Intel Agilex 7 Device Security

פּראָדוקט אינפֿאָרמאַציע

ספּעסאַפאַקיישאַנז

• מאָדעל נומער: UG-20335
• מעלדונג טאָג: 2023.05.23

פּראָדוקט באַניץ אינסטרוקציעס

1. היסכייַוועס צו פּראָדוקט זיכערהייַט

ינטעל איז קאַמיטאַד צו פּראָדוקט זיכערהייט און רעקאַמענדז יוזערז צו באקענען זיך מיט די צוגעשטעלט פּראָדוקט זיכערהייט רעסורסן. די רעסורסן זאָל זיין יוטאַלייזד איבער די לעבן פון די Intel פּראָדוקט.

2. פּלאַננעד זיכערהייַט פֿעיִקייטן

די פאלגענדע זיכערהייט פֿעיִקייטן זענען פּלאַננעד פֿאַר אַ צוקונפֿט מעלדונג פון Intel Quartus Prime Pro Edition ווייכווארג:

• פּאַרטיייש רעקאָנפיגוראַטיאָן ביטסטרים זיכערהייט וועראַפאַקיישאַן: פּראָווידעס נאָך פארזיכערונג אַז ביטסטרים פון פּאַרטיייש רעקאָנפיגוראַטיאָן (PR) קענען נישט אַקסעס אָדער אַרייַנמישנ זיך מיט אנדערע פּר פּערסאָנאַ ביטסטרים.
• מיטל זיך-טייטן פֿאַר גשמיות אַנטי-טampער: פּערפאָרמז אַ מיטל ווישן אָדער מיטל זעראָיזאַטיאָן ענטפער און פּראָגראַמען eFuses צו פאַרמייַדן די מיטל פון קאַנפיגיעריישאַן ווידער.

3. בנימצא זיכערהייַט דאַקיומענטיישאַן

די פאלגענדע טיש ליסטעד די בנימצא דאַקיומענטיישאַן פֿאַר מיטל זיכערהייט פֿעיִקייטן אויף Intel FPGA און Structured ASIC דעוויסעס:

דאָקומענט נאָמען	ציל
זיכערהייט מעטאַדאַלאַדזשי פֿאַר ינטעל פפּגאַ און סטראַקטשערד אַסיק באַניצער גייד	העכסט-מדרגה דאָקומענט וואָס גיט דיטיילד דיסקריפּשאַנז פון זיכערהייט פֿעיִקייטן און טעקנאַלאַדזשיז אין ינטעל פּראָגראַממאַבלע סאַלושאַנז פּראָדוקטן. העלפּס וסערס אויסקלייַבן די נייטיק זיכערהייַט פֿעיִקייטן צו טרעפן זייער זיכערהייט אַבדזשעקטיווז.
Intel Stratix 10 Device Security User Guide	ינסטרוקטיאָנס פֿאַר יוזערז פון Intel Stratix 10 דעוויסעס צו ינסטרומענט די זיכערהייט פֿעיִקייטן יידענאַפייד ניצן די זיכערהייט מעטאַדאַלאַדזשי באַניצער גייד.
Intel Agilex 7 Device Security User Guide	ינסטרוקטיאָנס פֿאַר יוזערז פון Intel Agilex 7 דעוויסעס צו ינסטרומענט די זיכערהייט פֿעיִקייטן יידענאַפייד ניצן די זיכערהייט מעטאַדאַלאַדזשי באַניצער גייד.
Intel eASIC N5X Device Security User Guide	ינסטרוקטיאָנס פֿאַר יוזערז פון Intel eASIC N5X דעוויסעס צו ינסטרומענט די זיכערהייט פֿעיִקייטן יידענאַפייד ניצן די זיכערהייט מעטאַדאַלאַדזשי באַניצער גייד.
Intel Agilex 7 און Intel eASIC N5X HPS קריפּטאָגראַפיק באַדינונגס באַניצער גייד	אינפֿאָרמאַציע פֿאַר HPS ווייכווארג ענדזשאַנירז וועגן די ימפּלאַמענטיישאַן און נוצן פון HPS ווייכווארג לייברעריז צו אַקסעס קריפּטאָגראַפיק באַדינונגס צוגעשטעלט דורך די SDM.
AN-968 שווארצע שליסל פּראַוויזשאַנז סערוויס שנעל אָנהייב גייד	גאַנץ גאַנג פון סטעפּס צו שטעלן די שווארצע שליסל פּראַוויזשאַנז דינסט.

אָפט געשטעלטע פֿראגן

ק: וואָס איז דער ציל פון די זיכערהייט מעטאַדאַלאַדזשי באַניצער גייד?

א: די זיכערהייט מעטאַדאַלאַדזשי באַניצער גייד גיט דיטיילד דיסקריפּשאַנז פון זיכערהייט פֿעיִקייטן און טעקנאַלאַדזשיז אין ינטעל פּראָגראַממאַבלע סאַלושאַנז פּראָדוקטן. עס העלפּס יוזערז אויסקלייַבן די נייטיק זיכערהייט פֿעיִקייטן צו טרעפן זייער זיכערהייט אַבדזשעקטיווז.

ק: ווו קען איך געפֿינען די Intel Agilex 7 Device Security User Guide?

א: די Intel Agilex 7 Device Security User Guide קענען זיין געפֿונען אין די Intel Resource and Design Center webפּלאַץ.

ק: וואָס איז די שווארצע שליסל פּראַוויזשאַנז דינסט?

א: די שווארצע קיי פּראַוויזשאַן דינסט איז אַ דינסט וואָס גיט אַ גאַנץ גאַנג פון סטעפּס צו באַשטעטיקן שליסל פּראַוויזשאַנז פֿאַר זיכער אַפּעריישאַנז.

Intel Agilex® 7 Device Security User Guide
דערהייַנטיקט פֿאַר Intel® Quartus® Prime Design Suite: 23.1

אָנליין ווערסיע שיקן באַמערקונגען

UG-20335

683823 2023.05.23

Intel Agilex® 7 Device Security User Guide 2

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 3

683823 | 2023.05.23 שיקן באַמערקונגען
1. Intel Agilex® 7

מיטל זיכערהייט איבערview

Intel® דיזיינז די Intel Agilex® 7 דעוויסעס מיט דעדאַקייטאַד, העכסט קאַנפיגיעראַבאַל זיכערהייט ייַזנוואַרג און פירמוואַרע.
דער דאָקומענט כּולל אינסטרוקציעס צו העלפֿן איר נוצן Intel Quartus® Prime Pro Edition ווייכווארג צו ינסטרומענט זיכערהייט פֿעיִקייטן אויף דיין Intel Agilex 7 דעוויסעס.
אַדדיטיאָנאַללי, די זיכערהייט מעטאַדאַלאַדזשי פֿאַר ינטעל פפּגאַ און סטראַקטשערד אַסיק באַניצער גייד איז בנימצא אין די Intel Resource & Design Center. דער דאָקומענט כּולל דיטיילד דיסקריפּשאַנז פון די זיכערהייט פֿעיִקייטן און טעקנאַלאַדזשיז וואָס זענען בארעכטיגט דורך Intel פּראָוגראַמאַבאַל סאַלושאַנז פּראָדוקטן צו העלפֿן איר אויסקלייַבן די זיכערהייט פֿעיִקייטן וואָס זענען נויטיק צו טרעפן דיין זיכערהייט אַבדזשעקטיווז. קאָנטאַקט ינטעל סופּפּאָרט מיט רעפֿערענץ נומער 14014613136 צו אַקסעס די זיכערהייט מעטאַדאַלאַדזשי פֿאַר ינטעל פפּגאַ און סטראַקטשערד אַסיק באַניצער גייד.
דער דאָקומענט איז אָרגאַניזירט ווי גייט: · אָטענטאַקיישאַן און אַוטהאָריזאַטיאָן: גיט ינסטראַקשאַנז צו שאַפֿן
אָטענטאַקיישאַן שליסלען און כסימע קייטן, צולייגן פּערמישאַנז און רעוואָקאַטיאָנס, צייכן אַבדזשעקץ און פּראָגראַם אָטענטאַקיישאַן פֿעיִקייטן אויף Intel Agilex 7 דעוויסעס. · AES ביטסטרים ענקריפּשאַן: פּראָווידעס ינסטראַקשאַנז צו שאַפֿן אַ AES וואָרצל שליסל, ענקריפּט קאַנפיגיעריישאַן ביטסטרים און צושטעלן די AES וואָרצל שליסל צו Intel Agilex 7 דעוויסעס. · דיווייס פּראַוויזשאַנז: פּראָווידעס ינסטראַקשאַנז צו נוצן די Intel Quartus Prime פּראָגראַמיסט און זיכער דיווייס מאַנאַגער (SDM) צושטעלן פירמוואַרע צו פּראָגראַם זיכערהייט פֿעיִקייטן אויף Intel Agilex 7 דעוויסעס. · אַוואַנסירטע פֿעיִקייטן: פּראָווידעס ינסטראַקשאַנז צו געבן אַוואַנסירטע זיכערהייַט פֿעיִקייטן, אַרייַנגערעכנט זיכער דיבאַג דערלויבעניש, שווער פּראַסעסער סיסטעם (הפּס) דיבאַג און ווייַט סיסטעם דערהייַנטיקן.
1.1. היסכייַוועס צו פּראָדוקט זיכערהייַט
ינטעל ס לאַנג-בלייַביק היסכייַוועס צו זיכערהייט איז קיינמאָל געווען שטארקער. ינטעל רעקאַמענדז שטארק צו זיין באַקאַנט מיט אונדזער פּראָדוקט זיכערהייט רעסורסן און פּלאַנירן צו נוצן זיי איבער די לעבן פון דיין ינטעל פּראָדוקט.
פֿאַרבונדענע אינפֿאָרמאַציע · פּראָדוקט זיכערהייט ביי ינטעל · ינטעל פּראָדוקט זיכערהייט צענטער אַדוויסאָריעס

Intel Corporation. אלע רעכטן רעזערווירט. ינטעל, די ינטעל לאָגאָ און אנדערע ינטעל מאַרקס זענען טריידמאַרקס פון ינטעל קאָרפּאָראַטיאָן אָדער זייַן סאַבסידיעריז. ינטעל וואָראַנטיז פאָרשטעלונג פון זייַן FPGA און סעמיקאַנדאַקטער פּראָדוקטן צו קראַנט ספּעסאַפאַקיישאַנז אין לויט מיט ינטעל ס נאָרמאַל וואָראַנטי, אָבער ריזערווז די רעכט צו מאַכן ענדערונגען צו קיין פּראָדוקטן און באַדינונגס אין קיין צייט אָן באַמערקן. ינטעל אַסומז קיין פֿאַראַנטוואָרטלעכקייט אָדער אַכרייַעס וואָס איז שטייענדיק פֿון די אַפּלאַקיישאַן אָדער נוצן פון קיין אינפֿאָרמאַציע, פּראָדוקט אָדער דינסט דיסקרייבד דאָ, אַחוץ ווי ינטעל איז עקספּרעסלי מסכים צו שרייבן. ינטעל קאַסטאַמערז זענען אַדווייזד צו קריגן די לעצטע ווערסיע פון ​​די מיטל ספּעסאַפאַקיישאַנז איידער זיי פאַרלאָזנ אויף קיין ארויס אינפֿאָרמאַציע און איידער פּלייסינג אָרדערס פֿאַר פּראָדוקטן אָדער באַדינונגס. * אנדערע נעמען און בראַנדז קען זיין קליימד ווי די פאַרמאָג פון אנדערע.

ISO 9001:2015 רעגיסטרירט

1. Intel Agilex® 7 Device Security Overview 683823 | 2023.05.23

1.2. פּלאַננעד זיכערהייַט פֿעיִקייטן

פֿעיִקייטן דערמאנט אין דעם אָפּטיילונג זענען פּלאַננעד פֿאַר אַ צוקונפֿט מעלדונג פון Intel Quartus Prime Pro Edition ווייכווארג.

באַמערקונג:

די אינפֿאָרמאַציע אין דעם אָפּטיילונג איז פּרילימאַנערי.

1.2.1. פּאַרטיייש רעקאָנפיגוראַטיאָן ביטסטרים זיכערהייַט וועראַפאַקיישאַן
ביטסטרעאַם זיכערהייט וואַלאַדיישאַן פון פּאַרטיייש ריקאַנפיגיעריישאַן (PR) העלפּס צו צושטעלן נאָך פארזיכערונג אַז פּר פּערסאָנאַ ביטסטרים קענען נישט אַקסעס אָדער אַרייַנמישנ זיך מיט אנדערע פּר פּערסאָנאַ ביטסטרים.

1.2.2. מיטל זיך-טייטן פֿאַר גשמיות אַנטי-טamper
מיטל זיך-טייטן פּערפאָרמז אַ מיטל ווישן אָדער מיטל זעראָיזאַטיאָן ענטפער און אַדישנאַלי מגילה eFuses צו פאַרמייַדן די מיטל פון קאַנפיגיעריישאַן ווידער.

1.3. בנימצא זיכערהייַט דאַקיומענטיישאַן

די פאלגענדע טיש ינומערייץ די בנימצא דאַקיומענטיישאַן פֿאַר מיטל זיכערהייט פֿעיִקייטן אויף Intel FPGA און Structured ASIC דעוויסעס:

טיש 1.

בנימצא דיווייס זיכערהייַט דאַקיומענטיישאַן

דאָקומענט נאָמען
זיכערהייט מעטאַדאַלאַדזשי פֿאַר ינטעל פפּגאַ און סטראַקטשערד אַסיק באַניצער גייד

ציל
העכסט-מדרגה דאָקומענט וואָס כּולל דיטיילד דיסקריפּשאַנז פון זיכערהייט פֿעיִקייטן און טעקנאַלאַדזשיז אין ינטעל פּראָגראַממאַבלע סאַלושאַנז פּראָדוקטן. בדעה צו העלפֿן איר אויסקלייַבן די זיכערהייט פאַנגקשאַנז נייטיק צו טרעפן דיין זיכערהייט אַבדזשעקטיווז.

דאָקומענט שייַן 721596

Intel Stratix 10 Device Security User Guide
Intel Agilex 7 Device Security User Guide

פֿאַר יוזערז פון Intel Stratix 10 דעוויסעס, דער פירער כּולל ינסטראַקשאַנז צו נוצן Intel Quartus Prime Pro Edition ווייכווארג צו ינסטרומענט די זיכערהייט פֿעיִקייטן יידענאַפייד מיט די זיכערהייט מעטאַדאַלאַדזשי באַניצער גייד.
פֿאַר יוזערז פון Intel Agilex 7 דעוויסעס, דער פירער כּולל ינסטראַקשאַנז צו נוצן Intel Quartus Prime Pro Edition ווייכווארג צו ינסטרומענט די זיכערהייט פֿעיִקייטן יידענאַפייד מיט די זיכערהייט מעטאַדאַלאַדזשי באַניצער גייד.

683642 683823

Intel eASIC N5X Device Security User Guide

פֿאַר יוזערז פון Intel eASIC N5X דעוויסעס, דער פירער כּולל ינסטראַקשאַנז צו נוצן Intel Quartus Prime Pro Edition ווייכווארג צו ינסטרומענט די זיכערהייט פֿעיִקייטן יידענאַפייד מיט די זיכערהייט מעטאַדאַלאַדזשי באַניצער גייד.

626836

Intel Agilex 7 און Intel eASIC N5X HPS קריפּטאָגראַפיק באַדינונגס באַניצער גייד

דער פירער כּולל אינפֿאָרמאַציע צו אַרוישעלפן HPS ווייכווארג ענדזשאַנירז אין די ימפּלאַמענטיישאַן און נוצן פון HPS ווייכווארג לייברעריז צו אַקסעס קריפּטאָגראַפיק באַדינונגס צוגעשטעלט דורך די SDM.

713026

AN-968 שווארצע שליסל פּראַוויזשאַנז סערוויס שנעל אָנהייב גייד

דער פירער כּולל אַ גאַנץ גאַנג פון סטעפּס צו באַשטעטיקן די שווארצע קיי פּראַוויזשאַן דינסט.

