Intel Agilex 7 Cihaz Güvenliği Kullanım Kılavuzu

Intel, ürün güvenliğine önem verir ve kullanıcılara sağlanan ürün güvenliği kaynakları hakkında bilgi edinmelerini önerir. Bu kaynaklar Intel ürününün kullanım ömrü boyunca kullanılmalıdır.

2. Planlanan Güvenlik Özellikleri

Intel Quartus Prime Pro Edition yazılımının gelecekteki bir sürümü için aşağıdaki güvenlik özellikleri planlanmıştır:

Kısmi Yeniden Yapılandırma Veri Akışı Güvenlik Doğrulaması: Kısmi Yeniden Yapılandırma (PR) veri akışlarının diğer PR kişisel veri akışlarına erişemeyeceğine veya bunlara müdahale edemeyeceğine dair ek güvence sağlar.

Fiziksel Anti-T için Cihazın Kendini Öldürmesiamper: Bir cihaz silme veya cihaz sıfırlama yanıtı gerçekleştirir ve cihazın yeniden yapılandırılmasını önlemek için eFuses'ı programlar.

3. Mevcut Güvenlik Belgeleri

Aşağıdaki tabloda Intel FPGA ve Yapılandırılmış ASIC cihazlarındaki cihaz güvenliği özelliklerine ilişkin mevcut belgeler listelenmektedir:

Belge Adı	Amaç
Intel FPGA'ler ve Yapılandırılmış ASIC Kullanıcıları için Güvenlik Metodolojisi Rehber	Ayrıntılı açıklamaları sağlayan üst düzey belge Intel Programlanabilir Çözümlerdeki güvenlik özellikleri ve teknolojileri Ürünler. Kullanıcıların gerekli güvenlik özelliklerini seçmelerine yardımcı olur güvenlik hedeflerini karşılarlar.
Intel Stratix 10 Cihaz Güvenliği Kullanıcı Kılavuzu	Intel Stratix 10 cihazlarının kullanıcılarının uygulayacağı talimatlar Güvenlik Metodolojisi kullanılarak tanımlanan güvenlik özellikleri Kullanım Kılavuzu.
Intel Agilex 7 Cihaz Güvenliği Kullanıcı Kılavuzu	Intel Agilex 7 cihazlarının kullanıcılarının uygulayacağı talimatlar Güvenlik Metodolojisi kullanılarak tanımlanan güvenlik özellikleri Kullanım Kılavuzu.
Intel eASIC N5X Cihaz Güvenliği Kullanıcı Kılavuzu	Intel eASIC N5X cihazları kullanıcılarının uygulayacağı talimatlar Güvenlik Metodolojisi kullanılarak tanımlanan güvenlik özellikleri Kullanım Kılavuzu.
Intel Agilex 7 ve Intel eASIC N5X HPS Şifreleme Hizmetleri Kullanıcı Kılavuzu	HPS yazılım mühendisleri için uygulamaya ilişkin bilgiler ve şifreleme hizmetlerine erişmek için HPS yazılım kitaplıklarının kullanımı SDM tarafından sağlanmaktadır.
AN-968 Siyah Anahtar Hazırlama Hizmeti Hızlı Başlangıç Kılavuzu	Siyah Anahtar Hazırlamayı ayarlamak için gereken adımların tamamı hizmet.

Sıkça Sorulan Sorular

S: Güvenlik Metodolojisi Kullanıcı Kılavuzu'nun amacı nedir?

C: Güvenlik Metodolojisi Kullanıcı Kılavuzu, Intel Programlanabilir Çözümler Ürünleri'ndeki güvenlik özellikleri ve teknolojilerine ilişkin ayrıntılı açıklamalar sağlar. Kullanıcıların güvenlik hedeflerine ulaşmak için gerekli güvenlik özelliklerini seçmelerine yardımcı olur.

S: Intel Agilex 7 Cihaz Güvenliği Kullanıcı Kılavuzunu nerede bulabilirim?

C: Intel Agilex 7 Cihaz Güvenliği Kullanıcı Kılavuzunu Intel Kaynak ve Tasarım Merkezi'nde bulabilirsiniz webalan.

S: Kara Anahtar Hazırlama hizmeti nedir?

C: Siyah Anahtar Sağlama hizmeti, güvenli işlemler için anahtar sağlamayı ayarlamaya yönelik eksiksiz adımlar sağlayan bir hizmettir.

View Fullscreen

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu
Intel® Quartus® Prime Design Suite için güncellendi: 23.1

Çevrimiçi Sürüm Geri Bildirim Gönder

UG-20335

683823 2023.05.23

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 2

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 3

683823 | 2023.05.23 Geri Bildirim Gönder
1. Intel Agilex® 7

Cihaz Güvenliği Bittiview

Intel®, Intel Agilex® 7 cihazlarını özel, yüksek düzeyde yapılandırılabilir güvenlik donanımı ve ürün yazılımıyla tasarlar.
Bu belge, Intel Agilex 7 cihazlarınızda güvenlik özelliklerini uygulamak için Intel Quartus® Prime Pro Edition yazılımını kullanmanıza yardımcı olacak talimatlar içerir.
Ayrıca Intel FPGA'ler ve Yapılandırılmış ASIC'ler için Güvenlik Metodolojisi Kullanıcı Kılavuzu, Intel Kaynak ve Tasarım Merkezi'nde mevcuttur. Bu belge, güvenlik hedeflerinize ulaşmak için gerekli güvenlik özelliklerini seçmenize yardımcı olmak üzere Intel Programlanabilir Çözümler ürünleri aracılığıyla kullanılabilen güvenlik özellikleri ve teknolojilerinin ayrıntılı açıklamalarını içerir. Intel FPGA'ler ve Yapılandırılmış ASIC'ler Kullanıcı Kılavuzu için Güvenlik Metodolojisi'ne erişmek için 14014613136 referans numarasıyla Intel Destek ile iletişime geçin.
Belge şu şekilde düzenlenmiştir: · Kimlik Doğrulama ve Yetkilendirme: Oluşturma talimatlarını sağlar
Intel Agilex 7 cihazlarında kimlik doğrulama anahtarları ve imza zincirleri, izinleri ve iptalleri uygulama, nesneleri imzalama ve kimlik doğrulama özelliklerini programlama. · AES Bit Akışı Şifrelemesi: Bir AES kök anahtarı oluşturmak, yapılandırma bit akışlarını şifrelemek ve AES kök anahtarını Intel Agilex 7 aygıtlarına sağlamak için talimatlar sağlar. · Cihaz Sağlama: Intel Agilex 7 cihazlarında güvenlik özelliklerini programlamak için Intel Quartus Prime Programcı ve Güvenli Cihaz Yöneticisi (SDM) sağlama donanım yazılımını kullanma talimatlarını sağlar. · Gelişmiş Özellikler: Güvenli hata ayıklama yetkilendirmesi, Sabit İşlemci Sistemi (HPS) hata ayıklaması ve uzaktan sistem güncellemesi dahil olmak üzere gelişmiş güvenlik özelliklerini etkinleştirmek için talimatlar sağlar.
1.1. Ürün Güvenliği Taahhüdü
Intel'in güvenliğe olan uzun süreli bağlılığı hiç bu kadar güçlü olmamıştı. Intel, ürün güvenliği kaynaklarımıza aşina olmanızı ve bunları Intel ürününüzün kullanım ömrü boyunca kullanmayı planlamanızı önemle tavsiye eder.
İlgili Bilgiler · Intel'de Ürün Güvenliği · Intel Ürün Güvenliği Merkezi Önerileri

Intel Kurumu. Tüm hakları Saklıdır. Intel, Intel logosu ve diğer Intel markaları, Intel Corporation'ın veya yan kuruluşlarının ticari markalarıdır. Intel, FPGA ve yarı iletken ürünlerinin Intel'in standart garantisine uygun olarak mevcut teknik özelliklere göre performansını garanti eder, ancak herhangi bir zamanda herhangi bir bildirimde bulunmaksızın herhangi bir ürün ve hizmette değişiklik yapma hakkını saklı tutar. Intel, yazılı olarak açıkça kabul etmedikçe, burada açıklanan herhangi bir bilgi, ürün veya hizmetin uygulanmasından veya kullanılmasından kaynaklanan hiçbir sorumluluk veya yükümlülük kabul etmez. Intel müşterilerinin, yayınlanmış herhangi bir bilgiye güvenmeden ve ürün veya hizmet siparişi vermeden önce cihaz özelliklerinin en son sürümünü edinmeleri önerilir. *Diğer adlar ve markalar başkalarının mülkiyetinde olabilir.

ISO 9001: 2015 Kayıtlı

1. Intel Agilex® 7 Cihaz Güvenliği Bittiview 683823 | 2023.05.23

1.2. Planlanan Güvenlik Özellikleri

Bu bölümde bahsedilen özelliklerin Intel Quartus Prime Pro Edition yazılımının gelecekteki bir sürümü için planlanması planlanmaktadır.

Not:

Bu bölümdeki bilgiler ön bilgi niteliğindedir.

1.2.1. Kısmi Yeniden Yapılandırma Veri Akışı Güvenlik Doğrulaması
Kısmi yeniden yapılandırma (PR) veri akışı güvenlik doğrulaması, PR kişi veri akışlarının diğer PR kişi veri akışlarına erişemeyeceği veya bunlara müdahale edemeyeceği konusunda ek güvence sağlamaya yardımcı olur.

1.2.2. Fiziksel Anti-T için Cihazın Kendini Öldürmesiamper
Cihazın kendi kendini öldürmesi, cihazı silme veya cihazı sıfırlama tepkisi gerçekleştirir ve ayrıca cihazın yeniden yapılandırılmasını önlemek için eFuses'ı programlar.

1.3. Mevcut Güvenlik Belgeleri

Aşağıdaki tabloda Intel FPGA ve Yapılandırılmış ASIC cihazlarındaki cihaz güvenliği özelliklerine ilişkin mevcut belgeler listelenmektedir:

Tablo 1.

Mevcut Cihaz Güvenliği Belgeleri

Belge Adı
Intel FPGA'ler ve Yapılandırılmış ASIC'ler için Güvenlik Metodolojisi Kullanıcı Kılavuzu

Amaç
Intel Programlanabilir Çözümler Ürünleri'ndeki güvenlik özellikleri ve teknolojilerinin ayrıntılı açıklamalarını içeren üst düzey belge. Güvenlik hedeflerinize ulaşmak için gerekli güvenlik özelliklerini seçmenize yardımcı olmayı amaçlamaktadır.

Belge Kimliği 721596

Intel Stratix 10 Cihaz Güvenliği Kullanıcı Kılavuzu
Intel Agilex 7 Cihaz Güvenliği Kullanıcı Kılavuzu

Intel Stratix 10 cihazlarının kullanıcıları için bu kılavuz, Güvenlik Metodolojisi Kullanıcı Kılavuzu kullanılarak belirlenen güvenlik özelliklerini uygulamak için Intel Quartus Prime Pro Edition yazılımını kullanma talimatlarını içerir.
Intel Agilex 7 cihazlarının kullanıcıları için bu kılavuz, Güvenlik Metodolojisi Kullanıcı Kılavuzu kullanılarak belirlenen güvenlik özelliklerini uygulamak için Intel Quartus Prime Pro Edition yazılımını kullanma talimatlarını içerir.

683642 683823

Intel eASIC N5X Cihaz Güvenliği Kullanıcı Kılavuzu

Intel eASIC N5X cihazlarının kullanıcıları için bu kılavuz, Güvenlik Metodolojisi Kullanıcı Kılavuzu kullanılarak belirlenen güvenlik özelliklerini uygulamak için Intel Quartus Prime Pro Edition yazılımını kullanma talimatlarını içerir.

626836

Intel Agilex 7 ve Intel eASIC N5X HPS Şifreleme Hizmetleri Kullanıcı Kılavuzu

Bu kılavuz, HPS yazılım mühendislerine, SDM tarafından sağlanan şifreleme hizmetlerine erişmek için HPS yazılım kitaplıklarının uygulanması ve kullanılmasında yardımcı olacak bilgiler içerir.

713026

AN-968 Siyah Anahtar Hazırlama Hizmeti Hızlı Başlangıç Kılavuzu

Bu kılavuz, Black Key Provisioning hizmetini kurmaya yönelik tüm adımları içerir.

739071

Konum Intel Kaynağı ve
Tasarım Merkezi
Intel.com
Intel.com
Intel Kaynak ve Tasarım Merkezi
Intel Kaynak ve Tasarım Merkezi
Intel Kaynak ve Tasarım Merkezi

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 5

683823 | 2023.05.23 Geri Bildirim Gönder

Kimlik Doğrulama ve Yetkilendirme

Intel Agilex 7 cihazının kimlik doğrulama özelliklerini etkinleştirmek için, bir imza zinciri oluşturmak üzere Intel Quartus Prime Pro Edition yazılımını ve ilgili araçları kullanarak başlarsınız. İmza zinciri bir kök anahtardan, bir veya daha fazla imzalama anahtarından ve geçerli yetkilendirmelerden oluşur. İmza zincirini Intel Quartus Prime Pro Edition projenize ve derlenmiş programlamaya uygularsınız fileS. Kök anahtarınızı Intel Agilex 7 cihazlarına programlamak için Cihaz Sağlama bölümündeki talimatları kullanın.
İlgili Bilgiler
Cihaz Sağlama sayfa 25

2.1. İmza Zinciri Oluşturma
İmza zinciri işlemlerini gerçekleştirmek için quartus_sign aracını veya agilex_sign.py referans uygulamasını kullanabilirsiniz. Bu belge, eskiampquartus_sign kullanan dosyalar.
Referans uygulamasını kullanmak için, Intel Quartus Prime yazılımında bulunan Python yorumlayıcısına yapılan bir çağrıyı değiştirirsiniz ve –family=agilex seçeneğini atlarsınız; diğer tüm seçenekler eşdeğerdir. Eski içinample, bu bölümün ilerleyen kısımlarında bulunan quartus_sign komutu
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky, aşağıdaki gibi referans uygulamaya yönelik eşdeğer çağrıya dönüştürülebilir
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Intel Quartus Prime Pro Edition yazılımı quartus_sign, pgm_py ve agilex_sign.py araçlarını içerir. Araçlara erişim için uygun ortam değişkenlerini otomatik olarak ayarlayan Nios® II komut kabuğu aracını kullanabilirsiniz.

Nios II komut kabuğunu açmak için bu talimatları izleyin. 1. Nios II komut kabuğunu açın.

Seçenek Pencereleri
Linux

Tanım
Başlat menüsünde Programlar Intel FPGA Nios II EDS'nin üzerine gelin ve Nios II'ye tıklayın Komut Kabuğu.
Bir komut kabuğunda değişiklik /nios2eds ve aşağıdaki komutu çalıştırın:
./nios2_command_shell.sh

Eski sevgiliampBu bölümdeki dosyalar imza zincirini ve yapılandırma bit akışını varsayar filegeçerli çalışma dizininde bulunur. Eski sevgiliyi takip etmeyi seçersenizampanahtar nerede fileüzerinde tutulur file sistem, eskilerampanahtarı alalım fileler vardır

ISO 9001: 2015 Kayıtlı

2. Kimlik Doğrulama ve Yetkilendirme 683823 | 2023.05.23
geçerli çalışma dizininde bulunur. Hangi dizinlerin kullanılacağını seçebilirsiniz ve araçlar göreceli olarak destekler. file yollar. Anahtarı saklamayı seçerseniz files üzerinde file sisteminizde, bunlara erişim izinlerini dikkatli bir şekilde yönetmelisiniz. files.
Intel, şifreleme anahtarlarını depolamak ve şifreleme işlemlerini gerçekleştirmek için ticari olarak satılan Donanım Güvenlik Modülünün (HSM) kullanılmasını önerir. Quartus_sign aracı ve referans uygulaması, imza zinciri işlemlerini gerçekleştirirken bir HSM ile etkileşime geçmek için bir Genel Anahtar Şifreleme Standardı #11 (PKCS #11) Uygulama Programlama Arayüzü (API) içerir. agilex_sign.py referans uygulaması, bir arayüz özetinin yanı sıra eski bir arayüz içerir.ampSoftHSM'ye dosya arayüzü.
Bunları kullanabilirsinizampHSM'nize bir arayüz uygulamak için dosya arayüzleri. HSM'nize bir arayüz uygulama ve HSM'nizi çalıştırma hakkında daha fazla bilgi için HSM satıcınızın belgelerine bakın.
SoftHSM, OpenDNSSEC® projesi tarafından kullanıma sunulan, PKCS #11 arayüzüne sahip genel bir şifreleme cihazının yazılım uygulamasıdır. OpenHSM'nin nasıl indirileceği, oluşturulacağı ve kurulacağı ile ilgili talimatlar da dahil olmak üzere daha fazla bilgiyi OpenDNSSEC projesinde bulabilirsiniz. EskiampBu bölümdeki dosyalarda SoftHSM 2.6.1 sürümü kullanılmaktadır. EskiampBu bölümdeki dosyalar ayrıca bir SoftHSM belirteci ile ek PKCS #11 işlemleri gerçekleştirmek için OpenSC'nin pkcs11-tool yardımcı programını kullanır. OpenSC'den pkcs11tool'un nasıl indirileceği, oluşturulacağı ve kurulacağı ile ilgili talimatlar da dahil olmak üzere daha fazla bilgi bulabilirsiniz.
İlgili Bilgiler
· DNSSEC anahtar izleme sürecini otomatikleştirmek için OpenDNSSEC projesi İlke tabanlı bölge imzalayıcı.
· SoftHSM PKCS #11 arayüzü aracılığıyla erişilebilen bir şifreleme deposunun uygulanması hakkında bilgi.
· OpenSC Akıllı kartlarla çalışabilen bir dizi kitaplık ve yardımcı program sağlar.
2.1.1. Yerelde Kimlik Doğrulama Anahtar Çiftleri Oluşturma File Sistem
Yerel ağda kimlik doğrulama anahtar çiftleri oluşturmak için quartus_sign aracını kullanırsınız file make_private_pem ve make_public_pem araç işlemlerini kullanan sistem. Öncelikle make_private_pem işlemiyle özel bir anahtar oluşturursunuz. Kullanılacak eliptik eğriyi ve özel anahtarı siz belirlersiniz fileadı ve isteğe bağlı olarak özel anahtarın bir parola ile korunup korunmayacağı. Intel, tüm özel anahtarlarda güçlü, rastgele bir parola oluşturmak için secp384r1 eğrisinin kullanılmasını ve sektördeki en iyi uygulamaların takip edilmesini önerir. fileS. Intel ayrıca şunların kısıtlanmasını da önerir: file özel anahtar .pem'deki sistem izinleri fileSadece sahibi tarafından okunabilir. Genel anahtarı make_public_pem işlemiyle özel anahtardan türetebilirsiniz. Anahtarı .pem olarak adlandırmak yararlı olacaktır. filetanımlayıcı olarak. Bu belge sözleşmeyi kullanır _ .pem aşağıdaki örnekteamples.
1. Nios II komut kabuğunda özel anahtar oluşturmak için aşağıdaki komutu çalıştırın. Aşağıda gösterilen özel anahtar daha sonraki sürümlerde kök anahtar olarak kullanılır.ampimza zinciri oluşturan dosyalar. Intel Agilex 7 cihazları birden fazla kök anahtarını destekler, böylece

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 7

2. Kimlik Doğrulama ve Yetkilendirme 683823 | 2023.05.23

Gerekli sayıda kök anahtarı oluşturmak için bu adımı tekrarlayın. EskiampBu belgedeki dosyaların tümü ilk kök anahtara atıfta bulunmaktadır; ancak herhangi bir kök anahtarla benzer şekilde imza zincirleri oluşturabilirsiniz.

