Používateľská príručka pre zabezpečenie zariadenia Intel Agilex 7

Spoločnosť Intel sa zaviazala k bezpečnosti produktov a odporúča používateľom, aby sa oboznámili s poskytovanými zdrojmi zabezpečenia produktov. Tieto zdroje by sa mali využívať počas životnosti produktu Intel.

2. Plánované funkcie zabezpečenia

Nasledujúce bezpečnostné funkcie sú plánované pre budúce vydanie softvéru Intel Quartus Prime Pro Edition:

Overenie zabezpečenia bitového toku čiastočnej rekonfigurácie: Poskytuje dodatočné uistenie, že bitové toky čiastočnej rekonfigurácie (PR) nemôžu pristupovať k iným bitovým tokom osoby PR alebo s nimi interferovať.

Samozabíjanie zariadenia pre fyzickú ochranu proti Tamper: Vykoná vymazanie zariadenia alebo odpoveď na vynulovanie zariadenia a naprogramuje eFuses, aby zabránil zariadeniu v opätovnej konfigurácii.

3. Dostupná bezpečnostná dokumentácia

Nasledujúca tabuľka uvádza dostupnú dokumentáciu pre funkcie zabezpečenia zariadení na zariadeniach Intel FPGA a štruktúrovaných ASIC:

Názov dokumentu	Účel
Bezpečnostná metodológia pre používateľov Intel FPGA a štruktúrovaných ASIC Sprievodca	Dokument najvyššej úrovne, ktorý poskytuje podrobné popisy bezpečnostné funkcie a technológie v programovateľných riešeniach Intel Produkty. Pomáha používateľom vybrať potrebné bezpečnostné funkcie splniť svoje bezpečnostné ciele.
Používateľská príručka Intel Stratix 10 Device Security	Pokyny pre používateľov zariadení Intel Stratix 10 na implementáciu bezpečnostné prvky identifikované pomocou bezpečnostnej metodiky Používateľská príručka.
Používateľská príručka pre zabezpečenie zariadenia Intel Agilex 7	Pokyny pre používateľov zariadení Intel Agilex 7 na implementáciu bezpečnostné prvky identifikované pomocou bezpečnostnej metodiky Používateľská príručka.
Používateľská príručka pre zabezpečenie zariadenia Intel eASIC N5X	Pokyny pre používateľov zariadení Intel eASIC N5X na implementáciu bezpečnostné prvky identifikované pomocou bezpečnostnej metodiky Používateľská príručka.
Kryptografické služby Intel Agilex 7 a Intel eASIC N5X HPS Používateľská príručka	Informácie pre softvérových inžinierov HPS o implementácii a používanie softvérových knižníc HPS na prístup ku kryptografickým službám poskytuje SDM.
AN-968 Sprievodca rýchlym spustením služby Black Key Provisioning Service	Dokončite súbor krokov na nastavenie poskytovania čierneho kľúča služby.

Často kladené otázky

Otázka: Aký je účel používateľskej príručky Metodiky zabezpečenia?

Odpoveď: Používateľská príručka metodológie zabezpečenia poskytuje podrobné popisy bezpečnostných funkcií a technológií v produktoch Intel Programmable Solutions. Pomáha používateľom vybrať potrebné bezpečnostné funkcie na splnenie ich bezpečnostných cieľov.

Otázka: Kde nájdem používateľskú príručku Intel Agilex 7 Device Security?

Odpoveď: Používateľskú príručku Intel Agilex 7 Device Security možno nájsť v Centre zdrojov a dizajnu Intel webstránky.

Otázka: Čo je to služba Black Key Provisioning?

Odpoveď: Služba Black Key Provisioning je služba, ktorá poskytuje kompletný súbor krokov na nastavenie poskytovania kľúčov pre bezpečné operácie.

View Fullscreen

Používateľská príručka pre zabezpečenie zariadenia Intel Agilex® 7
Aktualizované pre Intel® Quartus® Prime Design Suite: 23.1

Online verzia Odoslať spätnú väzbu

UG-20335

683823 2023.05.23

Používateľská príručka Intel Agilex® 7 Device Security 2

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 3

683823 | 2023.05.23 Odoslať spätnú väzbu
1. Intel Agilex® 7

Zabezpečenie zariadenia sa skončiloview

Intel® navrhuje zariadenia Intel Agilex® 7 s vyhradeným, vysoko konfigurovateľným bezpečnostným hardvérom a firmvérom.
Tento dokument obsahuje pokyny, ktoré vám pomôžu používať softvér Intel Quartus® Prime Pro Edition na implementáciu funkcií zabezpečenia na zariadeniach Intel Agilex 7.
Okrem toho je v Intel Resource & Design Center k dispozícii Bezpečnostná metodológia pre Intel FPGA a Structured ASIC User Guide. Tento dokument obsahuje podrobné popisy bezpečnostných funkcií a technológií, ktoré sú dostupné prostredníctvom produktov Intel Programmable Solutions, ktoré vám pomôžu vybrať funkcie zabezpečenia potrebné na splnenie vašich bezpečnostných cieľov. Ak chcete získať prístup k Bezpečnostnej metodológii pre Intel FPGA a používateľskú príručku štruktúrovaných ASIC, kontaktujte podporu spoločnosti Intel s referenčným číslom 14014613136.
Dokument je usporiadaný nasledovne: · Autentifikácia a autorizácia: Poskytuje pokyny na vytvorenie
autentifikačné kľúče a podpisové reťazce, aplikujte povolenia a odvolania, podpisujte objekty a programujte funkcie autentifikácie na zariadeniach Intel Agilex 7. · AES Bitstream Encryption: Poskytuje pokyny na vytvorenie koreňového kľúča AES, šifrovanie konfiguračných bitových tokov a poskytnutie koreňového kľúča AES zariadeniam Intel Agilex 7. · Device Provisioning: Poskytuje pokyny na používanie firmvéru Intel Quartus Prime Programmer a Secure Device Manager (SDM) na naprogramovanie funkcií zabezpečenia na zariadeniach Intel Agilex 7. · Pokročilé funkcie: Poskytuje pokyny na aktiváciu pokročilých funkcií zabezpečenia, vrátane autorizácie zabezpečeného ladenia, ladenia systému pevného procesora (HPS) a vzdialenej aktualizácie systému.
1.1. Záväzok k bezpečnosti produktu
Dlhodobý záväzok spoločnosti Intel k bezpečnosti nebol nikdy silnejší. Spoločnosť Intel dôrazne odporúča, aby ste sa oboznámili s našimi zdrojmi zabezpečenia produktov a naplánovali si ich používanie počas životnosti vášho produktu Intel.
Súvisiace informácie · Zabezpečenie produktov v spoločnosti Intel · Odporúčania centra zabezpečenia produktov Intel

Intel Corporation. Všetky práva vyhradené. Intel, logo Intel a ďalšie značky Intel sú ochranné známky spoločnosti Intel Corporation alebo jej dcérskych spoločností. Spoločnosť Intel zaručuje výkon svojich FPGA a polovodičových produktov podľa aktuálnych špecifikácií v súlade so štandardnou zárukou spoločnosti Intel, ale vyhradzuje si právo kedykoľvek bez upozornenia zmeniť akékoľvek produkty a služby. Spoločnosť Intel nepreberá žiadnu zodpovednosť ani zodpovednosť vyplývajúcu z aplikácie alebo používania akýchkoľvek informácií, produktov alebo služieb opísaných v tomto dokumente, s výnimkou prípadov, keď to spoločnosť Intel výslovne písomne odsúhlasí. Zákazníkom spoločnosti Intel sa odporúča získať najnovšiu verziu špecifikácií zariadení skôr, ako sa budú spoliehať na akékoľvek zverejnené informácie a pred zadaním objednávky produktov alebo služieb. *Iné názvy a značky môžu byť majetkom iných.

Registrované podľa ISO 9001:2015

1. Intel Agilex® 7 Device Security Overview 683823 | 2023.05.23

1.2. Plánované funkcie zabezpečenia

Funkcie uvedené v tejto časti sú plánované pre budúce vydanie softvéru Intel Quartus Prime Pro Edition.

Poznámka:

Informácie v tejto časti sú predbežné.

1.2.1. Čiastočná rekonfigurácia Overenie zabezpečenia bitového prúdu
Overenie zabezpečenia bitového toku čiastočnej rekonfigurácie (PR) pomáha poskytnúť dodatočné uistenie, že bitové toky PR persona nemôžu pristupovať alebo interferovať s inými bitovými tokmi PR persona.

1.2.2. Samozabíjanie zariadenia pre fyzickú ochranu proti Tamper
Samozabíjanie zariadenia vykoná vymazanie zariadenia alebo odozvu na nulovanie zariadenia a dodatočne naprogramuje eFuses, aby zabránil zariadeniu v opätovnej konfigurácii.

1.3. Dostupná bezpečnostná dokumentácia

Nasledujúca tabuľka obsahuje zoznam dostupnej dokumentácie pre funkcie zabezpečenia zariadení na zariadeniach Intel FPGA a štruktúrovaných ASIC:

Tabuľka 1.

Dostupná dokumentácia zabezpečenia zariadenia

Názov dokumentu
Bezpečnostná metodológia pre Intel FPGA a Structured ASIC User Guide

Účel
Dokument najvyššej úrovne, ktorý obsahuje podrobné popisy bezpečnostných funkcií a technológií v produktoch Intel Programmable Solutions. Je určený na pomoc pri výbere bezpečnostných funkcií potrebných na splnenie vašich bezpečnostných cieľov.

ID dokumentu 721596

Používateľská príručka Intel Stratix 10 Device Security
Používateľská príručka pre zabezpečenie zariadenia Intel Agilex 7

Pre používateľov zariadení Intel Stratix 10 táto príručka obsahuje pokyny na používanie softvéru Intel Quartus Prime Pro Edition na implementáciu funkcií zabezpečenia identifikovaných v používateľskej príručke k metodológii zabezpečenia.
Pre používateľov zariadení Intel Agilex 7 táto príručka obsahuje pokyny na používanie softvéru Intel Quartus Prime Pro Edition na implementáciu funkcií zabezpečenia identifikovaných pomocou používateľskej príručky Metodiky zabezpečenia.

683642 683823

Používateľská príručka pre zabezpečenie zariadenia Intel eASIC N5X

Pre používateľov zariadení Intel eASIC N5X táto príručka obsahuje pokyny na používanie softvéru Intel Quartus Prime Pro Edition na implementáciu funkcií zabezpečenia identifikovaných pomocou používateľskej príručky Metodiky zabezpečenia.

626836

Používateľská príručka pre kryptografické služby Intel Agilex 7 a Intel eASIC N5X HPS

Táto príručka obsahuje informácie, ktoré pomôžu softvérovým inžinierom HPS pri implementácii a používaní softvérových knižníc HPS na prístup ku kryptografickým službám poskytovaným SDM.

713026

AN-968 Sprievodca rýchlym spustením služby Black Key Provisioning Service

Táto príručka obsahuje kompletný súbor krokov na nastavenie služby Black Key Provisioning.

739071

Umiestnenie Zdroj Intel a
Centrum dizajnu
Intel.com
Intel.com
Centrum zdrojov a dizajnu Intel
Centrum zdrojov a dizajnu Intel
Centrum zdrojov a dizajnu Intel

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 5

683823 | 2023.05.23 Odoslať spätnú väzbu

Autentifikácia a autorizácia

Ak chcete povoliť funkcie autentifikácie zariadenia Intel Agilex 7, začnite pomocou softvéru Intel Quartus Prime Pro Edition a súvisiacich nástrojov na vytvorenie reťazca podpisov. Podpisový reťazec pozostáva z koreňového kľúča, jedného alebo viacerých podpisových kľúčov a príslušných autorizácií. Reťazec podpisov použijete na svoj projekt Intel Quartus Prime Pro Edition a skompilované programovanie files. Pomocou pokynov v časti Device Provisioning naprogramujte svoj koreňový kľúč do zariadení Intel Agilex 7.
Súvisiace informácie
Poskytovanie zariadení na strane 25

2.1. Vytvorenie reťazca podpisov
Na vykonávanie operácií reťazca podpisov môžete použiť nástroj quartus_sign alebo referenčnú implementáciu agilex_sign.py. Tento dokument poskytuje napramples pomocou quartus_sign.
Ak chcete použiť referenčnú implementáciu, nahradíte volanie interpreta Pythonu, ktorý je súčasťou softvéru Intel Quartus Prime, a vynecháte možnosť –family=agilex; všetky ostatné možnosti sú ekvivalentné. Naprample, príkaz quartus_sign, ktorý nájdete neskôr v tejto časti
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky možno previesť na ekvivalentné volanie referenčnej implementácie nasledovne
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Softvér Intel Quartus Prime Pro Edition obsahuje nástroje quartus_sign, pgm_py a agilex_sign.py. Môžete použiť nástroj príkazového prostredia Nios® II, ktorý automaticky nastaví vhodné premenné prostredia na prístup k nástrojom.

Postupujte podľa týchto pokynov, aby ste vyvolali príkazový shell Nios II. 1. Zobrazte príkazový shell Nios II.

Možnosť Windows
Linux

Popis
V ponuke Štart ukážte na Programy Intel FPGA Nios II EDS a kliknite na Nios II Command Shell.
V príkazovom shell zmeňte na /nios2eds a spustite nasledujúci príkaz:
./nios2_command_shell.sh

Bývalýampsúbory v tejto časti predpokladajú reťazec podpisov a konfiguračný bitový tok files sa nachádzajú v aktuálnom pracovnom adresári. Ak sa rozhodnete nasledovať exampkde je kľúč files sú vedené na file systém, tie napramples prevziať kľúč files sú

Registrované podľa ISO 9001:2015

2. Autentifikácia a autorizácia 683823 | 2023.05.23
nachádza v aktuálnom pracovnom adresári. Môžete si vybrať, ktoré adresáre chcete použiť, a nástroje podporujú relatívne file cesty. Ak sa rozhodnete ponechať kľúč files na file systému, musíte k nim starostlivo spravovať prístupové povolenia files.
Spoločnosť Intel odporúča, aby sa na ukladanie kryptografických kľúčov a vykonávanie kryptografických operácií používal komerčne dostupný hardvérový bezpečnostný modul (HSM). Nástroj quartus_sign a referenčná implementácia zahŕňajú aplikačné programové rozhranie (API) štandardu kryptografie verejného kľúča #11 (PKCS #11) na interakciu s HSM pri vykonávaní operácií reťazca podpisov. Referenčná implementácia agilex_sign.py obsahuje abstrakt rozhrania, ako aj examprozhranie k SoftHSM.
Môžete použiť tieto naprample interfaces na implementáciu rozhrania do vášho HSM. Ďalšie informácie o implementácii rozhrania a prevádzke vášho HSM nájdete v dokumentácii od vášho dodávateľa HSM.
SoftHSM je softvérová implementácia generického kryptografického zariadenia s rozhraním PKCS #11, ktoré je dostupné v rámci projektu OpenDNSSEC®. Viac informácií vrátane pokynov na stiahnutie, zostavenie a inštaláciu OpenHSM nájdete v projekte OpenDNSSEC. Bývalýampsúbory v tejto časti využívajú SoftHSM verzie 2.6.1. Bývalýampsúbory v tejto časti navyše používajú nástroj pkcs11-tool od OpenSC na vykonávanie ďalších operácií PKCS #11 s tokenom SoftHSM. Môžete nájsť ďalšie informácie vrátane pokynov na stiahnutie, zostavenie a inštaláciu nástroja pkcs11 z OpenSC.
Súvisiace informácie
· Projekt OpenDNSSEC Policy-based zone signer pre automatizáciu procesu sledovania DNSSEC kľúčov.
· SoftHSM Informácie o implementácii kryptografického úložiska prístupného cez rozhranie PKCS #11.
· OpenSC Poskytuje sadu knižníc a nástrojov schopných pracovať s čipovými kartami.
2.1.1. Vytváranie párov autentifikačných kľúčov v lokálnom systéme File Systém
Na vytvorenie párov autentifikačných kľúčov na lokálnom mieste použite nástroj quartus_sign file pomocou operácií nástroja make_private_pem a make_public_pem. Najprv vygenerujete súkromný kľúč pomocou operácie make_private_pem. Zadáte eliptickú krivku, ktorá sa má použiť, súkromný kľúč filemeno a voliteľne, či sa má súkromný kľúč chrániť pomocou prístupovej frázy. Spoločnosť Intel odporúča použiť krivku secp384r1 a dodržiavať osvedčené postupy v odvetví na vytvorenie silnej, náhodnej prístupovej frázy pre všetky súkromné kľúče files. Intel tiež odporúča obmedziť file systémové oprávnenia na súkromnom kľúči .pem files na čítanie len vlastníkovi. Verejný kľúč odvodíte zo súkromného kľúča pomocou operácie make_public_pem. Je užitočné pomenovať kľúč .pem files opisne. Tento dokument používa konvenciu _ .pem v nasledujúcom examples.
1. V príkazovom prostredí Nios II spustite nasledujúci príkaz na vytvorenie súkromného kľúča. Súkromný kľúč, zobrazený nižšie, sa používa ako koreňový kľúč v neskoršom príkladeampsúbory, ktoré vytvárajú reťazec podpisov. Zariadenia Intel Agilex 7 podporujú viacero koreňových kľúčov, takže vy

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 7

2. Autentifikácia a autorizácia 683823 | 2023.05.23

zopakovaním tohto kroku vytvorte požadovaný počet koreňových kľúčov. NaprampVšetky súbory v tomto dokumente odkazujú na prvý koreňový kľúč, hoci reťazce podpisov môžete vytvoriť podobným spôsobom s ktorýmkoľvek koreňovým kľúčom.

