو سره د نرم ایچ ایس ایم کتابتون شتون نلري او پرځای یې باید په جلا توګه نصب شي. د softHSM په اړه د نورو معلوماتو لپاره پورته برخه د لاسلیک سلسلې رامینځته کولو ته مراجعه وکړئ.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 9

2. تصدیق او اختیار 683823 | ۲۰۲۳.۰۵.۲۳
ستاسو د کیلي کارولو پورې اړه لري file سیسټم یا په HSM کې، تاسو د لاندې څخه یو کاروئampپه مخکینۍ برخه کې رامینځته شوي د روټ لاسلیک سلسلې ته د ډیزاین0_sign عامه کیلي ضمیمه کولو امر کوي:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem ډیزاین0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
تاسو ممکن د ضمیمه کیلي عملیات دوه ځله تکرار کړئ د ډیری درې عامه کلیدي ننوتلو لپاره د روټ ننوتلو او سرلیک بلاک ننوتلو په هره یوه لاسلیک سلسله کې.
لاندې پخوانيample فرض کوي چې تاسو د ورته اجازې سره یو بل تصدیق عامه کیلي رامینځته کړې او د ډیزاین 1_sign_public.pem په نوم د لغوه کولو ID 1 ټاکل شوی ، او دا کیلي د تیر پخواني څخه د لاسلیک سلسله کې ضمیمه کوئampLe:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem_disign1_sign.
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
د Intel Agilex 7 وسیلو کې د کیلي کارولو اسانتیا لپاره اضافي کیلي منسوخ کولو کاونټر شامل دي چې ممکن د ورکړل شوي وسیلې په ټول ژوند کې وخت په وخت بدل شي. تاسو کولی شئ د لغوه کولو دا کلیدي کاونټر په pts:pts_value کې د -cancel اختیار دلیل بدلولو سره وټاکئ.
2.2. د کنفیګریشن بټ سټریم لاسلیک کول
د انټیل اګیلیکس 7 وسیلې د امنیت نسخه نمبر (SVN) کاونټرونو ملاتړ کوي ، کوم چې تاسو ته اجازه درکوي د کیلي لغوه کولو پرته د اعتراض واک لغوه کړئ. تاسو د هر څیز د لاسلیک کولو پرمهال د SVN کاونټر او مناسب SVN کاونټر ارزښت ورکړئ ، لکه د بټ سټریم برخه ، فرم ویئر .zip file، یا د تړون سند. تاسو د SVN کاونټر او SVN ارزښت د -cancel اختیار او svn_counter:svn_value په کارولو سره د دلیل په توګه وټاکئ. د svn_counter لپاره معتبر ارزښتونه svnA، svnB، svnC، او svnD دي. svn_value په حد کې یو بشپړ دی [0,63].

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 10

فیډبیک واستوئ

2. تصدیق او اختیار 683823 | ۲۰۲۳.۰۵.۲۳
2.2.1. د کوارټس کلید File دنده
تاسو په خپل Intel Quartus Prime سافټویر پروژه کې د لاسلیک سلسله مشخص کړئ ترڅو د دې ډیزاین لپاره د تصدیق ب featureه وړ کړئ. د اسائنمنٹ مینو څخه، د وسیلې وسیله او د پن اختیارونو امنیت کوارټس کیلي غوره کړئ File، بیا د لاسلیک سلسلې ته لټون وکړئ .qky file تاسو د دې ډیزاین لاسلیک کولو لپاره رامینځته کړی.
شکل 1. د بټ سټریم ترتیب تنظیم کول فعال کړئ

په بدیل سره ، تاسو کولی شئ لاندې د دندې بیان ستاسو د Intel Quartus Prime Settings کې اضافه کړئ file (.qsf):
set_global_assignment -نوم QKY_FILE ډیزاین0_sign_chain.qky
د .sof تولید لپاره file د مخکینۍ تالیف شوي ډیزاین څخه، چې دا ترتیب پکې شامل دی، د پروسس کولو مینو څخه، د Start Start Assembler غوره کړئ. نوی محصول .sof file د چمتو شوي لاسلیک سلسلې سره د اعتبار وړ کولو لپاره دندې شاملې دي.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 11

2. تصدیق او اختیار 683823 | ۲۰۲۳.۰۵.۲۳
2.2.2. د SDM فرم ویئر شریک لاسلیک کول
تاسو د تطبیق وړ SDM فرم ویئر ایستل، لاسلیک او نصبولو لپاره quartus_sign وسیله کاروئ. zip file. شریک لاسلیک شوی فرم ویئر بیا د برنامې لخوا شامل شوی file د جنراتور وسیله کله چې تاسو .sof بدل کړئ file د bitstream .rbf په ترتیب کې file. تاسو د نوي لاسلیک سلسلې رامینځته کولو او د SDM فرم ویئر لاسلیک کولو لپاره لاندې کمانډونه کاروئ.
1. د لاسلیک کولو یوه نوې جوړه جوړه کړئ.
a. د نوي لاسلیک کولو کلیدي جوړه جوړه کړئ file سیسټم:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
ب. په HSM کې د لاسلیک کولو نوې کلیدي جوړه جوړه کړئ:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –میکانیزم ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –استعمال-نښه –لیبل فرم ویئر1 –id 1
2. یو نوی لاسلیک سلسله جوړه کړئ چې نوې عامه کیلي ولري:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. د فرم ویئر .zip کاپي کړئ file ستاسو د Intel Quartus Prime Pro Edition سافټویر نصبولو لارښود (/devices/programmer/firmware/ agilex.zip) څخه اوسني کاري لارښود ته.
quartus_sign –family=agilex –get_firmware=.
4. د فرم ویئر .zip لاسلیک کړئ file. وسیله په اوتومات ډول .zip خلاصوي file او په انفرادي ډول ټول فرم ویئر .cmf لاسلیک کوي files، بیا .zip بیا جوړوي file په لاندې برخو کې د وسایلو کارولو لپاره:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 12

فیډبیک واستوئ

2. تصدیق او اختیار 683823 | ۲۰۲۳.۰۵.۲۳

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. د quartus_sign کمانډ په کارولو سره د بټ سټریم تنظیم کول لاسلیک کول
د quartus_sign کمانډ په کارولو سره د ترتیب بټ سټریم لاسلیک کولو لپاره ، تاسو لومړی .sof بدل کړئ file نه لاسلیک شوي خام بائنری ته file (.rbf) بڼه. تاسو کولی شئ په اختیاري توګه د تبادلې مرحلې په جریان کې د fw_source اختیار په کارولو سره شریک لاسلیک شوي فرم ویئر مشخص کړئ.
تاسو کولی شئ د لاندې کمانډ په کارولو سره غیر لاسلیک شوي خام بټ سټریم په .rbf فارمیټ کې رامینځته کړئ:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
ستاسو د کیلي موقعیت پورې اړه لري د quartus_sign وسیلې په کارولو سره د بټ سټریم لاسلیک کولو لپاره لاندې کمانډونو څخه یو چل کړئ:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”-key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
تاسو کولی شئ لاسلیک شوي .rbf بدل کړئ files د بل ترتیب بټ سټریم ته file شکلونه
د مثال لپارهample، که تاسو د جام * معیاري ازموینې او پروګرام کولو ژبې (STAPL) پلیر کاروئ ترڅو د J په اړه د بټ سټریم پروګرام کولو لپارهTAGتاسو د .rbf بدلولو لپاره لاندې کمانډ کاروئ file د .jam شکل ته چې د جام سټاپ پلیر ورته اړتیا لري:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. د جزوي بیا تنظیم کولو څو - واک ملاتړ

د انټیل اګیلیکس 7 وسیلې د جزوی بیا تنظیم کولو کثیر الثقافې تصدیق ملاتړ کوي ، چیرې چې د وسیلې مالک جامد بټ سټریم رامینځته کوي او لاسلیک کوي ، او د جلا PR مالک د PR شخصیت بټ سټریم رامینځته کوي او لاسلیک کوي. د Intel Agilex 7 وسیلې د وسیلې یا جامد بټ سټریم مالک ته د لومړي تصدیق روټ کلیدي سلاټونو په ورکولو او د جزوي بیا تنظیم کونکي شخص بټ سټریم مالک ته د وروستي تصدیق ریټ کلیدي سلاټ په ورکولو سره د څو واک ملاتړ پلي کوي.
که چیرې د تصدیق کولو ځانګړتیا فعاله وي، نو د PR شخصیت ټول عکسونه باید لاسلیک شي، په شمول د PR شخصي انځورونو په شمول. د PR شخصیت عکسونه ممکن د وسیلې مالک یا د PR مالک لخوا لاسلیک شي؛ په هرصورت، د جامد سیمې بټ سټریمونه باید د آلې مالک لخوا لاسلیک شي.

یادونه:

د جزوي بیا تنظیم کولو جامد او د شخصیت بټ سټریم کوډ کول کله چې د څو چارواکو ملاتړ فعال شوی وي په راتلونکي ریلیز کې پلان شوی.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 13

2. تصدیق او اختیار 683823 | ۲۰۲۳.۰۵.۲۳

انځور 2.

د جزوی بیا تنظیم کولو څو - واک ملاتړ پلي کول څو مرحلو ته اړتیا لري:
1. وسیله یا د سټیټ بټ سټریم مالک یو یا څو د تصدیق ریټ کیلي رامینځته کوي لکه څنګه چې په SoftHSM کې په 8 مخ کې د تصدیق کولو کلیدي جوړې رامینځته کولو کې تشریح شوي ، چیرې چې د –key_type اختیار د ارزښت مالک لري.
2. د جزوي بیا تنظیم کولو بټ سټریم مالک د تصدیق ریټ کیلي رامینځته کوي مګر د –key_type اختیار ارزښت ثانوي_owner ته بدلوي.
3. دواړه جامد بټ سټریم او د جزوي بیا تنظیم کولو ډیزاین مالکین ډاډ ورکوي چې د څو اختیارونو ملاتړ فعال کړئ چیک باکس د Assignments Device Device and Pin Options Security ټب کې فعال شوی.
د انټیل کوارټس پریم د څو واک اختیارونو تنظیمات فعالوي

4. دواړه جامد بټ سټریم او د جزوي بیا تنظیم کولو ډیزاین مالکین د خپلو اړوندو ریښو کلیدونو پراساس د لاسلیک زنځیرونه رامینځته کوي لکه څنګه چې په 6 مخ کې د لاسلیک سلسلې رامینځته کولو کې تشریح شوي.
5. دواړه جامد بټ سټریم او د جزوي بیا تنظیم کولو ډیزاین مالکین خپل ترتیب شوي ډیزاینونه .rbf فارمیټ ته بدلوي. files او .rbf لاسلیک کړئ files.
6. د وسیلې یا جامد بټ سټریم مالک د PR عامه کلیدي برنامې اجازه لیک سند رامینځته کوي او لاسلیک کوي.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH او مالک_qky_file="root0.qky;root1.qky" unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”-key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 14

فیډبیک واستوئ

2. تصدیق او اختیار 683823 | ۲۰۲۳.۰۵.۲۳

7. د وسیلې یا د سټیټیک بټ سټریم مالک د دوی د تصدیق ریټ کیلي هشونه وسیلې ته چمتو کوي ، بیا د PR عامه کیلي برنامې اجازه لیک سند برنامه کوي ، او په پای کې آلې ته د جزوي بیا تنظیم بټ سټریم مالک ریټ کیلي چمتو کوي. د وسیلې چمتو کولو برخه د دې چمتو کولو پروسه تشریح کوي.
8. Intel Agilex 7 وسیله د جامد سیمې .rbf سره ترتیب شوې file.
9. د Intel Agilex 7 وسیله په جزوي ډول د شخصیت ډیزاین سره بیا تنظیم شوې. rbf file.
اړوند معلومات
· په 6 پاڼه کې د لاسلیک سلسله رامینځته کول
· په 8 پاڼه کې په SoftHSM کې د تصدیق کولو کلیدي جوړې جوړول
· د وسیلې چمتو کول په 25 پاڼه کې

2.2.5. د Bitstream لاسلیک زنځیرونو ترتیب کول تصدیق کول
وروسته له دې چې تاسو د لاسلیک زنځیرونه او لاسلیک شوي بټ سټریمونه رامینځته کړئ ، تاسو ممکن تایید کړئ چې لاسلیک شوی بټ سټریم په سمه توګه د ورکړل شوي روټ کیلي سره برنامه شوې وسیله تنظیموي. تاسو لومړی د quartus_sign کمانډ fuse_info عملیات وکاروئ ترڅو متن ته د ریټ عامه کیلي هش چاپ کړئ file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

تاسو بیا د quartus_pfg کمانډ د check_integrity اختیار وکاروئ ترڅو د لاسلیک شوي بټ سټریم په هره برخه کې د .rbf ب formatه کې د لاسلیک سلسله معاینه کړئ. د check_Integrity اختیار لاندې معلومات چاپوي:
· د ټول بټ سټریم بشپړتیا چک حالت
· په هر لاسلیک سلسله کې د هرې ننوتلو مینځپانګې د بټ سټریم .rbf کې هرې برخې سره وصل دي file,
· د هر لاسلیک سلسلې لپاره د ریټ عامه کیلي هش لپاره د متوقع فیوز ارزښت.
د fuse_info محصول ارزښت باید د check_integrity محصول کې د فیوز لاینونو سره سمون ولري.
quartus_pfg -check_Integrity signed_bitstream.rbf

دلته یو پخوانی دیampد check_Integrity کمانډ محصول le:

معلومات: قومانده: quartus_pfg –check_integrity signed_bitstream.rbf د بشپړتیا حالت: سمه ده

برخه

ډول: CMF

د لاسلیک توضیح کونکی…

د لاسلیک سلسله #0 (ننواتونه: -1، آفسیټ: 96)

داخله #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

کیلي تولید کړئ…

وکر: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

کیلي تولید کړئ…

وکر: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 15

2. تصدیق او اختیار 683823 | ۲۰۲۳.۰۵.۲۳

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

داخله #1

کیلي تولید کړئ…

وکر: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

د ننوتلو #2 کیچین اجازه: SIGN_CODE کیچین د ID لخوا لغوه کیدی شي: 3 د لاسلیک سلسله #1 (ننواتونه: -1، آفسیټ: 648)

داخله #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

کیلي تولید کړئ…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

کیلي تولید کړئ…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

داخله #1

کیلي تولید کړئ…

وکر: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

داخله #2

کیلي تولید کړئ…

وکر: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

د ننوتلو #3 کیچین اجازه: SIGN_CODE کیچین د ID لخوا لغوه کیدی شي: 15 د لاسلیک سلسله #2 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #3 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #4 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #5 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #6 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #7 (ننواتونه: -1، آفسیټ: 0)

د برخې ډول: د IO لاسلیک توضیح کوونکی … د لاسلیک سلسله #0 (ننواتونه: -1، آفسیټ: 96)

داخله #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

کیلي تولید کړئ…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 16

فیډبیک واستوئ

2. تصدیق او اختیار 683823 | ۲۰۲۳.۰۵.۲۳

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

کیلي تولید کړئ…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

داخله #1

کیلي تولید کړئ…

وکر: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

داخله #2

کیلي تولید کړئ…

وکر: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

د ننوتلو #3 کیچین اجازه: SIGN_CORE کیچین د ID لخوا لغوه کیدی شي: 15 د لاسلیک سلسله #1 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #2 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #3 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #4 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #5 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #6 (ننواتونه: -1، آفسیټ: 0) لاسلیک سلسله # 7 (ننواتونه: -1، آفسیټ: 0)

برخه

ډول: HPS

د لاسلیک توضیح کونکی…

د لاسلیک سلسله #0 (ننواتونه: -1، آفسیټ: 96)

داخله #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

کیلي تولید کړئ…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

کیلي تولید کړئ…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

داخله #1

کیلي تولید کړئ…

وکر: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

داخله #2

کیلي تولید کړئ…

وکر: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 17

2. تصدیق او اختیار 683823 | ۲۰۲۳.۰۵.۲۳

د ننوتلو #3 کیچین اجازه: SIGN_HPS کیچین د ID لخوا لغوه کیدی شي: 15 د لاسلیک سلسله #1 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #2 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #3 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #4 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #5 (ننواتونه: -1، آفسیټ: 0) د لاسلیک سلسله #6 (ننواتونه: -1، آفسیټ: 0) لاسلیک سلسله # 7 (ننواتونه: -1، آفسیټ: 0)

د برخې ډول: د اصلي لاسلیک توضیح کوونکی … د لاسلیک سلسله # 0 (ننواتونه: -1، آفسیټ: 96)

داخله #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

کیلي تولید کړئ…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

کیلي تولید کړئ…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

داخله #1

کیلي تولید کړئ…

وکر: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

داخله #2

کیلي تولید کړئ…

وکر: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 18

فیډبیک واستوئ

683823 | 2023.05.23 فیډبیک واستوئ

د AES بټ سټریم کوډ کول

د پرمختللي کوډ کولو سټنډرډ (AES) بټ سټریم کوډ کول یوه ځانګړتیا ده چې د وسیلې مالک ته وړتیا ورکوي ترڅو د بټ سټریم په ترتیب کې د فکري ملکیت محرمیت خوندي کړي.
د کیلي محرمیت ساتلو کې د مرستې لپاره ، د بټ سټریم کوډ کولو ترتیب د AES کیلي سلسله کاروي. دا کیلي د ترتیب بټ سټریم کې د مالک ډیټا کوډ کولو لپاره کارول کیږي ، چیرې چې لومړۍ مینځنۍ کیلي د AES روټ کیلي سره کوډ شوې.