739071

אָרט ינטעל ריסאָרס און
פּלאַן צענטער
Intel.com
Intel.com
ינטעל ריסאָרס און פּלאַן צענטער
ינטעל ריסאָרס און פּלאַן צענטער
ינטעל ריסאָרס און פּלאַן צענטער

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 5

683823 | 2023.05.23 שיקן באַמערקונגען

אָטענטאַקיישאַן און דערלויבעניש

צו געבן די אָטענטאַקיישאַן פֿעיִקייטן פון אַן Intel Agilex 7 מיטל, איר אָנהייבן מיט די Intel Quartus Prime Pro Edition ווייכווארג און פֿאַרבונדן מכשירים צו בויען אַ כסימע קייט. א כסימע קייט באשטייט פון אַ וואָרצל שליסל, איינער אָדער מער סיינינג שליסלען און אָנווענדלעך דערלויבעניש. איר צולייגן די כסימע קייט צו דיין Intel Quartus Prime Pro אַדישאַן פּרויעקט און קאַמפּיילד פּראָגראַממינג fileס. ניצן די ינסטראַקשאַנז אין דיווייס פּראַוויזשאַנז צו פּראָגראַם דיין וואָרצל שליסל אין Intel Agilex 7 דעוויסעס.
פֿאַרבונדענע אינפֿאָרמאַציע
דיווייס פּראַוויזשאַנז אויף בלאַט 25

2.1. שאַפֿן אַ כסימע קייט
איר קענט נוצן די quartus_sign געצייַג אָדער די agilex_sign.py רעפֿערענץ ימפּלאַמענטיישאַן צו דורכפירן כסימע קייט אַפּעריישאַנז. דעם דאָקומענט גיט עקסampליי ניצן quartus_sign.
צו נוצן די רעפֿערענץ ימפּלאַמענטיישאַן, איר פאַרבייַטן אַ רוף צו די פּיטהאָן יבערזעצער ינקלודעד מיט Intel Quartus Prime ווייכווארג און לאָזן די -family=agilex אָפּציע; אַלע אנדערע אָפּציעס זענען עקוויוואַלענט. פֿאַר עקסample, די quartus_sign באַפֿעל געפֿונען שפּעטער אין דעם אָפּטיילונג
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky קענען זיין קאָנווערטעד אין די עקוויוואַלענט רופן צו דער רעפֿערענץ ימפּלאַמענטיישאַן ווי גייט
pgm_py agilex_sign.py – אָפּעראַציע=מאַכן_רוט וואָרצל_פּובליק.פּעם וואָרצל.קקי

Intel Quartus Prime Pro Edition ווייכווארג כולל די quartus_sign, pgm_py און agilex_sign.py מכשירים. איר קענט נוצן די Nios® II באַפֿעלן שאָל געצייַג, וואָס אויטאָמאַטיש שטעלט צונעמען סוויווע וועריאַבאַלז צו אַקסעס די מכשירים.

גיי די ינסטראַקשאַנז צו ברענגען אַרויף אַ Nios II באַפֿעלן שאָל. 1. ברענגען אַרויף אַ Nios II באַפֿעלן שאָל.

אָפּציע Windows
לינוקס

באַשרייַבונג
אויף די אָנהייב מעניו, פונט צו מגילה Intel FPGA Nios II EDS און גיט Nios II Command Shell.
אין אַ באַפֿעל שאָל טוישן צו די /nios2eds און לויפן די פאלגענדע באַפֿעל:
./nios2_command_shell.sh

די עקסampליי אין דעם אָפּטיילונג יבערנעמען כסימע קייט און קאַנפיגיעריישאַן ביטסטרים files זענען ליגן אין די קראַנט אַרבעט וועגווייַזער. אויב איר קלייַבן צו נאָכפאָלגן די עקסampליי ווו שליסל fileס זענען געהאלטן אויף די file סיסטעם, די עקסampנעמען די שליסל fileס זענען

Intel Corporation. אלע רעכטן רעזערווירט. ינטעל, די ינטעל לאָגאָ און אנדערע ינטעל מאַרקס זענען טריידמאַרקס פון ינטעל קאָרפּאָראַטיאָן אָדער זייַן סאַבסידיעריז. ינטעל וואָראַנטיז פאָרשטעלונג פון זייַן FPGA און סעמיקאַנדאַקטער פּראָדוקטן צו קראַנט ספּעסאַפאַקיישאַנז אין לויט מיט ינטעל ס נאָרמאַל וואָראַנטי, אָבער ריזערווז די רעכט צו מאַכן ענדערונגען צו קיין פּראָדוקטן און באַדינונגס אין קיין צייט אָן באַמערקן. ינטעל אַסומז קיין פֿאַראַנטוואָרטלעכקייט אָדער אַכרייַעס וואָס איז שטייענדיק פֿון די אַפּלאַקיישאַן אָדער נוצן פון קיין אינפֿאָרמאַציע, פּראָדוקט אָדער דינסט דיסקרייבד דאָ, אַחוץ ווי ינטעל איז עקספּרעסלי מסכים צו שרייבן. ינטעל קאַסטאַמערז זענען אַדווייזד צו קריגן די לעצטע ווערסיע פון ​​די מיטל ספּעסאַפאַקיישאַנז איידער זיי פאַרלאָזנ אויף קיין ארויס אינפֿאָרמאַציע און איידער פּלייסינג אָרדערס פֿאַר פּראָדוקטן אָדער באַדינונגס. * אנדערע נעמען און בראַנדז קען זיין קליימד ווי די פאַרמאָג פון אנדערע.

ISO 9001:2015 רעגיסטרירט

2. אָטענטאַקיישאַן און דערלויבעניש 683823 | 2023.05.23
ליגן אין די קראַנט אַרבעט וועגווייַזער. איר קענט קלייַבן וואָס דיירעקטעריז צו נוצן, און די מכשירים שטיצן קאָרעוו file פּאַטס. אויב איר קלייַבן צו האַלטן שליסל files אויף די file סיסטעם, איר מוזן קערפאַלי פירן אַקסעס פּערמישאַנז צו די files.
ינטעל רעקאַמענדז אַז אַ קאמערשעל בנימצא ייַזנוואַרג סעקוריטי מאָדולע (HSM) זאָל זיין געוויינט צו קראָם קריפּטאָגראַפיק שליסלען און דורכפירן קריפּטאָגראַפיק אַפּעריישאַנז. די quartus_sign געצייַג און רעפֿערענץ ימפּלאַמענטיישאַן אַרייַננעמען אַ פּובליק שליסל קריפּטאָגראַפי סטאַנדאַרד #11 (PKCS #11) אַפּפּליקאַטיאָן פּראָגראַממינג צובינד (אַפּי) צו ינטעראַקט מיט אַ HSM בשעת דורכפירן כסימע קייט אַפּעריישאַנז. די רעפֿערענץ ימפּלאַמענטיישאַן פון agilex_sign.py כולל אַן אַבסטראַקט צובינד און אַן עקסampדי צובינד צו SoftHSM.
איר קענט נוצן די עקסampדי ינטערפייסיז צו ינסטרומענט אַ צובינד צו דיין HSM. אָפּשיקן צו די דאַקיומענטיישאַן פון דיין HSM פאַרקויפער פֿאַר מער אינפֿאָרמאַציע וועגן ימפּלאַמענינג אַ צובינד און אַפּערייטינג דיין HSM.
SoftHSM איז אַ ווייכווארג ימפּלאַמענטיישאַן פון אַ דזשאַנעריק קריפּטאָגראַפיק מיטל מיט אַ PKCS #11 צובינד וואָס איז בארעכטיגט דורך די OpenDNSSEC® פּרויעקט. איר קען געפֿינען מער אינפֿאָרמאַציע, אַרייַנגערעכנט ינסטראַקשאַנז אויף ווי צו אָפּלאָדירן, בויען און ינסטאַלירן OpenHSM אין די OpenDNSSEC פּרויעקט. די עקסampאין דעם אָפּטיילונג, נוצן SoftHSM ווערסיע 2.6.1. די עקסampאין דעם אָפּטיילונג אויך נוצן די pkcs11-געצייַג נוצן פון OpenSC צו דורכפירן נאָך PKCS #11 אַפּעריישאַנז מיט אַ SoftHSM טאָקען. איר קען געפֿינען מער אינפֿאָרמאַציע, אַרייַנגערעכנט ינסטראַקשאַנז אויף ווי צו אָפּלאָדירן, בויען און ינסטאַלירן pkcs11tool פֿון OpenSC.
פֿאַרבונדענע אינפֿאָרמאַציע
· די OpenDNSSEC פּרויעקט פּאָליטיק-באזירט זאָנע סיגנער פֿאַר אָטאַמייטינג דעם פּראָצעס פון DNSSEC שליסלען טראַקינג.
· SoftHSM אינפֿאָרמאַציע וועגן די ימפּלאַמענטיישאַן פון אַ קריפּטאָגראַפיק קראָם צוטריטלעך דורך אַ PKCS #11 צובינד.
· OpenSC פּראָווידעס שטעלן פון לייברעריז און יוטילאַטיז וואָס קענען אַרבעטן מיט סמאַרט קאַרדס.
2.1.1. קריייטינג אָטענטאַקיישאַן שליסל פּערז אויף די לאקאלע File סיסטעם
איר נוצן די quartus_sign געצייַג צו שאַפֿן אָטענטאַקיישאַן שליסל פּערז אויף די היגע file סיסטעם ניצן די make_private_pem און make_public_pem געצייַג אַפּעריישאַנז. איר ערשטער דזשענערייט אַ פּריוואַט שליסל מיט די make_private_pem אָפּעראַציע. איר ספּעציפיצירן די יליפּטיקאַל ויסבייג צו נוצן, די פּריוואַט שליסל fileנאָמען, און אָפּטיאָנאַללי צי צו באַשיצן די פּריוואַט שליסל מיט אַ פּאַסספראַסע. ינטעל רעקאַמענדז די נוצן פון די secp384r1 ויסבייג און די פאלגענדע ינדאַסטרי בעסטער פּראַקטיסיז צו שאַפֿן אַ שטאַרק, טראַפ - פּאַסספראַסע אויף אַלע פּריוואַט שליסלען fileס. ינטעל אויך רעקאַמענדז ריסטריקטינג די file סיסטעם פּערמישאַנז אויף די פּריוואַט שליסל .פּעם fileס צו לייענען בלויז דורך באַזיצער. איר באַקומען דעם ציבור שליסל פון די פּריוואַט שליסל מיט די make_public_pem אָפּעראַציע. עס איז נוציק צו נאָמען דעם שליסל .פּעם fileס דיסקריפּטיוולי. דער דאָקומענט ניצט די קאַנווענשאַן _.pem אין די פאלגענדע עקסamples.
1. אין די Nios II באַפֿעלן שאָל, לויפן די פאלגענדע באַפֿעל צו שאַפֿן אַ פּריוואַט שליסל. דער פּריוואַט שליסל, געוויזן אונטן, איז געניצט ווי דער וואָרצל שליסל אין שפּעטער עקסampליי וואָס מאַכן אַ כסימע קייט. Intel Agilex 7 דעוויסעס שטיצן קייפל וואָרצל שליסלען, אַזוי איר

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 7

2. אָטענטאַקיישאַן און דערלויבעניש 683823 | 2023.05.23

איבערחזרן דעם שריט צו שאַפֿן דיין פארלאנגט נומער פון וואָרצל שליסלען. עקסampאַלע אין דעם דאָקומענט אָפּשיקן צו דער ערשטער וואָרצל שליסל, כאָטש איר קענען בויען כסימע קייטן אויף אַ ענלעך וועג מיט קיין וואָרצל שליסל.

אָפּציע מיט פּאַסספראַסע

באַשרייַבונג
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem אַרייַן די פּאַסספראַסע ווען פּראַמפּטיד צו טאָן דאָס.

אָן פּאַסספראַסע

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. לויפן די פאלגענדע באַפֿעל צו שאַפֿן אַ ציבור שליסל ניצן די פּריוואַט שליסל דזשענערייטאַד אין די פריערדיקע שריט. איר טאָן ניט דאַרפֿן צו באַשיצן די קאַנפאַדענשיאַלאַטי פון אַ ציבור שליסל.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. לויפן די קאַמאַנדז ווידער צו שאַפֿן אַ שליסל פּאָר געניצט ווי די פּלאַן סיינינג שליסל אין די כסימע קייט.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. קריייטינג אָטענטאַקיישאַן שליסל פּערז אין סאָפטהסם
די SoftHSM עקסampדי אַרטיקלען אין דעם קאַפּיטל זענען זיך-קאַנסיסטענט. זיכער פּאַראַמעטערס אָפענגען אויף דיין SoftHSM ייַנמאָנטירונג און אַ סימען יניטיאַליזיישאַן אין SoftHSM.
די quartus_sign געצייַג דעפּענדס אויף די PKCS #11 API ביבליאָטעק פֿון דיין HSM.
די עקסampאין דעם אָפּטיילונג, יבערנעמען אַז די SoftHSM ביבליאָטעק איז אינסטאַלירן אין איינער פון די פאלגענדע לאָוקיישאַנז: · /usr/local/lib/softhsm2.so אויף לינוקס · C:SoftHSM2libsofthsm2.dll אויף 32-ביסל ווערסיע פון ​​​​Windows · C:SoftHSM2libsofthsm2-x64 .dll אויף 64-ביסל ווערסיע פון ​​Windows.
יניטיאַליזירן אַ סימען אין SoftHSM ניצן די softhsm2-util געצייַג:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
די אָפּציע פּאַראַמעטערס, ספּעציעל די סימען פירמע און סימען שטיפט זענען עקסampזיי זענען געניצט איבער דעם קאַפּיטל. ינטעל רעקאַמענדז אַז איר נאָכפאָלגן אינסטרוקציעס פון דיין HSM פאַרקויפער צו שאַפֿן און פירן טאָקענס און שליסלען.
איר שאַפֿן אָטענטאַקיישאַן שליסל פּערז ניצן די pkcs11-מכשיר נוצן צו ינטעראַקט מיט די סימען אין SoftHSM. אַנשטאָט בפירוש ריפערד צו די פּריוואַט און ציבור שליסל .פּעם files אין די file סיסטעם עקסampליי, איר אָפּשיקן צו די שליסל פּאָר דורך זיין פירמע און די געצייַג סאַלעקץ די צונעמען שליסל אויטאָמאַטיש.

Intel Agilex® 7 Device Security User Guide 8

שיקן באַמערקונגען

2. אָטענטאַקיישאַן און דערלויבעניש 683823 | 2023.05.23

לויפן די פאלגענדע קאַמאַנדז צו שאַפֿן אַ שליסל פּאָר געניצט ווי דער וואָרצל שליסל אין שפּעטער עקסampליי און אַ שליסל פּאָר געניצט ווי אַ פּלאַן סיינינג שליסל אין די כסימע קייט:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

באַמערקונג:

די ID אָפּציע אין דעם שריט מוזן זיין יינציק פֿאַר יעדער שליסל, אָבער עס איז געניצט בלויז דורך די HSM. דער שייַן אָפּציע איז אַנרילייטיד צו די שליסל קאַנסאַליישאַן שייַן אַסיינד אין די כסימע קייט.