Možnosť S prístupovou frázou

Popis
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Keď sa zobrazí výzva, zadajte prístupovú frázu.

Bez prístupovej frázy

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Spustite nasledujúci príkaz na vytvorenie verejného kľúča pomocou súkromného kľúča vygenerovaného v predchádzajúcom kroku. Nemusíte chrániť dôvernosť verejného kľúča.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Znova spustite príkazy na vytvorenie páru kľúčov, ktorý sa použije ako kľúč na podpisovanie návrhu v reťazci podpisov.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Vytváranie párov autentifikačných kľúčov v SoftHSM
SoftHSM exampsúbory v tejto kapitole sú konzistentné. Niektoré parametre závisia od vašej inštalácie SoftHSM a inicializácie tokenu v rámci SoftHSM.
Nástroj quartus_sign závisí od knižnice API PKCS #11 z vášho HSM.
Bývalýampsúbory v tejto časti predpokladajú, že knižnica SoftHSM je nainštalovaná na jednom z nasledujúcich umiestnení: · /usr/local/lib/softhsm2.so v systéme Linux · C:SoftHSM2libsofthsm2.dll v 32-bitovej verzii systému Windows · C:SoftHSM2libsofthsm2-x64 .dll v 64-bitovej verzii systému Windows.
Inicializujte token v rámci SoftHSM pomocou nástroja softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –zadarmo
Parametre voľby, najmä token label a token pin, sú napramppoužívané v tejto kapitole. Spoločnosť Intel odporúča, aby ste pri vytváraní a správe tokenov a kľúčov postupovali podľa pokynov vášho dodávateľa HSM.
Páry autentifikačných kľúčov vytvoríte pomocou pomocného programu pkcs11-tool na interakciu s tokenom v SoftHSM. Namiesto explicitného odkazu na súkromný a verejný kľúč .pem files v file systém napramples, odkazujete na pár kľúčov podľa jeho označenia a nástroj automaticky vyberie príslušný kľúč.

Používateľská príručka Intel Agilex® 7 Device Security 8

Odoslať spätnú väzbu

2. Autentifikácia a autorizácia 683823 | 2023.05.23

Spustite nasledujúce príkazy na vytvorenie páru kľúčov, ktorý sa použije ako koreňový kľúč v neskoršom príkladeamples, ako aj pár kľúčov používaný ako podpisový kľúč dizajnu v reťazci podpisov:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanizmus ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –príznak použitia –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanizmus ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –design label0_sign –id 1

Poznámka:

Možnosť ID v tomto kroku musí byť jedinečná pre každý kľúč, ale používa ju iba HSM. Táto možnosť ID nesúvisí s ID zrušenia kľúča prideleným v reťazci podpisov.

2.1.3. Vytvorenie koreňovej položky reťazca podpisov
Skonvertujte koreňový verejný kľúč na koreňový záznam reťazca podpisov uložený na lokálnom mieste file systém vo formáte kľúča Intel Quartus Prime (.qky). filepomocou operácie make_root. Opakujte tento krok pre každý koreňový kľúč, ktorý vygenerujete.
Spustite nasledujúci príkaz na vytvorenie reťazca podpisov s koreňovým záznamom pomocou koreňového verejného kľúča z file systém:
quartus_sign –family=agilex –operation=make_root –key_type=vlastník root0_public.pem root0.qky
Spustite nasledujúci príkaz na vytvorenie reťazca podpisov s koreňovou položkou pomocou koreňového kľúča z tokenu SoftHSM vytvoreného v predchádzajúcej časti:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsosofthsm2. ” root0 root0.qky

2.1.4. Vytvorenie položky verejného kľúča reťazca podpisov
Vytvorte nový záznam verejného kľúča pre reťazec podpisov pomocou operácie append_key. Zadáte reťazec predchádzajúceho podpisu, súkromný kľúč pre posledný záznam v reťazci predchádzajúceho podpisu, verejný kľúč ďalšej úrovne, oprávnenia a ID zrušenia, ktoré priradíte verejnému kľúču ďalšej úrovne, a nový reťazec podpisov file.
Všimnite si, že knižnica softHSM nie je dostupná pri inštalácii Quartus a namiesto toho je potrebné ju nainštalovať samostatne. Viac informácií o softHSM nájdete v časti Vytvorenie reťazca podpisov vyššie.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 9

2. Autentifikácia a autorizácia 683823 | 2023.05.23
V závislosti od vášho použitia kľúčov na file systému alebo v HSM, použijete jeden z nasledujúcich naprample príkazy na pripojenie verejného kľúča design0_sign ku koreňovému reťazcu podpisov vytvorenom v predchádzajúcej časti:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_key root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Operáciu append_key môžete zopakovať ešte dvakrát pre maximálne tri položky verejného kľúča medzi koreňovou položkou a položkou bloku hlavičky v ľubovoľnom reťazci podpisov.
Nasledujúce exampsúbor predpokladá, že ste vytvorili ďalší autentifikačný verejný kľúč s rovnakými povoleniami a priradeným ID zrušenia 1 s názvom design1_sign_public.pem a pripájate tento kľúč k reťazcu podpisov z predchádzajúceho example:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_key design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Zariadenia Intel Agilex 7 obsahujú dodatočné počítadlo zrušenia kľúča na uľahčenie používania kľúča, ktorý sa môže pravidelne meniť počas životnosti daného zariadenia. Toto počítadlo zrušenia kľúča môžete vybrať zmenou argumentu voľby –cancel na pts:pts_value.
2.2. Podpísanie konfiguračného bitového toku
Zariadenia Intel Agilex 7 podporujú počítadlá čísla bezpečnostnej verzie (SVN), ktoré vám umožňujú odvolať autorizáciu objektu bez zrušenia kľúča. Počítadlo SVN a príslušnú hodnotu počítadla SVN priradíte počas podpisovania akéhokoľvek objektu, ako je napríklad časť bitového toku, firmvér .zip file, alebo kompaktný certifikát. Počítadlo SVN a hodnotu SVN priradíte pomocou voľby –cancel a svn_counter:svn_value ako argumentu. Platné hodnoty pre svn_counter sú svnA, svnB, svnC a svnD. Svn_value je celé číslo v rozsahu [0,63].

Používateľská príručka Intel Agilex® 7 Device Security 10

Odoslať spätnú väzbu

2. Autentifikácia a autorizácia 683823 | 2023.05.23
2.2.1. Quartus Key File Pridelenie
Vo svojom softvérovom projekte Intel Quartus Prime určíte reťazec podpisov, aby ste povolili funkciu autentifikácie pre tento dizajn. V ponuke Priradenia vyberte položku Device Device and Pin Options Security Quartus Key File, potom prejdite na reťazec podpisov .qky file vytvorili ste, aby ste podpísali tento dizajn.
Obrázok 1. Povolenie nastavenia bitového toku konfigurácie

Prípadne môžete do nastavení Intel Quartus Prime pridať nasledujúci príkaz na priradenie file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
Ak chcete vygenerovať súbor .sof file z predtým skompilovaného dizajnu, ktorý obsahuje toto nastavenie, v ponuke Spracovanie vyberte možnosť Spustiť Spustiť zostavu. Nový výstup .sof file obsahuje priradenia umožňujúce autentifikáciu pomocou poskytnutého reťazca podpisov.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 11

2. Autentifikácia a autorizácia 683823 | 2023.05.23
2.2.2. Spolupodpisovanie firmvéru SDM
Pomocou nástroja quartus_sign môžete extrahovať, podpísať a nainštalovať príslušný firmvér SDM .zip file. Spolupodpísaný firmvér je potom zahrnutý do programovania file nástroj generátora, keď konvertujete .sof file do konfiguračného bitového toku .rbf file. Na vytvorenie nového reťazca podpisov a podpísanie firmvéru SDM použite nasledujúce príkazy.
1. Vytvorte nový pár podpisových kľúčov.
a. Vytvorte nový pár podpisových kľúčov na file systém:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Vytvorte nový pár podpisových kľúčov v HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mechanizmus ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –príznak použitia –označenie firmvéru1 –id 1
2. Vytvorte nový reťazec podpisov obsahujúci nový verejný kľúč:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_key root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Skopírujte firmvér .zip file z inštalačného adresára softvéru Intel Quartus Prime Pro Edition ( /devices/programmer/firmware/agilex.zip) do aktuálneho pracovného adresára.
quartus_sign –family=agilex –get_firmware=.
4. Podpíšte firmvér .zip file. Nástroj automaticky rozbalí súbor .zip file a jednotlivo podpíše všetok firmvér .cmf files, potom znova vytvorí súbor .zip file na použitie nástrojmi v nasledujúcich častiach:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signature_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Používateľská príručka Intel Agilex® 7 Device Security 12

Odoslať spätnú väzbu

2. Autentifikácia a autorizácia 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signature_agilex.zip

2.2.3. Konfigurácia podpisovania Bitstream Pomocou príkazu quartus_sign
Ak chcete podpísať konfiguračný bitový tok pomocou príkazu quartus_sign, najskôr skonvertujte súbor .sof file na surovú binárnu hodnotu bez znamienka file (.rbf). Počas kroku konverzie môžete voliteľne určiť spolupodpísaný firmvér pomocou voľby fw_source.
Nepopísaný nespracovaný bitový tok vo formáte .rbf môžete vygenerovať pomocou nasledujúceho príkazu:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Spustite jeden z nasledujúcich príkazov na podpísanie bitového toku pomocou nástroja quartus_sign v závislosti od umiestnenia vašich kľúčov:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signature_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signature_bitstream.rbf
Môžete konvertovať podpísané .rbf files na inú konfiguráciu bitového toku file formátov.
Napríkladample, ak používate prehrávač Jam* Standard Test and Programming Language (STAPL) na programovanie bitového toku cez JTAG, použijete nasledujúci príkaz na konverziu súboru .rbf file do formátu .jam, ktorý prehrávač Jam STAPL Player vyžaduje:
quartus_pfg -c podpísaný_bitstream.rbf podpísaný_bitstream.jam

2.2.4. Čiastočná rekonfigurácia Podpora viacerých orgánov

Zariadenia Intel Agilex 7 podporujú čiastočnú rekonfiguráciu autentizáciu viacerých autorít, kde vlastník zariadenia vytvára a podpisuje statický bitový tok a samostatný vlastník PR vytvára a podpisuje bitové toky pre osoby s PR. Zariadenia Intel Agilex 7 implementujú podporu viacerých autorít priradením prvých slotov koreňového kľúča autentifikácie zariadeniu alebo vlastníkovi statického bitového toku a priradením posledného slotu koreňového kľúča autentifikácie osobe s čiastočnou rekonfiguráciou a vlastníkovi bitového toku.
Ak je aktivovaná funkcia overenia, potom musia byť podpísané všetky obrázky osôb PR, vrátane vnorených obrázkov osôb PR. Osobné obrázky PR môžu byť podpísané buď vlastníkom zariadenia, alebo vlastníkom PR; bitové toky statickej oblasti však musí podpísať vlastník zariadenia.

Poznámka:

V budúcom vydaní sa plánuje statické a osobné šifrovanie bitového toku s čiastočnou rekonfiguráciou, keď je povolená podpora viacerých autorít.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 13

2. Autentifikácia a autorizácia 683823 | 2023.05.23

Obrázok 2.

Implementácia čiastočnej rekonfigurácie podpory viacerých orgánov vyžaduje niekoľko krokov:
1. Vlastník zariadenia alebo statického bitového toku vygeneruje jeden alebo viacero koreňových kľúčov autentifikácie, ako je popísané v časti Vytváranie párov autentifikačných kľúčov v SoftHSM na strane 8, kde možnosť –key_type má vlastníka hodnoty.
2. Vlastník bitového toku čiastočnej rekonfigurácie vygeneruje autentifikačný koreňový kľúč, ale zmení hodnotu voľby –key_type na sekundárny_vlastník.
3. Vlastníci dizajnu statického bitového toku aj čiastočnej rekonfigurácie zaistia, že na karte Assignments Device Device and Pin Options Security je začiarknuté políčko Enable Multi-Authority support.
Intel Quartus Prime Povoliť nastavenia možností viacerých autorít

4. Vlastníci dizajnu statického bitového toku aj čiastočnej rekonfigurácie vytvárajú reťazce podpisov na základe ich príslušných koreňových kľúčov, ako je popísané v časti Vytvorenie reťazca podpisov na strane 6.
5. Vlastníci dizajnu statického bitového toku aj čiastočnej rekonfigurácie konvertujú svoje zostavené návrhy do formátu .rbf files a podpíšte .rbf files.
6. Vlastník zariadenia alebo statického bitového toku vygeneruje a podpíše kompaktný certifikát na autorizáciu programu s verejným kľúčom PR.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signature_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signature_pr_pubkey_prog.ccert

Používateľská príručka Intel Agilex® 7 Device Security 14

Odoslať spätnú väzbu

2. Autentifikácia a autorizácia 683823 | 2023.05.23

7. Zariadenie alebo vlastník statického bitového toku poskytne zariadeniu svoje hash autentifikačného koreňového kľúča, potom naprogramuje kompaktný certifikát autorizácie programu verejného kľúča PR a nakoniec poskytne zariadeniu koreňový kľúč vlastníka bitového toku čiastočnej rekonfigurácie. Sekcia Device Provisioning popisuje tento proces poskytovania.
8. Zariadenie Intel Agilex 7 je nakonfigurované so statickou oblasťou .rbf file.
9. Zariadenie Intel Agilex 7 je čiastočne prekonfigurované s persona dizajnom .rbf file.
Súvisiace informácie
· Vytvorenie reťazca podpisov na strane 6
· Vytváranie párov autentifikačných kľúčov v SoftHSM na strane 8
· Poskytovanie zariadení na strane 25

