Intel Agilex 7 ڊوائيس سيڪيورٽي يوزر دستياب

Intel پراڊڪٽ سيڪيورٽي لاءِ پرعزم آهي ۽ صارفين کي پيش ڪيل پراڊڪٽ سيڪيورٽي وسيلن سان پاڻ کي واقف ڪرڻ جي سفارش ڪري ٿو. انهن وسيلن کي استعمال ڪيو وڃي سڄي زندگي Intel پراڊڪٽ جي.

2. منصوبابندي ڪيل سيڪيورٽي خاصيتون

هيٺيون حفاظتي خاصيتون منصوبا آهن مستقبل جي رليز لاءِ Intel Quartus Prime Pro Edition سافٽ ويئر:

جزوي ريڪنفيگريشن بٽ اسٽريم سيڪيورٽي جي تصديق: اضافي اطمينان فراهم ڪري ٿي ته جزوي ريڪنفيگريشن (پي آر) بٽ اسٽريم ٻين پي آر پرسنا بٽ اسٽريمز تائين رسائي يا مداخلت نٿا ڪري سگهن.

جسماني اينٽي ٽي لاءِ ڊوائيس خود مارڻamper: ڊوائيس وائپ يا ڊوائيس صفرائيزيشن جي جواب کي انجام ڏئي ٿو ۽ ڊوائيس کي ٻيهر ترتيب ڏيڻ کان روڪڻ لاءِ eFuses پروگرام ڪري ٿو.

3. دستياب سيڪيورٽي دستاويز

هيٺ ڏنل جدول Intel FPGA ۽ Structured ASIC ڊوائيسز تي ڊيوائس سيڪيورٽي فيچرز لاءِ دستياب دستاويزن جي لسٽ ڪري ٿو:

دستاويز جو نالو	مقصد
Intel FPGAs ۽ Structured ASICs استعمال ڪندڙ لاءِ سيڪيورٽي طريقا ھدايت	اعلي سطحي دستاويز جيڪي تفصيلي وضاحت فراهم ڪن ٿا سيڪيورٽي خاصيتون ۽ ٽيڪنالاجيون Intel Programmable Solutions ۾ مصنوعات. صارفين کي ضروري حفاظتي خاصيتون چونڊڻ ۾ مدد ڪري ٿي انهن جي حفاظتي مقصدن کي پورا ڪرڻ.
Intel Stratix 10 Device Security User Guide	Intel Stratix 10 ڊوائيسز جي استعمال ڪندڙن لاءِ هدايتون لاڳو ڪرڻ لاءِ سيڪيورٽي خاصيتن جي سڃاڻپ حفاظتي طريقي سان استعمال ڪندي استعمال ڪندڙ ھدايت.
Intel Agilex 7 ڊوائيس سيڪيورٽي يوزر گائيڊ	Intel Agilex 7 ڊوائيسز جي استعمال ڪندڙن لاء هدايتون لاڳو ڪرڻ لاء سيڪيورٽي خاصيتن جي سڃاڻپ حفاظتي طريقي سان استعمال ڪندي استعمال ڪندڙ ھدايت.
Intel eASIC N5X ڊوائيس سيڪيورٽي يوزر گائيڊ	Intel eASIC N5X ڊوائيسز جي استعمال ڪندڙن لاءِ هدايتون لاڳو ڪرڻ لاءِ سيڪيورٽي خاصيتن جي سڃاڻپ حفاظتي طريقي سان استعمال ڪندي استعمال ڪندڙ ھدايت.
Intel Agilex 7 ۽ Intel eASIC N5X HPS Cryptographic خدمتون استعمال ڪندڙ ھدايت	HPS سافٽ ويئر انجنيئرن لاءِ معلومات لاڳو ڪرڻ تي ۽ Cryptographic خدمتن تائين رسائي حاصل ڪرڻ لاءِ HPS سافٽ ويئر لائبريرين جو استعمال SDM پاران مهيا ڪيل.
AN-968 Black Key Provisioning Service Quick Start Guide	بليڪ ڪيئي مهيا ڪرڻ لاءِ قدمن جو مڪمل سيٽ خدمت.

اڪثر پڇيا ويا سوال

سوال: حفاظتي طريقو استعمال ڪندڙ گائيڊ جو مقصد ڇا آهي؟

ج: سيڪيورٽي ميٿڊالوجي يوزر گائيڊ انٽيل پروگراميبل حل پراڊڪٽس ۾ سيڪيورٽي خاصيتن ۽ ٽيڪنالاجيز جي تفصيلي وضاحت فراهم ڪري ٿي. اهو صارفين کي انهن جي حفاظتي مقصدن کي پورا ڪرڻ لاء ضروري حفاظتي خاصيتون چونڊڻ ۾ مدد ڪري ٿو.

عبرت: مان ڪٿي ڳولي سگهان ٿو Intel Agilex 7 ڊيوائس سيڪيورٽي يوزر گائيڊ؟

ج: Intel Agilex 7 Device Security User Guide ڳولي سگھجي ٿو Intel Resource and Design Center تي webسائيٽ.

عبرت: ڪاري ڪنجي فراهم ڪرڻ جي خدمت ڇا آهي؟

A: Black Key Provisioning service هڪ خدمت آهي جيڪا مهيا ڪري ٿي هڪ مڪمل سيٽ اپ ڪرڻ لاءِ قدمن جو مڪمل سيٽ اپ ڪرڻ لاءِ اهم روزي کي محفوظ آپريشن لاءِ.

View Fullscreen

Intel Agilex® 7 ڊيوائس سيڪيورٽي يوزر گائيڊ
Intel® Quartus® Prime Design Suite لاءِ اپڊيٽ ڪيو ويو: 23.1

آن لائين ورزن موٽ موڪليو

يو جي-20335

683823 2023.05.23

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 2

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 3

683823 | 2023.05.23 موٽ موڪليو
1. Intel Agilex® 7

ڊوائيس سيڪيورٽي ختمview

Intel® ڊيزائن ڪري ٿو Intel Agilex® 7 ڊيوائسز سان وقف ٿيل، انتهائي ترتيب واري سيڪيورٽي هارڊويئر ۽ فرم ویئر سان.
هي دستاويز توهان جي Intel Agilex 7 ڊوائيسز تي حفاظتي خاصيتون لاڳو ڪرڻ لاءِ Intel Quartus® Prime Pro Edition سافٽ ويئر استعمال ڪرڻ ۾ مدد لاءِ هدايتون تي مشتمل آهي.
اضافي طور تي، Intel FPGAs ۽ Structured ASICs يوزر گائيڊ لاءِ حفاظتي طريقو Intel Resource & Design Center تي موجود آهي. هي دستاويز تفصيلي تفصيل تي مشتمل آهي حفاظتي خاصيتون ۽ ٽيڪنالاجيون جيڪي دستياب آهن Intel Programmable Solutions پراڊڪٽس ذريعي توهان جي حفاظتي مقصدن کي پورا ڪرڻ لاءِ ضروري حفاظتي خاصيتون چونڊڻ ۾ مدد لاءِ. انٽيل سپورٽ سان رابطو ڪريو ريفرنس نمبر 14014613136 انٽيل FPGAs ۽ Structured ASICs يوزر گائيڊ لاءِ حفاظتي طريقي جي رسائي حاصل ڪرڻ لاءِ.
دستاويز هن ريت ترتيب ڏنل آهي: · تصديق ۽ اختيار: ٺاهڻ لاءِ هدايتون مهيا ڪري ٿي
Intel Agilex 7 ڊوائيسز تي تصديق جي چاٻيون ۽ دستخطي زنجير، اجازتون ۽ رد ڪرڻ، نشانيون شيون، ۽ پروگرام جي تصديق جون خاصيتون لاڳو ڪريو. · AES Bitstream Encryption: AES روٽ ڪيچ ٺاهڻ لاءِ هدايتون مهيا ڪري ٿي، بٽ اسٽريمز کي انڪرپٽ ڪنفيگريشن، ۽ AES روٽ ڪيئي کي Intel Agilex 7 ڊوائيسز لاءِ مهيا ڪري ٿي. · ڊوائيس فراهم ڪرڻ: Intel Quartus Prime Programmer ۽ Secure Device Manager (SDM) روزي واري فرم ویئر کي استعمال ڪرڻ لاءِ هدايتون مهيا ڪري ٿي Intel Agilex 7 ڊوائيسز تي حفاظتي خصوصيتن کي پروگرام ڪرڻ لاءِ. · ڳوڙھي خاصيتون: ھدايتون مهيا ڪري ٿي فعال ڪرڻ لاءِ اعليٰ حفاظتي خصوصيتن، بشمول محفوظ ڊيبگ اختيار ڪرڻ، هارڊ پروسيسر سسٽم (HPS) ڊيبگ، ۽ ريموٽ سسٽم اپڊيٽ.
1.1. پراڊڪٽ سيڪيورٽي لاءِ عزم
سيڪيورٽي لاءِ انٽيل جي ڊگهي عرصي وارو عزم ڪڏهن به مضبوط نه رهيو آهي. Intel سختي سان سفارش ڪري ٿو ته توهان اسان جي پراڊڪٽ سيڪيورٽي وسيلن کان واقف ٿي وڃو ۽ انهن کي پنهنجي Intel پراڊڪٽ جي سڄي زندگي استعمال ڪرڻ جو منصوبو ٺاهيو.
لاڳاپيل معلومات · پراڊڪٽ سيڪيورٽي تي Intel · Intel Product Security Center Advisories

Intel Corporation. سڀ حق محفوظ آهن. Intel، Intel لوگو، ۽ ٻيا Intel نشان آھن Intel Corporation يا ان جي ماتحت ادارن جا ٽريڊ مارڪ. Intel وارنٽي ڏئي ٿو پنهنجي FPGA ۽ سيمڪنڊڪٽر پروڊڪٽس جي ڪارڪردگي کي موجوده وضاحتن مطابق Intel جي معياري وارنٽي مطابق، پر ڪنهن به وقت بغير اطلاع جي ڪنهن به پروڊڪٽس ۽ خدمتن ۾ تبديليون ڪرڻ جو حق محفوظ رکي ٿو. Intel هتي بيان ڪيل ڪنهن به معلومات، پراڊڪٽ، يا خدمت جي ايپليڪيشن يا استعمال مان پيدا ٿيندڙ ڪابه ذميواري يا ذميواري قبول نه ڪندو آهي سواءِ انٽيل طرفان لکڻ ۾ واضح طور تي اتفاق ڪيو ويو. Intel گراهڪن کي صلاح ڏني وئي آهي ته ڪنهن به شايع ٿيل معلومات تي ڀروسو ڪرڻ کان پهريان ۽ پروڊڪٽس يا خدمتن لاءِ آرڊر ڏيڻ کان پهريان ڊوائيس جي وضاحتن جو جديد نسخو حاصل ڪن. * ٻيا نالا ۽ برانڊ ٻين جي ملڪيت طور دعوي ڪري سگھن ٿا.

ISO 9001:2015 رجسٽر ٿيل

1. Intel Agilex® 7 Device Security Overview 683823 | 2023.05.23

1.2. منصوبابندي ڪيل سيڪيورٽي خاصيتون

هن حصي ۾ ذڪر ڪيل خاصيتون Intel Quartus Prime Pro Edition سافٽ ويئر جي مستقبل جي رليز لاءِ رٿيل آهن.

نوٽ:

هن حصي ۾ معلومات ابتدائي آهي.

1.2.1. جزوي ٻيهر ترتيب ڏيڻ Bitstream سيڪيورٽي جي تصديق
جزوي ريڪنفيگريشن (PR) بٽ اسٽريم سيڪيورٽي جي تصديق اضافي اطمينان مهيا ڪرڻ ۾ مدد ڪري ٿي ته پي آر پرسنا بٽ اسٽريم ٻين پي آر پرسنا بٽ اسٽريمز تائين رسائي يا مداخلت نٿا ڪري سگهن.

1.2.2. جسماني اينٽي ٽي لاءِ ڊوائيس خود مارڻamper
ڊيوائس سيلف-ڪِل ڊيوائس وائپ يا ڊيوائس کي صفر ڪرڻ جو جواب ڏئي ٿو ۽ ان کان علاوه پروگرام eFuses ڪري ٿو ته جيئن ڊوائيس کي ٻيهر ترتيب ڏيڻ کان روڪي سگهجي.

1.3. دستياب سيڪيورٽي دستاويز

هيٺ ڏنل جدول Intel FPGA ۽ Structured ASIC ڊوائيسز تي ڊيوائس سيڪيورٽي خاصيتن لاءِ موجود دستاويزن کي ڳڻائي ٿو:

ٽيبل 1.

دستياب ڊيوائس سيڪيورٽي دستاويز

دستاويز جو نالو
Intel FPGAs ۽ Structured ASICs يوزر گائيڊ لاءِ سيڪيورٽي طريقا

مقصد
اعليٰ سطحي دستاويز جنهن ۾ سيڪيورٽي خاصيتن ۽ ٽيڪنالاجيز جا تفصيلي تفصيل شامل آهن Intel Programmable Solutions Products. توهان جي حفاظتي مقصدن کي پورا ڪرڻ لاءِ ضروري حفاظتي خاصيتون چونڊڻ ۾ توهان جي مدد ڪرڻ جو ارادو ڪيو.

دستاويز جي سڃاڻپ 721596

Intel Stratix 10 Device Security User Guide
Intel Agilex 7 ڊوائيس سيڪيورٽي يوزر گائيڊ

Intel Stratix 10 ڊوائيسز جي استعمال ڪندڙن لاءِ، ھي ھدايتون شامل آھن استعمال ڪرڻ لاءِ Intel Quartus Prime Pro Edition سافٽ ويئر استعمال ڪرڻ لاءِ سڪيورٽي خاصيتن کي لاڳو ڪرڻ لاءِ جيڪي سڪيورٽي ميٿڊولوجي يوزر گائيڊ استعمال ڪندي سڃاتل آھن.
Intel Agilex 7 ڊوائيسز جي استعمال ڪندڙن لاءِ، ھي ھدايتون شامل آھن Intel Quartus Prime Pro Edition سافٽ ويئر استعمال ڪرڻ لاءِ حفاظتي خاصيتون لاڳو ڪرڻ لاءِ جيڪي سڪيورٽي ميٿڊولوجي يوزر گائيڊ استعمال ڪندي سڃاتل آھن.

683642 683823

Intel eASIC N5X ڊوائيس سيڪيورٽي يوزر گائيڊ

Intel eASIC N5X ڊوائيسز جي استعمال ڪندڙن لاءِ، ھي ھدايتون شامل آھن Intel Quartus Prime Pro Edition سافٽ ويئر استعمال ڪرڻ لاءِ حفاظتي خاصيتون لاڳو ڪرڻ لاءِ جيڪي سڪيورٽي ميٿڊولوجي يوزر گائيڊ استعمال ڪندي سڃاتل آھن.

626836

Intel Agilex 7 ۽ Intel eASIC N5X HPS Cryptographic Services User Guide

هي گائيڊ HPS سافٽ ويئر انجنيئرن جي مدد ڪرڻ لاءِ معلومات تي مشتمل آهي HPS سافٽ ويئر لائبريرين کي لاڳو ڪرڻ ۽ استعمال ڪرڻ ۾ SDM پاران مهيا ڪيل ڪرپٽوگرافڪ خدمتن تائين رسائي حاصل ڪرڻ لاءِ.

713026

AN-968 Black Key Provisioning Service Quick Start Guide

هي گائيڊ بليڪ ڪيئي پرووائيسنگ سروس قائم ڪرڻ لاءِ قدمن جي مڪمل سيٽ تي مشتمل آهي.

739071

مقام Intel Resource and
ڊيزائن سينٽر
Intel.com
Intel.com
Intel Resource and Design Center
Intel Resource and Design Center
Intel Resource and Design Center

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 5

683823 | 2023.05.23 موٽ موڪليو

تصديق ۽ اختيار

هڪ Intel Agilex 7 ڊوائيس جي تصديق جي خاصيتن کي فعال ڪرڻ لاء، توهان استعمال ڪندي شروع ڪيو Intel Quartus Prime Pro Edition سافٽ ويئر ۽ لاڳاپيل اوزار هڪ دستخطي زنجير ٺاهڻ لاءِ. هڪ دستخطي زنجير هڪ روٽ چيڪ، هڪ يا وڌيڪ دستخطي چابيون، ۽ قابل اطلاق اختيارات تي مشتمل آهي. توهان پنهنجي Intel Quartus Prime Pro Edition پروجيڪٽ ۽ مرتب ڪيل پروگرامنگ تي دستخطي زنجير لاڳو ڪريو fileايس. Intel Agilex 7 ڊوائيسز ۾ پنھنجي روٽ ڪيئي کي پروگرام ڪرڻ لاءِ ڊيوائس پرووائسنگ ۾ ڏنل ھدايتون استعمال ڪريو.
لاڳاپيل معلومات
صفحي 25 تي ڊوائيس جي فراهمي

2.1. هڪ دستخط زنجير ٺاهڻ
توھان استعمال ڪري سگھو ٿا quartus_sign ٽول يا agilex_sign.py ريفرنس لاڳو ڪرڻ لاءِ دستخطي زنجير جي عملن کي انجام ڏيڻ لاءِ. هي دستاويز پيش ڪري ٿو examples quartus_sign استعمال ڪندي.
ريفرنس تي عمل درآمد کي استعمال ڪرڻ لاءِ، توهان انٽيل ڪوارٽس پرائم سافٽ ويئر سان شامل پٿون مترجم کي ڪال ڪريو ۽ ختم ڪريو -family=agilex آپشن؛ ٻيا سڀ اختيار برابر آهن. مثال طورample، quartus_sign حڪم هن حصي ۾ بعد ۾ مليو
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky کي ھيٺ ڏنل حوالن تي عمل ڪرڻ جي برابر ڪال ۾ تبديل ڪري سگھجي ٿو
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Intel Quartus Prime Pro Edition سافٽ ويئر ۾ quartus_sign، pgm_py، ۽ agilex_sign.py جا اوزار شامل آھن. توھان استعمال ڪري سگھو ٿا Nios® II ڪمانڊ شيل ٽول، جيڪو خودڪار طريقي سان ترتيب ڏئي ٿو مناسب ماحوليات کي اوزار تائين رسائي حاصل ڪرڻ لاءِ.

انهن هدايتن تي عمل ڪريو هڪ Nios II حڪم شيل آڻڻ لاء. 1. هڪ Nios II ڪمانڊ شيل آڻيو.

اختيار ونڊوز
لينڪس

وصف
شروع مينيو تي، پروگرام Intel FPGA Nios II EDS ڏانهن اشارو ڪيو ۽ ڪلڪ ڪريو Nios II ڪمانڊ شيل.
ڪمانڊ شيل ۾ تبديل ڪريو /nios2eds ۽ ھيٺ ڏنل حڪم ھلايو:
./nios2_command_shell.sh

سابقamples هن سيڪشن ۾ دستخط جي زنجير ۽ ترتيب واري بٽ اسٽريم کي فرض ڪريو files موجوده ڪم ڪندڙ ڊاريڪٽري ۾ واقع آهن. جيڪڏهن توهان اڳوڻي جي پيروي ڪرڻ لاء چونڊيو ٿاampجتي اهم files تي رکيل آهن file سسٽم، اهي اڳamples اهم فرض files آهن

ISO 9001:2015 رجسٽر ٿيل

2. تصديق ۽ اختيار 683823 | 2023.05.23
موجوده ڪم ڪندڙ ڊاريڪٽري ۾ واقع آهي. توھان چونڊي سگھوٿا ڪھڙي ڊائريڪٽري استعمال ڪرڻ لاءِ، ۽ اوزار ساٿ ڏين ٿا لاڳاپو file رستا جيڪڏھن توھان چاھيو رکڻ لاءِ چونڊيو files تي file سسٽم، توهان کي احتياط سان انهن تائين رسائي جي اجازتن کي منظم ڪرڻ گهرجي files.
Intel سفارش ڪري ٿو ته تجارتي طور تي دستياب هارڊويئر سيڪيورٽي ماڊل (HSM) استعمال ڪيو وڃي cryptographic keys کي ذخيرو ڪرڻ ۽ cryptographic آپريشن ڪرڻ لاءِ. quartus_sign ٽول ۽ ريفرنس لاڳو ڪرڻ ۾ پبلڪ ڪيئي ڪرپٽوگرافي معيار #11 (PKCS #11) ايپليڪيشن پروگرامنگ انٽرفيس (API) شامل آهي HSM سان رابطو ڪرڻ لاءِ جڏهن سائننيچر چين جي عملن کي انجام ڏيو. agilex_sign.py ريفرنس تي عمل درآمد ۾ هڪ انٽرفيس خلاصو پڻ شامل آهي هڪ اڳوڻوample interface to SoftHSM.
توھان ھي استعمال ڪري سگھو ٿا example interfaces توهان جي HSM تي هڪ انٽرفيس لاڳو ڪرڻ لاء. توهان جي HSM وينڊر کان دستاويزن ڏانهن رجوع ڪريو وڌيڪ معلومات لاءِ انٽرفيس کي لاڳو ڪرڻ ۽ توهان جي HSM کي هلائڻ بابت.
SoftHSM هڪ PKCS #11 انٽرفيس سان گڏ هڪ عام ڪرپٽوگرافڪ ڊيوائس جو هڪ سافٽ ويئر عمل آهي جيڪو OpenDNSSEC® پروجيڪٽ پاران دستياب ڪيو ويو آهي. توھان وڌيڪ معلومات حاصل ڪري سگھو ٿا، بشمول OpenHSM ڪيئن ڊائون لوڊ، ٺاھڻ، ۽ انسٽال ڪرڻ بابت ھدايتون، OpenDNSSEC پروجيڪٽ تي. سابقamples هن حصي ۾ SoftHSM ورجن 2.6.1 استعمال ڪريو. سابقamples هن حصي ۾ اضافي طور تي استعمال ڪريو pkcs11-tool يوٽيليٽي OpenSC کان اضافي PKCS #11 آپريشن ڪرڻ لاءِ SoftHSM ٽوڪن سان. توھان وڌيڪ معلومات حاصل ڪري سگھو ٿا، بشمول OpenSC مان pkcs11tool ڪيئن ڊائون لوڊ، ٺاھڻ، ۽ انسٽال ڪرڻ بابت ھدايتون.
لاڳاپيل معلومات
· OpenDNSSEC پروجيڪٽ پاليسي تي ٻڌل زون دستخط ڪندڙ DNSSEC ڪيز ٽريڪنگ جي عمل کي خودڪار ڪرڻ لاءِ.
· SoftHSM معلومات PKCS #11 انٽرفيس ذريعي رسائي لائق ڪرپٽوگرافڪ اسٽور جي نفاذ بابت.
· OpenSC سمارٽ ڪارڊ سان ڪم ڪرڻ جي قابل لائبريرين ۽ يوٽيلٽيز جو سيٽ مهيا ڪري ٿي.
2.1.1. مقامي تي تصديق ڪني جوڙو ٺاهڻ File سسٽم
توھان استعمال ڪريو quartus_sign اوزار مقامي تي تصديق ڪندڙ ڪي جوڙو ٺاھڻ لاءِ file سسٽم استعمال ڪندي make_private_pem ۽ make_public_pem اوزار آپريشن. توهان پهريون ڀيرو make_private_pem آپريشن سان هڪ خانگي چاٻي ٺاهي. توھان استعمال ڪرڻ لاءِ ايليپيٽڪ وکر بيان ڪريو، نجي ڪي fileنالو، ۽ اختياري طور ته ڇا پرائيويٽ ڪنجي کي پاسفريس سان محفوظ ڪرڻ لاءِ. Intel سفارش ڪري ٿو secp384r1 وکر جي استعمال ۽ صنعت جي بهترين طريقن جي پيروي ڪرڻ لاءِ هڪ مضبوط ، بي ترتيب پاسفريس ٺاهڻ لاءِ سڀني نجي ڪنجي تي fileايس. Intel پڻ محدود ڪرڻ جي سفارش ڪري ٿو file پرائيويٽ ڪي .pem تي سسٽم جي اجازت fileصرف مالڪ طرفان پڙهڻ لاءِ. توهان make_public_pem آپريشن سان پرائيويٽ ڪيئي مان عوامي ڪيئي حاصل ڪريو. اهو مددگار آهي ڪنجي جو نالو .pem files وضاحت سان. هي دستاويز ڪنوينشن استعمال ڪري ٿو _ .pem هيٺين مثال ۾amples.
1. Nios II ڪمانڊ شيل ۾، ھڪڙي خانگي ڪيچ ٺاھڻ لاء ھيٺ ڏنل حڪم ھلايو. نجي چيڪ، هيٺ ڏيکاريل آهي، بعد ۾ اڳ ۾ روٽ ڪيئي طور استعمال ڪيو ويندو آهيamples جيڪو هڪ دستخط زنجير ٺاهي ٿو. Intel Agilex 7 ڊوائيسز ڪيترن ئي روٽ چابين کي سپورٽ ڪن ٿا، تنهنڪري توهان

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 7

2. تصديق ۽ اختيار 683823 | 2023.05.23

ھن قدم کي ورجايو توھان جي گھربل نمبر روٽ چابيون ٺاھيو. مثالamples هن دستاويز ۾ سڀ ڪجهه پهرين روٽ ڪيئي ڏانهن اشارو ڪيو، جيتوڻيڪ توهان ڪنهن به روٽ ڪيئي سان ساڳي فيشن ۾ دستخطي زنجير ٺاهي سگهو ٿا.