2.1.3. קריייטינג די סיגנאַטורע קייט וואָרצל פּאָזיציע
גער די וואָרצל ציבור שליסל אין אַ כסימע קייט וואָרצל פּאָזיציע, סטאָרד אויף די היגע file סיסטעם אין די Intel Quartus Prime key (.qky) פֿאָרמאַט file, מיט די make_root אָפּעראַציע. איבערחזרן דעם שריט פֿאַר יעדער וואָרצל שליסל איר דזשענערייט.
לויפן די פאלגענדע באַפֿעל צו שאַפֿן אַ כסימע קייט מיט אַ וואָרצל פּאָזיציע, ניצן אַ וואָרצל ציבור שליסל פֿון די file סיסטעם:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
לויפן די פאלגענדע באַפֿעל צו שאַפֿן אַ כסימע קייט מיט אַ וואָרצל פּאָזיציע, ניצן די וואָרצל שליסל פון די SoftHSM טאָקען געגרינדעט אין די פריערדיקע אָפּטיילונג:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsosofthsm2 root0 root0.qky

2.1.4. שאַפֿן אַ סיגנאַטורע קייט פּובליק שליסל פּאָזיציע
שאַפֿן אַ נייַע עפנטלעך שליסל פּאָזיציע פֿאַר אַ כסימע קייט מיט די אַפּפּענד_קיי אָפּעראַציע. איר ספּעציפיצירן די פריערדיקע כסימע קייט, די פּריוואַט שליסל פֿאַר די לעצטע פּאָזיציע אין די פריערדיקע כסימע קייט, דער ווייַטער מדרגה ציבור שליסל, די פּערמישאַנז און קאַנסאַליישאַן שייַן איר באַשטימען צו דער ווייַטער מדרגה ציבור שליסל, און די נייַע כסימע קייט file.
באַמערקונג אַז די softHSM ביבליאָטעק איז נישט בנימצא מיט Quartus ינסטאַלירונג און אַנשטאָט דאַרף זיין אינסטאַלירן סעפּעראַטלי. פֿאַר מער אינפֿאָרמאַציע וועגן softHSM, אָפּשיקן צו דער אָפּטיילונג קריייטינג אַ סיגנאַטורע קייט אויבן.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 9

2. אָטענטאַקיישאַן און דערלויבעניש 683823 | 2023.05.23
דעפּענדינג אויף דיין נוצן פון שליסלען אויף די file סיסטעם אָדער אין אַ HSM, איר נוצן איינער פון די פאלגענדע עקסample קאַמאַנדז צו צוגעבן די design0_sign ציבור שליסל צו די וואָרצל כסימע קייט באשאפן אין די פריערדיקע אָפּטיילונג:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name”=previous root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
איר קענט איבערחזרן די אַפּפּענד_קיי אָפּעראַציע אַרויף צו צוויי מער מאָל פֿאַר אַ מאַקסימום פון דריי עפנטלעך שליסל איינסן צווישן די וואָרצל פּאָזיציע און כעדער בלאָק פּאָזיציע אין קיין איין כסימע קייט.
די פאלגענדע עקסampדי אַסומז אַז איר האָט באשאפן אן אנדער אָטענטאַקיישאַן עפנטלעך שליסל מיט די זעלבע פּערמישאַנז און אַסיינד קאַנסאַליישאַן שייַן 1 גערופן design1_sign_public.pem, און איר צוגעבן דעם שליסל צו די כסימע קייט פון די פריערדיקע עקס.ampלאַ:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name”=previous design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Intel Agilex 7 דעוויסעס אַרייַננעמען אַן נאָך שליסל קאַנסאַליישאַן טאָמבאַנק צו פאַסילאַטייט די נוצן פון אַ שליסל וואָס קען טוישן פּיריאַדיקלי איבער די לעבן פון אַ געגעבן מיטל. איר קענט אויסקלייַבן דעם שליסל קאַנסאַליישאַן טאָמבאַנק דורך טשאַנגינג די אַרגומענט פון די -cancel אָפּציע צו pts: pts_value.
2.2. סיינינג אַ קאָנפיגוראַטיאָן ביטסטרים
Intel Agilex 7 דעוויסעס שטיצן זיכערהייט ווערסיע נומער (SVN) קאָונטערס, וואָס אַלאַוז איר צו אָפּרופן די דערלויבעניש פון אַ כייפעץ אָן קאַנסאַלינג אַ שליסל. איר באַשטימען די SVN טאָמבאַנק און די צונעמען SVN טאָמבאַנק ווערט בעשאַס די סיינינג פון קיין כייפעץ, אַזאַ ווי אַ ביטסטרים אָפּטיילונג, Firmware .zip file, אָדער סאָליד באַווייַזן. איר באַשטימען די SVN טאָמבאַנק און SVN ווערט מיט די –cancel אָפּציע און svn_counter:svn_value ווי דער אַרגומענט. גילטיק וואַלועס פֿאַר svn_counter זענען svnA, svnB, svnC און svnD. די svn_value איז אַ גאַנץ נומער אין די קייט [0,63].

Intel Agilex® 7 Device Security User Guide 10

שיקן באַמערקונגען

2. אָטענטאַקיישאַן און דערלויבעניש 683823 | 2023.05.23
2.2.1. קוואַרטוס שליסל File אַסיינמאַנט
איר ספּעציפיצירן אַ כסימע קייט אין דיין Intel Quartus Prime ווייכווארג פּרויעקט צו געבן די אָטענטאַקיישאַן שטריך פֿאַר דעם פּלאַן. פון די אַסיינמאַנץ מעניו, אויסקלייַבן דיווייס מיטל און שפּילקע אָפּציעס זיכערהייַט קוואַרטוס שליסל File, דעמאָלט בלעטער צו די כסימע קייט .qky file איר באשאפן צו צייכן דעם פּלאַן.
פיגורע 1. געבן קאַנפיגיעריישאַן ביטסטרים באַשטעטיקן

אַלטערנאַטיוועלי, איר קענט לייגן די פאלגענדע אַסיינמאַנט ויסזאָגונג צו דיין Intel Quartus Prime סעטטינגס file (.qsf):
set_global_assignment -נאָמען QKY_FILE design0_sign_chain.qky
צו דזשענערייט אַ .סאָף file פֿון אַ פריער צונויפגעשטעלט פּלאַן, וואָס כולל דעם באַשטעטיקן, פֿון די פּראַסעסינג מעניו, סעלעקטירן אָנהייב אָנהייב אַסעמבלער. די נייַע רעזולטאַט .סאָף file כולל די אַסיינמאַנץ צו געבן אָטענטאַקיישאַן מיט די צוגעשטעלט כסימע קייט.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 11

2. אָטענטאַקיישאַן און דערלויבעניש 683823 | 2023.05.23
2.2.2. קאָ-סיינינג SDM Firmware
איר נוצן די quartus_sign געצייַג צו עקסטראַקט, צייכן און ינסטאַלירן די אָנווענדלעך SDM פירמוואַרע .zip file. די קאָ-געחתמעט פירמוואַרע איז דעמאָלט ינקלודעד דורך די פּראָגראַממינג file גענעראַטאָר געצייַג ווען איר גער .סאָף file אין אַ קאַנפיגיעריישאַן ביטסטרים .רבף file. איר נוצן די פאלגענדע קאַמאַנדז צו שאַפֿן אַ נייַע כסימע קייט און צייכן SDM פירמוואַרע.
1. שאַפֿן אַ נייַ סיינינג שליסל פּאָר.
א. שאַפֿן אַ נייַע סיינינג שליסל פּאָר אויף די file סיסטעם:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
ב. שאַפֿן אַ נייַע סיינינג שליסל פּאָר אין די HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen-mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. שאַפֿן אַ נייַע כסימע קייט מיט די נייַע ציבור שליסל:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name”=previous root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. נאָכמאַכן די פירמוואַרע .זיפּ file פון דיין Intel Quartus Prime Pro Edition ווייכווארג ינסטאַלירונג וועגווייַזער (/devices/programmer/firmware/agilex.zip) צו די קראַנט אַרבעט וועגווייַזער.
quartus_sign –family=agilex –get_firmware=.
4. צייכן די פירמוואַרע .זיפּ file. די געצייַג אויטאָמאַטיש אַנפּאַקס די .זיפּ file און ינדיווידזשואַלי צייכן אַלע פירמוואַרע .קמף files, דעמאָלט ריבילדז די .זיפּ file פֿאַר נוצן דורך די מכשירים אין די פאלגענדע סעקשאַנז:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 Device Security User Guide 12

שיקן באַמערקונגען

2. אָטענטאַקיישאַן און דערלויבעניש 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. סיינינג קאַנפיגיעריישאַן ביטסטרים ניצן די quartus_sign באַפֿעל
צו צייכן אַ קאַנפיגיעריישאַן ביטסטרים ניצן די quartus_sign באַפֿעל, איר ערשטער גער די .sof file צו די אַנסיינד רוי ביינערי file (.רבף) פֿאָרמאַט. איר קען אָפּטיאָנאַללי ספּעציפיצירן קאָ-געחתמעט פירמוואַרע ניצן די fw_source אָפּציע בעשאַס די קאַנווערזשאַן שריט.
איר קענען דזשענערייט די אַנסיינד רוי ביטסטרים אין .רבף פֿאָרמאַט ניצן די פאלגענדע באַפֿעל:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
לויפן איינער פון די פאלגענדע קאַמאַנדז צו צייכן די ביטסטרים מיט די quartus_sign געצייַג דיפּענדינג אויף די אָרט פון דיין שליסלען:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svna:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svna:0 unsigned_bitstream.rbf signed_bitstream.rbf
איר קען קאָנווערט געחתמעט .רבף files צו אנדערע קאַנפיגיעריישאַן ביסטרעאַם file פֿאָרמאַטירונגען.
פֿאַר עקסampאויב איר נוצן די Jam * נאָרמאַל טעסט און פּראָגראַממינג שפּראַך (STAPL) שפּילער צו פּראָגראַם אַ ביטסטרים איבער JTAG, איר נוצן די פאלגענדע באַפֿעל צו בייַטן אַ .רבף file צו די .דזשאם פֿאָרמאַט וואָס די דזשאַם סטאַפּל שפּילער ריקווייערז:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. פּאַרטיייש רעקאָנפיגוראַטיאָן מולטי-אַוטהאָריטי שטיצן

Intel Agilex 7 דעוויסעס שטיצן מאַלטי-אויטאָריטעט אָטענטאַקיישאַן פון טייל ריקאַנפיגיעריישאַן, ווו די באַזיצער פון די מיטל קריייץ און צייכן די סטאַטיק ביטסטרים, און אַ באַזונדער פּר באַזיצער קריייץ און צייכן פּר פּערסאָנאַ ביטסטרים. Intel Agilex 7 דעוויסעס ינסטרומענט מולטי-אויטאָריטעט שטיצן דורך אַסיינינג דער ערשטער אָטענטאַקיישאַן וואָרצל שליסל סלאָץ צו די מיטל אָדער סטאַטיק ביטסטרים באַזיצער און אַסיינינג די לעצט אָטענטאַקיישאַן וואָרצל שליסל שפּעלטל צו דער פּאַרטיייש ריקאַנפיגיעריישאַן פּערסאָנאַ ביטסטרים באַזיצער.
אויב די אָטענטאַקיישאַן שטריך איז ענייבאַלד, אַלע פּר פּערסאָנאַ בילדער מוזן זיין געחתמעט, אַרייַנגערעכנט נעסטעד פּר פּערסאָנאַ בילדער. PR פּערסאָנאַ בילדער קענען זיין געחתמעט דורך די באַזיצער פון די מיטל אָדער דורך די PR באַזיצער; אָבער, סטאַטיק געגנט ביטסטרים מוזן זיין געחתמעט דורך די מיטל באַזיצער.

באַמערקונג:

טייל רעקאָנפיגוראַטיאָן סטאַטיק און פּערסאָנאַ ביטסטרים ענקריפּשאַן ווען מולטי-אויטאָריטעט שטיצן איז ענייבאַלד איז פּלאַננעד אין אַ צוקונפֿט מעלדונג.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 13

2. אָטענטאַקיישאַן און דערלויבעניש 683823 | 2023.05.23

פיגורע 2.

ימפּלאַמענינג פּאַרטיייש ריקאַנפיגיעריישאַן שטיצן פֿאַר מולטי אויטאָריטעט ריקווייערז עטלעכע סטעפּס:
1. די מיטל אָדער סטאַטיק ביטסטרים באַזיצער דזשענערייץ איינער אָדער מער אָטענטאַקיישאַן וואָרצל שליסלען ווי דיסקרייבד אין קריייטינג אָטענטאַקיישאַן שליסל פּערז אין סאָפטהסם אויף בלאַט 8, ווו די –key_type אָפּציע האט ווערט באַזיצער.
2. דער פּאַרטיייש ריקאַנפיגיעריישאַן ביטסטרים באַזיצער דזשענערייץ אַ אָטענטאַקיישאַן וואָרצל שליסל אָבער ענדערונגען די –key_type אָפּציע ווערט צו secondary_owner.
3. ביידע די סטאַטיק ביטסטרים און פּאַרטיייש ריקאַנפיגיעריישאַן פּלאַן אָונערז ינשור אַז די Enable Multi-אַוטהאָריטי שטיצן טשעקקבאָקס איז ענייבאַלד אין די אַסיינמאַנץ דיווייס מיטל און שפּילקע אָפּציעס זיכערהייַט קוויטל.
ינטעל קוואַרטוס פּריים געבן מולטי אויטאָריטעט אָפּציע סעטטינגס

4. ביידע די סטאַטיק ביטסטרים און פּאַרטיייש ריקאַנפיגיעריישאַן פּלאַן אָונערז שאַפֿן כסימע קייטן באזירט אויף זייער ריספּעקטיוו וואָרצל שליסלען ווי דיסקרייבד אין קריייטינג אַ סיגנאַטורע קייט אויף בלאַט 6.
5. ביידע די סטאַטיק ביטסטרים און פּאַרטיייש ריקאַנפיגיעריישאַן פּלאַן אָונערז גער זייער קאַמפּיילד דיזיינז צו .רבף פֿאָרמאַט files און צייכן די .רבף files.
6. די מיטל אָדער סטאַטיק ביטסטרים באַזיצער דזשענערייץ און וואונדער אַ פּר ציבור שליסל פּראָגראַם דערלויבעניש סאָליד באַווייַזן.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH אָדער Owner_qky_file="root0.qky;root1.qky" unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svna:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svna:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 Device Security User Guide 14

שיקן באַמערקונגען

2. אָטענטאַקיישאַן און דערלויבעניש 683823 | 2023.05.23

7. די מיטל אָדער סטאַטיק ביטסטרים באַזיצער פּראַוויזשאַנז זייער אָטענטאַקיישאַן וואָרצל שליסל האַשעס צו די מיטל, דעמאָלט פּראָגראַמען די פּר ציבור שליסל פּראָגראַם דערלויבעניש סאָליד באַווייַזן, און לעסאָף פּראַוויזשאַנז די פּאַרטיייש ריקאַנפיגיעריישאַן ביטסטרים באַזיצער וואָרצל שליסל צו די מיטל. די דיווייס פּראַוויזשאַנז אָפּטיילונג באשרייבט דעם פּראַוויזשאַנז פּראָצעס.
8. ינטעל אַגילעקס 7 מיטל איז קאַנפיגיערד מיט די סטאַטיק געגנט .רבף file.
9. ינטעל אַגילעקס 7 מיטל איז טייל ריקאַנפיגיערד מיט די פּערסאָנאַ פּלאַן .רבף file.
פֿאַרבונדענע אינפֿאָרמאַציע
· קריייטינג אַ סיגנאַטורע קייט אויף בלאַט 6
· קריייטינג אָטענטאַקיישאַן שליסל פּערז אין SoftHSM אויף בלאַט 8
· דיווייס פּראַוויזשאַנז אויף בלאַט 25

2.2.5. וועראַפייינג קאַנפיגיעריישאַן ביטסטרעאַם סיגנאַטורע טשאַינס
נאָך איר שאַפֿן כסימע קייטן און געחתמעט ביטסטרים, איר קען באַשטעטיקן אַז אַ געחתמעט ביטסטרעאַם ריכטיק קאַנפיגיער אַ מיטל פּראָוגראַמד מיט אַ געגעבן וואָרצל שליסל. איר ערשטער נוצן די fuse_info אָפּעראַציע פון ​​​​די quartus_sign באַפֿעל צו דרוקן די האַש פון די וואָרצל ציבור שליסל צו אַ טעקסט file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

איר דעמאָלט נוצן די טשעק_ינטגריטי אָפּציע פון ​​די quartus_pfg באַפֿעל צו דורכקוקן די כסימע קייט אויף יעדער אָפּטיילונג פון אַ געחתמעט ביטסטרים אין .רבף פֿאָרמאַט. די טשעק_ינטגריטי אָפּציע פּרינץ די פאלגענדע אינפֿאָרמאַציע:
· סטאַטוס פון די קוילעלדיק ביטסטרים אָרנטלעכקייַט טשעק
· אינהאַלט פון יעדער פּאָזיציע אין יעדער כסימע קייט אַטאַטשט צו יעדער אָפּטיילונג אין די ביטסטרים .רבף file,
· געריכט קאָריק ווערט פֿאַר די האַש פון די וואָרצל ציבור שליסל פֿאַר יעדער כסימע קייט.
די ווערט פון די Fuse_info רעזולטאַט זאָל גלייַכן די Fuse שורות אין די טשעק_ינטגריטי רעזולטאַט.
quartus_pfg –check_integrity signed_bitstream.rbf

דאָ איז אַן עקסample פון די check_integrity באַפֿעלן רעזולטאַט:

אינפֿאָרמאַציע: באַפֿעל: quartus_pfg –check_integrity signed_bitstream.rbf אָרנטלעכקייַט סטאַטוס: גוט

אָפּטיילונג

טיפּ: CMF

כסימע דיסקריפּטאָר …

סיגנאַטורע קייט #0 (ענטריעס: -1, פאָטאָ: 96)

פּאָזיציע #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

Y

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 15

2. אָטענטאַקיישאַן און דערלויבעניש 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

Y

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

פּאָזיציע #1

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

Y

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

פּאָזיציע #2 קייטשאַין דערלויבעניש: SIGN_CODE קייטשאַין קענען זיין קאַנסאַלד דורך שייַן: 3 סיגנאַטורע קייט #1 (ענטריעס: -1, פאָטאָ: 648)

פּאָזיציע #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EE8241189474262629501FCD

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EE8241189474262629501FCD

פּאָזיציע #1

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

Y

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

פּאָזיציע #2

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

Y

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

פּאָזיציע #3 קייטשאַין דערלויבעניש: SIGN_CODE קייטשאַין קענען זיין קאַנסאַלד דורך שייַן: 15 סיגנאַטורע קייט #2 (ענטריעס: -1, פאָטאָ: 0) סיגנאַטורע קייט #3 (ענטריעס: -1, פאָטאָ: 0) כסימע קייט #4 (ענטריעס: -1, אָפסעט: 0) סיגנאַטורע קייט #5 (ענטריעס: -1, פאָטאָ: 0) כסימע קייט #6 (ענטריעס: -1, פאָטאָ: 0) כסימע קייט #7 (ענטריעס: -1, פאָטאָ: 0)

סעקציע טיפּ: יאָ סיגנאַטורע דעסקריפּטאָר … כסימע קייט #0 (ענטריעס: -1, פאָטאָ: 96)

פּאָזיציע #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 Device Security User Guide 16

שיקן באַמערקונגען

2. אָטענטאַקיישאַן און דערלויבעניש 683823 | 2023.05.23

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EE8241189474262629501FCD

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EE8241189474262629501FCD

פּאָזיציע #1

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

Y

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

פּאָזיציע #2

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

Y

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

פּאָזיציע #3 קייטשאַין דערלויבעניש: SIGN_CORE קייטשאַין קענען זיין קאַנסאַלד דורך שייַן: 15 סיגנאַטורע קייט #1 (ענטריעס: -1, פאָטאָ: 0) סיגנאַטורע קייט #2 (ענטריעס: -1, פאָטאָ: 0) כסימע קייט #3 (ענטריעס: -1, אָפסעט: 0) סיגנאַטורע קייט #4 (ענטריעס: -1, פאָטאָ: 0) סיגנאַטורע קייט #5 (ענטריעס: -1, פאָטאָ: 0) כסימע קייט #6 (ענטריעס: -1, פאָטאָ: 0) כסימע קייט #7 (ענטריעס: -1, פאָטאָ: 0)

אָפּטיילונג

טיפּ: HPS

כסימע דיסקריפּטאָר …

סיגנאַטורע קייט #0 (ענטריעס: -1, פאָטאָ: 96)

פּאָזיציע #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EE8241189474262629501FCD

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EE8241189474262629501FCD

פּאָזיציע #1

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

Y

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

פּאָזיציע #2

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

Y

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 17

2. אָטענטאַקיישאַן און דערלויבעניש 683823 | 2023.05.23

פּאָזיציע #3 קייטשאַין דערלויבעניש: SIGN_HPS קייטשאַין קענען זיין קאַנסאַלד דורך שייַן: 15 סיגנאַטורע קייט #1 (ענטריעס: -1, פאָטאָ: 0) סיגנאַטורע קייט #2 (ענטריעס: -1, פאָטאָ: 0) כסימע קייט #3 (ענטריעס: -1, אָפסעט: 0) סיגנאַטורע קייט #4 (ענטריעס: -1, פאָטאָ: 0) סיגנאַטורע קייט #5 (ענטריעס: -1, פאָטאָ: 0) כסימע קייט #6 (ענטריעס: -1, פאָטאָ: 0) כסימע קייט #7 (ענטריעס: -1, פאָטאָ: 0)

סעקציע טיפּ: קאָר סיגנאַטורע דיסקריפּטאָר … כסימע קייט #0 (ענטריעס: -1, פאָטאָ: 96)

פּאָזיציע #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EE8241189474262629501FCD

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EE8241189474262629501FCD

פּאָזיציע #1

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

Y

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

פּאָזיציע #2

שאַפֿן שליסל ...

ויסבייג: secp384r1

X

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

Y

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

פּאָזיציע #3 קייטשאַין דערלויבעניש: SIGN_CORE קייטשאַין קענען זיין קאַנסאַלד דורך שייַן: 15 סיגנאַטורע קייט #1 (ענטריעס: -1, פאָטאָ: 0) סיגנאַטורע קייט #2 (ענטריעס: -1, פאָטאָ: 0) כסימע קייט #3 (ענטריעס: -1, אָפסעט: 0) סיגנאַטורע קייט #4 (ענטריעס: -1, פאָטאָ: 0) סיגנאַטורע קייט #5 (ענטריעס: -1, פאָטאָ: 0) כסימע קייט #6 (ענטריעס: -1, פאָטאָ: 0) כסימע קייט #7 (ענטריעס: -1, פאָטאָ: 0)

Intel Agilex® 7 Device Security User Guide 18

שיקן באַמערקונגען

683823 | 2023.05.23 שיקן באַמערקונגען

AES Bitstream ענקריפּשאַן

Advanced Encryption Standard (AES) ביטסטרים ענקריפּשאַן איז אַ שטריך וואָס ינייבאַלז אַ מיטל באַזיצער צו באַשיצן די קאַנפאַדענשיאַלאַטי פון אינטעלעקטואַל פאַרמאָג אין אַ קאַנפיגיעריישאַן ביטסטרים.
צו באַשיצן די קאַנפאַדענשיאַלאַטי פון שליסלען, קאַנפיגיעריישאַן ביטסטרים ענקריפּשאַן ניצט אַ קייט פון AES שליסלען. די שליסלען זענען געניצט צו ענקריפּט די דאַטן פון די באַזיצער אין די קאַנפיגיעריישאַן ביטסטרים, ווו דער ערשטער ינטערמידייט שליסל איז ינקריפּטיד מיט די AES וואָרצל שליסל.

3.1. שאַפֿן די AES וואָרצל שליסל

איר קענט נוצן די quartus_encrypt געצייַג אָדער stratix10_encrypt.py רעפֿערענץ ימפּלאַמענטיישאַן צו שאַפֿן אַ AES וואָרצל שליסל אין די Intel Quartus Prime ווייכווארג ענקריפּשאַן שליסל (.qek) פֿאָרמאַט file.

באַמערקונג:

די stratix10_encrypt.py file איז געניצט פֿאַר Intel Stratix® 10 און Intel Agilex 7 דעוויסעס.

איר קענט אָפּטיאָנאַללי ספּעציפיצירן די באַזע שליסל געניצט צו באַקומען די AES וואָרצל שליסל און שליסל דעריוויישאַן שליסל, די ווערט פֿאַר די AES וואָרצל שליסל גלייַך, די נומער פון ינטערמידייט שליסלען און די מאַקסימום נוצן פּער ינטערמידייט שליסל.

איר מוזן ספּעציפיצירן די מיטל משפּחה, רעזולטאַט .קעק file אָרט און פּאַסספראַסע ווען פּראַמפּטיד.
לויפן די פאלגענדע באַפֿעל צו דזשענערייט די AES וואָרצל שליסל ניצן טראַפ דאַטן פֿאַר די באַזע שליסל און פעליקייַט וואַלועס פֿאַר נומער פון ינטערמידייט שליסלען און מאַקסימום שליסל נוצן.
צו נוצן די רעפֿערענץ ימפּלאַמענטיישאַן, איר פאַרבייַטן אַ רוף צו די פּיטהאָן יבערזעצער ינקלודעד מיט Intel Quartus Prime ווייכווארג און לאָזן די -family=agilex אָפּציע; אַלע אנדערע אָפּציעס זענען עקוויוואַלענט. פֿאַר עקסample, די quartus_encrypt באַפֿעל געפֿונען שפּעטער אין דער אָפּטיילונג

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

קענען זיין קאָנווערטעד אין די עקוויוואַלענט רוף צו דער רעפֿערענץ ימפּלאַמענטיישאַן ווי גייט pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. קוואַרטוס ענקריפּשאַן סעטטינגס
צו געבן ביטסטרים ענקריפּשאַן פֿאַר אַ פּלאַן, איר מוזן ספּעציפיצירן די צונעמען אָפּציעס ניצן די אַסיינמאַנץ דיווייס מיטל און שפּילקע אָפּציעס זיכערהייַט טאַפליע. איר אויסקלייַבן די געבן קאַנפיגיעריישאַן ביטסטרים ענקריפּשאַן טשעקקבאָקס, און די געבעטן ענקריפּשאַן שליסל סטאָרידזש אָרט פון די דראָפּדאָוון מעניו.

Intel Corporation. אלע רעכטן רעזערווירט. ינטעל, די ינטעל לאָגאָ און אנדערע ינטעל מאַרקס זענען טריידמאַרקס פון ינטעל קאָרפּאָראַטיאָן אָדער זייַן סאַבסידיעריז. ינטעל וואָראַנטיז פאָרשטעלונג פון זייַן FPGA און סעמיקאַנדאַקטער פּראָדוקטן צו קראַנט ספּעסאַפאַקיישאַנז אין לויט מיט ינטעל ס נאָרמאַל וואָראַנטי, אָבער ריזערווז די רעכט צו מאַכן ענדערונגען צו קיין פּראָדוקטן און באַדינונגס אין קיין צייט אָן באַמערקן. ינטעל אַסומז קיין פֿאַראַנטוואָרטלעכקייט אָדער אַכרייַעס וואָס איז שטייענדיק פֿון די אַפּלאַקיישאַן אָדער נוצן פון קיין אינפֿאָרמאַציע, פּראָדוקט אָדער דינסט דיסקרייבד דאָ, אַחוץ ווי ינטעל איז עקספּרעסלי מסכים צו שרייבן. ינטעל קאַסטאַמערז זענען אַדווייזד צו קריגן די לעצטע ווערסיע פון ​​די מיטל ספּעסאַפאַקיישאַנז איידער זיי פאַרלאָזנ אויף קיין ארויס אינפֿאָרמאַציע און איידער פּלייסינג אָרדערס פֿאַר פּראָדוקטן אָדער באַדינונגס. * אנדערע נעמען און בראַנדז קען זיין קליימד ווי די פאַרמאָג פון אנדערע.

ISO 9001:2015 רעגיסטרירט

פיגורע 3. Intel Quartus Prime Encryption Settings

3. AES Bitstream ענקריפּשאַן 683823 | 2023.05.23

אַלטערנאַטיוועלי, איר קענט לייגן די פאלגענדע אַסיינמאַנט ויסזאָגונג צו דיין Intel Quartus Prime סעטטינגס file .qsf:
set_global_assignment -נאָמען ENCRYPT_PROGRAMMING_BITSTREAM אויף set_global_assignment -נאָמען PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
אויב איר ווילן צו געבן נאָך מיטיגיישאַנז קעגן זייַט-קאַנאַל באַפאַלן וועקטאָרס, איר קען געבן די דראָפּדאָוון ענקריפּשאַן דערהייַנטיקן פאַרהעלטעניש און געבן סקראַמבאַלינג טשעקקבאָקס.

Intel Agilex® 7 Device Security User Guide 20

שיקן באַמערקונגען

3. AES Bitstream ענקריפּשאַן 683823 | 2023.05.23

די קאָראַספּאַנדינג ענדערונגען אין די .qsf זענען:
set_global_assignment -נאָמען PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING אויף set_global_assignment -נאָמען PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. ענקריפּטינג אַ קאַנפיגיעריישאַן ביטסטרים
איר ינקריפּט אַ קאַנפיגיעריישאַן ביטסטרים איידער סיינינג די ביטסטרים. די Intel Quartus Prime פּראָגראַממינג File גענעראַטאָר געצייַג קענען אויטאָמאַטיש ינקריפּט און צייכן אַ קאַנפיגיעריישאַן ביטסטרים ניצן די גראַפיקאַל באַניצער צובינד אָדער באַפֿעלן שורה.
איר קענט אָפּטיאָנאַללי שאַפֿן אַ טייל ינקריפּטיד ביטסטרים פֿאַר נוצן מיט די quartus_encrypt און quartus_sign מכשירים אָדער רעפֿערענץ ימפּלאַמענטיישאַן יקוויוואַלאַנץ.

3.3.1. קאַנפיגיעריישאַן ביטסטרים ענקריפּשאַן ניצן די פּראָגראַממינג File גענעראַטאָר גראַפיקאַל צובינד
איר קענען נוצן די פּראָגראַממינג File גענעראַטאָר צו ענקריפּט און צייכן די באַזיצער בילד.

פיגורע 4.

1. אויף די Intel Quartus Prime File מעניו אויסקלייַבן פּראָגראַממינג File גענעראַטאָר. 2. אויף די רעזולטאַט Files קוויטל, ספּעציפיצירן די רעזולטאַט file טיפּ פֿאַר דיין קאַנפיגיעריישאַן
סכעמע.
רעזולטאַט File באַשרייַבונג

קאָנפיגוראַטיאָן סכעמע רעזולטאַט file קוויטל
רעזולטאַט file טיפּ

3. אויף די אַרייַנשרייַב Fileס קוויטל, גיט לייג ביטסטרים און בלעטער צו דיין .סאָף. 4. צו ספּעציפיצירן ענקריפּשאַן און אָטענטאַקיישאַן אָפּציעס אויסקלייַבן די .סאָף און גיט
פּראָפּערטיעס. א. קער אויף געבן סיינינג געצייַג. ב. פֿאַר פּריוואַט שליסל file אויסקלייַבן דיין סיינינג שליסל פּריוואַט .פּעם file. ג. קער אויף פינאַליזע ענקריפּשאַן.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 21

3. AES Bitstream ענקריפּשאַן 683823 | 2023.05.23

פיגורע 5.