3.1. د AES روټ کیلي رامینځته کول

تاسو کولی شئ د quartus_encrypt وسیله یا stratix10_encrypt.py حوالې پلي کولو څخه کار واخلئ ترڅو د Intel Quartus Prime سافټویر کوډ کولو کیلي (.qek) بڼه کې د AES روټ کیلي رامینځته کړئ. file.

یادونه:

stratix10_encrypt.py file د Intel Stratix® 10، او Intel Agilex 7 وسیلو لپاره کارول کیږي.

تاسو کولی شئ په اختیاري توګه د اساس کیلي مشخص کړئ چې د AES روټ کیلي او کیلي اخذ کولو کیلي ترلاسه کولو لپاره کارول کیږي ، د AES روټ کیلي مستقیم ارزښت ، د مینځنۍ کیلي شمیر ، او د هر مینځنۍ کیلي اعظمي کارول.

تاسو باید د وسیلې کورنۍ مشخص کړئ، تولید .qek file ځای، او پاسفریج کله چې غوښتنه وشي.
د بیس کیلي او ډیفالټ ارزښتونو لپاره د منځګړیتوب کیلي شمیر او اعظمي کلیدي کارولو لپاره د تصادفي ډیټا په کارولو سره د AES روټ کیلي رامینځته کولو لپاره لاندې کمانډ چل کړئ.
د حوالې پلي کولو کارولو لپاره، تاسو د Python ژباړونکي ته زنګ بدیل کړئ چې د Intel Quartus Prime سافټویر سره شامل دي او -family=agilex اختیار پریږدئ؛ نور ټول انتخابونه مساوي دي. د مثال لپارهample، د quartus_encrypt کمانډ وروسته په برخه کې وموندل شو

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

د حوالې پلي کولو ته په مساوي کال کې په لاندې ډول بدل کیدی شي pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. د کوارټس کوډ کولو ترتیبات
د ډیزاین لپاره د بټ سټریم کوډ کولو فعالولو لپاره ، تاسو باید د اسائنمنٹس وسیلې وسیلې او د پن اختیارونو امنیت پینل په کارولو سره مناسب انتخابونه مشخص کړئ. تاسو د ډراپ ډاون مینو څخه د کنفیګریشن بټ سټریم کوډ کولو چیک باکس فعال کړئ ، او د مطلوب کوډ کولو کیلي ذخیره کولو ځای غوره کړئ.

ISO 9001:2015 ثبت شوی

شکل 3. د Intel Quartus Prime Encryption Settings

3. د AES Bitstream کوډ کول 683823 | ۲۰۲۳.۰۵.۲۳

په بدیل سره، تاسو کولی شئ لاندې د دندې بیان ستاسو د Intel Quartus Prime ترتیباتو کې اضافه کړئ file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM on set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
که تاسو غواړئ د غاړې چینل برید ویکتورونو پروړاندې اضافي کمښت فعال کړئ ، تاسو ممکن د کوډ کولو تازه تناسب ډراپ ډاون فعال کړئ او د سکریمبلینګ چیک باکس فعال کړئ.

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 20

فیډبیک واستوئ

3. د AES Bitstream کوډ کول 683823 | ۲۰۲۳.۰۵.۲۳

په .qsf کې ورته بدلونونه په لاندې ډول دي:
set_global_assignment -نوم PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING په set_global_assignment -نوم PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. د کنفیګریشن بټ سټریم کوډ کول
تاسو د بټ سټریم لاسلیک کولو دمخه د ترتیب بټ سټریم کوډ کړئ. د Intel Quartus Prime پروګرامینګ File د جنریټر وسیله کولی شي په اوتومات ډول د ګرافیکي کارونکي انٹرفیس یا کمانډ لاین په کارولو سره د بټ سټریم ترتیب کوډ او لاسلیک کړي.
تاسو کولی شئ په اختیاري توګه د quartus_encrypt او quartus_sign وسیلو یا د حوالې پلي کولو معادلاتو سره د کارولو لپاره یو جزوی کوډ شوی بټ سټریم رامینځته کړئ.

3.3.1. د برنامه کولو په کارولو سره د Bitstream کوډ کولو ترتیب کول File د جنراتور ګرافیکي انٹرفیس
تاسو کولی شئ د پروګرام کولو څخه کار واخلئ File د مالک عکس کوډ کولو او لاسلیک کولو لپاره جنریټر.

انځور 4.

1. په Intel Quartus Prime کې File په مینو کې د پروګرام کولو غوره کول File جنراتور. 2. په محصول کې Fileپه ټب کې، محصول مشخص کړئ file د خپل ترتیب لپاره ټایپ کړئ
سکیم
محصول File مشخصات

د ترتیب سکیم محصول file ټب
محصول file ډول

3. په داخل کې Fileپه ټب کې، د Bitstream اضافه کړئ کلیک وکړئ او خپل .sof ته لټون وکړئ. 4. د کوډ کولو او تصدیق کولو اختیارونو مشخص کولو لپاره .sof غوره کړئ او کلیک وکړئ
ملکیتونه. a. د لاسلیک کولو وسیله فعاله کړئ. ب. د شخصي کیلي لپاره file خپل لاسلیک کیلي شخصي غوره کړئ file. ج. د نهایی کوډ کول فعال کړئ.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 21

3. د AES Bitstream کوډ کول 683823 | ۲۰۲۳.۰۵.۲۳

انځور 5.

d. د کوډ کولو کیلي لپاره file، خپل AES .qek غوره کړئ file. داخلول (.sof) File د تصدیق او کوډ کولو ملکیتونه

تصدیق فعال کړئ شخصي روټ مشخص کړئ .pem
کوډ کول فعال کړئ د کوډ کولو کیلي مشخص کړئ
5. په ان پټ کې د لاسلیک شوي او کوډ شوي بټ سټریم رامینځته کولو لپاره Fileپه ټب کې، په تولید کلیک وکړئ. د پاسورډ ډیالوګ بکسونه ستاسو لپاره ښکاري چې ستاسو د AES کیلي لپاره خپل پاسفریج داخل کړئ .qek file او د شخصي کیلي لاسلیک کول .pem file. برنامه کول file جنریټر کوډ شوی او لاسلیک شوی محصول رامینځته کوي_file.rbf.
3.3.2. د برنامه کولو په کارولو سره د Bitstream کوډ کولو ترتیب کول File د جنراتور کمانډ لاین انٹرفیس
د quartus_pfg کمانډ لاین انٹرفیس سره په .rbf شکل کې یو کوډ شوی او لاسلیک شوی ترتیب بټ سټریم رامینځته کړئ:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o لاسلیک کول=ON -o pem_file=design0_sign_private.pem
تاسو کولی شئ یو کوډ شوی او لاسلیک شوی ترتیب بټ سټریم په .rbf فارمیټ کې بل ترتیب بټ سټریم ته بدل کړئ file شکلونه
3.3.3. د کمانډ لاین انٹرفیس په کارولو سره د جزوي کوډ شوي ترتیب بټ سټریم جنریشن
تاسو ممکن یو څه کوډ شوی پروګرام جوړ کړئ file د کوډ کولو نهایی کولو لپاره او وروسته عکس لاسلیک کړئ. په جزوی توګه کوډ شوی پروګرام جوړ کړئ file د .rbf بڼه کې د thequartus_pfg کمانډ لاین انٹرفیس سره: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 22

فیډبیک واستوئ

3. د AES Bitstream کوډ کول 683823 | ۲۰۲۳.۰۵.۲۳
تاسو د بټ سټریم کوډ کولو نهایی کولو لپاره د کوارټس_انکریپټ کمانډ لاین وسیله وکاروئ:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
تاسو د کوډ شوي ترتیب بټ سټریم لاسلیک کولو لپاره د quartus_sign کمانډ لاین وسیله کاروئ:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”-key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. د جزوی بیا تنظیم Bitstream کوډ کول
تاسو کولی شئ په ځینو انټیل اګیلیکس 7 FPGA ډیزاینونو کې د بټ سټریم کوډ کول فعال کړئ چې جزوي بیا تنظیم کول کاروي.
د جزوي بیا تنظیم کولو ډیزاینونه چې د هیرارکیکل جزوي بیا تنظیم (HPR) څخه کار اخلي ، یا د سټیټ اپډیټ جزوي بیا تنظیم (SUPR) د بټ سټریم کوډ کولو ملاتړ نه کوي. که ستاسو ډیزاین ډیری PR سیمې ولري، تاسو باید ټول شخصیتونه کوډ کړئ.
د جزوی بیا تنظیم کولو بټ سټریم کوډ کولو فعالولو لپاره ، په ټولو ډیزاین بیاکتنې کې ورته کړنلاره تعقیب کړئ. 1. په Intel Quartus Prime کې File په مینو کې، د اسائنمنٹس وسیله وسیله غوره کړئ
او د پن اختیارونو امنیت. 2. د مطلوب کوډ کولو کیلي ذخیره کولو ځای غوره کړئ.
شکل 6. د جزوی بیا تنظیم Bitstream د کوډ کولو ترتیب

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 23

3. د AES Bitstream کوډ کول 683823 | ۲۰۲۳.۰۵.۲۳
په بدیل سره، تاسو کولی شئ د Quartus Prime ترتیباتو کې د لاندې دندې بیان اضافه کړئ file .qsf:
set_global_assignment -name -ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION په
وروسته له دې چې تاسو خپل بیس ډیزاین او بیاکتنې تالیف کړئ، سافټویر a.sof تولیدويfile او یو یا ډیر.pmsffiles، د شخصیتونو استازیتوب کوي. 3. کوډ شوی او لاسلیک شوی پروګرام جوړول fileد.sof او.pmsf څخه files په ورته انداز کې ډیزاینونو ته چې د جزوي بیا تنظیم کولو وړ ندي. 4. تالیف شوی persona.pmsf بدل کړئ file په جزوی توګه encrypted.rbf ته file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. د quartus_encrypt کمانډ لاین وسیلې په کارولو سره د بټ سټریم کوډ کول حتمي کړئ:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. د quartus_sign کمانډ لاین وسیلې په کارولو سره د کوډ شوي ترتیب بټ سټریم لاسلیک کړئ:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2=”so design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 24

فیډبیک واستوئ

683823 | 2023.05.23 فیډبیک واستوئ

د وسیلې چمتو کول

د لومړني امنیتي ځانګړتیاو چمتو کول یوازې د SDM چمتو کونکي فرم ویئر کې ملاتړ کیږي. د SDM چمتو کولو فرم ویئر بارولو او د چمتو کولو عملیات ترسره کولو لپاره د Intel Quartus Prime Programmer وکاروئ.
تاسو کولی شئ هر ډول J وکاروئTAG د کوارټس پروګرامر د انټیل اګیلیکس 7 وسیله سره وصل کولو لپاره کیبل ډاونلوډ کړئ ترڅو د چمتو کولو عملیات ترسره کړي.
4.1. د SDM چمتو کولو فرم ویئر کارول
د Intel Quartus Prime Programmer په اوتومات ډول د فابریکې ډیفالټ مرستندویه عکس رامینځته کوي او پورته کوي کله چې تاسو د پیل کولو عملیات غوره کړئ او د ترتیب بټ سټریم پرته بل څه برنامه کولو قوماندې غوره کړئ.
د مشخص شوي برنامې کمانډ پورې اړه لري ، د فابریکې ډیفالټ مرستندویه عکس یو له دوه ډولونو څخه دی:
د چمتو کولو مرستندویه عکس – د بټ سټریم یوه برخه لري چې د SDM چمتو کولو فرم ویئر لري.
· د QSPI مرستندویه عکس – د بټ سټریم دوه برخې لري، چې یو یې د SDM اصلي فرم ویئر لري او بله د I/O برخه.
تاسو کولی شئ د فابریکې ډیفالټ مرستندویه عکس رامینځته کړئ file د هر پروګرام کولو کمانډ ترسره کولو دمخه ستاسو وسیله ته پورته کول. د تصدیق کولو روټ کیلي هش برنامه کولو وروسته ، تاسو باید د QSPI فابریکې ډیفالټ مرستندویه عکس رامینځته او لاسلیک کړئ ځکه چې د I/O برخې شاملې دي. که تاسو سربیره پردې د شریک لاسلیک شوي فرم ویئر امنیت ترتیب eFuse برنامه کوئ ، تاسو باید د شریک لاسلیک شوي فرم ویئر سره چمتو کول او د QSPI فابریکې ډیفالټ مرستندویه عکسونه رامینځته کړئ. تاسو ممکن په غیر چمتو شوي وسیله کې د شریک لاسلیک شوي فابریکې ډیفالټ مرستندویه عکس وکاروئ ځکه چې غیر چمتو شوي وسیله د SDM فرم ویئر کې د غیر انټیل لاسلیک زنځیرونه له پامه غورځوي. د QSPI فابریکې ډیفالټ مرستندویه عکس جوړولو ، لاسلیک کولو او کارولو په اړه د نورو توضیحاتو لپاره په 26 مخ کې د ملکیت وسیلو کې د QSPI فابریکې ډیفالټ مرستندویه عکس کارولو ته مراجعه وکړئ.
د چمتو کولو فابریکې ډیفالټ مرستندویه عکس د چمتو کولو عمل ترسره کوي ، لکه د تصدیق روټ کیلي هش برنامه کول ، د امنیت تنظیم فیوزونه ، د PUF نوم لیکنه ، یا د تور کیلي چمتو کول. تاسو د Intel Quartus Prime برنامه کاروئ File د چمتو کولو مرستندویه عکس رامینځته کولو لپاره د جنریټر کمانډ لاین وسیله ، د helper_image اختیار مشخص کول ، ستاسو د helper_device نوم ، د چمتو کونکي مرستندویه عکس فرعي ډول ، او په اختیار کې د شریک لاسلیک شوي فرم ویئر .zip file:
quartus_pfg -helper_image -o helper_device=AGFB014R24A -o فرعي ډول=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
د Intel Quartus Prime Programmer Tool په کارولو سره د مرستندویه عکس پروګرام کړئ:
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" - ځواک

ISO 9001:2015 ثبت شوی

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳

یادونه:

تاسو ممکن د کمانډونو څخه د پیل کولو عملیات پریږدئ ، پشمول د exampپه دې څپرکي کې چمتو شوي، یا د چمتو کولو مرستندویه انځور پروګرام کولو وروسته یا د کمانډ کارولو وروسته چې د ابتدايي عملیات لري.

