Manual Pamaké Kaamanan Alat Intel Agilex 7

Intel komitmen kana kaamanan produk sareng nyarankeun pangguna pikeun familiarize diri sareng sumber kaamanan produk anu disayogikeun. Sumberdaya ieu kedah dianggo sapanjang umur produk Intel.

2. Fitur Kaamanan rencanana

Fitur kaamanan di handap ieu direncanakeun pikeun sékrési software Intel Quartus Prime Pro Edition kahareup:

Parsial Reconfiguration Bitstream Verifikasi Kaamanan: Nyadiakeun jaminan tambahan yén Parsial Reconfiguration (PR) bitstreams teu bisa ngakses atawa ngaganggu bitstreams PR persona séjén.

Alat Maéhan Diri pikeun Anti-T Fisikamper: Ngalaksanakeun usap alat atanapi réspon zeroization alat sareng program eFuses pikeun nyegah alat ngonpigurasi deui.

3. Dokuméntasi Kaamanan sadia

Tabel di handap ieu daptar dokuméntasi sadia pikeun fitur kaamanan alat dina alat Intel FPGA jeung Structured ASIC:

Ngaran Dokumén	Tujuan
Métodologi Kaamanan pikeun Intel FPGA sareng Pamaké ASIC Terstruktur Pituduh	Dokumén tingkat luhur anu nyayogikeun pedaran lengkep ngeunaan fitur kaamanan sarta téknologi dina Intel Programmable Leyuran Produk. Ngabantosan pangguna milih fitur kaamanan anu diperyogikeun minuhan tujuan kaamanan maranéhanana.
Intel Stratix 10 Guide pamaké Kaamanan Alat	Parentah pikeun pamaké alat Intel Stratix 10 pikeun nerapkeun fitur kaamanan dicirikeun ku Métodologi Kaamanan Pituduh pamaké.
Intel Agilex 7 Pituduh Kaamanan Alat	Parentah pikeun pamaké Intel Agilex 7 alat pikeun nerapkeun fitur kaamanan dicirikeun ku Métodologi Kaamanan Pituduh pamaké.
Pituduh Pamaké Kaamanan Alat Intel eASIC N5X	Parentah pikeun pamaké alat Intel eASIC N5X pikeun nerapkeun fitur kaamanan dicirikeun ku Métodologi Kaamanan Pituduh pamaké.
Intel Agilex 7 jeung Intel eASIC N5X HPS Layanan Kriptografi Guide pamaké	Émbaran pikeun insinyur software HPS dina palaksanaan jeung pamakéan perpustakaan software HPS pikeun ngakses jasa cryptographic disadiakeun ku SDM.
AN-968 Hideung Key Provisioning Service Gancang Mimitian Guide	Lengkep léngkah-léngkah pikeun nyetél Penyediaan Konci Hideung palayanan.

Patarosan anu sering ditaroskeun

P: Naon tujuan Panungtun Pamaké Métodologi Kaamanan?

A: Pituduh Pamaké Métodologi Kaamanan nyadiakeun déskripsi lengkep ngeunaan fitur kaamanan sareng téknologi dina Produk Intel Programmable Solutions. Eta mantuan pamaké milih fitur kaamanan diperlukeun pikeun minuhan tujuan kaamanan maranéhanana.

Q: Dimana kuring tiasa mendakan Pitunjuk Pamaké Kaamanan Alat Intel Agilex 7?

A: Intel Agilex 7 Pituduh Kaamanan Alat tiasa dipendakan dina Pusat Sumberdaya sareng Desain Intel websitus.

Q: Naon jasa Penyediaan Black Key?

A: Ladenan Hideung Key Provisioning nyaéta layanan nu nyadiakeun set lengkep léngkah pikeun nyetél provisioning konci pikeun operasi aman.

View Fullscreen

Intel Agilex® 7 Pituduh Kaamanan Alat
Diropéa pikeun Intel® Quartus® Prime Design Suite: 23.1

Vérsi Online Kirim Eupan Balik

UG-20335

683823 2023.05.23

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 2

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 3

683823 | 2023.05.23 Kirim Eupan Balik
1. Intel Agilex® 7

Kaamanan Alat Leuwihview

Intel® mendesain alat Intel Agilex® 7 kalayan hardware sareng firmware khusus anu tiasa dikonpigurasikeun.
Dokumén ieu ngandung pitunjuk pikeun ngabantosan anjeun nganggo parangkat lunak Intel Quartus® Prime Pro Edition pikeun nerapkeun fitur kaamanan dina alat Intel Agilex 7 anjeun.
Salaku tambahan, Métodologi Kaamanan pikeun Intel FPGAs sareng Pituduh Pamaké ASICs Terstruktur sayogi dina Intel Resource & Design Center. Dokumén ieu ngandung déskripsi lengkep ngeunaan fitur kaamanan sareng téknologi anu sayogi tina produk Intel Programmable Solutions pikeun ngabantosan anjeun milih fitur kaamanan anu dipikabutuh pikeun minuhan tujuan kaamanan anjeun. Kontak Intel Rojongan kalawan nomer rujukan 14014613136 pikeun ngakses Métodologi Kaamanan pikeun Intel FPGAs sarta terstruktur ASICs Guide pamaké.
Dokumén ieu diatur saperti kieu: · Auténtikasi jeung Otorisasina: Nyadiakeun parentah pikeun nyieun
konci auténtikasi jeung ranté signature, nerapkeun idin sarta revocations, objék tanda, sarta fitur auténtikasi program dina alat Intel Agilex 7. · AES Bitstream Encryption: Nyadiakeun parentah pikeun nyieun konci root AES, encrypt bitstreams konfigurasi, jeung nyadiakeun konci root AES ka alat Intel Agilex 7. · Provisioning Alat: Nyadiakeun parentah pikeun ngagunakeun Intel Quartus Prime Programmer jeung Secure Device Manager (SDM) firmware penyediaan pikeun fitur kaamanan program dina alat Intel Agilex 7. · Fitur Lanjutan: Nyadiakeun parentah pikeun ngaktipkeun fitur kaamanan canggih, kaasup otorisasina debug aman, Hard Processor System (HPS) debug, jeung apdet sistem jauh.
1.1. Komitmen pikeun Kaamanan Produk
Komitmen langgeng Intel pikeun kaamanan henteu kantos langkung kuat. Intel nyarankeun pisan yén anjeun kenal sareng sumber kaamanan produk urang sareng ngarencanakeun ngagunakeunana sapanjang umur produk Intel anjeun.
Inpo nu patali · Kaamanan Produk di Intel · Intel Product Security Center Advisories

Intel Corporation. Sadaya hak disimpen. Intel, logo Intel, sareng merek Intel sanés mangrupikeun mérek dagang Intel Corporation atanapi anak perusahaanna. Intel ngajamin kinerja produk FPGA sareng semikonduktor na kana spésifikasi ayeuna saluyu sareng garansi standar Intel, tapi ngagaduhan hak pikeun ngarobih naon waé produk sareng jasa iraha waé tanpa aya bewara. Intel henteu nanggung tanggung jawab atanapi tanggung jawab anu timbul tina aplikasi atanapi pamakean inpormasi, produk, atanapi jasa anu dijelaskeun di dieu iwal ti dinyatakeun sapuk sacara tinulis ku Intel. Konsumén Intel disarankan pikeun ménta versi panganyarna tina spésifikasi alat sateuacan ngandelkeun inpormasi anu diterbitkeun sareng sateuacan nempatkeun pesenan produk atanapi jasa. *Ngaran sareng merek sanésna tiasa diklaim salaku hak milik batur.

ISO 9001: 2015 didaptarkeun

1. Intel Agilex® 7 Kaamanan Alat Leuwihview 683823 | 2023.05.23

1.2. Fitur Kaamanan rencanana

Fitur anu disebatkeun dina bagian ieu direncanakeun pikeun sékrési software Intel Quartus Prime Pro Edition kahareup.

Catetan:

Inpormasi dina bagian ieu mangrupikeun awal.

1.2.1. Parsial Reconfiguration Bitstream Verifikasi Kaamanan
Parsial reconfiguration (PR) validasi kaamanan bitstream mantuan nyadiakeun jaminan tambahan yén PR persona bitstreams teu bisa ngakses atawa ngaganggu bitstreams PR persona séjén.

1.2.2. Alat Maéhan Diri pikeun Anti-T Fisikamper
Maéhan diri alat ngalakukeun usap alat atanapi réspon zeroization alat sareng program tambahan eFuses pikeun nyegah alat ngonpigurasi deui.

1.3. Dokuméntasi Kaamanan sadia

Tabel di handap ieu enumerates dokuméntasi sadia pikeun fitur kaamanan alat dina alat Intel FPGA jeung Structured ASIC:

Tabél 1.

Sadia Dokuméntasi Kaamanan Alat

Ngaran Dokumén
Métodologi Kaamanan pikeun Intel FPGAs sareng Panungtun Pamaké ASICs Terstruktur

Tujuan
Dokumén tingkat luhur anu ngandung pedaran rinci ngeunaan fitur kaamanan sareng téknologi dina Produk Solusi Intel Programmable. Dimaksudkeun pikeun mantuan Anjeun milih fitur kaamanan diperlukeun pikeun minuhan tujuan kaamanan Anjeun.

Dokumén ID 721596

Intel Stratix 10 Guide pamaké Kaamanan Alat
Intel Agilex 7 Pituduh Kaamanan Alat

Pikeun pamaké alat Intel Stratix 10, pituduh ieu ngandung pitunjuk pikeun ngagunakeun parangkat lunak Intel Quartus Prime Pro Edition pikeun nerapkeun fitur kaamanan anu diidentifikasi nganggo Pituduh Pamaké Métodologi Kaamanan.
Pikeun pangguna alat Intel Agilex 7, pituduh ieu ngandung petunjuk pikeun ngagunakeun parangkat lunak Intel Quartus Prime Pro Edition pikeun nerapkeun fitur kaamanan anu diidentifikasi nganggo Pitunjuk Pamaké Métodologi Kaamanan.

683642 683823

Pituduh Pamaké Kaamanan Alat Intel eASIC N5X

Pikeun pangguna alat Intel eASIC N5X, pituduh ieu ngandung pitunjuk pikeun ngagunakeun parangkat lunak Intel Quartus Prime Pro Edition pikeun nerapkeun fitur kaamanan anu diidentifikasi nganggo Pituduh Pamaké Métodologi Kaamanan.

626836

Intel Agilex 7 jeung Intel eASIC N5X HPS Cryptographic Services Pituduh pamaké

Pituduh ieu ngandung émbaran pikeun mantuan insinyur software HPS dina palaksanaan jeung pamakéan perpustakaan software HPS ngakses ladenan cryptographic disadiakeun ku SDM.

713026

AN-968 Hideung Key Provisioning Service Gancang Mimitian Guide

Pituduh ieu ngandung set lengkep léngkah-léngkah pikeun nyetél ladenan Black Key Provisioning.

739071

Lokasi Intel Resource jeung
Puseur Desain
Intel.com
Intel.com
Intel Resource jeung Desain Center
Intel Resource jeung Desain Center
Intel Resource jeung Desain Center

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 5

683823 | 2023.05.23 Kirim Eupan Balik

Auténtikasi sareng Otorisasi

Pikeun ngaktifkeun fitur auténtikasi alat Intel Agilex 7, anjeun mimitian ku ngagunakeun software Intel Quartus Prime Pro Edition sareng alat anu aya hubunganana pikeun ngawangun ranté tandatangan. Ranté tanda tangan diwangun ku konci akar, hiji atanapi langkung konci panandatanganan, sareng otorisasi anu tiasa dianggo. Anjeun nerapkeun ranté tanda tangan kana proyék Intel Quartus Prime Pro Edition anjeun sareng program anu disusun files. Anggo pitunjuk dina Provisioning Alat pikeun ngaprogram konci akar anjeun kana alat Intel Agilex 7.
Émbaran patali
Provisioning Alat dina kaca 25

2.1. Nyieun Chain Signature
Anjeun tiasa nganggo alat quartus_sign atanapi palaksanaan rujukan agilex_sign.py pikeun ngalakukeun operasi ranté tanda tangan. Dokumén ieu nyayogikeun examples ngagunakeun quartus_sign.
Pikeun ngagunakeun palaksanaan rujukan, Anjeun ngagantikeun télépon ka juru Python kaasup software Intel Quartus Prime jeung ngaleungitkeun pilihan –family=agilex; kabéh pilihan séjén anu sarua. Pikeun example, paréntah quartus_sign kapanggih engké di bagian ieu
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky bisa dirobah jadi panggero sarimbag kana palaksanaan rujukan saperti kieu
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Parangkat lunak Intel Quartus Prime Pro Edition kalebet alat quartus_sign, pgm_py, sareng agilex_sign.py. Anjeun tiasa nganggo alat cangkang paréntah Nios® II, anu otomatis nyetél variabel lingkungan anu pas pikeun ngaksés alat.

Turutan parentah ieu pikeun mawa up cangkang paréntah Nios II. 1. Bawa cangkang paréntah Nios II.

Pilihan Windows
Linux

Katerangan
Dina ménu Mimitian, arahkeun ka Program Intel FPGA Nios II EDS teras klik Nios II Paréntah Shell.
Dina cangkang paréntah robah kana /nios2eds sareng ngajalankeun paréntah di handap ieu:
./nios2_command_shell.sh

Mantanamples dina bagian ieu nganggap ranté signature sarta konfigurasi bitstream files aya dina diréktori kerja ayeuna. Lamun milih nuturkeun urutamples mana konci files anu diteundeun dina file sistem, maranéhanana examples nganggap konci files nyaéta

ISO 9001: 2015 didaptarkeun

2. auténtikasi jeung otorisasina 683823 | 2023.05.23
ayana dina diréktori kerja ayeuna. Anjeun tiasa milih diréktori mana anu dianggo, sareng alatna ngadukung relatif file jalur. Lamun anjeun milih tetep konci files dina file sistem, Anjeun kudu taliti ngatur idin aksés ka maranéhanana files.
Intel nyarankeun yén Modul Kaamanan Hardware (HSM) anu sayogi komersil dianggo pikeun nyimpen konci kriptografi sareng ngalaksanakeun operasi kriptografi. Alat quartus_sign sareng palaksanaan rujukan kalebet Standar Kriptografi Kunci Umum # 11 (PKCS # 11) Antarmuka Pemrograman Aplikasi (API) pikeun berinteraksi sareng HSM nalika ngalaksanakeun operasi ranté tandatangan. Palaksanaan rujukan agilex_sign.py ngawengku hiji abstrak panganteur ogé example panganteur mun SoftHSM.
Anjeun tiasa nganggo ex ieuample interfaces pikeun nerapkeun hiji panganteur kana HSM Anjeun. Tingal dokuméntasi ti vendor HSM Anjeun pikeun inpo nu leuwih lengkep ihwal nerapkeun hiji panganteur jeung operasi HSM Anjeun.
SoftHSM mangrupakeun palaksanaan software alat cryptographic generik kalawan PKCS # 11 panganteur nu disadiakeun ku proyék OpenDNSSEC®. Anjeun tiasa mendakan langkung seueur inpormasi, kalebet petunjuk ngeunaan cara ngaunduh, ngawangun, sareng masang OpenHSM, dina proyék OpenDNSSEC. Mantanamples dina bagian ieu ngamangpaatkeun SoftHSM versi 2.6.1. Mantanamples dina bagian ieu tambahan ngagunakeun pkcs11-alat utiliti ti OpenSC pikeun ngalakukeun PKCS tambahan # 11 operasi kalawan token SoftHSM. Anjeun tiasa mendakan langkung seueur inpormasi, kalebet pitunjuk ngeunaan cara ngaunduh, ngawangun, sareng masang pkcs11tool tina OpenSC.
Émbaran patali
· Proyék OpenDNSSEC Penandatangan zona basis kawijakan pikeun ngajadikeun otomatis prosés nyukcruk konci DNSSEC.
· SoftHSM Émbaran ngeunaan palaksanaan toko cryptographic diaksés ngaliwatan PKCS # 11 panganteur.
· OpenSC Nyadiakeun sakumpulan perpustakaan sareng utilitas anu tiasa dianggo sareng kartu pinter.
2.1.1. Nyiptakeun pasangan konci auténtikasi dina Lokal File Sistim
Anjeun nganggo alat quartus_sign pikeun nyiptakeun pasangan konci auténtikasi dina lokal file ngagunakeun operasi alat make_private_pem sareng make_public_pem. Anjeun mimiti ngahasilkeun konci pribadi sareng operasi make_private_pem. Anjeun nangtukeun kurva elliptic ngagunakeun, konci swasta filenami, sareng opsional naha ngajaga konci pribadi nganggo frasa sandi. Intel nyarankeun panggunaan kurva secp384r1 sareng nuturkeun prakték pangsaéna pikeun nyiptakeun frasa sandi acak anu kuat dina sadaya konci pribadi. files. Intel ogé nyarankeun ngawatesan éta file idin sistem dina konci swasta .pem files dibaca ku nu boga wungkul. Anjeun nurunkeun konci umum tina konci swasta kalayan operasi make_public_pem. Ieu mantuan pikeun ngaranan konci .pem files deskriptif. Dokumén ieu nganggo konvénsi _ .pem di handap examples.
1. Dina cangkang paréntah Nios II, ngajalankeun paréntah di handap pikeun nyieun konci swasta. Konci swasta, ditémbongkeun di handap, dipaké salaku konci root dina ex engkéamples nu nyieun ranté signature. Alat Intel Agilex 7 ngarojong sababaraha kenop root, jadi Anjeun

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 7

2. auténtikasi jeung otorisasina 683823 | 2023.05.23

malikan deui léngkah ieu pikeun nyiptakeun jumlah konci akar anu diperyogikeun. Misalamples dina dokumen ieu sadayana nujul kana konci root munggaran, sanajan anjeun bisa ngawangun ranté signature dina fashion sarupa kalayan sagala konci root.