Seçenek Parolalı

Tanım
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem İstendiğinde parolayı girin.

Parola olmadan

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Önceki adımda oluşturulan özel anahtarı kullanarak ortak anahtar oluşturmak için aşağıdaki komutu çalıştırın. Ortak anahtarın gizliliğini korumanıza gerek yoktur.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. İmza zincirinde tasarım imzalama anahtarı olarak kullanılan bir anahtar çifti oluşturmak için komutları yeniden çalıştırın.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. SoftHSM'de Kimlik Doğrulama Anahtar Çiftleri Oluşturma
SoftHSM eskiampBu bölümdeki dosyalar kendi içinde tutarlıdır. Belirli parametreler SoftHSM kurulumunuza ve SoftHSM içindeki belirtecin başlatılmasına bağlıdır.
Quartus_sign aracı, HSM'nizdeki PKCS #11 API kitaplığına bağlıdır.
Eski sevgiliampBu bölümdeki dosyalar, SoftHSM kitaplığının aşağıdaki konumlardan birine kurulduğunu varsaymaktadır: · Linux'ta /usr/local/lib/softhsm2.so · Windows'un 2 bit sürümünde C:SoftHSM2libsofthsm32.dll · C:SoftHSM2libsofthsm2-x64 Windows'un 64 bit sürümünde .dll.
softhsm2-util aracını kullanarak SoftHSM içinde bir belirteç başlatın:
softhsm2-util –init-token –etiket agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –ücretsiz
Seçenek parametreleri, özellikle jeton etiketi ve jeton pini,ampBu bölüm boyunca kullanılanlar. Intel, belirteçleri ve anahtarları oluşturmak ve yönetmek için HSM satıcınızın talimatlarını izlemenizi önerir.
SoftHSM'deki belirteçle etkileşim kurmak için pkcs11-tool yardımcı programını kullanarak kimlik doğrulama anahtar çiftleri oluşturursunuz. Özel ve genel anahtar .pem'e açıkça atıfta bulunmak yerine files içinde file eski sistemampDosyalarda anahtar çiftine etiketiyle başvurursunuz ve araç uygun anahtarı otomatik olarak seçer.

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 8

Geri bildirim gönder

2. Kimlik Doğrulama ve Yetkilendirme 683823 | 2023.05.23

Daha sonraki sürümlerde kök anahtar olarak kullanılacak bir anahtar çifti oluşturmak için aşağıdaki komutları çalıştırın.ampimza zincirinde tasarım imzalama anahtarı olarak kullanılan bir anahtar çiftinin yanı sıra dosyalar:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mekanizma ECDSA-KEY-PAIR-GEN –anahtar tipi EC :secp384r1 –kullanım işareti –etiket root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mekanizma ECDSA-KEY-PAIR-GEN –anahtar tipi EC :secp384r1 –kullanım-işareti –etiket tasarımı0_işareti –kimlik 1

Not:

Bu adımdaki ID seçeneği her anahtar için benzersiz olmalıdır ancak yalnızca HSM tarafından kullanılır. Bu kimlik seçeneğinin, imza zincirinde atanan anahtar iptal kimliğiyle ilgisi yoktur.

2.1.3. İmza Zinciri Kök Girişini Oluşturma
Kök genel anahtarını yerelde depolanan bir imza zinciri kök girişine dönüştürün file Intel Quartus Prime anahtarı (.qky) biçimindeki sistem filemake_root işlemiyle. Oluşturduğunuz her kök anahtar için bu adımı tekrarlayın.
Kök girişli bir imza zinciri oluşturmak için, kök ortak anahtarını kullanarak aşağıdaki komutu çalıştırın. file sistem:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
Önceki bölümde oluşturulan SoftHSM belirtecinin kök anahtarını kullanarak kök girişi olan bir imza zinciri oluşturmak için aşağıdaki komutu çalıştırın:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so ” root0 root0.qky

2.1.4. İmza Zinciri Ortak Anahtar Girişi Oluşturma
Append_key işlemiyle imza zinciri için yeni bir ortak anahtar girişi oluşturun. Önceki imza zincirini, önceki imza zincirindeki son girişin özel anahtarını, sonraki düzey genel anahtarı, sonraki düzey genel anahtara atadığınız izinleri ve iptal kimliğini ve yeni imza zincirini belirtirsiniz. file.
SoftHSM kütüphanesinin Quartus kurulumunda mevcut olmadığına ve bunun yerine ayrı olarak kurulması gerektiğine dikkat edin. SoftHSM hakkında daha fazla bilgi için yukarıdaki İmza Zinciri Oluşturma Bölümüne bakın.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 9

2. Kimlik Doğrulama ve Yetkilendirme 683823 | 2023.05.23
Tuşları kullanımınıza bağlı olarak file sistemde veya bir HSM'de aşağıdaki örneklerden birini kullanırsınız:ampdesign0_sign ortak anahtarını önceki bölümde oluşturulan kök imza zincirine eklemek için le komutları:
quartus_sign –family=agilex –operation=append_key –precious_pem=root0_private.pem –precious_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –önceki_keyname= root0 –önceki_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Herhangi bir imza zincirindeki kök giriş ile başlık bloğu girişi arasında en fazla üç ortak anahtar girişi için, ekleme_anahtarı işlemini iki defaya kadar tekrarlayabilirsiniz.
Aşağıdaki örnekampdosya, aynı izinlere ve design1_sign_public.pem adında iptal kimliği 1'e atanmış başka bir kimlik doğrulama ortak anahtarı oluşturduğunuzu ve bu anahtarı önceki örnekteki imza zincirine eklediğinizi varsayar.amptarih:
quartus_sign –family=agilex –operation=append_key –precious_pem=design0_sign_private.pem –precious_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –önceki_keyname= design0_sign –precious_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Intel Agilex 7 cihazları, belirli bir cihazın ömrü boyunca periyodik olarak değişebilecek bir anahtarın kullanımını kolaylaştırmak için ek bir anahtar iptal sayacı içerir. –cancel seçeneğinin argümanını pts:pts_value olarak değiştirerek bu anahtar iptal sayacını seçebilirsiniz.
2.2. Yapılandırma Bit Akışını İmzalama
Intel Agilex 7 cihazları, bir anahtarı iptal etmeden bir nesnenin yetkilendirmesini iptal etmenize olanak tanıyan Güvenlik Sürüm Numarası (SVN) sayaçlarını destekler. Bit akışı bölümü, ürün yazılımı .zip gibi herhangi bir nesnenin imzalanması sırasında SVN sayacını ve uygun SVN sayacı değerini atarsınız. fileveya kompakt sertifika. SVN sayacını ve SVN değerini –cancel seçeneğini ve argüman olarak svn_counter:svn_value kullanarak atarsınız. Svn_counter için geçerli değerler svnA, svnB, svnC ve svnD'dir. svn_value, [0,63] aralığında bir tamsayıdır.

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 10

Geri bildirim gönder

2. Kimlik Doğrulama ve Yetkilendirme 683823 | 2023.05.23
2.2.1. Quartus Anahtarı File Atama
Söz konusu tasarım için kimlik doğrulama özelliğini etkinleştirmek amacıyla Intel Quartus Prime yazılım projenizde bir imza zinciri belirtirsiniz. Atamalar menüsünden Cihaz Cihaz ve Pin Seçenekleri Güvenlik Quartus Key'i seçin File, ardından .qky imza zincirine göz atın file Bu tasarıma imza atmak için yarattınız.
Şekil 1. Yapılandırma Bit Akışı Ayarını Etkinleştir

Alternatif olarak aşağıdaki atama bildirimini Intel Quartus Prime Ayarlarınıza ekleyebilirsiniz. file (.qsf):
set_global_atama -name QKY_FILE design0_sign_chain.qky
Bir .sof oluşturmak için file Bu ayarı içeren önceden derlenmiş bir tasarımdan, İşleme menüsünden Montajcıyı Başlat'ı Başlat'ı seçin. Yeni çıktı .sof file sağlanan imza zinciriyle kimlik doğrulamayı etkinleştirme atamalarını içerir.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 11

2. Kimlik Doğrulama ve Yetkilendirme 683823 | 2023.05.23
2.2.2. SDM Aygıt Yazılımının Birlikte İmzalanması
İlgili SDM ürün yazılımı .zip'i çıkarmak, imzalamak ve yüklemek için quartus_sign aracını kullanırsınız file. Birlikte imzalanan ürün yazılımı daha sonra programlamaya dahil edilir file .sof dosyasını dönüştürdüğünüzde jeneratör aracı file bir yapılandırma bit akışına .rbf file. Yeni bir imza zinciri oluşturmak ve SDM ürün yazılımını imzalamak için aşağıdaki komutları kullanırsınız.
1. Yeni bir imzalama anahtarı çifti oluşturun.
A. Yeni bir imzalama anahtar çifti oluşturun. file sistem:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
B. HSM'de yeni bir imzalama anahtarı çifti oluşturun:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mekanizma ECDSA-KEY-PAIR-GEN –anahtar tipi EC :secp384r1 –kullanım işareti –etiket ürün yazılımı1 –kimlik 1
2. Yeni ortak anahtarı içeren yeni bir imza zinciri oluşturun:
quartus_sign –family=agilex –operation=append_key –precious_pem=root0_private.pem –precious_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –önceki_keyname= root0 –önceki_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Ürün yazılımı .zip'i kopyalayın file Intel Quartus Prime Pro Edition yazılım yükleme dizininizden ( /devices/programmer/firmware/ agilex.zip) geçerli çalışma dizinine kopyalayın.
quartus_sign –family=agilex –get_firmware=.
4. Firmware .zip dosyasını imzalayın file. Araç, .zip dosyasını otomatik olarak açar file ve tüm ürün yazılımı .cmf'lerini ayrı ayrı imzalar files, ardından .zip dosyasını yeniden oluşturur file aşağıdaki bölümlerdeki araçlar tarafından kullanılmak üzere:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip Signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 12

Geri bildirim gönder

2. Kimlik Doğrulama ve Yetkilendirme 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip Signed_agilex.zip

2.2.3. Quartus_sign Komutunu Kullanarak Yapılandırma Veri Akışını İmzalama
Quartus_sign komutunu kullanarak bir yapılandırma bit akışını imzalamak için önce .sof dosyasını dönüştürürsünüz. file imzasız ham ikili dosyaya file (.rbf) biçimi. Dönüştürme adımı sırasında fw_source seçeneğini kullanarak isteğe bağlı olarak ortak imzalı ürün yazılımını belirtebilirsiniz.
Aşağıdaki komutu kullanarak imzasız ham bit akışını .rbf formatında oluşturabilirsiniz:
quartus_pfg c o fw_source=signed_agilex.zip -osign_later=ON design.sof unsigned_bitstream.rbf
Anahtarlarınızın konumuna bağlı olarak quartus_sign aracını kullanarak bit akışını imzalamak için aşağıdaki komutlardan birini çalıştırın:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf Signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbfsigned_bitstream.rbf
İmzalı .rbf dosyasını dönüştürebilirsiniz filediğer konfigürasyon bit akışına file biçimleri.
ÖrneğinampJ üzerinden bir bit akışı programlamak için Jam* Standart Test ve Programlama Dili (STAPL) Oynatıcısını kullanıyorsanız, dosyaTAG, bir .rbf dosyasını dönüştürmek için aşağıdaki komutu kullanırsınız file Jam STAPL Oynatıcısının gerektirdiği .jam biçimine:
quartus_pfg -c işaretli_bit akışı.rbf işaretli_bit akışı.jam

2.2.4. Kısmi Yeniden Yapılandırma Çok Yetkili Desteği

Intel Agilex 7 cihazları, cihaz sahibinin statik bit akışını oluşturup imzaladığı ve ayrı bir PR sahibinin PR kişisel veri akışlarını oluşturup imzaladığı kısmi yeniden yapılandırma çoklu yetkili kimlik doğrulamasını destekler. Intel Agilex 7 cihazları, ilk kimlik doğrulama kök anahtarı yuvalarını cihaza veya statik veri akışı sahibine atayarak ve son kimlik doğrulama kök anahtarı yuvasını kısmi yeniden yapılandırma kişi veri akışı sahibine atayarak çoklu yetki desteğini uygular.
Kimlik doğrulama özelliği etkinleştirilirse, iç içe PR kişi görüntüleri de dahil olmak üzere tüm PR kişi görüntülerinin imzalanması gerekir. Halkla İlişkiler kişi görselleri cihaz sahibi veya PR sahibi tarafından imzalanabilir; ancak statik bölge bit akışlarının cihaz sahibi tarafından imzalanması gerekir.

Not:

Çoklu yetki desteği etkinleştirildiğinde Kısmi Yeniden Yapılandırma statik ve kişisel veri akışı şifrelemesinin gelecekteki bir sürümde planlanması planlanmaktadır.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 13

2. Kimlik Doğrulama ve Yetkilendirme 683823 | 2023.05.23

Şekil 2.