2.2.5. Overenie konfigurácie Bitstream Signature Chains
Po vytvorení reťazcov podpisov a podpísaných bitových tokov si môžete overiť, či podpísaný bitový tok správne konfiguruje zariadenie naprogramované s daným koreňovým kľúčom. Najprv použijete operáciu fuse_info príkazu quartus_sign na vytlačenie hash koreňového verejného kľúča do textu file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Potom použijete voľbu check_integrity príkazu quartus_pfg na kontrolu reťazca podpisov na každej časti podpísaného bitového toku vo formáte .rbf. Voľba check_integrity vytlačí nasledujúce informácie:
· Stav celkovej kontroly integrity bitového toku
· Obsah každého záznamu v každom reťazci podpisov pripojený ku každej sekcii v bitovom toku .rbf file,
· Očakávaná hodnota poistky pre hash koreňového verejného kľúča pre každý reťazec podpisov.
Hodnota z výstupu fuse_info by sa mala zhodovať s riadkami poistky vo výstupe check_integrity.
quartus_pfg –check_integrity signature_bitstream.rbf

Tu je bývalýampsúbor výstupu príkazu check_integrity:

Info: Príkaz: quartus_pfg –check_integrity signature_bitstream.rbf Stav integrity: OK

oddiel

Typ: CMF

Deskriptor podpisu…

Podpisový reťazec #0 (záznamy: -1, posun: 96)

Vstup #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Generovať kľúč…

Krivka: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Generovať kľúč…

Krivka: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 15

2. Autentifikácia a autorizácia 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Vstup #1

Generovať kľúč…

Krivka: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Záznam #2 Povolenie kľúčenky: SIGN_CODE Kľúčenka môže byť zrušená ID: 3 Podpisová reťaz #1 (záznamy: -1, posun: 648)

Vstup #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generovať kľúč…

Krivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generovať kľúč…

Krivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Vstup #1

Generovať kľúč…

Krivka: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Vstup #2

Generovať kľúč…

Krivka: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Záznam #3 Povolenie kľúčenky: SIGN_CODE Kľúčenka môže byť zrušená ID: 15 Podpisový reťazec #2 (záznamy: -1, posun: 0) Podpisový reťazec #3 (záznamy: -1, posun: 0) Podpisový reťazec #4 (záznamy: -1, posun: 0) Reťazec podpisov #5 (záznamy: -1, posun: 0) Reťazec podpisov #6 (záznamy: -1, posun: 0) Reťazec podpisov #7 (záznamy: -1, posun: 0)

Typ sekcie: deskriptor podpisu IO … reťazec podpisu #0 (záznamy: -1, posun: 96)

Vstup #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generovať kľúč…

Krivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Používateľská príručka Intel Agilex® 7 Device Security 16

Odoslať spätnú väzbu

2. Autentifikácia a autorizácia 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generovať kľúč…

Krivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Vstup #1

Generovať kľúč…

Krivka: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Vstup #2

Generovať kľúč…

Krivka: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Záznam č. 3 Povolenie kľúčenky: SIGN_CORE Kľúčenku možno zrušiť ID: 15 Podpisový reťazec č. 1 (záznamy: -1, posun: 0) Podpisový reťazec č. 2 (záznamy: -1, posun: 0) Podpisový reťazec č. 3 (záznamy: -1, posun: 0) Podpisový reťazec #4 (záznamy: -1, posun: 0) Podpisový reťazec #5 (záznamy: -1, posun: 0) Podpisový reťazec #6 (záznamy: -1, posun: 0) Podpis reťaz #7 (zápisy: -1, posun: 0)

oddiel

Typ: HPS

Deskriptor podpisu…

Podpisový reťazec #0 (záznamy: -1, posun: 96)

Vstup #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generovať kľúč…

Krivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generovať kľúč…

Krivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Vstup #1

Generovať kľúč…

Krivka: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Vstup #2

Generovať kľúč…

Krivka: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 17

2. Autentifikácia a autorizácia 683823 | 2023.05.23

Záznam #3 Povolenie kľúčenky: SIGN_HPS Kľúčenka môže byť zrušená ID: 15 Podpisový reťazec #1 (záznamy: -1, posun: 0) Podpisový reťazec #2 (záznamy: -1, posun: 0) Podpisový reťazec #3 (záznamy: -1, posun: 0) Podpisový reťazec #4 (záznamy: -1, posun: 0) Podpisový reťazec #5 (záznamy: -1, posun: 0) Podpisový reťazec #6 (záznamy: -1, posun: 0) Podpis reťaz #7 (zápisy: -1, posun: 0)

Typ sekcie: CORE Signature Descriptor … Reťazec podpisov #0 (záznamy: -1, posun: 96)

Vstup #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Generovať kľúč…

Krivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Generovať kľúč…

Krivka: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Vstup #1

Generovať kľúč…

Krivka: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Vstup #2

Generovať kľúč…

Krivka: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Používateľská príručka Intel Agilex® 7 Device Security 18

Odoslať spätnú väzbu

683823 | 2023.05.23 Odoslať spätnú väzbu

AES Bitstream Encryption

Šifrovanie bitového toku Advanced Encryption Standard (AES) je funkcia, ktorá umožňuje vlastníkovi zariadenia chrániť dôvernosť duševného vlastníctva v konfiguračnom bitovom toku.
Na ochranu dôvernosti kľúčov používa šifrovanie konfiguračného bitového toku reťaz kľúčov AES. Tieto kľúče sa používajú na šifrovanie údajov vlastníka v konfiguračnom bitovom toku, kde je prvý medzikľúč zašifrovaný koreňovým kľúčom AES.

3.1. Vytvorenie koreňového kľúča AES

Na vytvorenie koreňového kľúča AES vo formáte softvérového šifrovacieho kľúča Intel Quartus Prime (.qek) môžete použiť nástroj quartus_encrypt alebo referenčnú implementáciu stratix10_encrypt.py file.

Poznámka:

Stratix10_encrypt.py file sa používa pre zariadenia Intel Stratix® 10 a Intel Agilex 7.

Voliteľne môžete zadať základný kľúč, ktorý sa používa na odvodenie koreňového kľúča AES a kľúča na odvodenie kľúča, hodnotu pre koreňový kľúč AES priamo, počet pomocných kľúčov a maximálne využitie na medzikľúč.

Musíte zadať rodinu zariadení, výstup .qek file umiestnenie a prístupovú frázu, keď sa zobrazí výzva.
Spustite nasledujúci príkaz na vygenerovanie koreňového kľúča AES pomocou náhodných údajov pre základný kľúč a predvolených hodnôt pre počet prechodných kľúčov a maximálne využitie kľúča.
Ak chcete použiť referenčnú implementáciu, nahradíte volanie interpreta Pythonu, ktorý je súčasťou softvéru Intel Quartus Prime, a vynecháte možnosť –family=agilex; všetky ostatné možnosti sú ekvivalentné. Naprample, príkaz quartus_encrypt, ktorý nájdete neskôr v sekcii

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

možno previesť na ekvivalentné volanie referenčnej implementácie takto pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Nastavenia šifrovania Quartus
Ak chcete povoliť šifrovanie bitového toku pre návrh, musíte zadať príslušné možnosti pomocou panela Zabezpečenie zariadení priradenia zariadenia a možností pinov. Začiarknite políčko Povoliť šifrovanie bitového toku konfigurácie a z rozbaľovacej ponuky vyberte požadované miesto uloženia šifrovacieho kľúča.

Registrované podľa ISO 9001:2015

Obrázok 3. Nastavenia šifrovania Intel Quartus Prime

3. AES Bitstream Encryption 683823 | 2023.05.23

Alternatívne môžete do nastavení Intel Quartus Prime pridať nasledujúci príkaz priradenia file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM on set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Ak chcete povoliť ďalšie zmiernenia útokov na bočný kanál, môžete povoliť rozbaľovaciu ponuku Pomer aktualizácie šifrovania a začiarkavacie políčko Povoliť kódovanie.

Používateľská príručka Intel Agilex® 7 Device Security 20

Odoslať spätnú väzbu

3. AES Bitstream Encryption 683823 | 2023.05.23

Zodpovedajúce zmeny v súbore .qsf sú:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING na set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Šifrovanie konfiguračného bitového toku
Pred podpísaním bitového toku zašifrujete konfiguračný bitový tok. Programovanie Intel Quartus Prime File Nástroj Generátor dokáže automaticky zašifrovať a podpísať konfiguračný bitový tok pomocou grafického používateľského rozhrania alebo príkazového riadku.
Voliteľne môžete vytvoriť čiastočne zašifrovaný bitový tok na použitie s nástrojmi quartus_encrypt a quartus_sign alebo ekvivalentmi referenčnej implementácie.

3.3.1. Konfigurácia Šifrovanie bitového toku pomocou programovania File Grafické rozhranie generátora
Môžete použiť programovanie File Generátor na zašifrovanie a podpísanie obrázka vlastníka.

Obrázok 4.

1. Na Intel Quartus Prime File v ponuke vyberte položku Programovanie File Generátor. 2. Na výstupe Files, zadajte výstup file zadajte pre svoju konfiguráciu
schémy.
Výstup File Špecifikácia

Konfiguračná schéma Výstup file tab
Výstup file typu

3. Na vstupe Filekliknite na Pridať bitový tok a prejdite na svoj .sof. 4. Ak chcete zadať možnosti šifrovania a autentifikácie, vyberte súbor .sof a kliknite naň
Vlastnosti. a. Zapnite možnosť Povoliť nástroj na podpisovanie. b. Pre súkromný kľúč file vyberte svoj podpisový kľúč private .pem file. c. Zapnite možnosť Finalizovať šifrovanie.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 21

3. AES Bitstream Encryption 683823 | 2023.05.23

Obrázok 5.

d. Pre šifrovací kľúč file, vyberte svoj AES .qek file. Vstup (.sof) File Vlastnosti pre autentifikáciu a šifrovanie

Povoliť autentifikáciu Zadajte súkromný root .pem
Povoliť šifrovanie Zadajte šifrovací kľúč
5. Ak chcete vygenerovať podpísaný a zašifrovaný bitový tok, na vstupe Filekliknite na tlačidlo Generovať. Zobrazia sa dialógové okná hesla, kde môžete zadať prístupovú frázu pre váš kľúč AES .qek file a podpísanie súkromného kľúča .pem file. Programovanie file generátor vytvorí zašifrovaný a podpísaný výstup_file.rbf.
3.3.2. Konfigurácia Šifrovanie bitového toku pomocou programovania File Rozhranie príkazového riadku generátora
Vygenerujte zašifrovaný a podpísaný konfiguračný bitový tok vo formáte .rbf pomocou rozhrania príkazového riadka quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
Môžete konvertovať šifrovaný a podpísaný konfiguračný bitový tok vo formáte .rbf na iný konfiguračný bitový tok file formátov.
3.3.3. Čiastočne šifrovaná konfigurácia Generovanie bitového toku pomocou rozhrania príkazového riadka
Môžete vygenerovať čiastočne zašifrovaný program file na dokončenie šifrovania a podpísanie obrázka neskôr. Vytvorte čiastočne zašifrovaný program file vo formáte .rbf s rozhraním príkazového riadka quartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Používateľská príručka Intel Agilex® 7 Device Security 22

Odoslať spätnú väzbu

3. AES Bitstream Encryption 683823 | 2023.05.23
Na dokončenie šifrovania bitového toku použite nástroj príkazového riadka quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Na podpísanie šifrovaného konfiguračného bitového toku použite nástroj príkazového riadka quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signature_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signature_encrypted_top.rbf
3.3.4. Čiastočná rekonfigurácia Bitstream Encryption
Šifrovanie bitového toku môžete povoliť na niektorých návrhoch FPGA Intel Agilex 7, ktoré používajú čiastočnú rekonfiguráciu.
Návrhy čiastočnej rekonfigurácie využívajúce Hierarchickú čiastočnú rekonfiguráciu (HPR) alebo SUPR (Static Update Partial Reconfiguration) nepodporujú šifrovanie bitového toku. Ak váš návrh obsahuje viacero oblastí PR, musíte zašifrovať všetky osoby.
Ak chcete povoliť šifrovanie bitového toku čiastočnej rekonfigurácie, postupujte podľa rovnakého postupu vo všetkých revíziách návrhu. 1. Na Intel Quartus Prime File vyberte položku Priradenia Zariadenie Zariadenie
a Možnosti PIN Zabezpečenie. 2. Vyberte požadované miesto uloženia šifrovacieho kľúča.
Obrázok 6. Čiastočná rekonfigurácia Nastavenie šifrovania bitového toku

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 23

3. AES Bitstream Encryption 683823 | 2023.05.23
Alternatívne môžete pridať nasledujúci príkaz priradenia v nastaveniach Quartus Prime file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION zapnuté
Po zostavení základného návrhu a revízií softvér vygeneruje súbor a.soffile a jeden alebo viac.pmsffiles, zastupujúci osoby. 3. Vytvorte šifrované a podpísané programovanie files od.sof a.pmsf files podobným spôsobom ako pri návrhoch bez povolenej čiastočnej rekonfigurácie. 4. Preveďte skompilovaný súbor persona.pmsf file do čiastočne zašifrovaného.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Dokončite šifrovanie bitového toku pomocou nástroja príkazového riadka quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Podpíšte šifrovaný konfiguračný bitový tok pomocou nástroja príkazového riadka quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signature_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signature_encrypted_persona1.rbf

Používateľská príručka Intel Agilex® 7 Device Security 24

Odoslať spätnú väzbu

683823 | 2023.05.23 Odoslať spätnú väzbu

Poskytovanie zariadení

Počiatočné poskytovanie bezpečnostných funkcií je podporované iba vo firmvéri poskytovania SDM. Pomocou programátora Intel Quartus Prime Programmer načítajte firmvér poskytovania SDM a vykonávajte operácie poskytovania.
Môžete použiť akýkoľvek typ JTAG stiahnuť kábel na pripojenie programátora Quartus k zariadeniu Intel Agilex 7 na vykonávanie operácií poskytovania.
4.1. Používanie firmvéru SDM Provision
Programátor Intel Quartus Prime automaticky vytvorí a načíta pomocný obraz predvolený z výroby, keď vyberiete operáciu inicializácie a príkaz na naprogramovanie niečoho iného ako konfiguračný bitový tok.
V závislosti od zadaného programovacieho príkazu je predvolený pomocný obrázok z výroby jedným z dvoch typov:
· Pomocný obraz poskytovania – pozostáva z jednej časti bitového toku, ktorá obsahuje firmvér na poskytovanie SDM.
· Pomocný obraz QSPI – pozostáva z dvoch častí bitového toku, jedna obsahuje hlavný firmvér SDM a jedna I/O časť.
Môžete vytvoriť pomocný obrázok predvolený z výroby file načítať do vášho zariadenia pred vykonaním akéhokoľvek programovacieho príkazu. Po naprogramovaní hash autentifikačného koreňového kľúča musíte vytvoriť a podpísať pomocný obraz predvolený z výroby QSPI, pretože obsahuje sekciu I/O. Ak dodatočne naprogramujete spolupodpísané nastavenie zabezpečenia firmvéru eFuse, musíte vytvoriť pomocné obrázky predvoleného výrobného nastavenia a QSPI so spolupodpísaným firmvérom. Na nezabezpečenom zariadení môžete použiť spolupodpísaný predvolený pomocný obrázok z výroby, pretože nezabezpečené zariadenie ignoruje reťazce podpisov iných spoločností ako Intel cez firmvér SDM. Viac podrobností o vytváraní, podpisovaní a používaní pomocného obrazu predvoleného výrobcom QSPI nájdete v časti Používanie predvoleného pomocného obrazu QSPI na vlastnených zariadeniach na strane 26.
Predvolený pomocný obraz poskytovania z výroby vykonáva akciu poskytovania, ako je programovanie hash koreňového kľúča autentifikácie, poistky nastavenia zabezpečenia, registrácia PUF alebo poskytovanie čierneho kľúča. Používate programovanie Intel Quartus Prime File Nástroj príkazového riadka Generátor na vytvorenie pomocného obrazu poskytovania, pričom zadáte voľbu helper_image, názov vášho helper_device, podtyp pomocného obrazu poskytovania a voliteľne spolupodpísaný firmvér .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signature_provision_helper_image.rbf
Naprogramujte obraz pomocníka pomocou nástroja Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;podpísané_provision_helper_image.rbf” –force

Registrované podľa ISO 9001:2015

4. Poskytovanie zariadení 683823 | 2023.05.23

Poznámka:

Operáciu inicializácie môžete vynechať z príkazov vrátane naprampsúbory uvedené v tejto kapitole po naprogramovaní pomocného obrazu poskytovania alebo po použití príkazu, ktorý obsahuje operáciu inicializácie.