Pilihan Kalayan frasa sandi

Katerangan
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Lebetkeun frasa sandi nalika dipenta pikeun ngalakukeunana.

Tanpa kecap akses

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Jalankeun paréntah di handap pikeun nyieun konci umum ngagunakeun konci swasta dihasilkeun dina hambalan saméméhna. Anjeun teu kedah ngajaga karusiahan hiji konci publik.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Jalankeun paréntah deui pikeun nyieun pasangan konci dipaké salaku konci design signature dina ranté signature.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Nyiptakeun pasangan konci auténtikasi dina SoftHSM
SoftHSM examples dina bab ieu téh timer konsisten. Parameter tangtu gumantung kana pamasangan SoftHSM anjeun sarta initialization token dina SoftHSM.
Alat quartus_sign gumantung kana PKCS # 11 perpustakaan API ti HSM Anjeun.
Mantanamples dina bagian ieu nganggap yén perpustakaan SoftHSM dipasang ka salah sahiji lokasi di handap ieu: · /usr/local/lib/softhsm2.so on Linux Ubuntu · C:SoftHSM2libsofthsm2.dll on 32-bit versi Windows · C:SoftHSM2libsofthsm2-x64 .dll dina versi 64-bit Windows.
Inisialisasi token dina SoftHSM nganggo alat softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –gratis
Parameter pilihan, khususna labél token sareng pin token nyaéta examples dipaké sapanjang ieu bab. Intel nyarankeun yén anjeun turutan parentah ti vendor HSM anjeun pikeun nyieun jeung ngatur token jeung konci.
Anjeun nyieun pasangan konci auténtikasi ngagunakeun pkcs11-alat utiliti pikeun berinteraksi sareng token di SoftHSM. Gantina sacara eksplisit ngarujuk kana konci pribadi sareng umum .pem files dina file sistem examples, Anjeun tingal pasangan konci ku labél na jeung alat nu milih konci luyu otomatis.

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 8

Kirim Eupan Balik

2. auténtikasi jeung otorisasina 683823 | 2023.05.23

Jalankeun paréntah di handap ieu pikeun nyiptakeun pasangan konci anu dianggo salaku konci akar dina ex engkéamples ogé pasangan konci dipaké salaku konci signing desain dina ranté signature:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-labél agilex-token –login –pin agilex-token-pin –keypairgen –mékanisme ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-labél agilex-token –login –pin agilex-token-pin –keypairgen –mékanisme ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

Catetan:

Pilihan ID dina hambalan ieu kudu unik pikeun tiap konci, tapi ngan dipaké ku HSM. Pilihan ID ieu teu aya hubunganana sareng ID pembatalan konci anu ditugaskeun dina ranté tandatangan.

2.1.3. Nyiptakeun Entry Akar Chain Signature
Ngarobih konci umum akar kana éntri akar ranté tanda tangan, disimpen dina lokal file sistem dina format konci Intel Quartus Prime (.qky). file, kalayan operasi make_root. Malikan deui léngkah ieu pikeun unggal konci root anu anjeun hasilkeun.
Jalankeun paréntah di handap ieu pikeun nyiptakeun ranté tandatangan kalayan éntri akar, nganggo konci umum akar tina file sistem:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
Jalankeun paréntah di handap ieu pikeun nyiptakeun ranté tandatangan kalayan éntri akar, nganggo konci akar tina token SoftHSM anu didamel dina bagian sateuacana:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so "root0 root0.qky

2.1.4. Nyieun Signature Chain Public Key Entry
Jieun entri konci publik anyar pikeun ranté tanda tangan kalayan operasi append_key. Anjeun tangtukeun ranté tanda tangan saméméhna, konci swasta pikeun entri panungtungan dina ranté tandatangan saméméhna, konci publik tingkat salajengna, idin jeung ID pembatalan nu Anjeun nangtukeun kana konci publik tingkat salajengna, sarta ranté tanda tangan anyar. file.
Perhatikeun yén perpustakaan softHSM henteu sayogi sareng pamasangan Quartus sareng kedah dipasang nyalira. Kanggo inpo nu langkung lengkep ihwal softHSM tingal Bagéan Nyiptakeun Ranté Tanda Tangan di luhur.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 9

2. auténtikasi jeung otorisasina 683823 | 2023.05.23
Gumantung kana pamakéan Anjeun konci dina file sistem atawa dina HSM, Anjeun nganggo salah sahiji ex handapample paréntah pikeun nambahkeun design0_sign konci publik kana ranté signature root dijieun dina bagian saméméhna:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Anjeun tiasa ngulang operasi append_key nepi ka dua kali deui pikeun maksimal tilu éntri konci umum antara éntri root sareng éntri blok header dina ranté tanda tangan mana waé.
Ex di handapample nganggap anjeun dijieun konci publik auténtikasi sejen kalawan idin sarua jeung ID pembatalan ditugaskeun 1 disebut design1_sign_public.pem, sarta appending konci ieu ranté signature ti urut saméméhna.ample:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Alat Intel Agilex 7 ngawengku hiji counter pembatalan konci tambahan pikeun mempermudah pamakéan hiji konci nu bisa robah périodik sapanjang hirup hiji alat dibikeun. Anjeun tiasa milih counter pembatalan konci ieu ku cara ngarobah argumen pilihan -cancel kana pts:pts_value.
2.2. Signing a Konfigurasi Bitstream
Alat Intel Agilex 7 ngarojong counters Nomer Vérsi Kaamanan (SVN), nu ngidinan Anjeun pikeun nyabut otorisasina hiji obyék tanpa ngabolaykeun konci. Anjeun napelkeun counter SVN jeung nilai counter SVN luyu salila Signing objék naon, kayaning bagian bitstream, firmware .zip file, atawa sertipikat kompak. Anjeun napelkeun counter SVN sarta nilai SVN ngagunakeun pilihan -cancel na svn_counter:svn_value salaku argumen. Nilai anu valid pikeun svn_counter nyaéta svnA, svnB, svnC, sareng svnD. svn_value mangrupa integer dina rentang [0,63].

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 10

Kirim Eupan Balik

2. auténtikasi jeung otorisasina 683823 | 2023.05.23
2.2.1. Kwartus Key File pancén
Anjeun netepkeun ranté tanda tangan dina proyék parangkat lunak Intel Quartus Prime anjeun pikeun ngaktipkeun fitur auténtikasi pikeun desain éta. Tina menu Assignments, pilih Device Device and Pin Options Security Quartus Key File, teras kotektak kana ranté signature .qky file Anjeun dijieun pikeun asup desain ieu.
angka 1. Aktipkeun Konfigurasi Bitstream Setélan

Alternatipna, anjeun tiasa nambihan pernyataan tugas di handap ieu kana Setélan Intel Quartus Prime anjeun file (.qsf):
set_global_assignment -ngaran QKY_FILE design0_sign_chain.qky
Pikeun ngahasilkeun .sof file ti desain saméméhna disusun, nu ngawengku setelan ieu, ti menu Processing, pilih Mimitian Mimitian Assembler. Kaluaran anyar .sof file kalebet tugas pikeun ngaktipkeun auténtikasi sareng ranté tandatangan anu disayogikeun.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 11

2. auténtikasi jeung otorisasina 683823 | 2023.05.23
2.2.2. Co-Signing SDM firmware
Anjeun nganggo alat quartus_sign pikeun nimba, asup, tur masang .zip firmware SDM lumaku file. Firmware anu ditandatanganan babarengan teras dilebetkeun ku program file alat generator mun anjeun ngarobah .sof file kana bitstream konfigurasi .rbf file. Anjeun nganggo paréntah di handap pikeun nyieun ranté signature anyar jeung asup firmware SDM.
1. Jieun pasangan konci Signing anyar.
a. Jieun pasangan konci Signing anyar dina file sistem:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Jieun pasangan konci signing anyar dina HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-labél agilex-token –login –pin agilex-token-pin –keypairgen -mekanisme ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. Jieun ranté tanda tangan anyar anu ngandung konci publik anyar:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Nyalin firmware .zip file tina diréktori pamasangan software Intel Quartus Prime Pro Edition anjeun ( /devices/programmer/firmware/ agilex.zip) kana diréktori kerja ayeuna.
quartus_sign –family=agilex –get_firmware=.
4. Asup firmware .zip file. Alat sacara otomatis ngabongkar .zip file sarta individual tanda sagala firmware .cmf files, lajeng rebuilds nu .zip file pikeun dianggo ku alat-alat dina bagian ieu:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 12

Kirim Eupan Balik

2. auténtikasi jeung otorisasina 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Signing Konfigurasi Bitstream Ngagunakeun quartus_sign Komando
Pikeun asup hiji bitstream konfigurasi maké paréntah quartus_sign, Anjeun mimiti ngarobah .sof file ka binér atah unsigned file (.rbf) formatna. Anjeun opsional bisa nangtukeun firmware co-ditandatanganan ngagunakeun pilihan fw_source salila hambalan konvérsi.
Anjeun tiasa ngahasilkeun bitstream atah unsigned dina format .rbf maké paréntah di handap:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Jalankeun salah sahiji paréntah di handap ieu pikeun ngadaptarkeun bitstream nganggo alat quartus_sign gumantung kana lokasi konci anjeun:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Anjeun tiasa ngarobih .rbf anu ditandatanganan files kana bitstream konfigurasi séjén file format.
Pikeun exampLe, upami anjeun nganggo Jam * Standard Test and Programming Language (STAPL) Player pikeun program bitstream dina JTAG, Anjeun nganggo paréntah di handap pikeun ngarobah hiji .rbf file kana format .jam anu dibutuhkeun ku Jam STAPL Player:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Parsial Reconfiguration Multi-Otoritas Rojongan

Alat-alat Intel Agilex 7 ngarojong auténtikasi multi-otoritas reconfiguration parsial, dimana nu boga alat nyieun jeung tanda bitstream statik, sarta boga PR misah nyieun jeung tanda PR persona bitstreams. Alat Intel Agilex 7 nerapkeun rojongan multi-otoritas ku assigning slot konci root auténtikasi munggaran ka alat atawa boga bitstream statik sarta assigning slot konci root auténtikasi final pikeun reconfiguration parsial boga bitstream persona.
Upami fitur auténtikasi diaktipkeun, maka sadaya gambar persona PR kedah ditandatanganan, kalebet gambar persona PR nested. Gambar persona PR bisa ditandatanganan ku nu boga alat atawa ku nu boga PR; kumaha oge, bitstreams wewengkon statik kudu ditandatanganan ku nu boga alat.

Catetan:

Parsial Reconfiguration statik sarta persona enkripsi bitstream nalika rojongan multi-otoritas diaktipkeun rencanana dina release hareup.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 13

2. auténtikasi jeung otorisasina 683823 | 2023.05.23

Gambar 2.

Nerapkeun pangrojong multi-otoritas konfigurasi ulang parsial merlukeun sababaraha léngkah:
1. Alat atawa boga bitstream statik ngahasilkeun hiji atawa leuwih konci root auténtikasi sakumaha ditétélakeun dina Nyieun auténtikasi Key Pasangan di SoftHSM dina kaca 8, dimana pilihan -key_type boga nilai boga.
2. Pamilik bitstream reconfiguration parsial ngahasilkeun konci root auténtikasi tapi ngarobah nilai pilihan –key_type ka secondary_owner.
3. Boh bitstream statik jeung boga desain reconfiguration parsial mastikeun yén Aktipkeun rojongan Multi-Otoritas kotak centang diaktipkeun dina Alat Assignments Alat jeung Pin Pilihan tab Kaamanan.
Intel Quartus Prime Aktipkeun Setélan Pilihan Multi-Otoritas

4. Pamilik desain bitstream statik sareng konfigurasi ulang parsial nyiptakeun ranté tanda tangan dumasar kana konci akar masing-masing sakumaha anu dijelaskeun dina Nyiptakeun Ranté Tanda Tangan dina kaca 6.
5. Duanana bitstream statik jeung boga desain reconfiguration parsial ngarobah desain maranéhanana disusun kana format .rbf files jeung asup ka .rbf files.
6. Pamilik alat atawa bitstream statik ngahasilkeun sarta tanda hiji PR program konci publik otorisasina sertipikat kompak.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 14

Kirim Eupan Balik

2. auténtikasi jeung otorisasina 683823 | 2023.05.23

7. Alat atawa boga bitstream statik dibekelan konci root auténtikasi maranéhna hashes kana alat, lajeng program PR publik program otorisasina sertipikat kompak, sarta tungtungna dibekelan reconfiguration parsial bitstream boga konci root ka alat. Bagian Provisioning Alat ngajelaskeun prosés provisioning ieu.
8. alat Intel Agilex 7 geus ngonpigurasi kalawan wewengkon statik .rbf file.
9. alat Intel Agilex 7 sawaréh reconfigured kalawan design persona .rbf file.
Émbaran patali
· Nyiptakeun Ranté Tanda Tangan dina kaca 6
· Nyiptakeun Pasangan Konci Auténtikasi dina SoftHSM dina kaca 8
· Provisioning Alat dina kaca 25