Kısmi yeniden yapılandırma çoklu otorite desteğinin uygulanması birkaç adım gerektirir:
1. Cihaz veya statik bit akışı sahibi, SoftHSM'de Kimlik Doğrulama Anahtar Çiftleri Oluşturma sayfa 8 bölümünde açıklandığı gibi bir veya daha fazla kimlik doğrulama kök anahtarı oluşturur; burada –key_type seçeneğinin değer sahibi vardır.
2. Kısmi yeniden yapılandırma bit akışı sahibi, bir kimlik doğrulama kök anahtarı oluşturur ancak –key_type seçenek değerini Secondary_owner olarak değiştirir.
3. Hem statik bit akışı hem de kısmi yeniden yapılandırma tasarımı sahipleri, Atamalar Cihaz Cihaz ve Pin Seçenekleri Güvenlik sekmesinde Çoklu Yetki Desteğini Etkinleştir onay kutusunun etkinleştirildiğinden emin olur.
Intel Quartus Prime Çoklu Yetki Seçeneği Ayarlarını Etkinleştirme

4. Hem statik bit akışı hem de kısmi yeniden yapılandırma tasarım sahipleri, İmza Zinciri Oluşturma sayfa 6 bölümünde açıklandığı gibi ilgili kök anahtarlarına dayalı olarak imza zincirleri oluşturur.
5. Hem statik bit akışı hem de kısmi yeniden yapılandırma tasarımı sahipleri, derlenmiş tasarımlarını .rbf formatına dönüştürür files ve .rbf dosyasını imzalayın files.
6. Cihaz veya statik veri akışı sahibi, bir PR ortak anahtar programı yetkilendirme kompakt sertifikası oluşturur ve imzalar.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH veyaowner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccertsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccertsigned_pr_pubkey_prog.ccert

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 14

Geri bildirim gönder

2. Kimlik Doğrulama ve Yetkilendirme 683823 | 2023.05.23

7. Cihaz veya statik bit akışı sahibi, kimlik doğrulama kök anahtarı karmalarını cihaza sağlar, ardından PR genel anahtar programı yetkilendirme kompakt sertifikasını programlar ve son olarak kısmi yeniden yapılandırma bit akışı sahibi kök anahtarını cihaza sağlar. Cihaz Sağlama bölümü bu sağlama işlemini açıklamaktadır.
8. Intel Agilex 7 cihazı .rbf statik bölgesiyle yapılandırılmıştır file.
9. Intel Agilex 7 cihazı, kişisel tasarım .rbf ile kısmen yeniden yapılandırıldı file.
İlgili Bilgiler
· İmza Zinciri Oluşturma sayfa 6
· SoftHSM'de Kimlik Doğrulama Anahtar Çiftleri Oluşturma sayfa 8
· Cihaz Sağlama sayfa 25

2.2.5. Yapılandırma Bit Akışı İmza Zincirlerini Doğrulama
İmza zincirleri ve imzalı bit akışları oluşturduktan sonra, imzalı bir bit akışının belirli bir kök anahtarla programlanmış bir cihazı doğru şekilde yapılandırdığını doğrulayabilirsiniz. Kök genel anahtarın karmasını bir metne yazdırmak için ilk önce quartus_sign komutunun sigorta_info işlemini kullanırsınız file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Daha sonra, .rbf formatındaki imzalı bir bit akışının her bölümündeki imza zincirini incelemek için quartus_pfg komutunun check_integrity seçeneğini kullanırsınız. check_integrity seçeneği aşağıdaki bilgileri yazdırır:
· Genel veri akışı bütünlüğü kontrolünün durumu
· Bit akışındaki her bölüme eklenen her imza zincirindeki her girişin içeriği .rbf file,
· Her imza zinciri için kök genel anahtarın karma değeri için beklenen sigorta değeri.
Fuse_info çıkışındaki değer, check_integrity çıkışındaki Fuse satırlarıyla eşleşmelidir.
quartus_pfg –check_integritysigned_bitstream.rbf

İşte bir eskiampcheck_integrity komut çıktısının dosyası:

Bilgi: Komut: quartus_pfg –check_integritysigned_bitstream.rbf Bütünlük durumu: Tamam

Bölüm

Tür: CMF

İmza Tanımlayıcısı…

İmza zinciri #0 (girişler: -1, uzaklık: 96)

Giriş #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Anahtar oluştur…

Eğri: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Anahtar oluştur…

Eğri: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 15

2. Kimlik Doğrulama ve Yetkilendirme 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Giriş #1

Anahtar oluştur…

Eğri: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Giriş #2 Anahtarlık izni: SIGN_CODE Anahtarlık şu kimlikle iptal edilebilir: 3 İmza zinciri #1 (girişler: -1, ofset: 648)

Giriş #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Anahtar oluştur…

Eğri: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Anahtar oluştur…

Eğri: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Giriş #1

Anahtar oluştur…

Eğri: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Giriş #2

Anahtar oluştur…

Eğri: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Giriş #3 Anahtarlık izni: SIGN_CODE Anahtarlık şu kimlikle iptal edilebilir: 15 İmza zinciri #2 (girişler: -1, ofset: 0) İmza zinciri #3 (girişler: -1, ofset: 0) İmza zinciri #4 (girişler: -1, ofset: 0) İmza zinciri #5 (girişler: -1, ofset: 0) İmza zinciri #6 (girişler: -1, ofset: 0) İmza zinciri #7 (girişler: -1, ofset: 0)

Bölüm Türü: GÇ İmza Tanımlayıcısı… İmza zinciri #0 (girişler: -1, konum: 96)

Giriş #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Anahtar oluştur…

Eğri: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 16

Geri bildirim gönder

2. Kimlik Doğrulama ve Yetkilendirme 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Anahtar oluştur…

Eğri: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Giriş #1

Anahtar oluştur…

Eğri: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Giriş #2

Anahtar oluştur…

Eğri: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Giriş #3 Anahtarlık izni: SIGN_CORE Anahtarlık şu kimlikle iptal edilebilir: 15 İmza zinciri #1 (girişler: -1, ofset: 0) İmza zinciri #2 (girişler: -1, ofset: 0) İmza zinciri #3 (girişler: -1, ofset: 0) İmza zinciri #4 (girişler: -1, ofset: 0) İmza zinciri #5 (girişler: -1, ofset: 0) İmza zinciri #6 (girişler: -1, ofset: 0) İmza zincir #7 (girişler: -1, ofset: 0)

Bölüm

Tür: HPS

İmza Tanımlayıcısı…

İmza zinciri #0 (girişler: -1, uzaklık: 96)

Giriş #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Anahtar oluştur…

Eğri: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Anahtar oluştur…

Eğri: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Giriş #1

Anahtar oluştur…

Eğri: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Giriş #2

Anahtar oluştur…

Eğri: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 17

2. Kimlik Doğrulama ve Yetkilendirme 683823 | 2023.05.23

Giriş #3 Anahtarlık izni: SIGN_HPS Anahtarlık şu kimlikle iptal edilebilir: 15 İmza zinciri #1 (girişler: -1, ofset: 0) İmza zinciri #2 (girişler: -1, ofset: 0) İmza zinciri #3 (girişler: -1, ofset: 0) İmza zinciri #4 (girişler: -1, ofset: 0) İmza zinciri #5 (girişler: -1, ofset: 0) İmza zinciri #6 (girişler: -1, ofset: 0) İmza zincir #7 (girişler: -1, ofset: 0)

Bölüm Türü: ÇEKİRDEK İmza Tanımlayıcısı… İmza zinciri #0 (girişler: -1, konum: 96)

Giriş #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Anahtar oluştur…

Eğri: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Anahtar oluştur…

Eğri: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Giriş #1

Anahtar oluştur…

Eğri: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Giriş #2

Anahtar oluştur…

Eğri: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 18

Geri bildirim gönder

683823 | 2023.05.23 Geri Bildirim Gönder

AES Veri Akışı Şifrelemesi

Gelişmiş Şifreleme Standardı (AES) bit akışı şifrelemesi, cihaz sahibinin bir yapılandırma bit akışındaki fikri mülkiyetin gizliliğini korumasını sağlayan bir özelliktir.
Anahtarların gizliliğinin korunmasına yardımcı olmak için, yapılandırma bit akışı şifrelemesi bir AES anahtar zinciri kullanır. Bu anahtarlar, ilk ara anahtarın AES kök anahtarıyla şifrelendiği yapılandırma bit akışındaki sahip verilerini şifrelemek için kullanılır.

3.1. AES Kök Anahtarını Oluşturma

Intel Quartus Prime yazılımı şifreleme anahtarı (.qek) formatında bir AES kök anahtarı oluşturmak için quartus_encrypt aracını veya stratix10_encrypt.py referans uygulamasını kullanabilirsiniz. file.

Not:

stratix10_encrypt.py file Intel Stratix® 10 ve Intel Agilex 7 cihazları için kullanılır.

İsteğe bağlı olarak, AES kök anahtarını ve anahtar türetme anahtarını türetmek için kullanılan temel anahtarı, doğrudan AES kök anahtarının değerini, ara anahtarların sayısını ve ara anahtar başına maksimum kullanımı belirtebilirsiniz.

Cihaz ailesini belirtmeniz gerekir; .qek çıktısını alın file konumu ve istendiğinde parolayı girin.
Temel anahtar için rastgele verileri ve ara anahtar sayısı ve maksimum anahtar kullanımına ilişkin varsayılan değerleri kullanarak AES kök anahtarını oluşturmak için aşağıdaki komutu çalıştırın.
Referans uygulamasını kullanmak için, Intel Quartus Prime yazılımında bulunan Python yorumlayıcısına yapılan bir çağrıyı değiştirirsiniz ve –family=agilex seçeneğini atlarsınız; diğer tüm seçenekler eşdeğerdir. Eski içinample, bölümün ilerleyen kısımlarında bulunan quartus_encrypt komutu

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

referans uygulamaya yönelik eşdeğer çağrıya şu şekilde dönüştürülebilir: pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Quartus Şifreleme Ayarları
Bir tasarım için bit akışı şifrelemesini etkinleştirmek amacıyla Atamalar Cihaz Cihaz ve Pin Seçenekleri Güvenlik panelini kullanarak uygun seçenekleri belirtmeniz gerekir. Yapılandırma bit akışı şifrelemesini etkinleştir onay kutusunu ve açılır menüden istediğiniz Şifreleme anahtarı depolama konumunu seçersiniz.

ISO 9001: 2015 Kayıtlı

Şekil 3. Intel Quartus Prime Şifreleme Ayarları

3. AES Veri Akışı Şifrelemesi 683823 | 2023.05.23

Alternatif olarak aşağıdaki atama bildirimini Intel Quartus Prime ayarlarınıza ekleyebilirsiniz. file .qsf:
set_global_questment -name ENCRYPT_PROGRAMMING_BITSTREAM on set_global_questment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Yan kanal saldırı vektörlerine karşı ek azaltımları etkinleştirmek istiyorsanız Şifreleme güncelleme oranı açılır menüsünü ve Karıştırmayı etkinleştir onay kutusunu etkinleştirebilirsiniz.

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 20

Geri bildirim gönder

3. AES Veri Akışı Şifrelemesi 683823 | 2023.05.23

.qsf dosyasındaki ilgili değişiklikler şunlardır:
set_global_questment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING üzerinde set_global_questment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Yapılandırma Bit Akışını Şifreleme
Bit akışını imzalamadan önce bir yapılandırma bit akışını şifrelersiniz. Intel Quartus Prime Programlaması File Jeneratör aracı, grafik kullanıcı arayüzünü veya komut satırını kullanarak bir yapılandırma bit akışını otomatik olarak şifreleyebilir ve imzalayabilir.
Quartus_encrypt ve quartus_sign araçlarıyla veya referans uygulama eşdeğerleriyle kullanmak üzere isteğe bağlı olarak kısmen şifrelenmiş bir bit akışı oluşturabilirsiniz.

3.3.1. Programlamayı Kullanarak Bit Akışı Şifrelemesini Yapılandırma File Jeneratör Grafik Arayüzü
Programlamayı kullanabilirsiniz File Sahibin görüntüsünü şifreleyen ve imzalayan oluşturucu.

Şekil 4.

1. Intel Quartus Prime'da File menü seçimi Programlama File Jeneratör. 2. Çıkışta Files sekmesinde çıktıyı belirtin file yapılandırmanız için yazın
planı.
Çıktı File Şartname

Konfigürasyon şeması Çıkış file sekme
Çıktı file tip

3. Girişte Files sekmesinde Bit Akışı Ekle'ye tıklayın ve .sof dosyanıza göz atın. 4. Şifreleme ve kimlik doğrulama seçeneklerini belirtmek için .sof dosyasını seçin ve öğesine tıklayın.
Özellikler. A. İmzalama aracını etkinleştir seçeneğini açın. B. Özel anahtar için file imzalama anahtarınızı seçin özel .pem file. C. Şifrelemeyi sonlandır seçeneğini açın.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 21

3. AES Veri Akışı Şifrelemesi 683823 | 2023.05.23

Şekil 5.

D. Şifreleme anahtarı için file, AES .qek dosyanızı seçin file. Giriş (.sof) File Kimlik Doğrulama ve Şifreleme Özellikleri

Kimlik doğrulamayı etkinleştir Özel kök .pem belirtin
Şifrelemeyi etkinleştir Şifreleme anahtarını belirtin
5. Girişte imzalı ve şifreli bit akışını oluşturmak için Filesekmesinde Oluştur'a tıklayın. AES anahtarınız .qek için parolanızı girmeniz için parola iletişim kutuları görünür file ve özel anahtar .pem'in imzalanması file. Programlama file oluşturucu şifrelenmiş ve imzalanmış çıktıyı oluşturur_file.rbf.
3.3.2. Programlamayı Kullanarak Bit Akışı Şifrelemesini Yapılandırma File Jeneratör Komut Satırı Arayüzü
Quartus_pfg komut satırı arayüzüyle .rbf formatında şifrelenmiş ve imzalanmış bir yapılandırma bit akışı oluşturun:
quartus_pfg -c crypto_enabled.sof top.rbf -o finalize_encryption=AÇIK -o qek_file=aes_root.qek -o imzalama=AÇIK -o pem_file=design0_sign_private.pem
.rbf formatındaki şifrelenmiş ve imzalanmış bir konfigürasyon bit akışını diğer konfigürasyon bit akışına dönüştürebilirsiniz. file biçimleri.
3.3.3. Komut Satırı Arayüzünü Kullanarak Kısmen Şifrelenmiş Yapılandırma Veri Akışı Oluşturma
Kısmen şifrelenmiş bir programlama oluşturabilirsiniz file Şifrelemeyi sonlandırmak ve görüntüyü daha sonra imzalamak için. Kısmen şifrelenmiş programlamayı oluşturun file thequartus_pfgcommand satırı arayüzü ile .rbf formatında: quartus_pfg -c -o finalize_encryption_later=ON -osign_later=ON top.sof top.rbf

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 22

Geri bildirim gönder

3. AES Veri Akışı Şifrelemesi 683823 | 2023.05.23
Bit akışı şifrelemesini sonlandırmak için quartus_encrypt komut satırı aracını kullanırsınız:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf şifreli_top.rbf
Şifrelenmiş yapılandırma bit akışını imzalamak için quartus_sign komut satırı aracını kullanırsınız:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 şifreli_top.rbf Signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 şifreli_top.rbf Signed_encrypted_top.rbf
3.3.4. Kısmi Yeniden Yapılandırma Veri Akışı Şifrelemesi
Kısmi yeniden yapılandırma kullanan bazı Intel Agilex 7 FPGA tasarımlarında bit akışı şifrelemesini etkinleştirebilirsiniz.
Hiyerarşik Kısmi Yeniden Yapılandırma (HPR) veya Statik Güncelleme Kısmi Yeniden Yapılandırma (SUPR) kullanan kısmi yeniden yapılandırma tasarımları, bit akışı şifrelemesini desteklemez. Tasarımınız birden fazla PR bölgesi içeriyorsa tüm kişileri şifrelemeniz gerekir.
Kısmi yeniden yapılandırma bit akışı şifrelemesini etkinleştirmek için tüm tasarım revizyonlarında aynı prosedürü izleyin. 1. Intel Quartus Prime'da File menüsünde Atamalar Cihaz Cihaz'ı seçin
ve Pin Seçenekleri Güvenliği. 2. İstediğiniz şifreleme anahtarı saklama konumunu seçin.
Şekil 6. Kısmi Yeniden Yapılandırma Veri Akışı Şifreleme Ayarı

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 23

3. AES Veri Akışı Şifrelemesi 683823 | 2023.05.23
Alternatif olarak Quartus Prime ayarlarına aşağıdaki atama bildirimini ekleyebilirsiniz. file .qsf:
set_global_questment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION açık
Temel tasarımınızı ve revizyonlarınızı derledikten sonra yazılım bir.sof dosyası oluşturur.file ve bir veya daha fazla.pmsffileKişileri temsil eden s. 3. Şifreli ve imzalı programlama oluşturun filesof ve.pmsf'den geliyor fileKısmi yeniden yapılandırmanın etkin olmadığı tasarımlara benzer şekildedir. 4. Derlenen Persona.pmsf dosyasını dönüştürün file kısmen şifrelenmiş bir.rbf'ye file:
quartus_pfg -c -o finalize_encryption_later=AÇIK -osign_later=AÇIK şifreleme_enabled_persona1.pmsf Persona1.rbf
5. quartus_encrypt komut satırı aracını kullanarak bit akışı şifrelemesini sonlandırın:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qekpersona1.rbf şifrelenmiş_persona1.rbf
6. quartus_sign komut satırı aracını kullanarak şifrelenmiş yapılandırma bit akışını imzalayın:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem şifreli_persona1.rbf Signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign şifreli_persona1.rbf Signed_encrypted_persona1.rbf

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 24

Geri bildirim gönder

683823 | 2023.05.23 Geri Bildirim Gönder

Cihaz Sağlama

İlk güvenlik özelliği provizyonu yalnızca SDM provizyon ürün yazılımında desteklenir. SDM provizyon ürün yazılımını yüklemek ve provizyon işlemlerini gerçekleştirmek için Intel Quartus Prime Programlayıcıyı kullanın.
Herhangi bir J türünü kullanabilirsinizTAG Quartus Programlayıcıyı ön hazırlık işlemlerini gerçekleştirmek üzere bir Intel Agilex 7 cihazına bağlamak için indirme kablosu.
4.1. SDM Provizyon Firmware'ini Kullanma
Intel Quartus Prime Programlayıcı, başlatma işlemini ve yapılandırma bit akışından başka bir şeyi programlamak için bir komutu seçtiğinizde otomatik olarak fabrika varsayılanı bir yardımcı görüntü oluşturur ve yükler.
Belirtilen programlama komutuna bağlı olarak fabrika varsayılan yardımcı görüntüsü iki türden biridir:
· Provizyon yardımcı görüntüsü—SDM provizyon donanım yazılımını içeren bir bit akışı bölümünden oluşur.
· QSPI yardımcı görüntüsü—biri SDM ana donanım yazılımını ve bir I/O bölümünü içeren iki bit akışı bölümünden oluşur.
Fabrika varsayılanı bir yardımcı görüntü oluşturabilirsiniz file Herhangi bir programlama komutunu gerçekleştirmeden önce cihazınıza yüklemek için. Kimlik doğrulama kök anahtarı karmasını programladıktan sonra, dahil edilen G/Ç bölümü nedeniyle bir QSPI fabrika varsayılan yardımcı görüntüsü oluşturmalı ve imzalamanız gerekir. Ek olarak ortak imzalı ürün yazılımı güvenlik ayarını eFuse programlarsanız, ortak imzalı ürün yazılımı ile provizyon ve QSPI fabrika varsayılan yardımcı görüntülerini oluşturmanız gerekir. Temel hazırlığı yapılmamış bir cihaz, SDM ürün yazılımı üzerinden Intel olmayan imza zincirlerini yok saydığından, hazırlığı yapılmamış bir cihazda ortak imzalı bir fabrika varsayılan yardımcı görüntüsünü kullanabilirsiniz. QSPI fabrika varsayılan yardımcı görüntüsünü oluşturma, imzalama ve kullanma hakkında daha fazla ayrıntı için Sahip Olunan Cihazlarda QSPI Fabrika Varsayılan Yardımcı Görüntüsünü Kullanma sayfa 26 konusuna bakın.
Hazırlama fabrikası varsayılan yardımcı görüntüsü, kimlik doğrulama kök anahtarı karmasının programlanması, güvenlik ayarı sigortaları, PUF kaydı veya siyah anahtar sağlama gibi bir sağlama eylemi gerçekleştirir. Intel Quartus Prime Programlamasını kullanıyorsunuz File Helper_image seçeneğini, helper_device adınızı, provizyon yardımcı görüntüsü alt türünü ve isteğe bağlı olarak ortak imzalı bir ürün yazılımı .zip'i belirterek, hazırlama yardımcı görüntüsünü oluşturmak için Jeneratör komut satırı aracı file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip Signed_provision_helper_image.rbf
Yardımcı görüntüyü Intel Quartus Prime Programlayıcı aracını kullanarak programlayın:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force

ISO 9001: 2015 Kayıtlı

4. Cihaz Sağlama 683823 | 2023.05.23

Not:

Başlatma işlemini aşağıdakiler de dahil olmak üzere komutlardan atlayabilirsiniz:ampBir provizyon yardımcı görüntüsünü programladıktan veya başlatma işlemini içeren bir komutu kullandıktan sonra bu bölümde sağlanan dosyalar.