پاسفريس سان اختيار

وصف
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem پاسفريس داخل ڪريو جڏھن ائين ڪرڻ لاءِ چيو وڃي.

پاسفريج کان سواءِ

quartus_sign -family=agilex -operation=make_private_pem -curve=secp384r1 -no_passphrase root0_private.pem

2. اڳئين قدم ۾ ٺاهيل پرائيويٽ ڪيئي استعمال ڪندي عوامي ڪيچ ٺاھڻ لاءِ ھيٺ ڏنل حڪم ھلايو. توهان کي عوامي ڪنجي جي رازداري کي بچائڻ جي ضرورت ناهي.
quartus_sign -family=agilex -operation=make_public_pem root0_private.pem root0_public.pem
3. ڪمانڊز کي ٻيهر ھلايو ھڪ ڪنجي جوڙو ٺاھڻ لاءِ جيڪو دستخط جي زنجير ۾ ڊيزائن سائننگ ڪيئي طور استعمال ڪيو ويندو آھي.
quartus_sign -family=agilex -operation=make_private_pem -curve=secp384r1 design0_sign_private.pem

quartus_sign -family=agilex -operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. SoftHSM ۾ تصديق جي اهم جوڙي ٺاهڻ
SoftHSM exampهن باب ۾ les خود مسلسل آهن. ڪجهه پيٽرولر توهان جي SoftHSM تنصيب تي منحصر آهن ۽ SoftHSM اندر هڪ ٽوڪن جي شروعات.
quartus_sign اوزار توهان جي HSM کان PKCS #11 API لائبريري تي منحصر آهي.
سابقamples هن حصي ۾ فرض ڪريو ته SoftHSM لائبريري هيٺين هنڌن مان هڪ تي نصب ٿيل آهي: · /usr/local/lib/softhsm2.so Linux تي · C:SoftHSM2libsofthsm2.dll ونڊوز جي 32-bit ورجن تي · C:SoftHSM2libsofthsm2-x64 .dll ونڊوز جي 64-bit ورجن تي.
softhsm2-util اوزار استعمال ڪندي SoftHSM اندر هڪ ٽوڪن شروع ڪريو:
softhsm2-util-init-token-label agilex-token-pin agilex-token-pin-so-pin agilex-so-pin-free
اختيارن جا پيرا ميٽر، خاص طور تي ٽوڪن ليبل ۽ ٽوڪن پن اڳ ۾ آهنamples هن باب ۾ استعمال ڪيو ويو آهي. Intel سفارش ڪري ٿو ته توهان ٽوڪن ۽ ڪيچ ٺاهڻ ۽ منظم ڪرڻ لاءِ توهان جي HSM وينڊر جي هدايتن تي عمل ڪريو.
توهان SoftHSM ۾ ٽوڪن سان لهه وچڙ ڪرڻ لاءِ pkcs11-tool يوٽيليٽي استعمال ڪندي تصديق ڪندڙ ڪي جوڙو ٺاهيندا آهيو. واضح طور تي پرائيويٽ ۽ پبلڪ ڪي .pem جي حوالي ڪرڻ بدران file۾ s file سسٽم مثالamples، توهان ان جي ليبل ذريعي ڪنجي جوڙو جو حوالو ڏيو ٿا ۽ اوزار خودڪار طور تي مناسب ڪيچ چونڊيندو آهي.

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 8

موٽ موڪليو

2. تصديق ۽ اختيار 683823 | 2023.05.23

ھيٺ ڏنل حڪمن کي ھلايو ھڪڙي جوڙي ٺاهڻ لاءِ جيڪو روٽ ڪيئي طور استعمال ڪيو ويو بعد ۾ examples انهي سان گڏ هڪ اهم جوڙو استعمال ڪيو ويو آهي دستخط جي زنجير ۾ ڊزائين سائن ان ڪيچ جي طور تي:
pkcs11-tool -module=/usr/local/lib/softhsm/libsofthsm2.so -token-label agilex-token -login -pin agilex-token-pin -keypairgen -mechanism ECDSA-KEY-PAIR-GEN -key-type EC :secp384r1 -استعمال-سائن-ليبل روٽ0 -id 0
pkcs11-tool -module=/usr/local/lib/softhsm/libsofthsm2.so -token-label agilex-token -login -pin agilex-token-pin -keypairgen -mechanism ECDSA-KEY-PAIR-GEN -key-type EC :secp384r1 -usage-sign -label design0_sign -id 1

نوٽ:

هن قدم ۾ ID اختيار هر هڪ کي منفرد هجڻ گهرجي، پر اهو صرف HSM پاران استعمال ڪيو ويندو آهي. هي ID آپشن دستخطي زنجير ۾ ڏنل اهم منسوخي ID سان لاڳاپيل ناهي.

2.1.3. دستخط زنجير روٽ انٽري ٺاهڻ
روٽ پبلڪ ڪيئي کي سائنيچر چين جي روٽ انٽري ۾ تبديل ڪريو، لوڪل تي ذخيرو ٿيل file سسٽم Intel Quartus Prime key (.qky) فارميٽ ۾ file, make_root آپريشن سان. هن قدم کي ورجايو هر روٽ جي لاءِ جيڪو توهان ٺاهي رهيا آهيو.
روٽ انٽري سان دستخطي زنجير ٺاھڻ لاءِ ھيٺ ڏنل حڪم ھلايو، روٽ پبلڪ ڪيئي استعمال ڪندي file سسٽم:
quartus_sign -family=agilex -operation=make_root -key_type=مالڪ روٽ0_public.pem root0.qky
اڳئين حصي ۾ قائم ڪيل SoftHSM ٽوڪن مان روٽ ڪيئي استعمال ڪندي روٽ انٽري سان دستخطي زنجير ٺاهڻ لاءِ هيٺ ڏنل حڪم هلايو:
quartus_sign -family=agilex -operation=make_root -key_type=مالڪ -module=softHSM -module_args="-token_label=agilex-token -user_pin=agilex-token-pin -hsm_lib=/usr/local/lib/softhsm2/softhsm. "root0 root0.qky

2.1.4. هڪ دستخطي زنجير ٺاهڻ پبلڪ ڪيئي داخلا
Append_key آپريشن سان دستخطي زنجير لاءِ نئين عوامي ڪيئي داخل ڪريو. توهان اڳئين دستخط واري زنجير جي وضاحت ڪريو، اڳوڻي دستخط واري زنجير ۾ آخري داخلا لاءِ خانگي چيڪ، ايندڙ سطح جي عوامي ڪي، اجازتون ۽ منسوخي جي ID جيڪا توهان ايندڙ سطح جي عوامي ڪي کي تفويض ڪريو ٿا، ۽ نئين دستخطي زنجير. file.
نوٽ ڪريو ته softHSM لائبريري Quartus تنصيب سان دستياب ناهي ۽ ان جي بدران الڳ الڳ نصب ٿيڻ جي ضرورت آهي. softHSM بابت وڌيڪ معلومات لاءِ مٿي ڏنل سيڪشن ٺاهڻ هڪ دستخطي سلسلو ڏانهن رجوع ڪريو.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 9

2. تصديق ۽ اختيار 683823 | 2023.05.23
توهان جي چابي جي استعمال تي منحصر آهي file سسٽم يا هڪ HSM ۾، توهان هيٺ ڏنل مان هڪ استعمال ڪريو exampاڳئين حصي ۾ ٺاهيل روٽ دستخط زنجير ۾ design0_sign عوامي ڪي کي شامل ڪرڻ لاءِ حڪم ڏئي ٿو:
quartus_sign -family=agilex -operation=append_key -previous_pem=root0_private.pem -previous_qky=root0.qky -permission=6 -cancel=0 -input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign -family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. root0 -previous_qky=root0.qky -permission=6 -cancel=0 -input_keyname=design0_sign design0_sign_chain.qky
توھان ٻيھر ڪري سگھوٿا append_key آپريشن کي ٻه ڀيرا وڌيڪ عوامي ڪيئي داخلائن لاءِ روٽ انٽري ۽ ھيڊر بلاڪ انٽري جي وچ ۾ ڪنھن ھڪڙي دستخطي زنجير ۾.
هيٺيون سابقample فرض ڪريان ٿو ته توهان ساڳي اجازتن سان هڪ ٻي تصديق واري عوامي ڪيئي ٺاهي آهي ۽ منسوخي ID 1 کي تفويض ڪيو آهي جنهن کي design1_sign_public.pem سڏيو ويندو آهي، ۽ هن ڪيئي کي اڳوڻي اڳوڻي کان دستخطي زنجير ۾ شامل ڪري رهيا آهيو.ampاليزي:
quartus_sign -family=agilex -operation=append_key -previous_pem=design0_sign_private.pem -previous_qky=design0_sign_chain.qky -permission=6 -cancel=1 -input_pem=design1_sign_public.pem design1_sign.
quartus_sign -family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. design0_sign -previous_qky=design0_sign_chain.qky -permission=6 -cancel=1 -input_keyname=design1_sign design1_sign_chain.qky
Intel Agilex 7 ڊيوائسز ۾ هڪ اضافي ڪني ڪينسليشن ڪائونٽر شامل آهي هڪ ڪنجي جي استعمال کي آسان ڪرڻ لاءِ جيڪا وقتي طور تي ڏنل ڊوائيس جي سڄي زندگي ۾ تبديل ٿي سگهي ٿي. توھان منتخب ڪري سگھوٿا ھي ڪي ڪي ڪينسليشن ڪاؤنٽر جي دليل کي تبديل ڪندي -cancel آپشن کي pts:pts_value.
2.2. هڪ ٺاھ جوڙ Bitstream سائن ان
Intel Agilex 7 ڊوائيسز سيڪيورٽي ورزن نمبر (SVN) ڳڻپيندڙن کي سپورٽ ڪن ٿيون، جيڪي توھان کي اجازت ڏين ٿيون ڪنھن اعتراض جي اختيار کي رد ڪرڻ کان سواءِ ڪي کي منسوخ ڪرڻ جي. توهان ڪنهن به شئي جي سائن ڪرڻ دوران SVN ڪائونٽر ۽ مناسب SVN ڪائونٽر ويليو تفويض ڪريو ٿا، جهڙوڪ بٽ اسٽريم سيڪشن، فرم ویئر .zip file، يا ڪمپيڪٽ سرٽيفڪيٽ. توهان -cancel آپشن استعمال ڪندي SVN counter ۽ SVN قدر تفويض ڪريو ۽ svn_counter:svn_value دليل طور. svn_counter لاءِ صحيح قدر آھن svnA، svnB، svnC، ۽ svnD. svn_value حد جي اندر هڪ عدد آهي [0,63].

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 10

موٽ موڪليو

2. تصديق ۽ اختيار 683823 | 2023.05.23
2.2.1. Quartus Key File تفويض
توهان پنهنجي Intel Quartus Prime سافٽ ويئر پروجيڪٽ ۾ هڪ دستخطي زنجير بيان ڪيو آهي انهي ڊيزائن لاءِ تصديق جي خاصيت کي فعال ڪرڻ لاءِ. Assignments مينيو مان، Device Device ۽ Pin Options Security Quartus Key چونڊيو File، پوءِ براؤز ڪريو دستخط زنجير .qky file توھان ٺاھيو آھي ھن ڊزائن کي سائن ڪرڻ لاءِ.
شڪل 1. ڪنفيگريشن بٽ اسٽريم سيٽنگ کي فعال ڪريو

متبادل طور تي، توھان شامل ڪري سگھوٿا ھيٺ ڏنل تفويض بيان پنھنجي Intel Quartus Prime سيٽنگن ۾ file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
هڪ .sof پيدا ڪرڻ لاء file اڳوڻي مرتب ڪيل ڊيزائن مان، جنهن ۾ هي سيٽنگ شامل آهي، پروسيسنگ مينيو مان، چونڊيو Start Start Assembler. نئين پيداوار .sof file مهيا ڪيل دستخطي زنجير سان تصديق کي فعال ڪرڻ لاءِ تفويض شامل آهن.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 11

2. تصديق ۽ اختيار 683823 | 2023.05.23
2.2.2. ڪو-سائننگ SDM فرم ویئر
توهان quartus_sign ٽول استعمال ڪريو لاڳو SDM firmware کي ڪڍڻ، سائن ڪرڻ ۽ انسٽال ڪرڻ لاءِ .zip file. گڏيل دستخط ٿيل فرمائيندڙ وري پروگرامنگ پاران شامل ڪيو ويو آهي file جنريٽر جو اوزار جڏهن توهان تبديل ڪيو .sof file هڪ ترتيب bitstream .rbf ۾ file. توھان ھيٺ ڏنل حڪمن کي استعمال ڪريو ھڪڙو نئون دستخط زنجير ٺاھڻ ۽ SDM firmware کي سائن ان ڪرڻ لاءِ.
1. نئون سائن ان ڪيڏي جوڙو ٺاهيو.
هڪ تي هڪ نئون سائن ان ڪي جوڙو ٺاهيو file سسٽم:
quartus_sign -family=agilex -operation=make_private_pem -curve=secp384r1 firmware1_private.pem
quartus_sign -family=agilex -operation=make_public_pem firmware1_private.pem firmware1_public.pem
ب. HSM ۾ هڪ نئون سائن ان ڪيئي جوڙو ٺاهيو:
pkcs11-tool -module=/usr/local/lib/softhsm/libsofthsm2.so -token-label agilex-token -login -pin agilex-token-pin -keypairgen -mechanism ECDSA-KEY-PAIR-GEN -key-type EC :secp384r1 -استعمال-سائن-ليبل فرم ویئر1 -id 1
2. ھڪڙو نئون دستخطي سلسلو ٺاھيو جنھن ۾ نئين عوامي ڪي شامل آھن:
quartus_sign -family=agilex -operation=append_key -previous_pem=root0_private.pem -previous_qky=root0.qky -permission=0x1 -cancel=1 -input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign -family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. root0 -previous_qky=root0.qky -permission=1 -cancel=1 -input_keyname=firmware1 firmware1_sign_chain.qky
3. نقل ڪريو firmware .zip file توهان جي Intel Quartus Prime Pro Edition سافٽ ويئر انسٽاليشن ڊاريڪٽري مان ( /devices/programmer/firmware/ agilex.zip) موجوده ڪم ڪندڙ ڊاريڪٽري ڏانهن.
quartus_sign -family=agilex -get_firmware=.
4. سائن ان ڪريو firmware .zip file. اوزار خودڪار طريقي سان .zip کي کوليو file ۽ انفرادي طور تي سڀني firmware .cmf کي نشانو بڻايو files، پوءِ .zip کي ٻيهر ٺاهي ٿو file هيٺين حصن ۾ اوزار جي استعمال لاء:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 12

موٽ موڪليو

2. تصديق ۽ اختيار 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. quartus_sign ڪمانڊ استعمال ڪندي بٽ اسٽريم تي دستخط ڪرڻ
quartus_sign ڪمانڊ استعمال ڪندي بٽ اسٽريم جي ٺاھ جوڙ کي سائن ڪرڻ لاءِ، توھان پھريون تبديل ڪريو .sof file غير دستخط ٿيل خام بائنري ڏانهن file (.rbf) فارميٽ. توھان اختياري طور تي بيان ڪري سگھو ٿا co-signed firmware استعمال ڪندي fw_source آپشن کي تبديل ڪرڻ واري مرحلي دوران.
توھان ھيٺ ڏنل حڪم استعمال ڪندي .rbf فارميٽ ۾ غير دستخط ٿيل خام بٽ اسٽريم ٺاھي سگھو ٿا:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
ھيٺ ڏنل حڪمن مان ھڪڙي کي ھلايو بٽ اسٽريم کي سائن ان ڪرڻ لاءِ quartus_sign ٽول استعمال ڪندي توھان جي چابين جي جڳھ تي منحصر آھي:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign -family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”-key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
توھان تبديل ڪري سگھو ٿا دستخط ٿيل .rbf files ٻي ترتيب واري بٽ اسٽريم ڏانهن file فارميٽ.
مثال طورample، جيڪڏھن توھان استعمال ڪري رھيا آھيو Jam* Standard Test and Programming Language (STAPL) Player پروگرام ڪرڻ لاءِ Bitstream J.TAG، توھان ھيٺ ڏنل حڪم استعمال ڪريو ھڪڙي .rbf کي تبديل ڪرڻ لاءِ file .jam فارميٽ ۾ جيڪو جام STAPL پليئر کي گهربل آهي:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. جزوي ريڪنفيگريشن ملٽي اٿارٽي سپورٽ

Intel Agilex 7 ڊوائيسز جزوي ريڪنفيگريشن ملٽي اٿارٽي جي تصديق جي حمايت ڪن ٿيون، جتي ڊيوائس جو مالڪ جامد بٽ اسٽريم ٺاهي ۽ سائن ڪري ٿو، ۽ هڪ الڳ پي آر مالڪ پي آر پرسنا بٽ اسٽريم ٺاهي ۽ سائن ڪري ٿو. Intel Agilex 7 ڊيوائسز ڊيوائس يا جامد بٽ اسٽريم مالڪ کي پهرين تصديق جي روٽ ڪي سلاٽ کي تفويض ڪندي ۽ جزوي ٻيهر ترتيب ڏيڻ واري شخصيت بٽ اسٽريم مالڪ کي حتمي تصديق جي روٽ ڪي سلاٽ تفويض ڪندي گھڻن اختيارين جي مدد کي لاڳو ڪري ٿي.
جيڪڏهن تصديق جي خصوصيت کي فعال ڪيو ويو آهي، ته پوء سڀني پي آر شخصيت جي تصويرن تي دستخط ٿيڻ گهرجي، بشمول نيسٽ ٿيل پي آر شخصيت تصويرون. پي آر شخصيت جون تصويرون يا ته ڊيوائس مالڪ يا پي آر مالڪ طرفان دستخط ٿي سگھن ٿيون؛ جڏهن ته، جامد علائقي جي بٽ اسٽريمز کي لازمي طور تي ڊيوائس مالڪ طرفان دستخط ٿيڻ گهرجي.

نوٽ:

جزوي ريڪنفيگريشن جامد ۽ پرسنا بٽ اسٽريم انڪرپشن جڏهن ملٽي اٿارٽي سپورٽ کي فعال ڪيو ويو آهي مستقبل جي رليز ۾ رٿابندي ڪئي وئي آهي.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 13

2. تصديق ۽ اختيار 683823 | 2023.05.23

شڪل 2.