2.2.5. Verifying Konfigurasi Bitstream Signature Chains
Saatos anjeun nyiptakeun ranté tanda tangan sareng aliran bit anu ditandatanganan, anjeun tiasa pariksa yén aliran bit anu ditandatanganan leres ngonpigurasikeun alat anu diprogram ku konci akar anu dipasihkeun. Anjeun mimiti nganggo operasi fuse_info tina paréntah quartus_sign pikeun nyitak hash tina konci umum akar kana téks. file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Anjeun teras nganggo pilihan check_integrity tina paréntah quartus_pfg pikeun mariksa ranté signature dina unggal bagian tina bitstream ditandatanganan dina format .rbf. Pilihan check_integrity nyitak inpormasi ieu:
· Status tina cék integritas bitstream sakabéh
· Eusi unggal entri dina unggal ranté signature napel unggal bagian dina bitstream .rbf file,
· Diperkirakeun nilai sekering pikeun hash tina root konci umum pikeun tiap ranté signature.
Nilai tina kaluaran fuse_info kedah cocog sareng garis Fuse dina kaluaran check_integrity.
quartus_pfg –check_integrity signed_bitstream.rbf

Di dieu téh urutample tina kaluaran paréntah check_integrity:

Info: Komando: quartus_pfg –check_integrity signed_bitstream.rbf Status Integritas: OK

Bagian

Tipe: CMF

Deskriptor Tanda Tangan…

Ranté tanda tangan #0 (éntri: -1, offset: 96)

Éntri #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Ngahasilkeun konci…

Kurva: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Ngahasilkeun konci…

Kurva: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 15

2. auténtikasi jeung otorisasina 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Éntri #1

Ngahasilkeun konci…

Kurva: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Éntri #2 Keychain idin: SIGN_CODE Keychain bisa dibatalkeun ku ID: 3 Signature ranté #1 (éntri: -1, offset: 648)

Éntri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Ngahasilkeun konci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ngahasilkeun konci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Éntri #1

Ngahasilkeun konci…

Kurva: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Éntri #2

Ngahasilkeun konci…

Kurva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Éntri # 3 Keychain idin: SIGN_CODE Keychain bisa dibatalkeun ku ID: 15 Signature ranté # 2 (éntri: -1, offset: 0) Signature ranté # 3 (éntri: -1, offset: 0) Signature ranté # 4 (éntri: -1, offset: 0) ranté signature # 5 (éntri: -1, offset: 0) ranté signature # 6 (entri: -1, offset: 0) ranté signature # 7 (éntri: -1, offset: 0)

Tipe Bagian: IO Signature Descriptor… Ranté tanda tangan #0 (éntri: -1, offset: 96)

Éntri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Ngahasilkeun konci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 16

Kirim Eupan Balik

2. auténtikasi jeung otorisasina 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ngahasilkeun konci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Éntri #1

Ngahasilkeun konci…

Kurva: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Éntri #2

Ngahasilkeun konci…

Kurva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Éntri #3 Keychain idin: SIGN_CORE Keychain bisa dibatalkeun ku ID: 15 Signature ranté #1 (entri: -1, offset: 0) Signature ranté #2 (éntri: -1, offset: 0) Signature ranté #3 (éntri: -1, offset: 0) ranté signature #4 (éntri: -1, offset: 0) ranté signature #5 (éntri: -1, offset: 0) ranté signature # 6 (éntri: -1, offset: 0) signature ranté #7 (éntri: -1, offset: 0)

Bagian

Jenis: HPS

Deskriptor Tanda Tangan…

Ranté tanda tangan #0 (éntri: -1, offset: 96)

Éntri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Ngahasilkeun konci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ngahasilkeun konci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Éntri #1

Ngahasilkeun konci…

Kurva: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Éntri #2

Ngahasilkeun konci…

Kurva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 17

2. auténtikasi jeung otorisasina 683823 | 2023.05.23

Éntri #3 Keychain idin: SIGN_HPS Keychain bisa dibatalkeun ku ID: 15 Signature ranté #1 (éntri: -1, offset: 0) Signature ranté #2 (éntri: -1, offset: 0) Signature ranté #3 (éntri: -1, offset: 0) ranté signature #4 (éntri: -1, offset: 0) ranté signature #5 (éntri: -1, offset: 0) ranté signature # 6 (éntri: -1, offset: 0) signature ranté #7 (éntri: -1, offset: 0)

Tipe Bagian: CORE Signature Descriptor… Ranté tanda tangan #0 (éntri: -1, offset: 96)

Éntri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Ngahasilkeun konci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ngahasilkeun konci…

Kurva: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Éntri #1

Ngahasilkeun konci…

Kurva: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Éntri #2

Ngahasilkeun konci…

Kurva: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 18

Kirim Eupan Balik

683823 | 2023.05.23 Kirim Eupan Balik

Énkripsi Bitstream AES

Enkripsi bitstream Advanced Encryption Standard (AES) mangrupikeun fitur anu ngamungkinkeun pamilik alat ngajaga karusiahan harta intelektual dina bitstream konfigurasi.
Pikeun mantuan ngajaga karusiahan konci, konfigurasi enkripsi bitstream ngagunakeun ranté konci AES. Konci ieu dianggo pikeun ngénkripsi data pamilik dina bitstream konfigurasi, dimana konci perantara munggaran énkripsi sareng konci akar AES.

3.1. Nyieun AES Akar Key

Anjeun tiasa nganggo alat quartus_encrypt atanapi palaksanaan rujukan stratix10_encrypt.py pikeun nyiptakeun konci akar AES dina format konci enkripsi software Intel Quartus Prime (.qek). file.

Catetan:

The stratix10_encrypt.py file dipaké pikeun Intel Stratix® 10, jeung alat Intel Agilex 7.

Anjeun tiasa sacara opsional nangtukeun konci dasar anu dianggo pikeun nurunkeun konci akar AES sareng konci turunan konci, nilai pikeun konci akar AES sacara langsung, jumlah konci perantara, sareng panggunaan maksimal per konci perantara.

Anjeun kudu nangtukeun kulawarga alat, output .qek file lokasi, jeung kecap akses lamun ditanya.
Jalankeun paréntah di handap pikeun ngahasilkeun konci akar AES nganggo data acak pikeun konci dasar sareng nilai standar pikeun jumlah konci panengah sareng panggunaan konci maksimal.
Pikeun ngagunakeun palaksanaan rujukan, Anjeun ngagantikeun télépon ka juru Python kaasup software Intel Quartus Prime jeung ngaleungitkeun pilihan –family=agilex; kabéh pilihan séjén anu sarua. Pikeun example, paréntah quartus_encrypt kapanggih engké di bagian

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

bisa dirobah jadi panggero sarimbag kana palaksanaan rujukan saperti kieu pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Setélan Énkripsi Quartus
Pikeun ngaktifkeun enkripsi bitstream pikeun desain, anjeun kedah netepkeun pilihan anu cocog nganggo Panel Alat Alat Tugas sareng Panel Kaamanan Pilihan Pin. Anjeun milih kotak centang Aktipkeun konfigurasi enkripsi bitstream, sareng lokasi panyimpen konci Enkripsi anu dipikahoyong tina menu dropdown.

ISO 9001: 2015 didaptarkeun

angka 3. Intel Quartus Prime Setélan Énkripsi

3. AES Bitstream Énkripsi 683823 | 2023.05.23

Alternatipna, anjeun tiasa nambihan pernyataan tugas di handap ieu kana setélan Intel Quartus Prime anjeun file .qsf:
set_global_assignment -ngaran ENCRYPT_PROGRAMMING_BITSTREAM dina set_global_assignment -ngaran PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Upami anjeun hoyong ngaktipkeun mitigasi tambahan ngalawan véktor serangan saluran sisi, anjeun tiasa ngaktipkeun kotak centang Enkripsi update rasio sareng Aktipkeun scrambling.

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 20

Kirim Eupan Balik

3. AES Bitstream Énkripsi 683823 | 2023.05.23

Parobahan pakait dina .qsf nyaéta:
set_global_assignment -ngaran PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING dina set_global_assignment -ngaran PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Encrypting a Konfigurasi Bitstream
Anjeun énkripsi bitstream konfigurasi saméméh asup bitstream nu. The Intel Quartus Prime Programming File Alat generator tiasa otomatis énkripsi sareng nandatanganan bitstream konfigurasi nganggo antarmuka pangguna grafis atanapi garis paréntah.
Anjeun tiasa pilihan nyieun bitstream sawaréh énkripsi pikeun pamakéan ku quartus_encrypt na quartus_sign parabot atawa equivalents palaksanaan rujukan.

3.3.1. Konfigurasi Bitstream Énkripsi Ngagunakeun Programming nu File Generator Antarmuka Grafis
Anjeun tiasa nganggo Programming File Generator pikeun énkripsi sareng nandatanganan gambar anu gaduh.

Gambar 4.

1. Dina Intel Quartus Perdana File menu pilih Programming File Generator. 2. Dina Kaluaran Files tab, nangtukeun kaluaran file ngetik pikeun konfigurasi Anjeun
skéma.
Kaluaran File Spésifikasi

Skéma konfigurasi Kaluaran file tab
Kaluaran file ngetik

3. Dina Input Files tab, klik Tambahkeun Bitstream tur kotektak ka .sof Anjeun. 4. Pikeun nangtukeun pilihan enkripsi sarta auténtikasi pilih .sof teras klik
Pasipatan. a. Hurungkeun Aktipkeun alat tandatangan. b. Pikeun konci Pribadi file pilih private key signing .pem file. c. Hurungkeun enkripsi Finalize.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 21

3. AES Bitstream Énkripsi 683823 | 2023.05.23

Gambar 5.

d. Pikeun konci Énkripsi file, pilih AES .qek Anjeun file. Input (.sof) File Pasipatan pikeun auténtikasi sareng énkripsi

Aktipkeun auténtikasi Sebutkeun root swasta .pem
Aktipkeun énkripsi Sebutkeun konci énkripsi
5. Pikeun ngahasilkeun bitstream ditandatanganan sarta énkripsi, on Input Files tab, klik Generate. Kotak dialog sandi némbongan pikeun anjeun ngasupkeun frasa sandi pikeun konci AES anjeun .qek file jeung nandatanganan konci swasta .pem file. programming nu file generator nyiptakeun énkripsi sareng ditandatanganan output_file.rbf.
3.3.2. Konfigurasi Bitstream Énkripsi Ngagunakeun Programming nu File Generator Komando Line Interface
Ngahasilkeun bitstream konfigurasi énkripsi sareng ditandatanganan dina format .rbf kalayan antarmuka garis paréntah quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
Anjeun tiasa ngarobih bitstream konfigurasi énkripsi sareng ditandatanganan dina format .rbf ka bitstream konfigurasi anu sanés file format.
3.3.3. Generasi Bitstream Konfigurasi Sawaréh Énkripsi Nganggo Antarmuka Jalur Komando
Anjeun tiasa ngahasilkeun program anu sawaréh énkripsi file pikeun finalize enkripsi sarta asup gambar engké. Ngahasilkeun programming sawaréh énkripsi file dina format .rbf kalawan panganteur garis paréntah thequartus_pfg: quartus_pfg -c -o finalize_encryption_later = ON -o sign_later = ON top.sof top.rbf

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 22

Kirim Eupan Balik

3. AES Bitstream Énkripsi 683823 | 2023.05.23
Anjeun nganggo alat garis paréntah quartus_encrypt pikeun ngabéréskeun enkripsi bitstream:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Anjeun nganggo alat garis paréntah quartus_sign pikeun asup kana bitstream konfigurasi énkripsi:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Parsial Reconfiguration Bitstream Énkripsi
Anjeun tiasa ngaktipkeun enkripsi bitstream dina sababaraha desain FPGA Intel Agilex 7 anu nganggo konfigurasi ulang parsial.
Desain ulang parsial ngagunakeun Hierarchical Partial Reconfiguration (HPR), atawa Static Update Partial Reconfiguration (SUPR) teu ngarojong enkripsi bitstream. Upami desain anjeun ngandung sababaraha daérah PR, anjeun kedah énkripsi sadayana personas.
Pikeun ngaktipkeun enkripsi bitstream reconfiguration parsial, turutan prosedur sarua dina sakabéh révisi desain. 1. Dina Intel Quartus Perdana File menu, pilih Assignments Alat Alat
sarta Pin Pilihan Kaamanan. 2. Pilih lokasi neundeun konci enkripsi nu dipikahoyong.
Angka 6. Parsial Reconfiguration Bitstream Encryption Setting

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 23

3. AES Bitstream Énkripsi 683823 | 2023.05.23
Alternatipna, anjeun tiasa nambihan pernyataan tugas di handap ieu dina setélan Quartus Prime file .qsf:
set_global_assignment -ngaran -ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION on
Saatos anjeun nyusun desain dasar sareng révisi anjeun, parangkat lunak ngahasilkeun a.soffile jeung hiji atawa leuwih.pmsffiles, ngagambarkeun personas. 3. Jieun énkripsi sarta ditandatanganan programming files ti.sof jeung.pmsf files dina fashion sarupa desain kalawan henteu reconfiguration parsial diaktipkeun. 4. Ngarobah persona.pmsf nu disusun file ka sawaréh énkripsi.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Finalize enkripsi bitstream ngagunakeun quartus_encrypt alat garis paréntah:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Asupkeun bitstream konfigurasi énkripsi ngagunakeun alat garis paréntah quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 24

Kirim Eupan Balik

683823 | 2023.05.23 Kirim Eupan Balik

Provisioning Alat

Provisioning fitur kaamanan awal ngan dirojong dina firmware penyediaan SDM. Anggo Intel Quartus Prime Programmer pikeun ngamuat firmware penyediaan SDM sareng ngalaksanakeun operasi penyediaan.
Anjeun tiasa nganggo naon waé jinis JTAG undeuran kabel pikeun nyambungkeun Quartus Programmer ka alat Intel Agilex 7 pikeun ngalakukeun operasi provisioning.
4.1. Ngagunakeun SDM Provision firmware
Intel Quartus Prime Programmer otomatis nyiptakeun sareng ngamuat gambar pembantu standar pabrik nalika anjeun milih operasi initialize sareng paréntah pikeun program anu sanés ti bitstream konfigurasi.
Gumantung kana paréntah pamrograman anu ditangtukeun, gambar pembantu standar pabrik mangrupikeun salah sahiji tina dua jinis:
· Gambar helper provisioning–diwangun ku hiji bagian bitstream nu ngandung firmware provisioning SDM.
· Gambar pembantu QSPI–diwangun ku dua bagian bitstream, hiji ngandung firmware utama SDM jeung hiji bagian I/O.
Anjeun tiasa nyiptakeun gambar pembantu standar pabrik file pikeun ngamuat kana alat anjeun sateuacan ngajalankeun paréntah pamrograman. Saatos program hiji hash konci root auténtikasi, anjeun kudu nyieun jeung asup hiji QSPI pabrik standar helper gambar kusabab I / O bagian kaasup. Upami anjeun ogé ngaprogramkeun setélan kaamanan firmware anu ditandatanganan eFuse, anjeun kedah nyiptakeun provisioning sareng gambar pembantu standar pabrik QSPI sareng firmware anu ditandatanganan. Anjeun tiasa nganggo gambar pembantu standar pabrik anu ditandatanganan babarengan dina alat anu henteu disayogikeun sabab alat anu henteu disayogikeun teu malire ranté tandatangan non-Intel dina firmware SDM. Tingal Nganggo Gambar Pembantu Default Pabrik QSPI dina Alat Milik dina kaca 26 pikeun detil nu langkung lengkep ihwal nyieun, nandatanganan, sareng nganggo gambar pembantu standar pabrik QSPI.
Gambar pembantu standar pabrik provisioning ngalakukeun tindakan provisioning, sapertos program hash konci root auténtikasi, sekering setelan kaamanan, pendaptaran PUF, atanapi provisioning konci hideung. Anjeun nganggo Intel Quartus Prime Programming File Alat garis paréntah generator pikeun nyieun gambar helper provisioning, nangtukeun pilihan helper_image, ngaran helper_device anjeun, subtipe gambar helper penyediaan, sarta optionally a co-ditandatanganan firmware .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Program gambar helper nganggo alat Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" -force

ISO 9001: 2015 didaptarkeun

4. Alat Provisioning 683823 | 2023.05.23

Catetan:

Anjeun tiasa ngaleungitkeun operasi initialize tina paréntah, kalebet examples disadiakeun dina bab ieu, sanggeus boh programming a gambar nulungan rezeki atawa maké paréntah nu ngandung operasi initialize.