4.2. Sahip Olunan Cihazlarda QSPI Fabrika Varsayılanı Yardımcı Görüntüsünü Kullanma
Intel Quartus Prime Programlayıcı, QSPI flash programlama için başlatma işlemini seçtiğinizde otomatik olarak bir QSPI fabrika varsayılan yardımcı görüntüsü oluşturur ve yükler file. Bir kimlik doğrulama kök anahtarı karmasını programladıktan sonra, QSPI fabrika varsayılan yardımcı görüntüsünü oluşturmalı ve imzalamalı ve QSPI flaşını programlamadan önce imzalı QSPI fabrika yardımcı görüntüsünü ayrı olarak programlamalısınız. 1. Intel Quartus Prime Programlamasını kullanıyorsunuz File Jeneratör komut satırı aracı
helper_image seçeneğini, helper_device türünüzü, QSPI yardımcı görüntü alt türünü ve isteğe bağlı olarak ortak imzalı bir ürün yazılımı .zip'i belirterek QSPI yardımcı görüntüsünü oluşturun file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. QSPI fabrika varsayılan yardımcı görüntüsünü imzalarsınız:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf Signed_qspi_helper_image.rbf
3. Herhangi bir QSPI flash programlamayı kullanabilirsiniz file biçim. Aşağıdaki eskiamp.jic dosyasına dönüştürülmüş bir yapılandırma bit akışı kullanırlar file Biçim:
quartus_pfg -csigned_bitstream.rbfsigned_flash.jic -o aygıt=MT25QU128 -o flash_loader=AGFB014R24A -o modu=ASX4
4. İmzalı yardımcı görüntüyü Intel Quartus Prime Programcı aracını kullanarak programlarsınız:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –force
5. .jic görüntüsünü Intel Quartus Prime Programlayıcı aracını kullanarak flaşa programlayabilirsiniz:
quartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”

4.3. Kimlik Doğrulama Kök Anahtarı Sağlama
Sahip kök anahtarı karmalarını fiziksel sigortalara programlamak için, önce provizyon bellenimini yüklemeniz, daha sonra sahip kök anahtar karmalarını programlamanız ve ardından hemen açılışta sıfırlama işlemi yapmanız gerekir. Kök anahtarı karmalarının sanal sigortalara programlanması durumunda açılışta sıfırlama gerekli değildir.

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 26

Geri bildirim gönder

4. Cihaz Sağlama 683823 | 2023.05.23
Kimlik doğrulama kök anahtarı karmalarını programlamak için, sağlama ürün yazılımı yardımcı görüntüsünü programlayın ve .qky kök anahtarını programlamak için aşağıdaki komutlardan birini çalıştırın. files.
// Fiziksel (geçici olmayan) için eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –non_volatile_key
// Sanal (geçici) eFuses için quartus_pgm -c 1 -mjtag -o “p;kök0.qky;kök1.qky;kök2.qky”
4.3.1. Kısmi Yeniden Yapılandırma Çok Yetkili Kök Anahtar Programlama
Aygıtı veya statik bölge bit akışı sahibi kök anahtarlarını hazırladıktan sonra, aygıt sağlama yardımcı görüntüsünü yeniden yüklersiniz, imzalı PR ortak anahtar program yetkilendirme kompakt sertifikasını programlarsınız ve ardından PR kişi bit akışı sahibi kök anahtarını sağlarsınız.
// Fiziksel (geçici olmayan) için eFuses quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Sanal (geçici) eFuses için quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Anahtar İptali Kimlik Sigortalarının Programlanması
Intel Quartus Prime Pro Edition yazılımının 21.1 sürümünden başlayarak, Intel ve sahip anahtar iptal kimlik sigortalarının programlanması, imzalı bir kompakt sertifikanın kullanılmasını gerektirir. Anahtar iptal kimliği kompakt sertifikasını FPGA bölüm imzalama izinlerine sahip bir imza zinciriyle imzalayabilirsiniz. Programlamayla kompakt sertifikayı yaratırsınız file jeneratör komut satırı aracı. İmzasız sertifikayı quartus_sign aracını veya referans uygulamasını kullanarak imzalarsınız.
Intel Agilex 7 cihazları, her kök anahtarı için ayrı sahip anahtarı iptal kimlik bankalarını destekler. Sahip anahtarı iptal kimliği kompakt sertifikası bir Intel Agilex 7 FPGA'ya programlandığında, SDM, kompakt sertifikayı hangi kök anahtarın imzaladığını belirler ve o kök anahtarına karşılık gelen anahtar iptal kimliği sigortasını atar.
Aşağıdaki örnekampdosyalar, Intel anahtar kimliği 7 için bir Intel anahtar iptal sertifikası oluşturur. 7'yi, 0-31 arası geçerli Intel anahtar iptal kimliğiyle değiştirebilirsiniz.
İmzasız bir Intel anahtar iptal kimliği kompakt sertifikası oluşturmak için aşağıdaki komutu çalıştırın:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
İmzasız Intel anahtar iptal kimliği kompakt sertifikasını imzalamak için aşağıdaki komutlardan birini çalıştırın:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert Signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 27

4. Cihaz Sağlama 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccertsigned_cancel_intel7.ccert
İmzasız bir sahip anahtarı iptal kimliği kompakt sertifikası oluşturmak için aşağıdaki komutu çalıştırın:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
İmzasız sahip anahtarı iptal kimliği kompakt sertifikasını imzalamak için aşağıdaki komutlardan birini çalıştırın:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert Signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccertsigned_cancel_owner2.ccert
İmzalı bir anahtar iptal kimliği kompakt sertifikası oluşturduktan sonra, J aracılığıyla kompakt sertifikayı cihaza programlamak için Intel Quartus Prime Programlayıcıyı kullanırsınız.TAG.
//Fiziksel (geçici olmayan) için eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
//Sanal (geçici) eFuses için quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
Ek olarak kompakt sertifikayı FPGA veya HPS posta kutusu arayüzünü kullanarak SDM'ye gönderebilirsiniz.
4.5. Kök Anahtarların İptal Edilmesi
Intel Agilex 7 cihazları, iptal edilmemiş başka bir kök anahtar karması mevcut olduğunda kök anahtar karmalarını iptal etmenize olanak tanır. İlk önce cihazı, imza zinciri farklı bir kök anahtar karmasına dayanan bir tasarımla yapılandırarak, ardından imzalı bir kök anahtar karması iptali kompakt sertifikası programlayarak bir kök anahtar karmasını iptal edebilirsiniz. İptal edilecek kök anahtar karması iptal kompakt sertifikasını kök anahtarına dayanan bir imza zinciriyle imzalamanız gerekir.
İmzasız bir kök anahtar karma iptali kompakt sertifikası oluşturmak için aşağıdaki komutu çalıştırın:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 28

Geri bildirim gönder

4. Cihaz Sağlama 683823 | 2023.05.23

İmzasız kök anahtar karma iptali kompakt sertifikasını imzalamak için aşağıdaki komutlardan birini çalıştırın:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert Signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccertsigned_root_cancel.ccert
J aracılığıyla bir kök anahtar karma iptali kompakt sertifikasını programlayabilirsiniz.TAG, FPGA veya HPS posta kutuları.

4.6. Sayaç Sigortalarının Programlanması
Güvenlik Sürüm Numarasını (SVN) ve Pseudo Time St'yi güncellersinizamp (PTS) imzalı kompakt sertifikalar kullanan sayaç sigortaları.

Not:

SDM, belirli bir konfigürasyon sırasında görülen minimum sayaç değerini takip eder ve sayaç değeri minimum değerden küçük olduğunda sayaç artış sertifikalarını kabul etmez. Bir sayaca atanan tüm nesneleri güncellemeli ve bir sayaç artış kompakt sertifikasını programlamadan önce cihazı yeniden yapılandırmalısınız.

Oluşturmak istediğiniz sayaç artış sertifikasına karşılık gelen aşağıdaki komutlardan birini çalıştırın.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

1'lik bir sayaç değeri, bir sayaç artış yetki sertifikası oluşturur. Sayaç artışı yetki kompakt sertifikasının programlanması, ilgili sayacı güncellemek için daha fazla imzasız sayaç artışı sertifikası programlamanıza olanak tanır. Sayaç kompakt sertifikalarını, anahtar iptal kimliği kompakt sertifikalarına benzer şekilde imzalamak için quartus_sign aracını kullanırsınız.
J aracılığıyla bir kök anahtar karma iptali kompakt sertifikasını programlayabilirsiniz.TAG, FPGA veya HPS posta kutuları.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 29

4. Cihaz Sağlama 683823 | 2023.05.23

4.7. Güvenli Veri Nesnesi Hizmeti Kök Anahtarı Sağlama
Güvenli Veri Nesnesi Hizmeti (SDOS) kök anahtarını sağlamak için Intel Quartus Prime Programlayıcı'yı kullanırsınız. Programcı, SDOS kök anahtarını hazırlamak için provizyon ürün yazılımı yardımcı görüntüsünü otomatik olarak yükler.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

4.8. Güvenlik Ayarı Sigorta Hazırlama
Cihaz güvenlik ayarı sigortalarını incelemek ve bunları metin tabanlı bir .fuse dosyasına yazmak için Intel Quartus Prime Programlayıcı'yı kullanın file aşağıdaki gibi:
quartus_pgm -c 1 -mjtag -o “ei;programlama_file.sigorta;AGFB014R24B”

Seçenekler · i: Programcı, provizyon ürün yazılımı yardımcı görüntüsünü cihaza yükler. · e: Programcı sigortayı cihazdan okur ve onu bir .fuse'da saklar. file.

Sigorta file sigorta adı-değer çiftlerinin bir listesini içerir. Değer, bir sigortanın atmış olup olmadığını veya sigorta alanının içeriğini belirtir.

Aşağıdaki örnekampdosya .fuse dosyasının biçimini gösterir file:

# Ortak imzalı ürün yazılımı

= “Şişmemiş”

# Cihaz İzni Öldürme

= “Şişmemiş”

# Cihaz güvenli değil

= “Şişmemiş”

# HPS hata ayıklamasını devre dışı bırak

= “Şişmemiş”

# Dahili Kimlik PUF kaydını devre dışı bırakın

= “Şişmemiş”

# J'yi devre dışı bırakTAG

= “Şişmemiş”

# PUF ile sarılmış şifreleme anahtarını devre dışı bırak

= “Şişmemiş”

# BBRAM'de sahip şifreleme anahtarını devre dışı bırakın = “Patlanmadı”

# eFuses'ta sahip şifreleme anahtarını devre dışı bırakın = “Patlanmadı”

# Sahip kök ortak anahtar karmasını devre dışı bırak 0

= “Şişmemiş”

# Sahip kök ortak anahtar karmasını devre dışı bırak 1

= “Şişmemiş”

# Sahip kök ortak anahtar karmasını devre dışı bırak 2

= “Şişmemiş”

# Sanal eFuses'ı devre dışı bırak

= “Şişmemiş”

# SDM saatini dahili osilatöre zorla = “Patlamadı”

# Şifreleme anahtarı güncellemesini zorla

= “Şişmemiş”

# Intel açık anahtar iptali

= “0”

# Güvenlik eSigortalarını kilitle

= “Şişmemiş”

# Sahip şifreleme anahtarı programı tamamlandı

= “Şişmemiş”

# Sahip şifreleme anahtarı programı başlangıcı

= “Şişmemiş”

# Sahibin açık anahtarının iptali 0

= ""

# Sahibin açık anahtarının iptali 1

= ""

# Sahibin açık anahtarının iptali 2

= ""

# Sahip sigortaları

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Sahip kök genel anahtarı karması 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Sahip kök genel anahtarı karması 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Sahip kök genel anahtarı karması 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Sahip kök ortak anahtarının boyutu

= “Yok”

# PTS sayacı

= “0”

# PTS sayaç tabanı

= “0”

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 30

Geri bildirim gönder

4. Cihaz Sağlama 683823 | 2023.05.23

# QSPI başlatma gecikmesi # RMA Sayacı # SDMIO0, I2C'dir # SVN sayacı A # SVN sayacı B # SVN sayacı C # SVN sayacı D

= “10ms” = “0” = “Üflemedi” = “0” = “0” = “0” = “0”

.fuse dosyasını değiştirin file İstediğiniz güvenlik ayarı sigortalarını ayarlamak için. # ile başlayan satır, yorum satırı olarak kabul edilir. Bir güvenlik ayarı sigortası programlamak için baştaki # işaretini kaldırın ve değeri Üflemeli olarak ayarlayın. Eski içinampDosya, Ortak İmzalı Ürün Yazılımı güvenlik ayarı sigortasını etkinleştirmek için sigortanın ilk satırını değiştirin file Aşağıdakilere
Ortak imzalı ürün yazılımı = “Üflemeli”

Ayrıca Sahip Sigortalarını gereksinimlerinize göre tahsis edebilir ve programlayabilirsiniz.
Boş bir kontrol gerçekleştirmek, programlamak ve sahip kök ortak anahtarını doğrulamak için aşağıdaki komutu kullanabilirsiniz:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

Seçenekler · i: Temel hazırlık ürün yazılımı yardımcı görüntüsünü cihaza yükler. · b: İstenilen güvenlik ayarı sigortalarının uygun olmadığını doğrulamak için boş bir kontrol gerçekleştirir.
zaten şişmiş. · p: Sigortayı programlar. · v: Cihazdaki programlanan anahtarı doğrular.
.qky'yi programladıktan sonra filehem sahip ortak anahtar karmasının hem de sahip ortak anahtar boyutunun sıfır dışında değerlere sahip olduğundan emin olmak için sigorta bilgilerini tekrar kontrol ederek sigorta bilgilerini inceleyebilirsiniz.
Aşağıdaki alanlar .fuse aracılığıyla yazılamazken file yöntemi, doğrulama için inceleme işlemi çıktısı sırasında dahil edilirler: · Cihaz güvenli değil · Cihaz iznini sonlandır · Sahip kök genel anahtar karmasını devre dışı bırak 0 · Sahip kök genel anahtar karmasını devre dışı bırak 1 · Sahip kök genel anahtar karmasını devre dışı bırak 2 · Intel anahtar iptali · Sahip şifreleme anahtarı programı başlatıldı · Sahip şifreleme anahtarı programı tamamlandı · Sahip anahtarı iptali · Sahip genel anahtar karması · Sahip ortak anahtar boyutu · Sahip kök genel anahtar karması 0 · Sahip kök genel anahtar karması 1 · Sahip kök genel anahtar karması 2

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 31

4. Cihaz Sağlama 683823 | 2023.05.23
· PTS sayacı · PTS sayaç tabanı · QSPI başlatma gecikmesi · RMA sayacı · SDMIO0 I2C'dir · SVN sayacı A · SVN sayacı B · SVN sayacı C · SVN sayacı D
.fuse'u programlamak için Intel Quartus Prime Programlayıcıyı kullanın file cihaza geri dönün. i seçeneğini eklerseniz Programcı, güvenlik ayarı sigortalarını programlamak için provizyon ürün yazılımını otomatik olarak yükler.
//Fiziksel (geçici olmayan) için eFuses quartus_pgm -c 1 -mjtag -o “pi;programlama_file.fuse” –non_volatile_key
//Sanal (geçici) eFuses için quartus_pgm -c 1 -mjtag -o “pi;programlama_file.sigorta"
Aygıt kök anahtarı karmasının komutta sağlanan .qky ile aynı olup olmadığını doğrulamak için aşağıdaki komutu kullanabilirsiniz:
quartus_pgm -c 1 -mjtag -o “v;root0_another.qky”
Anahtarlar eşleşmezse, Programcı İşlem başarısız hata mesajıyla başarısız olur.
4.9. AES Kök Anahtarı Sağlama
Intel Agilex 7 cihazına bir AES kök anahtarı programlamak için imzalı bir AES kök anahtarı kompakt sertifikası kullanmanız gerekir.
4.9.1. AES Kök Anahtar Kompakt Sertifikası
AES kök anahtarınızı .qek'e dönüştürmek için quartus_pfg komut satırı aracını kullanırsınız file kompakt sertifika .ccert biçimine dönüştürün. Kompakt sertifikayı oluştururken anahtar depolama konumunu belirtirsiniz. Daha sonra imzalamak üzere imzasız bir sertifika oluşturmak için quartus_pfg aracını kullanabilirsiniz. Bir AES kök anahtarı kompakt sertifikasını başarılı bir şekilde imzalamak için, AES kök anahtarı sertifikası imzalama izni (izin biti 6) etkinleştirilmiş bir imza zinciri kullanmanız gerekir.