جزوي بحالي واري ملٽي اٿارٽي سپورٽ کي لاڳو ڪرڻ لاءِ ڪيترن ئي قدمن جي ضرورت آهي:
1. ڊوائيس يا جامد بٽ اسٽريم مالڪ هڪ يا وڌيڪ تصديق ڪندڙ روٽ ڪيز ٺاهي ٿو جيئن بيان ڪيو ويو آهي Creating Authentication Key Pairs in SoftHSM صفحي 8 تي، جتي -key_type آپشن وٽ قدر مالڪ آهي.
2. جزوي ريڪنفيگريشن بٽ اسٽريم مالڪ هڪ تصديق جي روٽ ڪيئي ٺاهي ٿو پر -key_type آپشن جي قيمت کي سيڪنڊري_owner ۾ تبديل ڪري ٿو.
3. ٻئي جامد بٽ اسٽريم ۽ جزوي ريڪنفيگريشن ڊيزائن مالڪن کي يقيني بڻائي ٿو ته فعال ملٽي اٿارٽي سپورٽ چيڪ باڪس کي فعال ڪيو ويو آهي اسائنمينٽس ڊيوائس ڊيوائس ۽ پن آپشنز سيڪيورٽي ٽيب ۾.
Intel Quartus Prime فعال ملٽي اٿارٽي آپشن سيٽنگون

4. ٻئي جامد بٽ اسٽريم ۽ جزوي ريڪنفيگريشن ڊيزائن مالڪ پنهنجي لاڳاپيل روٽ ڪنجي جي بنياد تي دستخطي زنجير ٺاهيندا آهن جيئن صفحي 6 تي هڪ دستخطي سلسلو ٺاهڻ ۾ بيان ڪيو ويو آهي.
5. ٻئي جامد بٽ اسٽريم ۽ جزوي ريڪنفيگريشن ڊيزائن مالڪن پنھنجي مرتب ڪيل ڊيزائن کي .rbf فارميٽ ۾ تبديل ڪن ٿا files ۽ سائن ان ڪريو .rbf files.
6. ڊوائيس يا جامد بٽ اسٽريم مالڪ پي آر پبلڪ ڪيئي پروگرام اختيار ڪرڻ واري ڪمپيڪٽ سرٽيفڪيٽ ٺاهي ۽ دستخط ڪري ٿو.
quartus_pfg -ccert o ccert_type=PR_PUBKEY_PROG_AUTH o مالڪ_qky_file=”root0.qky;root1.qky“ unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign -family=agilex -operation=sign -module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”-key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 14

موٽ موڪليو

2. تصديق ۽ اختيار 683823 | 2023.05.23

7. ڊوائيس يا جامد بٽ اسٽريم مالڪ ڊيوائس کي انهن جي تصديق جي روٽ ڪي هيش فراهم ڪري ٿو، پوءِ پروگرام ڪري ٿو PR پبلڪ ڪيئي پروگرام اختيار ڪرڻ واري ڪمپيڪٽ سرٽيفڪيٽ، ۽ آخر ۾ جزوي ريڪنفيگريشن بٽ اسٽريم مالڪ روٽ ڪي کي ڊيوائس لاءِ مهيا ڪري ٿو. ڊوائيس فراهم ڪرڻ وارو سيڪشن هن روزي جي عمل کي بيان ڪري ٿو.
8. Intel Agilex 7 ڊوائيس جامد علائقي سان ترتيب ڏنل آھي .rbf file.
9. Intel Agilex 7 ڊيوائس جزوي طور تي ترتيب ڏنل آھي شخصيت جي ڊيزائن سان. rbf file.
لاڳاپيل معلومات
· صفحي 6 تي دستخطي زنجير ٺاهڻ
· صفحو 8 تي SoftHSM ۾ تصديق ڪندڙ ڪي جوڙا ٺاهڻ
· ڊوائيس جي فراهمي صفحي 25 تي

2.2.5. تصديق ڪرڻ جي ٺاھ جوڙ Bitstream دستخط زنجيرن
توهان جي دستخطي زنجير ۽ دستخط ٿيل بٽ اسٽريم ٺاهڻ کان پوءِ، توهان تصديق ڪري سگهو ٿا ته هڪ دستخط ٿيل بٽ اسٽريم صحيح طريقي سان ترتيب ڏئي ٿو هڪ ڊوائيس کي ڏنل روٽ ڪيئي سان پروگرام ٿيل. توهان پهريون ڀيرو استعمال ڪريو fuse_info آپريشن quartus_sign ڪمانڊ جي هيش کي پرنٽ ڪرڻ لاءِ روٽ پبلڪ ڪي جي متن کي file:
quartus_sign -family=agilex -operation=fuse_info root0.qky hash_fuse.txt

توهان پوءِ استعمال ڪريو چيڪ_انٽيگرٽي آپشن جو quartus_pfg ڪمانڊ .rbf فارميٽ ۾ دستخط ٿيل بٽ اسٽريم جي هر حصي تي دستخطي زنجير جو معائنو ڪرڻ لاءِ. check_Integrity آپشن ھيٺ ڏنل معلومات کي پرنٽ ڪري ٿو:
· مجموعي بٽ اسٽريم جي سالميت جي چڪاس جي حالت
· bitstream .rbf ۾ هر حصي سان ڳنڍيل هر دستخطي زنجير ۾ هر داخلا جو مواد file,
· هر دستخطي زنجير لاءِ روٽ پبلڪ ڪيچ جي هيش لاءِ متوقع فيوز ويل.
fuse_info آئوٽ پٽ مان قيمت چيڪ_انٽيگرٽي آئوٽ ۾ فيوز لائنن سان ملائڻ گهرجي.
quartus_pfg -check_Integrity signed_bitstream.rbf

هتي هڪ سابق آهيampcheck_Integrity ڪمانڊ آئوٽ جي le:

ڄاڻ: حڪم: quartus_pfg -check_integrity signed_bitstream.rbf سالميت جي حالت: ٺيڪ

سيڪشن

قسم: CMF

دستخط بيان ڪندڙ…

دستخطي سلسلو #0 (داخلا: -1، آفسیٹ: 96)

داخلا نمبر 0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

چاٻي ٺاهي…

وکر: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

چاٻي ٺاهي…

وکر: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 15

2. تصديق ۽ اختيار 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

داخلا نمبر 1

چاٻي ٺاهي…

وکر: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

داخلا #2 ڪيچين جي اجازت: SIGN_CODE ڪيچين کي منسوخ ڪري سگھجي ٿو ID: 3 دستخط زنجير #1 (داخلا: -1، آفسیٹ: 648)

داخلا نمبر 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

چاٻي ٺاهي…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

چاٻي ٺاهي…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

داخلا نمبر 1

چاٻي ٺاهي…

وکر: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

داخلا نمبر 2

چاٻي ٺاهي…

وکر: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

داخلا #3 ڪيچين جي اجازت: SIGN_CODE ڪيچين کي منسوخ ڪري سگھجي ٿو ID: 15 دستخط زنجير #2 (داخلا: -1، آفسيٽ: 0) دستخط زنجير #3 (داخلا: -1، آفسیٹ: 0) دستخط زنجير #4 (داخلا: -1، آفسيٽ: 0) دستخطي سلسلو #5 (انٽرنٽس: -1، آفسیٹ: 0) دستخطي سلسلو #6 (داخلا: -1، آفسیٹ: 0) دستخطي سلسلو #7 (انٽرنٽس: -1، آفسيٽ: 0)

سيڪشن جو قسم: IO دستخط بيان ڪندڙ … دستخط زنجير #0 (داخلا: -1، آفسیٹ: 96)

داخلا نمبر 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

چاٻي ٺاهي…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 16

موٽ موڪليو

2. تصديق ۽ اختيار 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

چاٻي ٺاهي…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

داخلا نمبر 1

چاٻي ٺاهي…

وکر: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

داخلا نمبر 2

چاٻي ٺاهي…

وکر: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

داخلا #3 ڪيچين جي اجازت: SIGN_CORE ڪيچين کي منسوخ ڪري سگھجي ٿو ID: 15 دستخط زنجير #1 (داخلا: -1، آفسيٽ: 0) دستخط زنجير #2 (داخلا: -1، آفسيٽ: 0) دستخط زنجير #3 (داخلا: -1، آفسيٽ: 0) دستخطي سلسلو #4 (داخلا: -1، آفسیٹ: 0) دستخطي سلسلو #5 (انٽرنٽس: -1، آفسيٽ: 0) دستخطي سلسلو #6 (داخلا: -1، آفسيٽ: 0) دستخط زنجير #7 (داخلا: -1، آفسیٹ: 0)

سيڪشن

قسم: HPS

دستخط بيان ڪندڙ…

دستخطي سلسلو #0 (داخلا: -1، آفسیٹ: 96)

داخلا نمبر 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

چاٻي ٺاهي…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

چاٻي ٺاهي…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

داخلا نمبر 1

چاٻي ٺاهي…

وکر: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

داخلا نمبر 2

چاٻي ٺاهي…

وکر: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 17

2. تصديق ۽ اختيار 683823 | 2023.05.23

داخلا #3 ڪيچين جي اجازت: SIGN_HPS ڪيچين کي منسوخ ڪري سگھجي ٿو ID: 15 دستخط زنجير #1 (داخلا: -1، آفسيٽ: 0) دستخط زنجير #2 (داخلا: -1، آفسيٽ: 0) دستخط زنجير #3 (داخلا: -1، آفسيٽ: 0) دستخطي سلسلو #4 (داخلا: -1، آفسیٹ: 0) دستخطي سلسلو #5 (انٽرنٽس: -1، آفسيٽ: 0) دستخطي سلسلو #6 (داخلا: -1، آفسيٽ: 0) دستخط زنجير #7 (داخلا: -1، آفسیٹ: 0)

سيڪشن جو قسم: CORE دستخط بيان ڪندڙ … دستخطي سلسلو #0 (داخلا: -1، آفسيٽ: 96)

داخلا نمبر 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

چاٻي ٺاهي…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

چاٻي ٺاهي…

وکر: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

داخلا نمبر 1

چاٻي ٺاهي…

وکر: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

داخلا نمبر 2

چاٻي ٺاهي…

وکر: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 18

موٽ موڪليو

683823 | 2023.05.23 موٽ موڪليو

AES Bitstream Encryption

Advanced Encryption Standard (AES) بٽ اسٽريم انڪرپشن ھڪ خصوصيت آھي جيڪا ھڪڙي ڊيوائس مالڪ کي قابل بنائي ٿي دانشورانه ملڪيت جي رازداري کي تحفظ ڏيڻ لاءِ ھڪڙي ترتيب واري بٽ اسٽريم ۾.
ڪنجين جي رازداري کي بچائڻ ۾ مدد لاءِ، ترتيب ڏيڻ بٽ اسٽريم انڪرپشن AES ڪنجين جو هڪ سلسلو استعمال ڪري ٿو. اهي ڪنجيون استعمال ڪيون وينديون آهن مالڪ جي ڊيٽا کي انڪرپٽ ڪرڻ لاءِ ڪنفيگريشن بٽ اسٽريم ۾، جتي پهرين وچولي ڪيئي AES روٽ ڪيئي سان انڪريپٽ ٿيل آهي.

3.1. AES روٽ ڪيچ ٺاهڻ

توھان استعمال ڪري سگھو ٿا quartus_encrypt ٽول يا stratix10_encrypt.py ريفرنس پليپشن کي Intel Quartus Prime Software Encryption Key (.qek) فارميٽ ۾ AES روٽ ڪي ٺاھڻ لاءِ file.

نوٽ:

stratix10_encrypt.py file Intel Stratix® 10، ۽ Intel Agilex 7 ڊوائيسز لاءِ استعمال ٿيندو آهي.

توھان اختياري طور تي بيان ڪري سگھو ٿا بنيادي ڪيچي کي حاصل ڪرڻ لاءِ استعمال ڪيو ويو AES روٽ ڪي ۽ ڪيئي ڊيريويشن ڪيچي، AES روٽ ڪي جي قيمت سڌي طرح، وچولي چاٻين جو تعداد، ۽ وڌ ۾ وڌ استعمال في وچولي ڪيئي.

توھان کي لازمي طور تي ڊيوائس خاندان جي وضاحت ڪرڻ گھرجي، ٻاھر .qek file مقام، ۽ پاسفريس جڏهن اشارو ڪيو وڃي.
AES روٽ ڪيچ پيدا ڪرڻ لاءِ ھيٺ ڏنل حڪم ھلايو بي ترتيب ڊيٽا استعمال ڪندي بنيادي ڪي ۽ ڊفالٽ قدرن جي تعداد لاءِ وچولي چاٻين جي تعداد ۽ وڌ ۾ وڌ ڪي استعمال.
ريفرنس تي عمل درآمد کي استعمال ڪرڻ لاءِ، توهان انٽيل ڪوارٽس پرائم سافٽ ويئر سان شامل پٿون مترجم کي ڪال ڪريو ۽ ختم ڪريو -family=agilex آپشن؛ ٻيا سڀ اختيار برابر آهن. مثال طورample، quartus_encrypt حڪم بعد ۾ سيڪشن ۾ مليو

quartus_encrypt -family=agilex -operation=MAKE_AES_KEY aes_root.qek

هيٺ ڏنل حوالن تي عمل درآمد جي برابر ڪال ۾ تبديل ڪري سگھجي ٿو pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Quartus Encryption سيٽنگون
ھڪڙي ڊيزائن لاءِ بٽ اسٽريم انڪرپشن کي فعال ڪرڻ لاءِ، توھان کي لازمي طور بيان ڪرڻ گھرجي مناسب اختيارن کي استعمال ڪندي Assignments Device Device ۽ Pin Options سيڪيورٽي پينل. توھان منتخب ڪريو ڪنفيگريشن بٽ اسٽريم انڪريپشن چيڪ بڪس کي فعال ڪريو، ۽ ڊاپ ڊائون مينيو مان گھربل انڪريپشن ڪي اسٽوريج جڳھ.

ISO 9001:2015 رجسٽر ٿيل

شڪل 3. Intel Quartus Prime Encryption سيٽنگون

3. AES Bitstream Encryption 683823 | 2023.05.23

متبادل طور تي، توھان شامل ڪري سگھوٿا ھيٺ ڏنل تفويض بيان پنھنجي Intel Quartus Prime سيٽنگن ۾ file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM on set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
جيڪڏھن توھان چاھيو ٿا اضافي گھٽتائي کي پاسي واري چينل جي حملي واري ویکٹرز جي خلاف، توھان کي فعال ڪري سگھو ٿا انڪرپشن اپڊيٽ ريشو ڊراپ ڊائون ۽ اسڪرامبلنگ چيڪ باڪس کي فعال ڪريو.

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 20

موٽ موڪليو

3. AES Bitstream Encryption 683823 | 2023.05.23

.qsf ۾ لاڳاپيل تبديليون ھي آھن:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING on set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. ڪنفيگريشن بٽ اسٽريم کي انڪرپٽ ڪرڻ
توهان بٽ اسٽريم کي سائن ڪرڻ کان پهريان هڪ ترتيب واري بٽ اسٽريم کي انڪرپٽ ڪيو. Intel Quartus Prime پروگرامنگ File جنريٽر ٽول خود بخود انڪريپٽ ڪري سگھي ٿو ۽ سائن ان ڪري سگھي ٿو ھڪڙي ٺاھ جوڙ بٽ اسٽريم کي استعمال ڪندي گرافڪ يوزر انٽرفيس يا ڪمانڊ لائن.
توھان quartus_encrypt ۽ quartus_sign ٽولز يا حوالن تي عمل درآمد جي برابري سان استعمال ڪرڻ لاءِ اختياري طور تي جزوي طور تي انڪريپ ٿيل بٽ اسٽريم ٺاھي سگھو ٿا.

3.3.1. پروگرامنگ استعمال ڪندي Bitstream انڪريپشن جي ترتيب File جنريٽر گرافڪ انٽرفيس
توھان استعمال ڪري سگھو ٿا پروگرامنگ File مالڪ جي تصوير کي انڪرپٽ ۽ سائن ڪرڻ لاءِ جنريٽر.

شڪل 4.

1. Intel Quartus Prime تي File مينيو چونڊيو پروگرامنگ File جنريٽر. 2. آئوٽ پٽ تي Files ٽئب، ٻاھر بيان ڪريو file توهان جي ترتيب لاء ٽائپ ڪريو
اسڪيم
ٻاھر File تفصيل

ٺاھ جوڙ اسڪيم ٻاھر file ٽيب
ٻاھر file قسم

3. ان پٽ تي Files ٽئب تي، ڪلڪ ڪريو شامل ڪريو Bitstream ۽ براؤز ڪريو پنھنجي .sof ڏانھن. 4. انڪرپشن ۽ تصديق جا آپشن بيان ڪرڻ لاءِ .sof چونڊيو ۽ ڪلڪ ڪريو
ملڪيتون. هڪ فعال ڪريو سائن ان اوزار کي فعال ڪريو. ب. پرائيويٽ ڪنجي لاءِ file پنھنجي سائن ان ڪيئي پرائيويٽ .pem چونڊيو file. ج. Encryption Finalize آن ڪريو.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 21

3. AES Bitstream Encryption 683823 | 2023.05.23

شڪل 5.

ڊي. Encryption key لاءِ file, پنهنجي AES .qek چونڊيو file. ان پٽ (.sof) File پراپرٽيز جي تصديق ۽ انڪرپشن لاءِ

تصديق کي فعال ڪريو نجي روٽ جي وضاحت ڪريو .pem
انڪريپشن کي فعال ڪريو انڪرپشن ڪيچ بيان ڪريو
5. ان پٽ تي سائن ٿيل ۽ انڪرپٽ ٿيل بٽ اسٽريم ٺاهڻ لاءِ Files ٽئب، ڪلڪ ڪريو ٺاھيو. پاسورڊ ڊائلاگ باڪس توهان لاءِ ظاهر ٿيندا آهن توهان جي AES ڪيئي لاءِ توهان جو پاسفريس داخل ڪرڻ لاءِ.qek file ۽ پرائيويٽ ڪي .pem تي دستخط ڪرڻ file. پروگرامنگ file جنريٽر ٺاهي ٿو انڪرپٽ ٿيل ۽ سائن ٿيل آئوٽ_file.rbf.
3.3.2. پروگرامنگ استعمال ڪندي Bitstream انڪريپشن جي ترتيب File جنريٽر ڪمانڊ لائن انٽرفيس
quartus_pfg ڪمانڊ لائن انٽرفيس سان .rbf فارميٽ ۾ هڪ انڪريپٽ ٿيل ۽ سائن ٿيل ڪنفيگريشن بٽ اسٽريم ٺاهيو:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
توھان بدلائي سگھوٿا ھڪ اينڪريپٽ ٿيل ۽ سائن ٿيل ڪنفيگريشن بٽ اسٽريم کي .rbf فارميٽ ۾ ٻي ڪانفيگريشن بٽ اسٽريم ۾ file فارميٽ.
3.3.3. ڪمانڊ لائن انٽرفيس استعمال ڪندي جزوي طور تي انڪريپٽ ٿيل ڪنفيگريشن بٽ اسٽريم جنريشن
توھان ٺاھي سگھوٿا ھڪڙو جزوي طور تي انڪرپٽ ٿيل پروگرامنگ file انڪريشن کي حتمي شڪل ڏيڻ ۽ تصوير کي بعد ۾ سائن ڪرڻ لاءِ. جزوي طور تي انڪوڊ ٿيل پروگرامنگ ٺاھيو file .rbf فارميٽ ۾ thequartus_pfgcommand لائن انٽرفيس سان: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 22

موٽ موڪليو

3. AES Bitstream Encryption 683823 | 2023.05.23
توھان استعمال ڪريو quartus_encrypt ڪمانڊ لائن ٽول بٽ اسٽريم انڪرپشن کي حتمي شڪل ڏيڻ لاءِ:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
توهان استعمال ڪريو quartus_sign ڪمانڊ لائن ٽول کي سائن ان ڪرڻ لاءِ انڪرپٽ ٿيل ڪنفيگريشن بٽ اسٽريم:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign -family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”-key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. جزوي ٻيهر ترتيب ڏيڻ بٽ اسٽريم انڪرپشن
توھان چالو ڪري سگھو ٿا بٽ اسٽريم انڪرپشن تي ڪجھ Intel Agilex 7 FPGA ڊيزائن جيڪي جزوي ريڪنفيگريشن استعمال ڪن ٿا.
جزوي ريڪنفيگريشن ڊزائينز استعمال ڪندي ھيررڪيڪل جزوي ريڪنفيگريشن (HPR)، يا Static Update Partial Reconfiguration (SUPR) bitstream encryption کي سپورٽ نه ڪندا آھن. جيڪڏھن توھان جي ڊيزائن ۾ گھڻن PR علائقا آھن، توھان کي لازمي طور تي سڀني شخصيتن کي انڪرپٽ ڪرڻ گھرجي.
جزوي ريڪنفيگريشن بٽ اسٽريم انڪرپشن کي فعال ڪرڻ لاءِ، ساڳئي طريقي تي عمل ڪريو سڀني ڊيزائن جي ترميمن ۾. 1. Intel Quartus Prime تي File مينيو، چونڊيو اسائنمينٽس ڊيوائس ڊيوائس
۽ پن جا اختيار سيڪيورٽي. 2. منتخب ڪريو گھربل انڪرپشن ڪيئي اسٽوريج جڳھ.
شڪل 6. جزوي ريڪنفيگريشن بٽ اسٽريم انڪرپشن سيٽنگ

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 23

3. AES Bitstream Encryption 683823 | 2023.05.23
متبادل طور تي، توھان ھيٺ ڏنل تفويض بيان شامل ڪري سگھو ٿا Quartus Prime سيٽنگون ۾ file .qsf:
set_global_assignment -name -ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION تي
توهان جي بنيادي ڊيزائن ۽ ترميمن کي گڏ ڪرڻ کان پوء، سافٽ ويئر ٺاهي ٿو a.soffile ۽ هڪ يا وڌيڪ.pmsffiles، شخصيتن جي نمائندگي ڪندي. 3. انڪوڊ ٿيل ۽ سائن ٿيل پروگرامنگ ٺاھيو files from.sof ۽.pmsf files ساڳي انداز ۾ ڊزائينز لاءِ جنهن ۾ جزوي ريڪنفيگريشن فعال ناهي. 4. مرتب ڪيل persona.pmsf کي تبديل ڪريو file جزوي طور تي encrypted.rbf ڏانهن file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. quartus_encrypt ڪمانڊ لائن ٽول استعمال ڪندي بٽ اسٽريم انڪرپشن کي حتمي شڪل ڏيو:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. quartus_sign ڪمانڊ لائن ٽول استعمال ڪندي انڪريپٽ ٿيل ڪنفيگريشن بٽ اسٽريم کي سائن ڪريو:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign -family=agilex -operation=SIGN -module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsmky="so. design2_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona0.rbf signed_encrypted_persona1.rbf

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 24

موٽ موڪليو

683823 | 2023.05.23 موٽ موڪليو

ڊوائيس فراهم ڪرڻ

ابتدائي حفاظتي خصوصيت جي فراهمي صرف SDM روزي فرم ویئر ۾ سپورٽ ڪئي وئي آهي. استعمال ڪريو Intel Quartus Prime Programmer SDM روزي واري فرم ویئر کي لوڊ ڪرڻ ۽ روزي جي عمل کي انجام ڏيڻ لاءِ.
توهان استعمال ڪري سگهو ٿا ڪنهن به قسم جي JTAG Quartus پروگرامر کي Intel Agilex 7 ڊوائيس سان ڳنڍڻ لاءِ ڪيبل ڊائون لوڊ ڪريو روزي جي عمل کي انجام ڏيڻ لاءِ.
4.1. استعمال ڪندي SDM روزي جي فرم ویئر
Intel Quartus Prime Programmer خودڪار طريقي سان ٺاھي ٿو ۽ لوڊ ڪري ٿو ھڪڙي فيڪٽري ڊفالٽ مددگار تصوير جڏھن توھان چونڊيو شروعاتي آپريشن ۽ ھڪڙي ڪمانڊ کي پروگرام ڪرڻ لاءِ ھڪڙي ترتيب واري بٽ اسٽريم کان سواءِ.
بيان ڪيل پروگرامنگ ڪمانڊ تي منحصر ڪري، فيڪٽري ڊفالٽ مددگار تصوير ٻن قسمن مان ھڪڙو آھي:
· Provisioning Helper image- تي مشتمل آھي ھڪڙي بٽ اسٽريم سيڪشن تي مشتمل آھي SDM پروويزننگ فرم ویئر.
QSPI مددگار تصوير- ٻن بٽ اسٽريم حصن تي مشتمل آھي، ھڪڙو SDM مکيه فرم ویئر ۽ ھڪڙو I/O سيڪشن تي مشتمل آھي.
توھان ٺاھي سگھو ٿا ھڪڙي فيڪٽري ڊفالٽ مددگار تصوير file ڪنهن به پروگرامنگ ڪمانڊ کي انجام ڏيڻ کان پهريان توهان جي ڊوائيس ۾ لوڊ ڪرڻ لاء. هڪ تصديق جي روٽ ڪي هيش کي پروگرام ڪرڻ کان پوء، توهان کي هڪ QSPI فيڪٽري ڊفالٽ مددگار تصوير ٺاهڻ ۽ سائن ان ڪرڻ گهرجي ڇاڪاڻ ته شامل I/O سيڪشن جي ڪري. جيڪڏهن توهان اضافي طور تي پروگرام ڪريو Co-Signed firmware سيڪيورٽي سيٽنگ eFuse، توهان کي لازمي طور تي تيار ڪرڻ گهرجي روزي ۽ QSPI فيڪٽري ڊفالٽ مددگار تصويرون Co-Signed firmware سان. توھان استعمال ڪري سگھو ٿا ڪو-سائن ٿيل فيڪٽري ڊفالٽ مددگار تصوير ھڪڙي غير ترتيب واري ڊيوائس تي جيئن غير ترتيب ڏنل ڊوائيس SDM فرم ویئر تي غير انٽيل دستخطي زنجيرن کي نظرانداز ڪري ٿو. QSPI فيڪٽري ڊفالٽ مددگار تصوير ٺاهڻ، سائن ڪرڻ، ۽ استعمال ڪرڻ بابت وڌيڪ تفصيل لاءِ صفحي 26 تي Owned Devices تي QSPI فيڪٽري ڊفالٽ مددگار تصوير استعمال ڪرڻ جو حوالو ڏيو.
روزي ڏيڻ واري ڪارخاني جي ڊفالٽ مددگار تصوير هڪ روزي جي عمل کي انجام ڏئي ٿي، جيئن ته پروگرامنگ جي تصديق روٽ ڪي هيش، سيڪيورٽي سيٽنگ فيوز، PUF داخلا، يا ڪارو اهم روزي. توهان استعمال ڪريو Intel Quartus Prime Programming File جنريٽر ڪمانڊ لائن ٽول روزي ڏيڻ واري مددگار تصوير ٺاهڻ لاءِ، مددگار_تصوير اختيار ڪرڻ، توهان جي مددگار_ڊيوائس جو نالو، روزي مددگار تصوير جو ذيلي قسم، ۽ اختياري طور تي هڪ گڏيل دستخط ٿيل فرمائيندڙ .zip file:
quartus_pfg -helper_image -o helper_device=AGFB014R24A -o ذيلي قسم=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Intel Quartus Prime Programmer Tool استعمال ڪندي مددگار تصوير کي پروگرام ڪريو:
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" -فورس

ISO 9001:2015 رجسٽر ٿيل

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23

نوٽ:

توھان ڪري سگھو ٿا شروعاتي آپريشن کي حڪمن کان، بشمول examples هن باب ۾ مهيا ڪيل، يا ته پروگرام ڪرڻ کان پوء هڪ روزي مددگار تصوير يا هڪ حڪم استعمال ڪندي جنهن ۾ شروعاتي آپريشن شامل آهي.