4.2. Ngagunakeun QSPI Factory Default Helper Image on Alat Milik
Intel Quartus Prime Programmer sacara otomatis nyiptakeun sareng ngamuat gambar pembantu standar pabrik QSPI nalika anjeun milih operasi initialize pikeun pemrograman flash QSPI. file. Saatos ngaprogramkeun hash konci akar auténtikasi, anjeun kedah nyiptakeun sareng nandatanganan gambar pembantu standar pabrik QSPI, sareng program gambar pembantu pabrik QSPI anu ditandatanganan sacara misah sateuacan ngaprogram lampu kilat QSPI. 1. Anjeun nganggo Intel Quartus Perdana Programming File Alat garis paréntah generator pikeun
jieun gambar helper QSPI, nangtukeun pilihan helper_image, tipe helper_device anjeun, subtipe gambar helper QSPI, sareng opsional firmware cosigned .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Anjeun asup kana QSPI pabrik standar helper gambar:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Anjeun bisa make sagala programming flash QSPI file formatna. Ex di handapamples ngagunakeun bitstream konfigurasi dirobah jadi .jic file formatna:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Anjeun program gambar helper ditandatanganan ngagunakeun alat Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o "p;signed_qspi_helper_image.rbf" -force
5. Anjeun program gambar .jic ka flash ngagunakeun alat Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o "p;signed_flash.jic"

4.3. Auténtikasi Root Key Provisioning
Pikeun program hashes konci root boga ka sekering fisik, mimitina anjeun kudu muka firmware penyediaan, salajengna program nu boga root hashes konci, lajeng langsung ngalakukeun reset kakuatan-on. A reset kakuatan-on teu diperlukeun lamun konci root programming hasshes kana fuses virtual.

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 26

Kirim Eupan Balik

4. Alat Provisioning 683823 | 2023.05.23
Pikeun program auténtikasi root hashes konci, Anjeun program penyediaan firmware gambar helper tur ngajalankeun salah sahiji paréntah di handap pikeun program konci root .qky files.
// Pikeun fisik (non-volatile) eFuses quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky" –non_volatile_key
// Pikeun maya (volatile) eFuses quartus_pgm -c 1 -mjtag -o "p;root0.qky;root1.qky;root2.qky"
4.3.1. Parsial Reconfiguration Multi-Otoritas Root Key Programming
Saatos provisioning alat atawa wewengkon statik bitstream nu boga konci root, Anjeun muka deui gambar helper penyediaan alat, program nu PR ditandatanganan program konci publik otorisasina sertipikat kompak, lajeng nyadiakeun PR persona bitstream nu boga konci root.
// Pikeun fisik (non-volatile) eFuses quartus_pgm -c 1 -mjtag -o "p;root_pr.qky" –pr_pubkey –non_volatile_key
// Pikeun maya (volatile) eFuses quartus_pgm -c 1 -mjtag -o "p;p;root_pr.qky" -pr_pubkey
4.4. Programming Key Pembatalan ID Fuses
Dimimitian ku versi software Intel Quartus Prime Pro Edition 21.1, program Intel sarta boga konci ID pembatalan fuses merlukeun pamakéan sertipikat kompak ditandatanganan. Anjeun tiasa nandatanganan sertipikat kompak ID pembatalan konci kalayan ranté tandatangan anu ngagaduhan idin tandatangan bagian FPGA. Anjeun nyiptakeun sertipikat kompak sareng pamrograman file alat garis paréntah generator. Anjeun ngadaptarkeun sertipikat anu teu ditandatanganan nganggo alat quartus_sign atanapi palaksanaan rujukan.
Alat Intel Agilex 7 ngadukung bank anu misah pikeun gaduh ID pembatalan konci pikeun tiap konci root. Nalika hiji boga konci pembatalan ID sertipikat kompak diprogram kana Intel Agilex 7 FPGA, SDM nangtukeun mana konci root ditandatanganan sertipikat kompak jeung blows konci pembatalan ID sekering nu pakait jeung eta konci root.
Ex di handapamples nyieun sertipikat pembatalan konci Intel pikeun ID konci Intel 7. Anjeun bisa ngaganti 7 kalawan ID pembatalan konci Intel lumaku tina 0-31.
Jalankeun paréntah di handap ieu pikeun nyiptakeun sertipikat kompak pembatalan konci Intel anu teu ditandatanganan:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Jalankeun salah sahiji paréntah di handap ieu pikeun ngadaptarkeun sertipikat kompak ID pembatalan konci Intel anu teu ditandatanganan:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 27

4. Alat Provisioning 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Jalankeun paréntah di handap ieu pikeun nyiptakeun sertipikat kompak ID pembatalan konci anu teu ditandatanganan:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Jalankeun salah sahiji paréntah di handap ieu pikeun ngadaptarkeun sertipikat kompak ID pembatalan konci anu teu ditandatanganan:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Saatos anjeun nyiptakeun sertipikat kompak ID pembatalan konci anu ditandatanganan, anjeun nganggo Intel Quartus Prime Programmer pikeun program sertipikat kompak ka alat via JTAG.
// Pikeun fisik (non-volatile) eFuses quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" –non_volatile_key quartus_pgm -c 1 -mjtag -o "pi; signed_cancel_owner2.ccert" -non_volatile_key
// Pikeun virtual (volatile) eFuses quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_intel7.ccert" quartus_pgm -c 1 -mjtag -o "pi;signed_cancel_owner2.ccert"
Anjeun ogé tiasa ngirim sertipikat kompak ka SDM nganggo antarmuka kotak surat FPGA atanapi HPS.
4.5. Ngabolaykeun Root Keys
Alat Intel Agilex 7 ngamungkinkeun anjeun ngabatalkeun hashes konci akar nalika aya hash konci akar anu henteu dibatalkeun. Anjeun ngabatalkeun hash konci root ku mimiti ngonpigurasikeun alat sareng desain anu ranté tanda tanganna diroot dina hash konci akar anu béda, teras programkeun sertipikat kompak pembatalan hash root anu ditandatanganan. Anjeun kudu asup sertipikat kompak pembatalan hash konci root kalawan ranté signature rooted dina konci root pikeun dibolaykeun.
Jalankeun paréntah di handap ieu pikeun ngahasilkeun sertipikat kompak pembatalan hash konci akar anu teu ditandatanganan:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 28

Kirim Eupan Balik

4. Alat Provisioning 683823 | 2023.05.23

Jalankeun salah sahiji paréntah di handap ieu pikeun ngadaptarkeun sertipikat kompak pembatalan hash root anu teu ditandatanganan:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Anjeun tiasa ngaprogram sertipikat kompak pembatalan hash konci akar via JTAG, kotak surat FPGA, atawa HPS.

4.6. Pemrograman Counter Fuses
Anjeun ngapdet Nomer Vérsi Kaamanan (SVN) sareng Pseudo Time Stamp (PTS) counter fuses ngagunakeun sertipikat kompak ditandatanganan.

Catetan:

SDM ngalacak nilai counter minimum katempo salila konfigurasi dibikeun tur teu nampa sertipikat counter increment lamun nilai counter leuwih leutik batan nilai minimum. Anjeun kudu ngamutahirkeun sakabeh objék ditugaskeun ka counter jeung ngonpigurasikeun deui alat saméméh program a counter increment sertipikat kompak.

Jalankeun salah sahiji paréntah di handap ieu anu pakait sareng sertipikat paningkatan counter anu anjeun hoyongkeun.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Nilai kontra 1 nyiptakeun sertipikat otorisasi paningkatan kontra. Pemrograman sertipikat kompak otorisasi paningkatan counter ngamungkinkeun anjeun pikeun ngaprogram sertipikat paningkatan counter anu henteu ditandatanganan pikeun ngapdet counter masing-masing. Anjeun nganggo alat quartus_sign pikeun asup kana sertipikat kompak counter dina cara anu sami sareng sertipikat kompak ID pembatalan konci.
Anjeun tiasa ngaprogram sertipikat kompak pembatalan hash konci akar via JTAG, kotak surat FPGA, atawa HPS.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 29

4. Alat Provisioning 683823 | 2023.05.23

4.7. Aman Data Objék Service Root Key Provisioning
Anjeun nganggo Intel Quartus Prime Programmer pikeun nyayogikeun konci root Secure Data Object Service (SDOS). Programmer otomatis ngamuat gambar pembantu firmware penyediaan pikeun nyayogikeun konci akar SDOS.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

4.8. Setélan Kaamanan Fuse Provisioning
Anggo Intel Quartus Prime Programmer pikeun nguji sekering setelan kaamanan alat sareng nyerat kana .fuse dumasar-téks. file sukamaha kieu:
quartus_pgm -c 1 -mjtag -o "ei; programming_file.sekering;AGFB014R24B”

Pilihan · i: The Programmer beban dibekelan firmware helper gambar ka alat. · e: Programmer maca sekering tina alat jeung nyimpen eta dina .fuse a file.

The .sekering file ngandung daptar pasangan ngaran-nilai sekering. Nilaina nangtukeun naha sekering parantos ditiup atanapi eusi médan sekering.

Ex di handapample nembongkeun format .fuse file:

# Firmware anu ditandatanganan babarengan

= "Teu ditiup"

# Alat Idin Maéhan

= "Teu ditiup"

# Alat henteu aman

= "Teu ditiup"

# Nonaktipkeun debug HPS

= "Teu ditiup"

# Nonaktipkeun pendaptaran PUF ID Intrinsik

= "Teu ditiup"

# Nonaktipkeun JTAG

= "Teu ditiup"

# Pareuman konci enkripsi anu dibungkus PUF

= "Teu ditiup"

# Pareuman konci enkripsi juragan dina BBRAM = "Teu ditiup"

# Pareuman konci enkripsi juragan dina eFuses = "Teu ditiup"

# Pareuman pamilik root hash konci umum 0

= "Teu ditiup"

# Pareuman pamilik root hash konci umum 1

= "Teu ditiup"

# Pareuman pamilik root hash konci umum 2

= "Teu ditiup"

# Pareuman eFuses virtual

= "Teu ditiup"

# Maksakeun jam SDM ka osilator internal = "Teu ditiup"

# Maksakeun apdet konci enkripsi

= "Teu ditiup"

# Pembatalan konci eksplisit Intel

= "0"

# Konci kaamanan eFuses

= "Teu ditiup"

# Pamilik program konci enkripsi parantos réngsé

= "Teu ditiup"

# Pamilik program konci enkripsi ngamimitian

= "Teu ditiup"

# Pamilik pembatalan konci eksplisit 0

= “”

# Pamilik pembatalan konci eksplisit 1

= “”

# Pamilik pembatalan konci eksplisit 2

= “”

# Pamilik sekering

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000"

# Pamilik akar hash konci umum 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Pamilik akar hash konci umum 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Pamilik akar hash konci umum 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000"

# Pamilik akar ukuran konci umum

= "Euweuh"

# PTS counter

= "0"

# PTS counter base

= "0"

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 30

Kirim Eupan Balik

4. Alat Provisioning 683823 | 2023.05.23

# QSPI ngamimitian reureuh # RMA Counter # SDMIO0 nyaéta I2C # SVN counter A # SVN counter B # SVN counter C # SVN counter D

= "10ms" = "0" = "Teu ditiup" = "0" = "0" = "0" = "0"

Ngaropea .fuse file pikeun nyetel sekering setelan kaamanan nu dipikahoyong. Baris anu dimimitian ku # dianggap salaku garis koméntar. Pikeun program sekering setelan kaamanan, miceun ngarah # tur nyetel nilai ditiup. Pikeun example, pikeun ngaktipkeun sekering setelan kaamanan Firmware Co-ditandatanganan, ngaropéa garis mimiti sekering file kieu:
Firmware anu ditandatanganan babarengan = "Blown"

Anjeun ogé tiasa ngalokasikeun sareng program Owner Fuses dumasar kana kabutuhan anjeun.
Anjeun tiasa nganggo paréntah di handap ieu pikeun ngalakukeun cek kosong, program, sareng pariksa konci umum root root:
quartus_pgm -c 1 -mjtag -o "ibpv;root0.qky"

Pilihan · i: Muatkeun gambar helper penyediaan firmware ka alat. · b: Laksanakeun cek kosong pikeun pariksa sekering setelan kaamanan anu dipikahoyong henteu
geus ditiup. · p: Program sekering. · v: Verifies konci diprogram dina alat.
Saatos programming nu .qky file, Anjeun bisa mariksa inpo sekering ku mariksa deui info sekering pikeun mastikeun boh nu boga hash konci publik jeung nu boga ukuran konci publik boga nilai non-nol.
Sedengkeun widang di handap ieu teu bisa ditulis ngaliwatan .fuse file Metoda, aranjeunna kaasup salila kaluaran operasi mariksa pikeun verifikasi: · Alat teu aman · Alat idin maéhan · Pareuman boga root root hash konci publik 0 · Nonaktipkeun boga root root hash konci publik 1 · Nonaktipkeun boga root hash konci publik 2 · Intel konci pembatalan · Program konci enkripsi nu boga ngamimitian · Program konci enkripsi nu boga geus rengse · Pembatalan konci nu boga · Hash konci publik nu boga · Ukuran konci publik nu boga · Hash konci publik akar nu boga 0 · Hash konci publik akar nu boga 1 · Hash konci publik akar nu boga 2

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 31

4. Alat Provisioning 683823 | 2023.05.23
· PTS counter · PTS counter base · QSPI ngamimitian reureuh · RMA counter · SDMIO0 nyaéta I2C · SVN counter A · SVN counter B · SVN counter C · SVN counter D
Paké Intel Quartus Perdana Programmer pikeun program .fuse file deui ka alat. Lamun anjeun tambahkeun pilihan i, beban Programmer otomatis firmware rezeki pikeun program sekering setelan kaamanan.
// Pikeun fisik (non-volatile) eFuses quartus_pgm -c 1 -mjtag -o "pi; programming_file.fuse” –non_volatile_key
// Pikeun virtual (volatile) eFuses quartus_pgm -c 1 -mjtag -o "pi; programming_file.sekering”
Anjeun tiasa nganggo paréntah di handap ieu pikeun pariksa naha hash konci akar alat sami sareng .qky anu disayogikeun dina paréntah:
quartus_pgm -c 1 -mjtag -o "v;root0_another.qky"
Upami koncina henteu cocog, Programmer gagal sareng pesen kasalahan Operasi gagal.
4.9. AES Akar Key Provisioning
Anjeun kedah nganggo sertipikat kompak konci akar AES anu ditandatanganan pikeun program konci akar AES ka alat Intel Agilex 7.
4.9.1. AES Akar Key Compact bijil
Anjeun nganggo quartus_pfg alat garis paréntah pikeun ngarobah AES konci root Anjeun .qek file kana sertipikat ci format .ccert. Anjeun nangtukeun lokasi neundeun konci nalika nyieun sertipikat kompak. Anjeun tiasa nganggo alat quartus_pfg pikeun nyiptakeun sertipikat anu teu ditandatanganan pikeun ditandatanganan engké. Anjeun kedah nganggo ranté tanda tangan sareng idin tanda sertipikat konci akar AES, bit idin 6, diaktipkeun supados suksés nandatanganan sertipikat kompak konci akar AES.