4.2. په ملکیت وسیلو کې د QSPI فابریکې ډیفالټ مرستندویه عکس کارول
د Intel Quartus Prime Programmer په اوتومات ډول د QSPI فابریکې ډیفالټ مرستندویه عکس رامینځته کوي او پورته کوي کله چې تاسو د QSPI فلش برنامې لپاره ابتکار عملیات غوره کړئ. file. د تصدیق کولو روټ کیلي هش برنامې کولو وروسته ، تاسو باید د QSPI فابریکې ډیفالټ مرستندویه عکس رامینځته او لاسلیک کړئ ، او د QSPI فلش برنامې کولو دمخه د لاسلیک شوي QSPI فابریکې مرستندویه عکس په جلا توګه برنامه کړئ. 1. تاسو د Intel Quartus Prime Programming کاروئ File د جنراتور کمانډ لاین وسیله
د QSPI مرستندویه انځور جوړ کړئ، د helper_image اختیار مشخص کړئ، ستاسو د مرستندویه وسیلې ډول، د QSPI مرستندویه انځور فرعي ډول، او په اختیاري توګه یو شریک شوی فرم ویئر .zip. file:
quartus_pfg -helper_image -o helper_device=AGFB014R24A -o فرعي ډول=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. تاسو د QSPI فابریکې ډیفالټ مرستندویه عکس لاسلیک کړئ:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf لاسلیک شوی_qspi_helper_image.rbf
3. تاسو کولی شئ د QSPI فلش پروګرامونه وکاروئ file بڼه. لاندې پخوانيampپه .jic کې بدل شوی یو ترتیب بټ سټریم کاروي file بڼه:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o وسیله=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. تاسو د Intel Quartus Prime Programmer وسیلې په کارولو سره لاسلیک شوي مرستندویه عکس برنامه کوئ:
quartus_pgm -c 1 -mjtag -o "p;signed_qspi_helper_image.rbf" - ځواک
5. تاسو د Intel Quartus Prime Programmer وسیلې په کارولو سره د .jic عکس د فلش کولو لپاره پروګرام کړئ:
quartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. د روټ کلیدي چمتو کول تصدیق کول
د مالک روټ کیلي هشونه فزیکي فیوزونو ته برنامه کولو لپاره ، لومړی تاسو باید د پروویژن فرم ویئر بار کړئ ، بل د مالک روټ کیلي هشونه برنامه کړئ ، او بیا سمدلاسه د پاور آن ریسیټ ترسره کړئ. د پاور آن ریسیټ ته اړتیا نشته که چیرې د برنامه کولو روټ کیلي مجازی فیوز ته هش شي.

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 26

فیډبیک واستوئ

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳
د روټ کیلي هشونو تصدیق کولو لپاره ، تاسو د پروویژن فرم ویئر مرستندویه عکس برنامه کړئ او د روټ کیلي برنامه کولو لپاره لاندې کمانډونو څخه یو چل کړئ. qky files.
// د فزیکي (غیر بې ثباته) eFuses لپاره quartus_pgm -c 1 -m jtag -o "p;root0.qky;root1.qky;root2.qky" -غیر_ډول_کی
// د مجازی (بې ثباته) eFuses لپاره quartus_pgm -c 1 -m jtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. جزوی بیا تنظیم کول د څو واک لرونکی روټ کلیدی پروګرامینګ
د وسیلې یا جامد سیمې بټ سټریم مالک روټ کیلي چمتو کولو وروسته ، تاسو بیا د وسیلې چمتو کونکي مرستندویه عکس پورته کړئ ، د لاسلیک شوي PR عامه کیلي برنامه جواز تړون سند برنامه کړئ ، او بیا د PR شخصیت بټ سټریم مالک روټ کیلي چمتو کړئ.
// د فزیکي (غیر بې ثباته) eFuses لپاره quartus_pgm -c 1 -m jtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// د مجازی (بې ثباته) eFuses لپاره quartus_pgm -c 1 -m jtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. د پروګرام کولو کلیدي منسوخ ID فیوز
د Intel Quartus Prime Pro Edition سافټویر نسخه 21.1 سره پیل کول، د انټیل پروګرام کول او د مالک کلیدي منسوخ ID فیوز د لاسلیک شوي تړون سند کارولو ته اړتیا لري. تاسو کولی شئ د کلیدي لغوه کولو ID تړون سند د لاسلیک زنځیر سره لاسلیک کړئ چې د FPGA برخې لاسلیک کولو اجازه لري. تاسو د پروګرام کولو سره د تړون سند جوړ کړئ file د جنراتور کمانډ لاین وسیله. تاسو د quartus_sign وسیلې یا د حوالې پلي کولو په کارولو سره نه لاسلیک شوی سند لاسلیک کړئ.
د Intel Agilex 7 وسیلې د هرې روټ کیلي لپاره د مالک کلیدي ردولو IDs جلا بانکونو ملاتړ کوي. کله چې د مالک کیلي منسوخ ID تړون سند په Intel Agilex 7 FPGA کې برنامه شوی وي ، SDM ټاکي چې کوم روټ کیلي د تړون سند لاسلیک کړی او د کیلي منسوخ کولو ID فیوز فلج کوي چې د دې روټ کیلي سره مطابقت لري.
لاندې پخوانيamples د Intel key ID 7 لپاره د Intel key فسخه کولو سند جوړ کړئ. تاسو کولی شئ د 7-0 څخه د تطبیق وړ Intel کیلي لغوه کولو ID سره 31 بدل کړئ.
د نه لاسلیک شوي Intel کیلي منسوخ کولو ID تړون سند رامینځته کولو لپاره لاندې کمانډ چل کړئ:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
د نه لاسلیک شوي Intel کیلي منسوخ کولو ID تړون سند لاسلیک کولو لپاره له لاندې کمانډونو څخه یوه پرمخ وړئ:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 27

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
د نه لاسلیک شوي مالک کیلي منسوخ کولو ID تړون سند رامینځته کولو لپاره لاندې کمانډ چل کړئ:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
د نه لاسلیک شوي مالک کیلي لغوه کولو ID تړون سند لاسلیک کولو لپاره د لاندې کمانډونو څخه یوه پرمخ وړئ:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”-key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
وروسته له دې چې تاسو د لاسلیک شوي کلیدي منسوخ کولو ID تړون سند رامینځته کړئ ، تاسو د Intel Quartus Prime Programmer کاروئ ترڅو د J له لارې وسیلې ته د تړون سند برنامه کړئ.TAG.
// د فزیکي (غیر بې ثباته) eFuses لپاره quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" -non_volatile_key quartus_pgm -c 1 -m jtag -o "pi;signed_cancel_owner2.ccert" – non_volatile_key
// د مجازی (بې ثباته) eFuses لپاره quartus_pgm -c 1 -m jtag -o "pi;signed_cancel_intel7.ccert" quartus_pgm -c 1 -m jtag -o "pi;signed_cancel_owner2.ccert"
تاسو کولی شئ د FPGA یا HPS میل باکس انٹرفیس په کارولو سره SDM ته د تړون سند اضافه کړئ.
4.5. د روټ کیلي لغوه کول
د انټیل اګیلیکس 7 وسیلې تاسو ته اجازه درکوي د روټ کیلي هشونه لغوه کړئ کله چې بل غیر منسوخ شوی روټ کیلي هش شتون ولري. تاسو لومړی د وسیلې په ډیزاین کولو سره د روټ کیلي هش لغوه کړئ چې د لاسلیک سلسله په مختلف روټ کیلي هش کې ریښه شوې وي ، بیا د لاسلیک شوي روټ کیلي هش منسوخ کولو تړون سند برنامه کړئ. تاسو باید د روټ کیلي هش لغوه کولو تړون سند لاسلیک کړئ د لاسلیک سلسله سره چې د روټ کیلي کې ریښه شوي ترڅو لغوه شي.
د غیر لاسلیک شوي روټ کیلي هش منسوخ کولو تړون سند رامینځته کولو لپاره لاندې کمانډ چل کړئ:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 28

فیډبیک واستوئ

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳

د غیر لاسلیک شوي روټ کیلي هش منسوخ کولو تړون سند لاسلیک کولو لپاره لاندې کمانډونو څخه یوه پرمخ وړئ:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”-key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
تاسو کولی شئ د J له لارې د روټ کیلي هش منسوخ کولو تړون سند برنامه کړئTAG، FPGA، یا HPS میل باکسونه.

4.6. د پروګرام کولو کاونټر فیوز
تاسو د امنیت نسخه نمبر (SVN) او Pseudo Time Stamp (PTS) کاونټر فیوز د لاسلیک شوي تړون سندونو په کارولو سره.

یادونه:

SDM د ورکړل شوي ترتیب په جریان کې لیدل شوي لږترلږه کاونټر ارزښت تعقیبوي او د کاونټر زیاتوالی سندونه نه مني کله چې د کاونټر ارزښت د لږترلږه ارزښت څخه کوچنی وي. تاسو باید ټول هغه شیان تازه کړئ چې کاونټر ته ټاکل شوي او د کاونټر انکریمینټ تړون سند پروګرام کولو دمخه وسیله بیا تنظیم کړئ.

د لاندې کمانډونو څخه یو چل کړئ چې د ضد زیاتوالي سند سره مطابقت لري چې تاسو یې رامینځته کول غواړئ.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter= unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter= unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter= unsigned_svnB.ccert

quartus_pfg -ccert -o ccert_type=SVN_COUNTER_C -o counter= unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter= unsigned_svnD.ccert

د 1 کاونټر ارزښت د کاونټر د زیاتوالي اجازه لیک رامینځته کوي. د کاونټر زیاتوالي اجازې تړون سند پروګرام کول تاسو ته دا وړتیا درکوي چې نور نه لاسلیک شوي کاونټر انکریمینټ سندونه برنامه کړئ ترڅو اړوند کاونټر تازه کړي. تاسو د quartus_sign وسیلې څخه کار اخلئ ترڅو د کاونټر تړون سندونه لاسلیک کړئ په ورته ډول د کلیدي منسوخ کولو ID تړون سندونو سره.
تاسو کولی شئ د J له لارې د روټ کیلي هش منسوخ کولو تړون سند برنامه کړئTAG، FPGA، یا HPS میل باکسونه.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 29

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳

4.7. د خوندي ډیټا آبجیکٹ خدمت روټ کیلي چمتو کول
تاسو د خوندي ډیټا آبجیکٹ خدمت (SDOS) روټ کیلي چمتو کولو لپاره د Intel Quartus Prime Programmer کاروئ. پروګرامر په اوتومات ډول د SDOS روټ کیلي چمتو کولو لپاره د پروویژن فرم ویئر مرستندویه عکس پورته کوي.
quartus_pgm c 1 m jtag -خدمت_روټ_کی -غیر_خوراکی_کی

۴.۸. د امنیت تنظیم فیوز چمتو کول
د Intel Quartus Prime Programmer وکاروئ ترڅو د وسیلې امنیت تنظیم فیوز معاینه کړئ او د متن پراساس فیوز ته یې ولیکئ file په لاندې ډول:
quartus_pgm -c 1 -mjtag -o “ei;پروګرامینګ_fileفیوز؛AGFB014R24B"

اختیارونه · i: پروګرامر وسیله ته د پروویژن فرم ویئر مرستندویه عکس پورته کوي. · e: پروګرامر د آلې څخه فیوز لولي او په فیوز کې یې ساتي file.

فیوز file د فیوز نوم - ارزښت جوړو لیست لري. ارزښت مشخص کوي چې ایا فیوز فلج شوی یا د فیوز ساحې مینځپانګې.

لاندې پخوانيample د .fuse بڼه ښیي file:

# شریک لاسلیک شوی فرم ویئر

= "نه وهل شوی"

# د وسیلې اجازه وژنه

= "نه وهل شوی"

# وسیله خوندي نه ده

= "نه وهل شوی"

# د HPS ډیبګ غیر فعال کړئ

= "نه وهل شوی"

# د داخلي ID PUF نوم لیکنه غیر فعال کړئ

= "نه وهل شوی"

# ناپاک JTAG

= "نه وهل شوی"

# د PUF- پوښل شوي کوډ کولو کیلي غیر فعال کړئ

= "نه وهل شوی"

# په BBRAM کې د مالک کوډ کولو کیلي غیر فعال کړئ = "نه وهل شوې"

# په eFuses کې د مالک کوډ کولو کیلي غیر فعال کړئ = "نه وهل شوې"

# د مالک ریټ عامه کیلي هش 0 غیر فعال کړئ

= "نه وهل شوی"

# د مالک ریټ عامه کیلي هش 1 غیر فعال کړئ

= "نه وهل شوی"

# د مالک ریټ عامه کیلي هش 2 غیر فعال کړئ

= "نه وهل شوی"

# مجازی eFuses غیر فعال کړئ

= "نه وهل شوی"

# د SDM ساعت داخلي اوسیلیټر ته اړ کړئ = "نه وهل شوی"

# د کوډ کولو کلیدي تازه کول

= "نه وهل شوی"

# د Intel واضح کلیدي لغوه کول

= "0"

# امنیتي eFuses لاک کړئ

= "نه وهل شوی"

# د مالک کوډ کولو کلیدي برنامه ترسره شوه

= "نه وهل شوی"

# د مالک کوډ کولو کلیدي برنامه پیل کیږي

= "نه وهل شوی"

# د مالک واضح کلیدي لغوه کول 0

= ""

# د مالک واضح کلیدي لغوه کول 1

= ""

# د مالک واضح کلیدي لغوه کول 2

= ""

# مالک فیوز

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

۶»

# مالک ریښه عامه کیلي هش 0

"0x00000000000000000000000000000000000000000000000000000

۶»

# مالک ریښه عامه کیلي هش 1

"0x00000000000000000000000000000000000000000000000000000

۶»

# مالک ریښه عامه کیلي هش 2

"0x00000000000000000000000000000000000000000000000000000

۶»

# د مالک ریښې عامه کیلي اندازه

= "هیڅ نه"

# د PTS کاونټر

= "0"

# د PTS کاونټر بیس

= "0"

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 30

فیډبیک واستوئ

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳

# QSPI د پیل ځنډ # RMA کاونټر # SDMIO0 I2C دی # SVN کاونټر A # SVN کاونټر B # SVN کاونټر C # SVN کاونټر D

= "10ms" = "0" = "نه غورځول شوی" = "0" = "0" = "0" = "0"

فیوز بدل کړئ file ستاسو د غوښتل شوي امنیتي ترتیباتو فیوزونو تنظیم کولو لپاره. یوه کرښه چې د # سره پیل کیږي د تبصرې کرښې په توګه چلند کیږي. د امنیت تنظیم کولو فیوز برنامه کولو لپاره ، مخکښ # لرې کړئ او ارزښت بلون ته تنظیم کړئ. د مثال لپارهample، د شریک لاسلیک شوي فرم ویئر امنیتي ترتیب فیوز فعالولو لپاره، د فیوز لومړۍ کرښه تعدیل کړئ file لاندې ته:
په ګډه لاسلیک شوی فرم ویئر = "ټوپ شوی"

تاسو ممکن د خپلو اړتیاو پراساس د مالک فیوز تخصیص او برنامه هم کړئ.
تاسو کولی شئ لاندې کمانډ وکاروئ د خالي چیک ترسره کولو لپاره ، برنامه وکړئ ، او د مالک ریټ عامه کیلي تصدیق کړئ:
quartus_pgm -c 1 -mjtag -o "ibpv;root0.qky"