4.2. Používanie predvoleného obrázka pomocníka QSPI na vlastnených zariadeniach
Programátor Intel Quartus Prime automaticky vytvorí a načíta predvolený pomocný obrázok QSPI z výroby, keď vyberiete operáciu inicializácie pre programovanie flash QSPI. file. Po naprogramovaní hash autentifikačného koreňového kľúča musíte vytvoriť a podpísať predvolený pomocný obrázok výrobcu QSPI a naprogramovať podpísaný pomocný obrázok výrobcu QSPI samostatne pred naprogramovaním blesku QSPI. 1. Používate programovanie Intel Quartus Prime File Nástroj príkazového riadku generátora
vytvorte pomocný obrázok QSPI špecifikovaním možnosti helper_image, typ vášho helper_device, podtyp pomocného obrázka QSPI a voliteľne spolupodpísaný firmvér .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Podpíšete predvolený pomocný obrázok QSPI z výroby:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signature_qspi_helper_image.rbf
3. Môžete použiť akékoľvek QSPI flash programovanie file formát. Nasledujúce exampsúbory používajú konfiguračný bitový tok konvertovaný na .jic file formát:
quartus_pfg -c signature_bitstream.rbf signature_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Podpísaný obraz pomocníka naprogramujete pomocou nástroja Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –force
5. Obraz .jic naprogramujete na flashovanie pomocou nástroja Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o „p;signed_flash.jic“

4.3. Poskytovanie koreňového kľúča autentifikácie
Ak chcete naprogramovať hodnoty hash koreňového kľúča vlastníka na fyzické poistky, musíte najprv načítať firmvér poskytovania, potom naprogramovať hodnoty hash koreňového kľúča vlastníka a potom okamžite vykonať reset po zapnutí. Reset po zapnutí nie je potrebný, ak programujete hash koreňového kľúča na virtuálne poistky.

Používateľská príručka Intel Agilex® 7 Device Security 26

Odoslať spätnú väzbu

4. Poskytovanie zariadení 683823 | 2023.05.23
Ak chcete naprogramovať hash koreňového kľúča autentifikácie, naprogramujte pomocný obraz poskytovania firmvéru a spustite jeden z nasledujúcich príkazov na naprogramovanie koreňového kľúča .qky files.
// Pre fyzické (neprchavé) eFuses quartus_pgm -c 1 -mjtag -o „p;root0.qky;root1.qky;root2.qky“ –non_volatile_key
// Pre virtuálne (volatilné) eFuses quartus_pgm -c 1 -mjtag -o „p;root0.qky;root1.qky;root2.qky“
4.3.1. Čiastočná rekonfigurácia Multi-Authority Root Key Programovanie
Po poskytnutí koreňových kľúčov vlastníka bitového toku zariadenia alebo statickej oblasti znova načítate pomocný obraz poskytovania zariadenia, naprogramujete podpísaný kompaktný certifikát autorizácie programu verejného kľúča PR a potom poskytnete koreňový kľúč vlastníka bitového toku osoby PR.
// Pre fyzické (neprchavé) eFuses quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Pre virtuálne (volatilné) eFuses quartus_pgm -c 1 -mjtag -o „p;p;root_pr.qky“ –pr_pubkey
4.4. Programovací kľúč Zrušenie ID poistky
Počnúc softvérom Intel Quartus Prime Pro Edition verzie 21.1 si programovanie poistiek Intel a ID na zrušenie kľúča vlastníka vyžaduje použitie podpísaného kompaktného certifikátu. Kompaktný certifikát ID zrušenia kľúča môžete podpísať reťazcom podpisov, ktorý má oprávnenia na podpisovanie sekcií FPGA. Kompaktný certifikát vytvoríte pomocou programovania file generátor príkazového riadku. Nepodpísaný certifikát podpíšete pomocou nástroja quartus_sign alebo referenčnej implementácie.
Zariadenia Intel Agilex 7 podporujú samostatné banky ID zrušenia kľúča vlastníka pre každý koreňový kľúč. Keď je kompaktný certifikát ID zrušenia kľúča vlastníka naprogramovaný do Intel Agilex 7 FPGA, SDM určí, ktorý koreňový kľúč podpísal kompaktný certifikát a prepáli poistku ID zrušenia kľúča, ktorá zodpovedá tomuto koreňovému kľúču.
Nasledujúce exampvytvoriť certifikát zrušenia kľúča Intel pre ID kľúča Intel 7. Číslo 7 môžete nahradiť príslušným ID zrušenia kľúča Intel od 0 do 31.
Spustite nasledujúci príkaz a vytvorte nepodpísaný kompaktný certifikát ID zrušenia kľúča Intel:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Spustite jeden z nasledujúcich príkazov a podpíšte nepodpísaný kompaktný certifikát ID zrušenia kľúča Intel:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signature_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 27

4. Poskytovanie zariadení 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signature_cancel_intel7.ccert
Spustite nasledujúci príkaz na vytvorenie kompaktného certifikátu ID zrušenia kľúča vlastníka:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Spustite jeden z nasledujúcich príkazov na podpísanie kompaktného certifikátu ID zrušenia kľúča vlastníka bez podpisu:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signature_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signature_cancel_owner2.ccert
Po vytvorení kompaktného certifikátu ID zrušenia podpísaného kľúča môžete pomocou programátora Intel Quartus Prime naprogramovať kompaktný certifikát do zariadenia pomocou JTAG.
//Pre fyzické (neprchavé) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
//Pre virtuálne (volatilné) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o „pi;signed_cancel_owner2.ccert“
Kompaktný certifikát môžete dodatočne odoslať do SDM pomocou rozhrania poštovej schránky FPGA alebo HPS.
4.5. Zrušenie koreňových kľúčov
Zariadenia Intel Agilex 7 vám umožňujú zrušiť hash koreňového kľúča, keď je prítomný ďalší nezrušený hash koreňového kľúča. Hašovanie koreňového kľúča zrušíte tak, že najprv nakonfigurujete zariadenie s dizajnom, ktorého reťaz podpisov je zakorenená v inom haši koreňového kľúča, a potom naprogramujete kompaktný certifikát na zrušenie hašovania koreňového kľúča. Kompaktný certifikát na zrušenie hašovania koreňového kľúča musíte podpísať reťazcom podpisov zakoreneným v koreňovom kľúči, ktorý sa má zrušiť.
Spustite nasledujúci príkaz na vygenerovanie nepodpísaného kompaktného certifikátu na zrušenie hash koreňového kľúča:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Používateľská príručka Intel Agilex® 7 Device Security 28

Odoslať spätnú väzbu

4. Poskytovanie zariadení 683823 | 2023.05.23

Spustite jeden z nasledujúcich príkazov na podpísanie kompaktného certifikátu na zrušenie hašovania koreňového kľúča:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signature_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signature_root_cancel.ccert
Kompaktný certifikát na zrušenie hash koreňového kľúča môžete naprogramovať cez JTAG, FPGA alebo HPS poštové schránky.

4.6. Programovanie poistiek počítadla
Aktualizujete číslo bezpečnostnej verzie (SVN) a Pseudo Time Stamp (PTS) počítadlo poistky pomocou podpísaných kompaktných certifikátov.

Poznámka:

SDM sleduje minimálnu hodnotu počítadla zaznamenanú počas danej konfigurácie a neakceptuje certifikáty prírastku počítadla, keď je hodnota počítadla menšia ako minimálna hodnota. Pred programovaním kompaktného certifikátu prírastku počítadla musíte aktualizovať všetky objekty priradené k počítadlu a prekonfigurovať zariadenie.

Spustite jeden z nasledujúcich príkazov, ktorý zodpovedá certifikátu prírastku počítadla, ktorý chcete vygenerovať.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Hodnota počítadla 1 vytvorí autorizačný certifikát prírastku počítadla. Programovanie kompaktného certifikátu autorizácie prírastku počítadla vám umožňuje naprogramovať ďalšie nepodpísané certifikáty prírastku počítadla na aktualizáciu príslušného počítadla. Nástroj quartus_sign použijete na podpísanie kompaktných certifikátov počítadla podobným spôsobom ako kompaktné certifikáty ID zrušenia kľúča.
Kompaktný certifikát na zrušenie hash koreňového kľúča môžete naprogramovať cez JTAG, FPGA alebo HPS poštové schránky.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 29

4. Poskytovanie zariadení 683823 | 2023.05.23

4.7. Zabezpečenie poskytovania koreňového kľúča služby Data Object Service
Na poskytnutie koreňového kľúča Secure Data Object Service (SDOS) používate programátor Intel Quartus Prime. Programátor automaticky načíta pomocný obraz poskytovania firmvéru na poskytnutie koreňového kľúča SDOS.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

4.8. Nastavenie zabezpečenia Zabezpečenie poistky
Pomocou programátora Intel Quartus Prime Programmer preskúmajte poistky nastavenia zabezpečenia zariadenia a zapíšte ich do textovej poistky . file takto:
quartus_pgm -c 1 -mjtag -o "ei;programovanie_file.poistka;AGFB014R24B”

Možnosti · i: Programátor nahrá pomocný obraz poskytovania firmvéru do zariadenia. · e: Programátor načíta poistku zo zariadenia a uloží ju do .poistky file.

Poistka file obsahuje zoznam párov názov-hodnota poistky. Hodnota udáva, či došlo k prepáleniu poistky alebo obsahu poistkového poľa.

Nasledujúce example zobrazuje formát .poistky file:

# Firmvér so spolupodpísaným podpisom

= „Nefúkané“

# Zabitie povolenia zariadenia

= „Nefúkané“

# Zariadenie nie je zabezpečené

= „Nefúkané“

# Zakázať ladenie HPS

= „Nefúkané“

# Zakázať registráciu PUF Intrinsic ID

= „Nefúkané“

# Zakázať JTAG

= „Nefúkané“

# Zakázať šifrovací kľúč zabalený v PUF

= „Nefúkané“

# Zakázať šifrovací kľúč vlastníka v BBRAM = „Nevyhodené“

# Zakázať šifrovací kľúč vlastníka v eFuses = „Nevyhodené“

# Zakázať hash verejného kľúča koreňového vlastníka 0

= „Nefúkané“

# Zakázať hash verejného kľúča koreňového vlastníka 1

= „Nefúkané“

# Zakázať hash verejného kľúča koreňového vlastníka 2

= „Nefúkané“

# Zakázať virtuálne eFuses

= „Nefúkané“

# Vynútenie hodín SDM na interný oscilátor = „Neprepálené“

# Vynútiť aktualizáciu šifrovacieho kľúča

= „Nefúkané“

# Zrušenie explicitného kľúča Intel

= "0"

# Zamknite bezpečnostné eFuses

= „Nefúkané“

# Program šifrovacieho kľúča vlastníka je hotový

= „Nefúkané“

# Spustenie programu šifrovacieho kľúča vlastníka

= „Nefúkané“

# Výslovné zrušenie kľúča vlastníka 0

= ""

# Výslovné zrušenie kľúča vlastníka 1

= ""

# Výslovné zrušenie kľúča vlastníka 2

= ""

# Poistky vlastníka

"0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Vlastník koreňového verejného kľúča hash 0

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Vlastník koreňového verejného kľúča hash 1

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Vlastník koreňového verejného kľúča hash 2

"0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Veľkosť koreňového verejného kľúča vlastníka

= "Žiadne"

# Počítadlo PTS

= "0"

# Základňa počítadla PTS

= "0"

Používateľská príručka Intel Agilex® 7 Device Security 30

Odoslať spätnú väzbu

4. Poskytovanie zariadení 683823 | 2023.05.23

# Oneskorenie spustenia QSPI # Počítadlo RMA # SDMIO0 je I2C # Počítadlo SVN A # Počítadlo SVN B # Počítadlo SVN C # Počítadlo SVN D

= „10 ms“ = „0“ = „Neprefúknuté“ = „0“ = „0“ = „0“ = „0“

Upravte .poistku file na nastavenie poistiek požadovaného nastavenia zabezpečenia. Riadok, ktorý začína #, sa považuje za riadok komentára. Ak chcete naprogramovať poistku nastavenia zabezpečenia, odstráňte vodiaci znak # a nastavte hodnotu na Blown. NaprampAk chcete aktivovať poistku nastavenia zabezpečenia spolupodpísaného firmvéru, upravte prvý riadok poistky file na toto:
Firmvér s spoločne podpísaným podpisom = „Blowed“

Môžete tiež prideliť a naprogramovať poistky vlastníka na základe vašich požiadaviek.
Na vykonanie prázdnej kontroly, naprogramovania a overenia koreňového verejného kľúča vlastníka môžete použiť nasledujúci príkaz:
quartus_pgm -c 1 -mjtag -o „ibpv;root0.qky“

Možnosti · i: Načíta pomocný obraz poskytovania firmvéru do zariadenia. · b: Vykoná slepú kontrolu na overenie, či nie sú požadované poistky nastavenia zabezpečenia
už fúkané. · p: Programuje poistku. · v: Overí naprogramovaný kľúč na zariadení.
Po naprogramovaní súboru .qky file, môžete skontrolovať informácie o poistke opätovným skontrolovaním informácií o poistke, aby ste sa uistili, že hash verejného kľúča vlastníka aj veľkosť verejného kľúča vlastníka majú nenulové hodnoty.
Zatiaľ čo nasledujúce polia nie sú zapisovateľné cez .poistku file metóda, sú zahrnuté počas výstupu operácie preskúmania na overenie: · Zariadenie nie je zabezpečené · Zastavenie povolenia zariadenia · Zakázanie hash koreňového verejného kľúča vlastníka 0 · Zakázanie hash koreňového verejného kľúča vlastníka 1 · Zakázanie hash koreňového verejného kľúča vlastníka 2 · Zrušenie kľúča Intel · Spustenie programu šifrovacieho kľúča vlastníka · Hotový program šifrovacieho kľúča vlastníka · Zrušenie kľúča vlastníka · Hašovanie verejného kľúča vlastníka · Veľkosť verejného kľúča vlastníka · Hašovanie koreňového verejného kľúča vlastníka 0 · Hašovanie koreňového verejného kľúča vlastníka 1 · Hašovanie koreňového verejného kľúča vlastníka 2

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 31

4. Poskytovanie zariadení 683823 | 2023.05.23
· Počítadlo PTS · Základ počítadla PTS · Oneskorenie spustenia QSPI · Počítadlo RMA · SDMIO0 je I2C · Počítadlo SVN A · Počítadlo SVN B · Počítadlo SVN C · Počítadlo SVN D
Na naprogramovanie .poistky použite programátor Intel Quartus Prime file späť do zariadenia. Ak pridáte možnosť i, programátor automaticky nahrá zabezpečovací firmvér na naprogramovanie poistiek nastavenia zabezpečenia.
//Pre fyzické (neprchavé) eFuses quartus_pgm -c 1 -mjtag -o „pi;programovanie_file.poistka” –non_volatile_key
//Pre virtuálne (volatilné) eFuses quartus_pgm -c 1 -mjtag -o „pi;programovanie_file.poistka”
Na overenie, či je hash koreňového kľúča zariadenia rovnaký ako .qky poskytnutá v príkaze, môžete použiť nasledujúci príkaz:
quartus_pgm -c 1 -mjtag -o „v;root0_another.qky“
Ak sa kľúče nezhodujú, programátor zlyhá s chybovou správou Operation failed.
4.9. Poskytovanie koreňového kľúča AES
Na naprogramovanie koreňového kľúča AES pre zariadenie Intel Agilex 7 musíte použiť podpísaný kompaktný certifikát koreňového kľúča AES.
4.9.1. Kompaktný certifikát koreňového kľúča AES
Na konverziu koreňového kľúča AES .qek použijete nástroj príkazového riadka quartus_pfg file do kompaktného formátu certifikátu .ccert. Miesto uloženia kľúčov zadávate pri vytváraní kompaktného certifikátu. Na vytvorenie nepodpísaného certifikátu na neskoršie podpisovanie môžete použiť nástroj quartus_pfg. Ak chcete úspešne podpísať kompaktný certifikát koreňového kľúča AES, musíte použiť reťaz podpisov s povolením na podpis koreňového kľúča AES, bit povolenia 6.