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 32

Kirim Eupan Balik

4. Alat Provisioning 683823 | 2023.05.23
1. Jieun pasangan konci tambahan dipaké pikeun asup sertipikat kompak konci AES ngagunakeun salah sahiji paréntah di handap examples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-labél agilex-token –login –pin agilex-token-pin –keypairgen mékanisme ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –tanda-pamakéan –label aesccert1 –id 2
2. Jieun ranté tanda tangan sareng set bit idin anu leres nganggo salah sahiji paréntah di handap ieu:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –izin=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Jieun sertipikat kompak AES anu teu ditandatanganan pikeun lokasi neundeun konci akar AES anu dipikahoyong. Pilihan panyimpenan konci akar AES di handap ieu sayogi:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
// Jieun eFuse AES root key unsigned certificate quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Asupkeun sertipikat kompak kalayan paréntah quartus_sign atanapi palaksanaan rujukan.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert ditandatanganan_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 33

4. Alat Provisioning 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert ditandatanganan_ 1.ccert
5. Paké Intel Quartus Prime Programmer pikeun program sertipikat kompak konci root AES ka alat Intel Agilex 7 via JTAG. Intel Quartus Prime Programmer standar pikeun program eFuses maya nalika nganggo EFUSE_WRAPPED_AES_KEY tipe sertipikat kompak.
Anjeun nambahkeun pilihan -non_volatile_key pikeun nangtukeun sekering fisik programming.
//Pikeun fisik (non-volatile) eFuse AES root key quartus_pgm -c 1 -mjtag -o "pi;signed_efuse1.ccert" -non_volatile_key

//Pikeun virtual (volatile) eFuse AES root key quartus_pgm -c 1 -mjtag -o "pi;signed_efuse1.ccert"

// Pikeun BBRAM AES akar konci quartus_pgm -c 1 -mjtag -o "pi;signed_bbram1.ccert"

Firmware penyediaan SDM sareng firmware utama ngadukung pemrograman sertipikat konci akar AES. Anjeun ogé tiasa nganggo antarmuka kotak surat SDM tina lawon FPGA atanapi HPS pikeun program sertipikat konci akar AES.

Catetan:

Paréntah quartus_pgm teu ngarojong pilihan b jeung v pikeun sertipikat ci (.ccert).

4.9.2. Intrinsik ID® PUF AES Root Key Provisioning
Nerapkeun Intrinsic* ID PUF wrapped AES Key ngawengku léngkah-léngkah ieu: 1. Ngadaptarkeun Intrinsic ID PUF via JTAG. 2. Bungkus konci akar AES. 3. Programming data nulungan jeung dibungkus konci kana quad SPI memori flash. 4. Querying status aktivasina ID intrinsik PUF.
Pamakéan téknologi ID Intrinsik merlukeun perjanjian lisénsi anu misah sareng ID Intrinsik. Parangkat lunak Intel Quartus Prime Pro Edition ngabatesan operasi PUF tanpa lisénsi anu pas, sapertos pendaptaran, bungkus konci, sareng program data PUF ka QSPI flash.

4.9.2.1. Intrinsik ID PUF Enrollment
Pikeun ngadaptarkeun PUF, anjeun kedah nganggo firmware penyediaan SDM. Firmware penyediaan kedah janten firmware anu munggaran dimuat saatos siklus kakuatan, sareng anjeun kedah ngaluarkeun paréntah pendaptaran PUF sateuacan paréntah anu sanés. Firmware penyediaan ngadukung paréntah sanés saatos pendaptaran PUF, kalebet bungkus konci akar AES sareng program quad SPI, kumaha ogé, anjeun kedah ngajalankeun alat pikeun ngamuat bitstream konfigurasi.
Anjeun nganggo Intel Quartus Prime Programmer pikeun memicu pendaptaran PUF sareng ngahasilkeun data pembantu PUF .puf file.

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 34

Kirim Eupan Balik

4. Alat Provisioning 683823 | 2023.05.23

Gambar 7.

Intrinsik ID PUF Enrollment
quartus_pgm Pendaftaran PUF

Pendaptaran data pembantu PUF

Manajer Alat Aman (SDM)

wrapper.puf Helper Data
Programmer otomatis ngamuat gambar asisten firmware rezeki mun anjeun nangtukeun duanana operasi i jeung argumen .puf.
quartus_pgm -c 1 -mjtag -o "ei;help_data.puf;AGFB014R24A"
Upami anjeun nganggo firmware anu ditandatanganan babarengan, anjeun programkeun gambar pembantu firmware anu ditandatanganan sateuacan nganggo paréntah pendaptaran PUF.
quartus_pgm -c 1 -mjtag -o "p;signed_provision_helper_image.rbf" –force quartus_pgm -c 1 -mjtag -o "e;help_data.puf;AGFB014R24A"
UDS IID PUF didaptarkeun salila manufaktur alat, sarta henteu sadia pikeun reenrollment. Gantina, Anjeun nganggo Programmer pikeun nangtukeun lokasi data pembantu UDS PUF on IPCS, ngundeur .puf. file langsung, lajeng nganggo UDS .puf file dina cara nu sarua salaku .puf file sasari tina alat Intel Agilex 7.
Paké paréntah Programmer handap pikeun ngahasilkeun téks a file ngandung daptar URLs nunjuk ka alat-spésifik files dina IPCS:
quartus_pgm -c 1 -mjtag -o "e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Bungkus konci AES Akar
Anjeun ngahasilkeun IID PUF dibungkus AES konci root .wkey file ku ngirimkeun sertipikat anu ditandatanganan ka SDM.
Anjeun tiasa nganggo Intel Quartus Prime Programmer pikeun otomatis ngahasilkeun, asup, sareng ngirim sertipikat pikeun mungkus konci akar AES anjeun, atanapi anjeun tiasa nganggo Pemrograman Perdana Intel Quartus. File Generator pikeun ngahasilkeun sertipikat anu teu ditandatanganan. Anjeun ngadaptarkeun sertipikat anu teu ditandatanganan nganggo alat anjeun nyalira atanapi alat tandatangan Quartus. Anjeun teras nganggo Programmer pikeun ngirim sertipikat anu ditandatanganan sareng bungkus konci akar AES anjeun. Sertipikat anu ditandatanganan tiasa dianggo pikeun ngaprogram sadaya alat anu tiasa ngasahkeun ranté tandatangan.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 35

4. Alat Provisioning 683823 | 2023.05.23

Gambar 8.

Bungkus konci AES Ngagunakeun Intel Quartus Prime Programmer
.pem Pribadi
konci

.qky

quartus_pgm

Bungkus konci AES

AES.QSKigYnature RootCPhuabilnic Key

Ngahasilkeun PUF dibungkus Key

Dibungkus konci AES

SDM

.qek Énkripsi
konci

.wkey PUF-dibungkus
konci AES

1. Anjeun bisa ngahasilkeun IID PUF dibungkus AES konci root (.wkey) kalawan Programmer ngagunakeun argumen di handap ieu:
· The .qky file ngandung ranté tanda tangan sareng idin sertipikat konci akar AES
· Pribadi .pem file pikeun konci panungtungan dina ranté signature
· The .qek file nyekel konci root AES
· Vektor initialization 16-bait (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Alternatipna, Anjeun bisa ngahasilkeun hiji unsigned IID PUF wrapping sertipikat konci root AES jeung Programming. File Generator ngagunakeun argumen di handap ieu:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Anjeun ngadaptarkeun sertipikat anu teu ditandatanganan nganggo alat tandatangan anjeun atanapi alat quartus_sign nganggo paréntah di handap ieu:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Anjeun teras nganggo Programmer pikeun ngirim sertipikat AES anu ditandatanganan sareng mulangkeun konci anu dibungkus (.wkey) file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

Catetan: Operasi i mah teu perlu lamun saacanna dimuat gambar helper penyediaan firmware, pikeun example, pikeun ngadaptarkeun PUF.

4.9.2.3. Data Pembantu Pemrograman sareng konci anu dibungkus pikeun Mémori Flash QSPI
Anjeun nganggo Quartus Programming File Antarmuka grafis generator pikeun ngawangun gambar flash QSPI awal anu ngandung partisi PUF. Anjeun kudu ngahasilkeun sarta program hiji sakabéh gambar programming flash pikeun nambahkeun partisi PUF kana flash QSPI. Penciptaan PUF

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 36

Kirim Eupan Balik

4. Alat Provisioning 683823 | 2023.05.23

Gambar 9.

partisi data sarta pamakéan data nulungan PUF jeung konci dibungkus files pikeun generasi gambar flash teu dirojong ngaliwatan Programming File panganteur garis paréntah generator.
Léngkah-léngkah ieu nunjukkeun ngawangun gambar pemrograman lampu kilat nganggo data pembantu PUF sareng konci anu dibungkus:
1. Dina File menu, klik Programming File Generator. Dina Kaluaran Files tab ngadamel pilihan di handap ieu:
a. Pikeun kulawarga Alat pilih Agilex 7.
b. Pikeun modeu Konfigurasi pilih Active Serial x4.
c. Pikeun diréktori Kaluaran kotektak ka kaluaran Anjeun file diréktori. Mantan ieuample ngagunakeun output_files.
d. Pikeun Ngaran, tangtukeun ngaran pikeun programming nu file bisa dihasilkeun. Mantan ieuample ngagunakeun output_file.
e. Dina Katerangan pilih programming nu files pikeun ngahasilkeun. Mantan ieuample ngahasilkeun JTAG Konfigurasi teu langsung File (.jic) pikeun konfigurasi alat jeung binér Raw File Gambar Pemrograman Helper (.rbf) pikeun gambar helper alat. Mantan ieuample ogé milih Peta Mémori pilihan File (.peta) jeung Data Programming Raw File (.rpd). Data programming atah file perlu ngan lamun rencana ngagunakeun programmer pihak-katilu dina mangsa nu bakal datang.
Pemrograman File Generator - Kaluaran Files Tab - Pilih JTAG Konfigurasi teu langsung

Modeu Konfigurasi Kulawarga Alat
Kaluaran file tab
Diréktori kaluaran
JTAG Teu langsung (.jic) Mémori Peta File Programming Helper Raw Programming Data
Dina Input Files tab, nyieun pilihan handap: 1. Klik Tambahkeun Bitstream tur kotektak ka .sof Anjeun. 2. Pilih .sof anjeun file teras pencét Pasipatan.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 37

4. Alat Provisioning 683823 | 2023.05.23
a. Aktipkeun alat tandatangan. b. Pikeun konci Pribadi file pilih .pem anjeun file. c. Aktipkeun enkripsi Finalize. d. Pikeun konci Énkripsi file pilih .qek Anjeun file. e. Klik OK pikeun mulang ka jandela saméméhna. 3. Pikeun nangtukeun data helper PUF Anjeun file, klik Tambahkeun Data Atah. Ngarobah Files tina tipe menu turun-handap pikeun Quartus Physical Unclonable Fungsi File (*.puf). Kotektak ka .puf Anjeun file. Upami anjeun nganggo IID PUF sareng UDS IID PUF, malikan deui léngkah ieu supados .puf files pikeun tiap PUF ditambahkeun salaku input files. 4. Pikeun nangtukeun konci AES dibungkus Anjeun file, klik Tambahkeun Data Atah. Ngarobah Files tina tipe menu turun-handap ka Quartus Wrapped Key File (*.wkey). Kotektak ka .wkey Anjeun file. Upami anjeun parantos ngabungkus konci AES nganggo IID PUF sareng UDS IID PUF, malikan deui léngkah ieu supados .wkey files pikeun tiap PUF ditambahkeun salaku input files.
Gambar 10. Sebutkeun Input Files pikeun Konfigurasi, Auténtikasi, jeung Énkripsi

Tambahkeun Bitstream Tambahkeun Data Raw
Pasipatan
Konci swasta file
Finalize enkripsi konci Énkripsi
Dina tab Alat Konfigurasi, jieun pilihan di handap ieu: 1. Klik Tambah Alat tur pilih alat flash anjeun tina daptar lampu kilat sadia.
alat-alat. 2. Pilih alat konfigurasi nu kakarék ditambahkeun teras klik Tambahkeun Partition. 3. Dina kotak dialog Edit Partition pikeun Input file tur pilih .sof anjeun tina
daptar dropdown. Anjeun tiasa nahan standar atanapi ngédit parameter sanés dina kotak dialog Édit Partisi.

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 38

Kirim Eupan Balik

4. Alat Provisioning 683823 | 2023.05.23
angka 11. Nangtukeun Anjeun .sof Konfigurasi Bitstream Partisi

Alat Konfigurasi
Edit Partition Tambahkeun .sof file

Tambahkeun Partition

4. Lamun anjeun tambahkeun .puf na .wkey salaku input files, Programming File Generator otomatis nyiptakeun partisi PUF dina Alat Konfigurasi anjeun. Pikeun nyimpen .puf na .wkey dina partisi PUF, pilih partisi PUF teras klik Edit. Dina kotak dialog Edit Partition, pilih .puf na .wkey Anjeun files tina daptar dropdown. Upami anjeun nyabut partisi PUF, anjeun kedah ngahapus sareng nambihan deui alat konfigurasi pikeun Programming File Generator pikeun nyiptakeun partisi PUF anu sanés. Anjeun kudu mastikeun yén anjeun milih bener .puf na .wkey file pikeun IID PUF sareng UDS IID PUF masing-masing.
Gambar 12. Tambahkeun .puf na .wkey files kana Partisi PUF

Partisi PUF

Édit

Édit Partisi

Flash Loader

Pilih Generate

5. Pikeun parameter Flash loader pilih Intel Agilex 7 kulawarga alat jeung ngaran alat nu cocog Intel Agilex Anjeun 7 OPN.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 39

4. Alat Provisioning 683823 | 2023.05.23
6. Klik Generate pikeun ngahasilkeun kaluaran files nu dieusian dina Kaluaran Filetab s.
7. Programming File Generator maca .qek Anjeun file sareng nyarankeun anjeun pikeun frasa sandi anjeun. Ketik frasa sandi anjeun pikeun ngaréspon kana paréntah Asupkeun frasa sandi QEK. Klik tombol Lebetkeun.
8. Klik OK lamun Programming File Generator ngalaporkeun generasi suksés.
Anjeun nganggo Intel Quartus Perdana Programmer pikeun nulis gambar programming QSPI ka memori flash QSPI. 1. Dina menu Intel Quartus Prime Tools pilih Programmer. 2. Dina Programmer, klik Setup Hardware lajeng pilih Intel disambungkeun
FPGA Download Cable. 3. Klik Tambahkeun File tur kotektak ka .jic Anjeun file.
Gambar 13. Program .jic

Pemrograman file

Program / Konpigurasikeun

JTAG ranté scan
4. Pupus centang kotak pakait sareng gambar Helper. 5. Pilih Program / Konpigurasikeun pikeun kaluaran .jic file. 6. Hurungkeun tombol Mimitian pikeun program memori flash quad SPI Anjeun. 7. Daur kakuatan dewan Anjeun. Desain diprogram kana mémori flash quad SPI
alat salajengna dimuat kana target FPGA.
Anjeun kudu ngahasilkeun sarta program hiji sakabéh gambar programming flash pikeun nambahkeun partisi PUF ka quad SPI flash.
Nalika partisi PUF parantos aya dina lampu kilat, anjeun tiasa nganggo Intel Quartus Prime Programmer pikeun langsung ngaksés data pembantu PUF sareng konci anu dibungkus. files. Pikeun exampLe, lamun aktivasina gagal, kasebut nyaéta dimungkinkeun pikeun ngadaptar ulang PUF, bungkus ulang konci AES, sarta salajengna ngan program PUF. files tanpa kudu nimpa sakabéh flash.