اختیارونه · i: وسیله ته د پروویژن فرم ویئر مرستندویه عکس پورته کوي. · ب: یو خالي چک ترسره کوي ترڅو تصدیق کړي چې مطلوب امنیتي ترتیب فیوزونه ندي
لا دمخه چاودلی · مخ: فیوز پروګرام کوي. v: په آلې کې برنامه شوې کیلي تاییدوي.
د پروګرام کولو وروسته .qky file، تاسو کولی شئ د فیوز معلوماتو بیا چیک کولو سره د فیوز معلومات معاینه کړئ ترڅو ډاډ ترلاسه کړئ چې د مالک عامه کیلي هش او مالک عامه کیلي اندازه غیر صفر ارزښت لري.
پداسې حال کې چې لاندې ساحې د .fuse له لارې د لیکلو وړ ندي file طریقه، دوی د تصدیق لپاره د ازموینې عملیاتي محصول په جریان کې شامل دي: · وسیله خوندي نه ده · د وسیلې اجازه وژنه · د مالک روټ عامه کیلي هش غیر فعال کړئ 0 · د مالک ریټ عامه کیلي هش غیر فعال کړئ 1 · د مالک ریټ عامه کیلي هش غیر فعال کړئ 2 · د انټیل کیلي لغوه د مالک کوډ کولو کیلي برنامه پیل کیږي · د مالک کوډ کولو کلیدي برنامه ترسره شوې · د مالک کیلي لغوه کول · د مالک عامه کیلي هش · د مالک عامه کیلي اندازه · د مالک ریټ عامه کیلي هش 0 · مالک ریټ عامه کیلي هش 1 · مالک ریټ عامه کیلي هش 2

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 31

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳
· د PTS کاونټر · د PTS کاونټر بیس · QSPI پیل ځنډ · RMA کاونټر · SDMIO0 I2C دی · SVN کاونټر A · SVN کاونټر B · SVN کاونټر C · SVN کاونټر D
د .fuse پروګرام کولو لپاره د Intel Quartus Prime Programmer وکاروئ file بیرته وسیله ته. که تاسو د i اختیار اضافه کړئ، پروګرامر په اتوماتيک ډول د پروویژن فرم ویئر باروي ترڅو د امنیت ترتیبات فیوزونه برنامه کړي.
// د فزیکي (غیر بې ثباته) eFuses لپاره quartus_pgm -c 1 -mjtag -o "pi؛ پروګرامینګ_file.فیوز" –غیر_بې ثباته_کی
// د مجازی (بې ثباته) eFuses لپاره quartus_pgm -c 1 -m jtag -o "pi؛ پروګرامینګ_fileفیوز
تاسو کولی شئ لاندې کمانډ وکاروئ ترڅو تصدیق کړئ چې ایا د وسیلې روټ کیلي هش د .qky په کمانډ کې چمتو شوي ورته دی:
quartus_pgm -c 1 -mjtag -o "v;root0_another.qky"
که کیلي سره سمون ونلري، پروګرامر د عملیاتو ناکام شوي خطا پیغام سره ناکام شي.
4.9. د AES روټ کلیدي چمتو کول
تاسو باید د Intel Agilex 7 وسیلې ته د AES روټ کیلي برنامه کولو لپاره د لاسلیک شوي AES روټ کیلي تړون سند وکاروئ.
4.9.1. د AES روټ کلیدي تړون سند
تاسو د quartus_pfg کمانډ لاین وسیله کاروئ ترڅو خپل AES روټ کیلي .qek بدل کړئ file د تړون سند .ccert بڼه کې. تاسو د کمپیکٹ سند رامینځته کولو پرمهال د ذخیره کولو کلیدي ځای مشخص کوئ. تاسو کولی شئ د quartus_pfg وسیله وکاروئ ترڅو وروسته لاسلیک کولو لپاره غیر لاسلیک شوي سند رامینځته کړئ. تاسو باید د AES روټ کیلي سند لاسلیک کولو اجازې سره د لاسلیک سلسله وکاروئ ، د اجازې بټ 6 ، د AES روټ کیلي تړون سند په بریالیتوب سره لاسلیک کولو لپاره فعال شوی.

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 32

فیډبیک واستوئ

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳
1. یو اضافي کلیدي جوړه جوړه کړئ چې د لاندې کمانډ څخه د یوې په کارولو سره د AES کلیدي تړون سند لاسلیک کولو لپاره کارول کیږيamples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen میکانیزم ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –استعمال-نښه –label aesccert1 –id 2
2. د لاندې کمانډونو څخه د یوې په کارولو سره د سمې اجازې بټ سیټ سره د لاسلیک سلسله جوړه کړئ:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. د مطلوب AES روټ کیلي ذخیره کولو ځای لپاره د نه لاسلیک شوي AES تړون سند جوړ کړئ. لاندې د AES روټ کلیدي ذخیره کولو اختیارونه شتون لري:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
// د eFuse AES روټ کیلي غیر لاسلیک شوي سند جوړ کړئ quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. د quartus_sign کمانډ یا د حوالې پلي کولو سره د تړون سند لاسلیک کړئ.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_1.ccert لاسلیک شوی_1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 33

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_1.ccert لاسلیک شوی_1.ccert
5. د J له لارې Intel Agilex 7 وسیلې ته د AES روټ کلیدي کمپیکٹ سند برنامه کولو لپاره د Intel Quartus Prime Programmer وکاروئTAG. د Intel Quartus Prime Programmer د برنامه مجازی eFuses لپاره ډیفالټ کوي کله چې د EFUSE_WRAPPED_AES_KEY تړون سند ډول کاروي.
تاسو د پروګرام کولو فزیکي فیوز مشخص کولو لپاره -non_volatile_key اختیار اضافه کړئ.
// د فزیکي (غیر بې ثباته) لپاره د eFuse AES روټ کیلي quartus_pgm -c 1 -m jtag -o "pi;signed_efuse1.ccert" –غیر_خوراکي_کی

// د مجازی (بې ثباته) eFuse AES روټ کیلي لپاره quartus_pgm -c 1 -m jtag -o "pi;signed_efuse1.ccert"

// د BBRAM AES روټ کلیدي quartus_pgm -c 1 -m j لپارهtag -o "pi;signed_bbram1.ccert"

د SDM چمتو کونکي فرم ویئر او اصلي فرم ویئر د AES روټ کلیدي سند برنامې ملاتړ کوي. تاسو ممکن د FPGA پارچه یا HPS څخه د SDM میل باکس انٹرفیس هم وکاروئ ترڅو د AES روټ کیلي سند برنامه کړئ.

یادونه:

د quartus_pgm کمانډ د کمپیکٹ سندونو (.ccert) لپاره د b او v اختیارونو ملاتړ نه کوي.

4.9.2. د داخلي ID® PUF AES روټ کلیدي چمتو کول
د داخلي* ID PUF پوښل شوي AES کیلي پلي کول لاندې مرحلې شاملې دي: 1. د J له لارې د داخلي ID PUF نومولTAG. 2. د AES روټ کیلي وتړل. 3. د مرستندویه ډیټا پروګرام کول او د کواډ SPI فلش حافظې کې کیلي پوښل. 4. د داخلي ID PUF د فعالیت حالت پوښتنه کول.
د داخلي ID ټیکنالوژۍ کارول د داخلي ID سره جلا جواز تړون ته اړتیا لري. د Intel Quartus Prime Pro Edition سافټویر د PUF عملیات د مناسب جواز پرته محدودوي، لکه نوم لیکنه، کلیدي ریپینګ، او د PUF ډیټا پروګرامونه QSPI فلش ته.

4.9.2.1. د داخلي ID PUF نوم لیکنه
د PUF د نوم لیکنې لپاره، تاسو باید د SDM چمتو کولو فرم ویئر وکاروئ. د چمتو کولو فرم ویئر باید لومړی فرم ویئر وي چې د بریښنا دورې وروسته بار شوی وي ، او تاسو باید د بل کوم کمانډ دمخه د PUF نوم لیکنې کمانډ صادر کړئ. د پروویژن فرم ویئر د PUF نوم لیکنې وروسته د نورو کمانډونو ملاتړ کوي ، پشمول د AES روټ کیلي ریپینګ او برنامه کواډ SPI ، په هرصورت ، تاسو باید د تنظیم بټ سټریم بارولو لپاره وسیله سایکل کړئ.
تاسو د Intel Quartus Prime Programmer کاروئ ترڅو د PUF نوم لیکنه پیل کړئ او د PUF مرستندویه ډاټا تولید کړئ. file.

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 34

فیډبیک واستوئ

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳

انځور 7.

د داخلي ID PUF نوم لیکنه
quartus_pgm PUF نوم لیکنه

د نوم لیکنې PUF مرستندویه ډاټا

د خوندي وسیلې مدیر (SDM)

wrapper.puf مرستندویه ډاټا
پروګرامر په اوتومات ډول د پروویژن فرم ویئر مرستندویه عکس پورته کوي کله چې تاسو دواړه i عملیات او .puf دلیل مشخص کړئ.
quartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
که تاسو د شریک لاسلیک شوي فرم ویئر کاروئ ، تاسو د PUF نوم لیکنې کمانډ کارولو دمخه د شریک لاسلیک شوي فرم ویئر مرستندویه عکس برنامه کوئ.
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" -force quartus_pgm -c 1 -m jtag -o "e;help_data.puf;AGFB014R24A"
د UDS IID PUF د وسیلې جوړولو پرمهال نوم لیکنه کیږي ، او د بیا ثبتولو لپاره شتون نلري. پرځای یې، تاسو په IPCS کې د UDS PUF مرستندویه ډیټا موقعیت معلومولو لپاره پروګرامر کاروئ، .puf ډاونلوډ کړئ file مستقیم، او بیا د UDS .puf وکاروئ file په ورته ډول د .puf په څیر file د Intel Agilex 7 وسیلې څخه استخراج شوی.
د متن جوړولو لپاره لاندې پروګرامر کمانډ وکاروئ file یو لیست لري URLد وسیلې ځانګړي ته اشاره کوي fileپه IPCS کې:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B" –ipcs_urls
4.9.2.2. د AES روټ کیلي وتړل
تاسو د IID PUF پوښل شوي AES روټ کیلي تولید کړئ .wkey file SDM ته د لاسلیک شوي سند په لیږلو سره.
تاسو کولی شئ د Intel Quartus Prime Programmer وکاروئ ترڅو په اتوماتيک ډول ستاسو د AES روټ کیلي لپیٹ کولو لپاره سند تولید ، لاسلیک او واستوئ ، یا تاسو ممکن د Intel Quartus Prime Programming وکاروئ. File د نه لاسلیک شوي سند د تولید لپاره جنریټر. تاسو د خپلو وسیلو یا کوارټس لاسلیک کولو وسیلې په کارولو سره نه لاسلیک شوی سند لاسلیک کوئ. تاسو بیا د لاسلیک شوي سند لیږلو لپاره پروګرامر وکاروئ او خپل د AES روټ کیلي وتړئ. لاسلیک شوی سند ممکن د ټولو وسیلو برنامه کولو لپاره وکارول شي چې کولی شي د لاسلیک سلسله تایید کړي.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 35

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳

انځور 8.

د Intel Quartus Prime Programmer په کارولو سره د AES کیلي وتړل
pem خصوصي
کلید

.qky

quartus_pgm

د AES کیلي وتړئ

AES.QSKigYnature RootCPhuabilnic کیلي

د PUF پوښل کیلي تولید کړئ

د AES کیلي لپاسه

SDM

.qek کوډ کول
کلید

.wkey PUF-پټو
د AES کلید

1. تاسو کولی شئ د لاندې دلیلونو په کارولو سره د پروګرامر سره د IID PUF پوښل شوي AES روټ کیلي (.wkey) تولید کړئ:
· د .qky file د AES روټ کیلي سند اجازې سره د لاسلیک سلسله لري
· شخصي .pem file د لاسلیک سلسله کې د وروستي کیلي لپاره
· د .qek file د AES روټ کیلي ساتل
· د 16-بایټ ابتکار ویکتور (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o "ei;aes.wkey;AGFB014R24A"

2. په بدیل سره، تاسو کولی شئ د پروګرام کولو سره یو غیر لاسلیک شوی IID PUF ریپینګ AES روټ کیلي سند تولید کړئ File جنراتور د لاندې دلیلونو په کارولو سره:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. تاسو د لاندې کمانډ په کارولو سره د خپل لاسلیک وسیلې یا quartus_sign وسیلې سره نه لاسلیک شوی سند لاسلیک کړئ:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. بیا تاسو پروګرامر وکاروئ ترڅو لاسلیک شوي AES سند واستوي او پوښل شوي کیلي (.wkey) بیرته راولي. file:

quarts_pgm -c 1 -mjtag – ccert_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

یادونه: د i عملیات اړین ندي که تاسو دمخه د پروویژن فرم ویئر مرستندویه عکس پورته کړی وي ، د مثال لپارهample، د PUF د نوم لیکنې لپاره.

4.9.2.3. د پروګرام کولو مرستندویه ډیټا او د QSPI فلش حافظې ته لپه شوې کیلي
تاسو د Quartus برنامه کاروئ File د جنراتور ګرافیکي انٹرفیس د لومړني QSPI فلش عکس رامینځته کولو لپاره چې د PUF برخې لري. تاسو باید د QSPI فلش ته د PUF برخې اضافه کولو لپاره د فلش برنامې بشپړ عکس رامینځته او برنامه کړئ. د PUF جوړول

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 36

فیډبیک واستوئ

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳

انځور 9.

د ډیټا ویشل او د PUF مرستندویه ډیټا کارول او پوښل شوي کیلي fileد فلش عکس تولید لپاره د برنامه کولو له لارې ملاتړ نه کیږي File د جنراتور کمانډ لاین انٹرفیس.
لاندې مرحلې د PUF مرستندویه ډیټا او ریپ شوي کیلي سره د فلش برنامې عکس رامینځته کول ښیې:
1. پر File په مینو کې، پروګرام کولو کلیک وکړئ File جنراتور. په محصول کې Files ټب لاندې انتخابونه کوي:
a. د وسیلې کورنۍ لپاره Agilex 7 غوره کړئ.
ب. د ترتیب کولو حالت لپاره فعال سیریل x4 غوره کړئ.
ج. د محصول لارښود لپاره خپل محصول ته لټون وکړئ file لارښود دا پخوانیample output کاروي_files.
d. د نوم لپاره، د پروګرام کولو لپاره نوم مشخص کړئ file تولید شي. دا پخوانیample output کاروي_file.
e. د توضیحاتو لاندې برنامه غوره کړئ fileد تولید لپاره. دا پخوانیample J تولیدويTAG غیر مستقیم ترتیب File (.jic) د وسیلې ترتیب او خام بائنری لپاره File د وسیلې مرستندویه عکس لپاره د پروګرام کولو مرستندویه عکس (.rbf). دا پخوانیample د اختیاري حافظې نقشه هم غوره کوي File (. نقشه) او د خام پروګرام کولو ډاټا File (.rpd). د خام پروګرام کولو ډاټا file یوازې اړین دی که تاسو په راتلونکي کې د دریمې ډلې پروګرامر کارولو پلان لرئ.
برنامه کول File جنراتور - محصول Files ټب - J وټاکئTAG غیر مستقیم ترتیب

د وسیلې کورنۍ ترتیب حالت
محصول file ټب
د محصول لارښود
JTAG غیر مستقیم (.jic) د حافظې نقشه File د پروګرام کولو مرستندویه خام پروګرام کولو ډاټا
په داخل کې Files ټب کې، لاندې انتخابونه وکړئ: 1. د Bitstream په اضافه کولو کلیک وکړئ او خپل .sof ته لټون وکړئ. 2. خپل .sof غوره کړئ file او بیا په ملکیت کلیک وکړئ.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 37

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳
a. د لاسلیک کولو وسیله فعاله کړئ. ب. د شخصي کیلي لپاره file خپل .pem غوره کړئ file. ج. د کوډ کولو وروستی کول فعال کړئ. d. د کوډ کولو کیلي لپاره file خپل .qek غوره کړئ file. e. مخکینۍ کړکۍ ته د راستنیدو لپاره په OK کلیک وکړئ. 3. د خپل PUF مرستندویه ډاټا مشخص کولو لپاره fileد خام معلوماتو اضافه کولو کلیک وکړئ. بدل کړئ Fileد کوارټس فزیکل انکلون ایبل فنکشن ته د ډراپ ډاون مینو ډول File (*.puf). خپل .puf ته لټون وکړئ file. که تاسو دواړه IID PUF او UDS IID PUF کاروئ، دا مرحله تکرار کړئ ترڅو .puf files د هر PUF لپاره د ننوتلو په توګه اضافه شوي files. 4. د خپل پوښل شوي AES کیلي مشخص کولو لپاره fileد خام معلوماتو اضافه کولو کلیک وکړئ. بدل کړئ Fileد کوارټس ریپډ کیلي ته د ډراپ ډاون مینو ډول File (*.wkey). خپل .wkey ته لټون وکړئ file. که تاسو د IID PUF او UDS IID PUF دواړو په کارولو سره د AES کیلي پوښلي وي، دا مرحله تکرار کړئ ترڅو .wkey files د هر PUF لپاره د ننوتلو په توګه اضافه شوي files.
شکل 10. ننوت مشخص کړئ Fileد ترتیب، تصدیق، او کوډ کولو لپاره

Bitstream اضافه کړئ خام ډاټا اضافه کړئ
ملکیتونه
شخصي کیلي file
د کوډ کولو وروستی کول د کوډ کولو کیلي
د کنفیګریشن وسیلې په ټب کې، لاندې انتخابونه وکړئ: 1. وسیلې اضافه کړئ کلیک وکړئ او د شته فلش له لیست څخه خپل فلش وسیله غوره کړئ.
وسایل 2. د ترتیب کولو وسیله غوره کړئ چې تاسو یې اوس اضافه کړې او د برخې اضافه کولو کلیک وکړئ. 3. د ان پټ لپاره د Edit Partition ډیالوګ بکس کې file او له دې څخه خپل .sof غوره کړئ
د ښکته کولو لیست. تاسو کولی شئ ډیفالټونه وساتئ یا نور پیرامیټونه د ترمیم برخې ډیالوګ بکس کې ترمیم کړئ.