Používateľská príručka Intel Agilex® 7 Device Security 32

Odoslať spätnú väzbu

4. Poskytovanie zariadení 683823 | 2023.05.23
1. Vytvorte ďalší pár kľúčov používaný na podpísanie kompaktného certifikátu kľúča AES pomocou jedného z nasledujúcich príkazov napramples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mechanizmus ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. Vytvorte reťazec podpisov so správnym nastaveným bitom povolenia pomocou jedného z nasledujúcich príkazov:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_key root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Vytvorte nepodpísaný kompaktný certifikát AES pre požadované miesto uloženia koreňového kľúča AES. K dispozícii sú nasledujúce možnosti uloženia koreňového kľúča AES:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Vytvoriť eFuse koreňový kľúč AES nepodpísaný certifikát quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Podpíšte kompaktný certifikát pomocou príkazu quartus_sign alebo implementácie odkazu.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.cert podpísaný_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 33

4. Poskytovanie zariadení 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.cert podpísaný_ 1.ccert
5. Pomocou programátora Intel Quartus Prime naprogramujte kompaktný certifikát koreňového kľúča AES do zariadenia Intel Agilex 7 cez JTAG. Programátor Intel Quartus Prime predvolene naprogramuje virtuálne eFuse pri použití typu kompaktného certifikátu EFUSE_WRAPPED_AES_KEY.
Pridáte možnosť –non_volatile_key, aby ste určili programovanie fyzických poistiek.
//Pre fyzický (nevolatilný) koreňový kľúč eFuse AES quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –non_volatile_key

//Pre virtuálny (volatilný) koreňový kľúč eFuse AES quartus_pgm -c 1 -mjtag -o „pi;signed_efuse1.ccert“

//Pre koreňový kľúč BBRAM AES quartus_pgm -c 1 -mjtag -o „pi;signed_bbram1.ccert“

Firmvér poskytovania SDM a hlavný firmvér podporujú programovanie certifikátu koreňového kľúča AES. Na programovanie certifikátu koreňového kľúča AES môžete použiť aj rozhranie poštovej schránky SDM z štruktúry FPGA alebo HPS.

Poznámka:

Príkaz quartus_pgm nepodporuje voľby b a v pre kompaktné certifikáty (.ccert).

4.9.2. Intrinsic ID® PUF AES Root Key Provisioning
Implementácia Intrinsic* ID PUF zabaleného AES kľúča zahŕňa nasledujúce kroky: 1. Registrácia Intrinsic ID PUF cez JTAG. 2. Zabalenie koreňového kľúča AES. 3. Programovanie pomocných dát a zabaleného kľúča do quad SPI flash pamäte. 4. Dotaz na stav aktivácie Intrinsic ID PUF.
Použitie technológie Intrinsic ID vyžaduje samostatnú licenčnú zmluvu s Intrinsic ID. Softvér Intel Quartus Prime Pro Edition obmedzuje operácie PUF bez príslušnej licencie, ako je registrácia, balenie kľúčov a programovanie údajov PUF na QSPI flash.

4.9.2.1. Intrinsic ID PUF Enrollment
Ak chcete zaregistrovať PUF, musíte použiť firmvér SDM. Poskytovací firmvér musí byť prvým firmvérom načítaným po vypnutí napájania a príkaz na zapísanie PUF musíte zadať pred akýmkoľvek iným príkazom. Firmvér poskytovania podporuje ďalšie príkazy po registrácii PUF, vrátane zabalenia koreňového kľúča AES a programovania quad SPI, avšak na načítanie konfiguračného bitového toku musíte zariadenie vypnúť a vypnúť.
Pomocou programátora Intel Quartus Prime spustíte registráciu PUF a vygenerujete pomocné údaje PUF .puf file.

Používateľská príručka Intel Agilex® 7 Device Security 34

Odoslať spätnú väzbu

4. Poskytovanie zariadení 683823 | 2023.05.23

Obrázok 7.

Intrinsic ID PUF Enrollment
quartus_pgm Registrácia PUF

Registrácia pomocných údajov PUF

Secure Device Manager (SDM)

wrapper.puf Pomocné údaje
Programátor automaticky načíta pomocný obraz poskytovania firmvéru, keď zadáte operáciu i aj argument .puf.
quartus_pgm -c 1 -mjtag -o „ei;help_data.puf;AGFB014R24A“
Ak používate spolupodpísaný firmvér, pred použitím príkazu PUF enrollment naprogramujte pomocný obraz spolupodpísaného firmvéru.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o „e;help_data.puf;AGFB014R24A“
UDS IID PUF je zaregistrovaný počas výroby zariadenia a nie je k dispozícii na opätovné zapísanie. Namiesto toho používate programátor na určenie umiestnenia pomocných údajov UDS PUF na IPCS, stiahnite si súbor .puf file priamo a potom použite UDS .puf file rovnakým spôsobom ako .puf file extrahované zo zariadenia Intel Agilex 7.
Na vygenerovanie textu použite nasledujúci príkaz programátora file obsahujúci zoznam URLs ukazuje na konkrétne zariadenie files na IPCS:
quartus_pgm -c 1 -mjtag -o „e;ips_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Zabalenie koreňového kľúča AES
Vygenerujete koreňový kľúč AES .wkey zabalený v IID PUF file odoslaním podpísaného certifikátu do SDM.
Na automatické vygenerovanie, podpísanie a odoslanie certifikátu na zabalenie koreňového kľúča AES môžete použiť programátor Intel Quartus Prime, alebo môžete použiť programovanie Intel Quartus Prime. File Generátor na vygenerovanie nepodpísaného certifikátu. Nepodpísaný certifikát podpíšete pomocou vlastných nástrojov alebo nástroja na podpisovanie Quartus. Potom pomocou programátora odošlete podpísaný certifikát a zabalíte koreňový kľúč AES. Podpísaný certifikát možno použiť na naprogramovanie všetkých zariadení, ktoré môžu overiť podpisový reťazec.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 35

4. Poskytovanie zariadení 683823 | 2023.05.23

Obrázok 8.

Zabalenie kľúča AES pomocou programátora Intel Quartus Prime
.pem Súkromné
kľúč

.qky

quartus_pgm

Zabaliť kľúč AES

AES.QSKigYnature RootCPhuabilnic Key

Generovať PUF zabalený kľúč

Zabalený kľúč AES

SDM

.qek šifrovanie
kľúč

.wkey PUF-zabalené
Kľúč AES

1. Koreňový kľúč AES (.wkey) obalený IID PUF môžete vygenerovať pomocou programátora pomocou nasledujúcich argumentov:
· Súbor .qky file obsahujúci reťazec podpisov s oprávnením certifikátu koreňového kľúča AES
· Súkromný súbor .pem file pre posledný kľúč v reťazci podpisov
· Súbor .qek file podržaním koreňového kľúča AES
· 16-bajtový inicializačný vektor (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o „ei;aes.wkey;AGFB014R24A“

2. Alternatívne môžete vygenerovať nepodpísaný IID PUF obalový certifikát koreňového kľúča AES pomocou programu Programming File Generátor používa nasledujúce argumenty:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Nepodpísaný certifikát podpíšete pomocou svojich vlastných podpisovacích nástrojov alebo nástroja quartus_sign pomocou nasledujúceho príkazu:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signature_aes.ccert

4. Potom pomocou programátora odošlete podpísaný certifikát AES a vrátite zabalený kľúč (.wkey) file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Poznámka: Operácia i nie je potrebná, ak ste predtým načítali pomocný obraz poskytovania firmvéru, naprample, na registráciu PUF.

4.9.2.3. Programovanie pomocných údajov a zabaleného kľúča do pamäte QSPI Flash
Používate programovanie Quartus File Grafické rozhranie generátora na vytvorenie počiatočného flash obrazu QSPI obsahujúceho oddiel PUF. Musíte vygenerovať a naprogramovať celý flash programovací obraz na pridanie oddielu PUF do QSPI flash. Vytvorenie PUF

Používateľská príručka Intel Agilex® 7 Device Security 36

Odoslať spätnú väzbu

4. Poskytovanie zariadení 683823 | 2023.05.23

Obrázok 9.

dátový oddiel a použitie pomocných údajov PUF a zabaleného kľúča files na generovanie flash obrazu nie je podporované programovaním File Rozhranie príkazového riadku generátora.
Nasledujúce kroky demonštrujú vytvorenie flash programovacieho obrazu s pomocnými údajmi PUF a zabaleným kľúčom:
1. Na File kliknite na položku Programovanie File Generátor. Na výstupe Filena karte s urobte nasledujúce výbery:
a. Pre rodinu zariadení vyberte Agilex 7.
b. Pre režim konfigurácie vyberte Active Serial x4.
c. Pre výstupný adresár prejdite do svojho výstupu file adresár. Tento example používa output_files.
d. Pre Name zadajte názov pre programovanie file ktoré sa majú vygenerovať. Tento example používa output_file.
e. V časti Popis vyberte programovanie files generovať. Tento example generuje JTAG Nepriama konfigurácia File (.jic) pre konfiguráciu zariadenia a nespracovaný binárny súbor File of Programming Helper Image (.rbf) pre pomocný obrázok zariadenia. Tento example tiež vyberie voliteľnú mapu pamäte File (.map) a Raw Programming Data File (.rpd). Nespracované programovacie údaje file je potrebné iba v prípade, že v budúcnosti plánujete použiť programátora tretej strany.
Programovanie File Generátor – výstup Files Karta – vyberte JTAG Nepriama konfigurácia

Režim konfigurácie rodiny zariadení
Výstup file tab
Výstupný adresár
JTAG Nepriama (.jic) mapa pamäte File Pomocník pri programovaní Nespracované údaje o programovaní
Na vstupe Files, urobte nasledovné výbery: 1. Kliknite na Pridať bitový tok a prejdite na svoj .sof. 2. Vyberte váš .sof file a potom kliknite na položku Vlastnosti.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 37

4. Poskytovanie zariadení 683823 | 2023.05.23
a. Zapnite možnosť Povoliť nástroj na podpisovanie. b. Pre súkromný kľúč file vyberte svoj .pem file. c. Zapnite možnosť Finalizovať šifrovanie. d. Pre šifrovací kľúč file vyberte svoj .qek file. e. Kliknutím na tlačidlo OK sa vrátite do predchádzajúceho okna. 3. Ak chcete zadať pomocné údaje PUF file, kliknite na položku Pridať nespracované údaje. Zmeniť Files rozbaľovacej ponuky typu Quartus Physical Unclonable Function File (*.puf). Prejdite na svoj .puf file. Ak používate IID PUF aj UDS IID PUF, zopakujte tento krok tak, aby .puf files pre každý PUF sa pridajú ako vstup files. 4. Ak chcete zadať zabalený kľúč AES file, kliknite na položku Pridať nespracované údaje. Zmeniť Files rozbaľovacej ponuky typu Quartus Wrapped Key File (*.wkey). Prejdite na svoj .wkey file. Ak ste zabalili kľúče AES pomocou IID PUF aj UDS IID PUF, zopakujte tento krok, aby sa .wkey files pre každý PUF sa pridajú ako vstup files.
Obrázok 10. Zadajte vstup Files pre konfiguráciu, autentifikáciu a šifrovanie

Pridať bitový prúd Pridajte nespracované údaje
Vlastnosti
Súkromný kľúč file
Dokončite šifrovanie Šifrovací kľúč
Na karte Konfiguračné zariadenie vykonajte nasledujúce výbery: 1. Kliknite na Pridať zariadenie a vyberte svoje flashové zariadenie zo zoznamu dostupných flash
zariadení. 2. Vyberte konfiguračné zariadenie, ktoré ste práve pridali, a kliknite na Pridať oddiel. 3. V dialógovom okne Upraviť oddiel pre vstup file a vyberte svoj súbor .sof z
rozbaľovací zoznam. V dialógovom okne Upraviť oddiel môžete zachovať predvolené hodnoty alebo upraviť ostatné parametre.

Používateľská príručka Intel Agilex® 7 Device Security 38

Odoslať spätnú väzbu

4. Poskytovanie zariadení 683823 | 2023.05.23
Obrázok 11. Určenie vášho oddielu .sof Configuration Bitstream

Konfiguračné zariadenie
Upraviť oddiel Pridať .sof file

Pridať oddiel

4. Keď pridáte kľúč .puf a .w ako vstup files, Programovanie File Generátor automaticky vytvorí oddiel PUF vo vašom konfiguračnom zariadení. Ak chcete uložiť .puf a .wkey do oblasti PUF, vyberte oblasť PUF a kliknite na tlačidlo Upraviť. V dialógovom okne Upraviť oddiel vyberte súbor .puf a .wkey files z rozbaľovacích zoznamov. Ak odstránite oddiel PUF, musíte odstrániť a znova pridať konfiguračné zariadenie pre programovanie File Generátor na vytvorenie ďalšieho oddielu PUF. Musíte sa uistiť, že ste vybrali správne .puf a .wkey file pre IID PUF a UDS IID PUF.
Obrázok 12. Pridajte kľúče .puf a .wkey files do oddielu PUF

Priečka PUF

Upraviť

Upraviť oddiel

Flash Loader

Vyberte položku Generovať

5. Pre parameter Flash Loader vyberte rodinu zariadení Intel Agilex 7 a názov zariadenia, ktorý zodpovedá vášmu OPN Intel Agilex 7.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 39

4. Poskytovanie zariadení 683823 | 2023.05.23
6. Kliknutím na Generovať vygenerujete výstup filektoré ste zadali na Výstupe Filekarta s.
7. Programovanie File Generátor číta váš .qek file a vyzve vás na zadanie prístupovej frázy. Zadajte svoju prístupovú frázu ako odpoveď na výzvu Enter QEK passphrase. Kliknite na kláves Enter.
8. Keď sa zobrazí položka Programovanie, kliknite na tlačidlo OK File Generátor hlási úspešné vygenerovanie.
Programátor Intel Quartus Prime sa používa na zápis programovacieho obrazu QSPI do pamäte flash QSPI. 1. V ponuke nástrojov Intel Quartus Prime vyberte položku Programátor. 2. V Programátore kliknite na Nastavenie hardvéru a potom vyberte pripojený Intel
Kábel na stiahnutie FPGA. 3. Kliknite na Pridať File a prejdite do súboru .jic file.
Obrázok 13. Program .jic

Programovanie file

Programovať/konfigurovať

JTAG skenovacia reťaz
4. Zrušte začiarknutie políčka spojeného s obrázkom pomocníka. 5. Zvoľte Program/Konfigurovať pre výstup .jic file. 6. Zapnutím tlačidla Štart naprogramujete svoju quad SPI flash pamäť. 7. Zapnite a vypnite dosku. Konštrukcia naprogramovaná na quad SPI flash pamäť
zariadenie sa následne načíta do cieľového FPGA.
Musíte vygenerovať a naprogramovať celý flash programovací obraz, aby ste pridali PUF partíciu do quad SPI flashu.
Keď už vo flashi existuje oddiel PUF, je možné použiť programátor Intel Quartus Prime na priamy prístup k pomocným údajom PUF a zabalenému kľúču. files. Naprample, ak je aktivácia neúspešná, je možné znova zaregistrovať PUF, znova zabaliť kľúč AES a následne iba naprogramovať PUF files bez toho, aby ste museli prepísať celý blesk.