4.2. استعمال ڪندي QSPI فئڪٽري ڊفالٽ مددگار تصويري ملڪيت جي ڊوائيسز تي
Intel Quartus Prime Programmer خودڪار طريقي سان ٺاهي ۽ لوڊ ڪري ٿو هڪ QSPI فيڪٽري ڊفالٽ مددگار تصوير جڏهن توهان QSPI فليش پروگرامنگ لاءِ شروعاتي آپريشن کي چونڊيو ٿا. file. هڪ تصديق جي روٽ ڪي هيش پروگرام ڪرڻ کان پوء، توهان کي QSPI فيڪٽري ڊفالٽ مددگار تصوير ٺاهڻ ۽ سائن ان ڪرڻ گهرجي، ۽ QSPI فليش پروگرام ڪرڻ کان اڳ الڳ الڳ QSPI فيڪٽري مددگار تصوير کي پروگرام ڪرڻ گهرجي. 1. توھان استعمال ڪريو ٿا Intel Quartus Prime Programming File جنريٽر ڪمانڊ لائن ٽول کي
QSPI مددگار تصوير ٺاھيو، بيان ڪندي helper_image آپشن، توھان جي helper_device جو قسم، QSPI مددگار تصوير جو ذيلي قسم، ۽ اختياري طور ھڪ cosigned firmware .zip file:
quartus_pfg -helper_image -o helper_device=AGFB014R24A -o ذيلي قسم=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. توھان سائن ڪيو QSPI فيڪٽري ڊفالٽ مددگار تصوير:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. توھان استعمال ڪري سگھوٿا ڪو به QSPI فليش پروگرامنگ file فارميٽ. هيٺيون سابقamples .jic ۾ تبديل ٿيل هڪ ترتيب واري بٽ اسٽريم استعمال ڪريو file فارميٽ:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o ڊوائيس=MT25QU128 -o flash_loader=AGFB014R24A -o موڊ=ASX4
4. توهان Intel Quartus Prime Programmer Tool استعمال ڪندي دستخط ٿيل مددگار تصوير پروگرام ڪريو ٿا:
quartus_pgm -c 1 -mjtag -o "p;signed_qspi_helper_image.rbf" - فورس
5. توهان Intel Quartus Prime Programmer Tool استعمال ڪندي .jic تصوير کي فليش ڪرڻ لاءِ پروگرام ڪريو ٿا:
quartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”

4.3. تصديق روٽ ڪيئي فراهم ڪرڻ
پروگرام ڪرڻ لاءِ مالڪ روٽ ڪي هيشز کي فزيڪل فيوز تي، پهريان توهان کي لوڊ ڪرڻ گهرجي روزي فرم ویئر، ايندڙ پروگرام مالڪ روٽ ڪي هيشز کي، ۽ پوءِ فوري طور تي پاور آن ري سيٽ انجام ڏيو. پاور آن ري سيٽ گهربل نه آهي جيڪڏهن پروگرامنگ روٽ ڪي هيش ورچوئل فيوز ڏانهن.

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 26

موٽ موڪليو

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23
پروگرام جي تصديق ڪرڻ لاءِ روٽ ڪي هيش، توهان پروگرام ڪريو روزي فرم ویئر مددگار تصوير ۽ هيٺ ڏنل حڪمن مان هڪ کي هلائيندا روٽ ڪي .qky پروگرام ڪرڻ لاءِ files.
// جسماني لاءِ (غير مستحڪم) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” -non_volatile_key
// ورچوئل (متزلزل) eFuses لاءِ quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky”
4.3.1. جزوي ريڪنفيگريشن ملٽي اٿارٽي روٽ ڪيئي پروگرامنگ
ڊوائيس يا جامد علائقي بٽ اسٽريم مالڪ روٽ ڪيز کي فراهم ڪرڻ کان پوءِ، توهان ٻيهر لوڊ ڪريو ڊيوائس پروويژن مددگار تصوير، پروگرام ڪريو سائن ان ٿيل پي آر پبلڪ ڪيئي پروگرام اختيار ڪرڻ واري ڪمپيڪٽ سرٽيفڪيٽ، ۽ پوءِ پي آر پرسنا بٽ اسٽريم مالڪ روٽ ڪيچ کي فراهم ڪريو.
// جسماني لاءِ (غير مستحڪم) eFuses quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// ورچوئل (متزلزل) eFuses لاءِ quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” -pr_pubkey
4.4. پروگرامنگ اهم منسوخي ID فيوز
Intel Quartus Prime Pro Edition سافٽ ويئر ورزن 21.1 سان شروع ڪندي، پروگرامنگ Intel ۽ مالڪ جي ڪي ڪينسليشن ID فيوز کي استعمال ڪرڻ جي ضرورت آهي هڪ دستخط ٿيل ڪمپيڪٽ سرٽيفڪيٽ. توھان سائن ڪري سگھوٿا ڪي ڪي ڪينسليشن آئي ڊي ڪمپيڪٽ سرٽيفڪيٽ ھڪڙي دستخطي زنجير سان جنھن ۾ FPGA سيڪشن جي دستخطي اجازتون آھن. توهان پروگرامنگ سان ٺهيل سرٽيفڪيٽ ٺاهي file جنريٽر ڪمانڊ لائن اوزار. توهان quartus_sign اوزار يا ريفرنس پليپشن استعمال ڪندي غير دستخط ٿيل سرٽيفڪيٽ تي دستخط ڪريو.
Intel Agilex 7 ڊيوائسز هر روٽ ڪي لاءِ مالڪ ڪي ڪي منسوخي IDs جي الڳ بئنڪن جي مدد ڪن ٿيون. جڏهن هڪ مالڪ جي ڪي ڪينسليشن آئي ڊي ڪمپيڪٽ سرٽيفڪيٽ کي پروگرام ڪيو ويندو آهي هڪ Intel Agilex 7 FPGA، SDM اهو طئي ڪري ٿو ته ڪهڙي روٽ ڪيپيڪٽ سرٽيفڪيٽ تي دستخط ڪيو آهي ۽ ڪني ڪينسليشن ID فيوز کي اُڇلائي ٿو جيڪو ان روٽ ڪيئي سان ملندڙ جلندڙ آهي.
هيٺيون سابقamples Intel key ID 7 لاءِ Intel Key Cancelation Certificate ٺاھيو. توھان 7 کي 0-31 کان لاڳو Intel Key Cancelation ID سان بدلائي سگھو ٿا.
ھلايو ھيٺ ڏنل حڪم ھڪڙي غير دستخط ٿيل Intel Key Cancellation ID Compact سرٽيفڪيٽ ٺاھڻ لاءِ.
quartus_pfg -ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
ھلايو ھيٺ ڏنل حڪمن مان ھڪڙي کي سائن ان ڪرڻ لاءِ غير دستخط ٿيل Intel ڪيئي منسوخي ID ڪمپيڪٽ سرٽيفڪيٽ:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 27

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23
-keyname=design0_sign -qky=design0_sign_chain.qky -cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
ھلايو ھيٺ ڏنل ڪمانڊ ٺاھيو اڻ دستخط ٿيل مالڪ ڪي ڪينسليشن ID ٺاھڻ جو سرٽيفڪيٽ
quartus_pfg -ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
ھلايو ھيٺ ڏنل حڪمن مان ھڪڙي کي سائن ان ڪرڻ لاءِ غير دستخط ٿيل مالڪ ڪي ڪينسليشن ID ڪمپيڪٽ سرٽيفڪيٽ:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign -family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”-key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
توهان هڪ دستخط ٿيل ڪينسليشن ID ڪمپيڪٽ سرٽيفڪيٽ ٺاهڻ کان پوءِ، توهان Intel Quartus Prime Programmer استعمال ڪندا آهيو ته J.TAG.
// جسماني لاءِ (غير مستحڪم) eFuses quartus_pgm -c 1 -mjtag -o "pi؛signed_cancel_intel7.ccert" -non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” -non_volatile_key
// ورچوئل لاءِ (متزلزل) eFuses quartus_pgm -c 1 -mjtag -o "pi؛signed_cancel_intel7.ccert" quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
توھان اضافي طور موڪلي سگھو ٿا ڪمپيڪٽ سرٽيفڪيٽ SDM کي FPGA يا HPS ميل باڪس انٽرفيس استعمال ڪندي.
4.5. روٽ ڪيز کي منسوخ ڪرڻ
Intel Agilex 7 ڊوائيسز توهان کي روٽ ڪي هيش کي منسوخ ڪرڻ جي اجازت ڏين ٿا جڏهن ٻي غير منسوخ ٿيل روٽ ڪي هيش موجود آهي. توهان هڪ روٽ ڪي هيش کي منسوخ ڪريو پهرين ڊيوائس کي ترتيب سان ترتيب ڏيڻ سان جنهن جي دستخطي زنجير هڪ مختلف روٽ ڪي هيش ۾ جڙيل آهي، پوءِ پروگرام هڪ دستخط ٿيل روٽ ڪي هيش منسوخي ڪمپيڪٽ سرٽيفڪيٽ. توهان کي لازمي طور تي روٽ ڪي هيش منسوخ ڪرڻ واري ڪمپيڪٽ سرٽيفڪيٽ تي دستخط ڪرڻ لازمي آهي هڪ دستخط زنجير سان جڙيل روٽ چيڪ کي منسوخ ڪرڻ لاءِ.
ھلايو ھيٺ ڏنل حڪم ھڪڙي غير دستخط ٿيل روٽ ڪي ھش منسوخ ڪرڻ واري ڪمپيڪٽ سرٽيفڪيٽ کي ٺاھيو:
quartus_pfg -ccert -o -ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 28

موٽ موڪليو

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23

ھلايو ھيٺ ڏنل حڪمن مان ھڪڙي کي سائن ان ڪرڻ لاءِ غير دستخط ٿيل روٽ ڪيئي هيش منسوخ ڪرڻ واري ڪمپيڪٽ سرٽيفڪيٽ:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign -family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”-key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
توھان پروگرام ڪري سگھو ٿا روٽ ڪيئي ھيش منسوخ ڪرڻ واري ڪمپيڪٽ سرٽيفڪيٽ جي ذريعيTAG، FPGA، يا HPS ميل بڪس.

4.6. پروگرامنگ انسداد فيوز
توهان سيڪيورٽي ورزن نمبر (SVN) ۽ Pseudo Time Stamp (PTS) ڪائونٽر فيوز استعمال ڪندي دستخط ٿيل ڪمپيڪٽ سرٽيفڪيٽ.

نوٽ:

SDM ڏنل ترتيب جي دوران ڏٺو ويو گھٽ ۾ گھٽ ڪائونٽر ويليو جو ٽريڪ رکي ٿو ۽ ڪاؤنٽر انڪريمينٽ سرٽيفڪيٽ قبول نٿو ڪري جڏھن ڪاؤنٽر ويليو گھٽ ۾ گھٽ قدر کان ننڍو آھي. توهان کي لازمي طور تي سڀني شين کي اپڊيٽ ڪرڻ گهرجي جيڪو هڪ ڪائونٽر تي لڳايو ويو آهي ۽ ڊوائيس کي ٻيهر ترتيب ڏيڻ کان پهريان هڪ انسداد واڌاري ڪمپيڪٽ سرٽيفڪيٽ پروگرام ڪرڻ کان اڳ.

ھيٺ ڏنل حڪمن مان ھڪڙي کي ھلايو جيڪو انسداد واڌاري سرٽيفڪيٽ سان ملندو آھي جيڪو توھان ٺاھيو ٿا.
quartus_pfg -ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg -ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg -ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg -ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg -ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

1 جي هڪ انسداد قيمت هڪ انسداد واڌ جي اجازت ڏيڻ واري سرٽيفڪيٽ ٺاهي ٿي. پروگرامنگ هڪ ڪائونٽر انڪريمينٽ اٿارائيزيشن ڪمپيڪٽ سرٽيفڪيٽ توهان کي وڌيڪ غير دستخط ٿيل ڪائونٽر انڪريمينٽ سرٽيفڪيٽ پروگرام ڪرڻ جي قابل بڻائي ٿو لاڳاپيل ڪائونٽر کي اپڊيٽ ڪرڻ لاءِ. توهان quartus_sign ٽول استعمال ڪندا آهيو ڪائونٽر ڪمپيڪٽ سرٽيفڪيٽن کي سائن ڪرڻ لاءِ ساڳي فيشن ۾ اهم منسوخي ID ڪمپڪٽ سرٽيفڪيٽن تي.
توھان پروگرام ڪري سگھو ٿا روٽ ڪيئي ھيش منسوخ ڪرڻ واري ڪمپيڪٽ سرٽيفڪيٽ جي ذريعيTAG، FPGA، يا HPS ميل بڪس.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 29

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23

4.7. محفوظ ڊيٽا آبجیکٹ سروس روٽ ڪيئي فراهم ڪرڻ
توهان استعمال ڪريو Intel Quartus Prime Programmer کي مهيا ڪرڻ لاءِ محفوظ ڊيٽا آبجیکٹ سروس (SDOS) روٽ ڪي. پروگرامر خودڪار طريقي سان لوڊ ڪري ٿو روزي فرم ویئر مددگار تصوير کي روزي ڏيڻ لاءِ SDOS روٽ ڪي.
quartus_pgm c 1 mjtag -service_root_key -non_volatile_key

4.8. سيڪيورٽي سيٽنگ فيوز فراهم ڪرڻ
ڊوائيس سيڪيورٽي سيٽنگ فيوز کي جانچڻ لاءِ Intel Quartus Prime Programmer استعمال ڪريو ۽ انھن کي لکڻ لاءِ متن جي بنياد تي .fuse file جيئن ته:
quartus_pgm -c 1 -mjtag -o “ei؛ پروگرامنگ_fileفيوز؛AGFB014R24B"

آپشنز · i: پروگرامر لوڊ ڪري ٿو روزي جي فرم ویئر مددگار تصوير کي ڊوائيس تي. · e: پروگرامر ڊوائيس مان فيوز پڙهي ٿو ۽ ان کي .fuse ۾ محفوظ ڪري ٿو file.

فيوز file فيوز نالي-قدر جوڑوں جي هڪ فهرست تي مشتمل آهي. قدر بيان ڪري ٿو ته ڇا هڪ فيوز ڦوڪيو ويو آهي يا فيوز فيلڊ جو مواد.

هيٺيون سابقample .fuse جي شڪل ڏيکاري ٿو file:

# گڏيل دستخط ٿيل فرمائيندڙ

= ”نه ڦٽو“

# ڊوائيس پرمٽ مارڻ

= ”نه ڦٽو“

# ڊوائيس محفوظ ناهي

= ”نه ڦٽو“

# HPS ڊيبگ کي بند ڪريو

= ”نه ڦٽو“

# اندروني ID PUF داخلا کي غير فعال ڪريو

= ”نه ڦٽو“

# نااهل جيTAG

= ”نه ڦٽو“

# PUF-لفاف ٿيل انڪرپشن چيڪ کي بند ڪريو

= ”نه ڦٽو“

# بي بي آر ايم ۾ مالڪ جي انڪرپشن چيڪ کي غير فعال ڪريو = "بلو نه"

# eFuses ۾ مالڪ جي انڪرپشن جي چاٻي کي غير فعال ڪريو = "بلو نه"

# مالڪ روٽ پبلڪ ڪيچ هيش 0 کي غير فعال ڪريو

= ”نه ڦٽو“

# مالڪ روٽ پبلڪ ڪيچ هيش 1 کي غير فعال ڪريو

= ”نه ڦٽو“

# مالڪ روٽ پبلڪ ڪيچ هيش 2 کي غير فعال ڪريو

= ”نه ڦٽو“

# مجازي eFuses کي بند ڪريو

= ”نه ڦٽو“

# زبردستي SDM گھڙي کي اندروني اوسليٽر = "بلو نه"

# زبردستي انڪرپشن جي تازه ڪاري

= ”نه ڦٽو“

# Intel واضح ڪني منسوخي

= "0"

# سيڪيورٽي eFuses کي بند ڪريو

= ”نه ڦٽو“

# مالڪ اينڪرپشن ڪيئي پروگرام ڪيو ويو

= ”نه ڦٽو“

# مالڪ اينڪرپشن ڪيئي پروگرام شروع

= ”نه ڦٽو“

# مالڪ واضح ڪنجي منسوخي 0

= ""

# مالڪ واضح ڪنجي منسوخي 1

= ""

# مالڪ واضح ڪنجي منسوخي 2

= ""

# مالڪ فيوز

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000“

# مالڪ روٽ عوامي ڪيئي هيش 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000“

# مالڪ روٽ عوامي ڪيئي هيش 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000“

# مالڪ روٽ عوامي ڪيئي هيش 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000“

# مالڪ روٽ پبلڪ ڪيٻي سائيز

= "ڪو به نه"

# PTS انسداد

= "0"

# PTS انسداد جو بنياد

= "0"

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 30

موٽ موڪليو

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23

# QSPI شروع ٿيڻ جي دير # RMA ڪائونٽر # SDMIO0 I2C آهي # SVN counter A # SVN counter B # SVN counter C # SVN counter D

= "10ms" = "0" = "نه ڦوڪيو" = "0" = "0" = "0" = "0"

فيوز کي تبديل ڪريو file توهان جي گهربل سيڪيورٽي سيٽنگ فيوز کي سيٽ ڪرڻ لاء. ھڪڙي لڪير جيڪا شروع ٿئي ٿي # سان تبصري واري لائن جي طور تي علاج ڪيو ويندو آھي. حفاظتي سيٽنگ فيوز کي پروگرام ڪرڻ لاءِ، اڳواٽ # هٽايو ۽ قيمت کي بلون مقرر ڪريو. مثال لاءِample، Co-Signed Firmware سيڪيورٽي سيٽنگ فيوز کي فعال ڪرڻ لاءِ، فيوز جي پهرين لائن کي تبديل ڪريو file هي followingين ڏانهن:
گڏيل دستخط ٿيل فرم ویئر = "بلو"

توهان شايد توهان جي گهرجن جي بنياد تي مالڪ فيوز کي مختص ۽ پروگرام ڪري سگھو ٿا.
توھان ھيٺ ڏنل حڪم استعمال ڪري سگھو ٿا ھڪڙي خالي چيڪ، پروگرام، ۽ مالڪ جي روٽ پبلڪ ڪيچ جي تصديق ڪرڻ لاء:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

آپشنز · i: لوڊ ڪريو روزي جي فرم ویئر مددگار تصوير کي ڊوائيس تي. · ب: هڪ خالي چيڪ انجام ڏئي ٿو تصديق ڪرڻ لاءِ گهربل سيڪيورٽي سيٽنگ فيوز نه آهن
اڳ ۾ ئي ڦٽو. · p: فيوز جو پروگرام. · v: ڊوائيس تي پروگرام ڪيل چيڪ جي تصديق ڪري ٿي.
پروگرام ڪرڻ کان پوءِ .qky file، توهان فيوز جي معلومات کي جانچي سگهو ٿا فيوز جي معلومات کي ٻيهر جانچڻ لاءِ انهي کي يقيني بڻائڻ لاءِ ته مالڪ پبلڪ ڪيئي هيش ۽ مالڪ پبلڪ ڪي جي سائيز ۾ غير صفر قدر آهن.
جڏهن ته هيٺيون فيلڊز .fuse ذريعي لکڻ لائق نه آهن file طريقي سان، اهي شامل ڪيا ويا آهن چڪاس آپريشن جي نتيجي ۾ تصديق لاءِ: · ڊيوائس محفوظ ناهي · ڊيوائس پرمٽ مارڻ · غير فعال مالڪ روٽ پبلڪ ڪي هيش 0 · غير فعال مالڪ روٽ پبلڪ ڪي هيش 1 · غير فعال مالڪ روٽ پبلڪ ڪي هيش 2 · انٽيل ڪي منسوخي · مالڪ جي انڪرپشن ڪيئي پروگرام شروع ٿيو · مالڪ جي انڪرپشن ڪيئي پروگرام ٿي ويو · مالڪ جي ڪي منسوخي · مالڪ پبلڪ ڪي هيش · مالڪ عوامي ڪيئي سائيز · مالڪ روٽ پبلڪ ڪي هيش 0 · مالڪ روٽ پبلڪ ڪي هيش 1 · مالڪ روٽ پبلڪ ڪي هيش 2

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 31

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23
· PTS counter · PTS counter base · QSPI شروعاتي دير · RMA counter · SDMIO0 is I2C · SVN counter A · SVN counter B · SVN counter C · SVN counter D
.fuse پروگرام ڪرڻ لاءِ Intel Quartus Prime Programmer استعمال ڪريو file ڊوائيس ڏانهن واپس. جيڪڏهن توهان i آپشن شامل ڪريو ٿا، پروگرامر خودڪار طريقي سان لوڊ ڪري ٿو روزي فرم ویئر کي پروگرام ڪرڻ لاءِ سيڪيورٽي سيٽنگ فيوز.
// جسماني لاءِ (غير مستحڪم) eFuses quartus_pgm -c 1 -mjtag -o "pi؛ پروگرامنگ_file.fuse" -non_volatile_key
// ورچوئل لاءِ (متزلزل) eFuses quartus_pgm -c 1 -mjtag -o "pi؛ پروگرامنگ_fileفيوز
توھان ھيٺ ڏنل حڪم استعمال ڪري سگھوٿا تصديق ڪرڻ لاءِ ته ڇا ڊيوائس روٽ ڪي ھش ساڳيو آھي .qky ڪمانڊ ۾ ڏنل آھي:
quartus_pgm -c 1 -mjtag -o “v;root0_another.qky”
جيڪڏهن چاٻيون نه ملنديون آهن، پروگرامر ناڪام ٿيندو هڪ آپريشن ناڪام غلطي پيغام سان.
4.9. AES روٽ ڪيڏي فراهم ڪرڻ
Intel Agilex 7 ڊوائيس تي AES روٽ ڪيئي پروگرام ڪرڻ لاءِ توهان کي لازمي طور تي هڪ دستخط ٿيل AES روٽ ڪيپيڪٽ سرٽيفڪيٽ استعمال ڪرڻ گهرجي.
4.9.1. AES روٽ ڪيپيٽ سرٽيفڪيٽ
توھان استعمال ڪريو quartus_pfg ڪمانڊ لائن ٽول پنھنجي AES روٽ ڪي .qek کي تبديل ڪرڻ لاءِ file ڪمپيڪٽ سرٽيفڪيٽ .ccert فارميٽ ۾. کمپیکٹ سرٽيفڪيٽ ٺاهڻ دوران توهان اهم اسٽوريج جي جڳھ کي بيان ڪريو. توھان استعمال ڪري سگھو ٿا quartus_pfg اوزار بعد ۾ سائن ان ڪرڻ لاءِ غير دستخط ٿيل سرٽيفڪيٽ ٺاھيو. توهان کي لازمي طور تي AES روٽ ڪي سرٽيفڪيشن جي دستخط جي اجازت سان دستخطي زنجير استعمال ڪرڻ گهرجي، اجازت بٽ 6، اي اي ايس روٽ ڪيپيٽ سرٽيفڪيٽ ڪاميابي سان سائن ان ڪرڻ لاءِ.