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 38

فیډبیک واستوئ

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳
شکل 11. ستاسو د .sof کنفیګریشن Bitstream تقسیم مشخص کول

د تنظیم کولو وسیله
د .sof اضافه کول file

تقسیم اضافه کړئ

4. کله چې تاسو .puf او .wkey د انپټ په توګه اضافه کړئ files، د پروګرام کولو File جنریټر په اوتومات ډول ستاسو د تنظیم کولو وسیله کې د PUF برخه جوړوي. د PUF په برخه کې د .puf او .wkey ذخیره کولو لپاره، د PUF برخه وټاکئ او په ترمیم کلیک وکړئ. د Edit Partition ډیالوګ بکس کې، خپل .puf او .wkey غوره کړئ files د ښکته کولو لیستونو څخه. که تاسو د PUF برخه لرې کړئ، تاسو باید د پروګرام کولو لپاره د ترتیب کولو وسیله لیرې او بیا اضافه کړئ File د بل PUF ویش جوړولو لپاره جنریټر. تاسو باید ډاډ ترلاسه کړئ چې تاسو سم .puf او .wkey غوره کوئ file د IID PUF او UDS IID PUF لپاره په ترتیب سره.
شکل 12. puf او wkey اضافه کړئ fileد PUF برخې ته

د PUF ویش

سمون

د برخې ترمیم

فلش لوډر

تولید غوره کړئ

5. د فلش لوډر پیرامیټر لپاره د Intel Agilex 7 وسیلې کورنۍ او د وسیلې نوم غوره کړئ چې ستاسو د Intel Agilex 7 OPN سره سمون لري.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 39

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳
6. د تولید تولید لپاره په تولید کلیک وکړئ fileهغه چې تاسو په محصول کې مشخص کړی Fileد ټوپ.
7. پروګرام کول File جنراتور ستاسو .qek لولي file او تاسو ته د خپل پاسفریج لپاره هڅوي. د QEK پاسفریج پرامپټ ته د ننوتلو په ځواب کې خپل پاسفریز ولیکئ. د ننوتلو کیلي کلیک وکړئ.
8. کله چې د پروګرام کولو په وخت کې په OK کلیک وکړئ File جنراتور د بریالي نسل راپور ورکوي.
تاسو د QSPI فلش حافظې ته د QSPI برنامه کولو عکس لیکلو لپاره د Intel Quartus Prime Programmer کاروئ. 1. د Intel Quartus Prime Tools مینو کې پروګرامر غوره کړئ. 2. په پروګرامر کې، د هارډویر سیټ اپ کلیک وکړئ او بیا یو وصل شوی Intel غوره کړئ
د FPGA ډاونلوډ کیبل. 3. اضافه کلیک وکړئ File او خپل .jic ته لټون وکړئ file.
شکل 13. پروګرام .jic

برنامه کول file

برنامه / ترتیب کول

JTAG د سکین سلسله
4. د مرستندویه عکس سره تړلی بکس غیر انتخاب کړئ. 5. د .jic محصول لپاره پروګرام/تنظیم غوره کړئ file. 6. د خپل کواډ SPI فلش حافظې برنامه کولو لپاره د سټارټ بټن فعال کړئ. 7. خپل تخته د بریښنا سایکل کړئ. ډیزاین د کواډ SPI فلش حافظې ته برنامه شوی
وسیله بیا وروسته هدف FPGA ته باریږي.
تاسو باید د کواډ SPI فلش ته د PUF برخې اضافه کولو لپاره د فلش بشپړ پروګرام کولو عکس رامینځته او برنامه کړئ.
کله چې د PUF برخه لا دمخه په فلش کې شتون ولري ، نو دا ممکنه ده چې د Intel Quartus Prime Programmer وکاروئ ترڅو مستقیم د PUF مرستندویه ډیټا او پوښل شوي کیلي ته لاسرسی ومومئ. files. د مثال لپارهampکه چیرې فعالول ناکامه وي، نو دا ممکنه ده چې د PUF بیا نوم لیکنه وکړئ، د AES کیلي بیا وتړئ، او وروسته یوازې د PUF پروګرام کړئ files پرته له دې چې ټول فلش له سره ولیکل شي.

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 40

فیډبیک واستوئ

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳
د Intel Quartus Prime Programmer د PUF لپاره د لاندې عملیاتو دلیل ملاتړ کوي fileد مخکینۍ موجود PUF برخې کې:
· مخ: پروګرام
v: تصدیق کول
· r: پاکول
· ب: خالي چک
تاسو باید د PUF نوم لیکنې لپاره ورته محدودیتونه تعقیب کړئ، حتی که د PUF ویش شتون ولري.
1. د لومړي عملیاتو لپاره د پروویژن فرم ویئر مرستندویه عکس پورته کولو لپاره د i عملیاتو دلیل وکاروئ. د مثال لپارهample، د لاندې کمانډ ترتیب د PUF بیا نومول کیږي، د AES روټ کیلي بیا وتړئ، د PUF زوړ مرستندویه ډاټا او ریپډ کیلي پاک کړئ، بیا د نوي PUF مرستندویه ډاټا او د AES روټ کیلي پروګرام او تصدیق کړئ.
quartus_pgm -c 1 -mjtag -o "ei;new.puf;AGFB014R24A" quartus_pgm -c 1 -m jtag – ccert_file=signed_aes.ccert -o "e;new.wkey;AGFB014R24A" quartus_pgm -c 1 -m jtag -o "r;old.puf" quartus_pgm -c 1 -m jtag -o "r;old.wkey" quartus_pgm -c 1 -m jtag -o "p;new.puf" quartus_pgm -c 1 -m jtag -o "p;new.wkey" quartus_pgm -c 1 -m jtag -o "v;new.puf" quartus_pgm -c 1 -m jtag -o "v;new.wkey"
4.9.2.4. د داخلي ID PUF د فعالیت حالت پوښتنه کول
وروسته له دې چې تاسو د داخلي ID PUF نوم لیکنه وکړئ، د AES کیلي وتړئ، د فلش پروګرام جوړ کړئ files، او د کواډ SPI فلش تازه کړئ، تاسو د کوډ شوي بټ سټریم څخه د PUF فعالولو او ترتیب کولو لپاره خپل وسیله د بریښنا سایکل کړئ. SDM د ترتیب کولو حالت سره د PUF فعالیت حالت راپور ورکوي. که چیرې د PUF فعالیت ناکام شي، SDM پرځای د PUF خطا وضعیت راپور ورکوي. د ترتیب کولو وضعیت پوښتنې لپاره د quartus_pgm کمانډ وکاروئ.
1. د فعالولو حالت د پوښتنې لپاره لاندې کمانډ وکاروئ:
quartus_pgm -c 1 -mjtag - حیثیت - د وضعیت_ ډول = "CONFIG"
دلته دیampد بریالي فعالیت څخه پایله:
معلومات (21597): د CONFIG_STATUS وسیلې ځواب د کارونکي حالت کې روان دی 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 نسخه C000007B MSEL=QSPIn=VSPIn=VSPI_NOST=1V
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 د تېروتنې ځای 00000000 د تېروتنې توضیحات د PUF_STON=00002000SEOKDE2 ځواب 00000500 USER_IID STATUS=PUF_ACTIVATION_SUCCESS،
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS،
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 41

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳

که تاسو یوازې د IID PUF یا UDS IID PUF کاروئ، او د مرستندویه ډاټا پروګرام نه دی کړی. puf file په QSPI فلش کې د PUF لپاره، چې PUF نه فعالیږي او د PUF حالت منعکس کوي چې د PUF مرستندویه ډاټا اعتبار نلري. لاندې پخوانيample د PUF حالت ښیي کله چې د PUF مرستندویه معلومات د PUF لپاره نه وي پروګرام شوي:
د PUF_STATUS ځواب 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED،
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED،
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. په فلش حافظه کې د PUF موقعیت
د PUF موقعیت file د ډیزاینونو لپاره توپیر لري چې د RSU مالتړ کوي او ډیزاین چې د RSU خصوصیت ملاتړ نه کوي.

د ډیزاینونو لپاره چې د RSU ملاتړ نه کوي، تاسو باید .puf او .wkey شامل کړئ fileکله چې تاسو تازه شوي فلش انځورونه جوړ کړئ. د ډیزاینونو لپاره چې د RSU ملاتړ کوي ، SDM د فابریکې یا غوښتنلیک عکس تازه کولو پرمهال د PUF ډیټا برخې نه لیکي.

جدول 2.

د RSU ملاتړ پرته د فلش فرعي برخې ترتیب

فلش آفسیټ (په بایټس کې)

اندازه (په بایټس کې)

منځپانګې

تفصیل

0K 256K

256K 256K

د تنظیم کولو مدیریت فرم ویئر ترتیب مدیریت فرم ویئر

فرم ویئر چې په SDM چلیږي.

512K

256K

د تنظیم کولو مدیریت فرم ویئر

768K

256K

د تنظیم کولو مدیریت فرم ویئر

32K

د PUF ډیټا کاپي 0

د PUF مرستندویه ډیټا ذخیره کولو لپاره د ډیټا جوړښت او PUF پوښل شوي AES روټ کیلي کاپي 0

1M+32K

32K

د PUF ډیټا کاپي 1

د PUF مرستندویه ډیټا ذخیره کولو لپاره د ډیټا جوړښت او PUF پوښل شوي AES روټ کیلي کاپي 1

جدول 3.

د RSU ملاتړ سره د فلش فرعي برخې ترتیب

فلش آفسیټ (په بایټس کې)

اندازه (په بایټس کې)

منځپانګې

تفصیل

0K 512K

512K 512K

د پریکړې فرم ویئر پریکړه فرم ویئر

د لوړ لومړیتوب عکس پیژندلو او پورته کولو لپاره فرم ویئر.

1M 1.5M

512K 512K

د پریکړې فرم ویئر پریکړه فرم ویئر

8K + 24K

د پریکړې فرم ویئر ډاټا

پیډنګ

د پریکړې فرم ویئر کارولو لپاره ساتل شوی.

2M + 32K

32K

د SDM لپاره ساتل شوی

د SDM لپاره ساتل شوی.

2M + 64K

متغیر

د فابریکې انځور

یو ساده عکس چې تاسو د بیک اپ په توګه رامینځته کوئ که چیرې نور ټول غوښتنلیک عکسونه په بارولو کې پاتې راشي. پدې عکس کې CMF شامل دی چې په SDM کې پرمخ ځي.

بل

32K

د PUF ډیټا کاپي 0

د PUF مرستندویه ډیټا ذخیره کولو لپاره د ډیټا جوړښت او PUF پوښل شوي AES روټ کیلي کاپي 0
ادامه…

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 42

فیډبیک واستوئ

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳

فلش آفسیټ (په بایټس کې)

اندازه (په بایټس کې)

بل +32K 32K

منځپانګې PUF ډیټا کاپي 1

بل + 256K 4K بل +32K 4K بل +32K 4K

د فرعي برخې جدول کاپي 0 د فرعي برخې جدول کاپي 1 د CMF پوائنټر بلاک کاپي 0

بل +32K _

د CMF پوائنټر بلاک کاپي 1

متغیر متغیر

د غوښتنلیک انځور 1 د غوښتنلیک انځور 2

4.9.3. تور کلیدي چمتو کول

تفصیل
د PUF مرستندویه ډیټا ذخیره کولو لپاره د ډیټا جوړښت او PUF پوښل شوي AES روټ کیلي کاپي 1
د ډیټا جوړښت د فلش ذخیره کولو مدیریت اسانه کولو لپاره.
د لومړیتوب په ترتیب سره د غوښتنلیک عکسونو ته د اشارې لیست. کله چې تاسو یو انځور اضافه کړئ، دا انځور تر ټولو لوړ کیږي.
د غوښتنلیک عکسونو ته د اشارو لیست دوهم کاپي.
ستاسو د غوښتنلیک لومړی عکس.
ستاسو د دوهم غوښتنلیک عکس.