Používateľská príručka Intel Agilex® 7 Device Security 40

Odoslať spätnú väzbu

4. Poskytovanie zariadení 683823 | 2023.05.23
Programátor Intel Quartus Prime podporuje nasledujúci operačný argument pre PUF files v už existujúcom oddiele PUF:
· p: program
· v: overiť
· r: vymazať
· b: bianko šek
Pri registrácii PUF musíte dodržiavať rovnaké obmedzenia, aj keď existuje oddiel PUF.
1. Použite argument operácie i na načítanie pomocného obrazu poskytovania firmvéru pre prvú operáciu. Naprample, nasledujúca sekvencia príkazov znova zaregistruje PUF, znova zabalí koreňový kľúč AES, vymaže staré pomocné údaje PUF a zabalený kľúč, potom naprogramuje a overí nové pomocné údaje PUF a koreňový kľúč AES.
quartus_pgm -c 1 -mjtag -o „ei;new.puf;AGFB014R24A“ quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;starý.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;novy.puf” quartus_pgm -c 1 -mjtag -o „v;new.wkey“
4.9.2.4. Dotazovanie na stav aktivácie vnútorného ID PUF
Po zaregistrovaní Intrinsic ID PUF, zabalte kľúč AES a vygenerujte programovanie flash files a aktualizujete quad SPI flash, zapnete a zapnete svoje zariadenie, aby sa spustila aktivácia a konfigurácia PUF zo šifrovaného bitového toku. SDM hlási stav aktivácie PUF spolu so stavom konfigurácie. Ak aktivácia PUF zlyhá, SDM namiesto toho ohlási chybový stav PUF. Na zistenie stavu konfigurácie použite príkaz quartus_pgm.
1. Na zistenie stavu aktivácie použite nasledujúci príkaz:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Tu je sampvýstup z úspešnej aktivácie:
Info (21597): Odozva CONFIG_STATUS Zariadenie beží v užívateľskom režime 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STAV=NEČINNOSŤ 00160300 Verzia C000007B MSEL=QSPI_NORMAL=1,nSTATUS=1, nSTATUS
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Miesto chyby 00000000 Podrobnosti o chybe Odpoveď PUF_STATUS,00002000OK_2 00000500 USER_IDID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 41

4. Poskytovanie zariadení 683823 | 2023.05.23

Ak používate iba IID PUF alebo UDS IID PUF a nenaprogramovali ste pomocné údaje .puf file pre ktorýkoľvek PUF v QSPI flash sa tento PUF neaktivuje a stav PUF odráža, že pomocné údaje PUF nie sú platné. Nasledujúce example zobrazuje stav PUF, keď pomocné údaje PUF neboli naprogramované ani pre PUF:
Odpoveď PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Umiestnenie PUF v pamäti Flash
Umiestnenie PUF file sa líši pre návrhy, ktoré podporujú RSU a návrhy, ktoré nepodporujú funkciu RSU.

Pre návrhy, ktoré nepodporujú RSU, musíte zahrnúť .puf a .wkey files pri vytváraní aktualizovaných flash obrázkov. V prípade návrhov, ktoré podporujú RSU, SDM neprepíše sekcie údajov PUF počas aktualizácií obrazu z výroby alebo aplikácie.

Tabuľka 2.

Rozloženie podčastí Flash bez podpory RSU

Flash Offset (v bajtoch)

Veľkosť (v bajtoch)

Obsah

Popis

0 tis. 256 tis

256 tis. 256 tis

Firmvér na správu konfigurácie Firmvér na správu konfigurácie

Firmvér, ktorý beží na SDM.

512 tis

256 tis

Firmvér na správu konfigurácie

768 tis

256 tis

Firmvér na správu konfigurácie

32 tis

Kópia údajov PUF 0

Štruktúra údajov na ukladanie pomocných údajov PUF a kópie koreňového kľúča AES zabalenej do PUF 0

1M + 32 tis

32 tis

Kópia údajov PUF 1

Štruktúra údajov na ukladanie pomocných údajov PUF a kópie koreňového kľúča AES zabalenej do PUF 1

Tabuľka 3.

Rozloženie podčastí Flash s podporou RSU

Flash Offset (v bajtoch)

Veľkosť (v bajtoch)

Obsah

Popis

0 tis. 512 tis

512 tis. 512 tis

Firmvér rozhodovania Firmvér rozhodovania

Firmvér na identifikáciu a načítanie obrazu s najvyššou prioritou.

1M 1.5M

512 tis. 512 tis

Firmvér rozhodovania Firmvér rozhodovania

8K + 24K

Údaje firmvéru rozhodnutia

Výplň

Vyhradené na použitie firmvéru Decision.

2 mil. + 32 tis

32 tis

Vyhradené pre SDM

Vyhradené pre SDM.

2 mil. + 64 tis

Variabilné

Továrenský obraz

Jednoduchý obraz, ktorý vytvoríte ako zálohu, ak sa nepodarí načítať všetky ostatné obrazy aplikácie. Tento obrázok obsahuje CMF, ktorý beží na SDM.

Ďalej

32 tis

Kópia údajov PUF 0

Štruktúra údajov na ukladanie pomocných údajov PUF a kópie koreňového kľúča AES zabalenej do PUF 0
pokračovanie…

Používateľská príručka Intel Agilex® 7 Device Security 42

Odoslať spätnú väzbu

4. Poskytovanie zariadení 683823 | 2023.05.23

Flash Offset (v bajtoch)

Veľkosť (v bajtoch)

Ďalších +32 tis. 32 tis

Kópia údajov obsahu PUF 1

Ďalej + 256 4 32K Ďalej +4 32 4K Ďalej +XNUMX XNUMX XNUMXK

Kópia tabuľky podskupín 0 kópia tabuľky podskupín 1 kópia bloku ukazovateľa CMF 0

Ďalších +32 tis. _

Kópia bloku ukazovateľa CMF 1

Variabilná Premenná

Obrázok aplikácie 1 Obrázok aplikácie 2

4.9.3. Poskytovanie čierneho kľúča

Popis
Štruktúra údajov na ukladanie pomocných údajov PUF a kópie koreňového kľúča AES zabalenej do PUF 1
Štruktúra údajov na uľahčenie správy flash úložiska.
Zoznam ukazovateľov na obrázky aplikácií v poradí podľa priority. Keď pridáte obrázok, tento obrázok sa stane najvyšším.
Druhá kópia zoznamu ukazovateľov na obrázky aplikácií.
Váš prvý obrázok aplikácie.
Váš druhý obrázok aplikácie.

Poznámka:

Program Intel Quartus PrimeProgrammer pomáha pri vytváraní vzájomne overeného zabezpečeného spojenia medzi zariadením Intel Agilex 7 a službou poskytovania čierneho kľúča. Bezpečné pripojenie je vytvorené cez https a vyžaduje niekoľko certifikátov identifikovaných pomocou textu file.
Pri používaní Black Key Provisioning spoločnosť Intel odporúča, aby ste sa vyhli externému pripájaniu kolíka TCK na vytiahnutie alebo stiahnutie odporu, zatiaľ čo ho stále používate na JTAG. Môžete však pripojiť kolík TCK k napájaciemu zdroju VCCIO SDM pomocou odporu 10 k. Existujúce pokyny v pokynoch pre pripojenie pinov na pripojenie TCK k 1k pull-down odporu sú zahrnuté na potlačenie šumu. Zmena navádzania na 10k pull-up odpor nemá vplyv na funkčnosť zariadenia. Ďalšie informácie o pripojení kolíka TCK nájdete v pokynoch na pripojenie 7 kolíkov Intel Agilex.
Thebkp_tls_ca_certcertificate overí vašu inštanciu služby poskytovania čierneho kľúča do vašej inštancie programátora na poskytovanie čierneho kľúča. Thebkp_tls_*certificates overuje vašu inštanciu programátora na poskytovanie čierneho kľúča k vašej inštancii služby poskytovania čierneho kľúča.
Vytvoríte text file obsahujúce informácie potrebné na to, aby sa programátor Intel Quartus Prime mohol pripojiť k službe poskytovania čierneho kľúča. Ak chcete spustiť poskytovanie čiernych klávesov, použite rozhranie príkazového riadka programátora a zadajte text možností poskytovania čiernych klávesov file. Poskytovanie čierneho kľúča potom pokračuje automaticky. Ak chcete získať prístup k službe poskytovania čiernych kľúčov a súvisiacej dokumentácii, kontaktujte podporu spoločnosti Intel.
Poskytovanie čierneho kľúča môžete povoliť pomocou príkazu quartus_pgm:
quartus_pgm -c -m -zariadenie –bkp_options=bkp_options.txt
Argumenty príkazu špecifikujú nasledujúce informácie:

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 43

4. Poskytovanie zariadení 683823 | 2023.05.23

· -c: číslo kábla · -m: určuje režim programovania, napríklad JTAG · –device: určuje index zariadenia na JTAG reťaz. Predvolená hodnota je 1. · –bkp_options: určuje text file obsahujúce možnosti poskytovania čierneho kľúča.
Súvisiace informácie Pokyny na pripojenie kolíkov rodiny zariadení Intel Agilex 7

4.9.3.1. Možnosti poskytovania čierneho kľúča
Možnosti poskytovania čierneho kľúča sú textové file odovzdaný programátorovi cez príkaz quartus_pgm. The file obsahuje požadované informácie na spustenie poskytovania čierneho kľúča.
Nasleduje exampsúbor bkp_options.txt file:
x = https://1:192.167.1.1 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Tabuľka 4.

Možnosti poskytovania čierneho kľúča
Táto tabuľka zobrazuje možnosti potrebné na spustenie poskytovania čierneho kľúča.

Názov možnosti

Typ

Popis

bkp_ip

Povinné

Určuje adresu IP servera, na ktorom je spustená služba poskytovania čierneho kľúča.

bkp_port

Povinné

Určuje port služby poskytovania čierneho kľúča potrebný na pripojenie k serveru.

bkp_cfg_id

Povinné

Identifikuje ID toku konfigurácie poskytovania čierneho kľúča.
Služba poskytovania čierneho kľúča vytvára toky konfigurácie poskytovania čierneho kľúča vrátane koreňového kľúča AES, požadovaných nastavení eFuse a ďalších možností autorizácie poskytovania čiernych kľúčov. Číslo priradené počas nastavenia služby poskytovania čierneho kľúča identifikuje toky konfigurácie poskytovania čierneho kľúča.
Poznámka: Viaceré zariadenia môžu odkazovať na rovnaký tok konfigurácie služby poskytovania čierneho kľúča.

bkp_tls_ca_cert

Povinné

Koreňový certifikát TLS používaný na identifikáciu služieb poskytovania čierneho kľúča pre programátora Intel Quartus Prime (programátor). Tento certifikát vydáva dôveryhodná certifikačná autorita pre inštanciu služby poskytovania čierneho kľúča.
Ak programátor spustíte na počítači s operačným systémom Microsoft® Windows® (Windows), musíte tento certifikát nainštalovať do úložiska certifikátov Windows.

bkp_tls_prog_cert

Povinné

Certifikát vytvorený pre inštanciu programátora na poskytovanie čiernych kľúčov (BKP Programmer). Toto je https klientsky certifikát používaný na identifikáciu tejto inštancie programátora BKP
pokračovanie…

Používateľská príručka Intel Agilex® 7 Device Security 44

Odoslať spätnú väzbu

4. Poskytovanie zariadení 683823 | 2023.05.23

Názov možnosti

Typ

bkp_tls_prog_key

Povinné

bkp_tls_prog_key_pass Voliteľné

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Voliteľné Voliteľné Voliteľné

Popis
na službu poskytovania čierneho kľúča. Tento certifikát musíte nainštalovať a autorizovať v službe poskytovania čierneho kľúča pred spustením relácie poskytovania čierneho kľúča. Ak spustíte programátor v systéme Windows, táto možnosť nie je dostupná. V tomto prípade kľúč bkp_tls_prog_key už obsahuje tento certifikát.
Súkromný kľúč zodpovedajúci certifikátu BKP Programmer. Kľúč overuje identitu inštancie BKP Programmer so službou poskytovania čierneho kľúča. Ak spustíte programátor v systéme Windows, súbor .pfx file kombinuje certifikát bkp_tls_prog_cert a súkromný kľúč. Voľba bkp_tlx_prog_key prechádza cez .pfx file v súbore bkp_options.txt file.
Heslo pre súkromný kľúč bkp_tls_prog_key. Nevyžaduje sa v texte možností konfigurácie poskytovania čierneho kľúča (bkp_options.txt). file.
Určuje proxy server URL adresu.
Určuje používateľské meno servera proxy.
Určuje heslo na overenie servera proxy.

4.10. Konverzia koreňového kľúča vlastníka, certifikátov koreňového kľúča AES a poistky files na zaseknutie STAPL File Formáty

Na konverziu .qky, koreňového kľúča AES .ccert a .fuse môžete použiť príkaz príkazového riadka quartus_pfg files do Zaseknutia vo formáte STAPL File (.jam) a formát kódu Jam Byte File (.jbc). Môžete použiť tieto files na programovanie Intel FPGA pomocou prehrávača Jam STAPL Player a prehrávača Jam STAPL Byte-Code Player.

Jeden .jam alebo .jbc obsahuje niekoľko funkcií vrátane konfigurácie a programu pomocného obrazu firmvéru, kontroly sleposti a overenia naprogramovania kľúča a poistky.

Pozor:

Keď konvertujete koreňový kľúč AES .ccert file do formátu .jam, súbor .jam file obsahuje kľúč AES v otvorenom texte, ale v obfuskovanej forme. V dôsledku toho musíte .jam chrániť file pri ukladaní kľúča AES. Môžete to urobiť poskytnutím kľúča AES v zabezpečenom prostredí.