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 32

موٽ موڪليو

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23
1. ھيٺ ڏنل ڪمانڊ مان ھڪڙو استعمال ڪندي AES ڪيئي ڪمپيڪٽ سرٽيفڪيٽ تي دستخط ڪرڻ لاءِ استعمال ٿيل اضافي ڪي جوڙو ٺاھيو examples:
quartus_sign -family=agilex -operation=make_private_pem -curve=secp384r1 aesccert1_private.pem
quartus_sign -family=agilex -operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool -module=/usr/local/lib/softhsm/libsofthsm2.so -token-label agilex-token -login -pin agilex-token-pin -keypairgen ميڪانيزم ECDSA-KEY-PAIR-GEN -key-type EC: secp384r1 -استعمال-سائن-ليبل aesccert1 -id 2
2. ھيٺ ڏنل حڪمن مان ھڪڙي استعمال ڪندي صحيح اجازت واري بٽ سيٽ سان دستخطي زنجير ٺاھيو:
quartus_sign -family=agilex -operation=append_key -previous_pem=root0_private.pem -previous_qky=root0.qky -permission=0x40 -cancel=1 -input_pem=aesccert1_public.pem aesccert1_qky
quartus_sign -family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. root0 -previous_qky=root0.qky -permission=0x40 -cancel=1 -input_keyname=aesccert1 aesccert1_sign_chain.qky
3. گھربل AES روٽ ڪيئي اسٽوريج جي جڳھ لاءِ اڻ دستخط ٿيل AES ڪمپيڪٽ سرٽيفڪيٽ ٺاھيو. هيٺيان AES روٽ ڪي اسٽوريج جا اختيار موجود آهن:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
// ٺاهيو eFuse AES روٽ ڪيئي غير دستخط ٿيل سرٽيفڪيٽ quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. quartus_sign ڪمانڊ يا ريفرنس لاڳو ڪرڻ سان گڏ ڪمپيڪٽ سرٽيفڪيٽ سائن ڪريو.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.Ccert دستخط ٿيل_ 1. سرٽيفڪيٽ
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 33

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23

-keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.Ccert دستخط ٿيل_ 1. سرٽيفڪيٽ
5. استعمال ڪريو Intel Quartus Prime Programmer پروگرام ڪرڻ لاءِ AES روٽ Key Compact سرٽيفڪيٽ Intel Agilex 7 ڊوائيس تي J ذريعي.TAG. Intel Quartus Prime Programmer ڊفالٽ ڪري ٿو پروگرام ورچوئل eFuses جڏهن استعمال ڪري ٿو EFUSE_WRAPPED_AES_KEY ڪمپيڪٽ سرٽيفڪيٽ جو قسم.
توھان شامل ڪريو -non_volatile_key آپشن پروگرامنگ فزيڪل فيوز کي بيان ڪرڻ لاءِ.
// فزيڪل لاءِ (غير مستحڪم) eFuse AES روٽ ڪيئي quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” -non_volatile_key

// ورچوئل لاءِ (متزلزل) eFuse AES روٽ ڪيئي quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”

// BBRAM AES روٽ ڪيئي لاءِ quartus_pgm -c 1 -mjtag -o “pi;signed_bbram1.ccert”

SDM روزي فرم ویئر ۽ مکيه فرم ویئر سپورٽ AES روٽ ڪيئي سرٽيفڪيٽ پروگرامنگ. توھان پڻ استعمال ڪري سگھو ٿا SDM ميل باڪس انٽرفيس FPGA fabric يا HPS مان پروگرام ڪرڻ لاءِ AES روٽ ڪيئي سرٽيفڪيٽ.

نوٽ:

quartus_pgm ڪمانڊ ڪمپيڪٽ سرٽيفڪيٽن (.ccert) لاءِ اختيارن b ۽ v کي سپورٽ نٿو ڪري.

4.9.2. Intrinsic ID® PUF AES روٽ ڪيئي فراهم ڪرڻ
Intrinsic* ID PUF wrapped AES Key کي لاڳو ڪرڻ ۾ ھيٺيان قدم شامل آھن: 1. Intrinsic ID PUF کي J ذريعي داخل ڪرڻTAG. 2. AES روٽ چاٻي کي لپائڻ. 3. مددگار ڊيٽا کي پروگرام ڪرڻ ۽ Quad SPI فليش ميموري ۾ چاٻي کي لپي. 4. Intrinsic ID PUF ايڪٽيويشن اسٽيٽس جي پڇا ڳاڇا ڪرڻ.
Intrinsic ID ٽيڪنالاجي جي استعمال کي Intrinsic ID سان الڳ لائسنس جي معاهدي جي ضرورت آهي. Intel Quartus Prime Pro Edition سافٽ ويئر PUF آپريشنز کي مناسب لائسنس کان سواءِ محدود ڪري ٿو، جيئن داخلا، ڪي ريپنگ، ۽ PUF ڊيٽا پروگرامنگ کي QSPI فليش.

4.9.2.1. اندروني ID PUF داخلا
PUF داخل ڪرڻ لاءِ، توھان کي استعمال ڪرڻ گھرجي SDM روزي واري فرم ویئر. روزي واري فرم ویئر کي لازمي طور تي پهريون فرم ویئر هوندو جيڪو پاور چڪر کان پوءِ لوڊ ڪيو ويو آهي، ۽ توهان کي لازمي طور تي جاري ڪرڻ گهرجي PUF داخلا حڪم ڪنهن ٻئي حڪم کان اڳ. روزي فرم ویئر PUF داخلا کان پوءِ ٻين حڪمن کي سپورٽ ڪري ٿو، بشمول AES روٽ ڪي ريپنگ ۽ پروگرامنگ ڪواڊ SPI، جڏهن ته، توهان کي لازمي طور تي ڊوائيس کي پاور چڪر ڪرڻ گهرجي هڪ ترتيب واري بٽ اسٽريم کي لوڊ ڪرڻ لاءِ.
توھان استعمال ڪريو ٿا Intel Quartus Prime Programmer PUF جي داخلا کي شروع ڪرڻ ۽ PUF مددگار ڊيٽا پيدا ڪرڻ لاءِ file.

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 34

موٽ موڪليو

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23

شڪل 7.

اندروني ID PUF داخلا
quartus_pgm PUF داخلا

داخلا PUF مددگار ڊيٽا

محفوظ ڊيوائس مئنيجر (SDM)

wrapper.puf مددگار ڊيٽا
پروگرامر خودڪار طريقي سان لوڊ ڪري ٿو هڪ روزي فرم ویئر مددگار تصوير جڏهن توهان ٻنهي i آپريشن ۽ هڪ .puf دليل بيان ڪريو.
quartus_pgm -c 1 -mjtag -o “ei;help_data.puf;AGFB014R24A“
جيڪڏهن توهان co-signed firmware استعمال ڪري رهيا آهيو، توهان PUF اينرولمينٽ ڪمانڊ استعمال ڪرڻ کان پهريان ڪو-سائن ٿيل فرم ویئر مددگار تصوير پروگرام ڪريو ٿا.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” -force quartus_pgm -c 1 -mjtag -o “e;help_data.puf;AGFB014R24A”
UDS IID PUF ڊيوائس ٺاھڻ دوران داخل ٿيل آھي، ۽ ٻيهر داخل ٿيڻ لاءِ دستياب ناھي. ان جي بدران، توهان IPCS تي UDS PUF مددگار ڊيٽا جي جڳھ کي طئي ڪرڻ لاءِ پروگرامر استعمال ڪريو، .puf ڊائون لوڊ ڪريو file سڌو، ۽ پوء استعمال ڪريو UDS .puf file ساڳيءَ طرح جيئن .puf file هڪ Intel Agilex 7 ڊوائيس مان ڪڍيو ويو.
ھيٺ ڏنل پروگرامر ڪمانڊ استعمال ڪريو ٽيڪسٽ ٺاھيو file جي هڪ فهرست تي مشتمل آهي URLs اشارو ڪندي ڊوائيس مخصوص fileIPCS تي s:
quartus_pgm -c 1 -mjtag -o“e;ipcs_urls.txt؛AGFB014R24B" -ipcs_urls
4.9.2.2. AES روٽ جي چاٻي کي لپائڻ
توھان ٺاھيو IID PUF لپيل AES روٽ ڪي .wkey file SDM ڏانهن هڪ دستخط ٿيل سرٽيفڪيٽ موڪلڻ سان.
توهان استعمال ڪري سگهو ٿا Intel Quartus Prime Programmer خودڪار طريقي سان ٺاهي، سائن ان ڪرڻ، ۽ سرٽيفڪيٽ موڪلڻ لاءِ توهان جي AES روٽ ڪي کي لپيٽڻ لاءِ، يا توهان استعمال ڪري سگهو ٿا Intel Quartus Prime Programming. File جنريٽر هڪ غير دستخط ٿيل سرٽيفڪيٽ ٺاهي. توهان پنهنجي پنهنجي اوزار يا Quartus دستخطي اوزار استعمال ڪندي غير دستخط ٿيل سرٽيفڪيٽ تي دستخط ڪريو. توھان پوءِ پروگرامر استعمال ڪريو سائن ان ٿيل سرٽيفڪيٽ موڪلڻ لاءِ ۽ پنھنجي AES روٽ چاٻي کي لپي. دستخط ٿيل سرٽيفڪيٽ سڀني ڊوائيسز کي پروگرام ڪرڻ لاء استعمال ٿي سگھي ٿو جيڪي دستخط جي زنجير کي درست ڪري سگھن ٿا.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 35

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23

شڪل 8.

Intel Quartus Prime Programmer استعمال ڪندي AES Key کي لپائڻ
پي ايم پرائيويٽ
چاٻي

.qky

quartus_pgm

AES چاٻي لپي

AES.QSKigYnature RootCPhuabilnic Key

ٺاھيو PUF لپي چاٻي

ويڙهيل AES چاٻي

ايس ڊي ايم

.qek انڪرپشن
چاٻي

.wkey PUF-Wrapped
AES Key

1. توھان ھيٺ ڏنل دليلن کي استعمال ڪندي پروگرامر سان IID PUF لپي AES روٽ ڪي (.wkey) ٺاھي سگھو ٿا:
· دي .qky file AES روٽ ڪي سرٽيفڪيٽ جي اجازت سان دستخطي زنجير تي مشتمل
· خانگي. پي ايم file دستخط جي زنجير ۾ آخري ڪنجي لاءِ
· ڪيڪ file AES روٽ ڪيچ کي دٻايو
· 16-بائيٽ شروعاتي ویکٹر (iv).

quartus_pgm -c 1 -mjtag -qky_file=aes0_sign_chain.qky -pem_file=aes0_sign_private.pem -qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. متبادل طور تي، توھان ٺاھي سگھو ٿا اڻ دستخط ٿيل IID PUF لفافي AES روٽ ڪي سرٽيفڪيٽ پروگرامنگ سان File جنريٽر ھيٺ ڏنل دليلن کي استعمال ڪندي:

quartus_pfg -ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. توھان ھيٺ ڏنل ڪمانڊ استعمال ڪندي غير دستخط ٿيل سرٽيفڪيٽ کي پنھنجي پنھنجي دستخطي اوزار يا quartus_sign ٽول سان سائن ڪيو:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. پوءِ توھان پروگرامر استعمال ڪريو سائن ان ٿيل AES سرٽيفڪيٽ موڪلڻ لاءِ ۽ واپس ورتل چيڪ (.wkey) file:

quarts_pgm -c 1 -mjtag -ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

نوٽ: i آپريشن ضروري نه آهي جيڪڏهن توهان اڳ ۾ لوڊ ڪيو آهي روزي فرم ویئر مددگار تصوير، مثال لاءِampلي، PUF ۾ داخلا وٺڻ لاءِ.

4.9.2.3. پروگرامنگ مددگار ڊيٽا ۽ QSPI فليش ميموري کي لپي چاٻي
توهان Quartus پروگرامنگ استعمال ڪريو File جنريٽر گرافيڪل انٽرفيس هڪ شروعاتي QSPI فليش تصوير ٺاهڻ لاءِ جنهن ۾ PUF ورهاڱو شامل آهي. QSPI فليش ۾ PUF ورهاڱي کي شامل ڪرڻ لاءِ توهان کي هڪ پوري فليش پروگرامنگ تصوير ٺاهڻ ۽ پروگرام ڪرڻ گهرجي. PUF جي ٺهڻ

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 36

موٽ موڪليو

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23

شڪل 9.

ڊيٽا ورهاڱي ۽ PUF مددگار ڊيٽا جو استعمال ۽ لپي چاٻي files فليش تصويري نسل لاءِ پروگرامنگ ذريعي سپورٽ نه ڪئي وئي آهي File جنريٽر ڪمانڊ لائن انٽرفيس.
هيٺيان قدم PUF مددگار ڊيٽا سان گڏ هڪ فليش پروگرامنگ تصوير جي تعمير جو مظاهرو ڪري ٿو ۽ چاٻي کي لپي ٿو:
1. تي File مينيو، ڪلڪ ڪريو پروگرامنگ File جنريٽر. اوٽ تي Files ٽيب ھيٺ ڏنل چونڊون ٺاھيو:
هڪ ڊوائيس فيملي لاءِ Agilex 7 چونڊيو.
ب. ڪنفيگريشن موڊ لاءِ چونڊيو Active Serial x4.
ج. آئوٽ ڊاريڪٽري لاءِ براؤز ڪريو پنھنجي ٻاھرين ڏانھن file ڊاريڪٽري. هن اڳوڻيampلي آئوٽ استعمال ڪري ٿو_files.
ڊي. نالي لاء، پروگرامنگ لاء نالو بيان ڪريو file پيدا ٿيڻ. هن اڳوڻيampلي آئوٽ استعمال ڪري ٿو_file.
e. وضاحت تحت پروگرامنگ چونڊيو files پيدا ڪرڻ. هن اڳوڻيampلي ٺاهي ٿو جيTAG اڻ سڌي ترتيب File (.jic) ڊوائيس جي ترتيب ۽ را بائنري لاءِ File پروگرامنگ مددگار تصوير (.rbf) ڊوائيس مددگار تصوير لاء. هن اڳوڻيample پڻ اختياري ياداشت جو نقشو چونڊيندو آهي File (. نقشو) ۽ را پروگرامنگ ڊيٽا File (. آر پي ڊي). خام پروگرامنگ ڊيٽا file صرف ضروري آهي جيڪڏهن توهان مستقبل ۾ ٽئين پارٽي پروگرامر استعمال ڪرڻ جو ارادو ڪيو.
پروگرامنگ File جنريٽر- آئوٽ پٽ Files ٽيب - منتخب ڪريو JTAG اڻ سڌي ترتيب

ڊوائيس خانداني ترتيب واري موڊ
ٻاھر file ٽيب
آئوٽ پُٽ ڊاريڪٽري
JTAG اڻ سڌي طرح (.jic) ياداشت جو نقشو File پروگرامنگ مددگار را پروگرامنگ ڊيٽا
ان پٽ تي Files ٽئب، ھيٺيون چونڊون ڪريو: 1. ڪلڪ ڪريو شامل ڪريو Bitstream ۽ براؤز ڪريو پنھنجي .sof ڏانھن. 2. پنھنجي .sof چونڊيو file ۽ پوءِ پراپرٽيز تي ڪلڪ ڪريو.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 37

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23
هڪ فعال ڪريو سائن ان اوزار. ب. پرائيويٽ ڪنجي لاءِ file پنهنجو .pem چونڊيو file. ج. آن ڪريو Finalize Encryption. ڊي. Encryption key لاءِ file پنھنجي .qek چونڊيو file. e. اڳئين ونڊو ڏانھن موٽڻ لاءِ ٺيڪ تي ڪلڪ ڪريو. 3. توهان جي PUF مددگار ڊيٽا کي بيان ڪرڻ لاء file, ڪلڪ ڪريو Raw Data شامل ڪريو. تبديل ڪريو Files قسم جي ڊراپ-ڊائون مينيو کي Quartus Physical Unclonable Function File (*.پف). پنھنجي .puf ڏانھن برائوز ڪريو file. جيڪڏهن توهان IID PUF ۽ UDS IID PUF ٻئي استعمال ڪري رهيا آهيو، هن قدم کي ورجايو ته جيئن .puf files هر PUF لاءِ ان پٽ طور شامل ڪيا ويا آهن fileايس. 4. توهان جي لپيل AES ڪيچ جي وضاحت ڪرڻ لاء file, ڪلڪ ڪريو Raw Data شامل ڪريو. تبديل ڪريو Files قسم جي ڊراپ-ڊائون مينيو ڏانھن Quartus Wrapped Key File (*.wkey). پنھنجي .wkey ڏانھن برائوز ڪريو file. جيڪڏهن توهان IID PUF ۽ UDS IID PUF ٻنهي کي استعمال ڪندي AES ڪنجيون لپيٽيون آهن، هن قدم کي ورجايو ته جيئن .wkey files هر PUF لاءِ ان پٽ طور شامل ڪيا ويا آهن files.
شڪل 10. ان پٽ جي وضاحت ڪريو Files ترتيب ڏيڻ، تصديق ڪرڻ، ۽ انڪرپشن لاءِ

Bitstream شامل ڪريو خام ڊيٽا شامل ڪريو
ملڪيتون
خانگي چاٻي file
Encryption کي حتمي شڪل ڏيو Encryption key
Configuration Device ٽئب تي، ھيٺيون چونڊون ڪريو: 1. ڊيوائس شامل ڪريو تي ڪلڪ ڪريو ۽ موجود فليش جي فهرست مان پنھنجو فليش ڊيوائس چونڊيو
ڊوائيسز. 2. منتخب ڪريو ڪنفيگريشن ڊيوائس جيڪو توھان شامل ڪيو آھي ۽ ڪلڪ ڪريو حصو شامل ڪريو. 3. ان پٽ لاءِ Edit Partition ڊائلاگ باڪس ۾ file ۽ پنهنجي .sof مان چونڊيو
ڊراپ ڊائون لسٽ. توھان ڊفالٽ برقرار رکي سگھوٿا يا ٻئي پيٽرول ۾ ترميم ڪري سگھوٿا ورهاڱي ۾ تبديلي ڪريو ڊائلاگ باڪس.

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 38

موٽ موڪليو

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23
تصوير 11. توهان جي .sof ڪنفيگريشن Bitstream ورهاڱي جي وضاحت ڪندي

ڪنفيگريشن ڊيوائس
ورهاڱي ۾ ترميم ڪريو Add .sof file

ورهاڱي شامل ڪريو

4. جڏھن توھان .puf ۽ .wkey کي ان پٽ طور شامل ڪيو files، پروگرامنگ File جنريٽر خود بخود توهان جي ڪنفيگريشن ڊيوائس ۾ PUF ورهاڱي ٺاهي ٿو. PUF ورهاڱي ۾ .puf ۽ .wkey کي ذخيرو ڪرڻ لاء، PUF ورهاڱي کي چونڊيو ۽ ايڊٽ ڪريو تي ڪلڪ ڪريو. ورهاڱي ۾ ترميم ڪريو ڊائلاگ باڪس ۾، پنهنجو .puf ۽ .wkey چونڊيو files ڊراپ ڊائون لسٽن مان. جيڪڏهن توهان PUF ورهاڱي کي هٽايو، توهان کي پروگرامنگ لاء ترتيب واري ڊوائيس کي هٽائڻ ۽ ٻيهر شامل ڪرڻ گهرجي. File ٻيو PUF ورهاڱي ٺاهڻ لاء جنريٽر. توهان کي پڪ ڪرڻ گهرجي ته توهان صحيح .puf ۽ .wkey چونڊيو ٿا file IID PUF ۽ UDS IID PUF لاءِ.
شڪل 12. شامل ڪريو .puf ۽ .wkey filePUF ورهاڱي ڏانهن

PUF ورهاڱي

ترميم ڪريو

ورهاڱي کي تبديل ڪريو

فليش لوڊ ڪندڙ

منتخب ڪريو پيدا ڪريو

5. Flash Loader parameter لاءِ Intel Agilex 7 ڊيوائس فيملي ۽ ڊيوائس جو نالو چونڊيو جيڪو توھان جي Intel Agilex 7 OPN سان ملندو آھي.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 39

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23
6. ڪلڪ ڪريو پيدا ڪريو پيداوار پيدا ڪرڻ لاء files جيڪو توهان آئوٽ پٽ تي بيان ڪيو آهي Fileايس ٽيب.
7. پروگرامنگ File جنريٽر توهان جي .qek پڙهي ٿو file ۽ توھان کي توھان جي پاسفريج لاءِ اشارو ڪري ٿو. داخل ڪريو QEK پاسفريس پرامپٹ جي جواب ۾ پنھنجو پاسفريس ٽائيپ ڪريو. داخل ڪريو بٽڻ تي ڪلڪ ڪريو.
8. ڪلڪ ڪريو ٺيڪ جڏهن پروگرامنگ File جنريٽر ڪامياب نسل جي رپورٽ ڪري ٿو.
توهان QSPI پروگرامنگ تصوير کي QSPI فليش ميموري تي لکڻ لاءِ Intel Quartus Prime Programmer استعمال ڪريو ٿا. 1. Intel Quartus Prime Tools مينيو تي پروگرامر چونڊيو. 2. پروگرامر ۾، هارڊويئر سيٽ اپ تي ڪلڪ ڪريو ۽ پوءِ ڳنڍيل Intel چونڊيو
FPGA ڊائون لوڊ ڪيبل. 3. ڪلڪ ڪريو شامل ڪريو File ۽ براؤز ڪريو پنھنجي .jic file.
تصوير 13. پروگرام .jic

پروگرامنگ file

پروگرام / ترتيب

JTAG اسڪين زنجير
4. مددگار تصوير سان لاڳاپيل دٻي کي غير منتخب ڪريو. 5. .jic آئوٽ پٽ لاءِ پروگرام/ڪانفيگر ڪريو file. 6. پنھنجي Quad SPI فليش ميموري کي پروگرام ڪرڻ لاءِ Start بٽڻ کي آن ڪريو. 7. پاور سائيڪل توهان جي بورڊ. ڊيزائن کي ڪوڊ SPI فليش ميموري تي پروگرام ڪيو ويو
ڊوائيس بعد ۾ ٽارگيٽ FPGA ۾ لوڊ ڪري ٿي.
توهان کي هڪ مڪمل فليش پروگرامنگ تصوير ٺاهڻ ۽ پروگرام ڪرڻ گهرجي ته PUF ورهاڱي کي Quad SPI فليش ۾ شامل ڪرڻ لاءِ.
جڏهن هڪ PUF ورهاڱي اڳ ۾ ئي فليش ۾ موجود آهي، اهو استعمال ڪرڻ ممڪن آهي Intel Quartus Prime Programmer سڌو سنئون PUF مددگار ڊيٽا تائين رسائي حاصل ڪرڻ ۽ لپي ٿيل ڪي fileايس. مثال لاءِampلي، جيڪڏهن چالو ڪرڻ ناڪام ٿي ويو، اهو ممڪن آهي ته PUF کي ٻيهر داخل ڪيو وڃي، AES کي ٻيهر لفاف ڪيو وڃي، ۽ بعد ۾ صرف PUF کي پروگرام ڪيو وڃي. files بغير پوري فليش کي اوور رائٽ ڪرڻ جي.