یادونه:

د Intel Quartus PrimeProgrammer د انټیل اګیلیکس 7 وسیلې او تور کیلي چمتو کولو خدمت ترمینځ دوه اړخیزه مستند شوي خوندي اړیکې رامینځته کولو کې مرسته کوي. خوندي پیوستون د https له لارې رامینځته شوی او د متن په کارولو سره پیژندل شوي ډیری سندونو ته اړتیا لري file.
کله چې د بلیک کیلي چمتو کول وکاروئ ، انټیل وړاندیز کوي چې تاسو د ریزسټر پورته کولو یا ښکته کولو لپاره د TCK پن له بهر سره وصل کولو څخه مخنیوی وکړئ پداسې حال کې چې لاهم د J لپاره کاروئ.TAG. په هرصورت، تاسو کولی شئ د TCK پن د VCCIO SDM بریښنا رسولو سره د 10 k ریزسټر په کارولو سره وصل کړئ. د پن اتصال لارښودونو کې موجود لارښود د TCK د 1 k پل-ډاون ریزسټر سره وصل کولو لپاره د شور فشار لپاره شامل دی. د 10 k پل اپ ریزسټر ته لارښود کې بدلون په وسیله په فعالیت اغیزه نه کوي. د TCK پن د نښلولو په اړه د نورو معلوماتو لپاره، د Intel Agilex 7 Pin Connection Guidelines وګورئ.
Thebkp_tls_ca_certificate ستاسو د تور کیلي چمتو کولو خدمت مثال ستاسو د تور کیلي چمتو کولو پروګرامر مثال ته تصدیق کوي. Thebkp_tls_* سندونه ستاسو د تور کیلي چمتو کولو پروګرامر مثال ستاسو د تور کیلي چمتو کولو خدمت مثال ته تصدیق کوي.
تاسو یو متن جوړ کړئ file د تور کیلي چمتو کولو خدمت سره وصل کولو لپاره د انټیل کوارټس پریم پروګرامر لپاره اړین معلومات لري. د تور کیلي چمتو کولو پیل کولو لپاره ، د تور کیلي چمتو کولو اختیارونو متن مشخص کولو لپاره د پروګرامر کمانډ لاین انٹرفیس وکاروئ file. د تور کیلي چمتو کول بیا په اوتومات ډول پرمخ ځي. د تور کیلي چمتو کولو خدمت او اړوندو اسنادو ته د لاسرسي لپاره ، مهرباني وکړئ د Intel ملاتړ سره اړیکه ونیسئ.
تاسو کولی شئ د thequartus_pgmcommand په کارولو سره د تور کیلي چمتو کول فعال کړئ:
quartus_pgm -c -m -device -bkp_options=bkp_options.txt
د کمانډ دلیلونه لاندې معلومات مشخص کوي:

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 43

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳

· -c: د کیبل شمیره · -m: د پروګرام کولو حالت مشخص کوي لکه JTAG · - وسیله: په J کې د وسیلې شاخص مشخص کويTAG زنځیر اصلي ارزښت 1 دی. · -bkp_options: یو متن مشخص کوي file د تور کلیدي چمتو کولو اختیارونه لري.
اړوند معلومات د Intel Agilex 7 وسیلې کورنۍ پن اتصال لارښوونې

4.9.3.1. د تور کلیدي چمتو کولو اختیارونه
د تور کلیدي چمتو کولو اختیارونه یو متن دی file د quartus_pgm کمانډ له لارې پروګرامر ته لیږدول شوی. د file د تور کلیدي چمتو کولو لپاره اړین معلومات لري.
لاندې یو پخوانی دیampد bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem_tls_prog_key = prog_key.pem_kp_prog_1234_kp_prog_key = prog_key.pem_kp_prog_192.167.5.5 جامې = https://5000:XNUMX bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

جدول 4.

د تور کلیدي چمتو کولو اختیارونه
دا جدول هغه اختیارونه ښیې چې د تور کیلي چمتو کولو لپاره اړین دي.

د اختیار نوم

ډول

تفصیل

bkp_ip

اړین دی

د سرور IP پته مشخص کوي چې د تور کیلي چمتو کولو خدمت پرمخ وړي.

bkp_port

اړین دی

د تور کلیدي چمتو کولو خدمت پورټ مشخص کوي چې سرور سره وصل کیدو لپاره اړین دی.

bkp_cfg_id

اړین دی

د تور کلیدي چمتو کولو ترتیب کولو جریان ID پیژني.
د تور کیلي چمتو کولو خدمت د تور کیلي چمتو کولو ترتیب کولو جریان رامینځته کوي پشمول د AES روټ کیلي ، مطلوب eFuse ترتیبات ، او نور تور کیلي چمتو کولو اختیار اختیارونه. د تور کیلي چمتو کولو خدماتو تنظیم کولو پرمهال ټاکل شوې شمیره د تور کیلي چمتو کولو ترتیب کولو جریان پیژني.
یادونه: ډیری وسیلې ممکن ورته تور کیلي چمتو کولو خدماتو ترتیب کولو جریان ته راجع شي.

bkp_tls_ca_cert

اړین دی

د روټ TLS سند د Intel Quartus Prime Programmer (پروګرامر) ته د تور کلیدي چمتو کولو خدماتو پیژندلو لپاره کارول کیږي. د تور کلیدي چمتو کولو خدمت مثال لپاره د اعتبار وړ سند اداره دا سند صادروي.
که تاسو په کمپیوټر کې د مایکروسافټ® وینډوز عملیاتي سیسټم (وینډوز) سره پروګرامر چلوئ، نو تاسو باید دا سند د وینډوز سند پلورنځي کې نصب کړئ.

bkp_tls_prog_cert

اړین دی

یو سند چې د تور کیلي چمتو کولو پروګرامر (BKP پروګرامر) مثال لپاره رامینځته شوی. دا د https پیرودونکي سند دی چې د دې BKP پروګرامر مثال پیژندلو لپاره کارول کیږي
ادامه…

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 44

فیډبیک واستوئ

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳

د اختیار نوم

ډول

bkp_tls_prog_key

اړین دی

bkp_tls_prog_key_pass اختیاري

bkp_proxy_address bkp_proxy_user bkp_proxy_password

اختیاري اختیاري اختیاري

تفصیل
د تور کیلي چمتو کولو خدمت ته. تاسو باید دا سند د تور کیلي چمتو کولو خدمت کې د تور کیلي چمتو کولو ناستې پیل کولو دمخه نصب او تصویب کړئ. که تاسو په وینډوز کې پروګرامر چلوئ، دا اختیار شتون نلري. په دې حالت کې، bkp_tls_prog_key لا دمخه دا سند لري.
شخصي کیلي د BKP پروګرامر سند سره مطابقت لري. کیلي د تور کلیدي چمتو کولو خدمت ته د BKP پروګرامر مثال تاییدوي. که تاسو په وینډوز کې پروګرامر چلوئ، .pfx file د bkp_tls_prog_cert سند او شخصي کیلي سره یوځای کوي. د bkp_tlx_prog_key انتخاب .pfx تېرېږي file په bkp_options.txt کې file.
د bkp_tls_prog_key شخصي کیلي لپاره پټنوم. د تور کیلي چمتو کولو ترتیب کولو اختیارونو (bkp_options.txt) متن کې اړتیا نشته file.
پراکسي سرور مشخص کوي URL پته
د پراکسي سرور کارن نوم مشخص کوي.
د پراکسي تصدیق پټنوم مشخص کوي.

4.10. د مالک روټ کیلي بدلول، د AES روټ کیلي سندونه، او فیوز fileد جام STAPL ته File شکلونه

تاسو کولی شئ د .qky، AES روټ کیلي .ccert، او .fuse بدلولو لپاره د quartus_pfg کمانډ لاین کمانډ وکاروئ fileد جام STAPL بڼه ته File (.jam) او د جام بایټ کوډ بڼه File (.jbc). تاسو کولی شئ دا وکاروئ fileد Intel FPGAs په ترتیب سره د جام STAPL پلیر او د جام سټاپیل بایټ کوډ پلیر په کارولو سره برنامه کول.

یو واحد .jam یا .jbc ډیری دندې لري پشمول د فرم ویئر مرستندویه عکس ترتیب او برنامه ، خالي چیک ، او د کیلي او فیوز پروګرام تصدیق کول.

احتیاط:

کله چې تاسو د AES روټ کیلي .ccert بدل کړئ file ته .jam بڼه، the .jam file په ساده متن کې د AES کیلي لري مګر په پټه بڼه. په پایله کې، تاسو باید د جام ساتنه وکړئ file کله چې د AES کیلي ذخیره کول. تاسو کولی شئ دا په خوندي چاپیریال کې د AES کیلي چمتو کولو له لارې ترسره کړئ.

دلته پخواني ديampد quartus_pfg د تبادلې امرونه:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jbc quartus_pfg - c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_devices014m_devices24_us014_fuse settings. pfg -c -o helper_device=AGFB24RXNUMXA ترتیبات. د فیوز ترتیبات_fuse.jbc

د آلې پروګرام کولو لپاره د جام سټاپ پلیر کارولو په اړه د نورو معلوماتو لپاره AN 425 ته مراجعه وکړئ: د وسیلې پروګرام کولو لپاره د کمانډ لاین جام سټاپل حل کارول.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 45

4. د وسایلو چمتو کول 683823 | ۲۰۲۳.۰۵.۲۳
د مالک روټ عامه کیلي او د AES کوډ کولو کیلي برنامه کولو لپاره لاندې کمانډونه چل کړئ:
// په FPGA کې د مرستندویه بټ سټریم بارولو لپاره. // مرستندویه بټ سټریم کې د پروویژن فرم ویئر quartus_jli -c 1 -a CONFIGURE RootKey.jam شامل دي
//د مالک روټ عامه کیلي په مجازی eFuses کې د پروګرام کولو لپاره quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//د مالک روټ عامه کیلي په فزیکي eFuses کې د پروګرام کولو لپاره quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
// د برنامه کولو لپاره د PR مالک ریټ عامه کیلي په مجازی eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
// د پروګرام کولو لپاره د PR مالک ریټ عامه کیلي په فزیکي eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
// د AES کوډ کولو کیلي CCERT په BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam کې د پروګرام کولو لپاره
// د AES کوډ کولو کیلي CCERT په فزیکي eFuses کې د پروګرام کولو لپاره quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
اړوند معلومات AN 425: د آلې پروګرام کولو لپاره د کمانډ لاین جام STAPL حل کارول

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 46

فیډبیک واستوئ

683823 | 2023.05.23 فیډبیک واستوئ

پرمختللي ځانګړتیاوې

5.1. د خوندي ډیبګ اجازه ورکول
د خوندي ډیبګ واک فعالولو لپاره ، د ډیبګ مالک اړتیا لري د تصدیق کلیدي جوړه رامینځته کړي او د وسیلې معلوماتو رامینځته کولو لپاره د Intel Quartus Prime Pro Programmer وکاروي. file د هغه وسیلې لپاره چې د ډیبګ عکس چلوي:
quartus_pgm -c 1 -mjtag -o "ei;device_info.txt;AGFB014R24A" -dev_info
د وسیلې مالک د quartus_sign وسیله یا د حوالې پلي کول کاروي ترڅو د لاسلیک زنځیر ته د شرطي عامه کیلي ننوتل ضمیمه کړي چې د ډیبګ مالک څخه د عامه کیلي په کارولو سره د ډیبګ عملیاتو لپاره ټاکل شوي ، اړین واکونه ، د وسیلې معلوماتو متن file، او د تطبیق وړ نور محدودیتونه:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –محدودیت″، 1,2,17,18=XNUMX، XNUMX، XNUMX، XNUMX، XNUMX، XNUMX، debug_authorization_public_key.pem safe_debug_auth_chain.qky
د وسیلې مالک د بشپړ لاسلیک سلسله بیرته د ډیبګ مالک ته لیږي ، څوک چې د لاسلیک سلسله او د دوی شخصي کیلي د ډیبګ عکس لاسلیک کولو لپاره کاروي:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
تاسو کولی شئ د دې لاسلیک شوي خوندي ډیبګ بټ سټریم هرې برخې د لاسلیک سلسلې معاینه کولو لپاره quartus_pfg کمانډ وکاروئ:
quartus_pfg -check_Integrity authorized_debug_design.rbf
د دې کمانډ محصول د شرطي عامه کیلي 1,2,17,18 محدودیت ارزښتونه چاپ کوي چې د لاسلیک شوي بټ سټریم رامینځته کولو لپاره کارول شوي.
د ډیبګ مالک بیا کولی شي په خوندي ډول مجاز ډیبګ ډیزاین برنامه کړي:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
د وسیلې مالک ممکن د خوندي ډیبګ اجازه لیک لاسلیک کولو سلسله کې ټاکل شوي د څرګند کلیدي منسوخ کولو ID لغوه کولو سره د خوندي ډیبګ اجازه لغوه کړي.
5.2. د HPS ډیبګ سندونه
د J له لارې د HPS ډیبګ لاسرسي بندر (DAP) ته یوازې مجاز لاسرسي فعالولTAG انٹرفیس څو مرحلو ته اړتیا لري:

ISO 9001:2015 ثبت شوی

5. پرمختللي ځانګړتیاوې 683823 | ۲۰۲۳.۰۵.۲۳
1. د Intel Quartus Prime Software Assignments مینو کې کلیک وکړئ او د وسیلې وسیله او د پن اختیارونو ترتیب کولو ټب غوره کړئ.
2. په کنفیګریشن ټب کې، د ډراپ ډاون مینو څخه د HPS پنونو یا SDM پنونو په غوره کولو سره د HPS ډیبګ لاسرسي پورټ (DAP) فعال کړئ، او ډاډ ترلاسه کړئ چې د سندونو پرته د HPS ډیبګ ته اجازه ورکړئ چیک باکس غوره شوی نه دی.
14 شکل. د HPS DAP لپاره یا هم HPS یا SDM پنونه مشخص کړئ

د HPS ډیبګ لاسرسي بندر (DAP)
په بدیل سره، تاسو کولی شئ لاندې دنده د Quartus Prime Settings .qsf کې تنظیم کړئ file:
set_global_assignment -نوم HPS_DAP_SPLIT_MODE "SDM PINS"
3. د دې ترتیباتو سره ډیزاین راټول او بار کړئ. 4. د HPS ډیبګ لاسلیک کولو لپاره د مناسبو اجازو سره د لاسلیک سلسله جوړه کړئ
سند:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_chain_key.pem.
5. د وسیلې څخه د غیر لاسلیک شوي HPS ډیبګ سند غوښتنه وکړئ چیرې چې د ډیبګ ډیزاین بار شوی وي:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. د quartus_sign وسیلې یا د حوالې پلي کولو او د HPS ډیبګ لاسلیک سلسله په کارولو سره د نه لاسلیک شوي HPS ډیبګ سند لاسلیک کړئ:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert لاسلیک شوی_hps_debug.cert

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 48

فیډبیک واستوئ

5. پرمختللي ځانګړتیاوې 683823 | ۲۰۲۳.۰۵.۲۳
7. لاسلیک شوی HPS ډیبګ سند بیرته وسیلې ته واستوئ ترڅو د HPS ډیبګ لاسرسي پورټ (DAP) ته لاسرسی وړ کړي:
quartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
د HPS ډیبګ سند یوازې د هغه وخت څخه اعتبار لري چې دا د وسیلې راتلونکي بریښنا دورې پورې رامینځته شوی وي یا تر هغه چې د SDM فرم ویئر مختلف ډول یا نسخه پورته نشي. تاسو باید د لاسلیک شوي HPS ډیبګ سند تولید ، لاسلیک او برنامه کړئ ، او د وسیلې د بریښنا سایکل چلولو دمخه ، ټول ډیبګ عملیات ترسره کړئ. تاسو ممکن د بریښنا سایکل چلولو وسیله د لاسلیک شوي HPS ډیبګ سند باطل کړئ.
5.3. د پلیټ فارم تصدیق
تاسو کولی شئ د حوالې بشپړتیا منشور (. ریم) رامینځته کړئ file د پروګرام کولو کارول file د جنراتور وسیله:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
ستاسو په ډیزاین کې د پلیټ فارم تصدیق کولو ډاډ ترلاسه کولو لپاره دا مرحلې تعقیب کړئ: 1. د خپل وسیله تنظیم کولو لپاره د Intel Quartus Prime Programmer وکاروئ.
ډیزاین تاسو لپاره د حوالې بشپړتیا منشور جوړ کړی. 2. ته د امرونو په صادرولو سره د وسیله ثبتولو لپاره د پلیټ فارم تصدیق تصدیق کونکي وکاروئ
د SDM میل باکس له لارې SDM د وسیلې ID سند او فرم ویئر سند د بیا بارولو پرمهال رامینځته کولو لپاره. 3. د ډیزاین سره خپل وسیله بیا تنظیمولو لپاره د Intel Quartus Prime Pro Programmer وکاروئ. 4. د تصدیق وسیلې ID، فرم ویئر، او عرف سندونو ترلاسه کولو لپاره SDM ته امر صادرولو لپاره د پلیټ فارم تصدیق تصدیق کونکي وکاروئ. 5. د تصدیق ثبوت ترلاسه کولو لپاره د SDM میل باکس کمانډ صادرولو لپاره د تصدیق تصدیق کونکي وکاروئ او تصدیق کونکی بیرته راستنیدونکي شواهد چیک کوي.
تاسو کولی شئ د SDM میل باکس کمانډونو په کارولو سره خپل خپل تصدیق کونکي خدمت پلي کړئ ، یا د Intel پلیټ فارم تصدیق تصدیق کونکي خدمت وکاروئ. د Intel پلیټ فارم تصدیق تصدیق کونکي خدمت سافټویر ، شتون ، او اسنادو په اړه د نورو معلوماتو لپاره ، د Intel ملاتړ سره اړیکه ونیسئ.
اړوند معلومات د Intel Agilex 7 وسیلې کورنۍ پن اتصال لارښوونې
5.4. فزیکي ضد Tamper
تاسو فزیکي ضد T فعال کړئampد لاندې ګامونو په کارولو سره ځانګړتیاوې: 1. کشف شوي ټ ته د مطلوب ځواب غوره کولamper پیښه 2. د مطلوب t ترتیب کولampد کشف میتودونه او پیرامیټونه 3. د ضد ضد په شمولamper IP ستاسو د ډیزاین منطق کې د ضد ضد اداره کولو کې مرسته کولو لپارهamper
پیښې

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 49

5. پرمختللي ځانګړتیاوې 683823 | ۲۰۲۳.۰۵.۲۳
5.4.1. ضد Tamper ځوابونه
تاسو فزیکي ضد T فعال کړئampد انټي t څخه د ځواب په ټاکلو سرهamper ځواب: د اسائنمنٹس وسیلې وسیلې او د پن اختیارونو امنیت ضد T کې د ډراپ ډاون لیستamper tab. په ترتیب سره، د ضدampځواب غیر فعال دی. د ضد ضد پنځه کټګورۍampځوابونه شتون لري. کله چې تاسو خپل مطلوب ځواب وټاکئ، د یو یا ډیرو کشف میتودونو فعالولو اختیارونه فعال شوي.
شکل 15. موجود انټي Tampد ځواب انتخابونه

د Quartus Prime په ترتیباتو کې اړونده دنده. gsf file لاندې دي:
set_global_assignment -نوم ANTI_TAMPER_RESPONSE "د خبرتیا وسیله د وسیلې لاک او صفر کول پاک کړئ"
کله چې تاسو د ضد ضد فعال کړئampپه ځواب کې، تاسو کولی شئ د تولید لپاره دوه موجود SDM وقف شوي I/O پنونه غوره کړئampد پیښې کشف او د غبرګون حالت د Assignments Device Device او Pin Options Configuration Configuration Pin Options کړکۍ په کارولو سره.