Tu sú exampsúbory prevodných príkazov quartus_pfg:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;rootjb -qky;”rootjb -qeky;”Rootjb -qeky;” c -o helper_device=AGFB1R2A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=nastavenia AGFB014R24Am -o helper_device=Nastavenia AGFB014R24Am vice=AGFB014R24A nastavenia. nastavenie poistky_poistka.jbc

Ďalšie informácie o používaní prehrávača Jam STAPL Player na programovanie zariadenia nájdete v AN 425: Používanie riešenia zaseknutia STAPL z príkazového riadka na programovanie zariadenia.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 45

4. Poskytovanie zariadení 683823 | 2023.05.23
Spustite nasledujúce príkazy na naprogramovanie koreňového verejného kľúča vlastníka a šifrovacieho kľúča AES:
//Na načítanie pomocného bitového toku do FPGA. // Pomocný bitový tok obsahuje zabezpečovací firmvér quartus_jli -c 1 -a KONFIGURÁCIA RootKey.jam
//Naprogramovanie koreňového verejného kľúča vlastníka do virtuálnych eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Naprogramovanie koreňového verejného kľúča vlastníka do fyzických eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Naprogramovanie koreňového verejného kľúča vlastníka PR do virtuálnych eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Naprogramovanie koreňového verejného kľúča vlastníka PR do fyzických eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Naprogramovanie šifrovacieho kľúča AES CCERT do BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Naprogramovanie šifrovacieho kľúča AES CCERT do fyzických eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Súvisiace informácie AN 425: Používanie riešenia zaseknutia STAPL v príkazovom riadku na programovanie zariadení

Používateľská príručka Intel Agilex® 7 Device Security 46

Odoslať spätnú väzbu

683823 | 2023.05.23 Odoslať spätnú väzbu

Pokročilé funkcie

5.1. Secure Debug Authorization
Na povolenie Secure Debug Authorization musí vlastník ladenia vygenerovať pár autentifikačných kľúčov a použiť programátor Intel Quartus Prime Pro na vygenerovanie informácií o zariadení. file pre zariadenie, na ktorom je spustený obraz ladenia:
quartus_pgm -c 1 -mjtag -o „ei;device_info.txt;AGFB014R24A“ –dev_info
Vlastník zariadenia používa nástroj quartus_sign alebo referenčnú implementáciu na pridanie podmieneného záznamu verejného kľúča do reťazca podpisov určeného na operácie ladenia pomocou verejného kľúča od vlastníka ladenia, potrebných oprávnení, textu informácií o zariadení. filea príslušné ďalšie obmedzenia:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18 debug_authorization_public_key.pem secure_debug_auth_chain.qky
Vlastník zariadenia odošle celý reťazec podpisov späť vlastníkovi ladenia, ktorý použije reťazec podpisov a svoj súkromný kľúč na podpísanie obrázka ladenia:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf autorizovaný_debug_design.rbf
Pomocou príkazu quartus_pfg môžete skontrolovať reťazec podpisov každej časti tohto podpísaného bitového toku zabezpečeného ladenia takto:
quartus_pfg –check_integrity enabled_debug_design.rbf
Výstup tohto príkazu vytlačí hodnoty obmedzení 1,2,17,18 podmieneného verejného kľúča, ktorý sa použil na generovanie podpísaného bitového toku.
Vlastník ladenia môže potom naprogramovať bezpečne autorizovaný návrh ladenia:
quartus_pgm -c 1 -mjtag -o „p;authorized_debug_design.rbf“
Vlastník zariadenia môže odvolať bezpečnú autorizáciu ladenia zrušením explicitného ID zrušenia kľúča priradeného v reťazci podpisov oprávnenej autorizácie ladenia.
5.2. Certifikáty ladenia HPS
Povolenie iba autorizovaného prístupu k HPS debug access portu (DAP) cez JTAG rozhranie vyžaduje niekoľko krokov:

Registrované podľa ISO 9001:2015

5. Rozšírené funkcie 683823 | 2023.05.23
1. Kliknite na ponuku softvéru Intel Quartus Prime Assignments a vyberte kartu Device Device and Pin Options Configuration.
2. Na karte Configuration (Konfigurácia) povoľte prístupový port HPS debug access port (DAP) výberom možnosti HPS Pins alebo SDM Pins z rozbaľovacej ponuky a uistite sa, že nie je začiarknuté políčko Allow HPS debug without certificates.
Obrázok 14. Zadajte piny HPS alebo SDM pre HPS DAP

HPS ladiaci prístupový port (DAP)
Prípadne môžete priradenie nastaviť nižšie v nastaveniach Quartus Prime .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE “SDM PINS”
3. Zostavte a načítajte návrh s týmito nastaveniami. 4. Vytvorte reťazec podpisov s príslušnými povoleniami na podpísanie ladenia HPS
certifikát:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_ch
5. Vyžiadajte si nepodpísaný certifikát ladenia HPS zo zariadenia, kde je načítaný návrh ladenia:
quartus_pgm -c 1 -mjtag -o „e;unsigned_hps_debug.cert;AGFB014R24A“
6. Podpíšte nepodpísaný certifikát ladenia HPS pomocou nástroja quartus_sign alebo referenčnej implementácie a reťazca podpisov ladenia HPS:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signature_hps_debug.cert

Používateľská príručka Intel Agilex® 7 Device Security 48

Odoslať spätnú väzbu

5. Rozšírené funkcie 683823 | 2023.05.23
7. Pošlite podpísaný certifikát ladenia HPS späť do zariadenia, aby ste umožnili prístup k portu na ladenie HPS (DAP):
quartus_pgm -c 1 -mjtag -o „p;signed_hps_debug.cert“
Certifikát ladenia HPS je platný len od jeho vygenerovania do ďalšieho cyklu napájania zariadenia alebo do načítania iného typu alebo verzie firmvéru SDM. Pred vypnutím zariadenia musíte vygenerovať, podpísať a naprogramovať podpísaný certifikát ladenia HPS a vykonať všetky operácie ladenia. Podpísaný certifikát ladenia HPS môžete zrušiť vypnutím a zapnutím zariadenia.
5.3. Atestácia platformy
Môžete vygenerovať manifest referenčnej integrity (.rim) file pomocou programovania file generátorový nástroj:
quartus_pfg -c signature_encrypted_top.rbf top_rim.rim
Postupujte podľa týchto krokov, aby ste zabezpečili atestáciu platformy vo svojom návrhu: 1. Pomocou programátora Intel Quartus Prime Pro nakonfigurujte svoje zariadenie pomocou
dizajn, pre ktorý ste vytvorili referenčný manifest integrity. 2. Pomocou overovača atestácie platformy zaregistrujte zariadenie zadaním príkazov do
SDM cez poštovú schránku SDM na vytvorenie certifikátu ID zariadenia a certifikátu firmvéru pri opätovnom načítaní. 3. Pomocou programátora Intel Quartus Prime Pro prekonfigurujte svoje zariadenie podľa návrhu. 4. Použite overovač atestácie platformy na zadávanie príkazov do SDM na získanie ID atestačného zariadenia, firmvéru a certifikátov aliasov. 5. Použite overovač atestácie na vydanie príkazu poštovej schránky SDM, aby ste získali dôkazy o atestácii a overovateľ skontroluje vrátené dôkazy.
Môžete implementovať svoju vlastnú službu overovania pomocou príkazov poštovej schránky SDM alebo použiť službu overovania atestácií platformy Intel. Ďalšie informácie o servisnom softvéri overovania atestácií platformy Intel, dostupnosti a dokumentácii získate od podpory Intel.
Súvisiace informácie Pokyny na pripojenie kolíkov rodiny zariadení Intel Agilex 7
5.4. Fyzikálne anti-Tamper
Povolíte fyzickú anti-tamper funkcie pomocou nasledujúcich krokov: 1. Výber požadovanej odozvy na detekovaný tamper event 2. Konfigurácia požadovaného tampdetekčných metód a parametrov 3. Vrátane anti-tamper IP vo vašej logike návrhu, aby ste pomohli spravovať anti-tamper
udalosti

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 49

5. Rozšírené funkcie 683823 | 2023.05.23
5.4.1. Anti-Tamper Odpovede
Povolíte fyzickú anti-tampvýberom odpovede z Anti-tampOdpoveď: rozbaľovací zoznam v časti Priradenia Device Device a Pin Options Security Anti-Tamper tab. Štandardne je anti-tampodpoveď je zakázaná. Päť kategórií anti-tampodpovede sú k dispozícii. Keď vyberiete požadovanú odpoveď, povolia sa možnosti na povolenie jednej alebo viacerých metód detekcie.
Obrázok 15. Dostupné Anti-Tamper Možnosti odozvy

Zodpovedajúce priradenie v nastaveniach Quartus Prime .gsf file je nasledovné:
set_global_assignment -name ANTI_TAMPER_RESPONSE „ZÁMKANIE VYMAZANIA ZARIADENIA UPOZORNENIA A VYNULOVANIE“
Keď povolíte anti-tampAko odpoveď si môžete vybrať dva dostupné I/O piny určené pre SDM na výstup tampzisťovanie udalostí a stav odozvy pomocou okna Možnosti konfigurácie zariadení a kolíkov priradenia konfigurácie kolíkov.

Používateľská príručka Intel Agilex® 7 Device Security 50

Odoslať spätnú väzbu

5. Rozšírené funkcie 683823 | 2023.05.23
Obrázok 16. Dostupné vyhradené I/O kolíky SDM pre Tamper Detekcia udalostí

V nastaveniach môžete vykonať aj nasledujúce priradenia pinov file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper detekcia

Môžete individuálne povoliť frekvenciu, teplotu a objemtage detekčné funkcie SDM. Detekcia FPGA závisí od zahrnutia Anti-Tamper Lite Intel FPGA IP vo vašom dizajne.

Poznámka:

Frekvencia SDM a objtagetampMetódy detekcie závisia od interných referencií a meracieho hardvéru, ktoré sa môžu v jednotlivých zariadeniach líšiť. Intel odporúča, aby ste charakterizovali správanie tamper nastavenia detekcie.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 51

5. Rozšírené funkcie 683823 | 2023.05.23
Frekvencia tampDetekcia funguje na zdroji konfiguračných hodín. Ak chcete povoliť frekvenciu tampPri detekcii musíte zadať inú možnosť ako Internal Oscillator v rozbaľovacej ponuke Configuration clock source na karte Assignments Device Device and Pin Options General. Pred povolením frekvencie t sa musíte uistiť, že je začiarknuté políčko Spustiť konfiguráciu CPU z interného oscilátoraamper detekcia. Obrázok 17. Nastavenie SDM na interný oscilátor
Ak chcete povoliť frekvenciu tampPri detekcii vyberte možnosť Povoliť frekvenciu tampzačiarknite políčko detekcie a vyberte požadovanú frekvenciu tampz rozbaľovacej ponuky. Obrázok 18. Povolenie frekvencie Tamper detekcia

Používateľská príručka Intel Agilex® 7 Device Security 52

Odoslať spätnú väzbu

5. Rozšírené funkcie 683823 | 2023.05.23
Prípadne môžete povoliť frekvenciu Tamper detekcie vykonaním nasledujúcich zmien v nastaveniach Quartus Prime .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100 MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -name ENABLE_FREQUENCYAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Na aktiváciu teploty tampPri detekcii vyberte možnosť Povoliť teplotu tamper detekcie a vyberte požadovanú hornú a dolnú hranicu teploty v príslušných poliach. Horná a dolná hranica sú predvolene vyplnené príslušným teplotným rozsahom pre zariadenie vybrané v návrhu.
Ak chcete povoliť objtagetampPri detekcii vyberiete jednu alebo obe položky Enable VCCL voltagetamper detekcie alebo Enable VCCL_SDM voltagetampzačiarkavacie políčka detekcie a vyberte požadovaný objemtagetamper detekcia spúšť percenttage v príslušnom poli.
Obrázok 19. Povolenie zvtaga Tamper detekcia

Prípadne môžete povoliť Voltaga Tamper Detekcia zadaním nasledujúcich priradení v súbore .qsf file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ON
5.4.3. Anti-Tamper Lite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP, dostupný v katalógu IP v softvéri Intel Quartus Prime Pro Edition, uľahčuje obojsmernú komunikáciu medzi vaším dizajnom a SDM pre tamper udalosti.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 53

Obrázok 20. Anti-Tamper Lite Intel FPGA IP

5. Rozšírené funkcie 683823 | 2023.05.23

IP poskytuje nasledujúce signály, ktoré sa pripájate k svojmu dizajnu podľa potreby:

Tabuľka 5.

Anti-Tamper Lite Intel FPGA IP I/O signály

Názov signálu

Smer

Popis

gpo_sdm_at_event gpi_fpga_at_event

Výstup vstup

Signál SDM do logiky tkaniva FPGA, ktorý SDM zistilamper udalosť. Logika FPGA má približne 5 ms na vykonanie požadovaného čistenia a odozvu na SDM prostredníctvom gpi_fpga_at_response_done a gpi_fpga_at_zeroization_done. SDM postupuje s tampAkcia odozvy, keď sa uplatní gpi_fpga_at_response_done, alebo keď nie je prijatá žiadna odpoveď vo vyhradenom čase.
FPGA prerušenie SDM, ktoré ste navrhli proti tamper detekčný obvod zistil priamper udalosti a SDM tampmala by sa spustiť reakcia.

gpi_fpga_at_response_done

Vstup

FPGA preruší SDM, že logika FPGA vykonala požadované čistenie.

gpi_fpga_at_zeroization_d jeden

Vstup

FPGA signalizuje SDM, že logika FPGA dokončila akékoľvek požadované nulovanie konštrukčných údajov. Tento signál je sampled, keď sa potvrdí gpi_fpga_at_response_done.

5.4.3.1. Informácie o vydaní

Číslo schémy verzovania IP (XYZ) sa mení z jednej verzie softvéru na druhú. Zmena v:
· X označuje veľkú revíziu IP. Ak aktualizujete softvér Intel Quartus Prime, musíte obnoviť adresu IP.
· Y znamená, že IP obsahuje nové funkcie. Obnovte svoju IP tak, aby obsahovala tieto nové funkcie.
· Z znamená, že IP obsahuje menšie zmeny. Znova vygenerujte svoju adresu IP, aby zahŕňala tieto zmeny.

Tabuľka 6.