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 40

موٽ موڪليو

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23
Intel Quartus Prime Programmer PUF لاءِ هيٺين آپريشن دليل جي حمايت ڪري ٿو files اڳ ۾ موجود PUF ورهاڱي ۾:
· پي: پروگرام
· v: تصديق ڪريو
· ر: ختم ڪرڻ
· ب: خالي چيڪ
توهان کي PUF داخلا لاءِ ساڳين پابندين جي پيروي ڪرڻ گهرجي، جيتوڻيڪ هڪ PUF ورهاڱي موجود آهي.
1. پهرين آپريشن لاءِ پروويشن فرم ویئر مددگار تصوير لوڊ ڪرڻ لاءِ i آپريشن دليل استعمال ڪريو. مثال لاءِample، هيٺ ڏنل حڪم جي ترتيب PUF کي ٻيهر داخل ڪري ٿو، AES روٽ ڪيٻي کي ٻيهر لفاف ڪريو، پراڻي PUF مددگار ڊيٽا کي ختم ڪريو ۽ لپي ٿيل ڪي، پوء پروگرام ۽ تصديق ڪريو نئين PUF مددگار ڊيٽا ۽ AES روٽ ڪي.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag -ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o "r؛old.puf" quartus_pgm -c 1 -mjtag -o "r؛old.wkey" quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o "p;new.wkey" quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o “v;new.wkey”
4.9.2.4. Intrinsic ID PUF ايڪٽيويشن اسٽيٽس بابت پڇڻ
ان کان پوءِ توهان Intrinsic ID PUF داخل ڪريو، هڪ AES چاٻي لپي، فليش پروگرامنگ ٺاهي files، ۽ Quad SPI فليش کي اپڊيٽ ڪريو، توھان پنھنجي ڊيوائس کي PUF چالو ڪرڻ ۽ انڪريپٽ ٿيل بٽ اسٽريم مان ترتيب ڏيڻ لاءِ پاور چڪر ڪريو ٿا. SDM رپورٽ ڪري ٿو PUF ايڪٽيويشن اسٽيٽس سان گڏ ترتيب واري صورتحال. جيڪڏهن PUF چالو ناڪام ٿئي ٿو، SDM بدران PUF غلطي جي صورتحال کي رپورٽ ڪري ٿو. quartus_pgm ڪمانڊ استعمال ڪريو ترتيب جي صورتحال کي پڇڻ لاء.
1. چالو ڪرڻ جي حالت کي پڇڻ لاء ھيٺ ڏنل حڪم استعمال ڪريو:
quartus_pgm -c 1 -mjtag -status-status_type="CONFIG"
هتي آهي ايسampڪامياب ايڪٽيويشن مان لي آئوٽ:
ڄاڻ (21597): CONFIG_STATUS ڊيوائس جو جواب يوزر موڊ ۾ ھلندو آھي 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 ورجن C000007B MSEL=QSPIn=, VCON,1,V,,,,,,,,,,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 غلطي جي جڳھ 00000000 غلطي جا تفصيل جواب جو جواب PUF_STON=00002000B 2 USER_IID STATUS=PUF_ACTIVATION_SUCCESS،
RELIABILITY_DIAGNOSTIC_SCORE=5، TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS،
RELIABILITY_DIAGNOSTIC_SCORE=5، TEST_MODE=0

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 41

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23

جيڪڏهن توهان صرف يا ته IID PUF يا UDS IID PUF استعمال ڪري رهيا آهيو، ۽ مددگار ڊيٽا کي پروگرام نه ڪيو آهي .puf file QSPI فليش ۾ يا ته PUF لاءِ، اهو PUF چالو نه ٿيو آهي ۽ PUF اسٽيٽس اهو ظاهر ڪري ٿو ته PUF مددگار ڊيٽا صحيح ناهي. هيٺيون سابقample ڏيکاري ٿو PUF اسٽيٽس جڏهن PUF مددگار ڊيٽا ڪنهن به PUF لاءِ پروگرام نه ڪئي وئي هئي:
PUF_STATUS جو جواب 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED،
RELIABILITY_DIAGNOSTIC_SCORE=0، TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED،
RELIABILITY_DIAGNOSTIC_SCORE=0، TEST_MODE=0

4.9.2.5. فليش ميموري ۾ PUF جو مقام
PUF جو مقام file ڊزائينز لاءِ مختلف آھي جيڪي RSU کي سپورٽ ڪن ٿيون ۽ ڊزائنون جيڪي RSU خصوصيت کي سپورٽ نه ڪن ٿيون.

ڊزائينز لاءِ جيڪي RSU کي سپورٽ نٿا ڪن، توھان کي .puf ۽ .wkey شامل ڪرڻ گھرجي files جڏهن توهان تازه ڪاري فليش تصويرون ٺاهيندا آهيو. ڊزائينز لاءِ جيڪي RSU کي سپورٽ ڪن ٿيون، SDM فيڪٽري يا ايپليڪيشن تصويري اپڊيٽس دوران PUF ڊيٽا سيڪشن کي اوور رائٽ نٿو ڪري.

ٽيبل 2.

فليش سب-پارٽيشن لي آئوٽ بغير RSU سپورٽ

فليش آفسٽ (بائيٽس ۾)

سائيز (بائيٽس ۾)

مواد

وصف

0K 256K

256K 256K

ڪنفيگريشن مئنيجمينٽ فرم ويئر ڪنفيگريشن مئنيجمينٽ فرم ویئر

فرم ویئر جيڪو SDM تي هلندو آهي.

512K

256K

ڪنفيگريشن مئنيجمينٽ فرم ویئر

768K

256K

ڪنفيگريشن مئنيجمينٽ فرم ویئر

32K

PUF ڊيٽا ڪاپي 0

PUF مددگار ڊيٽا کي محفوظ ڪرڻ لاءِ ڊيٽا جو ڍانچو ۽ PUF لپي AES روٽ ڪيپي ڪاپي 0

1M+32K

32K

PUF ڊيٽا ڪاپي 1

PUF مددگار ڊيٽا کي محفوظ ڪرڻ لاءِ ڊيٽا جو ڍانچو ۽ PUF لپي AES روٽ ڪيپي ڪاپي 1

ٽيبل 3.

RSU سپورٽ سان فليش سب-پارٽيشن لي آئوٽ

فليش آفسٽ (بائيٽس ۾)

سائيز (بائيٽس ۾)

مواد

وصف

0K 512K

512K 512K

فيصلي واري فرمائيندڙ فيصلي واري فرمائيندڙ

سڀ کان وڌيڪ ترجيح واري تصوير کي سڃاڻڻ ۽ لوڊ ڪرڻ لاءِ فرم ویئر.

1 ايم 1.5 ايم

512K 512K

فيصلي واري فرمائيندڙ فيصلي واري فرمائيندڙ

8K + 24K

فيصلي واري firmware ڊيٽا

پَدَڻُ

فيصلي واري فرمائيندڙ استعمال لاءِ محفوظ.

2M + 32K

32K

SDM لاءِ محفوظ

SDM لاءِ محفوظ.

2M + 64K

متغير

ڪارخاني جي تصوير

هڪ سادي تصوير جيڪا توهان ٺاهيندا آهيو بيڪ اپ طور جيڪڏهن ٻيون سڀئي ايپليڪيشن تصويرون لوڊ ٿيڻ ۾ ناڪام ٿين ٿيون. ھن تصوير ۾ سي ايم ايف شامل آھي جيڪو ايس ڊي ايم تي ھلندو آھي.

اڳيان

32K

PUF ڊيٽا ڪاپي 0

PUF مددگار ڊيٽا کي محفوظ ڪرڻ لاءِ ڊيٽا جو ڍانچو ۽ PUF لپي AES روٽ ڪيپي ڪاپي 0
جاري رهيو…

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 42

موٽ موڪليو

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23

فليش آفسٽ (بائيٽس ۾)

سائيز (بائيٽس ۾)

اڳيون +32K 32K

مواد PUF ڊيٽا ڪاپي 1

اڳيون + 256K 4K اڳيون +32K 4K اڳيون +32K 4K

ذيلي ورهاڱي واري ٽيبل ڪاپي 0 ذيلي ورهاڱي واري ٽيبل ڪاپي 1 سي ايم ايف پوائنٽر بلاڪ ڪاپي 0

اڳيون +32K _

CMF پوائنٽر بلاڪ ڪاپي 1

متغير متغير

ايپليڪيشن تصوير 1 ايپليڪيشن تصوير 2

4.9.3. ڪارو ڪنجي فراهم ڪرڻ

وصف
PUF مددگار ڊيٽا کي محفوظ ڪرڻ لاءِ ڊيٽا جو ڍانچو ۽ PUF لپي AES روٽ ڪيپي ڪاپي 1
فليش اسٽوريج جي انتظام کي آسان ڪرڻ لاء ڊيٽا جي جوڙجڪ.
ترجيحن جي ترتيب ۾ ايپليڪيشن تصويرن جي اشارن جي فهرست. جڏهن توهان هڪ تصوير شامل ڪندا آهيو، اها تصوير تمام اعلي ٿي ويندي آهي.
ايپليڪيشن تصويرن ڏانهن اشارو ڪندڙن جي فهرست جي هڪ ٻي ڪاپي.
توهان جي پهرين ايپليڪيشن تصوير.
توهان جي ٻي ايپليڪيشن تصوير.

نوٽ:

TheIntel Quartus PrimeProgrammer Intel Agilex 7device ۽ بليڪ ڪيئي پرووائسنگ سروس جي وچ ۾ باہم تصديق ٿيل محفوظ ڪنيڪشن قائم ڪرڻ ۾ مدد ڪري ٿو. محفوظ ڪنيڪشن https ذريعي قائم ڪيو ويو آهي ۽ متن جي استعمال سان سڃاڻي ڪيترن ئي سرٽيفڪيٽن جي ضرورت آهي file.
جڏهن Black Key Provisioning استعمال ڪري رهيا آهيو، Intel سفارش ڪري ٿو ته توهان TCK پن کي ٻاهران ڳنڍڻ کان پاسو ڪريو ته جيئن هڪ رزسٽر کي مٿي ڇڪڻ يا هيٺ لهڻ لاءِ اڃا تائين ان کي J لاءِ استعمال ڪيو وڃي.TAG. تنهن هوندي، توهان هڪ 10 k ريزسٽر استعمال ڪندي TCK پن کي VCCIO SDM پاور سپلائي سان ڳنڍي سگهو ٿا. موجوده ھدايت پن ڪنيڪشن جي ھدايتن ۾ TCK کي 1 k پل-ڊائون ريزسٽر سان ڳنڍڻ لاءِ شامل آھي شور جي دٻاءُ لاءِ. ھدايت ۾ تبديلي 10 k پل اپ رزسٽر جي ڊوائيس کي فعال طور تي متاثر نٿو ڪري. TCK پن کي ڳنڍڻ بابت وڌيڪ معلومات لاء، ڏسو Intel Agilex 7 پن ڪنيڪشن گائيڊ لائنون.
Thebkp_tls_ca_certcertificate تصديق ڪري ٿو توهان جي ڪاري ڪي جي فراهمي جي خدمت جي مثال کي توهان جي بليڪ ڪي جي فراهم ڪرڻ واري پروگرامر مثال کي. Thebkp_tls_*سرٽيفڪيٽ تصديق ڪن ٿا توهان جي بليڪ ڪيئي پروويئنگنگ پروگرامر مثال توهان جي بليڪ ڪيئي پروويئنگنگ سروس مثال سان.
توھان ھڪڙو متن ٺاھيو file انٽيل ڪوارٽس پرائم پروگرامر لاءِ ضروري معلومات تي مشتمل آهي بليڪ ڪي جي فراهمي جي خدمت سان ڳنڍڻ لاءِ. ڪارو ڪنجي جي فراهمي کي شروع ڪرڻ لاء، پروگرامر ڪمانڊ لائن انٽرفيس استعمال ڪريو بليڪ ڪي جي فراهمي جي اختيارن جي متن کي بيان ڪرڻ لاء file. ڪارو ڪنجي روزي وري خودڪار طريقي سان اڳتي وڌندو. ڪاري چاٻي جي فراهمي جي خدمت ۽ لاڳاپيل دستاويز تائين رسائي لاءِ، مهرباني ڪري رابطو ڪريو Intel Support.
توهان thequartus_pgmcommand استعمال ڪندي ڪاري چاٻي جي فراهمي کي فعال ڪري سگهو ٿا:
quartus_pgm -c -م - ڊوائيس -bkp_options=bkp_options.txt
حڪم جا دليل هيٺ ڏنل معلومات بيان ڪن ٿا:

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 43

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23

· -c: ڪيبل نمبر · -m: پروگرامنگ موڊ بيان ڪري ٿو جهڙوڪ JTAG · -device: J. تي هڪ ڊوائيس انڊيڪس بيان ڪري ٿوTAG زنجير ڊفالٽ قدر 1 آهي. · -bkp_options: متن بيان ڪري ٿو file جنهن ۾ ڪاري ڪنجي جي فراهمي جا اختيار شامل آهن.
لاڳاپيل معلومات Intel Agilex 7 Device Family Pin Connection Guidelines

4.9.3.1. ڪارو اهم روزي جا اختيار
ڪارو اهم روزي جا اختيار هڪ متن آهي file quartus_pgm ڪمانڊ ذريعي پروگرامر ڏانهن منتقل ڪيو ويو. جي file بليڪ ڪيئي روزي کي شروع ڪرڻ لاءِ گهربل معلومات تي مشتمل آهي.
هيٺ ڏنل هڪ اڳوڻي آهيampbkp_options.txt جو le file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem_p_1234_prog_key = prog_key.pms_192.167.5.5_prog_5000 لباس = https://XNUMX:XNUMX bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

ٽيبل 4.

ڪارو اهم روزي جا اختيار
هي جدول ڏيکاري ٿو اختيارن کي گهربل ڪاري چاٻي جي فراهمي کي شروع ڪرڻ لاء.

آپشن جو نالو

قسم

وصف

bkp_ip

گھربل

سرور IP پتي کي بيان ڪري ٿو جيڪو ڪاري ڪيئي فراهم ڪرڻ واري خدمت کي هلائي رهيو آهي.

bkp_port

گھربل

سرور سان ڳنڍڻ لاءِ گهربل بليڪ ڪيئي فراهم ڪرڻ واري سروس پورٽ کي بيان ڪري ٿو.

bkp_cfg_id

گھربل

ڪاري ڪنجي جي فراهمي جي ترتيب واري وهڪري جي سڃاڻپ ڪري ٿي.
بليڪ ڪيئي پروويزننگ سروس بليڪ ڪيئي پروويزننگ ڪنفيگريشن فلوز ٺاهي ٿي جنهن ۾ هڪ AES روٽ ڪي، مطلوبه eFuse سيٽنگون، ۽ ٻيون ڪاري ڪيئي پروويزننگ اختيار ڪرڻ جا اختيار شامل آهن. بليڪ ڪيئي جي فراهمي جي سروس سيٽ اپ دوران تفويض ڪيل نمبر ڪارو ڪنجي جي فراهمي جي ترتيب واري وهڪري کي سڃاڻي ٿو.
نوٽ: گھڻا ڊوائيس ساڳيا ڪاري ڪنجي جي فراهمي جي خدمت جي ترتيب واري وهڪري جو حوالو ڏئي سگھن ٿا.

bkp_tls_ca_cert

گھربل

روٽ TLS سرٽيفڪيٽ انٽيل ڪوارٽس پرائم پروگرامر (پروگرامر) کي بليڪ ڪيئي فراهم ڪرڻ واري خدمتن کي سڃاڻڻ لاءِ استعمال ڪيو ويندو آهي. هڪ قابل اعتماد سرٽيفڪيٽ اٿارٽي ڪارو اهم فراهم ڪرڻ واري خدمت لاءِ مثال طور هن سرٽيفڪيٽ کي جاري ڪري ٿي.
جيڪڏهن توهان ڪمپيوٽر تي پروگرامر هلائيندا آهيو Microsoft® Windows® آپريٽنگ سسٽم (ونڊوز) سان، توهان کي هن سرٽيفڪيٽ کي ونڊوز سرٽيفڪيٽ اسٽور ۾ انسٽال ڪرڻو پوندو.

bkp_tls_prog_cert

گھربل

ھڪڙو سرٽيفڪيٽ ٺاھيو ويو مثال لاءِ بليڪ ڪيئي روزي ڏيڻ واري پروگرامر (BKP پروگرامر). هي https ڪلائنٽ سرٽيفڪيٽ آهي جيڪو هن BKP پروگرامر مثال جي سڃاڻپ ڪرڻ لاءِ استعمال ڪيو ويو آهي
جاري رهيو…

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 44

موٽ موڪليو

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23

آپشن جو نالو

قسم

bkp_tls_prog_key

گھربل

bkp_tls_prog_key_pass اختياري

bkp_proxy_address bkp_proxy_user bkp_proxy_password

اختياري اختياري اختياري

وصف
ڪاري چاٻي جي فراهمي جي خدمت ڏانهن. توهان کي لازمي طور تي هن سرٽيفڪيٽ کي بليڪ ڪي جي فراهمي واري خدمت ۾ انسٽال ڪرڻ ۽ اختيار ڪرڻ گهرجي بليڪ ڪيئي فراهم ڪرڻ واري سيشن کي شروع ڪرڻ کان پهريان. جيڪڏهن توهان ونڊوز تي پروگرامر هلائيندا آهيو، اهو اختيار موجود ناهي. ھن حالت ۾، bkp_tls_prog_key اڳ ۾ ئي ھي سرٽيفڪيٽ شامل آھي.
BKP پروگرامر سرٽيفڪيٽ سان لاڳاپيل خانگي ڪنجي. چاٻي BKP پروگرامر مثال جي سڃاڻپ جي تصديق ڪري ٿي بليڪ ڪيئي فراهم ڪرڻ واري خدمت کي. جيڪڏهن توهان ونڊوز تي پروگرامر هلائيندا آهيو، .pfx file bkp_tls_prog_cert سرٽيفڪيٽ ۽ پرائيويٽ ڪيئي کي گڏ ڪري ٿو. bkp_tlx_prog_key آپشن .pfx پاس ڪري ٿو file bkp_options.txt ۾ file.
پاسورڊ bkp_tls_prog_key خانگي چيڪ لاءِ. بليڪ ڪي جي فراهمي ترتيب ڏيڻ جي آپشنز (bkp_options.txt) متن ۾ گهربل ناهي file.
پراکسي سرور کي بيان ڪري ٿو URL پتو.
پراکسي سرور صارف نالو بيان ڪري ٿو.
پراکسي جي تصديق واري پاسورڊ کي بيان ڪري ٿو.

4.10. مالڪ روٽ ڪيئي کي تبديل ڪرڻ، AES روٽ ڪي سرٽيفڪيٽ، ۽ فيوز files to Jam STAPL File فارميٽ

توھان استعمال ڪري سگھو ٿا quartus_pfg ڪمانڊ لائن ڪمانڊ کي تبديل ڪرڻ لاءِ .qky، AES روٽ ڪيئي .ccert، ۽ .fuse files to Jam STAPL فارميٽ File (.jam) ۽ جام بائيٽ ڪوڊ فارميٽ File (. جي بي سي). توھان ھي استعمال ڪري سگھو ٿا files پروگرام ڪرڻ لاءِ Intel FPGAs استعمال ڪندي Jam STAPL Player ۽ Jam STAPL بائيٽ-ڪوڊ پليئر، ترتيب سان.

هڪ واحد .jam يا .jbc ڪيترن ئي ڪمن تي مشتمل آهي جنهن ۾ هڪ فرم ويئر مددگار تصويري ترتيب ۽ پروگرام، خالي چيڪ، ۽ چيڪ ۽ فيوز پروگرامنگ جي تصديق.

احتياط:

جڏهن توهان AES روٽ ڪيئي .ccert کي تبديل ڪيو file to .jam format، the .jam file AES ڪنجي تي مشتمل آهي سادي متن ۾ پر مبهم شڪل ۾. نتيجي طور، توهان کي جام جي حفاظت ڪرڻ گهرجي file جڏهن AES چاٻي کي محفوظ ڪرڻ. توھان ھي ڪري سگھوٿا اي اي ايس ڪي کي محفوظ ماحول ۾ مهيا ڪندي.