ד. פֿאַר ענקריפּשאַן שליסל file, אויסקלייַבן דיין AES .qek file. אַרייַנשרייַב (.סאָף) File פּראָפּערטיעס פֿאַר אָטענטאַקיישאַן און ענקריפּשאַן

געבן אָטענטאַקיישאַן ספּעציפיצירן פּריוואַט וואָרצל .פּעם
געבן ענקריפּשאַן ספּעציפיצירן ענקריפּשאַן שליסל
5. צו דזשענערייט די געחתמעט און ינקריפּטיד ביטסטרים, אויף די ינפּוט Files קוויטל, גיט דזשענערייט. שפּריכוואָרט דיאַלאָג באָקסעס דערשייַנען פֿאַר איר צו אַרייַנשרייַב דיין פּאַסספראַסע פֿאַר דיין אַעס שליסל .קעק file און סיינינג פּריוואַט שליסל .פּעם file. די פּראָגראַממינג file גענעראַטאָר קריייץ די ינקריפּטיד און געחתמעט רעזולטאַט_file.rbf.
3.3.2. קאַנפיגיעריישאַן ביטסטרים ענקריפּשאַן ניצן די פּראָגראַממינג File גענעראַטאָר קאַמאַנד שורה צובינד
דזשענערייט אַן ינקריפּטיד און געחתמעט קאַנפיגיעריישאַן ביטסטרים אין .רבף פֿאָרמאַט מיט די quartus_pfg באַפֿעלן שורה צובינד:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -אָ סיינינג=ON -o pem_file=design0_sign_private.pem
איר קען גער אַ ינקריפּטיד און געחתמעט קאַנפיגיעריישאַן ביטסטרים אין .רבף פֿאָרמאַט צו אנדערע קאַנפיגיעריישאַן ביטסטרים file פֿאָרמאַטירונגען.
3.3.3. טייל ענקריפּטיד קאַנפיגיעריישאַן ביטסטרים גענעראַטיאָן ניצן די קאַמאַנד שורה צובינד
איר קען דזשענערייט אַ טייל ינקריפּטיד פּראָגראַממינג file צו פיינאַלייז ענקריפּשאַן און צייכן די בילד שפּעטער. דזשענערייט די טייל ינקריפּטיד פּראָגראַממינג file אין די .רבף פֿאָרמאַט מיט די קוואַרטוס_פּפג קאַמאַנד שורה צובינד: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 Device Security User Guide 22

שיקן באַמערקונגען

3. AES Bitstream ענקריפּשאַן 683823 | 2023.05.23
איר נוצן די quartus_encrypt באַפֿעלן שורה געצייַג צו פיינאַלייז ביטסטרים ענקריפּשאַן:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
איר נוצן די quartus_sign באַפֿעלן שורה געצייַג צו צייכן די ענקריפּטיד קאַנפיגיעריישאַן ביטסטרים:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svna:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svna:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. פּאַרטיייש רעקאָנפיגוראַטיאָן ביטסטרים ענקריפּשאַן
איר קענען געבן ביטסטרים ענקריפּשאַן אויף עטלעכע Intel Agilex 7 FPGA דיזיינז וואָס נוצן פּאַרטיייש ריקאַנפיגיעריישאַן.
פּאַרטיייש רעקאָנפיגוראַטיאָן דיזיינז ניצן די כייעראַרקיקאַל פּאַרטיייש רעקאָנפיגוראַטיאָן (HPR), אָדער סטאַטיק אַפּדייט פּאַרטיייש רעקאָנפיגוראַטיאָן (SUPR) שטיצן נישט די ביטסטרים ענקריפּשאַן. אויב דיין פּלאַן כּולל קייפל פּר מקומות, איר מוזן ענקריפּט אַלע פּערסאָנאַז.
צו געבן ביטסטרעאַם ענקריפּשאַן פּאַרטיייש רעקאָנפיגוראַטיאָן, נאָכגיין די זעלבע פּראָצעדור אין אַלע דיזיין ריוויזשאַנז. 1. אויף די Intel Quartus Prime File מעניו, אויסקלייַבן אַסיינמאַנץ דיווייס מיטל
און שפּילקע אָפּציעס זיכערהייַט. 2. אויסקלייַבן די געבעטן ענקריפּשאַן שליסל סטאָרידזש אָרט.
פיגורע 6. פּאַרטיייש רעקאָנפיגוראַטיאָן ביטסטרעאַם ענקריפּטיאָן באַשטעטיקן

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 23

3. AES Bitstream ענקריפּשאַן 683823 | 2023.05.23
אַלטערנאַטיוועלי, איר קענט לייגן די פאלגענדע אַסיינמאַנט ויסזאָגונג אין די Quartus Prime סעטטינגס file .qsf:
set_global_assignment-name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION אויף
נאָך איר צונויפנעמען דיין באַזע פּלאַן און ריוויזשאַנז, די ווייכווארג דזשענערייץ אַ.סאָףfile און איינער אָדער מער.פּמסףfiles, רעפּריזענטינג די פּערסאָנאַז. 3. שאַפֿן ינקריפּטיד און געחתמעט פּראָגראַממינג fileס פון.סאָף און.פּמסף files אין אַ ענלעך מאָדע צו דיזיינז מיט קיין פּאַרטיייש ריקאַנפיגיעריישאַן ענייבאַלד. 4. גער די צונויפגעשטעלט persona.pmsf file צו אַ טייל ענקריפּטיד.רבף file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. פיינאַלייז ביטסטרים ענקריפּשאַן ניצן די quartus_encrypt באַפֿעלן שורה געצייַג:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. צייכן די ינקריפּטיד קאַנפיגיעריישאַן ביטסטרים ניצן די quartus_sign באַפֿעלן שורה געצייַג:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Intel Agilex® 7 Device Security User Guide 24

שיקן באַמערקונגען

683823 | 2023.05.23 שיקן באַמערקונגען

מיטל פּראַוויזשאַנז

ערשט זיכערהייט שטריך פּראַוויזשאַנז איז בלויז געשטיצט אין די SDM טנייַ פירמוואַרע. ניצן די Intel Quartus Prime פּראָגראַמיסט צו לאָדן די SDM טנייַ פירמוואַרע און דורכפירן פּראַוויזשאַנז אַפּעריישאַנז.
איר קענט נוצן קיין טיפּ פון JTAG אראפקאפיע קאַבלע צו פאַרבינדן די Quartus פּראָגראַמיסט צו אַן Intel Agilex 7 מיטל צו דורכפירן פּראַוויזשאַנז אַפּעריישאַנז.
4.1. ניצן SDM Provision Firmware
די Intel Quartus Prime פּראָגראַמיסט אויטאָמאַטיש קריייץ און לאָודז אַ פאַבריק פעליקייַט העלפּער בילד ווען איר אויסקלייַבן די ינישאַליזע אָפּעראַציע און אַ באַפֿעל צו פּראָגראַם עפּעס אַנדערש ווי אַ קאַנפיגיעריישאַן ביטסטרים.
דעפּענדינג אויף די פּראָגראַממינג באַפֿעל ספּעסיפיעד, די פאַבריק פעליקייַט העלפּער בילד איז איינער פון צוויי טייפּס:
· פּראַוויזשאַנז העלפּער בילד - באשטייט פון איין ביטסטרים אָפּטיילונג מיט די SDM פּראַוויזשאַנז פירמוואַרע.
· QSPI העלפער בילד - באשטייט פון צוויי ביטסטרים סעקשאַנז, איינער מיט די SDM הויפּט פירמוואַרע און איין י / אָ אָפּטיילונג.
איר קען מאַכן אַ פאַבריק פעליקייַט העלפּער בילד file צו לאָדן אין דיין מיטל איידער איר דורכפירן קיין פּראָגראַממינג באַפֿעל. נאָך פּראָגראַממינג אַ אָטענטאַקיישאַן וואָרצל שליסל האַש, איר מוזן שאַפֿן און צייכן אַ QSPI פאַבריק פעליקייַט העלפּער בילד ווייַל פון די אַרייַנגערעכנט י / אָ אָפּטיילונג. אויב איר אַדישנאַלי פּראָגראַם די קאָ-געחתמעט פירמוואַרע זיכערהייט באַשטעטיקן eFuse, איר מוזן שאַפֿן פּראַוויזשאַנז און QSPI פאַבריק פעליקייַט העלפּער בילדער מיט קאָ-געחתמעט פירמוואַרע. איר קענט נוצן אַ קאָ-געחתמעט פאַבריק פעליקייַט העלפּער בילד אויף אַן אַנפּראַוויזשאַנד מיטל, ווייַל די אַנפּראַוויזשאַנד מיטל יגנאָרז ניט-ינטעל סיגנאַטורע קייטן איבער SDM פירמוואַרע. אָפּשיקן צו ניצן QSPI פאַבריק פעליקייַט העלפּער בילד אויף אָונד דעוויסעס אויף בלאַט 26 פֿאַר מער דעטאַילס וועגן קריייטינג, סיינינג און ניצן די QSPI פאַבריק פעליקייַט העלפּער בילד.
די פּראַוויידינג פאַבריק פעליקייַט העלפּער בילד פּערפאָרמז אַ פּראַוויזשאַנז קאַמף, אַזאַ ווי פּראָגראַממינג די אָטענטאַקיישאַן וואָרצל שליסל האַש, זיכערהייט באַשטעטיקן פוסעס, PUF ענראָולמאַנט אָדער שוואַרץ שליסל פּראַוויזשאַנז. איר נוצן די Intel Quartus Prime פּראָגראַממינג File גענעראַטאָר באַפֿעלן שורה געצייַג צו שאַפֿן די פּראַוויזשאַנז העלפּער בילד, ספּעציפיצירן די העלפּער_ימאַגע אָפּציע, דיין העלפּער_דיווייס נאָמען, די סאַבטייפּע פון ​​די פּראַוויזשאַנז העלפּער בילד, און אָפּטיאָנאַללי אַ קאָ-געחתמעט פירמוואַרע .זיפּ file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
פּראָגראַם די העלפער בילד מיט די Intel Quartus Prime פּראָגראַמיסט געצייַג:
quartus_pgm -c 1 -מ דזשtag -אָ "פּ; Signed_Provision_helper_image.rbf" -פאָרס

Intel Corporation. אלע רעכטן רעזערווירט. ינטעל, די ינטעל לאָגאָ און אנדערע ינטעל מאַרקס זענען טריידמאַרקס פון ינטעל קאָרפּאָראַטיאָן אָדער זייַן סאַבסידיעריז. ינטעל וואָראַנטיז פאָרשטעלונג פון זייַן FPGA און סעמיקאַנדאַקטער פּראָדוקטן צו קראַנט ספּעסאַפאַקיישאַנז אין לויט מיט ינטעל ס נאָרמאַל וואָראַנטי, אָבער ריזערווז די רעכט צו מאַכן ענדערונגען צו קיין פּראָדוקטן און באַדינונגס אין קיין צייט אָן באַמערקן. ינטעל אַסומז קיין פֿאַראַנטוואָרטלעכקייט אָדער אַכרייַעס וואָס איז שטייענדיק פֿון די אַפּלאַקיישאַן אָדער נוצן פון קיין אינפֿאָרמאַציע, פּראָדוקט אָדער דינסט דיסקרייבד דאָ, אַחוץ ווי ינטעל איז עקספּרעסלי מסכים צו שרייבן. ינטעל קאַסטאַמערז זענען אַדווייזד צו קריגן די לעצטע ווערסיע פון ​​די מיטל ספּעסאַפאַקיישאַנז איידער זיי פאַרלאָזנ אויף קיין ארויס אינפֿאָרמאַציע און איידער פּלייסינג אָרדערס פֿאַר פּראָדוקטן אָדער באַדינונגס. * אנדערע נעמען און בראַנדז קען זיין קליימד ווי די פאַרמאָג פון אנדערע.

ISO 9001:2015 רעגיסטרירט

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23

באַמערקונג:

איר קען פאַרלאָזן די ינישאַליזע אָפּעראַציע פֿון קאַמאַנדז, אַרייַנגערעכנט עקסampלייס צוגעשטעלט אין דעם קאַפּיטל, נאָך פּראָגראַממינג אַ טנייַ העלפּער בילד אָדער ניצן אַ באַפֿעל וואָס כּולל די ינישאַלייז אָפּעראַציע.

4.2. ניצן QSPI Factory Default Helper בילד אויף אָונד דעוויסעס
די Intel Quartus Prime פּראָגראַמיסט אויטאָמאַטיש קריייץ און לאָודז אַ QSPI פאַבריק פעליקייַט העלפּער בילד ווען איר אויסקלייַבן די ינישאַליזע אָפּעראַציע פֿאַר אַ QSPI בליץ פּראָגראַממינג file. נאָך פּראָגראַממינג אַ אָטענטאַקיישאַן וואָרצל שליסל האַש, איר מוזן שאַפֿן און צייכן די QSPI פאַבריק פעליקייַט העלפּער בילד, און פּראָגראַם די געחתמעט QSPI פאַבריק העלפער בילד סעפּעראַטלי איידער פּראָגראַממינג די QSPI בליץ. 1. איר נוצן די Intel Quartus Prime פּראָגראַממינג File גענעראַטאָר באַפֿעלן שורה געצייַג צו
שאַפֿן די QSPI העלפער בילד, ספּעציפיצירן די העלפּער_ימאַגע אָפּציע, דיין העלפּער_דיווייס טיפּ, די QSPI העלפּער בילד סאַבטיי, און אָפּטיאָנאַללי אַ קאָסיגנעד פירמוואַרע .זיפּ file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. איר צייכן די QSPI פאַבריק פעליקייַט העלפּער בילד:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. איר קען נוצן קיין QSPI בליץ פּראָגראַממינג file פֿאָרמאַט. די פאלגענדע עקסampליי נוצן אַ קאַנפיגיעריישאַן ביטסטרים קאָנווערטעד צו די .דזשיק file פֿאָרמאַט:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. איר פּראָגראַם די געחתמעט העלפּער בילד ניצן די Intel Quartus Prime פּראָגראַמיסט געצייַג:
quartus_pgm -c 1 -מ דזשtag -אָ "פּ; סיגנעד_קספּי_העלפּער_ימאַגע.רבף" -פאָרס
5. איר פּראָגראַם די .jic בילד צו בליץ ניצן די Intel Quartus Prime פּראָגראַמיסט געצייַג:
quartus_pgm -c 1 -מ דזשtag -אָ "פּ; סיגנעד_פלאַש.דזשיק"

4.3. אָטענטאַקיישאַן וואָרצל שליסל פּראַוויזשאַנז
צו פּראָגראַם די באַזיצער וואָרצל האַשעס צו פיזיש פוסעס, איר מוזן ערשטער לאָדן די פירמוואַרע פון ​​די טנייַ, ווייַטער פּראָגראַם די וואָרצל שליסל האַשעס פון די באַזיצער, און דעמאָלט מיד דורכפירן אַ מאַכט-אויף באַשטעטיק. א מאַכט-אויף באַשטעטיק איז ניט פארלאנגט אויב פּראָגראַממינג וואָרצל שליסל האַשעס צו ווירטואַל פוסעס.

Intel Agilex® 7 Device Security User Guide 26

שיקן באַמערקונגען

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23
צו פּראָגראַם אָטענטאַקיישאַן וואָרצל שליסל האַשעס, איר פּראָגראַם די פּראַוויידינג פירמוואַרע העלפּער בילד און לויפן איינער פון די פאלגענדע קאַמאַנדז צו פּראָגראַם די וואָרצל שליסל .qky files.
// פֿאַר גשמיות (ניט-וואַלאַטאַל) עפוסעס quartus_pgm -c 1 -m jtag -אָ "פּ; וואָרצל 0. קקי; וואָרצל 1. קקי; וואָרצל 2. קקי" - נאָן_וואַלאַטילע_קיי
// פֿאַר ווירטואַל (וואַלאַטאַל) eFuses quartus_pgm -c 1 -m jtag -אָ "פּ; וואָרצל 0. קקי; וואָרצל 1. קקי; וואָרצל 2. קקי"
4.3.1. פּאַרטיייש רעקאָנפיגוראַטיאָן מולטי-אויטאָריטעט וואָרצל שליסל פּראָגראַממינג
נאָך פּראַוויידינג די מיטל אָדער סטאַטיק געגנט ביטסטרים באַזיצער וואָרצל שליסלען, איר ווידער לאָדן די מיטל פּראַוויידינג העלפּער בילד, פּראָגראַם די געחתמעט פּר ציבור שליסל פּראָגראַם דערלויבעניש סאָליד באַווייַזן, און דעמאָלט צושטעלן די PR פּערסאָנאַ ביטסטרים באַזיצער וואָרצל שליסל.
// פֿאַר גשמיות (ניט-וואַלאַטאַל) עפוסעס quartus_pgm -c 1 -m jtag -אָ "פּ; וואָרצל_פּר.קקי" -פּר_פּובקיי -נאָן_וואַלאַטילע_קיי
// פֿאַר ווירטואַל (וואַלאַטאַל) eFuses quartus_pgm -c 1 -m jtag -אָ "פּ; פּ; וואָרצל_פּר.קקי" -פּר_פּובקיי
4.4. פּראָגראַממינג שליסל קאַנסעללאַטיאָן שייַן פוסעס
סטאַרטינג מיט Intel Quartus Prime Pro Edition ווייכווארג ווערסיע 21.1, פּראָגראַממינג Intel און באַזיצער שליסל קאַנסאַליישאַן שייַן פוסעס ריקווייערז די נוצן פון אַ געחתמעט סאָליד באַווייַזן. איר קענט אונטערשרייבן די סאָליד סערטיפיקאַט פון די שליסל קאַנסאַליישאַן שייַן מיט אַ כסימע קייט וואָס האט FPGA אָפּטיילונג סיינינג פּערמישאַנז. איר מאַכן די סאָליד באַווייַזן מיט די פּראָגראַממינג file גענעראַטאָר באַפֿעלן שורה געצייַג. איר צייכן די אַנסיינד באַווייַזן מיט די quartus_sign געצייַג אָדער רעפֿערענץ ימפּלאַמענטיישאַן.
Intel Agilex 7 דעוויסעס שטיצן באַזונדער באַנקס פון באַזיצער שליסל קאַנסאַליישאַן ידס פֿאַר יעדער וואָרצל שליסל. ווען אַ באַזיצער שליסל קאַנסאַליישאַן שייַן סאָליד באַווייַזן איז פּראָוגראַמד אין אַן Intel Agilex 7 FPGA, די SDM דיטערמאַנז וואָס וואָרצל שליסל געחתמעט די סאָליד באַווייַזן און בלאָוז די שליסל קאַנסאַליישאַן שייַן פוסע וואָס קאָראַספּאַנדז צו דעם וואָרצל שליסל.
די פאלגענדע עקסampשאַפֿן אַן ינטעל שליסל קאַנסאַליישאַן באַווייַזן פֿאַר ינטעל שליסל שייַן 7. איר קען פאַרבייַטן 7 מיט די אָנווענדלעך ינטעל שליסל קאַנסאַליישאַן שייַן פֿון 0-31.
לויפן די פאלגענדע באַפֿעל צו שאַפֿן אַן אַנסיינד ינטעל שליסל קאַנסאַליישאַן שייַן סאָליד באַווייַזן:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
לויפן איינער פון די פאלגענדע קאַמאַנדז צו צייכן די ונסיגנעד ינטעל שליסל קאַנסאַליישאַן שייַן סאָליד באַווייַזן:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svna:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 27