Anti-Tamper Lite Intel FPGA IP informácie o vydaní

Verzia IP

Položka

Popis 20.1.0

Verzia Intel Quartus Prime

21.2

Dátum vydania

2021.06.21

Používateľská príručka Intel Agilex® 7 Device Security 54

Odoslať spätnú väzbu

5. Rozšírené funkcie 683823 | 2023.05.23
5.5. Používanie funkcií zabezpečenia dizajnu so vzdialenou aktualizáciou systému
Remote System Update (RSU) je funkcia Intel Agilex 7 FPGA, ktorá pomáha pri aktualizácii konfigurácie files robustným spôsobom. RSU je kompatibilné s funkciami zabezpečenia návrhu, ako je autentifikácia, spolupodpisovanie firmvéru a šifrovanie bitového toku, pretože RSU nezávisí od obsahu návrhu konfiguračných bitových tokov.
Budovanie obrázkov RSU s .sof Files
Ak ukladáte súkromné kľúče vo svojom lokálnom filesystému, môžete generovať obrazy RSU s dizajnovými bezpečnostnými prvkami pomocou zjednodušeného toku s .sof files ako vstupy. Na generovanie obrázkov RSU pomocou súboru .sof file, môžete postupovať podľa pokynov v časti Generovanie obrazu aktualizácie vzdialeného systému Files Používanie programovania File Generátor používateľskej príručky pre konfiguráciu Intel Agilex 7. Za každý .sof file špecifikované na vstupe Filekliknite na tlačidlo Vlastnosti... a zadajte príslušné nastavenia a kľúče pre nástroje na podpisovanie a šifrovanie. Programovanie file generátor automaticky podpisuje a šifruje továrenské a aplikačné obrázky pri vytváraní programovania RSU files.
Prípadne, ak ukladáte súkromné kľúče v HSM, musíte použiť nástroj quartus_sign a teda použiť .rbf files. Zvyšok tejto časti podrobne popisuje zmeny v toku generovania obrázkov RSU s .rbf files ako vstupy. Formát .rbf musíte zašifrovať a podpísať files predtým, ako ich vyberiete ako vstup files pre obrázky RSU; však informácie o zavádzaní RSU file nesmie byť zašifrovaná a musí byť iba podpísaná. Programovanie File Generátor nepodporuje úpravu vlastností formátu .rbf files.
Nasledujúce exampsúbory demonštrujú potrebné úpravy príkazov v časti Generovanie obrazu aktualizácie vzdialeného systému Files Používanie programovania File Generátor používateľskej príručky pre konfiguráciu Intel Agilex 7.
Generovanie počiatočného obrazu RSU pomocou .rbf Files: Modifikácia príkazov
Z generovania počiatočného obrazu RSU pomocou .rbf Files, upravte príkazy v kroku 1, aby ste povolili funkcie zabezpečenia návrhu podľa potreby pomocou pokynov z predchádzajúcich častí tohto dokumentu.
Napríkladample, špecifikovali by ste podpísaný firmvér file ak ste používali spolupodpisovanie firmvéru, potom použite šifrovací nástroj Quartus na zašifrovanie každého súboru .rbf filea nakoniec použite nástroj quartus_sign na podpísanie každého file.
V kroku 2, ak ste povolili spolupodpisovanie firmvéru, musíte použiť ďalšiu možnosť pri vytváraní bootovacieho súboru .rbf z továrenského obrazu file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Po vytvorení boot info .rbf file, použite nástroj quartus_sign na podpísanie súboru .rbf file. Nesmiete zašifrovať boot info .rbf file.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 55

5. Rozšírené funkcie 683823 | 2023.05.23
Generovanie obrazu aplikácie: Modifikácia príkazov
Ak chcete vygenerovať obrázok aplikácie s funkciami zabezpečenia návrhu, upravte príkaz v časti Generovanie obrázka aplikácie tak, aby ste namiesto pôvodného súboru .sof aplikácie použili súbor .rbf s povolenými funkciami zabezpečenia návrhu vrátane spolupodpísaného firmvéru, ak je to potrebné. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secure_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Generovanie obrázka aktualizácie z výroby: Modifikácia príkazov
Po vytvorení boot info .rbf file, použijete nástroj quartus_sign na podpísanie súboru .rbf file. Nesmiete zašifrovať boot info .rbf file.
Ak chcete vygenerovať obraz aktualizácie továrne RSU, upravte príkaz z Generovanie obrazu aktualizácie továrne na použitie súboru .rbf file s povolenými funkciami zabezpečenia dizajnu a pridaním možnosti na označenie použitia firmvéru s podpisom:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secure_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Súvisiace informácie Používateľská príručka pre konfiguráciu Intel Agilex 7
5.6. Kryptografické služby SDM
SDM na zariadeniach Intel Agilex 7 poskytuje kryptografické služby, ktoré môže logika FPGA alebo HPS požadovať prostredníctvom príslušného rozhrania poštovej schránky SDM. Ďalšie informácie o príkazoch poštových schránok a formátoch údajov pre všetky kryptografické služby SDM nájdete v Prílohe B v Bezpečnostnej metodológii pre Intel FPGA a Structured ASIC User Guide.
Ak chcete získať prístup k rozhraniu poštovej schránky SDM k logike štruktúry FPGA pre kryptografické služby SDM, musíte vo svojom návrhu vytvoriť inštanciu klienta poštovej schránky Intel FPGA IP.
Referenčný kód na prístup k rozhraniu poštovej schránky SDM z HPS je zahrnutý v kóde ATF a Linux od spoločnosti Intel.
Súvisiace informácie Klient poštovej schránky Užívateľská príručka Intel FPGA IP
5.6.1. Boot autorizovaný predajcom
Spoločnosť Intel poskytuje referenčnú implementáciu softvéru HPS, ktorá využíva funkciu spúšťania autorizovaného predajcom na overenie spúšťacieho softvéru HPS od prvého stagzavádzač cez jadro Linuxu.
Súvisiace informácie Intel Agilex 7 SoC Secure Boot Demo Design

Používateľská príručka Intel Agilex® 7 Device Security 56

Odoslať spätnú väzbu

5. Rozšírené funkcie 683823 | 2023.05.23
5.6.2. Služba Secure Data Object Service
Príkazy odosielate cez poštovú schránku SDM, aby ste vykonali šifrovanie a dešifrovanie objektov SDOS. Funkciu SDOS môžete použiť po poskytnutí koreňového kľúča SDOS.
Súvisiace informácie Zabezpečenie koreňového kľúča služby Secure Data Object Service na strane 30
5.6.3. SDM kryptografické primitívne služby
Príkazy odosielate cez poštovú schránku SDM na spustenie operácií kryptografických primitívnych služieb SDM. Niektoré kryptografické primitívne služby vyžadujú, aby sa do az SDM prenieslo viac údajov, než dokáže prijať rozhranie poštovej schránky. V týchto prípadoch sa príkaz formátu zmení, aby poskytoval ukazovatele na údaje v pamäti. Okrem toho musíte zmeniť inštanciu klienta poštovej schránky Intel FPGA IP, aby ste mohli používať kryptografické primitívne služby SDM z logiky štruktúry FPGA. Musíte dodatočne nastaviť parameter Enable Crypto Service na 1 a pripojiť novo vystavené rozhranie iniciátora AXI k pamäti vo vašom návrhu.
Obrázok 21. Povolenie kryptografických služieb SDM v klientovi poštovej schránky Intel FPGA IP

5.7. Nastavenia zabezpečenia bitového prúdu (FM/S10)
Možnosti zabezpečenia bitového prúdu FPGA sú súborom zásad, ktoré obmedzujú špecifikovanú funkciu alebo režim prevádzky v rámci definovaného obdobia.
Možnosti Bitstream Security pozostávajú z príznakov, ktoré nastavíte v softvéri Intel Quartus Prime Pro Edition. Tieto príznaky sa automaticky skopírujú do konfiguračných bitových tokov.
Môžete natrvalo vynútiť možnosti zabezpečenia na zariadení pomocou príslušného nastavenia zabezpečenia eFuse.
Ak chcete použiť akékoľvek nastavenia zabezpečenia v konfiguračnom bitovom toku alebo eFuses zariadenia, musíte povoliť funkciu autentifikácie.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 57

5. Rozšírené funkcie 683823 | 2023.05.23
5.7.1. Výber a aktivácia možností zabezpečenia
Ak chcete vybrať a povoliť možnosti zabezpečenia, postupujte takto: V ponuke Priradenia vyberte položku Možnosti zariadenia a pinu Zabezpečenie Ďalšie možnosti... Obrázok 22. Výber a aktivácia možností zabezpečenia

A potom vyberte hodnoty z rozbaľovacích zoznamov pre možnosti zabezpečenia, ktoré chcete povoliť, ako je uvedené v nasledujúcom príkladeample:
Obrázok 23. Výber hodnôt pre možnosti zabezpečenia

Používateľská príručka Intel Agilex® 7 Device Security 58

Odoslať spätnú väzbu

5. Rozšírené funkcie 683823 | 2023.05.23
Nasledujú zodpovedajúce zmeny v nastaveniach Quartus Prime .qsf file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG “ON CHECK” set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE “ON STICKY” set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECUITY_OPTION_DISABLE_VIRTUAL_EFassignname ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ONSEBLE_KEY_IN_EFUSEDSEBLE set_INRYCRYPAL_name S ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY ON

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 59

683823 | 2023.05.23 Odoslať spätnú väzbu

Riešenie problémov

Táto kapitola popisuje bežné chyby a varovné správy, s ktorými sa môžete stretnúť pri pokuse o použitie funkcií zabezpečenia zariadenia, a opatrenia na ich vyriešenie.
6.1. Používanie príkazov Quartus v chybe prostredia Windows
Chyba quartus_pgm: príkaz nenájdený Popis Táto chyba sa zobrazí pri pokuse o použitie príkazov Quartus v prostredí NIOS II v prostredí Windows pomocou WSL. Rozlíšenie Tento príkaz funguje v prostredí Linuxu; Pre hostiteľov Windows použite nasledujúci príkaz: quartus_pgm.exe -h Podobne použite rovnakú syntax na ďalšie príkazy Quartus Prime, ako sú okrem iného quartus_pfg, quartus_sign, quartus_encrypt.

Registrované podľa ISO 9001:2015

6. Riešenie problémov 683823 | 2023.05.23

6.2. Generovanie upozornenia na súkromný kľúč

POZOR:

Zadané heslo sa považuje za nezabezpečené. Spoločnosť Intel odporúča použiť aspoň 13 znakov hesla. Odporúčame vám zmeniť heslo pomocou spustiteľného súboru OpenSSL.

openssl ec -in -von -aes256

Popis
Toto varovanie súvisí so silou hesla a zobrazuje sa pri pokuse o vygenerovanie súkromného kľúča zadaním nasledujúcich príkazov:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Rozlíšenie Použite spustiteľný súbor openssl na zadanie dlhšieho a tým silnejšieho hesla.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 61

6. Riešenie problémov 683823 | 2023.05.23
6.3. Pridanie podpisového kľúča k chybe projektu Quartus
Chyba …File obsahuje informácie o koreňovom kľúči...
Popis
Po pridaní podpisového kľúča .qky file do projektu Quartus, musíte znova zostaviť súbor .sof file. Keď pridáte tento regenerovaný .sof file k vybranému zariadeniu pomocou programátora Quartus, nasledujúce chybové hlásenie znamená, že file obsahuje informácie o koreňovom kľúči:
Pridanie zlyhalofile-názov-cesty> k programátorovi. The file obsahuje informácie o koreňovom kľúči (.qky). Programmer však nepodporuje funkciu podpisovania bitového prúdu. Môžete použiť programovanie File Generátor na konverziu file do podpísanej Raw Binary file (.rbf) na konfiguráciu.
Rozlíšenie
Použite programovanie Quartus file generátor na konverziu file do podpísanej Raw Binary File .rbf pre konfiguráciu.
Súvisiace informácie Konfigurácia podpisovania Bitstream Použitie príkazu quartus_sign na strane 13

Používateľská príručka Intel Agilex® 7 Device Security 62

Odoslať spätnú väzbu

6. Riešenie problémov 683823 | 2023.05.23
6.4. Generovanie programovania Quartus Prime File bol neúspešný
Chyba
Chyba (20353): X verejného kľúča z QKY sa nezhoduje so súkromným kľúčom z PEM file.
Chyba (20352): Nepodarilo sa podpísať bitový tok prostredníctvom skriptu python agilex_sign.py.
Chyba: Quartus Prime Programming File Generátor bol neúspešný.
Popis Ak sa pokúsite podpísať konfiguračný bitový tok pomocou nesprávneho súkromného kľúča .pem file alebo .pem file ktorý sa nezhoduje s .qky pridanou do projektu, zobrazia sa vyššie uvedené bežné chyby. Riešenie Uistite sa, že na podpis bitového toku používate správny súkromný kľúč .pem.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 63

6. Riešenie problémov 683823 | 2023.05.23
6.5. Neznáme chyby argumentov
Chyba
Chyba (23028): Neznámy argument „ûc“. Právne argumenty nájdete v pomocníkovi.
Chyba (213008): Reťazec možnosti programovania „ûp“ je nezákonný. Informácie o legálnych formátoch možností programovania nájdete v časti –help.
Popis Ak skopírujete a prilepíte možnosti príkazového riadka zo súboru .pdf file v prostredí Windows NIOS II Shell sa môžete stretnúť s chybami Neznámy argument, ako je uvedené vyššie. Rozlíšenie V takýchto prípadoch môžete príkazy namiesto vkladania zo schránky zadať manuálne.

Používateľská príručka Intel Agilex® 7 Device Security 64

Odoslať spätnú väzbu

6. Riešenie problémov 683823 | 2023.05.23
6.6. Chyba zakázanej možnosti šifrovania bitového prúdu
Chyba
Nie je možné dokončiť šifrovanie pre file design .sof, pretože bol skompilovaný s vypnutou možnosťou šifrovania bitového toku.
Popis Ak sa pokúsite zašifrovať bitový tok cez GUI alebo príkazový riadok po skompilovaní projektu s vypnutou možnosťou šifrovania bitového toku, Quartus odmietne príkaz, ako je uvedené vyššie.
Rozlíšenie Uistite sa, že ste skompilovali projekt s možnosťou šifrovania bitového toku povolenou buď cez GUI alebo príkazový riadok. Ak chcete povoliť túto možnosť v GUI, musíte začiarknuť políčko pre túto možnosť.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 65

6. Riešenie problémov 683823 | 2023.05.23
6.7. Zadanie správnej cesty ku kľúču
Chyba
Chyba (19516): Zistené programovanie File Chyba nastavení generátora: Nedá sa nájsť 'key_file'. Uistite sa, že file sa nachádza na očakávanom mieste alebo aktualizujte nastavenie.sec
Chyba (19516): Zistené programovanie File Chyba nastavení generátora: Nedá sa nájsť 'key_file'. Uistite sa, že file sa nachádza na očakávanom mieste alebo aktualizujte nastavenie.
Popis
Ak používate kľúče, ktoré sú uložené na file systému, musíte zabezpečiť, aby špecifikovali správnu cestu pre kľúče používané na šifrovanie a podpisovanie bitového toku. Ak programovanie File Generátor nedokáže zistiť správnu cestu, zobrazia sa vyššie uvedené chybové hlásenia.
Rozlíšenie
Pozrite si Nastavenia Quartus Prime .qsf file nájsť správne cesty pre kľúče. Uistite sa, že namiesto absolútnych ciest používate relatívne cesty.

Používateľská príručka Intel Agilex® 7 Device Security 66

Odoslať spätnú väzbu

6. Riešenie problémov 683823 | 2023.05.23
6.8. Používanie nepodporovaného výstupu File Typ
Chyba
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Chyba (19511): Nepodporovaný výstup file typ (ebf). Na zobrazenie podporovaných použite možnosť „-l“ alebo „–list“. file informácie o type.
Popis Pri používaní programovania Quartus File Generátor na generovanie šifrovaného a podpísaného konfiguračného bitového toku, v prípade nepodporovaného výstupu sa môže zobraziť vyššie uvedená chyba file je špecifikovaný typ. Rozlíšenie Na zobrazenie zoznamu podporovaných použite voľbu -l alebo -list file typy.

Odoslať spätnú väzbu

Používateľská príručka Intel Agilex® 7 Device Security 67

683823 | 2023.05.23 Odoslať spätnú väzbu
7. Archívy používateľskej príručky Intel Agilex 7 Device Security
Najnovšie a predchádzajúce verzie tejto používateľskej príručky nájdete v Používateľskej príručke pre zabezpečenie zariadenia Intel Agilex 7. Ak IP alebo verzia softvéru nie je uvedená, platí používateľská príručka pre predchádzajúcu verziu IP alebo softvéru.

Registrované podľa ISO 9001:2015

683823 | 2023.05.23 Odoslať spätnú väzbu

8. História revízií používateľskej príručky Intel Agilex 7 Device Security

Verzia dokumentu 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumenty / zdroje

Zabezpečenie zariadenia Intel Agilex 7 [pdfPoužívateľská príručka
Agilex 7 Device Security, Agilex 7, Device Security, Security

Referencie

Používateľská príručka

Zabezpečenie zariadenia Intel Agilex 7

Informácie o produkte

Návod na použitie produktu

Často kladené otázky

Zabezpečenie zariadenia sa skončiloview

Autentifikácia a autorizácia

AES Bitstream Encryption

Poskytovanie zariadení

Pokročilé funkcie

Riešenie problémov

Dokumenty / zdroje

Referencie

Zanechajte komentár

Zrušiť odpoveď