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 50

فیډبیک واستوئ

5. پرمختللي ځانګړتیاوې 683823 | ۲۰۲۳.۰۵.۲۳
شکل 16. د T لپاره د SDM وقف شوي I/O پنونو شتون لريampد پیښې کشف

تاسو کولی شئ په ترتیباتو کې لاندې پن دندې هم وکړئ file: set_global_assignment -نوم USE_TAMPER_DETECT SDM_IO15 set_global_assignment -نوم ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. ضد Tamper کشف

تاسو کولی شئ په انفرادي ډول فریکونسۍ، تودوخې، او حجم فعال کړئtagد SDM د کشف ځانګړتیاوې. د FPGA کشف د انټي T په شمول پورې اړه لريampستاسو په ډیزاین کې er Lite Intel FPGA IP.

یادونه:

د SDM فریکونسۍ او حجمtagetampد کشف میتودونه په داخلي حوالو او اندازه کولو هارډویر پورې اړه لري چې کولی شي په وسیلو کې توپیر ولري. Intel وړاندیز کوي چې تاسو د t چلند مشخص کړئampد کشف تنظیمات.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 51

5. پرمختللي ځانګړتیاوې 683823 | ۲۰۲۳.۰۵.۲۳
فریکونسی tampد er کشف د ترتیب کولو ساعت سرچینې کې کار کوي. د فریکونسۍ فعالولو لپاره tampد کشف کولو لپاره، تاسو باید د Assignments Device Device او Pin Options عمومي ټب کې د ترتیب کولو ساعت سرچینې ډراپ ډاون کې د داخلي اوسیلیټر پرته بل اختیار مشخص کړئ. تاسو باید ډاډ ترلاسه کړئ چې د داخلي اوسیلیټر چیک باکس څخه د چلولو ترتیب CPU د فریکونسۍ فعالولو دمخه فعال شوی.amper کشف. شکل 17. د داخلي آسیلیټر لپاره د SDM تنظیم کول
د فریکونسۍ فعالولو لپاره tampد کشف کولو لپاره، د فعال فریکونسۍ غوره کړئampد موندلو چک بکس او مطلوب فریکونسۍ غوره کړئampد ډراپ ډاون مینو څخه د کشف رینج. شکل 18. د فریکونسی T فعالولamper کشف

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 52

فیډبیک واستوئ

5. پرمختللي ځانګړتیاوې 683823 | ۲۰۲۳.۰۵.۲۳
په بدیل سره، تاسو کولی شئ د فریکونسی T فعال کړئampد Quartus Prime Settings .qsf کې د لاندې بدلونونو په کولو سره کشف کول file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -نوم RUN_CONFIG_CPU_FROM_INT_OSC ON set_QUE_Global_assignment - QUET_global_assignmentAMPER_DETECTION on set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
د حرارت درجه فعالولو لپارهampد کشف کولو وروسته، د تودوخې فعالول غوره کړئampد کشف بکس چیک کړئ او په اړوندو برخو کې د مطلوب تودوخې پورتنۍ او ښکته حدونه غوره کړئ. پورتنۍ او ښکته حدونه په ډیزاین کې د ټاکل شوي وسیلې لپاره د تودوخې اړوند حد سره په ډیفالټ ډول آباد شوي.
د حجم فعالولو لپارهtagetampد موندلو په صورت کې، تاسو د VCCL فعالول یو یا دواړه وټاکئtagetamper کشف یا فعال کړئ VCCL_SDM voltagetampد کشف بکسونه وټاکئ او مطلوب حجم غوره کړئtagetampد کشف محرک فیصدهtage په اړونده ساحه کې.
شکل 19. د فعالولو حجمtagاو ټيamper کشف

په بدیل سره، تاسو کولی شئ Voltagاو ټيampپه .qsf کې د لاندې دندې مشخص کولو له لارې کشف کول file:
set_global_assignment -نوم ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -نوم TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION on set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION آن
5.4.3. ضد Tamper Lite Intel FPGA IP
د ټيamper Lite Intel FPGA IP، د Intel Quartus Prime Pro Edition سافټویر کې د IP کتلاګ کې شتون لري، ستاسو د ډیزاین او SDM ترمنځ دوه اړخیز ارتباط اسانوي.ampپیښې.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 53

شکل 20. ضد Tamper Lite Intel FPGA IP

5. پرمختللي ځانګړتیاوې 683823 | ۲۰۲۳.۰۵.۲۳

IP لاندې سیګنالونه وړاندې کوي چې تاسو د اړتیا سره سم ستاسو ډیزاین سره وصل یاست:

جدول 5.

د T ضدamper Lite Intel FPGA IP I/O سیګنالونه

د سیګنال نوم

هدایت

تفصیل

gpo_sdm_at_event gpi_fpga_at_event

وتۍ وتنه

د FPGA فیبرک منطق ته د SDM سیګنال چې SDM یو t کشف کړیamper پیښه. د FPGA منطق نږدې 5ms لري ترڅو د مطلوب پاکولو ترسره کولو لپاره او د gpi_fpga_at_response_done او gpi_fpga_at_zeroization_done له لارې SDM ته ځواب ووایی. SDM د T سره پرمخ ځيampد ځواب عمل کله چې gpi_fpga_at_response_done ادعا کیږي یا وروسته له دې چې په ټاکل شوي وخت کې هیڅ ځواب ترلاسه نشي.
FPGA SDM ته مداخله کوي چې ستاسو د ضد ضد ډیزاین شویampد er کشف circuitry په کې کشف شویamper پیښه او د SDM tamper ځواب باید پیل شي.

gpi_fpga_at_response_done

داخلول

FPGA SDM ته مداخله کوي چې FPGA منطق مطلوب پاکول ترسره کړي.

gpi_fpga_at_zeroization_d یو

داخلول

SDM ته د FPGA سیګنال چې FPGA منطق د ډیزاین ډیټا هر ډول مطلوب صفر کول بشپړ کړي. دا سیګنال د sampرهبري کیږي کله چې gpi_fpga_at_response_done ادعا کیږي.

5.4.3.1. د معلوماتو خپرول

د IP نسخه سکیم (XYZ) شمیره د یو سافټویر نسخه څخه بل ته بدلوي. بدلون په کې:
X د IP لوی بیاکتنې ته اشاره کوي. که تاسو خپل Intel Quartus Prime سافټویر تازه کړئ، تاسو باید IP بیا تولید کړئ.
Y په ګوته کوي چې IP کې نوې ځانګړتیاوې شاملې دي. خپل IP بیا تولید کړئ ترڅو دا نوي ځانګړتیاوې شاملې کړي.
Z په ګوته کوي چې په IP کې کوچني بدلونونه شامل دي. خپل IP بیا تولید کړئ ترڅو دا بدلونونه شامل کړئ.

جدول 6.

د T ضدamper Lite Intel FPGA IP د خپرولو معلومات

IP نسخه

توکي

تفصیل 20.1.0

د Intel Quartus Prime نسخه

21.2

د خپریدو نیټه

2021.06.21

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 54

فیډبیک واستوئ

5. پرمختللي ځانګړتیاوې 683823 | ۲۰۲۳.۰۵.۲۳
5.5. د ریموټ سیسټم تازه کولو سره د ډیزاین امنیت ځانګړتیاوې کارول
د ریموټ سیسټم تازه کول (RSU) د Intel Agilex 7 FPGAs ځانګړتیا ده چې د ترتیب تازه کولو کې مرسته کوي fileپه غښتلي ډول. RSU د ډیزاین امنیت ب featuresو سره مطابقت لري لکه تصدیق کول ، د فرم ویئر شریک لاسلیک کول ، او د بټ سټریم کوډ کول ځکه چې RSU د بټ سټریمونو تنظیم کولو ډیزاین مینځپانګې پورې اړه نلري.
د .sof سره د RSU انځورونه جوړول Files
که تاسو په خپل محلي کې شخصي کیلي ذخیره کوئ fileسیسټم، تاسو کولی شئ د .sof سره د ساده جریان په کارولو سره د ډیزاین امنیتي ځانګړتیاو سره د RSU انځورونه تولید کړئ. fileد معلوماتو په توګه. د .sof سره د RSU عکسونو رامینځته کولو لپاره fileتاسو کولی شئ د ریموټ سیسټم تازه کولو عکس رامینځته کولو برخه کې لارښوونې تعقیب کړئ Fileد پروګرام کولو کارول File د Intel Agilex 7 کنفیګریشن کارن لارښود جنراتور. د هر .sof لپاره file په داخل کې مشخص شوی Fileپه ټب کې، د ملکیتونو تڼۍ کلیک وکړئ او د لاسلیک کولو او کوډ کولو وسیلو لپاره مناسب ترتیبات او کیلي مشخص کړئ. برنامه کول file د جنراتور وسیله په اتوماتيک ډول د فابریکې او غوښتنلیک عکسونه لاسلیک کوي او کوډ کوي پداسې حال کې چې د RSU برنامه رامینځته کوي files.
په بدیل سره، که تاسو په HSM کې شخصي کیلي ذخیره کوئ، تاسو باید د quartus_sign وسیله وکاروئ او له همدې امله .rbf وکاروئ. files. د دې برخې پاتې برخه د .rbf سره د RSU عکسونو رامینځته کولو لپاره جریان کې بدلونونه توضیح کوي fileد معلوماتو په توګه. تاسو باید کوډ کړئ او د .rbf بڼه لاسلیک کړئ fileد ان پټ په توګه د دوی غوره کولو دمخه fileد RSU انځورونو لپاره؛ په هرصورت، د RSU بوټ معلومات file باید کوډ شوی نه وي او پرځای یې یوازې لاسلیک شي. د پروګرام کولو File جنراتور د .rbf بڼه د ځانګړتیاوو د ترمیمولو ملاتړ نه کوي files.
لاندې پخوانيamples د ریموټ سیسټم تازه کولو عکس رامینځته کولو برخه کې امرونو ته اړین بدلونونه ښیې Fileد پروګرام کولو کارول File د انټیل اګیلیکس 7 تشکیلاتو کارونکي لارښود جنراتور.
د .rbf په کارولو سره د لومړني RSU انځور تولید کول Files: د قوماندې تعدیل
د .rbf په کارولو سره د لومړني RSU عکس رامینځته کولو څخه Files برخه، په 1 ګام کې امرونه تعدیل کړئ. د دې سند د پخوانیو برخو څخه د لارښوونو په کارولو سره د ډیزاین امنیتي ځانګړتیاوې فعالولو لپاره.
د مثال لپارهample، تاسو به یو لاسلیک شوی فرم ویئر مشخص کړئ file که تاسو د فرم ویئر کوزینګ کاروئ، نو د هر .rbf کوډ کولو لپاره د Quartus کوډ کولو وسیله وکاروئ file، او په نهایت کې د هر یو لاسلیک کولو لپاره د quartus_sign وسیله وکاروئ file.
په 2 مرحله کې، که تاسو د فرم ویئر شریک لاسلیک کول فعال کړي، تاسو باید د فابریکې عکس څخه د بوټ .rbf په جوړولو کې اضافي اختیار وکاروئ. file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
وروسته له دې چې تاسو د بوټ معلومات .rbf جوړ کړئ fileد .rbf لاسلیک کولو لپاره د quartus_sign وسیله وکاروئ file. تاسو باید د بوټ معلومات کوډ نکړئ .rbf file.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 55

5. پرمختللي ځانګړتیاوې 683823 | ۲۰۲۳.۰۵.۲۳
د غوښتنلیک عکس رامینځته کول: د کمانډ ترمیم
د ډیزاین امنیتي ځانګړتیاو سره د اپلیکیشن عکس رامینځته کولو لپاره ، تاسو د غوښتنلیک عکس رامینځته کولو کې کمانډ بدل کړئ ترڅو د .rbf ډیزاین امنیتي ځانګړتیاو سره فعاله کړئ ، په شمول د شریک لاسلیک شوي فرم ویئر په شمول که اړتیا وي د اصلي غوښتنلیک پرځای. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf safed_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
د فابریکې تازه عکس رامینځته کول: د کمانډ ترمیم
وروسته له دې چې تاسو د بوټ معلومات .rbf جوړ کړئ fileتاسو د .rbf لاسلیک کولو لپاره د quartus_sign وسیله کاروئ file. تاسو باید د بوټ معلومات کوډ نکړئ .rbf file.
د RSU فابریکې تازه عکس رامینځته کولو لپاره ، تاسو د .rbf کارولو لپاره د فابریکې تازه عکس رامینځته کولو کمانډ بدل کړئ file د ډیزاین امنیتي ب featuresو سره فعال شوي او د شریک لاسلیک شوي فرم ویئر کارولو ښودلو لپاره اختیار اضافه کړئ:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf safed_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
اړونده معلومات د Intel Agilex 7 ترتیب کارونکي لارښود
5.6. د SDM کریپټوګرافیک خدمتونه
په Intel Agilex 7 وسیلو کې SDM کریپټوګرافیک خدمات وړاندې کوي چې FPGA فیبرک منطق یا HPS ممکن د اړوند SDM میل باکس انٹرفیس له لارې غوښتنه وکړي. د ټولو SDM کریپټوګرافیک خدماتو لپاره د میل باکس کمانډونو او ډیټا فارمیټونو په اړه د نورو معلوماتو لپاره ، د Intel FPGAs او جوړښت شوي ASICs کارونکي لارښود لپاره د امنیت میتودولوژي کې ضمیمه B ته مراجعه وکړئ.
د SDM کریپټوګرافیک خدماتو لپاره د FPGA فیبرک منطق ته د SDM میل باکس انٹرفیس ته د لاسرسي لپاره ، تاسو باید په خپل ډیزاین کې د میل باکس پیرودونکي Intel FPGA IP انسټیټ کړئ.
د HPS څخه د SDM میل باکس انٹرفیس ته د لاسرسي لپاره د حوالې کوډ د Intel لخوا چمتو شوي ATF او لینکس کوډ کې شامل دی.
د اړونده معلوماتو میل باکس پیرودونکي Intel FPGA IP کارن لارښود
5.6.1. د پلورونکي مجاز بوټ
انټیل د HPS سافټویر لپاره د حوالې پلي کول چمتو کوي چې د پلورونکي مجاز بوټ فیچر کاروي ترڅو د لومړي s څخه د HPS بوټ سافټویر تصدیق کړي.tagد لینوکس کرنل ته د بوټ لوډر.
اړوند معلومات Intel Agilex 7 SoC خوندي بوټ ډیمو ډیزاین