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 40

Kirim Eupan Balik

4. Alat Provisioning 683823 | 2023.05.23
Intel Quartus Prime Programmer ngarojong argumen operasi di handap pikeun PUF files dina partisi PUF anu tos aya:
· p: program
· v: pariksa
· r: mupus
· b: cék kosong
Anjeun kedah nuturkeun larangan anu sami pikeun pendaptaran PUF, sanaos aya partisi PUF.
1. Paké argumen operasi i pikeun beban dibekelan firmware helper gambar pikeun operasi munggaran. Pikeun example, runtuyan paréntah di handap ieu ulang enrolls PUF, bungkus ulang konci root AES, mupus data pembantu PUF heubeul jeung konci dibungkus, lajeng program tur pariksa data pembantu PUF anyar jeung konci root AES.
quartus_pgm -c 1 -mjtag -o "ei;new.puf;AGFB014R24A" quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o "e;new.wkey;AGFB014R24A" quartus_pgm -c 1 -mjtag -o "r;old.puf" quartus_pgm -c 1 -mjtag -o "r;old.wkey" quartus_pgm -c 1 -mjtag -o "p;new.puf" quartus_pgm -c 1 -mjtag -o "p;new.wkey" quartus_pgm -c 1 -mjtag -o "v;new.puf" quartus_pgm -c 1 -mjtag -o "v;new.wkey"
4.9.2.4. Querying ID intrinsik PUF Status Aktipkeun
Saatos anjeun ngadaptarkeun PUF ID Intrinsik, bungkus konci AES, ngahasilkeun program flash files, sarta ngamutahirkeun quad SPI flash, Anjeun kakuatan siklus alat Anjeun pikeun pemicu aktivasina PUF sarta konfigurasi tina bitstream énkripsi. SDM ngalaporkeun status aktivasina PUF sareng status konfigurasi. Upami aktivasina PUF gagal, SDM ngalaporkeun status kasalahan PUF. Anggo paréntah quartus_pgm pikeun naroskeun status konfigurasi.
1. Anggo paréntah di handap ieu pikeun naroskeun status aktivasina:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Ieu sampkaluaran tina aktivasina suksés:
Info (21597): Tanggapan Alat CONFIG_STATUS jalan dina modeu pamaké 00006000 RESPONSE_CODE=OK, PANJANG=6 00000000 STATE=IDLE 00160300 Vérsi C000007B MSEL=QSPI_NORMAL, nSTATUS=1,, nSTATUS=1, nSTATUS=1
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Lokasi kasalahan 00000000 Rincian kasalahan Tanggapan PUF_STATUS 00002000_2 STATUS IID=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 41

4. Alat Provisioning 683823 | 2023.05.23

Upami anjeun ngan ukur nganggo IID PUF atanapi UDS IID PUF, sareng teu acan diprogram a helper data .puf file boh PUF dina lampu kilat QSPI, yén PUF henteu diaktipkeun sareng status PUF nunjukkeun yén data asisten PUF henteu sah. Ex di handapample nembongkeun status PUF nalika data helper PUF teu diprogram pikeun boh PUF:
Tanggapan PUF_STATUS 00002000 RESPONSE_CODE=OK, PANJANG=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Lokasi PUF dina Mémori Flash
Lokasi PUF file béda pikeun desain anu ngadukung RSU sareng desain anu henteu ngadukung fitur RSU.

Pikeun desain anu henteu ngadukung RSU, anjeun kedah ngalebetkeun .puf sareng .wkey files mun anjeun nyieun gambar flash diropéa. Pikeun desain anu ngadukung RSU, SDM henteu nimpa bagian data PUF salami apdet gambar pabrik atanapi aplikasi.

Tabél 2.

Flash Sub-Partitions Layout tanpa Rojongan RSU

Flash Offset (dina bait)

Ukuran (dina bait)

eusi

Katerangan

0K 256K

256K 256K

Konfigurasi Manajemén firmware Konfigurasi Manajemén firmware

Firmware anu dijalankeun dina SDM.

512K

256K

Firmware Manajemén Konfigurasi

768K

256K

Firmware Manajemén Konfigurasi

32K

salinan data PUF 0

Struktur data pikeun nyimpen data pembantu PUF sareng salinan konci akar AES anu dibungkus PUF 0

1M+32K

32K

salinan data PUF 1

Struktur data pikeun nyimpen data pembantu PUF sareng salinan konci akar AES anu dibungkus PUF 1

Tabél 3.

Flash Sub-Partitions Layout kalawan RSU Rojongan

Flash Offset (dina bait)

Ukuran (dina bait)

eusi

Katerangan

0K 512K

512K 512K

Firmware kaputusan Firmware kaputusan

Firmware pikeun ngaidentipikasi sareng ngamuat gambar prioritas pangluhurna.

1M 1.5M

512K 512K

Firmware kaputusan Firmware kaputusan

8K + 24K

Data firmware kaputusan

Padding

Ditangtayungan pikeun pamakéan firmware Kaputusan.

2M + 32K

32K

Ditangtayungan pikeun SDM

Ditangtayungan pikeun SDM.

2M + 64K

Variabel

Gambar pabrik

Gambar saderhana anu anjeun jieun salaku cadangan upami sadaya gambar aplikasi sanés gagal dimuat. Gambar ieu kalebet CMF anu dijalankeun dina SDM.

Teras

32K

salinan data PUF 0

Struktur data pikeun nyimpen data pembantu PUF sareng salinan konci akar AES anu dibungkus PUF 0
dituluykeun…

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 42

Kirim Eupan Balik

4. Alat Provisioning 683823 | 2023.05.23

Flash Offset (dina bait)

Ukuran (dina bait)

Salajengna +32K 32K

Eusi salinan data PUF 1

Salajengna + 256K 4K salajengna +32K 4K salajengna +32K 4K

Salin tabel sub-partisi 0 Salin tabel sub-partisi 1 Salin blok penunjuk CMF 0

Salajengna +32K _

CMF pointer block salinan 1

Variabel Variabel

Gambar aplikasi 1 Gambar aplikasi 2

4.9.3. Hideung Key Provisioning

Katerangan
Struktur data pikeun nyimpen data pembantu PUF sareng salinan konci akar AES anu dibungkus PUF 1
Struktur data pikeun mempermudah ngokolakeun panyimpenan flash.
Daptar petunjuk pikeun gambar aplikasi dina urutan prioritas. Lamun anjeun nambahkeun hiji gambar, éta gambar jadi pangluhurna.
Salinan kadua daptar panunjuk kana gambar aplikasi.
Gambar aplikasi munggaran anjeun.
Gambar aplikasi kadua anjeun.

Catetan:

TheIntel Quartus PrimeProgrammer mantuan dina nyieun sambungan aman saling dioténtikasi antara alat Intel Agilex 7 jeung ladenan provisioning konci hideung. Sambungan aman didamel via https sareng peryogi sababaraha sertipikat anu diidentifikasi nganggo téks file.
Nalika nganggo Black Key Provisioning, Intel nyarankeun yén anjeun henteu nyambungkeun pin TCK sacara éksternal pikeun narik kaluhur atanapi kahandap résistor bari tetep dianggo pikeun J.TAG. Nanging, anjeun tiasa nyambungkeun pin TCK kana catu daya VCCIO SDM nganggo résistor 10 k. Pitunjuk anu aya dina Pedoman Sambungan Pin pikeun nyambungkeun TCK ka résistor pull-down 1 k kalebet pikeun suprési bising. Parobahan pituduh kana résistor pull-up 10 k henteu mangaruhan fungsi alat. Kanggo inpo nu langkung lengkep ihwal kumaha nyambungkeun pin TCK, tingal Intel Agilex 7 Pedoman Connection Pin.
Thebkp_tls_ca_certcertificate authenticates conto ladenan provisioning konci hideung anjeun ka conto programmer provisioning konci hideung Anjeun. Thebkp_tls_*sertipikat ngaoténtikasi instansi programmer provisioning konci hideung anjeun kana conto jasa penyediaan konci hideung anjeun.
Anjeun nyieun téks a file ngandung inpo nu dipikabutuh pikeun theIntel Quartus Perdana Programmer pikeun nyambung ka ladenan provisioning konci hideung. Pikeun ngamimitian panyadiaan konci hideung, paké antarmuka garis paréntah Programmer pikeun nangtukeun téks pilihan panyadiaan konci hideung. file. Provisioning konci hideung lajeng proceeds otomatis. Pikeun aksés ka ladenan provisioning konci hideung jeung dokuméntasi pakait, mangga ngahubungan Rojongan Intel.
Anjeun tiasa ngaktipkeun provisioning konci hideung nganggo paréntah quarterus_pgm:
quartus_pgm -c -m – alat –bkp_options=bkp_options.txt
Argumen paréntah netepkeun inpormasi ieu:

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 43

4. Alat Provisioning 683823 | 2023.05.23

· -c: nomer kabel · -m: nangtukeun mode program sapertos JTAG · –alat: nangtukeun indéks alat dina JTAG ranté. Nilai standar nyaéta 1. · –bkp_options: nangtukeun téks file ngandung pilihan provisioning konci hideung.
Émbaran patali Intel Agilex 7 Alat kulawarga Pin Pituduh Connection

4.9.3.1. Hideung Key Provisioning Pilihan
Pilihan penyediaan konci hideung nyaéta téks file dibikeun ka Programmer ngaliwatan paréntah quartus_pgm. The file ngandung émbaran diperlukeun pikeun pemicu provisioning konci hideung.
Di handap ieu mangrupa example tina bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.sertipikat bkp_tls_prog_cert = prog.sertipikat bkp_tls_prog_key = prog_key.pem_prog_prog_key = prog_key.pem_prog_address https://1234:192.167.5.5 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Tabél 4.

Hideung Key Provisioning Pilihan
tabél ieu mintonkeun pilihan diperlukeun pikeun pemicu provisioning konci hideung.

Ngaran Pilihan

Tipe

Katerangan

bkp_ip

Dibutuhkeun

Nangtukeun alamat IP server ngajalankeun ladenan provisioning konci hideung.

bkp_port

Dibutuhkeun

Nangtukeun port jasa provisioning konci hideung diperlukeun pikeun nyambung ka server.

bkp_cfg_id

Dibutuhkeun

Nangtukeun ID aliran konfigurasi provisioning konci hideung.
Ladenan penyediaan konci hideung nyiptakeun aliran konfigurasi penyediaan konci hideung kalebet konci akar AES, setélan eFuse anu dipikahoyong, sareng pilihan otorisasi penyediaan konci hideung anu sanés. Jumlah ditugaskeun salila setelan ladenan provisioning konci hideung ngaidentipikasi aliran konfigurasi provisioning konci hideung.
Catetan: Sababaraha alat tiasa ngarujuk kana aliran konfigurasi jasa penyediaan konci hideung anu sami.

bkp_tls_ca_cert

Dibutuhkeun

Sertipikat TLS root dipaké pikeun ngaidentipikasi ladenan provisioning konci hideung ka Intel Quartus Perdana Programmer (Programmer). Otoritas Sertipikat anu dipercaya pikeun conto jasa penyediaan konci hideung ngaluarkeun sertipikat ieu.
Upami anjeun ngajalankeun Programmer dina komputer nganggo sistem operasi Microsoft® Windows® (Windows), anjeun kedah masang sertipikat ieu di toko sertipikat Windows.

bkp_tls_prog_cert

Dibutuhkeun

A sertipikat dijieun pikeun conto tina hideung konci provisioning Programmer (BKP Programmer). Ieu mangrupikeun sertipikat klien https anu dianggo pikeun ngaidentipikasi conto programmer BKP ieu
dituluykeun…

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 44

Kirim Eupan Balik

4. Alat Provisioning 683823 | 2023.05.23

Ngaran Pilihan

Tipe

bkp_tls_prog_key

Dibutuhkeun

bkp_tls_prog_key_pass Opsional

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Pilihan Opsional Pilihan

Katerangan
ka layanan penyediaan konci hideung. Anjeun kudu masang jeung otorisasina sertipikat ieu dina ladenan penyediaan konci hideung saméméh initiating sési provisioning konci hideung. Upami anjeun ngajalankeun Programmer dina Windows, pilihan ieu henteu sayogi. Dina hal ieu, bkp_tls_prog_key parantos kalebet sertipikat ieu.
Konci swasta pakait jeung sertipikat BKP Programmer. Konci validates identitas conto BKP Programmer ka layanan provisioning konci hideung. Upami anjeun ngajalankeun Programmer dina Windows, .pfx file ngagabungkeun sertipikat bkp_tls_prog_cert sareng konci pribadi. Pilihan bkp_tlx_prog_key ngalirkeun .pfx file dina bkp_options.txt file.
Sandi pikeun konci pribadi bkp_tls_prog_key. Teu diperlukeun dina konci hideung provisioning pilihan konfigurasi (bkp_options.txt) téks file.
Nangtukeun server proxy URL alamat.
Nangtukeun ngaran pamaké server proxy.
Nangtukeun kecap akses auténtikasi proxy.

4.10. Ngarobah Owner Root Key, AES Root Key Sertipikat, sareng Fuse files pikeun Jam STAPL File Formulir

Anjeun tiasa nganggo paréntah-garis paréntah quartus_pfg pikeun ngarobih .qky, konci akar AES .ccert, sareng .fuse files mun Jam STAPL Format File (.jam) jeung Jam Byte Code Format File (.jbc). Anjeun tiasa nganggo ieu files pikeun program Intel FPGAs ngagunakeun Jam STAPL Player jeung Jam STAPL Byte-Code Player, masing-masing.

A .jam tunggal atawa .jbc ngandung sababaraha fungsi kaasup hiji firmware helper konfigurasi gambar jeung program, cek kosong, sarta verifikasi konci na sekering programming.

Awas:

Lamun anjeun ngarobah konci akar AES .ccert file ka format .jam, éta .jam file ngandung konci AES dina bentuk plaintext tapi obfuscated. Akibatna, anjeun kudu ngajaga .jam file nalika nyimpen konci AES. Anjeun tiasa ngalakukeun ieu ku nyayogikeun konci AES dina lingkungan anu aman.