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 32

Geri bildirim gönder

4. Cihaz Sağlama 683823 | 2023.05.23
1. Aşağıdaki komutlardan birini kullanarak AES anahtar kompakt sertifikasını imzalamak için kullanılan ek bir anahtar çifti oluşturun.ampŞunlar:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mekanizması ECDSA-KEY-PAIR-GEN –anahtar tipi EC: secp384r1 –kullanım işareti –etiket aesccert1 –id 2
2. Aşağıdaki komutlardan birini kullanarak doğru izin biti ayarına sahip bir imza zinciri oluşturun:
quartus_sign –family=agilex –operation=append_key –önceki_pem=root0_private.pem –önceki_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –önceki_keyname= root0 –önceki_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. İstenilen AES kök anahtarı depolama konumu için imzasız bir AES kompakt sertifikası oluşturun. Aşağıdaki AES kök anahtarı depolama seçenekleri mevcuttur:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//eFuse AES kök anahtarı imzasız sertifika oluşturun quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Kompakt sertifikayı quartus_sign komutuyla veya referans uygulamasıyla imzalayın.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert imzalandı_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 33

4. Cihaz Sağlama 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert imzalandı_ 1.ccert
5. AES kök anahtarı kompakt sertifikasını J aracılığıyla Intel Agilex 7 cihazına programlamak için Intel Quartus Prime Programlayıcıyı kullanın.TAG. Intel Quartus Prime Programcı, EFUSE_WRAPPED_AES_KEY kompakt sertifika türünü kullanırken varsayılan olarak sanal eFuses programlayacaktır.
Fiziksel sigortaların programlanmasını belirtmek için –non_volatile_key seçeneğini eklersiniz.
//Fiziksel (geçici olmayan) için eFuse AES kök anahtarı quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –non_volatile_key

//Sanal (geçici) eFuse AES kök anahtarı için quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”

//BBRAM AES kök anahtarı için quartus_pgm -c 1 -mjtag -o “pi;signed_bbram1.ccert”

SDM provizyon bellenimi ve ana bellenim, AES kök anahtar sertifika programlamasını destekler. Bir AES kök anahtar sertifikasını programlamak için FPGA yapısından veya HPS'den SDM posta kutusu arayüzünü de kullanabilirsiniz.

Not:

quartus_pgm komutu, kompakt sertifikalar (.ccert) için b ve v seçeneklerini desteklemez.

4.9.2. Intrinsic ID® PUF AES Kök Anahtar Hazırlığı
Intrinsic* ID PUF sarmalı AES Anahtarının uygulanması aşağıdaki adımları içerir: 1. Intrinsic ID PUF'un J aracılığıyla kaydedilmesiTAG. 2. AES kök anahtarını sarmalama. 3. Yardımcı verileri ve sarılmış anahtarı dörtlü SPI flash belleğe programlamak. 4. Dahili Kimlik PUF aktivasyon durumunun sorgulanması.
Intrinsic ID teknolojisinin kullanımı Intrinsic ID ile ayrı bir lisans sözleşmesi yapılmasını gerektirir. Intel Quartus Prime Pro Edition yazılımı, kayıt, anahtar sarma ve PUF veri programlaması gibi uygun lisans olmadan PUF işlemlerini QSPI flash'a kısıtlar.

4.9.2.1. İçsel Kimlik PUF Kaydı
PUF'u kaydetmek için SDM provizyon ürün yazılımını kullanmanız gerekir. Provizyon ürün yazılımı, gücü kapatıp açtıktan sonra yüklenen ilk ürün yazılımı olmalıdır ve diğer komutlardan önce PUF kayıt komutunu vermelisiniz. Provizyon ürün yazılımı, AES kök anahtar sarma ve dörtlü SPI programlama dahil olmak üzere PUF kaydından sonra diğer komutları destekler, ancak bir yapılandırma bit akışı yüklemek için cihazı kapatıp açmanız gerekir.
PUF kaydını tetiklemek ve PUF yardımcı verileri .puf'u oluşturmak için Intel Quartus Prime Programlayıcı'yı kullanırsınız. file.

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 34

Geri bildirim gönder

4. Cihaz Sağlama 683823 | 2023.05.23

Şekil 7.

İçsel Kimlik PUF Kaydı
quartus_pgm PUF Kaydı

Kayıt PUF yardımcı verileri

Güvenli Cihaz Yöneticisi (SDM)

sarmalayıcı.puf Yardımcı Veriler
Hem i işlemini hem de bir .puf bağımsız değişkenini belirttiğinizde, Programcı otomatik olarak bir provizyon ürün yazılımı yardımcı görüntüsünü yükler.
quartus_pgm -c 1 -mjtag -o “ei;help_data.puf;AGFB014R24A”
Ortak imzalı ürün yazılımı kullanıyorsanız, ortak imzalı ürün yazılımı yardımcı görüntüsünü PUF kayıt komutunu kullanmadan önce programlarsınız.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o “e;help_data.puf;AGFB014R24A”
UDS IID PUF, cihaz üretimi sırasında kaydedilir ve yeniden kayıt için uygun değildir. Bunun yerine, UDS PUF yardımcı verilerinin IPCS üzerindeki konumunu belirlemek için Programlayıcıyı kullanırsınız, .puf dosyasını indirin. file doğrudan ve ardından UDS .puf dosyasını kullanın file .puf ile aynı şekilde file Intel Agilex 7 cihazından çıkarıldı.
Bir metin oluşturmak için aşağıdaki Programcı komutunu kullanın file bir listesini içeren URLcihaza özgü olanı işaret ediyor fileIPCS'de:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. AES Kök Anahtarını Sarma
IID PUF sarılmış AES kök anahtarını .wkey oluşturursunuz file SDM'ye imzalı bir sertifika göndererek.
AES kök anahtarınızı sarmak amacıyla sertifikayı otomatik olarak oluşturmak, imzalamak ve göndermek için Intel Quartus Prime Programlayıcı'yı kullanabilir veya Intel Quartus Prime Programlama'yı kullanabilirsiniz. File İmzasız bir sertifika oluşturmak için oluşturucu. İmzasız sertifikayı kendi araçlarınızı veya Quartus imzalama aracını kullanarak imzalarsınız. Daha sonra imzalı sertifikayı göndermek ve AES kök anahtarınızı sarmak için Programcıyı kullanırsınız. İmzalı sertifika, imza zincirini doğrulayabilecek tüm cihazları programlamak için kullanılabilir.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 35

4. Cihaz Sağlama 683823 | 2023.05.23

Şekil 8.

Intel Quartus Prime Programlayıcıyı Kullanarak AES Anahtarını Sarma
.pem Özel
Anahtar

.qky

quartus_pgm

AES Anahtarını Sar

AES.QSKigYnature RootCPhuabilnic Anahtarı

PUF Sarılmış Anahtar Oluştur

Sarılmış AES Anahtarı

SDM

.qek Şifreleme
Anahtar

.wkey PUF ile Sarılmış
AES Anahtarı

1. Aşağıdaki bağımsız değişkenleri kullanarak Programcı ile IID PUF sarılmış AES kök anahtarını (.wkey) oluşturabilirsiniz:
· .qky file AES kök anahtar sertifikası iznine sahip bir imza zinciri içeren
· Özel .pem file imza zincirindeki son anahtar için
· .qek file AES kök anahtarını basılı tutmak
· 16 baytlık başlatma vektörü (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Alternatif olarak, Programlama ile AES kök anahtar sertifikasını saran imzasız bir IID PUF oluşturabilirsiniz. File Aşağıdaki bağımsız değişkenleri kullanan jeneratör:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. İmzasız sertifikayı kendi imzalama araçlarınızla veya quartus_sign aracıyla aşağıdaki komutu kullanarak imzalarsınız:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccertsigned_aes.ccert

4. Daha sonra imzalı AES sertifikasını göndermek ve sarılmış anahtarı (.wkey) geri göndermek için Programcıyı kullanırsınız. file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Not: Örneğin, provizyon ürün yazılımı yardımcı görüntüsünü daha önce yüklediyseniz i işlemi gerekli değildir.ampPUF'a kaydolmak için.

4.9.2.3. Yardımcı Verileri ve QSPI Flash Belleğe Sarılmış Anahtarı Programlama
Quartus Programlamayı kullanıyorsunuz File PUF bölümü içeren bir başlangıç QSPI flash görüntüsü oluşturmak için jeneratör grafik arayüzü. QSPI flaşına bir PUF bölümü eklemek için bir flaş programlama görüntüsünün tamamını oluşturmalı ve programlamanız gerekir. PUF'un oluşturulması

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 36

Geri bildirim gönder

4. Cihaz Sağlama 683823 | 2023.05.23

Şekil 9.

veri bölümü ve PUF yardımcı verilerinin ve sarılmış anahtarın kullanımı fileFlash görüntü oluşturmaya yönelik e-postalar Programlama aracılığıyla desteklenmez. File Jeneratör komut satırı arayüzü.
Aşağıdaki adımlar, PUF yardımcı verileri ve sarılmış anahtarla bir flash programlama görüntüsü oluşturmayı gösterir:
1. Üzerinde File menüsünde Programlama'ya tıklayın File Jeneratör. Çıkışta Filesekmesinde aşağıdaki seçimleri yapın:
A. Cihaz Ailesi için Agilex 7'yi seçin.
B. Yapılandırma modu için Aktif Seri x4'ü seçin.
C. Çıkış dizini için çıktınıza göz atın file dizin. Bu eskiampdosya çıktı_'yı kullanırfiles.
D. Ad için programlamaya yönelik bir ad belirtin file oluşturulacak. Bu eskiampdosya çıktı_'yı kullanırfile.
e. Açıklama altında programlamayı seçin fileoluşturmaktır. Bu eskiample J'yi oluştururTAG Dolaylı konfigürasyon File (.jic) cihaz yapılandırması ve Ham İkili için File Aygıt yardımcı görüntüsü için Programlama Yardımcı Görüntüsü (.rbf). Bu eskiampdosya ayrıca isteğe bağlı Bellek Haritasını da seçer File (.map) ve Ham Programlama Verileri File (.rpd). Ham programlama verileri file yalnızca gelecekte üçüncü taraf bir programcı kullanmayı planlıyorsanız gereklidir.
Programlama File Jeneratör – Çıkış Files Sekmesi – J'yi seçinTAG Dolaylı Yapılandırma

Cihaz Ailesi Yapılandırma modu
Çıktı file sekme
Çıktı dizini
JTAG Dolaylı (.jic) Bellek Haritası File Programlama Yardımcısı Ham Programlama Verileri
Girişte Files sekmesinde aşağıdaki seçimleri yapın: 1. Bit Akışı Ekle'ye tıklayın ve .sof dosyanıza göz atın. 2. .sof dosyanızı seçin file ve ardından Özellikler'i tıklatın.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 37

4. Cihaz Sağlama 683823 | 2023.05.23
A. İmzalama aracını etkinleştir'i açın. B. Özel anahtar için file .pem'inizi seçin file. C. Şifrelemeyi sonlandır'ı açın. D. Şifreleme anahtarı için file .qek dosyanızı seçin file. e. Önceki pencereye dönmek için Tamam'ı tıklayın. 3. PUF yardımcı verilerinizi belirtmek için file, Ham Veri Ekle'yi tıklayın. Değiştir FileQuartus Fiziksel Klonlanamayan İşlev türü açılır menüsü File (*.puf). .puf'unuza göz atın file. Hem IID PUF hem de UDS IID PUF kullanıyorsanız bu adımı tekrarlayın; böylece .puf fileher PUF için giriş olarak eklenir fileS. 4. Sarılmış AES anahtarınızı belirtmek için file, Ham Veri Ekle'yi tıklayın. Değiştir FileQuartus Wrapped Key'in türü açılır menüsü File (*.wkey). .wkey'inize göz atın file. Hem IID PUF'u hem de UDS IID PUF'u kullanarak AES anahtarlarını sardıysanız, .wkey'in fileher PUF için giriş olarak eklenir files.
Şekil 10. Girişi Belirt FileYapılandırma, Kimlik Doğrulama ve Şifreleme için e-postalar

Bit Akışı Ekle Ham Veri Ekle
Özellikler
Özel anahtar file
Şifrelemeyi sonlandır Şifreleme anahtarı
Yapılandırma Cihazı sekmesinde aşağıdaki seçimleri yapın: 1. Cihaz Ekle öğesine tıklayın ve mevcut flaşlar listesinden flaş cihazınızı seçin.
cihazlar. 2. Yeni eklediğiniz yapılandırma cihazını seçin ve Bölüm Ekle'ye tıklayın. 3. Giriş için Bölümü Düzenle iletişim kutusunda file ve .sof dosyanızı seçin
açılır liste. Bölümü Düzenle iletişim kutusunda varsayılanları koruyabilir veya diğer parametreleri düzenleyebilirsiniz.

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 38

Geri bildirim gönder

4. Cihaz Sağlama 683823 | 2023.05.23
Şekil 11. .sof Yapılandırma Bit Akışı Bölümünüzü Belirleme

Yapılandırma Cihazı
Bölümü Düzenle .sof Ekle file

Bölüm Ekle

4. .puf ve .wkey'i giriş olarak eklediğinizde files, Programlama File Jeneratör, Yapılandırma Cihazınızda otomatik olarak bir PUF bölümü oluşturur. .puf ve .wkey'i PUF bölümünde depolamak için PUF bölümünü seçin ve Düzenle'ye tıklayın. Bölümü Düzenle iletişim kutusunda .puf ve .wkey dosyanızı seçin fileaçılır listelerden. PUF bölümünü kaldırırsanız, Programlama için yapılandırma cihazını kaldırmanız ve yeniden eklemeniz gerekir. File Başka bir PUF bölümü oluşturmak için oluşturucu. Doğru .puf ve .wkey dosyasını seçtiğinizden emin olmalısınız. file sırasıyla IID PUF ve UDS IID PUF için.
Şekil 12. .puf ve .wkey'i ekleyin filePUF Bölümüne

PUF Bölmesi

Düzenlemek

Bölümü Düzenle

Flaş Yükleyici

Oluştur'u seçin

5. Flash Yükleyici parametresi için Intel Agilex 7 OPN'inizle eşleşen Intel Agilex 7 cihaz ailesini ve cihaz adını seçin.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 39

4. Cihaz Sağlama 683823 | 2023.05.23
6. Çıktıyı oluşturmak için Oluştur'a tıklayın fileÇıktıda belirttiğiniz şey Files sekmesi.
7. Programlama File Jeneratör .qek dosyanızı okur file ve sizden parolanızı ister. QEK parolasını girin istemine yanıt olarak parolanızı yazın. Enter tuşuna tıklayın.
8. Programlama ekranında Tamam'a tıklayın. File Jeneratör başarılı üretim olduğunu bildiriyor.
QSPI programlama görüntüsünü QSPI flash belleğe yazmak için Intel Quartus Prime Programlayıcıyı kullanırsınız. 1. Intel Quartus Prime Tools menüsünde Programcı'yı seçin. 2. Programcı'da Donanım Kurulumu'na tıklayın ve ardından bağlı Intel'i seçin.
FPGA İndirme Kablosu. 3. Ekle'ye tıklayın File ve .jic dosyanıza göz atın file.
Şekil 13. Program .jic

Programlama file

Programla/Yapılandır

JTAG tarama zinciri
4. Yardımcı görselle ilişkili kutunun seçimini kaldırın. 5. .jic çıkışı için Programla/Yapılandır'ı seçin file. 6. Dörtlü SPI flash belleğinizi programlamak için Başlat düğmesini açın. 7. Kartınızı kapatıp açın. Dörtlü SPI flash belleğe programlanan tasarım
Cihaz daha sonra hedef FPGA'ya yüklenir.
Dörtlü SPI flaşına bir PUF bölümü eklemek için bir flaş programlama görüntüsünün tamamını oluşturmalı ve programlamanız gerekir.
Flash'ta bir PUF bölümü zaten mevcut olduğunda, PUF yardımcı verilerine ve sarılmış anahtara doğrudan erişmek için Intel Quartus Prime Programlayıcıyı kullanmak mümkündür. files. ÖrneğinampDosyada etkinleştirme başarısız olursa PUF'u yeniden kaydetmek, AES anahtarını yeniden sarmak ve ardından yalnızca PUF'u programlamak mümkündür. filetüm flaşın üzerine yazmak zorunda kalmadan.