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
לויפן די פאלגענדע באַפֿעל צו שאַפֿן אַ אַנסיינד באַזיצער שליסל קאַנסאַליישאַן שייַן סאָליד באַווייַזן:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
לויפן איינער פון די פאלגענדע קאַמאַנדז צו צייכן די ונסיגנעד באַזיצער שליסל קאַנסאַליישאַן שייַן סאָליד באַווייַזן:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svna:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svna:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
נאָך איר האָבן באשאפן אַ געחתמעט שליסל קאַנסאַליישאַן שייַן סאָליד באַווייַזן, איר נוצן די Intel Quartus Prime פּראָגראַמיסט צו פּראָגראַם די סאָליד באַווייַזן צו די מיטל דורך JTAG.
// פֿאַר גשמיות (ניט-וואַלאַטאַל) eFuses quartus_pgm -c 1 -m jtag -אָ "פּי; signed_cancel_intel7.ccert" -non_volatile_key quartus_pgm -c 1 -m jtag -אָ "פּי; Signed_cancel_owner2.ccert" -non_volatile_key
// פֿאַר ווירטואַל (וואַלאַטאַל) eFuses quartus_pgm -c 1 -m jtag -o "pi; signed_cancel_intel7.ccert" quartus_pgm -c 1 -m jtag -o "pi; signed_cancel_owner2.ccert"
איר קענט אויך שיקן די סאָליד באַווייַזן צו די SDM ניצן די FPGA אָדער HPS בריווקאַסטן צובינד.
4.5. קאַנסאַלינג וואָרצל קיז
Intel Agilex 7 דעוויסעס לאָזן איר באָטל מאַכן די וואָרצל שליסל האַשעס ווען אן אנדער אַנקאַנסאַלד וואָרצל שליסל האַש איז פאָרשטעלן. איר באָטל מאַכן אַ וואָרצל שליסל האַש דורך ערשטער קאַנפיגיער די מיטל מיט אַ פּלאַן וועמענס כסימע קייט איז איינגעווארצלט אין אַ אַנדערש וואָרצל שליסל האַש, דעמאָלט פּראָגראַם אַ געחתמעט וואָרצל שליסל האַש קאַנסאַליישאַן סאָליד באַווייַזן. איר מוזן צייכן די וואָרצל שליסל האַש קאַנסאַליישאַן סאָליד באַווייַזן מיט אַ כסימע קייט איינגעווארצלט אין דער וואָרצל שליסל צו זיין קאַנסאַלד.
לויפן די פאלגענדע באַפֿעל צו דזשענערייט אַ אַנסיינד וואָרצל שליסל האַש קאַנסאַליישאַן סאָליד באַווייַזן:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 Device Security User Guide 28

שיקן באַמערקונגען

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23

לויפן איינער פון די פאלגענדע קאַמאַנדז צו צייכן די אַנסיינד וואָרצל שליסל האַש קאַנסאַליישאַן סאָליד באַווייַזן:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svna:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svna:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
איר קען פּראָגראַם אַ וואָרצל שליסל האַש קאַנסאַליישאַן סאָליד באַווייַזן דורך JTAG, FPGA אָדער HPS מיילבאַקסיז.

4.6. פּראָגראַממינג קאָונטער פוסעס
איר דערהייַנטיקן די זיכערהייט ווערסיע נומער (SVN) און Pseudo Time Stamp (PTS) טאָמבאַנק פוסעס ניצן געחתמעט סאָליד סערטיפיקאַץ.

באַמערקונג:

די SDM האלט די מינימום טאָמבאַנק ווערט געזען בעשאַס אַ געגעבן קאַנפיגיעריישאַן און טוט נישט אָננעמען טאָמבאַנק ינקראַמאַנט סערטיפיקאַץ ווען די טאָמבאַנק ווערט איז קלענערער ווי די מינימום ווערט. איר מוזן דערהייַנטיקן אַלע אַבדזשעקץ אַסיינד צו אַ טאָמבאַנק און ריקאַנפיגיער די מיטל איידער איר פּראָגראַממינג אַ טאָמבאַנק ינקראַמאַנט סאָליד באַווייַזן.

לויפן איינער פון די פאלגענדע קאַמאַנדז וואָס קאָראַספּאַנדז צו די טאָמבאַנק ינקראַמאַנט באַווייַזן איר ווילן צו דזשענערייט.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o טאָמבאַנק= unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o טאָמבאַנק= unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter= unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o טאָמבאַנק= unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter= unsigned_svnD.ccert

א טאָמבאַנק ווערט פון 1 קריייץ אַ טאָמבאַנק ינקראַמאַנט דערלויבעניש באַווייַזן. פּראָגראַממינג אַ טאָמבאַנק ינקראַמאַנט דערלויבעניש סאָליד באַווייַזן ינייבאַלז איר צו פּראָגראַם ווייַטער אַנסיינד טאָמבאַנק ינקראַמאַנט סערטיפיקאַץ צו דערהייַנטיקן די ריספּעקטיוו טאָמבאַנק. איר נוצן די quartus_sign געצייַג צו צייכן די טאָמבאַנק סאָליד סערטיפיקאַץ אין אַ ענלעך וועג צו שליסל קאַנסאַליישאַן שייַן סאָליד סערטיפיקאַץ.
איר קען פּראָגראַם אַ וואָרצל שליסל האַש קאַנסאַליישאַן סאָליד באַווייַזן דורך JTAG, FPGA אָדער HPS מיילבאַקסיז.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 29

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23

4.7. זיכער דאַטאַ אָבדזשעקט סערוויס וואָרצל שליסל פּראַוויזשאַנז
איר נוצן די Intel Quartus Prime פּראָגראַמיסט צו צושטעלן די זיכער דאַטאַ אָבדזשעקט סערוויס (SDOS) וואָרצל שליסל. דער פּראָגראַמיסט אויטאָמאַטיש לאָודז די פּראַוויידינג פירמוואַרע העלפּער בילד צו צושטעלן די SDOS וואָרצל שליסל.
quartus_pgm c 1 עם דזשtag -סערוויס_ראָאָט_קיי -נאָן_וואַלאַטילע_קיי

4.8. זיכערהייט באַשטעטיקן פוסע פּראַוויזשאַנז
ניצן די Intel Quartus Prime פּראָגראַמיסט צו ונטערזוכן די זיכערהייט סעטטינגס פון די מיטל און שרייַבן זיי צו אַ טעקסט-באזירט .פוסע file ווי פאלגענד:
quartus_pgm -c 1 -מ דזשtag -o "ei; פּראָגראַממינג_file.פוסע;AGFB014R24B"

אָפּציעס · איך: די פּראָגראַמיסט לאָודז די פּראַוויידינג פירמוואַרע העלפּער בילד צו די מיטל. · E: דער פּראָגראַמיסט לייענט די קאָריק פון די מיטל און סטאָרז עס אין אַ .פוסע file.

די .פוסע file כּולל אַ רשימה פון קאָריק נאָמען-ווערט פּערז. דער ווערט ספּעציפיצירט צי אַ קאָריק איז בלאָון אָדער די אינהאַלט פון די קאָריק פעלד.

די פאלגענדע עקסample ווייזט די פֿאָרמאַט פון די .פוסע file:

# קאָ-געחתמעט פירמוואַרע

= "ניט בלאָון"

# מיטל דערלויבן טייטן

= "ניט בלאָון"

# מיטל איז נישט זיכער

= "ניט בלאָון"

# דיסייבאַל HPS דיבאַג

= "ניט בלאָון"

# דיסייבאַל ינטרינסיק שייַן PUF ענראָולמאַנט

= "ניט בלאָון"

# דיסייבאַל JTAG

= "ניט בלאָון"

# דיסייבאַל PUF-אלנגעוויקלט ענקריפּשאַן שליסל

= "ניט בלאָון"

# דיסייבאַל באַזיצער ענקריפּשאַן שליסל אין BBRAM = "ניט בלאָון"

# דיסייבאַל באַזיצער ענקריפּשאַן שליסל אין eFuses = "ניט בלאָון"

# דיסייבאַל באַזיצער וואָרצל ציבור שליסל האַש 0

= "ניט בלאָון"

# דיסייבאַל באַזיצער וואָרצל ציבור שליסל האַש 1

= "ניט בלאָון"

# דיסייבאַל באַזיצער וואָרצל ציבור שליסל האַש 2

= "ניט בלאָון"

# דיסייבאַל ווירטואַל eFuses

= "ניט בלאָון"

# קראַפט SDM זייגער צו ינערלעך אַסאַלייטער = "ניט בלאָון"

# פאָרס ענקריפּשאַן שליסל דערהייַנטיקן

= "ניט בלאָון"

# ינטעל יקספּליסאַט שליסל קאַנסאַליישאַן

= "0"

# לאַק זיכערהייט עפוסעס

= "ניט בלאָון"

# באַזיצער ענקריפּשאַן שליסל פּראָגראַם איז דורכגעקאָכט

= "ניט בלאָון"

# אָנהייב פון די פּראָגראַם פֿאַר די ענקריפּשאַן שליסל

= "ניט בלאָון"

# באַזיצער יקספּליסאַט שליסל קאַנסאַליישאַן 0

= ""

# באַזיצער יקספּליסאַט שליסל קאַנסאַליישאַן 1

= ""

# באַזיצער יקספּליסאַט שליסל קאַנסאַליישאַן 2

= ""

# באַזיצער פוסעס

=

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000״

# באַזיצער וואָרצל ציבור שליסל האַש 0

=

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000״

# באַזיצער וואָרצל ציבור שליסל האַש 1

=

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000״

# באַזיצער וואָרצל ציבור שליסל האַש 2

=

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000״

# באַזיצער וואָרצל ציבור שליסל גרייס

= "קיין"

# PTS טאָמבאַנק

= "0"

# PTS טאָמבאַנק באַזע

= "0"

Intel Agilex® 7 Device Security User Guide 30

שיקן באַמערקונגען

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23

# QSPI אָנהייב-אַרויף פאַרהאַלטן # RMA קאָונטער # SDMIO0 איז I2C # SVN טאָמבאַנק א # SVN טאָמבאַנק B # SVN טאָמבאַנק C # SVN טאָמבאַנק D

= "10ms" = "0" = "ניט בלאָון" = "0" = "0" = "0" = "0"

מאָדיפיצירן די .פוסע file צו שטעלן דיין געוואלט זיכערהייט באַשטעטיקן פוסעס. א שורה וואָס הייבט זיך אן מיט # איז באהאנדלט ווי אַ באַמערקונג שורה. צו פּראָגראַם אַ זיכערהייט באַשטעטיקן פוסע, אַראָפּנעמען די לידינג # און שטעלן די ווערט צו בלאָון. פֿאַר עקסampצו געבן די קאָ-געחתמעט פירמוואַרע זיכערהייט באַשטעטיקן פוסע, מאָדיפיצירן די ערשטער שורה פון די קאָריק file צו די פאלגענדע:
קאָ-געחתמעט פירמוואַרע = "בלאָון"

איר קענט אויך אַלאַקייט און פּראָגראַם די באַזיצער פוסעס באזירט אויף דיין רעקווירעמענץ.
איר קענט נוצן די פאלגענדע באַפֿעל צו דורכפירן אַ ליידיק טשעק, פּראָגראַם און באַשטעטיקן די פובליק שליסל פון די באַזיצער וואָרצל:
quartus_pgm -c 1 -מ דזשtag -o "ibpv;root0.qky"

אָפּציעס · איך: לאָדז די טנייַ פירמוואַרע העלפּער בילד צו די מיטל. · ב: פּערפאָרמז אַ ליידיק טשעק צו באַשטעטיקן די געוואלט זיכערהייט באַשטעטיקן פוסעס זענען נישט
שוין געבלאזן. · פּ: פּראָגראַמען די קאָריק. · V: וועראַפייז די פּראָוגראַמד שליסל אויף די מיטל.
נאָך פּראָגראַממינג די .קקי file, איר קענט ונטערזוכן די פוסע אינפֿאָרמאַציע דורך קאָנטראָלירן די קאָריק אינפֿאָרמאַציע ווידער צו ענשור אַז די באַזיצער פון די פובליק שליסל האַש און די באַזיצער פון די פובליק שליסל גרייס האָבן ניט-נול וואַלועס.
בשעת די פאלגענדע פעלדער זענען נישט רייטאַבאַל דורך די .פוסע file דער אופֿן, זיי זענען ינקלודעד בעשאַס די דורכקוק אָפּעראַציע רעזולטאַט פֿאַר וועראַפאַקיישאַן: · מיטל ניט זיכער · מיטל דערלויבעניש טייטן · דיסייבאַל באַזיצער וואָרצל ציבור שליסל האַש 0 · דיסייבאַל באַזיצער וואָרצל ציבור שליסל האַש 1 · דיסייבאַל באַזיצער וואָרצל ציבור שליסל האַש 2 · ינטעל שליסל קאַנסאַליישאַן · אָנפאַנגען פון באַזיצער ענקריפּשאַן שליסל פּראָגראַם · באַזיצער ענקריפּשאַן שליסל פּראָגראַם איז דורכגעקאָכט · באַזיצער שליסל קאַנסאַליישאַן · באַזיצער ציבור שליסל האַש · באַזיצער פובליק שליסל גרייס · באַזיצער וואָרצל ציבור שליסל האַש 0 · באַזיצער וואָרצל ציבור שליסל האַש 1

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 31

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23
· פּץ טאָמבאַנק · פּץ טאָמבאַנק באַזע · QSPI אָנהייב-אַרויף פאַרהאַלטן · רמאַ טאָמבאַנק · SDMIO0 איז י2ק · סוון טאָמבאַנק א · סוון טאָמבאַנק ב · סוון טאָמבאַנק C · סוון טאָמבאַנק ד
ניצן די Intel Quartus Prime פּראָגראַמיסט צו פּראָגראַם די .פוסע file צוריק צו די מיטל. אויב איר לייגן די i אָפּציע, די פּראָגראַמיסט אויטאָמאַטיש לאָודז די טנייַ פירמוואַרע צו פּראָגראַם די זיכערהייט באַשטעטיקן פוסעס.
// פֿאַר גשמיות (ניט-וואַלאַטאַל) eFuses quartus_pgm -c 1 -m jtag -אָ "פּי; פּראָגראַממינג_file.פוסע" -נאָן_וואַלאַטילע_קיי
// פֿאַר ווירטואַל (וואַלאַטאַל) eFuses quartus_pgm -c 1 -m jtag -אָ "פּי; פּראָגראַממינג_file.פוסע"
איר קען נוצן די פאלגענדע באַפֿעל צו באַשטעטיקן אויב די מיטל וואָרצל שליסל האַש איז די זעלבע ווי די .qky צוגעשטעלט אין דעם באַפֿעל:
quartus_pgm -c 1 -מ דזשtag -אָ "v;root0_anther.qky"
אויב די שליסלען טאָן ניט גלייַכן, דער פּראָגראַמיסט פיילז מיט אַ אָפּעראַציע ניט אַנדערש טעות אָנזאָג.
4.9. AES וואָרצל שליסל פּראַוויזשאַנז
איר מוזן נוצן אַ געחתמעט AES וואָרצל שליסל סאָליד באַווייַזן צו פּראָגראַם אַן AES וואָרצל שליסל צו אַן Intel Agilex 7 מיטל.
4.9.1. AES וואָרצל שליסל קאָמפּאַקט סערטיפיקאַט
איר נוצן די quartus_pfg באַפֿעלן שורה געצייַג צו בייַטן דיין AES וואָרצל שליסל .qek file אין די סאָליד באַווייַזן .קסערט פֿאָרמאַט. איר ספּעציפיצירן די שליסל סטאָרידזש אָרט בשעת קריייטינג די סאָליד באַווייַזן. איר קענט נוצן די quartus_pfg געצייַג צו שאַפֿן אַן אַנסיינד באַווייַזן פֿאַר שפּעטער סיינינג. איר מוזן נוצן אַ כסימע קייט מיט די AES וואָרצל שליסל סערטיפיקאַט סיינינג דערלויבעניש, דערלויבעניש ביסל 6, ענייבאַלד אין סדר צו הצלחה צייכן אַ AES וואָרצל שליסל סאָליד באַווייַזן.