Ieu tilasamples tina paréntah konversi quartus_pfg:

quartus_pfg -c -o helper_device=AGFB014R24A "root0.qky;root1.qky;root2.qky"RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A "root0.qky;root1.qyqky;root2.qqky;" c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014. er_device=AGFB24RXNUMXA setélan. sekering settings_fuse.jbc

Kanggo inpo nu langkung lengkep ihwal ngagunakeun Jam STAPL Player pikeun alat programming tingal AN 425: Ngagunakeun Komando-Line Jam STAPL Solusi pikeun Alat Programming.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 45

4. Alat Provisioning 683823 | 2023.05.23
Jalankeun paréntah di handap ieu pikeun ngaprogramkeun konci umum akar sareng konci enkripsi AES:
// Pikeun ngamuat bitstream helper kana FPGA. // The helper bitstream kaasup firmware rezeki quartus_jli -c 1 -a CONFIGURE RootKey.jam
//Pikeun program nu boga akar konci publik kana eFuses virtual quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Pikeun program nu boga akar konci publik kana fisik eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Pikeun program nu boga PR root konci publik kana virtual eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Pikeun program nu boga PR root konci publik kana fisik eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Pikeun program konci enkripsi AES CCERT kana BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Pikeun program konci enkripsi AES CCERT kana fisik eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Patali Émbaran AN 425: Ngagunakeun Komando-Line Jam STAPL Solusi pikeun Alat Programming

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 46

Kirim Eupan Balik

683823 | 2023.05.23 Kirim Eupan Balik

Fitur canggih

5.1. Otorisasi Debug Aman
Pikeun ngaktifkeun Otorisasi Debug Aman, nu gaduh debug kedah ngahasilkeun pasangan konci auténtikasi sareng nganggo Intel Quartus Prime Pro Programmer pikeun ngahasilkeun inpormasi alat. file pikeun alat anu ngajalankeun gambar debug:
quartus_pgm -c 1 -mjtag -o "ei;device_info.txt;AGFB014R24A" -dev_info
Nu boga alat ngagunakeun alat quartus_sign atawa palaksanaan rujukan pikeun nambahkeun entri konci publik kondisional kana ranté tanda tangan dimaksudkeun pikeun operasi debug ngagunakeun konci publik ti nu boga debug, otorisasina diperlukeun, téks informasi alat. file, sareng larangan salajengna anu lumaku:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″ debug_authorization_public_key.pem secure_debug_auth_chain.qky
Nu boga alat ngirimkeun ranté tanda tangan lengkep deui ka nu boga debug, nu maké ranté tanda tangan jeung konci pribadina pikeun asup kana gambar debug:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Anjeun tiasa nganggo paréntah quartus_pfg pikeun mariksa ranté tanda tangan unggal bagian tina bitstream debug aman anu ditandatanganan ieu sapertos kieu:
quartus_pfg –check_integrity authorized_debug_design.rbf
Kaluaran paréntah ieu nyitak nilai pangwatesan 1,2,17,18 tina konci umum kondisional anu digunakeun pikeun ngahasilkeun bitstream anu ditandatanganan.
Pamilik debug teras tiasa ngaprogram desain debug anu otorisasi aman:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
Nu boga alat bisa nyabut otorisasina debug aman ku ngabolaykeun ID pembatalan konci eksplisit ditugaskeun dina ranté tanda otorisasi debug aman.
5.2. Sertipikat Debug HPS
Aktipkeun ngan aksés otorisasi ka port aksés debug HPS (DAP) via JTAG panganteur merlukeun sababaraha léngkah:

ISO 9001: 2015 didaptarkeun

5. Fitur canggih 683823 | 2023.05.23
1. Klik menu Assignments software Intel Quartus Prime tur pilih tab Konfigurasi Alat Alat jeung Pin Pilihan.
2. Dina tab Konfigurasi, aktipkeun port aksés debug HPS (DAP) ku milih Pin HPS atanapi Pin SDM tina menu dropdown, sareng pastikeun kotak centang Ngidinan debug HPS tanpa sertipikat teu dipilih.
Gambar 14. Sebutkeun Pin HPS atanapi SDM kanggo HPS DAP

Port aksés debug HPS (DAP)
Alternatipna, Anjeun bisa nyetel tugas handap dina Quartus Prime Setélan .qsf file:
set_global_assignment -ngaran HPS_DAP_SPLIT_MODE "SDM PIN"
3. Compile sarta beban rarancang jeung setelan ieu. 4. Jieun ranté signature kalawan idin luyu pikeun asup hiji debug HPS
sertipikat:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_chain.
5. Ménta sertipikat debug HPS anu teu ditandatanganan ti alat tempat desain debug dimuat:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. Asupkeun sertipikat debug HPS anu teu ditandatanganan nganggo alat quartus_sign atanapi palaksanaan rujukan sareng ranté tanda tangan debug HPS:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 48

Kirim Eupan Balik

5. Fitur canggih 683823 | 2023.05.23
7. Kirim sertipikat debug HPS anu ditandatanganan deui ka alat pikeun ngaktipkeun aksés ka port akses debug HPS (DAP):
quartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
Sertipikat debug HPS ngan valid ti mimiti dihasilkeun nepi ka siklus kakuatan saterusna alat atawa nepi ka tipe atawa versi béda tina firmware SDM dimuat. Anjeun kedah ngahasilkeun, nandatanganan, sareng program sertipikat debug HPS anu ditandatanganan, sareng ngalaksanakeun sadaya operasi debug, sateuacan ngintunkeun alat. Anjeun tiasa ngabatalkeun sertipikat debug HPS anu ditandatanganan ku cara ngurilingan alat.
5.3. Platform Attestation
Anjeun tiasa ngahasilkeun manifest integritas rujukan (.rim) file ngagunakeun programming nu file alat generator:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Turutan léngkah-léngkah ieu pikeun mastikeun pangakuan platform dina desain anjeun: 1. Anggo Intel Quartus Prime Pro Programmer pikeun ngonpigurasikeun alat anjeun sareng
Desain anjeun nyiptakeun integritas rujukan pikeun. 2. Paké platform attestation verifier pikeun enroll alat ku paréntah ngaluarkeun ka
SDM via kotak surat SDM pikeun nyieun sertipikat ID alat jeung sertipikat firmware on ulang. 3. Paké Intel Quartus Perdana Pro Programmer pikeun reconfigure alat Anjeun sareng desain. 4. Anggo verifier attestation platform pikeun ngaluarkeun paréntah ka SDM pikeun meunangkeun ID alat attestation, firmware, sareng sertipikat alias. 5. Paké verifier attestation ngaluarkeun paréntah kotak surat SDM pikeun meunangkeun bukti attestation jeung verifier mariksa bukti balik.
Anjeun tiasa nerapkeun jasa verifier sorangan nganggo paréntah kotak surat SDM, atanapi nganggo jasa verifier attestation platform Intel. Kanggo inpo nu langkung lengkep ihwal software jasa verifikasi platform Intel, kasadiaan, sareng dokuméntasi, hubungi Intel Support.
Émbaran patali Intel Agilex 7 Alat kulawarga Pin Pituduh Connection
5.4. Anti-T fisikamper
Anjeun ngaktifkeun anti-t fisikampfitur er ngagunakeun léngkah di handap ieu: 1. Milih respon nu dipikahoyong ka t nu dideteksiampacara er 2. Konfigurasi t dipikahoyongampmétode deteksi er jeung parameter 3. Kaasup anti-tamper IP dina logika desain anjeun pikeun mantuan ngatur anti-tamper
kajadian

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 49

5. Fitur canggih 683823 | 2023.05.23
5.4.1. Anti-Tamper Tanggapan
Anjeun ngaktifkeun anti-t fisikamper ku milih respon ti Anti-tampréspon er: daptar dropdown dina Assignments Alat Alat jeung Pin Pilihan Kaamanan Anti-Tamper tab. Sacara standar, anti-tamper respon ditumpurkeun. Lima kategori anti-tamper respon sadia. Lamun anjeun milih respon nu dipikahoyong, pilihan pikeun ngaktipkeun hiji atawa leuwih métode deteksi diaktipkeun.
angka 15. Sadia Anti-Tamper Pilihan Tanggapan

Tugas pakait dina setélan Quartus Prime .gsf file nyaéta kieu:
set_global_assignment -ngaran ANTI_TAMPER_RESPONSE "Alat béwara ngusap konci alat sareng ZEROIZATION"
Nalika anjeun ngaktipkeun anti-tamper respon, Anjeun bisa milih dua sadia SDM dedicated I / O pin pikeun kaluaran tamper deteksi acara jeung status respon maké Alat Alat Assignments na Pin Pilihan Konfigurasi Konfigurasi Jandela Pin Options.

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 50

Kirim Eupan Balik

5. Fitur canggih 683823 | 2023.05.23
Gambar 16. Sadia SDM dedicated I/O Pin pikeun Tamper Deteksi Kajadian

Anjeun oge bisa nyieun assignments pin handap dina setélan file: set_global_assignment -ngaran USE_TAMPER_DETECT SDM_IO15 set_global_assignment -ngaran ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Deteksi

Anjeun tiasa masing-masing ngaktipkeun frékuénsi, suhu, sareng voltage fitur deteksi SDM. Deteksi FPGA gumantung kana kalebet Anti-Tamper Lite Intel FPGA IP dina desain Anjeun.

Catetan:

SDM frékuénsi sarta voltagetampMétode deteksi gumantung kana rujukan internal sareng hardware pangukuran anu tiasa rupa-rupa dina alat. Intel ngajak nu characterize kabiasaan tampsetélan deteksi er.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 51

5. Fitur canggih 683823 | 2023.05.23
Frékuénsi tamper deteksi beroperasi dina sumber jam konfigurasi. Pikeun ngaktipkeun frékuénsi tamper deteksi, anjeun kudu nangtukeun hiji pilihan lian ti osilator internal dina sumber jam Konfigurasi dropdown dina Alat Alat Assignments na Pin Pilihan tab Umum. Anjeun kudu mastikeun yén Run konfigurasi CPU ti osilator internal kotak centang diaktipkeun saméméh ngaktipkeun frékuénsi tamper deteksi. angka 17. Nyetel SDM ka osilator internal
Pikeun ngaktipkeun frékuénsi tamper deteksi, pilih frékuénsi Aktipkeun tampkotak centang deteksi er tur pilih Frékuénsi t nu dipikahoyongamprentang deteksi er ti menu dropdown. Gambar 18. Ngaktipkeun Frékuénsi Tamper Deteksi

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 52

Kirim Eupan Balik

5. Fitur canggih 683823 | 2023.05.23
Alternatipna, anjeun tiasa ngaktipkeun Frékuénsi Tamper Deteksi ku nyieun parobahan handap pikeun Quartus Perdana Setélan .qsf file:
set_global_assignment -ngaran AUTO_RESTART_CONFIGURATION OFF set_global_assignment -ngaran DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -ngaran RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -ngaran_global_ENABLEAMPER_DETECTION ON set_global_assignment -ngaran FREQUENCY_TAMPER_DETECTION_RANGE 35
Pikeun ngaktipkeun suhu tamper deteksi, pilih Aktipkeun suhu tampkotak centang deteksi er tur pilih wates luhur jeung handap suhu nu dipikahoyong dina widang pakait. Wates luhur sareng handap dieusi sacara standar sareng kisaran suhu anu aya hubunganana pikeun alat anu dipilih dina desain.
Pikeun ngaktipkeun voltagetamper deteksi, Anjeun milih salah sahiji atawa duanana tina Aktipkeun VCCL voltagetamper deteksi atawa Aktipkeun VCCL_SDM voltagetamper deteksi kotak centang tur pilih Vol nu dipikahoyongtagetamper deteksi pemicu persentage dina widang pakait.
Gambar 19. Aktipkeun Voltagjeung Tamper Deteksi

Alternatipna, anjeun tiasa ngaktipkeun Voltagjeung Tamper Deteksi ku nangtukeun assignments handap dina .qsf file:
set_global_assignment -ngaran ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -ngaran TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -ngaran ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -ngaran ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ON
5.4.3. Anti-Tamper Lite Intel FPGA IP
Anti Tamper Lite Intel FPGA IP, sadia dina katalog IP dina software Intel Quartus Prime Pro Edition, mempermudah komunikasi dua arah antara desain anjeun sarta SDM pikeun tampacara er.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 53

Gambar 20. Anti-Tamper Lite Intel FPGA IP

5. Fitur canggih 683823 | 2023.05.23

IP nyayogikeun sinyal-sinyal ieu anu anjeun sambungkeun kana desain anjeun upami diperyogikeun:

Tabél 5.

Anti-Tamper Lite Intel FPGA IP I / sinyal O

Ngaran Sinyal

Arah

Katerangan

gpo_sdm_at_event gpi_fpga_at_event

Input Kaluaran

Sinyal SDM kana logika lawon FPGA anu SDM parantos dideteksiampacara er. Logika FPGA gaduh kirang langkung 5ms pikeun ngalaksanakeun beberesih anu dipikahoyong sareng ngabales SDM via gpi_fpga_at_response_done sareng gpi_fpga_at_zeroization_done. The SDM proceeds kalawan tamper lampah respon nalika gpi_fpga_at_response_done ditegeskeun atawa sanggeus euweuh respon narima dina waktu allotted.
FPGA ngaganggu ka SDM yén anjeun dirancang anti-tampcircuitry deteksi er geus kauninga diampacara er jeung SDM tamper respon kudu dipicu.

gpi_fpga_at_response_done

Input

FPGA ngaganggu ka SDM yén logika FPGA parantos ngalaksanakeun beberesih anu dipikahoyong.

gpi_fpga_at_zeroization_d hiji

Input

Sinyal FPGA ka SDM yén logika FPGA geus réngsé sagala zeroization dipikahoyong data desain. Sinyal ieu sampdipingpin nalika gpi_fpga_at_response_done ditegeskeun.

5.4.3.1. Émbaran release

Skéma IP versioning (XYZ) angka robah tina hiji versi software ka nu sejen. Parobahan dina:
· X nunjukkeun révisi utama IP. Upami anjeun ngamutahirkeun parangkat lunak Intel Quartus Prime anjeun, anjeun kedah nga-regenerasi IP.
· Y nunjukkeun IP ngawengku fitur anyar. Regenerate IP anjeun pikeun ngalebetkeun fitur-fitur anyar ieu.
· Z nunjukkeun IP ngawengku parobahan minor. Regenerate IP anjeun pikeun ngawengku parobahan ieu.

Tabél 6.

Anti-Tamper Lite Intel FPGA Émbaran Release IP

Vérsi IP

Barang

Katerangan 20.1.0

Intel Quartus Prime Vérsi

21.2

Tanggal paleupasan

2021.06.21

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 54

Kirim Eupan Balik

5. Fitur canggih 683823 | 2023.05.23
5.5. Ngagunakeun Fitur Desain Kaamanan jeung Jauh System Update
Pembaruan Sistem Jauh (RSU) mangrupikeun fitur Intel Agilex 7 FPGA anu ngabantosan ngamutahirkeun konfigurasi. files dina cara mantap. RSU cocog sareng fitur kaamanan desain sapertos auténtikasi, co-signing firmware, sareng enkripsi bitstream sabab RSU henteu gumantung kana eusi desain bitstream konfigurasi.
Ngawangun RSU Gambar kalawan .sof Files
Upami anjeun nyimpen konci pribadi dina lokal anjeun filesistem, Anjeun bisa ngahasilkeun gambar RSU kalawan fitur kaamanan desain ngagunakeun aliran disederhanakeun jeung .sof files salaku inputs. Pikeun ngahasilkeun gambar RSU kalawan .sof file, anjeun tiasa turutan pitunjuk dina Bagéan Ngahasilkeun Gambar Pembaruan Sistem Jauh Files Ngagunakeun Programming nu File Generator Intel Agilex 7 Pituduh Pamaké Konfigurasi. Pikeun unggal .sof file dieusian dina Input Files tab, klik tombol Properties… sareng setel setelan sareng konci anu cocog pikeun alat tandatangan sareng enkripsi. programming nu file alat generator otomatis tanda na encrypts pabrik jeung aplikasi gambar bari nyieun programming RSU files.
Alternatipna, upami anjeun nyimpen konci pribadi dina HSM, anjeun kedah nganggo alat quartus_sign sahingga nganggo .rbf files. Sesa bagian ieu detil parobahan aliran pikeun ngahasilkeun gambar RSU kalawan .rbf files salaku inputs. Anjeun kudu encrypt jeung asup format .rbf files saméméh milih aranjeunna salaku input files pikeun gambar RSU; kumaha oge, Inpo boot RSU file teu kedah énkripsi sareng ngan ukur ditandatanganan. The Programming File Generator teu ngarojong sipat ngaropéa tina format .rbf files.
Ex di handapamples demonstrate modifikasi diperlukeun pikeun paréntah di Bagéan generating System Jauh Update Gambar Files Ngagunakeun Programming nu File Generator Intel Agilex 7 Pituduh Pamaké Konfigurasi.
Ngahasilkeun Gambar RSU Awal Ngagunakeun .rbf Files: Komando Modifikasi
Ti ngahasilkeun Gambar RSU Awal Ngagunakeun .rbf Files bagian, ngaropéa paréntah di Lengkah 1. pikeun ngaktipkeun fitur kaamanan desain sakumaha dipikahoyongna ngagunakeun parentah ti bagian saméméhna tina dokumen ieu.
Pikeun example, Anjeun bakal nangtukeun hiji firmware ditandatanganan file upami anjeun nganggo firmware cosigning, teras nganggo alat énkripsi Quartus pikeun énkripsi unggal .rbf file, sarta tungtungna make alat quartus_sign mun asup unggal file.
Dina lengkah 2, lamun geus ngaktipkeun firmware ko-signing, anjeun kudu make pilihan tambahan dina kreasi boot .rbf ti gambar pabrik. file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Saatos Anjeun nyieun info boot .rbf file, make alat quartus_sign ka asup .rbf file. Anjeun teu kedah encrypt info boot .rbf file.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 55