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 40

Geri bildirim gönder

4. Cihaz Sağlama 683823 | 2023.05.23
Intel Quartus Prime Programcısı, PUF için aşağıdaki işlem argümanını destekler fileönceden var olan bir PUF bölümünde:
· s: program
· v: doğrulamak
· r: sil
· b: boş çek
PUF bölümü mevcut olsa bile, PUF kaydı için aynı kısıtlamalara uymanız gerekir.
1. İlk işleme yönelik provizyon ürün yazılımı yardımcı görüntüsünü yüklemek için i işlem bağımsız değişkenini kullanın. Eski içinampDosyada, aşağıdaki komut dizisi PUF'u yeniden kaydeder, AES kök anahtarını yeniden sarar, eski PUF yardımcı verilerini ve sarılmış anahtarı siler, ardından yeni PUF yardımcı verilerini ve AES kök anahtarını programlayıp doğrular.
quartus_pgm -c 1 -mjtag -o “ei;yeni.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;eski.puf” quartus_pgm -c 1 -mjtag -o “r;eski.wkey” quartus_pgm -c 1 -mjtag -o “p;yeni.puf” quartus_pgm -c 1 -mjtag -o “p;yeni.wkey” quartus_pgm -c 1 -mjtag -o “v;yeni.puf” quartus_pgm -c 1 -mjtag -o “v;yeni.wkey”
4.9.2.4. Dahili Kimlik PUF Etkinleştirme Durumunu Sorgulama
Dahili Kimlik PUF'unu kaydettikten sonra bir AES anahtarı sarın, flash programlamayı oluşturun files ve dörtlü SPI flaşını güncellediğinizde, şifrelenmiş bit akışından PUF aktivasyonunu ve yapılandırmasını tetiklemek için cihazınızı kapatıp açarsınız. SDM, konfigürasyon durumuyla birlikte PUF aktivasyon durumunu da bildirir. PUF aktivasyonu başarısız olursa, SDM bunun yerine PUF hata durumunu bildirir. Yapılandırma durumunu sorgulamak için quartus_pgm komutunu kullanın.
1. Etkinleştirme durumunu sorgulamak için aşağıdaki komutu kullanın:
quartus_pgm -c 1 -mjtag –status –status_type=”YAPILANDIRMA”
İşteampBaşarılı bir aktivasyonun dosya çıktısı:
Bilgi (21597): CONFIG_STATUS yanıtı Cihaz kullanıcı modunda çalışıyor 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Sürüm C000007B MSEL=QSPI_NORMAL, nSTATUS=1, nCONFIG=1, VID=1,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Hata konumu 00000000 Hata ayrıntıları PUF_STATUS'un yanıtı 00002000 RESPONSE_CODE=OK, LENGTH=2 00000500 USER_IID DURUM=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 41

4. Cihaz Sağlama 683823 | 2023.05.23

Yalnızca IID PUF veya UDS IID PUF kullanıyorsanız ve bir yardımcı veri .puf programlamadıysanız file QSPI flaşındaki her iki PUF için de bu PUF etkinleştirilmez ve PUF durumu, PUF yardımcı verilerinin geçerli olmadığını yansıtır. Aşağıdaki eskiampDosya, PUF yardımcı verileri her iki PUF için de programlanmadığında PUF durumunu gösterir:
PUF_STATUS yanıtı 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. PUF'un Flash Bellekteki Konumu
PUF'un yeri file RSU'yu destekleyen tasarımlar ile RSU özelliğini desteklemeyen tasarımlar için farklıdır.

RSU'yu desteklemeyen tasarımlar için .puf ve .wkey'i eklemelisiniz filegüncellenmiş flash görüntüler oluşturduğunuzda. RSU'yu destekleyen tasarımlar için SDM, fabrika veya uygulama görüntüsü güncellemeleri sırasında PUF veri bölümlerinin üzerine yazmaz.

Tablo 2.

RSU Desteği Olmadan Flash Alt Bölüm Düzeni

Flaş Ofseti (bayt cinsinden)

Boyut (bayt cinsinden)

İçindekiler

Tanım

0K 256K

256K 256K

Konfigürasyon Yönetimi Firmware'i Konfigürasyon Yönetimi Firmware'i

SDM'de çalışan bellenim.

512K

256K

Konfigürasyon Yönetimi Bellenimi

768K

256K

Konfigürasyon Yönetimi Bellenimi

32K

PUF veri kopyası 0

PUF yardımcı verilerini ve PUF ile sarılmış AES kök anahtar kopyasını depolamak için veri yapısı 0

1M+32K

32K

PUF veri kopyası 1

PUF yardımcı verilerini ve PUF ile sarılmış AES kök anahtar kopyasını depolamak için veri yapısı 1

Tablo 3.

RSU Desteğiyle Flash Alt Bölüm Düzeni

Flaş Ofseti (bayt cinsinden)

Boyut (bayt cinsinden)

İçindekiler

Tanım

0K 512K

512K 512K

Karar yazılımı Karar yazılımı

En yüksek öncelikli görüntüyü tanımlayacak ve yükleyecek bellenim.

1M 1.5M

512K 512K

Karar yazılımı Karar yazılımı

8K + 24K

Karar ürün yazılımı verileri

Dolgu

Decision ürün yazılımının kullanımı için ayrılmıştır.

2M + 32K

32K

SDM için ayrılmıştır

SDM'ye ayrılmıştır.

2M + 64K

Değişken

Fabrika görüntüsü

Diğer tüm uygulama görüntüleri yüklenemezse yedek olarak oluşturduğunuz basit bir görüntü. Bu görüntü SDM üzerinde çalışan CMF'yi içerir.

32K

PUF veri kopyası 0

PUF yardımcı verilerini ve PUF ile sarılmış AES kök anahtar kopyasını depolamak için veri yapısı 0
devam etti…

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 42

Geri bildirim gönder

4. Cihaz Sağlama 683823 | 2023.05.23

Flaş Ofseti (bayt cinsinden)

Boyut (bayt cinsinden)

Sonraki +32K 32K

İçindekiler PUF veri kopyası 1

Sonraki + 256K 4K Sonraki +32K 4K Sonraki +32K 4K

Alt bölüm tablosu kopyası 0 Alt bölüm tablosu kopyası 1 CMF işaretçi bloğu kopyası 0

Sonraki +32K _

CMF işaretçi bloğu kopyası 1

Değişken Değişken

Uygulama görseli 1 Uygulama görseli 2

4.9.3. Siyah Anahtar Sağlama

Tanım
PUF yardımcı verilerini ve PUF ile sarılmış AES kök anahtar kopyasını depolamak için veri yapısı 1
Flaş depolamanın yönetimini kolaylaştıracak veri yapısı.
Uygulama görsellerine yönelik işaretçilerin öncelik sırasına göre listesi. Bir görsel eklediğinizde o görsel en yüksek seviyeye ulaşır.
Uygulama görüntülerine yönelik işaretçiler listesinin ikinci bir kopyası.
İlk uygulama resminiz.
İkinci uygulama resminiz.

Not:

Intel Quartus Prime Programmer, Intel Agilex 7 cihazı ile siyah anahtar sağlama hizmeti arasında karşılıklı olarak doğrulanmış güvenli bir bağlantı kurulmasına yardımcı olur. Güvenli bağlantı https aracılığıyla kurulur ve bir metin kullanılarak tanımlanan birden fazla sertifika gerektirir. file.
Intel, Siyah Anahtar Hazırlamayı kullanırken, TCK pinini J için kullanmaya devam ederken bir direnci yukarı veya aşağı çekmek için harici olarak bağlamaktan kaçınmanızı önerir.TAG. Ancak TCK pinini 10 k direnç kullanarak VCCIO SDM güç kaynağına bağlayabilirsiniz. TCK'yi 1 k aşağı çekme direncine bağlamak için Pim Bağlantı Yönergeleri'ndeki mevcut kılavuz, gürültü bastırma amacıyla dahil edilmiştir. 10 k'lık bir çekme direncine yönelik yönlendirmedeki değişiklik, cihazı işlevsel olarak etkilemez. TCK pinini bağlama hakkında daha fazla bilgi için Intel Agilex 7 Pinli Bağlantı Yönergelerine bakın.
Thebkp_tls_ca_certcertificate, siyah anahtar sağlama hizmeti örneğinizin kimliğini siyah anahtar sağlama programcı örneğinize doğrular. Thebkp_tls_*certificates, siyah anahtar sağlama programcı örneğinizin kimliğini siyah anahtar sağlama hizmeti örneğinize doğrular.
Bir metin oluşturuyorsunuz file Intel Quartus Prime Programcının siyah anahtar sağlama hizmetine bağlanması için gerekli bilgileri içerir. Siyah anahtar sağlamayı başlatmak için siyah anahtar sağlama seçenekleri metnini belirtmek üzere Programcı komut satırı arayüzünü kullanın file. Siyah anahtar provizyonu daha sonra otomatik olarak devam eder. Siyah anahtar sağlama hizmetine ve ilgili belgelere erişim için lütfen Intel Destek ile iletişime geçin.
Thequartus_pgmcommand komutunu kullanarak siyah anahtar sağlamayı etkinleştirebilirsiniz:
quartus_pgm -c -M -cihaz –bkp_options=bkp_options.txt
Komut bağımsız değişkenleri aşağıdaki bilgileri belirtir:

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 43

4. Cihaz Sağlama 683823 | 2023.05.23

· -c: kablo numarası · -m: J gibi programlama modunu belirtirTAG · –device: J üzerinde bir aygıt dizinini belirtirTAG zincir. Varsayılan değer 1'dir. · –bkp_options: bir metni belirtir file siyah anahtar sağlama seçeneklerini içerir.
İlgili Bilgiler Intel Agilex 7 Cihaz Ailesi Pin Bağlantı Yönergeleri

4.9.3.1. Siyah Anahtar Hazırlama Seçenekleri
Siyah anahtar sağlama seçenekleri bir metindir file quartus_pgm komutu aracılığıyla Programcıya iletilir. file Siyah anahtar provizyonunu tetiklemek için gerekli bilgileri içerir.
Aşağıdaki bir örnektirampbkp_options.txt dosyası file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem bkp_tls_prog_key_pass = 1234 bkp_proxy _address = https://192.167.5.5:5000 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Tablo 4.

Siyah Anahtar Hazırlama Seçenekleri
Bu tablo, siyah anahtar sağlamayı tetiklemek için gereken seçenekleri görüntüler.

Seçenek Adı

Tip

Tanım

bkp_ip

Gerekli

Siyah anahtar sağlama hizmetini çalıştıran sunucunun IP adresini belirtir.

bkp_port

Gerekli

Sunucuya bağlanmak için gereken siyah anahtar sağlama hizmeti bağlantı noktasını belirtir.

bkp_cfg_id

Gerekli

Siyah anahtar sağlama yapılandırma akışı kimliğini tanımlar.
Siyah anahtar provizyon hizmeti, bir AES kök anahtarı, istenen eFuse ayarları ve diğer siyah anahtar provizyon yetkilendirme seçeneklerini içeren siyah anahtar provizyon yapılandırma akışlarını oluşturur. Siyah anahtar sağlama hizmeti kurulumu sırasında atanan numara, siyah anahtar sağlama yapılandırma akışlarını tanımlar.
Not: Birden çok cihaz aynı siyah anahtar sağlama hizmeti yapılandırma akışına başvurabilir.

bkp_tls_ca_cert

Gerekli

Intel Quartus Prime Programcıya (Programcı) siyah anahtar sağlama hizmetlerini tanımlamak için kullanılan kök TLS sertifikası. Siyah anahtar sağlama hizmeti örneğinin güvenilir bir Sertifika Yetkilisi bu sertifikayı verir.
Programlayıcıyı Microsoft® Windows® işletim sistemine (Windows) sahip bir bilgisayarda çalıştırırsanız, bu sertifikayı Windows sertifika deposuna yüklemeniz gerekir.

bkp_tls_prog_cert

Gerekli

Siyah anahtar hazırlama Programcısı (BKP Programcısı) örneği için oluşturulan bir sertifika. Bu, bu BKP programcı örneğini tanımlamak için kullanılan https istemci sertifikasıdır
devam etti…

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 44

Geri bildirim gönder

4. Cihaz Sağlama 683823 | 2023.05.23

Seçenek Adı

Tip

bkp_tls_prog_key

Gerekli

bkp_tls_prog_key_pass İsteğe bağlı

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Opsiyonel Opsiyonel Opsiyonel

Tanım
siyah anahtar sağlama hizmetine. Siyah anahtar sağlama oturumu başlatmadan önce bu sertifikayı siyah anahtar sağlama hizmetinde yüklemeniz ve yetkilendirmeniz gerekir. Programlayıcıyı Windows'ta çalıştırırsanız bu seçenek kullanılamaz. Bu durumda bkp_tls_prog_key bu sertifikayı zaten içeriyor.
BKP Programcı sertifikasına karşılık gelen özel anahtar. Anahtar, BKP Programcı örneğinin kimliğini siyah anahtar sağlama hizmetine doğrular. Programlayıcıyı Windows'ta çalıştırırsanız, .pfx file bkp_tls_prog_cert sertifikasını ve özel anahtarı birleştirir. bkp_tlx_prog_key seçeneği .pfx'i geçer file bkp_options.txt dosyasında file.
bkp_tls_prog_key özel anahtarının şifresi. Siyah anahtar sağlama yapılandırma seçenekleri (bkp_options.txt) metninde gerekli değildir file.
Proxy sunucusunu belirtir URL adres.
Proxy sunucusu kullanıcı adını belirtir.
Proxy kimlik doğrulama parolasını belirtir.

4.10. Sahip Kök Anahtarını, AES Kök Anahtar Sertifikalarını ve Sigortayı Dönüştürme fileJam STAPL'a File Biçimler

.qky, AES kök anahtarı .ccert ve .fuse'u dönüştürmek için quartus_pfg komut satırı komutunu kullanabilirsiniz. fileSTAPL Formatını Sıkıştırmak File (.jam) ve Jam Bayt Kodu Formatı File (.jbc). Bunları kullanabilirsiniz fileSırasıyla Jam STAPL Oynatıcısını ve Jam STAPL Bayt Kodu Oynatıcısını kullanarak Intel FPGA'leri programlamak için.

Tek bir .jam veya .jbc, ürün yazılımı yardımcı görüntü yapılandırması ve programı, boş kontrol ve anahtar ve sigorta programlamasının doğrulanması dahil olmak üzere çeşitli işlevler içerir.

Dikkat:

AES kök anahtarını .ccert'e dönüştürdüğünüzde file .jam biçimine, .jam file AES anahtarını düz metin olarak ancak karmaşık biçimde içerir. Sonuç olarak, .jam dosyasını korumalısınız file AES anahtarını saklarken. Bunu, AES anahtarını güvenli bir ortamda sağlayarak yapabilirsiniz.