Intel Agilex® 7 Device Security User Guide 32

שיקן באַמערקונגען

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23
1. שאַפֿן אַן נאָך שליסל פּאָר געניצט צו צייכן אַעס שליסל סאָליד באַווייַזן ניצן איינער פון די פאלגענדע באַפֿעל עקסamples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen מעקאַניזאַם ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 – באַניץ-צייכן –label aesccert1 –יד 2
2. שאַפֿן אַ כסימע קייט מיט די ריכטיק דערלויבעניש ביסל שטעלן ניצן איינער פון די פאלגענדע קאַמאַנדז:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”=previous root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. שאַפֿן אַן אַנסיינד אַעס סאָליד באַווייַזן פֿאַר די געבעטן אַעס וואָרצל שליסל סטאָרידזש אָרט. די פאלגענדע AES וואָרצל שליסל סטאָרידזש אָפּציעס זענען בארעכטיגט:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
// שאַפֿן eFuse AES וואָרצל שליסל אַנסיינד באַווייַזן quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. צייכן די סאָליד באַווייַזן מיט די quartus_sign באַפֿעל אָדער רעפֿערענץ ימפּלאַמענטיישאַן.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_1.ccert signed_1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 33

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_1.ccert signed_1.ccert
5. ניצן די Intel Quartus Prime פּראָגראַמיסט צו פּראָגראַם די AES וואָרצל שליסל סאָליד באַווייַזן צו די Intel Agilex 7 מיטל דורך JTAG. די Intel Quartus Prime פּראָגראַמיסט דיפאָלץ צו פּראָגראַם ווירטואַל עFuses ווען ניצן די EFUSE_WRAPPED_AES_KEY סאָליד באַווייַזן טיפּ.
איר לייגן די -non_volatile_key אָפּציע צו ספּעציפיצירן פּראָגראַממינג פיזיש פוסעס.
// פֿאַר גשמיות (ניט-וואַלאַטאַל) eFuse AES וואָרצל שליסל quartus_pgm -c 1 -m jtag -o "pi; signed_efuse1.ccert" -non_volatile_key

// פֿאַר ווירטואַל (וואַלאַטאַל) eFuse AES וואָרצל שליסל quartus_pgm -c 1 -m jtag -o "pi;signed_efuse1.ccert"

// פֿאַר BBRAM AES וואָרצל שליסל quartus_pgm -c 1 -m jtag -o "pi;signed_bbram1.ccert"

די SDM טנייַ פירמוואַרע און הויפּט פירמוואַרע שטיצן AES וואָרצל שליסל באַווייַזן פּראָגראַממינג. איר קענט אויך נוצן די SDM בריווקאַסטן צובינד פֿון די FPGA שטאָף אָדער HPS צו פּראָגראַם אַן AES וואָרצל שליסל באַווייַזן.

באַמערקונג:

די quartus_pgm באַפֿעל שטיצט נישט אָפּציעס b און v פֿאַר סאָליד סערטיפיקאַץ (.ccert).

4.9.2. ינטרינסיק ID® PUF AES וואָרצל שליסל פּראַוויזשאַנז
ימפּלאַמענטינג די ינטרינסיק* ID PUF אלנגעוויקלט AES שליסל כולל די פאלגענדע סטעפּס: 1. ענראָולינג די ינטרינסיק שייַן PUF דורך JTAG. 2. ראַפּינג די אַעס וואָרצל שליסל. 3. פּראָגראַממינג די העלפּער דאַטן און אלנגעוויקלט שליסל אין קוואַד ספּי בליץ זכּרון. 4. פרעגן די ינטרינסיק שייַן PUF אַקטאַוויישאַן סטאַטוס.
די נוצן פון ינטרינסיק שייַן טעכנאָלאָגיע ריקווייערז אַ באַזונדער דערלויבעניש העסקעם מיט ינטרינסיק שייַן. Intel Quartus Prime Pro Edition ווייכווארג ריסטריקץ PUF אַפּעריישאַנז אָן די צונעמען דערלויבעניש, אַזאַ ווי ענראָולמאַנט, שליסל ראַפּינג און PUF דאַטן פּראָגראַממינג צו QSPI בליץ.

4.9.2.1. ינטרינסיק שייַן PUF ענראָולמאַנט
צו פאַרשרייַבן די PUF, איר מוזן נוצן די SDM טנייַ פירמוואַרע. די טנייַ פירמוואַרע מוזן זיין דער ערשטער פירמוואַרע לאָודיד נאָך אַ מאַכט ציקל, און איר מוזן אַרויסגעבן די PUF ענראָולמאַנט באַפֿעל איידער קיין אנדערע באַפֿעל. די טנייַ פירמוואַרע שטיצט אנדערע קאַמאַנדז נאָך PUF ענראָולמאַנט, אַרייַנגערעכנט AES וואָרצל שליסל ראַפּינג און פּראָגראַממינג קוואַד SPI, אָבער, איר מוזן מאַכט ציקל די מיטל צו מאַסע אַ קאַנפיגיעריישאַן ביסטראַם.
איר נוצן די Intel Quartus Prime פּראָגראַמיסט צו צינגל PUF ענראָולמאַנט און דזשענערייט די PUF העלפער דאַטן .puf file.

Intel Agilex® 7 Device Security User Guide 34

שיקן באַמערקונגען

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23

פיגורע 7.

ינטרינסיק שייַן PUF ענראָולמאַנט
quartus_pgm PUF ענראָולמאַנט

ענראָולמאַנט PUF העלפּער דאַטן

זיכער דיווייס מאַנאַגער (SDM)

wrapper.puf העלפּער דאַטאַ
דער פּראָגראַמיסט אויטאָמאַטיש לאָודז אַ פּראַוויידינג פירמוואַרע העלפּער בילד ווען איר ספּעציפיצירן ביידע די i אָפּעראַציע און אַ .פּוף אַרגומענט.
quartus_pgm -c 1 -מ דזשtag -o "ei;help_data.puf;AGFB014R24A"
אויב איר נוצן קאָ-געחתמעט פירמוואַרע, איר פּראָגראַם די קאָ-געחתמעט פירמוואַרע העלפּער בילד איידער איר נוצן די PUF ענראָולמאַנט באַפֿעל.
quartus_pgm -c 1 -מ דזשtag -אָ "פּ; סיגנעד_פּראָוויזשאַן_העלפּער_ימאַגע.רבף" -פאָרס קוואַרטוס_פּגם -ק 1 -מ דזשtag -o "e;help_data.puf;AGFB014R24A"
די UDS IID PUF איז ענראָולד בעשאַס די מאַנופאַקטורינג פון די מיטל און איז ניט בארעכטיגט פֿאַר ריענראָולמאַנט. אַנשטאָט, איר נוצן די פּראָגראַמיסט צו באַשטימען דעם אָרט פון די UDS PUF העלפער דאַטן אויף IPCS, אראפקאפיע די .puf file גלייך, און דעמאָלט נוצן די UDS .puf file אין די זעלבע וועג ווי די. פּוף file יקסטראַקטיד פון אַן Intel Agilex 7 מיטל.
ניצן די פאלגענדע פּראָגראַמיסט באַפֿעל צו דזשענערייט אַ טעקסט file מיט אַ רשימה פון URLס ווייזן צו מיטל-ספּעציפיש fileאויף IPCS:
quartus_pgm -c 1 -מ דזשtag -אָ "ע; יפּקס_urls.txt;AGFB014R24B" -ipcs_urls
4.9.2.2. ראַפּינג די AES וואָרצל שליסל
איר דזשענערייט די IID PUF אלנגעוויקלט אַעס וואָרצל שליסל .ווקיי file דורך שיקן אַ געחתמעט באַווייַזן צו די SDM.
איר קענט נוצן די Intel Quartus Prime פּראָגראַמיסט צו אויטאָמאַטיש דזשענערייט, צייכן און שיקן די באַווייַזן צו ייַנוויקלען דיין AES וואָרצל שליסל, אָדער איר קענט נוצן די Intel Quartus Prime פּראָגראַממינג File גענעראַטאָר צו דזשענערייט אַן אַנסיינד באַווייַזן. איר צייכן די אַנסיינד באַווייַזן מיט דיין אייגענע מכשירים אָדער די Quartus סיינינג געצייַג. דערנאָך איר נוצן די פּראָגראַמיסט צו שיקן די געחתמעט באַווייַזן און ייַנוויקלען דיין AES וואָרצל שליסל. די געחתמעט באַווייַזן קען זיין געניצט צו פּראָגראַם אַלע דעוויסעס וואָס קענען וואַלאַדייט די כסימע קייט.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 35

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23

פיגורע 8.

ראַפּינג די AES שליסל ניצן די Intel Quartus Prime פּראָגראַמיסט
.פּעם פּריוואַט
שליסל

.qky

quartus_pgm

ייַנוויקלען AES שליסל

AES.QSKigYnature RootCPhuabilnic Key

דזשענערייט PUF ראַפּט שליסל

אלנגעוויקלט אַעס שליסל

SDM

.קעק ענקריפּשאַן
שליסל

.ווקיי פּוף-ווראַפּט
AES שליסל

1. איר קען דזשענערייט די IID PUF אלנגעוויקלט AES וואָרצל שליסל (. וקיי) מיט די פּראָגראַמיסט ניצן די פאלגענדע אַרגומענטן:
· די .קקי file מיט אַ כסימע קייט מיט AES וואָרצל שליסל באַווייַזן דערלויבעניש
· די פּריוואַטע .פּעם file פֿאַר די לעצטע שליסל אין די כסימע קייט
· די .קעק file האלטן די AES וואָרצל שליסל
· די 16-ביטע יניטיאַליזאַטיאָן וועקטאָר (יוו).

quartus_pgm -c 1 -מ דזשtag —קקי_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. אַלטערנאַטיוועלי, איר קען דזשענערייט אַן אַנסיינד IID PUF ראַפּינג AES וואָרצל שליסל באַווייַזן מיט די פּראָגראַממינג File גענעראַטאָר ניצן די פאלגענדע אַרגומענטן:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. איר צייכן די אַנסיינד באַווייַזן מיט דיין אייגענע סיינינג מכשירים אָדער די quartus_sign געצייַג ניצן די פאלגענדע באַפֿעל:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. איר דעמאָלט נוצן די פּראָגראַמיסט צו שיקן די געחתמעט אַעס באַווייַזן און צוריקקומען די אלנגעוויקלט שליסל (.ווקיי) file:

קוואַרץ_פּגם -ק 1 -מ דזשtag –ccert_file=signed_aes.ccert -o "ei;aes.wkey;AGFB014R24A"

באַמערקונג: די i אָפּעראַציע איז ניט נייטיק אויב איר ביז אַהער לאָודיד די פּראַוויידינג פירמוואַרע העלפּער בילד, למשלample, צו פאַרשרייַבן די PUF.

4.9.2.3. פּראָגראַממינג העלפּער דאַטאַ און ראַפּט שליסל צו QSPI פלאַש זכּרון
איר נוצן די Quartus פּראָגראַממינג File גענעראַטאָר גראַפיקאַל צובינד צו בויען אַן ערשט QSPI בליץ בילד מיט אַ PUF צעטיילונג. איר מוזן דזשענערייט און פּראָגראַם אַ גאַנץ בליץ פּראָגראַממינג בילד צו לייגן אַ PUF צעטיילונג צו די QSPI בליץ. שאַפונג פון די PUF

Intel Agilex® 7 Device Security User Guide 36

שיקן באַמערקונגען

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23

פיגורע 9.

דאַטן צעטיילונג און נוצן פון די PUF העלפּער דאַטן און אלנגעוויקלט שליסל fileס פֿאַר בליץ בילד דור איז נישט געשטיצט דורך די פּראָגראַממינג File גענעראַטאָר באַפֿעלן שורה צובינד.
די פאלגענדע סטעפּס באַווייַזן צו בויען אַ בליץ פּראָגראַממינג בילד מיט די PUF העלפּער דאַטן און אלנגעוויקלט שליסל:
1. אויף די File מעניו, גיט פּראָגראַממינג File גענעראַטאָר. אויף דער רעזולטאַט Fileס קוויטל מאַכן די פאלגענדע סאַלעקשאַנז:
א. פֿאַר דיווייס משפּחה סעלעקטירן Agilex 7.
ב. פֿאַר קאָנפיגוראַטיאָן מאָדע סעלעקטירן אַקטיווע סיריאַל קס4.
ג. פֿאַר רעזולטאַט וועגווייַזער בלעטער צו דיין רעזולטאַט file וועגווייַזער. דעם עקסample ניצט רעזולטאַט_files.
ד. פֿאַר נאָמען, ספּעציפיצירן אַ נאָמען פֿאַר די פּראָגראַממינג file צו זיין דזשענערייטאַד. דעם עקסample ניצט רעזולטאַט_file.
E. אונטער באַשרייַבונג אויסקלייַבן די פּראָגראַממינג fileס צו דזשענערייט. דעם עקסampדי דזשענערייץ די JTAG ומדירעקט קאַנפיגיעריישאַן File (.דזשיק) פֿאַר מיטל קאַנפיגיעריישאַן און די ראַ ביינערי File פון פּראָגראַממינג העלפּער בילד (.רבף) פֿאַר מיטל העלפּער בילד. דעם עקסample אויך סאַלעקץ די אַפּשאַנאַל זכּרון מאַפּע File (.מאַפּ) און ראַ פּראָגראַממינג דאַטאַ File (.רפּד). די רוי פּראָגראַממינג דאַטן file איז נייטיק בלויז אויב איר פּלאַן צו נוצן אַ דריט-פּאַרטיי פּראָגראַמיסט אין דער צוקונפֿט.
פּראָגראַממינג File גענעראַטאָר - רעזולטאַט Files קוויטל - סעלעקטירן JTAG ומדירעקט קאַנפיגיעריישאַן

מיטל משפּחה קאָנפיגוראַטיאָן מאָדע
רעזולטאַט file קוויטל
רעזולטאַט וועגווייַזער
JTAG ומדירעקט (.דזשיק) זכּרון מאַפּע File פּראָגראַממינג העלפּער רוי פּראָגראַממינג דאַטן
אויף די אַרייַנשרייַב Fileס קוויטל, מאַכן די פאלגענדע סאַלעקשאַנז: 1. דריקט לייג ביטסטרים און בלעטער צו דיין .סאָף. 2. אויסקלייַבן דיין .סאָף file און דעמאָלט גיט פּראָפּערטיעס.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 37

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23
א. קער אויף געבן סיינינג געצייַג. ב. פֿאַר פּריוואַט שליסל file אויסקלייַבן דיין .פּעם file. ג. קער אויף פינאַליזע ענקריפּשאַן. ד. פֿאַר ענקריפּשאַן שליסל file אויסקלייַבן דיין .קעק file. E. דריקט OK צו צוריקקומען צו די פריערדיקע פֿענצטער. 3. צו ספּעציפיצירן דיין PUF העלפּער דאַטן file, גיט לייג רוי דאַטן. טוישן די Files פון טיפּ פאַל-אַראָפּ מעניו צו Quartus Physical Unclonable Function File (*.פּוף). בלעטער צו דיין .פּוף file. אויב איר נוצן ביידע די IID PUF און די UDS IID PUF, איבערחזרן דעם שריט אַזוי אַז .puf files פֿאַר יעדער PUF זענען מוסיף ווי אַרייַנשרייַב fileס. 4. צו ספּעציפיצירן דיין אלנגעוויקלט אַעס שליסל file, גיט לייג רוי דאַטן. טוישן די Files פון טיפּ פאַל-אַראָפּ מעניו צו Quartus Wrapped Key File (*.ווקיי). בלעטער צו דיין .ווקיי file. אויב איר האָט אלנגעוויקלט AES שליסלען מיט די IID PUF און די UDS IID PUF, איבערחזרן דעם שריט אַזוי אַז .wkey files פֿאַר יעדער PUF זענען מוסיף ווי אַרייַנשרייַב files.
פיגורע 10. ספּעציפיצירן אַרייַנשרייַב Files פֿאַר קאַנפיגיעריישאַן, אָטענטאַקיישאַן און ענקריפּשאַן

לייג ביטסטרים לייג ראַ דאַטאַ
פּראָפּערטיעס
פּריוואַט שליסל file
פיינאַלייז ענקריפּשאַן ענקריפּשאַן שליסל
אויף די קאַנפיגיעריישאַן מיטל קוויטל, מאַכן די פאלגענדע סאַלעקשאַנז: 1. דריקט לייג דיווייס און אויסקלייַבן דיין בליץ מיטל פון דער רשימה פון בנימצא בליץ.
מכשירים. 2. אויסקלייַבן די קאַנפיגיעריישאַן מיטל איר האָט פּונקט צוגעלייגט און גיט לייג צעטיילונג. 3. אין די רעדאַגירן צעטיילונג דיאַלאָג קעסטל פֿאַר די אַרייַנשרייַב file און אויסקלייַבן דיין .סאָף פון די
דראָפּדאָוון רשימה. איר קענען ריטיין די דיפאָלץ אָדער רעדאַגירן די אנדערע פּאַראַמעטערס אין די רעדאַגירן פּאַרטיטיאָן דיאַלאָג קעסטל.