هتي آهن سابقamples of quartus_pfg ڪنورشن ڪمانڊ:

کوارٽس_ پي ايف جي -ڪ هيلپر_ڊيوس = jaff014r. rot. jothy. jothy.jike.jike.jby.jby.jby.jby.jby.jby.jby.quy.jbg.jby.jbg.jby.qukeus_dy.jfy.jfews.jby.jfews.jby.jbuctives c -o helper_device=AGFB24R0A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB1R2A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_devices014m_devices24us. pfg -c -o helper_device=AGFB0R1A سيٽنگون. fuse settings_fuse.jbc

ڊيوائس پروگرامنگ لاءِ Jam STAPL پليئر استعمال ڪرڻ بابت وڌيڪ معلومات لاءِ AN 425 جو حوالو ڏيو: ڊيوائس پروگرامنگ لاءِ ڪمانڊ لائن جام اسٽاپ حل استعمال ڪندي.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 45

4. ڊوائيس فراهم ڪرڻ 683823 | 2023.05.23
مالڪ روٽ پبلڪ ڪي ۽ اي اي ايس انڪرپشن ڪيچ کي پروگرام ڪرڻ لاءِ ھيٺ ڏنل حڪمن کي ھلايو:
// مددگار بٽ اسٽريم کي FPGA ۾ لوڊ ڪرڻ لاءِ. // مددگار بٽ اسٽريم شامل آهي روزي فرم ویئر quartus_jli -c 1 -a CONFIGURE RootKey.jam
// مالڪ جي روٽ پبلڪ ڪيئي کي ورچوئل eFuses ۾ پروگرام ڪرڻ لاءِ quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
// پروگرام ڪرڻ لاءِ مالڪ روٽ پبلڪ ڪيئي کي فزيڪل eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
// پروگرام ڪرڻ لاءِ پي آر مالڪ روٽ پبلڪ ڪيئي کي ورچوئل eFuses ۾ quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
// پروگرام ڪرڻ لاءِ پي آر مالڪ روٽ پبلڪ ڪيئي کي فزيڪل eFuses ۾ quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
// پروگرام ڪرڻ لاءِ AES انڪرپشن ڪيچ CCERT کي BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam ۾
// پروگرام ڪرڻ لاءِ AES انڪريپشن ڪيچي CCERT کي فزيڪل eFuses ۾ quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
لاڳاپيل معلومات AN 425: ڪمانڊ لائن جام استعمال ڪندي STAPL حل لاءِ ڊيوائس پروگرامنگ

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 46

موٽ موڪليو

683823 | 2023.05.23 موٽ موڪليو

ترقي يافته خاصيتون

5.1. محفوظ ڊيبگ اختيار ڪرڻ
سيڪيور ڊيبگ اٿارائيزيشن کي فعال ڪرڻ لاءِ، ڊيبگ مالڪ کي هڪ تصديقي ڪي جوڙو ٺاهڻ جي ضرورت آهي ۽ ڊوائيس جي معلومات پيدا ڪرڻ لاءِ Intel Quartus Prime Pro پروگرامر استعمال ڪرڻ جي ضرورت آهي. file ڊوائيس لاءِ جيڪو ڊيبگ تصوير کي هلائي ٿو:
quartus_pgm -c 1 -mjtag -o "ei;device_info.txt;AGFB014R24A" -dev_info
ڊيوائس مالڪ استعمال ڪري ٿو quartus_sign ٽول يا ريفرنس لاڳو ڪرڻ لاءِ مشروط پبلڪ ڪيئي داخل ڪرڻ لاءِ دستخطي زنجير کي شامل ڪرڻ لاءِ جيڪو ڊيبگ عملن لاءِ ارادو ڪيو ويو آهي ڊيبگ مالڪ کان پبلڪ ڪي استعمال ڪندي ، ضروري اختيارات ، ڊوائيس جي معلومات جو متن file، ۽ قابل اطلاق وڌيڪ پابنديون:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction″,1,2,17,18_XNUMX=”XNUMX_info. debug_authorization_public_key.pem safe_debug_auth_chain.qky
ڊيوائس مالڪ مڪمل دستخطي زنجير واپس ڊيبگ مالڪ ڏانهن موڪلي ٿو، جيڪو ڊيبگ تصوير کي سائن ڪرڻ لاءِ دستخطي زنجير ۽ سندن خانگي چيڪ استعمال ڪري ٿو:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
توھان استعمال ڪري سگھوٿا quartus_pfg ڪمانڊ ھن دستخط ٿيل محفوظ ڊيبگ بٽ اسٽريم جي ھر حصي جي دستخطي زنجير جي چڪاس ڪرڻ لاءِ ھيٺ ڏنل آھي:
quartus_pfg -check_integrity authorized_debug_design.rbf
ھن حڪم جو ٻاھر پرنٽ ڪري ٿو پابنديون قيمتون 1,2,17,18 مشروط پبلڪ ڪي جو جيڪو سائن ان ٿيل بٽ اسٽريم پيدا ڪرڻ لاءِ استعمال ڪيو ويو.
ڊيبگ مالڪ پوءِ محفوظ طور تي بااختيار ڊيبگ ڊيزائن کي پروگرام ڪري سگهي ٿو:
quartus_pgm -c 1 -mjtag -o “p;authorized_debug_design.rbf”
ڊيوائس جو مالڪ محفوظ ڊيبگ اٿارٽيشن کي رد ڪري سگھي ٿو، محفوظ ڊيبگ اٿارائزيشن جي دستخط واري زنجير ۾ ڏنل واضح ڪني منسوخي ID کي منسوخ ڪندي.
5.2. HPS ڊيبگ سرٽيفڪيٽ
جي ذريعي HPS ڊيبگ رسائي پورٽ (DAP) تائين صرف بااختيار رسائي کي فعال ڪرڻTAG انٽرفيس ڪيترن ئي قدمن جي ضرورت آهي:

ISO 9001:2015 رجسٽر ٿيل

5. ڳوڙھي خاصيتون 683823 | 2023.05.23/XNUMX/XNUMX
1. ڪلڪ ڪريو Intel Quartus Prime Software Assignments Menu ۽ چونڊيو Device Device and Pin Options Configuration tab.
2. ڪنفيگريشن ٽئب ۾، ڊاپ ڊائون مينيو مان يا ته HPS پنن يا SDM پنن کي منتخب ڪندي HPS ڊيبگ رسائي پورٽ (DAP) کي فعال ڪريو، ۽ پڪ ڪريو ته HPS ڊيبگ کي اجازت ڏيو بغير سرٽيفڪيٽ چيڪ باڪس کي منتخب نه ڪيو ويو آهي.
شڪل 14. HPS DAP لاءِ يا ته HPS يا SDM پن بيان ڪريو

HPS ڊيبگ رسائي پورٽ (DAP)
متبادل طور تي، توھان ھيٺ ڏنل اسائنمينٽ سيٽ ڪري سگھو ٿا Quartus Prime Settings .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE “SDM PINS”
3. انهن سيٽنگن سان ڊيزائن کي گڏ ڪريو ۽ لوڊ ڪريو. 4. HPS ڊيبگ کي سائن ڪرڻ لاءِ مناسب اجازتن سان دستخطي زنجير ٺاھيو
سرٽيفڪيٽ:
quartus_sign -family=agilex -operation=append_key -previous_pem=root_private.pem -previous_qky=root.qky -permission=0x8 -cancel=1 -input_pem=hps_debug_cert_public_key.pem hps_debug_cert_public_key.
5. هڪ غير دستخط ٿيل HPS ڊيبگ سرٽيفڪيٽ جي درخواست ڪريو ڊوائيس تان جتي ڊيبگ ڊيزائن لوڊ ٿيل آهي:
quartus_pgm -c 1 -mjtag -o “e;unsigned_hps_debug.cert;AGFB014R24A”
6. quartus_sign ٽول استعمال ڪندي غير دستخط ٿيل HPS ڊيبگ سرٽيفڪيٽ تي دستخط ڪريو يا ريفرنس پليپشن ۽ HPS ڊيبگ دستخط زنجير:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 48

موٽ موڪليو

5. ڳوڙھي خاصيتون 683823 | 2023.05.23/XNUMX/XNUMX
7. دستخط ٿيل HPS ڊيبگ سرٽيفڪيٽ واپس ڊوائيس ڏانهن موڪليو HPS ڊيبگ رسائي پورٽ (DAP) تائين رسائي کي فعال ڪرڻ لاءِ:
quartus_pgm -c 1 -mjtag -o “p;signed_hps_debug.cert”
HPS ڊيبگ سرٽيفڪيٽ صرف ان وقت کان صحيح آهي جڏهن اها ٺاهي وئي هئي ڊوائيس جي ايندڙ پاور چڪر تائين يا جيستائين SDM فرم ویئر جو مختلف قسم يا نسخو لوڊ نه ٿئي. توهان کي لازمي طور تي سائن ان ٿيل HPS ڊيبگ سرٽيفڪيٽ ٺاهڻ، سائن ڪرڻ ۽ پروگرام ڪرڻ گهرجي، ۽ ڊوائيس کي پاور سائيڪل هلائڻ کان اڳ، سڀ ڊيبگ آپريشن ڪرڻ گهرجن. توهان ڊوائيس کي پاور سائيڪل ذريعي دستخط ٿيل HPS ڊيبگ سرٽيفڪيٽ کي غلط ڪري سگھو ٿا.
5.3. پليٽ فارم جي تصديق
توھان ٺاھي سگھوٿا ھڪڙو حوالو سالميت منشور (.rim) file پروگرامنگ استعمال ڪندي file جنريٽر اوزار:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
توهان جي ڊيزائن ۾ پليٽ فارم جي تصديق کي يقيني بڻائڻ لاءِ انهن قدمن تي عمل ڪريو: 1. پنهنجي ڊوائيس کي ترتيب ڏيڻ لاءِ Intel Quartus Prime Programmer استعمال ڪريو.
ڊزائين توھان ٺاھيو آھي ھڪڙو حوالو سالميت منشور لاءِ. 2. هڪ پليٽ فارم جي تصديق ڪندڙ تصديق ڪندڙ استعمال ڪريو ڊوائيس کي داخل ڪرڻ لاءِ حڪم جاري ڪندي
SDM ذريعي SDM ميل باڪس ڊيوائس ID سرٽيفڪيٽ ۽ فرم ويئر سرٽيفڪيٽ ٻيهر لوڊ ڪرڻ تي. 3. استعمال ڪريو Intel Quartus Prime Pro Programmer پنھنجي ڊيوائس کي ڊيزائن سان ٻيهر ترتيب ڏيڻ لاءِ. 4. پليٽ فارم جي تصديق ڪندڙ تصديق ڪندڙ کي استعمال ڪريو ايس ڊي ايم کي حڪم جاري ڪرڻ لاءِ تصديق ڪندڙ ڊيوائس ID، فرم ویئر، ۽ عرف سرٽيفڪيٽ حاصل ڪرڻ لاءِ. 5. تصديق ڪندڙ ثبوت حاصل ڪرڻ لاءِ SDM ميل باڪس ڪمانڊ جاري ڪرڻ لاءِ تصديق ڪندڙ تصديق ڪندڙ استعمال ڪريو ۽ تصديق ڪندڙ واپس ڪيل ثبوتن کي چيڪ ڪري ٿو.
توھان SDM ميل باڪس ڪمانڊ استعمال ڪندي پنھنجي تصديق ڪندڙ سروس لاڳو ڪري سگھو ٿا، يا استعمال ڪري سگھو ٿا Intel پليٽ فارم جي تصديق جي تصديق ڪندڙ سروس. Intel پليٽ فارم جي تصديق جي تصديق ڪندڙ سروس سافٽ ويئر، دستيابي، ۽ دستاويزن بابت وڌيڪ معلومات لاء، انٽيل سپورٽ سان رابطو ڪريو.
لاڳاپيل معلومات Intel Agilex 7 Device Family Pin Connection Guidelines
5.4. جسماني ضد ٽيamper
توهان جسماني مخالف ٽي کي فعال ڪريوampهيٺ ڏنل قدمن کي استعمال ڪندي er خاصيتون: 1. معلوم ٿيل ٽي کي گهربل جواب چونڊڻamper واقعو 2. گهربل ٽي ترتيب ڏيڻamper ڳولڻ جا طريقا ۽ پيرا ميٽرز 3. اينٽي ٽي سميتamper IP توهان جي ڊزائن جي منطق ۾ مخالف ٽي کي منظم ڪرڻ ۾ مدد لاءamper
واقعا

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 49

5. ڳوڙھي خاصيتون 683823 | 2023.05.23/XNUMX/XNUMX
5.4.1. مخالف ٽيamper جواب
توهان جسماني مخالف ٽي کي فعال ڪريوampاينٽي ٽي مان جواب چونڊڻ سانampجواب: ڊراپ ڊائون لسٽ اسائنمنٽس ڊيوائس ڊيوائس ۽ پن آپشنز سيڪيورٽي اينٽي ٽي تيamper ٽيب. ڊفالٽ طور، مخالف ٽيamper جواب بند ٿيل آهي. اينٽي ٽي جا پنج درجاamper جواب موجود آهن. جڏهن توهان پنهنجي گهربل جواب کي چونڊيو ٿا، هڪ يا وڌيڪ ڳولڻ جي طريقن کي فعال ڪرڻ جا اختيار فعال ڪيا ويا آهن.
شڪل 15. دستياب اينٽي ٽيamper جواب جا اختيار

Quartus Prime سيٽنگون ۾ لاڳاپيل اسائنمينٽ .gsf file هيٺ ڏنل آهي:
set_global_assignment -name ANTI_TAMPER_RESPONSE ”نوٽيفڪيشن ڊيوائس وائپ ڊيوائس لاڪ ۽ صفرائيزيشن“
جڏهن توهان هڪ مخالف ٽي کي فعال ڪريوampجي جواب ۾، توهان ٽي کي آئوٽ ڪرڻ لاءِ ٻه دستياب SDM وقف I/O پن چونڊي سگهو ٿاamper واقعي جو پتو لڳائڻ ۽ جواب جي حالت استعمال ڪندي Assignments Device Device and Pin Options Configuration Configuration Pin Options ونڊو.

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 50

موٽ موڪليو

5. ڳوڙھي خاصيتون 683823 | 2023.05.23/XNUMX/XNUMX
شڪل 16. موجود SDM وقف I/O پنن لاءِ Tamper واقعي جي چڪاس

توھان سيٽنگون ۾ ھيٺيون پن اسائنمينٽ پڻ ڪري سگھو ٿا file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. مخالف ٽيamper تشخيص

توھان انفرادي طور تي چالو ڪري سگھو ٿا تعدد، درجه حرارت، ۽ حجمtagايس ڊي ايم جي سڃاڻپ خاصيتون. FPGA جو پتو لڳائڻ تي منحصر آهي مخالف ٽيamper Lite Intel FPGA IP توهان جي ڊيزائن ۾.

نوٽ:

SDM تعدد ۽ حجمtagوغيرهamper ڳولڻ جا طريقا اندروني حوالن ۽ ماپ هارڊويئر تي منحصر آهن جيڪي مختلف ڊوائيسز تي مختلف ٿي سگهن ٿيون. Intel سفارش ڪري ٿو ته توهان ٽي جي رويي جي خاصيت ڪريوamper ڳولڻ جي سيٽنگون.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 51

5. ڳوڙھي خاصيتون 683823 | 2023.05.23/XNUMX/XNUMX
تعدد ٽamper پتو لڳائڻ جي ترتيب واري گھڙي جي ماخذ تي هلندي آهي. تعدد کي فعال ڪرڻ لاء ٽيamper detection، توهان کي لازمي طور تي هڪ آپشن بيان ڪرڻ گهرجي اندروني آسيليٽر کان سواءِ ڪنفيگريشن ڪلاڪ سورس ڊراپ ڊائون ۾ Assignments Device Device and Pin Options General tab. توهان کي پڪ ڪرڻ گهرجي ته فريڪوئنسي ٽي کي فعال ڪرڻ کان اڳ اندروني اوسيليٽر چيڪ بڪس مان رن ڪنفيگريشن سي پي يو کي فعال ڪيو ويو آهي.ampجي سڃاڻپ. شڪل 17. SDM کي اندروني اوسليٽر تي سيٽ ڪرڻ
تعدد کي فعال ڪرڻ لاء ٽيamper معلوم ڪرڻ لاء، چونڊيو تعدد کي فعال ڪريو ٽيamper ڳولڻ واري چيڪ بڪس کي منتخب ڪريو ۽ مطلوبہ فريکوئنسي ٽيampڊراپ ڊائون مينيو مان ڳولڻ جي حد. شڪل 18. فريڪوئنسي T کي فعال ڪرڻamper تشخيص

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 52

موٽ موڪليو

5. ڳوڙھي خاصيتون 683823 | 2023.05.23/XNUMX/XNUMX
متبادل طور تي، توھان چالو ڪري سگھو ٿا فريڪوئنسي TampQuartus Prime Settings .qsf ۾ هيٺيون تبديليون ڪندي er معلوم ڪريو file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_QUES_global_assignmentAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
فعال ڪرڻ لاء گرمي پد tamper معلوم ڪرڻ لاء، چونڊيو گرمي پد کي فعال ڪريو tamper معلوم ڪرڻ واري چيڪ بڪس کي منتخب ڪريو ۽ مطلوبہ درجه حرارت کي منتخب ڪريو مٿين ۽ هيٺين حدن ۾ لاڳاپيل فيلڊ ۾. مٿيون ۽ هيٺيون حدون ڊفالٽ طور تي ٺهيل هونديون آهن لاڳاپيل درجه حرارت جي حد سان ڊيوائس لاءِ ڊزائين ۾ چونڊيل.
فعال ڪرڻ لاء voltagوغيرهamper detection، توهان VCCL volum کي فعال ڪريو مان هڪ يا ٻئي کي چونڊيوtagوغيرهamper ڳولڻ يا فعال ڪريو VCCL_SDM جلدtagوغيرهamper ڳوليو چيڪ بڪس ۽ مطلوب Volume چونڊيوtagوغيرهamper پتو لڳائڻ وارو فيصدtage لاڳاپيل فيلڊ ۾.
شڪل 19. فعال ڪرڻ وارو حجمtag۽ ٽيamper تشخيص

متبادل طور تي، توھان فعال ڪري سگھو ٿا Voltag۽ ٽيamper .qsf ۾ هيٺين اسائنمنٽس جي وضاحت ڪندي سڃاڻپ file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION on set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION on set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION آن
5.4.3. مخالف ٽيamper Lite Intel FPGA IP
اينٽي ٽيamper Lite Intel FPGA IP، Intel Quartus Prime Pro Edition سافٽ ويئر ۾ IP فهرست ۾ موجود آهي، توهان جي ڊيزائن ۽ SDM جي وچ ۾ ٻه طرفي رابطي کي آسان بڻائي ٿو.amper واقعا.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 53

شڪل 20. اينٽي ٽيamper Lite Intel FPGA IP

5. ڳوڙھي خاصيتون 683823 | 2023.05.23/XNUMX/XNUMX

IP ھيٺ ڏنل سگنل مهيا ڪري ٿو جيڪي توھان پنھنجي ڊيزائن سان ڳنڍيندا آھيو جيئن ضرورت آھي:

ٽيبل 5.

مخالف ٽيamper Lite Intel FPGA IP I/O سگنل

سگنل جو نالو

ھدايت

وصف

gpo_sdm_at_event gpi_fpga_at_event

اوٽ انپٽ

FPGA فيبرڪ منطق ڏانهن SDM سگنل جيڪو هڪ SDM دريافت ڪيو آهيamper واقعو. FPGA منطق تقريبن 5ms آهي ڪنهن به گهربل صفائي کي انجام ڏيڻ ۽ SDM کي gpi_fpga_at_response_done ۽ gpi_fpga_at_zeroization_done ذريعي جواب ڏيڻ لاءِ. ايس ڊي ايم اڳتي هلي ٽيamper جوابي ڪارناما جڏهن gpi_fpga_at_response_done تي زور ڀريو ويو آهي يا مختص وقت ۾ ڪو جواب نه ملي ٿو.
FPGA وچڙ SDM ته توهان جي ٺهيل مخالف ٽيamper جو پتو لڳائڻ circuitry تي معلوم ڪيو آهيamper واقعي ۽ SDM tamper جواب کي شروع ڪيو وڃي.

gpi_fpga_at_response_done

ان پٽ

FPGA SDM کي مداخلت ڪري ٿو ته FPGA منطق گهربل صفائي ڪئي آهي.

gpi_fpga_at_zeroization_d هڪ

ان پٽ

FPGA SDM ڏانهن اشارو ڏئي ٿو ته FPGA منطق ڊيزائن ڊيٽا جي ڪنهن به گهربل صفرائيزيشن کي مڪمل ڪري چڪو آهي. هي سگنل ايس آهيampجي اڳواڻي ڪئي وئي جڏهن gpi_fpga_at_response_done تي زور ڏنو ويو آهي.

5.4.3.1. معلومات جاري ڪريو

IP ورزننگ اسڪيم (XYZ) نمبر هڪ سافٽ ويئر ورزن کان ٻئي ۾ تبديل ڪري ٿو. ۾ تبديلي:
· X اشارو ڪري ٿو IP جي وڏي نظرثاني. جيڪڏهن توهان پنهنجي Intel Quartus Prime سافٽ ويئر کي اپڊيٽ ڪيو ٿا، توهان کي IP کي ٻيهر ٺاهڻ گهرجي.
· Y اشارو ڪري ٿو IP ۾ نيون خاصيتون شامل آهن. انهن نئين خاصيتن کي شامل ڪرڻ لاءِ پنهنجو IP ٻيهر ٺاهيو.
· Z اشارو ڪري ٿو IP ۾ معمولي تبديليون شامل آهن. انهن تبديلين کي شامل ڪرڻ لاءِ پنهنجو IP ٻيهر ٺاهيو.

ٽيبل 6.