İşte eskiampquartus_pfg dönüştürme komutlarının dosyaları:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jbc quartus_pfg - c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A settings.fuse settings_fuse.jam quartus_pfg -c -o helper_device=AGFB014R24A ayarları. sigorta ayarları_fuse.jbc

Cihaz programlama için Jam STAPL Player'ın kullanılması hakkında daha fazla bilgi için AN 425'e bakın: Cihaz Programlama için Komut Satırı Jam STAPL Çözümünü Kullanma.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 45

4. Cihaz Sağlama 683823 | 2023.05.23
Sahibin kök ortak anahtarını ve AES şifreleme anahtarını programlamak için aşağıdaki komutları çalıştırın:
//Yardımcı bit akışını FPGA'ya yüklemek için. // Yardımcı bit akışı, provizyon ürün yazılımını içerir quartus_jli -c 1 -a RootKey.jam'İ YAPILANDIRIN
//Sahip kök genel anahtarını sanal eFuses'a programlamak için quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Sahip kök genel anahtarını fiziksel eFuses'a programlamak için quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//PR sahibinin kök genel anahtarını sanal eFuses'a programlamak için quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//PR sahibinin kök genel anahtarını fiziksel eFuses'a programlamak için quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//AES şifreleme anahtarını CCERT'i BBRAM olarak programlamak için quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//AES şifreleme anahtarını CCERT'yi fiziksel eFuses'a programlamak için quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
İlgili Bilgiler AN 425: Cihaz Programlama için Komut Satırı Jam STAPL Çözümünü Kullanma

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 46

Geri bildirim gönder

683823 | 2023.05.23 Geri Bildirim Gönder

Gelişmiş Özellikler

5.1. Güvenli Hata Ayıklama Yetkilendirmesi
Güvenli Hata Ayıklama Yetkilendirmesini etkinleştirmek için hata ayıklama sahibinin bir kimlik doğrulama anahtar çifti oluşturması ve bir cihaz bilgisi oluşturmak için Intel Quartus Prime Pro Programlayıcı'yı kullanması gerekir. file hata ayıklama görüntüsünü çalıştıran cihaz için:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
Cihaz sahibi, hata ayıklama sahibinden gelen genel anahtarı, gerekli yetkileri, cihaz bilgi metnini kullanarak hata ayıklama işlemlerine yönelik bir imza zincirine koşullu bir ortak anahtar girişi eklemek için quartus_sign aracını veya referans uygulamasını kullanır. fileve geçerli diğer kısıtlamalar:
quartus_sign –family=agilex –operation=append_key –predivis_pem=debug_chain_private.pem –önceki_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″ –input_pem= debug_authorization_public_key.pem secure_debug_auth_chain.qky
Cihaz sahibi, imza zincirinin tamamını hata ayıklama sahibine geri gönderir; o da hata ayıklama görüntüsünü imzalamak için imza zincirini ve kendi özel anahtarını kullanır:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf yetkili_debug_design.rbf
Bu imzalı güvenli hata ayıklama bit akışının her bölümünün imza zincirini aşağıdaki gibi incelemek için quartus_pfg komutunu kullanabilirsiniz:
quartus_pfg –check_integrity yetkili_debug_design.rbf
Bu komutun çıktısı, imzalı bit akışını oluşturmak için kullanılan koşullu ortak anahtarın 1,2,17,18 kısıtlama değerlerini yazdırır.
Hata ayıklama sahibi daha sonra güvenli bir şekilde yetkilendirilmiş hata ayıklama tasarımını programlayabilir:
quartus_pgm -c 1 -mjtag -o “p;yetkili_debug_tasarım.rbf”
Cihaz sahibi, güvenli hata ayıklama yetkisi imza zincirinde atanan açık anahtar iptal kimliğini iptal ederek güvenli hata ayıklama yetkisini iptal edebilir.
5.2. HPS Hata Ayıklama Sertifikaları
J aracılığıyla HPS hata ayıklama erişim bağlantı noktasına (DAP) yalnızca yetkili erişimin etkinleştirilmesiTAG arayüz birkaç adım gerektirir:

ISO 9001: 2015 Kayıtlı

5. Gelişmiş Özellikler 683823 | 2023.05.23
1. Intel Quartus Prime yazılımı Atamalar menüsüne tıklayın ve Cihaz Cihaz ve Pin Seçenekleri Yapılandırması sekmesini seçin.
2. Yapılandırma sekmesinde, açılır menüden HPS Pinlerini veya SDM Pinlerini seçerek ve Sertifikalar olmadan HPS hata ayıklamasına izin ver onay kutusunun seçilmediğinden emin olarak HPS hata ayıklama erişim bağlantı noktasını (DAP) etkinleştirin.
Şekil 14. HPS DAP için HPS veya SDM Pinlerini Belirleme

HPS hata ayıklama erişim bağlantı noktası (DAP)
Alternatif olarak aşağıdaki atamayı Quartus Prime Ayarları .qsf'de ayarlayabilirsiniz. file:
set_global_questment -name HPS_DAP_SPLIT_MODE “SDM PIN'LERİ”
3. Tasarımı bu ayarlarla derleyin ve yükleyin. 4. HPS hata ayıklamasını imzalamak için uygun izinlere sahip bir imza zinciri oluşturun
sertifika:
quartus_sign –family=agilex –operation=append_key –precious_pem=root_private.pem –precious_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_chain.qky
5. Hata ayıklama tasarımının yüklendiği cihazdan imzasız bir HPS hata ayıklama sertifikası isteyin:
quartus_pgm -c 1 -mjtag -o “e;unsigned_hps_debug.cert;AGFB014R24A”
6. Quartus_sign aracını veya referans uygulamasını ve HPS hata ayıklama imza zincirini kullanarak imzasız HPS hata ayıklama sertifikasını imzalayın:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.certsigned_hps_debug.cert

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 48

Geri bildirim gönder

5. Gelişmiş Özellikler 683823 | 2023.05.23
7. HPS hata ayıklama erişim bağlantı noktasına (DAP) erişimi etkinleştirmek için imzalı HPS hata ayıklama sertifikasını aygıta geri gönderin:
quartus_pgm -c 1 -mjtag -o “p;signed_hps_debug.cert”
HPS hata ayıklama sertifikası yalnızca oluşturulduğu andan cihazın bir sonraki güç döngüsüne veya farklı bir SDM ürün yazılımı türü veya sürümü yüklenene kadar geçerlidir. İmzalı HPS hata ayıklama sertifikasını oluşturmalı, imzalamalı ve programlamalı ve aygıtı kapatıp açmadan önce tüm hata ayıklama işlemlerini gerçekleştirmelisiniz. Aygıtı kapatıp açarak imzalı HPS hata ayıklama sertifikasını geçersiz kılabilirsiniz.
5.3. Platform Onayı
Bir referans bütünlüğü bildirimi (.rim) oluşturabilirsiniz file programlamayı kullanma file jeneratör aracı:
quartus_pfg -csigned_encrypted_top.rbf top_rim.rim
Tasarımınızda platform onayının alındığından emin olmak için şu adımları izleyin: 1. Cihazınızı aşağıdaki özelliklerle yapılandırmak için Intel Quartus Prime Pro Programlayıcı'yı kullanın:
Referans bütünlüğü bildirimini oluşturduğunuz tasarım. 2. Cihaza komutlar vererek cihazı kaydetmek için bir platform doğrulama doğrulayıcı kullanın.
Yeniden yükleme sırasında cihaz kimlik sertifikasını ve donanım yazılımı sertifikasını oluşturmak için SDM posta kutusu aracılığıyla SDM. 3. Cihazınızı tasarımla yeniden yapılandırmak için Intel Quartus Prime Pro Programlayıcıyı kullanın. 4. Doğrulama cihazı kimliğini, ürün yazılımını ve takma ad sertifikalarını almak üzere SDM'ye komutlar vermek için platform kanıtlama doğrulayıcısını kullanın. 5. Onay kanıtını almak amacıyla SDM posta kutusu komutunu vermek için doğrulama doğrulayıcıyı kullanın ve doğrulayıcı, döndürülen kanıtı kontrol eder.
SDM posta kutusu komutlarını kullanarak kendi doğrulama hizmetinizi uygulayabilir veya Intel platformu doğrulama doğrulama hizmetini kullanabilirsiniz. Intel platformu doğrulama doğrulama hizmeti yazılımı, kullanılabilirliği ve belgeleri hakkında daha fazla bilgi için Intel Destek ile iletişime geçin.
İlgili Bilgiler Intel Agilex 7 Cihaz Ailesi Pin Bağlantı Yönergeleri
5.4. Fiziksel Anti-Tamper
Fiziksel anti-t'yi etkinleştirirsinizampAşağıdaki adımları kullanarak daha fazla özellik elde edebilirsiniz: 1. Tespit edilen bir soruna istenen yanıtın seçilmesiamper olayı 2. İstenilen etkinliğin yapılandırılmasıamper tespit yöntemleri ve parametreleri 3. Anti-t dahilampanti-t yönetimine yardımcı olmak için tasarım mantığınızda er IP'siamper
olaylar

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 49

5. Gelişmiş Özellikler 683823 | 2023.05.23
5.4.1. Anti-TampYanıtlar
Fiziksel anti-t'yi etkinleştirirsinizampAnti-t'den bir yanıt seçerekampYanıt: Atamalar Cihaz Cihaz ve Pin Seçenekleri Güvenliği Anti-T'deki açılır listeampsekmesi. Varsayılan olarak anti-tampYanıt devre dışı bırakıldı. Anti-t'nin beş kategorisiampyanıtı mevcuttur. İstediğiniz yanıtı seçtiğinizde bir veya daha fazla algılama yöntemini etkinleştirme seçenekleri etkinleştirilir.
Şekil 15. Mevcut Anti-TampYanıt Seçenekleri

Quartus Prime ayarları .gsf'deki ilgili atama file aşağıdaki gibidir:
set_global_questment -name ANTI_TAMPER_RESPONSE “BİLDİRİM CİHAZI CİHAZI KİLİTLİYOR VE SIFIRLAMAYI SİLİYOR”
Bir anti-t'yi etkinleştirdiğinizdeampYanıtın çıktısını almak için mevcut iki SDM'ye ayrılmış I/O pinini seçebilirsiniz.ampAtamalar Cihaz Cihaz ve Pin Seçenekleri Yapılandırma Yapılandırma Pin Seçenekleri penceresini kullanarak olay algılama ve yanıt durumu.

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 50

Geri bildirim gönder

5. Gelişmiş Özellikler 683823 | 2023.05.23
Şekil 16. T için Mevcut SDM'ye özel G/Ç PimleriampOlay Tespiti

Ayrıca ayarlarda aşağıdaki pin atamalarını da yapabilirsiniz. file: set_global_atama -name USE_TAMPER_DETECT SDM_IO15 set_global_atama -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Algılama

Frekansı, sıcaklığı ve ses seviyesini ayrı ayrı etkinleştirebilirsiniz.tagSDM'nin algılama özellikleri. FPGA tespiti, Anti-T'nin dahil edilmesine bağlıdırampTasarımınızda Lite Intel FPGA IP'yi kullanın.

Not:

SDM frekansı ve hacmitagveampAlgılama yöntemleri, cihazlar arasında farklılık gösterebilen dahili referanslara ve ölçüm donanımına bağlıdır. Intel, davranışı karakterize etmenizi önerir.ampalgılama ayarları.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 51

5. Gelişmiş Özellikler 683823 | 2023.05.23
Frekans tampEr algılama, konfigürasyon saat kaynağı üzerinde çalışır. Frekansı etkinleştirmek için tampAlgılama için, Atamalar Cihaz Cihaz ve Pin Seçenekleri Genel sekmesindeki Yapılandırma saat kaynağı açılır menüsünde Dahili Osilatör dışında bir seçenek belirtmeniz gerekir. Frekansı etkinleştirmeden önce Yapılandırma CPU'sunu dahili osilatörden çalıştır onay kutusunun etkinleştirildiğinden emin olmalısınız.amper tespiti. Şekil 17. SDM'yi Dahili Osilatöre Ayarlama
Frekansı etkinleştirmek için tampalgılaması için Frekansı etkinleştir seçeneğini seçin.ampalgılama onay kutusunu seçin ve istediğiniz Frekansı seçin.ampAçılır menüden algılama aralığını seçin. Şekil 18. Frekans T'yi Etkinleştirmeamper Algılama

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 52

Geri bildirim gönder

5. Gelişmiş Özellikler 683823 | 2023.05.23
Alternatif olarak Frekans T'yi etkinleştirebilirsiniz.ampQuartus Prime Ayarları .qsf'de aşağıdaki değişiklikleri yaparak Tespit file:
set_global_questment -name AUTO_RESTART_CONFIGURATION OFF set_global_questment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_questment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_questment -name ENABLE_FREQUENCY_TAMPER_DETECTION ON set_global_questment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Sıcaklığı etkinleştirmek için tampalgılaması için Sıcaklığı etkinleştir seçeneğini seçin.ampalgılama onay kutusunu işaretleyin ve ilgili alanlarda istenen sıcaklık üst ve alt sınırlarını seçin. Üst ve alt sınırlar, varsayılan olarak tasarımda seçilen cihaz için ilgili sıcaklık aralığıyla doldurulur.
Vol'u etkinleştirmek içintagveampalgılaması için VCCL vol'u Etkinleştir seçeneklerinden birini veya her ikisini birden seçersiniz.tagveampalgılama veya VCCL_SDM vol'u etkinleştirintagveampalgılama onay kutularını işaretleyin ve istediğiniz Hacmi seçintagveampalgılama tetikleyici yüzdesitage karşılık gelen alanda.
Şekil 19. Sesi Etkinleştirmetagve Tamper Algılama

Alternatif olarak Vol'u etkinleştirebilirsiniz.tagve Tamp.qsf dosyasında aşağıdaki atamaları belirterek algılama file:
set_global_questment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_questment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_questment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_questment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION AÇIK
5.4.3. Anti-Tamper Lite Intel FPGA IP
Anti-TampIntel Quartus Prime Pro Edition yazılımındaki IP kataloğunda bulunan Lite Intel FPGA IP, tasarımınız ile SDM arasında iki yönlü iletişimi kolaylaştırır.ampolaylar.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 53

Şekil 20. Anti-Tamper Lite Intel FPGA IP

5. Gelişmiş Özellikler 683823 | 2023.05.23

IP, gerektiğinde tasarımınıza bağlamanız için aşağıdaki sinyalleri sağlar:

Tablo 5.

Anti-Tamper Lite Intel FPGA IP G/Ç Sinyalleri

Sinyal Adı

Yön

Tanım

gpo_sdm_at_event gpi_fpga_at_event

Çıkış giriş

Bir SDM'nin algıladığı FPGA yapı mantığına SDM sinyaliampbir olay. FPGA mantığının istenen herhangi bir temizliği gerçekleştirmek ve gpi_fpga_at_response_done ve gpi_fpga_at_zeroization_done yoluyla SDM'ye yanıt vermek için yaklaşık 5 ms'si vardır. SDM t ile devam ederampgpi_fpga_at_response_done önerildiğinde veya ayrılan sürede yanıt alınmadığında yanıt eylemleri.
Tasarladığınız anti-t'nin SDM'ye FPGA kesintisiampalgılama devresi şu noktada algılandı:ampolay ve SDM tampYanıt tetiklenmelidir.

gpi_fpga_at_response_done

Giriş

FPGA mantığının istenen temizliği gerçekleştirdiği SDM'ye FPGA kesintisi.

gpi_fpga_at_zeroization_d bir

Giriş

FPGA, SDM'ye, FPGA mantığının tasarım verilerinin istenen herhangi bir sıfırlanmasını tamamladığını bildirir. Bu sinyal sampgpi_fpga_at_response_done ileri sürüldüğünde led.

5.4.3.1. Bilgi vermek

IP sürüm şeması (XYZ) numarası bir yazılım sürümünden diğerine değişir. Şunda bir değişiklik:
· X, IP'nin büyük bir revizyonunu belirtir. Intel Quartus Prime yazılımınızı güncellerseniz IP'yi yeniden oluşturmanız gerekir.
· Y, IP'nin yeni özellikler içerdiğini belirtir. Bu yeni özellikleri içerecek şekilde IP'nizi yeniden oluşturun.
· Z, IP'nin küçük değişiklikler içerdiğini gösterir. Bu değişiklikleri içerecek şekilde IP'nizi yeniden oluşturun.

Tablo 6.

Anti-Tamper Lite Intel FPGA IP Sürüm Bilgileri

IP Sürümü

Öğe

Açıklama 20.1.0

Intel Quartus Prime Sürümü

21.2

Yayın tarihi

2021.06.21

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 54

Geri bildirim gönder

5. Gelişmiş Özellikler 683823 | 2023.05.23
5.5. Uzaktan Sistem Güncellemeyle Tasarım Güvenliği Özelliklerini Kullanma
Uzaktan Sistem Güncellemesi (RSU), yapılandırmanın güncellenmesine yardımcı olan bir Intel Agilex 7 FPGA özelliğidir filesağlam bir şekilde. RSU, yapılandırma bit akışlarının tasarım içeriklerine bağlı olmadığından, RSU kimlik doğrulama, ürün yazılımı ortak imzalama ve bit akışı şifrelemesi gibi tasarım güvenliği özellikleriyle uyumludur.
.sof ile RSU Görüntüleri Oluşturma Files
Özel anahtarlarınızı yerel bilgisayarınızda saklıyorsanız filesisteminizde, .sof ile basitleştirilmiş bir akış kullanarak tasarım güvenliği özelliklerine sahip RSU görüntüleri oluşturabilirsiniz. filegirdi olarak. .sof ile RSU görüntüleri oluşturmak için fileUzaktan Sistem Güncelleme Görüntüsü Oluşturma Bölümündeki talimatları takip edebilirsiniz. FileProgramlamayı Kullanmak File Intel Agilex 7 Yapılandırma Kullanıcı Kılavuzunun Oluşturucusu. Her .sof için file Girişte belirtilen Filesekmesinde Özellikler… düğmesini tıklayın ve imzalama ve şifreleme araçları için uygun ayarları ve anahtarları belirtin. Programlama file jeneratör aracı, RSU programlamasını oluştururken fabrika ve uygulama görüntülerini otomatik olarak imzalar ve şifreler files.
Alternatif olarak, özel anahtarları bir HSM'de saklıyorsanız quartus_sign aracını kullanmanız ve dolayısıyla .rbf dosyasını kullanmanız gerekir. fileS. Bu bölümün geri kalanında .rbf ile RSU görüntüleri oluşturmak için akışta yapılan değişikliklerin ayrıntıları verilmektedir. filegirdi olarak. .rbf biçimini şifrelemeli ve imzalamalısınız filebunları girdi olarak seçmeden önce fileRSU görüntüleri için; ancak RSU önyükleme bilgisi file şifrelenmemeli ve yalnızca imzalanmalıdır. Programlama File Jeneratör, .rbf formatının özelliklerini değiştirmeyi desteklemiyor files.
Aşağıdaki örnekampDosyalar, Uzaktan Sistem Güncelleme Görüntüsü Oluşturma Bölümündeki komutlarda gerekli değişiklikleri gösterir. FileProgramlamayı Kullanmak File Intel Agilex 7 Yapılandırma Kullanıcı Kılavuzunun Oluşturucusu.
.rbf Kullanarak İlk RSU Görüntüsünü Oluşturma Files: Komut Değişikliği
.rbf Kullanarak İlk RSU Görüntüsünün Oluşturulmasından Filebölümünde, bu belgenin önceki bölümlerinde yer alan talimatları kullanarak tasarım güvenliği özelliklerini istediğiniz şekilde etkinleştirmek için Adım 1'deki komutları değiştirin.
Örneğinampdosya, imzalı bir ürün yazılımı belirtirsiniz file Firmware ortak imzalamayı kullanıyorsanız her .rbf dosyasını şifrelemek için Quartus şifreleme aracını kullanın. fileve son olarak her birini imzalamak için quartus_sign aracını kullanın file.
2. adımda, ürün yazılımı birlikte imzalamayı etkinleştirdiyseniz fabrika görüntüsünden önyükleme .rbf'sinin oluşturulmasında ek bir seçenek kullanmanız gerekir. file:
quartus_pfg -c fabrika.sof boot.rbf -o rsu_boot=AÇIK -o fw_source=signed_agilex.zip
Önyükleme bilgisi .rbf'yi oluşturduktan sonra file.rbf dosyasını imzalamak için quartus_sign aracını kullanın file. Önyükleme bilgisi .rbf'yi şifrelememelisiniz file.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 55