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 56

فیډبیک واستوئ

5. پرمختللي ځانګړتیاوې 683823 | ۲۰۲۳.۰۵.۲۳
5.6.2. د خوندي ډاټا اعتراض خدمت
تاسو د SDM میل باکس له لارې امرونه لیږئ ترڅو د SDOS څیز کوډ کول او ډیکریپشن ترسره کړئ. تاسو کولی شئ د SDOS روټ کیلي چمتو کولو وروسته د SDOS ځانګړتیا وکاروئ.
اړوند معلومات په 30 مخ کې د خوندي ډیټا آبجیکٹ خدمت روټ کیلي چمتو کول
5.6.3. د SDM کریپټوګرافیک لومړني خدمتونه
تاسو د SDM میل باکس له لارې امرونه لیږئ ترڅو د SDM کریپټوګرافیک لومړني خدمت عملیات پیل کړئ. ځینې کریپټوګرافیک لومړني خدمتونه اړتیا لري چې د میل باکس انٹرفیس په پرتله د SDM څخه ډیر ډیټا د منلو وړ وي. په دې قضیو کې، د فارمیټ کمانډ بدلوي ترڅو په حافظه کې ډیټا ته اشاره وکړي. برسیره پردې، تاسو باید د میل باکس پیرودونکي Intel FPGA IP انسټیټیشن بدل کړئ ترڅو د FPGA فیبرک منطق څخه د SDM کریپټوګرافیک لومړني خدمتونه وکاروي. تاسو باید اضافي کریپټو خدمت پیرامیټر فعال کړئ 1 ته او د نوي افشا شوي AXI ابتکار انٹرفیس ستاسو په ډیزاین کې حافظې سره وصل کړئ.
شکل 21. د میل باکس پیرودونکي Intel FPGA IP کې د SDM کریپټوګرافیک خدماتو فعالول

۵.۷. د بټ سټریم امنیتي ترتیبات (FM/S5.7)
د FPGA Bitstream امنیت اختیارونه د پالیسیو ټولګه ده چې د ټاکل شوې مودې په اوږدو کې ټاکل شوې ځانګړتیا یا د عملیاتو حالت محدودوي.
د Bitstream امنیت اختیارونه د بیرغونو څخه جوړ دي چې تاسو د Intel Quartus Prime Pro Edition سافټویر کې تنظیم کړئ. دا بیرغونه په اتوماتيک ډول د ترتیب بټ سټریمونو کې کاپي شوي.
تاسو کولی شئ د اړونده امنیتي ترتیب eFuse کارولو له لارې په یوه وسیله کې د تل لپاره امنیتي اختیارونه پلي کړئ.
د بټ سټریم یا وسیلې eFuses په ترتیب کې د هر ډول امنیتي ترتیباتو کارولو لپاره ، تاسو باید د تصدیق فیچر فعال کړئ.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 57

5. پرمختللي ځانګړتیاوې 683823 | ۲۰۲۳.۰۵.۲۳
5.7.1. د امنیتي اختیارونو غوره کول او فعالول
د امنیتي انتخابونو د غوره کولو او فعالولو لپاره، لاندې کار وکړئ: د اسائنمینټ مینو څخه، د وسیلې وسیله او د پن اختیارونو امنیت نور اختیارونه غوره کړئ… شکل 22. د امنیتي اختیارونو غوره کول او فعالول

او بیا د امنیتي اختیارونو لپاره د ډراپ-ډاون لیستونو څخه ارزښتونه غوره کړئ چې تاسو یې فعال کول غواړئ لکه څنګه چې په لاندې مخ کې ښودل شويampLe:
23 شکل. د امنیتي انتخابونو لپاره د ارزښتونو غوره کول

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 58

فیډبیک واستوئ

5. پرمختللي ځانګړتیاوې 683823 | ۲۰۲۳.۰۵.۲۳
لاندې د Quartus Prime Settings .qsf کې ورته بدلونونه دي file:
set_global_assignment -نوم SECU_OPTION_DISABLE_JTAG "په چیک" سیټ_ګلوبل_اسائنمینټ -نوم SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE "ON STICKY" set_global_assignment -نوم SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC په set_global_assignment -نوم SECU_OPTION_blobal_assignment -نوم SECU_OPTION_blobal_assignment نوم TION_LOCK_SECURITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -نوم SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -نوم SECU_OPTION_DISABLE_HPS_DEBUG په نوم _ تفویض - نوم SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -نوم SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM پر set_global_assignment -نوم SECU_OPTION_DISABLE_PUF_WRAPPED_ENCY_EN

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 59

683823 | 2023.05.23 فیډبیک واستوئ

د ستونزو حل کول

دا فصل عام غلطۍ او د خبرتیا پیغامونه بیانوي چې تاسو ممکن د وسیلې د امنیت ځانګړتیاو کارولو هڅه کولو پرمهال ورسره مخ شئ او د حل لپاره یې اقدامات وکړئ.
6.1. د وینډوز چاپیریال تېروتنه کې د کوارټس کمانډ کارول
تېروتنه quartus_pgm: کمانډ ونه موندل شو تفصیل دا تېروتنه هغه وخت ښکاره کیږي کله چې د WSL په کارولو سره په وینډوز چاپیریال کې د NIOS II شیل کې د Quartus کمانډونو کارولو هڅه وکړئ. ریزولوشن دا کمانډ د لینکس چاپیریال کې کار کوي؛ د وینډوز کوربه لپاره ، لاندې کمانډ وکاروئ: quartus_pgm.exe -h په ورته ډول ، ورته ترکیب نورو Quartus Prime کمانډونو لکه quartus_pfg، quartus_sign، quartus_encrypt نورو کمانډونو کې پلي کړئ.

ISO 9001:2015 ثبت شوی

6. د ستونزو حل کول 683823 | ۲۰۲۳.۰۵.۲۳

6.2. د شخصي کلیدي خبرتیا پیدا کول

خبرداری:

ټاکل شوی پټنوم ناامنه ګڼل کیږي. Intel وړاندیز کوي چې لږترلږه د 13 حروف پاسورډ وکارول شي. تاسو ته سپارښتنه کیږي چې د OpenSSL اجرایوي په کارولو سره پټنوم بدل کړئ.

openssl ec -in - بهر -aes256

تفصیل
دا خبرداری د پټنوم ځواک سره تړاو لري او ښکاره کوي کله چې د لاندې کمانډونو په صادرولو سره د شخصي کیلي رامینځته کولو هڅه کوي:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

ریزولوشن د اوږد او پدې توګه قوي پټنوم مشخص کولو لپاره د اجرا وړ Openssl وکاروئ.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 61

6. د ستونزو حل کول 683823 | ۲۰۲۳.۰۵.۲۳
6.3. د کوارټس پروژې تېروتنې ته د لاسلیک کولو کیلي اضافه کول
تېروتنه…File د ریښی کلیدي معلومات لري ...
تفصیل
د لاسلیک کولو کیلي اضافه کولو وروسته .qky file د Quartus پروژې ته، تاسو اړتیا لرئ چې .sof بیا راټول کړئ file. کله چې تاسو دا بیا جوړ شوی .sof اضافه کړئ file د Quartus پروګرامر په کارولو سره ټاکل شوي وسیلې ته، لاندې خطا پیغام په ګوته کوي چې د file د ریښی کلیدي معلومات لري:
په اضافه کولو کې پاتې راغلیfile-path-name> پروګرامر ته. د file د روټ کلیدي معلومات لري (.qky). په هرصورت، پروګرامر د بټ سټریم لاسلیک کولو خصوصیت ملاتړ نه کوي. تاسو کولی شئ د پروګرام کولو څخه کار واخلئ File د بدلولو لپاره جنراتور file لاسلیک شوي خام بائنری ته file (.rbf) د ترتیب لپاره.
قرارداد
د Quartus پروګرام کولو څخه کار واخلئ file د بدلولو لپاره جنراتور file په لاسلیک شوي خام بائنری کې File .rbf د ترتیب لپاره.
په 13 مخ کې د quartus_sign کمانډ په کارولو سره اړوند معلومات لاسلیک کول ترتیب بټ سټریم

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 62

فیډبیک واستوئ

6. د ستونزو حل کول 683823 | ۲۰۲۳.۰۵.۲۳
6.4. د کوارټس پریم برنامه رامینځته کول File ناکامه وه
تېروتنه
تېروتنه (20353): د QKY څخه د عامه کیلي X د PEM شخصي کیلي سره سمون نلري file.
تېروتنه (20352): د python سکریپټ agilex_sign.py له لارې د بټ سټریم لاسلیک کولو کې پاتې راغلی.
تېروتنه: Quartus Prime Programming File جنراتور ناکام شو.
توضیحات که تاسو د غلط شخصي کیلي .pem په کارولو سره د بټ سټریم د ترتیب کولو لاسلیک کولو هڅه کوئ file یا یو .pem file چې په پروژه کې اضافه شوي .qky سره سمون نه خوري، پورتنۍ عام غلطی ښکاره کوي. حل ډاډ ترلاسه کړئ چې تاسو د بټ سټریم لاسلیک کولو لپاره سم شخصي کیلي .pem کاروئ.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 63

6. د ستونزو حل کول 683823 | ۲۰۲۳.۰۵.۲۳
6.5. د نامعلوم دلیل تېروتنې
تېروتنه
تېروتنه (23028): نامعلوم دلیل "ûc". د حقوقي دلیلونو لپاره مرسته ته مراجعه وکړئ.
تېروتنه (213008): د پروګرام کولو اختیار تار "ûp" غیرقانوني دی. مراجعه وکړئ -د قانوني پروګرام کولو اختیارونو فارمیټونو لپاره مرسته.
توضیحات که تاسو د .pdf څخه د کمانډ لاین اختیارونه کاپي او پیسټ کړئ file په وینډوز NIOS II شیل کې، تاسو ممکن د نامعلوم دلیل غلطۍ سره مخ شئ لکه څنګه چې پورته ښودل شوي. ریزولوشن په داسې قضیو کې ، تاسو کولی شئ په لاسي ډول د کلپ بورډ څخه د پیسټ کولو پرځای کمانډونه دننه کړئ.

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 64

فیډبیک واستوئ

6. د ستونزو حل کول 683823 | ۲۰۲۳.۰۵.۲۳
6.6. د بټ سټریم کوډ کولو اختیار غیر فعاله تېروتنه
تېروتنه
د دې لپاره کوډ کول حتمي نشي کولی file ډیزاین .sof ځکه چې دا د بټ سټریم کوډ کولو اختیار غیر فعال کولو سره تنظیم شوی و.
توضیحات که تاسو د GUI یا کمانډ لاین له لارې د بټ سټریم کوډ کولو هڅه وکړئ وروسته له دې چې تاسو د بټ سټریم کوډ کولو اختیار غیر فعالولو سره پروژه تالیف کړه ، کوارټس کمانډ ردوي لکه څنګه چې پورته ښودل شوي.
ریزولوشن ډاډ ترلاسه کړئ چې تاسو پروژه د بټ سټریم کوډ کولو اختیار سره د GUI یا کمانډ لاین له لارې فعاله کړئ. په GUI کې د دې اختیار د فعالولو لپاره، تاسو باید د دې اختیار لپاره چک بکس وګورئ.

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 65

6. د ستونزو حل کول 683823 | ۲۰۲۳.۰۵.۲۳
6.7. کیلي ته د سمې لارې مشخص کول
تېروتنه
تېروتنه (19516): کشف شوی برنامه File د جنراتور ترتیباتو تېروتنه: 'کی_ نه موندل کیدی شي'file'. ډاډ ترلاسه کړئ چې file په متوقع ځای کې موقعیت لري یا setting.sec تازه کړئ
تېروتنه (19516): کشف شوی برنامه File د جنراتور ترتیباتو تېروتنه: 'کی_ نه موندل کیدی شي'file'. ډاډ ترلاسه کړئ چې file په تمه شوي ځای کې موقعیت لري یا ترتیب تازه کړئ.
تفصیل
که تاسو هغه کیلي کاروئ چې په کې زیرمه شوي file سیسټم، تاسو اړتیا لرئ ډاډ ترلاسه کړئ چې دوی د بټ سټریم کوډ کولو او لاسلیک کولو لپاره کارول شوي کیلي لپاره سمه لاره مشخصوي. که د پروګرام کولو File جنریټر نشي کولی سمه لاره ومومي، پورته خطا پیغامونه ښکاره کوي.
قرارداد
د Quartus Prime Settings .qsf ته مراجعه وکړئ file د کیلي لپاره سمې لارې موندلو لپاره. ډاډ ترلاسه کړئ چې تاسو د مطلق لارو پرځای اړونده لارې کاروئ.

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 66

فیډبیک واستوئ

6. د ستونزو حل کول 683823 | ۲۰۲۳.۰۵.۲۳
6.8. د نه ملاتړ شوي محصول کارول File ډول
تېروتنه
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o لاسلیک کول = ON -o pem_file=sign_private.pem
تېروتنه (19511): نه ملاتړ شوی محصول file ډول (ebf). د ملاتړ شوي ښودلو لپاره "-l" یا "-list" اختیار وکاروئ file ډول معلومات.
تفصیل د Quartus برنامه کارولو پرمهال File د کوډ شوي او لاسلیک شوي ترتیب بټ سټریم رامینځته کولو لپاره جنریټر ، تاسو ممکن پورتنۍ تېروتنه وګورئ که یو غیر ملاتړ شوی محصول file ډول مشخص شوی دی. ریزولوشن د ملاتړ شوي لیست لیدو لپاره -l یا -list اختیار وکاروئ file ډولونه

فیډبیک واستوئ

Intel Agilex® 7 د وسیلې امنیت کارونکي لارښود 67

683823 | 2023.05.23 فیډبیک واستوئ
7. Intel Agilex 7 Device Security User Guide Archives
د دې کارن لارښود د وروستي او پخوانیو نسخو لپاره، د Intel Agilex 7 Device Security User Guide ته مراجعه وکړئ. که چیرې د IP یا سافټویر نسخه لیست نه وي، د مخکینۍ IP یا سافټویر نسخه لپاره د کارونکي لارښود پلي کیږي.

ISO 9001:2015 ثبت شوی

683823 | 2023.05.23 فیډبیک واستوئ

8. د Intel Agilex 7 وسیلې امنیت کارونکي لارښود لپاره د بیاکتنې تاریخ

د سند نسخه 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

اسناد / سرچینې

د Intel Agilex 7 وسیلې امنیت [pdf] د کارونکي لارښود
Agilex 7 د وسیلې امنیت، Agilex 7، د وسیلې امنیت، امنیت

حوالې

د کارن لارښود

د Intel Agilex 7 وسیلې امنیت

د محصول معلومات

د محصول کارولو لارښوونې

په مکرر ډول پوښتل شوي پوښتنې

د وسیلې امنیت پای ته ورسیدview

تصدیق او واک ورکول

د AES بټ سټریم کوډ کول

د وسیلې چمتو کول

پرمختللي ځانګړتیاوې

د ستونزو حل کول

اسناد / سرچینې

حوالې

یو نظر پریږدئ

ځواب لغوه کړئ