5. Fitur canggih 683823 | 2023.05.23
Ngahasilkeun Gambar Aplikasi: Modifikasi Komando
Pikeun ngahasilkeun hiji gambar aplikasi kalawan fitur kaamanan desain, Anjeun ngaropea paréntah dina ngahasilkeun hiji Gambar Aplikasi pikeun make a .rbf kalawan fitur kaamanan desain diaktipkeun, kaasup firmware co-ditandatanganan lamun diperlukeun, tinimbang aplikasi aslina .sof. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Ngahasilkeun Gambar Update Pabrik: Modifikasi Komando
Saatos Anjeun nyieun info boot .rbf file, Anjeun nganggo alat quartus_sign ka asup .rbf file. Anjeun teu kedah encrypt info boot .rbf file.
Pikeun ngahasilkeun gambar apdet pabrik RSU, anjeun ngarobih paréntah tina Ngahasilkeun Gambar Update Pabrik pikeun nganggo .rbf. file kalayan fitur kaamanan desain diaktipkeun sareng tambahkeun pilihan pikeun nunjukkeun pamakean firmware anu ditandatanganan babarengan:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Émbaran patali Intel Agilex 7 Konfigurasi Guide pamaké
5.6. Layanan Kriptografi SDM
SDM dina alat Intel Agilex 7 nyayogikeun jasa kriptografi anu tiasa dipénta ku logika lawon FPGA atanapi HPS ngalangkungan antarmuka kotak surat SDM masing-masing. Kanggo inpo nu langkung lengkep ihwal paréntah kotak surat sareng format data pikeun sadaya ladenan kriptografi SDM, tingal Appendix B dina Métodologi Kaamanan pikeun Intel FPGAs sareng Pituduh Pamaké ASICs Terstruktur.
Pikeun ngakses antarmuka kotak surat SDM kana logika lawon FPGA pikeun layanan cryptographic SDM, anjeun kudu instantiate Kotak Surat klien Intel FPGA IP dina desain Anjeun.
Kode rujukan pikeun aksés ka panganteur kotak surat SDM ti HPS kaasup dina kode ATF jeung Linux Ubuntu disadiakeun ku Intel.
Patali Émbaran kotak surat klien Intel FPGA IP Guide pamaké
5.6.1. Ngajual Otorisasi Boot
Intel nyayogikeun palaksanaan rujukan pikeun parangkat lunak HPS anu ngagunakeun fitur boot otorisasi vendor pikeun ngaoténtikasi parangkat lunak boot HPS ti mimiti.tage boot loader ngaliwatan kernel Linux Ubuntu.
Émbaran patali Intel Agilex 7 SoC Aman Boot Demo Desain

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 56

Kirim Eupan Balik

5. Fitur canggih 683823 | 2023.05.23
5.6.2. Service Obyék Data Aman
Anjeun ngirim paréntah ngaliwatan kotak surat SDM pikeun ngalakukeun enkripsi obyék SDOS jeung dekripsi. Anjeun tiasa nganggo fitur SDOS saatos nyayogikeun konci akar SDOS.
Inpormasi Patali Secure Data Objék Service Root Key Provisioning dina kaca 30
5.6.3. Layanan primitif SDM Cryptographic
Anjeun ngirim paréntah ngaliwatan kotak surat SDM pikeun ngamimitian operasi jasa primitif kriptografi SDM. Sababaraha ladenan primitif kriptografis meryogikeun langkung seueur data anu ditransferkeun ka sareng ti SDM tibatan antarmuka kotak surat anu tiasa nampi. Dina kasus ieu, paréntah format robah nyadiakeun pointers kana data dina mémori. Salaku tambahan, anjeun kedah ngarobih instanasi Kotak Surat Klién Intel FPGA IP pikeun ngagunakeun jasa primitif kriptografi SDM tina logika lawon FPGA. Anjeun ogé kedah nyetél parameter Aktipkeun Layanan Crypto ka 1 sareng sambungkeun antarmuka inisiator AXI anu nembe kakeunaan kana mémori dina desain anjeun.
angka 21. Aktipkeun Layanan Kriptografi SDM dina kotak surat klien Intel FPGA IP

5.7. Setélan Kaamanan Bitstream (FM/S10)
Pilihan Kaamanan Bitstream FPGA mangrupikeun kumpulan kawijakan anu ngabatesan fitur atanapi mode operasi anu ditangtukeun dina waktos anu ditangtukeun.
Pilihan Bitstream Security diwangun ku bandéra anu anjeun setel dina parangkat lunak Intel Quartus Prime Pro Edition. Bandéra ieu otomatis disalin kana bitstreams konfigurasi.
Anjeun tiasa sacara permanen ngalaksanakeun pilihan kaamanan dina alat ku cara nganggo setelan kaamanan eFuse.
Pikeun nganggo setélan kaamanan dina bitstream konfigurasi atanapi eFuses alat, anjeun kedah ngaktipkeun fitur auténtikasi.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 57

5. Fitur canggih 683823 | 2023.05.23
5.7.1. Milih sareng Aktipkeun Pilihan Kaamanan
Pikeun milih sareng ngaktipkeun pilihan kaamanan, laksanakeun kieu: Tina menu Tugas, pilih Alat Alat sareng Pilihan Pin Kaamanan Pilihan Lain… Gambar 22. Milih sareng Aktipkeun Pilihan Kaamanan

Teras pilih nilai tina daptar turun-handap pikeun pilihan kaamanan anu anjeun hoyong aktipkeun sapertos anu dipidangkeun dina conto ieu.ample:
angka 23. Milih nilai pikeun Pilihan Kaamanan

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 58

Kirim Eupan Balik

5. Fitur canggih 683823 | 2023.05.23
Di handap ieu mangrupakeun parobahan pakait dina Quartus Perdana Setélan .qsf file:
set_global_assignment -ngaran SECU_OPTION_DISABLE_JTAG "Dina pariksa" Set_global_Lassignment -name Secu_option_forction_ky_updripsi_update "dina Sticky_Lock_flock_flock_lobal_lobal_lob Kaamanan_efuss dina set_global_lassignment -name secu_optivati_dis_hpeng Isyary_encycy_ky_Ine_efusing dina set_global_lassignments SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -ngaran SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -ngaran SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 59

683823 | 2023.05.23 Kirim Eupan Balik

Pamérésan masalah

Bab ieu ngajelaskeun kasalahan umum sareng pesen peringatan anu anjeun tiasa mendakan nalika nyobian nganggo fitur kaamanan alat sareng ukuran pikeun ngabéréskeunana.
6.1. Ngagunakeun Komando Quartus dina Kasalahan Lingkungan Windows
Kasalahan quartus_pgm: paréntah teu kapendak Pedaran Kasalahan ieu dipintonkeun nalika nyobian nganggo paréntah Quartus dina Shell NIOS II dina lingkungan Windows nganggo WSL. Resolusi Paréntah ieu jalan di lingkungan Linux; Pikeun Windows host, paké paréntah di handap ieu: quartus_pgm.exe -h Nya kitu, larapkeun sintaksis anu sami kana paréntah Quartus Prime anu sanés sapertos quartus_pfg, quartus_sign, quartus_encrypt diantara paréntah anu sanés.

ISO 9001: 2015 didaptarkeun

6. ngungkulan 683823 | 2023.05.23

6.2. Ngahasilkeun Peringatan Key Pribadi

Awas:

Sandi anu ditangtukeun dianggap teu aman. Intel nyarankeun yén sahenteuna 13 karakter sandi dianggo. Anjeun disarankeun pikeun ngarobah sandi ku ngagunakeun OpenSSL executable.

openssl ec -in -kaluar -aé256

Katerangan
Peringatan ieu aya hubunganana sareng kakuatan sandi sareng tampilan nalika nyobian ngahasilkeun konci pribadi ku cara ngaluarkeun paréntah di handap ieu:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Resolusi Pake openssl executable pikeun nangtukeun kecap akses anu leuwih panjang sahingga leuwih kuat.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 61

6. ngungkulan 683823 | 2023.05.23
6.3. Nambahkeun konci Signing kana Kasalahan Project Quartus
Kasalahan…File ngandung inpormasi konci akar…
Katerangan
Saatos nambahkeun konci Signing .qky file mun proyék Quartus, anjeun kudu ngumpul deui .sof file. Lamun anjeun tambahkeun ieu regenerated .sof file ka alat nu dipilih ku ngagunakeun Quartus Programmer, pesen kasalahan handap nunjukkeun yén file ngandung inpormasi konci akar:
Gagal nambahanfile-path-name> ka Programmer. The file ngandung émbaran konci root (.qky). Nanging, Programmer henteu ngadukung fitur tandatangan bitstream. Anjeun tiasa nganggo Programming File Generator pikeun ngarobah éta file ka Binér Atah ditandatanganan file (.rbf) pikeun konfigurasi.
Resolusi
Paké Quartus Programming file generator pikeun ngarobah éta file kana binér Raw ditandatanganan File .rbf pikeun konfigurasi.
Inpormasi Patali Konfigurasi Signing Bitstream Nganggo Komando quartus_sign dina kaca 13

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 62

Kirim Eupan Balik

6. ngungkulan 683823 | 2023.05.23
6.4. Ngahasilkeun Quartus Prime Programming File éta Gagal
Kasalahan
Kasalahan (20353): X tina konci publik ti QKY teu cocog jeung konci swasta ti PEM file.
Kasalahan (20352): Gagal asup bitstream ngaliwatan skrip python agilex_sign.py.
Kasalahan: Quartus Prime Programming File Generator henteu hasil.
Katerangan Upami anjeun nyobian ngadaptarkeun bitstream konfigurasi nganggo konci pribadi anu salah .pem file atawa .pem file nu teu cocog .qky ditambahkeun kana proyék nu, kasalahan umum di luhur nembongkeun. Resolusi Pastikeun yén anjeun ngagunakeun konci swasta bener .pem pikeun asup bitstream nu.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 63

6. ngungkulan 683823 | 2023.05.23
6.5. Kasalahan Argumen Kanyahoan
Kasalahan
Kasalahan (23028): Argumen anu teu dipikanyaho "ûc". Tingali -help pikeun alesan hukum.
Kasalahan (213008): Programming pilihan string "ûp" haram. Tingali ka -help pikeun format pilihan program hukum.
Katerangan Upami anjeun nyalin sareng nempelkeun pilihan garis paréntah tina .pdf file dina Windows NIOS II Shell, Anjeun bisa sapatemon kasalahan argumen kanyahoan sakumaha ditémbongkeun di luhur. Resolusi Dina kasus sapertos kitu, anjeun tiasa sacara manual ngalebetkeun paréntah tinimbang nempelkeun tina clipboard.

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 64

Kirim Eupan Balik

6. ngungkulan 683823 | 2023.05.23
6.6. Pilihan Énkripsi Bitstream Kasalahan Dinonaktipkeun
Kasalahan
Teu bisa finalize enkripsi pikeun file desain .sof sabab ieu disusun kalawan pilihan enkripsi bitstream ditumpurkeun.
Katerangan Lamun anjeun nyoba encrypt bitstream via GUI atawa paréntah-garis sanggeus anjeun geus disusun proyék kalawan pilihan enkripsi bitstream ditumpurkeun, Quartus nampik paréntah sakumaha ditémbongkeun di luhur.
Resolusi Pastikeun yén anjeun compile proyék kalawan pilihan enkripsi bitstream diaktipkeun boh via GUI atawa paréntah-garis. Pikeun ngaktipkeun pilihan ieu dina GUI, anjeun kudu pariksa kotak centang pikeun pilihan ieu.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 65

6. ngungkulan 683823 | 2023.05.23
6.7. Nangtukeun Path Bener ka Key
Kasalahan
Kasalahan (19516): Dideteksi Programming File Kasalahan setélan generator: Teu tiasa mendakan 'key_file'. Pastikeun yén file lokasina di lokasi ekspektasi atawa update setting.sec
Kasalahan (19516): Dideteksi Programming File Kasalahan setélan generator: Teu tiasa mendakan 'key_file'. Pastikeun yén file lokasina di lokasi ekspektasi atawa update setelan.
Katerangan
Upami Anjeun keur make kenop nu disimpen dina file Sistim, anjeun kudu mastikeun yén maranéhna nangtukeun jalur bener pikeun konci dipaké pikeun enkripsi bitstream jeung Signing. Lamun Programming File Generator teu tiasa ngadeteksi jalur anu leres, pesen kasalahan di luhur ditampilkeun.
Resolusi
Tingal kana Setélan Quartus Prime .qsf file pikeun milarian jalur anu leres pikeun konci. Pastikeun Anjeun nganggo jalur relatif tinimbang jalur mutlak.

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 66

Kirim Eupan Balik

6. ngungkulan 683823 | 2023.05.23
6.8. Ngagunakeun Kaluaran Teu Dirojong File Tipe
Kasalahan
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Kasalahan (19511): Kaluaran teu dirojong file tipe (ebf). Anggo pilihan "-l" atanapi "–list" pikeun tampilan anu didukung file ngetik inpormasi.
Katerangan Nalika nganggo Pemrograman Quartus File Generator pikeun ngahasilkeun bitstream konfigurasi énkripsi sareng ditandatanganan, anjeun tiasa ningali kasalahan di luhur upami kaluaran anu henteu didukung file jenis dieusian. Resolusi Paké -l atawa -list pilihan pikeun nempo daptar dirojong file jenis.

Kirim Eupan Balik

Pituduh Pamaké Kaamanan Alat Intel Agilex® 7 67

683823 | 2023.05.23 Kirim Eupan Balik
7. Intel Agilex 7 Arsip Panungtun Pamaké Kaamanan Alat
Pikeun vérsi pangénggalna sareng sateuacana tina pituduh pangguna ieu, tingal Pituduh Pamaké Kaamanan Alat Intel Agilex 7. Upami IP atanapi vérsi parangkat lunak teu didaptarkeun, pituduh pangguna pikeun IP atanapi vérsi parangkat lunak saacanna lumaku.

ISO 9001: 2015 didaptarkeun

683823 | 2023.05.23 Kirim Eupan Balik

8. Sajarah révisi pikeun Intel Agilex 7 Guide pamaké Kaamanan Alat

Vérsi Dokumén 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumén / Sumberdaya

Intel Agilex 7 Kaamanan Alat [pdf] Manual pamaké
Agilex 7 Kaamanan Alat, Agilex 7, Kaamanan Alat, Kaamanan

Rujukan

Manual pamaké

Intel Agilex 7 Kaamanan Alat

Émbaran produk

Parentah Pamakéan Produk

Patarosan anu sering ditaroskeun

Kaamanan Alat Leuwihview

Auténtikasi sareng Otorisasi

Énkripsi Bitstream AES

Provisioning Alat

Fitur canggih

Pamérésan masalah

Dokumén / Sumberdaya

Rujukan

Ninggalkeun komentar

Ngabolaykeun reply