5. Gelişmiş Özellikler 683823 | 2023.05.23
Uygulama Görüntüsü Oluşturma: Komut Değişikliği
Tasarım güvenliği özelliklerine sahip bir uygulama görüntüsü oluşturmak için, Uygulama Görüntüsü Oluşturma bölümündeki komutu, orijinal uygulama .sof yerine gerekirse ortak imzalı ürün yazılımı da dahil olmak üzere tasarım güvenliği özellikleri etkinleştirilmiş bir .rbf kullanacak şekilde değiştirirsiniz. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secure_rsu_application.rpd -o mode=ASX4 -o bitswap=AÇIK
Fabrika Güncelleme Görüntüsü Oluşturma: Komut Değişikliği
Önyükleme bilgisi .rbf'yi oluşturduktan sonra file.rbf dosyasını imzalamak için quartus_sign aracını kullanırsınız file. Önyükleme bilgisi .rbf'yi şifrelememelisiniz file.
Bir RSU fabrika güncelleme görüntüsü oluşturmak için, Fabrika Güncelleme Görüntüsü Oluşturma bölümündeki komutu .rbf kullanacak şekilde değiştirirsiniz. file tasarım güvenliği özellikleri etkinken ve ortak imzalı ürün yazılımı kullanımını belirtme seçeneğini ekleyin:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secure_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=AÇIK -o rsu_upgrade=AÇIK -o fw_source=signed_agilex.zip
İlgili Bilgiler Intel Agilex 7 Yapılandırması Kullanıcı Kılavuzu
5.6. SDM Şifreleme Hizmetleri
Intel Agilex 7 cihazlarındaki SDM, FPGA yapı mantığının veya HPS'nin ilgili SDM posta kutusu arayüzü aracılığıyla isteyebileceği şifreleme hizmetleri sağlar. Tüm SDM şifreleme hizmetlerine ilişkin posta kutusu komutları ve veri formatları hakkında daha fazla bilgi için Intel FPGA'ler ve Yapılandırılmış ASIC'ler Kullanıcı Kılavuzu için Güvenlik Metodolojisi'ndeki Ek B'ye bakın.
SDM şifreleme hizmetlerine yönelik SDM posta kutusu arayüzünden FPGA yapı mantığına erişmek için tasarımınızda Mailbox Client Intel FPGA IP'yi başlatmanız gerekir.
HPS'den SDM posta kutusu arayüzüne erişim için referans kodu, Intel tarafından sağlanan ATF ve Linux koduna dahildir.
İlgili Bilgiler Posta Kutusu İstemcisi Intel FPGA IP Kullanım Kılavuzu
5.6.1. Satıcı Yetkili Önyükleme
Intel, HPS önyükleme yazılımının kimliğini ilk andan itibaren doğrulamak için satıcı tarafından yetkilendirilen önyükleme özelliğini kullanan HPS yazılımı için bir referans uygulaması sağlar.tagLinux çekirdeğine kadar önyükleyici.
İlgili Bilgiler Intel Agilex 7 SoC Güvenli Önyükleme Demo Tasarımı

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 56

Geri bildirim gönder

5. Gelişmiş Özellikler 683823 | 2023.05.23
5.6.2. Güvenli Veri Nesnesi Hizmeti
SDOS nesne şifrelemesi ve şifre çözme işlemini gerçekleştirmek için komutları SDM posta kutusu aracılığıyla gönderirsiniz. SDOS kök anahtarını sağladıktan sonra SDOS özelliğini kullanabilirsiniz.
İlgili Bilgiler Güvenli Veri Nesnesi Hizmeti Kök Anahtarı Sağlama sayfa 30
5.6.3. SDM Şifreleme İlkel Hizmetleri
SDM şifreleme temel hizmet işlemlerini başlatmak için komutları SDM posta kutusu aracılığıyla gönderirsiniz. Bazı kriptografik temel hizmetler, posta kutusu arayüzünün kabul edebileceğinden daha fazla verinin SDM'ye ve SDM'den aktarılmasını gerektirir. Bu durumlarda formatın komutu, bellekteki verilere işaretçiler sağlayacak şekilde değişir. Ek olarak, FPGA yapı mantığından SDM şifreleme temel hizmetlerini kullanmak için Posta Kutusu İstemcisi Intel FPGA IP'sinin örneğini değiştirmeniz gerekir. Ek olarak Şifreleme Hizmetini Etkinleştir parametresini 1'e ayarlamanız ve yeni açığa çıkan AXI başlatıcı arayüzünü tasarımınızdaki bir belleğe bağlamanız gerekir.
Şekil 21. Posta Kutusu İstemcisinde SDM Şifreleme Hizmetlerini Etkinleştirme Intel FPGA IP

5.7. Veri Akışı Güvenlik Ayarları (FM/S10)
FPGA Bit Akışı Güvenliği seçenekleri, belirli bir süre içinde belirtilen özelliği veya çalışma modunu kısıtlayan bir politikalar koleksiyonudur.
Bitstream Security seçenekleri, Intel Quartus Prime Pro Edition yazılımında ayarladığınız işaretlerden oluşur. Bu bayraklar otomatik olarak yapılandırma bit akışlarına kopyalanır.
İlgili güvenlik ayarı eFuse'u kullanarak bir cihazda güvenlik seçeneklerini kalıcı olarak uygulayabilirsiniz.
Yapılandırma bit akışında veya cihaz eFuses'ında herhangi bir güvenlik ayarını kullanmak için kimlik doğrulama özelliğini etkinleştirmeniz gerekir.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 57

5. Gelişmiş Özellikler 683823 | 2023.05.23
5.7.1. Güvenlik Seçeneklerini Seçme ve Etkinleştirme
Güvenlik seçeneklerini seçmek ve etkinleştirmek için aşağıdakileri yapın: Atamalar menüsünden Cihaz Cihaz ve Pin Seçenekleri Güvenlik Diğer Seçenekler… Şekil 22. Güvenlik Seçeneklerini Seçme ve Etkinleştirme

Ardından, aşağıdaki örnekte gösterildiği gibi, etkinleştirmek istediğiniz güvenlik seçeneklerine ilişkin açılır listelerden değerleri seçin.amptarih:
Şekil 23. Güvenlik Seçenekleri İçin Değer Seçme

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 58

Geri bildirim gönder

5. Gelişmiş Özellikler 683823 | 2023.05.23
Quartus Prime Ayarları .qsf'sinde ilgili değişiklikler aşağıdadır file:
set_global_atama -isim SECU_OPTION_DISABLE_JTAG “ON CHECK” set_global_questment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE “ON STICKY” set_global_questment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_questment -name SECU_OPTION_DISABLE_VIRTUAL_EFUSES ON set_global_questment -name SECU_OPTION_LOCK_SECURITY_ EFUSES AÇIK set_global_questment -name SECU_OPTION_DISABLE_HPS_DEBUG AÇIK set_global_questment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES AÇIK set_global_questment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES AÇIK set_global_questment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSE S AÇIK set_global_atama -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_signment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_questment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY ON

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 59

683823 | 2023.05.23 Geri Bildirim Gönder

Sorun giderme

Bu bölümde, cihaz güvenlik özelliklerini kullanmaya çalışırken karşılaşabileceğiniz yaygın hatalar ve uyarı mesajları ile bunları çözmeye yönelik önlemler açıklanmaktadır.
6.1. Quartus Komutlarını Windows Ortamında Kullanma Hatası
Hata quartus_pgm: komut bulunamadı Açıklama Bu hata, Quartus komutlarını Windows ortamında WSL kullanarak bir NIOS II Kabuğunda kullanmaya çalışırken görüntülenir. Çözüm Bu komut Linux ortamında çalışır; Windows ana bilgisayarları için aşağıdaki komutu kullanın: quartus_pgm.exe -h Benzer şekilde, aynı sözdizimini diğer komutların yanı sıra quartus_pfg, quartus_sign, quartus_encrypt gibi diğer Quartus Prime komutlarına da uygulayın.

ISO 9001: 2015 Kayıtlı

6. Sorun Giderme 683823 | 2023.05.23

6.2. Özel Anahtar Uyarısı Oluşturma

Uyarı:

Belirtilen şifrenin güvensiz olduğu değerlendiriliyor. Intel, en az 13 karakterlik parola kullanılmasını önerir. OpenSSL yürütülebilir dosyasını kullanarak parolayı değiştirmeniz önerilir.

openssl ec -in -dışarı -aes256

Tanım
Bu uyarı şifre gücüyle ilgilidir ve aşağıdaki komutları vererek özel anahtar oluşturmaya çalıştığınızda görüntülenir:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Çözüm Daha uzun ve dolayısıyla daha güçlü bir parola belirlemek için openssl yürütülebilir dosyasını kullanın.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 61

6. Sorun Giderme 683823 | 2023.05.23
6.3. Quartus Projesi Hatasına İmza Anahtarı Ekleme
Hata …File kök anahtar bilgilerini içerir…
Tanım
Bir imzalama anahtarı ekledikten sonra .qky file Quartus projesi için .sof dosyasını yeniden birleştirmeniz gerekir file. Bu yenilenmiş .sof dosyasını eklediğinizde file Quartus Programlayıcıyı kullanarak seçilen cihaza bağlandığınızda aşağıdaki hata mesajı, file kök anahtar bilgilerini içerir:
Eklenemedifile-yol-adı> Programcıya. file kök anahtar bilgilerini (.qky) içerir. Ancak Programcı bit akışı imzalama özelliğini desteklemez. Programlamayı kullanabilirsiniz File Dönüştürmek için jeneratör file imzalı Raw Binary'ye file (.rbf) yapılandırma için.
Çözünürlük
Quartus Programlamayı kullanın file dönüştürmek için jeneratör file imzalı bir Ham İkili dosyaya File Yapılandırma için .rbf.
İlgili Bilgiler Quartus_sign Komutunu Kullanarak Bit Akışını İmzalama sayfa 13

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 62

Geri bildirim gönder

6. Sorun Giderme 683823 | 2023.05.23
6.4. Quartus Prime Programlama Oluşturma File başarısızdı
Hata
Hata (20353): QKY'nin genel anahtarının X'i, PEM'in özel anahtarıyla eşleşmiyor file.
Hata (20352): Bit akışı agilex_sign.py python betiği aracılığıyla imzalanamadı.
Hata: Quartus Prime Programlama File Jeneratör başarısız oldu.
Açıklama Yanlış bir özel anahtar .pem kullanarak bir yapılandırma bit akışını imzalamaya çalışırsanız file veya bir .pem file projeye eklenen .qky ile eşleşmezse, yukarıdaki yaygın hatalar görüntülenir. Çözüm Bit akışını imzalamak için doğru özel anahtar olan .pem'i kullandığınızdan emin olun.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 63

6. Sorun Giderme 683823 | 2023.05.23
6.5. Bilinmeyen Bağımsız Değişken Hataları
Hata
Hata (23028): Bilinmeyen bağımsız değişken “ûc”. Yasal argümanlar için –help'e bakın.
Hata (213008): “ûp” seçenek dizisinin programlanması geçersiz. Yasal programlama seçeneği formatları için –help'e bakın.
Açıklama Komut satırı seçeneklerini bir .pdf dosyasından kopyalayıp yapıştırırsanız file Windows NIOS II Kabuğu'nda yukarıda gösterildiği gibi Bilinmeyen bağımsız değişken hatalarıyla karşılaşabilirsiniz. Çözüm Bu gibi durumlarda komutları panodan yapıştırmak yerine manuel olarak girebilirsiniz.

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 64

Geri bildirim gönder

6. Sorun Giderme 683823 | 2023.05.23
6.6. Bit Akışı Şifreleme Seçeneği Devre Dışı Bırakıldı Hatası
Hata
Şifreleme sonlandırılamıyor file design .sof, çünkü bit akışı şifreleme seçeneği devre dışı bırakılarak derlendi.
Açıklama Projeyi bit akışı şifreleme seçeneği devre dışıyken derledikten sonra bit akışını GUI veya komut satırı aracılığıyla şifrelemeye çalışırsanız Quartus, yukarıda gösterildiği gibi komutu reddeder.
Çözüm Projeyi, GUI veya komut satırı aracılığıyla etkinleştirilmiş bit akışı şifreleme seçeneğiyle derlediğinizden emin olun. GUI'de bu seçeneği etkinleştirmek için bu seçeneğin onay kutusunu işaretlemeniz gerekir.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 65

6. Sorun Giderme 683823 | 2023.05.23
6.7. Anahtarın Doğru Yolunun Belirlenmesi
Hata
Hata (19516): Algılanan Programlama File Jeneratör ayarları hatası: 'anahtar_ bulunamıyorfile'. Emin ol file beklenen konumda bulunuyorsa veya ayarı güncelleyin.sn
Hata (19516): Algılanan Programlama File Jeneratör ayarları hatası: 'anahtar_ bulunamıyorfile'. Emin ol file Beklenen konumda bulunuyorsa veya ayarı güncelleyin.
Tanım
Bellekte saklanan anahtarları kullanıyorsanız file sisteminizde, bit akışı şifrelemesi ve imzalaması için kullanılan anahtarlar için doğru yolu belirttiklerinden emin olmanız gerekir. Eğer Programlama File Jeneratör doğru yolu tespit edemiyor, yukarıdaki hata mesajları görüntüleniyor.
Çözünürlük
Quartus Prime Ayarları .qsf'ye bakın file Anahtarların doğru yollarını bulmak için. Mutlak yollar yerine göreceli yolları kullandığınızdan emin olun.

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 66

Geri bildirim gönder

6. Sorun Giderme 683823 | 2023.05.23
6.8. Desteklenmeyen Çıkışı Kullanma File Tip
Hata
quartus_pfg -c tasarım.sof çıktısı_file.ebf -o finalize_operation=AÇIK -o qek_file=ae.qek -o imzalama=AÇIK -o pem_file=sign_private.pem
Hata (19511): Desteklenmeyen çıktı file (ebf) yazın. Desteklenenleri görüntülemek için “-l” veya “–list” seçeneğini kullanın file bilgileri yazın.
Açıklama Quartus Programlamayı kullanırken File Oluşturucunun şifrelenmiş ve imzalı yapılandırma bit akışını oluşturması için desteklenmeyen bir çıktı olması durumunda yukarıdaki hatayı görebilirsiniz. file türü belirtilir. Çözünürlük Desteklenenlerin listesini görmek için -l veya –list seçeneğini kullanın. file türleri.

Geri bildirim gönder

Intel Agilex® 7 Cihaz Güvenliği Kullanıcı Kılavuzu 67

683823 | 2023.05.23 Geri Bildirim Gönder
7. Intel Agilex 7 Cihaz Güvenliği Kullanıcı Kılavuzu Arşivleri
Bu kullanıcı kılavuzunun en son ve önceki sürümleri için Intel Agilex 7 Cihaz Güvenliği Kullanıcı Kılavuzu'na bakın. Bir IP veya yazılım sürümü listelenmiyorsa, önceki IP veya yazılım sürümünün kullanım kılavuzu geçerli olur.

ISO 9001: 2015 Kayıtlı

683823 | 2023.05.23 Geri Bildirim Gönder

8. Intel Agilex 7 Cihaz Güvenliği Kullanıcı Kılavuzunun Revizyon Geçmişi

Belge Sürümü 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Belgeler / Kaynaklar

Intel Agilex 7 Cihaz Güvenliği [pdf] Kullanıcı Kılavuzu
Agilex 7 Cihaz Güvenliği, Agilex 7, Cihaz Güvenliği, Güvenlik

Referanslar

Kullanıcı Kılavuzu

Intel Agilex 7 Cihaz Güvenliği

Ürün Bilgileri

Ürün Kullanım Talimatları

Sıkça Sorulan Sorular

Cihaz Güvenliği Bittiview

Kimlik Doğrulama ve Yetkilendirme

AES Veri Akışı Şifrelemesi

Cihaz Sağlama

Gelişmiş Özellikler

Sorun giderme

Belgeler / Kaynaklar

Referanslar

Yorum bırakın

Cevabı iptal et