مخالف ٽيamper Lite Intel FPGA IP ڇڏڻ جي معلومات

IP نسخو

شيءِ

وضاحت 20.1.0

Intel Quartus Prime نسخو

21.2

ڇڏڻ جي تاريخ

2021.06.21

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 54

موٽ موڪليو

5. ڳوڙھي خاصيتون 683823 | 2023.05.23/XNUMX/XNUMX
5.5. ريموٽ سسٽم اپڊيٽ سان ڊيزائن سيڪيورٽي خاصيتون استعمال ڪندي
ريموٽ سسٽم اپڊيٽ (RSU) هڪ Intel Agilex 7 FPGAs خصوصيت آهي جيڪا تازه ڪاري ترتيب ڏيڻ ۾ مدد ڪري ٿي fileهڪ مضبوط انداز ۾. RSU ڊزائين سيڪيورٽي خاصيتن سان مطابقت رکي ٿو جهڙوڪ تصديق، فرم ويئر ڪو-سائننگ، ۽ بٽ اسٽريم انڪرپشن جيئن ته RSU ترتيب واري بٽ اسٽريمز جي ڊيزائن جي مواد تي منحصر نه آهي.
تعمير RSU تصويرن سان .sof Files
جيڪڏهن توهان پنهنجي مقامي تي خانگي چابيون محفوظ ڪري رهيا آهيو fileسسٽم ۾، توهان ٺاهي سگهو ٿا RSU تصويرون ڊيزائن جي حفاظتي خاصيتن سان هڪ آسان وهڪرو استعمال ڪندي .sof سان files inputs طور. .sof سان RSU تصويرون ٺاهڻ لاءِ file, توهان سيڪشن Generating Remote System Update Image ۾ ڏنل هدايتن تي عمل ڪري سگھو ٿا Files پروگرامنگ استعمال ڪندي File Intel Agilex 7 ڪنفيگريشن يوزر گائيڊ جو جنريٽر. هر .sof لاء file ان پٽ تي بيان ڪيو ويو آهي Files ٽيب، ڪلڪ ڪريو پراپرٽيز... بٽڻ ۽ وضاحت ڪريو مناسب سيٽنگون ۽ ڪنجيون سائن ان ۽ انڪرپشن ٽولز لاءِ. پروگرامنگ file جنريٽر جو اوزار خودڪار طور تي نشانين ۽ انڪريپ ڪري ٿو فيڪٽري ۽ ايپليڪيشن تصويرون جڏهن RSU پروگرامنگ ٺاهي ٿي files.
متبادل طور تي، جيڪڏهن توهان HSM ۾ خانگي چابيون محفوظ ڪري رهيا آهيو، توهان کي استعمال ڪرڻ گهرجي quartus_sign اوزار ۽ تنهن ڪري استعمال ڪريو .rbf fileايس. هن حصي جو باقي حصو .rbf سان RSU تصويرون ٺاهڻ جي وهڪري ۾ تبديلين جو تفصيل ڏئي ٿو files inputs طور. توھان کي لازمي طور انڪرپٽ ۽ سائن ان ڪريو .rbf فارميٽ files ان کي ان پٽ طور چونڊڻ کان اڳ files RSU تصويرن لاءِ؛ جڏهن ته، RSU بوٽ ڄاڻ file انڪوڊ ٿيل نه هجڻ گهرجي ۽ ان جي بدران صرف دستخط ڪيو وڃي. پروگرامنگ File جنريٽر .rbf فارميٽ جي خاصيتن کي تبديل ڪرڻ جي حمايت نٿو ڪري files.
هيٺيون سابقamples سيڪشن جنريٽنگ ريموٽ سسٽم اپڊيٽ تصوير ۾ حڪمن ۾ ضروري تبديليون ڏيکاري ٿو Files پروگرامنگ استعمال ڪندي File Intel Agilex 7 ڪنفيگريشن يوزر گائيڊ جو جنريٽر.
.rbf استعمال ڪندي شروعاتي RSU تصوير ٺاهيندي Files: ڪمانڊ ترميم
.rbf استعمال ڪندي شروعاتي RSU تصوير پيدا ڪرڻ کان Files سيڪشن، قدم 1 ۾ حڪمن کي تبديل ڪريو. ڊيزائن جي حفاظتي خصوصيتن کي فعال ڪرڻ لاءِ جيئن هن دستاويز جي اڳئين حصن مان هدايتون استعمال ڪندي گهربل هجي.
مثال طورampلي، توهان هڪ دستخط ٿيل فرمائيندڙ بيان ڪندا file جيڪڏھن توھان استعمال ڪري رھيا ھئا firmware cosigning، پوءِ استعمال ڪريو Quartus encryption tool to encrypt ھر ھڪ .rbf file، ۽ آخر ۾ استعمال ڪريو quartus_sign اوزار هر هڪ کي سائن ڪرڻ لاءِ file.
قدم 2 ۾، جيڪڏھن توھان چالو ڪيو آھي فرم ویئر ڪو-سائننگ، توھان کي لازمي طور استعمال ڪرڻ گھرجي ھڪڙو اضافي اختيار بوٽ جي ٺاھڻ ۾ .rbf فيڪٽري جي تصوير مان file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
توھان کان پوء بوٽ ڄاڻ ٺاھيو .rbf file.rbf سائن ڪرڻ لاءِ quartus_sign ٽول استعمال ڪريو file. توهان کي بوٽ جي معلومات کي انڪرپٽ نه ڪرڻ گهرجي .rbf file.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 55

5. ڳوڙھي خاصيتون 683823 | 2023.05.23/XNUMX/XNUMX
هڪ ايپليڪيشن تصوير ٺاهيندي: ڪمانڊ ترميم
ڊيزائن سيڪيورٽي خاصيتن سان ايپليڪيشن تصوير ٺاهڻ لاءِ، توهان هڪ .rbf استعمال ڪرڻ لاءِ هڪ ايپليڪيشن تصوير ٺاهڻ واري ڪمانڊ ۾ ترميم ڪريون ٿا. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf safed_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
هڪ فيڪٽري اپڊيٽ تصوير ٺاهيندي: ڪمانڊ ترميم
توھان کان پوء بوٽ ڄاڻ ٺاھيو .rbf file، توهان .rbf تي دستخط ڪرڻ لاءِ quartus_sign اوزار استعمال ڪريو ٿا file. توهان کي بوٽ جي معلومات کي انڪرپٽ نه ڪرڻ گهرجي .rbf file.
هڪ آر ايس يو فيڪٽري اپڊيٽ تصوير پيدا ڪرڻ لاء، توهان هڪ فيڪٽري اپڊيٽ تصوير پيدا ڪرڻ کان ڪمانڊ کي تبديل ڪريو .rbf استعمال ڪرڻ لاء file ڊيزائن جي حفاظتي خصوصيتن سان فعال ڪيو ويو آهي ۽ اختيار شامل ڪيو ويو آهي ظاهر ڪرڻ لاءِ ڪو-سائن ٿيل فرم ویئر استعمال:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf safed_rsu_factory_update.rpd -o موڊ=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
لاڳاپيل معلومات Intel Agilex 7 ڪنفيگريشن يوزر گائيڊ
5.6. SDM Cryptographic Services
Intel Agilex 7 ڊوائيسز تي SDM Cryptographic خدمتون مهيا ڪري ٿي جيڪي FPGA fabric logic يا HPS شايد لاڳاپيل SDM ميل باڪس انٽرفيس ذريعي درخواست ڪري سگھن ٿيون. سڀني SDM cryptographic خدمتن لاءِ ميل باڪس ڪمانڊز ۽ ڊيٽا فارميٽ بابت وڌيڪ معلومات لاءِ، Intel FPGAs ۽ Structured ASICs يوزر گائيڊ لاءِ سيڪيورٽي ميٿڊولوجي ۾ ضميمو B ڏسو.
SDM ميل باڪس انٽرفيس تائين رسائي حاصل ڪرڻ لاءِ FPGA fabric logic for SDM cryptographic services, you must institate Mailbox Client Intel FPGA IP پنهنجي ڊيزائن ۾.
HPS کان SDM ميل باڪس انٽرفيس تائين رسائي لاءِ ريفرنس ڪوڊ اي ٽي ايف ۽ لينڪس ڪوڊ ۾ شامل ڪيو ويو آھي Intel پاران مهيا ڪيل.
لاڳاپيل معلومات ميل باڪس ڪلائنٽ Intel FPGA IP يوزر گائيڊ
5.6.1. وڪڻندڙ اختيار ٿيل بوٽ
Intel HPS سافٽ ويئر لاءِ ريفرنس پليپشن فراهم ڪري ٿو جيڪو استعمال ڪري ٿو وينڊر بااختيار بوٽ فيچر کي تصديق ڪرڻ لاءِ HPS بوٽ سافٽ ويئر جي تصديق ڪرڻ لاءِ پهرين s کان.tagلينڪس ڪرنل ذريعي اي بوٽ لوڊر.
لاڳاپيل معلومات Intel Agilex 7 SoC Secure Boot Demo Design

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 56

موٽ موڪليو

5. ڳوڙھي خاصيتون 683823 | 2023.05.23/XNUMX/XNUMX
5.6.2. محفوظ ڊيٽا آبجیکٹ سروس
توهان ايس ڊي ايم ميل باڪس ذريعي حڪم موڪليندا آهيو SDOS اعتراض انڪرپشن ۽ ڊيڪرپشن کي انجام ڏيڻ لاءِ. توھان استعمال ڪري سگھوٿا SDOS فيچر کي SDOS روٽ ڪي جي روزي ڏيڻ کان پوءِ.
صفحي 30 تي لاڳاپيل معلومات محفوظ ڊيٽا آبجیکٹ سروس روٽ ڪيئي مهيا ڪرڻ
5.6.3. SDM Cryptographic Primitive Services
توهان حڪم موڪليندا آهيو SDM ميل باڪس ذريعي SDM cryptographic primitive service operations کي شروع ڪرڻ لاءِ. ڪجهه cryptographic primitive services جي ضرورت آهي ته SDM کان وڌيڪ ڊيٽا منتقل ڪيو وڃي ۽ ان کان علاوه ميل باڪس انٽرفيس قبول ڪري سگهي ٿو. انهن حالتن ۾، فارميٽ جو حڪم ميموري ۾ ڊيٽا ڏانهن اشارو مهيا ڪرڻ لاء تبديل ڪري ٿو. اضافي طور تي، توهان کي لازمي طور تبديل ڪرڻو پوندو ميل باڪس ڪلائنٽ Intel FPGA IP جو استعمال ڪرڻ لاءِ SDM cryptographic primitive services from FPGA fabric logic. توھان کي اضافي طور تي سيٽ ڪرڻ گھرجي Crypto سروس پيٽرولر کي فعال ڪريو 1 تي ۽ نئين بي نقاب ٿيل AXI شروعاتي انٽرفيس کي پنھنجي ڊيزائن ۾ ميموري سان ڳنڍيو.
شڪل 21. ميل باڪس ڪلائنٽ Intel FPGA IP ۾ SDM Cryptographic خدمتن کي فعال ڪرڻ

5.7. Bitstream سيڪيورٽي سيٽنگون (FM/S10)
FPGA Bitstream سيڪيورٽي جا اختيار پاليسين جو هڪ مجموعو آهن جيڪي مخصوص خصوصيت يا آپريشن جي موڊ کي مقرر مدت اندر محدود ڪن ٿيون.
Bitstream سيڪيورٽي جا اختيار جھنگن تي مشتمل آھن جيڪي توھان سيٽ ڪريو Intel Quartus Prime Pro Edition سافٽ ويئر ۾. اهي جھنڊا پاڻمرادو نقل ڪيا ويندا آھن ترتيب واري بٽ اسٽريم ۾.
توهان مستقل طور تي حفاظتي اختيارن کي لاڳو ڪري سگھو ٿا ڊوائيس تي لاڳاپيل سيڪيورٽي سيٽنگ eFuse جي استعمال ذريعي.
bitstream يا ڊوائيس eFuses جي ترتيب ۾ ڪنهن به سيڪيورٽي سيٽنگن کي استعمال ڪرڻ لاء، توهان کي تصديق جي خاصيت کي فعال ڪرڻ گهرجي.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 57

5. ڳوڙھي خاصيتون 683823 | 2023.05.23/XNUMX/XNUMX
5.7.1. سيڪيورٽي اختيارن کي چونڊيو ۽ فعال ڪرڻ
سيڪيورٽي آپشنز کي چونڊڻ ۽ ان کي فعال ڪرڻ لاءِ، ھيٺ ڏنل ڪم ڪريو: اسائنمينٽ مينيو مان، چونڊيو ڊيوائس ۽ پن جا اختيار سيڪيورٽي وڌيڪ آپشنز… شڪل 22. سيڪيورٽي آپشنز کي منتخب ۽ فعال ڪرڻ

۽ پوءِ حفاظتي اختيارن لاءِ ڊراپ-ڊائون لسٽن مان قدر چونڊيو جيڪي توھان چالو ڪرڻ چاھيو ٿا جيئن ھيٺ ڏنل اڳ ۾ ڏيکاريل آھي.ampاليزي:
شڪل 23. حفاظتي اختيارن لاءِ قدر چونڊيو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 58

موٽ موڪليو

5. ڳوڙھي خاصيتون 683823 | 2023.05.23/XNUMX/XNUMX
Quartus Prime Settings .qsf ۾ هيٺيون لاڳاپيل تبديليون آهن file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG "ON CHECK" set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE "ON STICKY" set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECU_OPTION_bal_assignment_name OPTION_LOCK_SECURITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -نام SECU_OPTION_IN_EFUSES سيٽ ڪريو global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES on set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM on set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCY

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 59

683823 | 2023.05.23 موٽ موڪليو

مشڪلاتون

هي باب عام غلطين ۽ ڊيڄاريندڙ پيغامن کي بيان ڪري ٿو جيڪي توهان کي منهن ڏئي سگھن ٿيون جڏهن توهان ڊوائيس جي حفاظتي خصوصيتن کي استعمال ڪرڻ جي ڪوشش ڪري رهيا آهيو ۽ انهن کي حل ڪرڻ جا طريقا.
6.1. ونڊوز ماحولياتي غلطي ۾ Quartus ڪمانڊ استعمال ڪندي
غلطي quartus_pgm: ڪمانڊ نه مليو تفصيل هي نقص ظاهر ٿئي ٿو جڏهن ڪوارٽس ڪمانڊ استعمال ڪرڻ جي ڪوشش ڪئي وڃي NIOS II شيل ۾ ونڊوز ماحول ۾ WSL استعمال ڪندي. حل هي حڪم لينڪس ماحول ۾ ڪم ڪري ٿو. ونڊوز هوسٽس لاءِ، ھيٺ ڏنل ڪمانڊ استعمال ڪريو: quartus_pgm.exe -h ساڳيءَ طرح، ساڳي نحو کي ٻين Quartus Prime ڪمانڊن تي لاڳو ڪريو جھڙوڪ quartus_pfg، quartus_sign، quartus_encrypt ٻين حڪمن ۾.

ISO 9001:2015 رجسٽر ٿيل

6. تڪليفون 683823 | 2023.05.23/XNUMX/XNUMX

6.2. پرائيويٽ ڪيئي وارننگ پيدا ڪرڻ

خبردار:

بيان ڪيل پاسورڊ غير محفوظ سمجهيو ويندو آهي. Intel سفارش ڪري ٿو ته پاسورڊ جا گهٽ ۾ گهٽ 13 اکر استعمال ڪيا وڃن. توھان کي سفارش ڪئي وئي آھي ته پاسورڊ تبديل ڪريو OpenSSL استعمال ڪري قابل عمل.

openssl ec -in - ٻاهر -aes256

وصف
هي ڊيڄاريندڙ پاسورڊ جي طاقت سان لاڳاپيل آهي ۽ ڏيکاري ٿو جڏهن هيٺ ڏنل حڪم جاري ڪندي هڪ خانگي ڪيچ پيدا ڪرڻ جي ڪوشش ڪندي:

quartus_sign -family=agilex -operation=make_private_pem -curve=secp3841 root.pem

ريزوليوشن استعمال ڪريو openssl executable هڪ ڊگهو ۽ اهڙيءَ طرح مضبوط پاسورڊ بيان ڪرڻ لاءِ.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 61

6. تڪليفون 683823 | 2023.05.23/XNUMX/XNUMX
6.3. Quartus پروجيڪٽ جي غلطي ۾ سائننگ ڪيچ شامل ڪرڻ
غلطي…File روٽ اهم معلومات تي مشتمل آهي…
وصف
شامل ڪرڻ کان پوء سائن ان ڪيچ .qky file Quartus پروجيڪٽ ڏانهن، توهان کي .sof کي ٻيهر گڏ ڪرڻ جي ضرورت آهي file. جڏهن توهان هن regenerated .sof شامل file Quartus پروگرامر استعمال ڪندي منتخب ٿيل ڊوائيس ڏانهن، هيٺ ڏنل غلطي پيغام ظاهر ڪري ٿو ته file روٽ اهم معلومات تي مشتمل آهي:
شامل ڪرڻ ۾ ناڪام ٿيوfile-path-name> پروگرامر ڏانهن. جي file روٽ اهم معلومات تي مشتمل آهي (.qky). بهرحال، پروگرامر بٽ اسٽريم سائننگ فيچر کي سپورٽ نٿو ڪري. توھان پروگرامنگ استعمال ڪري سگھو ٿا File جنريٽر کي تبديل ڪرڻ لاء file دستخط ٿيل را بائنري ڏانهن file (.rbf) ترتيب ڏيڻ لاءِ.
قرارداد
Quartus پروگرامنگ استعمال ڪريو file جنريٽر کي تبديل ڪرڻ لاء file هڪ دستخط ٿيل را بائنري ۾ File .rbf ترتيب ڏيڻ لاء.
لاڳاپيل معلومات سائننگ ڪنفيگريشن بٽ اسٽريم استعمال ڪندي quartus_sign ڪمانڊ صفحي 13 تي

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 62

موٽ موڪليو

6. تڪليفون 683823 | 2023.05.23/XNUMX/XNUMX
6.4. Quartus Prime پروگرامنگ پيدا ڪرڻ File ناڪام ٿيو
نقص
نقص (20353): QKY کان عوامي ڪي جو X PEM جي خانگي ڪنجي سان نه ٿو ملي file.
غلطي (20352): python اسڪرپٽ agilex_sign.py ذريعي بٽ اسٽريم کي سائن ڪرڻ ۾ ناڪام ٿيو.
غلطي: Quartus Prime پروگرامنگ File جنريٽر ناڪام ٿيو.
تفصيل جيڪڏھن توھان ڪوشش ڪريو ھڪڙي ٺاھ جوڙ سائن ان ڪرڻ جي بٽ اسٽريم کي غلط پرائيويٽ ڪي .pem استعمال ڪندي file يا هڪ .pem file جيڪو پروجيڪٽ ۾ شامل ڪيل .qky سان نٿو ملي، مٿيون عام غلطيون ڏيکاريون. قرارداد کي يقيني بڻايو وڃي ته توهان بٽ اسٽريم کي سائن ڪرڻ لاءِ صحيح پرائيويٽ ڪي .pem استعمال ڪيو.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 63

6. تڪليفون 683823 | 2023.05.23/XNUMX/XNUMX
6.5. اڻڄاتل دليلن جون غلطيون
نقص
غلطي (23028): اڻڄاتل دليل "ûc". حوالي ڪريو -مدد لاءِ قانوني دليل.
غلطي (213008): پروگرامنگ آپشن اسٽرنگ "ûp" غير قانوني آهي. حوالي ڪريو -مدد لاءِ قانوني پروگرامنگ آپشن فارميٽ.
تفصيل جيڪڏهن توهان ڪاپي ۽ پيسٽ ڪريو ڪمانڊ لائن آپشنز .pdf مان file ونڊوز NIOS II شيل ۾، توهان کي اڻڄاتل دليلن جي غلطين کي منهن ڏئي سگھي ٿو جيئن مٿي ڏيکاريل آهي. اهڙين حالتن ۾، توهان ڪلپ بورڊ مان پيسٽ ڪرڻ بدران دستي طور ڪمانڊ داخل ڪري سگهو ٿا.

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 64

موٽ موڪليو

6. تڪليفون 683823 | 2023.05.23/XNUMX/XNUMX
6.6. Bitstream Encryption Option بند ٿيل غلطي
نقص
لاءِ انڪرپشن کي حتمي شڪل نه ڏئي سگھي file design .sof ڇاڪاڻ ته ان کي مرتب ڪيو ويو بٽ اسٽريم انڪرپشن آپشن کي بند ڪيو ويو.
تفصيل جيڪڏهن توهان بٽ اسٽريم کي GUI يا ڪمانڊ لائن ذريعي انڪرپٽ ڪرڻ جي ڪوشش ڪندا آهيو جڏهن توهان منصوبي کي گڏ ڪيو آهي بٽ اسٽريم انڪرپشن آپشن کي غير فعال ڪيو ويو آهي، Quartus حڪم کي رد ڪري ٿو جيئن مٿي ڏيکاريل آهي.
ريزوليوشن کي يقيني بڻايو ته توهان پروجيڪٽ کي گڏ ڪيو بٽ اسٽريم انڪرپشن آپشن سان يا ته GUI يا ڪمانڊ لائن ذريعي. GUI ۾ ھن اختيار کي فعال ڪرڻ لاء، توھان کي چيڪ ڪرڻ گھرجي ھن اختيار لاءِ چيڪ بڪس.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 65

6. تڪليفون 683823 | 2023.05.23/XNUMX/XNUMX
6.7. ڪنجي کي درست رستو بيان ڪرڻ
نقص
غلطي (19516): پروگرامنگ جي نشاندهي ڪئي وئي File جنريٽر سيٽنگن جي غلطي: ڳولي نه سگھي 'key_file'. پڪ ڪريو ته file متوقع جڳھ تي واقع آھي يا setting.sec کي اپڊيٽ ڪريو
غلطي (19516): پروگرامنگ جي نشاندهي ڪئي وئي File جنريٽر سيٽنگن جي غلطي: ڳولي نه سگھي 'key_file'. پڪ ڪريو ته file متوقع جڳھ تي واقع آھي يا سيٽنگ کي اپڊيٽ ڪريو.
وصف
جيڪڏھن توھان استعمال ڪري رھيا آھيو چابيون جيڪي محفوظ ٿيل آھن تي file سسٽم ۾، توهان کي پڪ ڪرڻ جي ضرورت آهي ته اهي بٽ اسٽريم انڪرپشن ۽ سائن ان لاء استعمال ڪيل چابيون لاء صحيح رستو بيان ڪن ٿا. جيڪڏهن پروگرامنگ File جنريٽر صحيح رستو ڳولي نه ٿو سگھي، مٿين غلطي پيغام ڏيکاري ٿو.
قرارداد
Quartus Prime Settings .qsf ڏانهن رجوع ڪريو file چيڪن لاءِ صحيح رستا ڳولڻ لاءِ. پڪ ڪريو ته توهان مطلق رستن جي بدران لاڳاپيل رستا استعمال ڪريو.

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 66

موٽ موڪليو

6. تڪليفون 683823 | 2023.05.23/XNUMX/XNUMX
6.8. غير معاون آئوٽ استعمال ڪندي File قسم
نقص
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing = ON -o pem_file=sign_private.pem
غلطي (19511): اڻ سڌريل ٻاھر file قسم (ebf). استعمال ڪريو "-l" يا "-list" اختيار کي سپورٽ ڪرڻ لاء file قسم جي معلومات.
وضاحت جڏهن Quartus پروگرامنگ استعمال ڪندي File Encrypted ۽ signed configuration bitstream پيدا ڪرڻ لاءِ جنريٽر، توھان مٿي ڏنل نقص ڏسي سگھو ٿا جيڪڏھن اڻ سڌريل ٻاھر آھي file قسم بيان ڪيو ويو آهي. ريزوليوشن استعمال ڪريو -l يا -list آپشن کي سپورٽ ڪيل لسٽ ڏسڻ لاءِ file قسمون.

موٽ موڪليو

Intel Agilex® 7 ڊوائيس سيڪيورٽي يوزر گائيڊ 67

683823 | 2023.05.23 موٽ موڪليو
7. Intel Agilex 7 Device Security User Guide Archives
هن يوزر گائيڊ جي جديد ۽ پوئين ورزن لاءِ، ڏسو Intel Agilex 7 Device Security User Guide. جيڪڏهن هڪ IP يا سافٽ ويئر ورزن درج نه ڪيو ويو آهي، اڳوڻي IP يا سافٽ ويئر ورزن لاءِ صارف گائيڊ لاڳو ٿئي ٿو.

ISO 9001:2015 رجسٽر ٿيل

683823 | 2023.05.23 موٽ موڪليو

8. Intel Agilex 7 Device Security User Guide لاءِ نظرثاني جي تاريخ

دستاويز نسخو 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

دستاويز / وسيلا

Intel Agilex 7 ڊوائيس سيڪيورٽي [pdf] استعمال ڪندڙ دستياب
Agilex 7 ڊوائيس سيڪيورٽي، Agilex 7، ڊوائيس سيڪيورٽي، سيڪيورٽي

حوالو

استعمال ڪندڙ دستي

Intel Agilex 7 ڊوائيس سيڪيورٽي

پيداوار جي ڄاڻ

پيداوار جي استعمال جون هدايتون

اڪثر پڇيا ويا سوال

ڊوائيس سيڪيورٽي ختمview

تصديق ۽ اختيار

AES Bitstream Encryption

ڊوائيس فراهم ڪرڻ

ترقي يافته خاصيتون

مشڪلاتون

دستاويز / وسيلا

حوالو

تبصرو ڇڏي ڏيو

رد ڪريو جواب