Intel Agilex® 7 Device Security User Guide 38

שיקן באַמערקונגען

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23
פיגורע 11. ספּעסיפיינג דיין .סאָף קאָנפיגוראַטיאָן ביטסטרעאַם צעטיילונג

קאַנפיגיעריישאַן מיטל
רעדאַגירן צעטיילונג לייג .סאָף file

לייג צעטיילונג

4. ווען איר לייגן די .פּוף און .ווקיי ווי אַרייַנשרייַב files, די פּראָגראַממינג File גענעראַטאָר אויטאָמאַטיש קריייץ אַ PUF צעטיילונג אין דיין קאַנפיגיעריישאַן מיטל. צו קראָם די .פּוף און .ווקיי אין די PUF צעטיילונג, אויסקלייַבן די PUF צעטיילונג און גיט רעדאַגירן. אין די רעדאַגירן צעטיילונג דיאַלאָג קעסטל, אויסקלייַבן דיין .פּוף און .ווקיי files פון די דראָפּדאָוון רשימות. אויב איר באַזייַטיקן די PUF צעטיילונג, איר מוזן אַראָפּנעמען און שייַעך-לייגן די קאַנפיגיעריישאַן מיטל פֿאַר די פּראָגראַממינג File גענעראַטאָר צו שאַפֿן אן אנדער PUF צעטיילונג. איר מוזן ענשור אַז איר אויסקלייַבן די ריכטיק .פּוף און .ווקיי file פֿאַר די IID PUF און UDS IID PUF, ריספּעקטיוולי.
פיגורע 12. לייג די .פּוף און .ווקיי files צו די PUF צעטיילונג

PUF צעטיילונג

רעדאַגירן

רעדאַגירן צעטיילונג

פלאַש לאָודער

אויסקלייַבן דזשענערייט

5. פֿאַר די פלאַש לאָודער פּאַראַמעטער אויסקלייַבן די Intel Agilex 7 מיטל משפּחה און מיטל נאָמען וואָס גלייַכן דיין Intel Agilex 7 OPN.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 39

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23
6. דריקט גענעראַטע צו דזשענערייט די רעזולטאַט fileס אַז איר ספּעסיפיעד אויף די רעזולטאַט Files קוויטל.
7. די פּראָגראַממינג File גענעראַטאָר לייענט דיין .קעק file און פּראַמפּס איר פֿאַר דיין פּאַסספראַסע. טיפּ דיין פּאַסספראַסע אין ענטפער צו די אַרייַן QEK פּאַספראַסע פּינטלעך. דריקט דעם אַרייַן key.
8. דריקט OK ווען די פּראָגראַממינג File גענעראַטאָר ריפּאָרץ אַ מצליח דור.
איר נוצן די Intel Quartus Prime פּראָגראַמיסט צו שרייַבן די QSPI פּראָגראַממינג בילד צו QSPI בליץ זכּרון. 1. אויף די Intel Quartus Prime Tools מעניו אויסקלייַבן פּראָגראַמיסט. 2. אין די פּראָגראַמיסט, גיט האַרדוואַרע סעטאַפּ און דעמאָלט אויסקלייַבן אַ קאָננעקטעד ינטעל
FPGA אראפקאפיע קאַבלע. 3. דריקט לייג File און בלעטער צו דיין .דזשיק file.
פיגורע 13. פּראָגראַם .דזשיק

פּראָגראַממינג file

פּראָגראַם / קאַנפיגיער

JTAG יבערקוקן קייט
4. ונסעלעקט די קעסטל פֿאַרבונדן מיט די העלפּער בילד. 5. אויסקלייַבן פּראָגראַם / קאַנפיגיער פֿאַר די .דזשיק רעזולטאַט file. 6. קער אויף אָנהייב קנעפּל צו פּראָגראַם דיין קוואַד ספּי בליץ זכּרון. 7. מאַכט ציקל דיין ברעט. דער פּלאַן פּראָוגראַמד צו די קוואַד SPI בליץ זכּרון
דער מיטל דערנאָך לאָודז אין די ציל FPGA.
איר מוזן דזשענערייט און פּראָגראַם אַ גאַנץ בליץ פּראָגראַממינג בילד צו לייגן אַ PUF צעטיילונג צו די קוואַד SPI בליץ.
ווען אַ PUF צעטיילונג שוין יגזיסץ אין די בליץ, עס איז מעגלעך צו נוצן די Intel Quartus Prime פּראָגראַמיסט צו גלייך אַקסעס די PUF העלפער דאַטן און אלנגעוויקלט שליסל fileס. פֿאַר עקסampאויב אַקטאַוויישאַן איז ניט געראָטן, עס איז מעגלעך צו שייַעך-פאַרשרייַבן די PUF, שייַעך-ייַנוויקלען די AES שליסל, און דערנאָך בלויז פּראָגראַם די PUF fileס אָן האָבן צו אָווועררייט די גאנצע בליץ.

Intel Agilex® 7 Device Security User Guide 40

שיקן באַמערקונגען

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23
די Intel Quartus Prime פּראָגראַמיסט שטיצט די פאלגענדע אָפּעראַציע אַרגומענט פֿאַר PUF files אין אַ פאַר-יגזיסטינג PUF צעטיילונג:
· פּ: פּראָגראַם
· V: באַשטעטיקן
· ר: מעקן
· ב: פּוסט טשעק
איר מוזן נאָכגיין די זעלבע ריסטריקשאַנז פֿאַר PUF ענראָולמאַנט, אפילו אויב אַ PUF צעטיילונג יגזיסץ.
1. ניצן די איך אָפּעראַציע אַרגומענט צו לאָדן די פּראַוויידינג פירמוואַרע העלפּער בילד פֿאַר דער ערשטער אָפּעראַציע. פֿאַר עקסampאין דעם פאַל, די פאלגענדע באַפֿעל סיקוואַנס שייַעך-ענראָולז די PUF, שייַעך-ייַנוויקלען די AES וואָרצל שליסל, מעקן די אַלט PUF העלפּער דאַטן און אלנגעוויקלט שליסל, און פּראָגראַם און באַשטעטיקן די נייַע PUF העלפער דאַטן און AES וואָרצל שליסל.
quartus_pgm -c 1 -מ דזשtag -אָ "ei;new.puf;AGFB014R24A" quartus_pgm -c 1 -m jtag –ccert_file=signed_aes.ccert -o "e;new.wkey;AGFB014R24A" quartus_pgm -c 1 -m jtag -אָ "ר; אַלט. פּוף" quartus_pgm -c 1 -מ דזשtag -אָ "ר; אַלט.ווקיי" quartus_pgm -c 1 -מ דזשtag -אָ "פּ; נייַ. פּוף" quartus_pgm -c 1 -מ דזשtag -אָ "פּ; נייַ.ווקיי" quartus_pgm -c 1 -מ דזשtag -אָ "וו; נייַ. פּוף" quartus_pgm -c 1 -מ דזשtag -אָ "וו; נייַ.ווקיי"
4.9.2.4. אָנפרעג ינטרינסיק שייַן PUF אַקטיוואַטיאָן סטאַטוס
נאָך איר פאַרשרייַבן די ינטרינסיק שייַן PUF, ייַנוויקלען אַ AES שליסל, דזשענערייט די בליץ פּראָגראַממינג files, און דערהייַנטיקן די קוואַד SPI בליץ, איר מאַכט ציקל דיין מיטל צו צינגל PUF אַקטאַוויישאַן און קאַנפיגיעריישאַן פון די ינקריפּטיד ביטסטרים. די SDM ריפּאָרץ די PUF אַקטאַוויישאַן סטאַטוס צוזאמען מיט די קאַנפיגיעריישאַן סטאַטוס. אויב PUF אַקטאַוויישאַן פיילז, די SDM אַנשטאָט ריפּאָרץ די PUF טעות סטאַטוס. ניצן די quartus_pgm באַפֿעל צו אָנפֿרעג די קאַנפיגיעריישאַן סטאַטוס.
1. ניצן די פאלגענדע באַפֿעל צו פרעגן די אַקטאַוויישאַן סטאַטוס:
quartus_pgm -c 1 -מ דזשtag –status –status_type="CONFIG"
דאָ איז סampדי רעזולטאַט פון אַ געראָטן אַקטאַוויישאַן:
אינפֿאָרמאַציע (21597): ענטפער פון CONFIG_STATUS מיטל איז פליסנדיק אין באַניצער מאָדע 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 ווערסיע C000007B MSEL=QSPI_NORMAL=,1,n=1,N
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 טעות אָרט 00000000 טעות דעטאַילס ענטפער פון PUF_STATUS 00002000 USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 41

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23

אויב איר נוצן בלויז די IID PUF אָדער די UDS IID PUF און איר האָט נישט פּראָוגראַמד אַ העלפּער דאַטן .puf file פֿאַר יעדער PUF אין די QSPI בליץ, אַז PUF איז נישט אַקטיווייטיד און די PUF סטאַטוס ריפלעקס אַז PUF העלפּער דאַטן איז נישט גילטיק. די פאלגענדע עקסample ווייזט די PUF סטאַטוס ווען די PUF העלפּער דאַטן איז נישט פּראָוגראַמד פֿאַר קיין PUF:
ענטפער פון PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. אָרט פון די PUF אין פלאַש זכּרון
דער אָרט פון די PUF file איז אַנדערש פֿאַר דיזיינז וואָס שטיצן RSU און דיזיינז וואָס שטיצן נישט די RSU שטריך.

פֿאַר דיזיינז וואָס שטיצן נישט RSU, איר מוזן אַרייַננעמען די .פּוף און .וקיי files ווען איר מאַכן דערהייַנטיקט בליץ בילדער. פֿאַר דיזיינז וואָס שטיצן RSU, די SDM טוט נישט אָווועררייט די PUF דאַטן סעקשאַנז בעשאַס פאַבריק אָדער אַפּלאַקיישאַן בילד דערהייַנטיקונגען.

טיש 2.

פלאַש סאַב-פּאַרטיטיאָנס אויסלייג אָן RSU שטיצן

פלאַש אָפסעט (אין ביטעס)

גרייס (אין ביטעס)

אינהאַלט

באַשרייַבונג

0K 256K

256K 256K

קאַנפיגיעריישאַן מאַנאַגעמענט פירמוואַרע קאַנפיגיעריישאַן מאַנאַגעמענט פירמוואַרע

פירמוואַרע וואָס לויפט אויף SDM.

512K

256K

קאַנפיגיעריישאַן מאַנאַגעמענט פירמוואַרע

768K

256K

קאַנפיגיעריישאַן מאַנאַגעמענט פירמוואַרע

1M

32K

PUF דאַטן קאָפּיע 0

דאַטאַ סטרוקטור פֿאַר סטאָרינג PUF העלפּער דאַטן און PUF-אלנגעוויקלט AES וואָרצל שליסל קאָפּיע 0

1M+32K

32K

PUF דאַטן קאָפּיע 1

דאַטאַ סטרוקטור פֿאַר סטאָרינג PUF העלפּער דאַטן און PUF-אלנגעוויקלט AES וואָרצל שליסל קאָפּיע 1

טיש 3.

פלאַש סאַב-פּאַרטיטיאָנס אויסלייג מיט RSU שטיצן

פלאַש אָפסעט (אין ביטעס)

גרייס (אין ביטעס)

אינהאַלט

באַשרייַבונג

0K 512K

512K 512K

באַשלוס פירמוואַרע באַשלוס פירמוואַרע

פירמוואַרע צו ידענטיפיצירן און מאַסע די העכסטן בילכערקייַט בילד.

1M 1.5M

512K 512K

באַשלוס פירמוואַרע באַשלוס פירמוואַרע

2M

8K + 24K

באַשלוס פירמוואַרע דאַטן

וואַטן

רעזערווירט פֿאַר דיסיזשאַן פירמוואַרע נוצן.

2 ם + 32 ק

32K

רעזערווירט פֿאַר SDM

רעזערווירט פֿאַר SDM.

2 ם + 64 ק

וואַריאַבלע

פאַבריק בילד

א פּשוט בילד וואָס איר מאַכן ווי אַ באַקאַפּ אויב אַלע אנדערע אַפּלאַקיישאַן בילדער קענען נישט לאָדן. דער בילד כולל די CMF וואָס לויפט אויף די SDM.

ווייַטער

32K

PUF דאַטן קאָפּיע 0

דאַטאַ סטרוקטור פֿאַר סטאָרינג PUF העלפּער דאַטן און PUF-אלנגעוויקלט AES וואָרצל שליסל קאָפּיע 0
פארבליבן...

Intel Agilex® 7 Device Security User Guide 42

שיקן באַמערקונגען

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23

פלאַש אָפסעט (אין ביטעס)

גרייס (אין ביטעס)

ווייַטער +32K 32K

אינהאַלט PUF דאַטן קאָפּיע 1

ווייַטער + 256 ק 4 ק ווייַטער + 32 ק 4 ק ווייַטער + 32 ק 4 ק

סוב-צעטיילונג טיש קאָפּיע 0 סוב-צעטיילונג טיש קאָפּיע 1 CMF טייַטל בלאָק קאָפּיע 0

ווייַטער +32K _

CMF טייַטל בלאָק קאָפּיע 1

וואַריאַבלע וואַריאַבלע

וואַריאַבלע וואַריאַבלע

אַפּפּליקאַטיאָן בילד 1 אַפּפּליקאַטיאָן בילד 2

4.9.3. שווארצע שליסל פּראַוויזשאַנז

באַשרייַבונג
דאַטאַ סטרוקטור פֿאַר סטאָרינג PUF העלפּער דאַטן און PUF-אלנגעוויקלט AES וואָרצל שליסל קאָפּיע 1
דאַטאַ סטרוקטור צו פאַסילאַטייט די פאַרוואַלטונג פון בליץ סטאָרידזש.
א רשימה פון פּאָינטערז צו אַפּלאַקיישאַן בילדער אין סדר פון בילכערקייַט. ווען איר לייגן אַ בילד, די בילד ווערט די העכסטן.
א צווייטע קאָפּיע פון ​​דער רשימה פון אָנווייַזן צו אַפּלאַקיישאַן בילדער.
דיין ערשטער אַפּלאַקיישאַן בילד.
דיין צווייטע אַפּלאַקיישאַן בילד.

באַמערקונג:

די Intel Quartus PrimeProgrammer אַסיס אין גרינדן אַ מיוטשואַלי אָטענטאַקייטאַד זיכער פֿאַרבינדונג צווישן די Intel Agilex 7 מיטל און די שוואַרץ שליסל פּראַוויזשאַנז. די זיכער קשר איז געגרינדעט דורך https און ריקווייערז עטלעכע סערטיפיקאַץ יידענאַפייד מיט אַ טעקסט file.
ווען איר נוצן שווארצע שליסל פּראַוויזשאַנז, ינטעל רעקאַמענדז אַז איר ויסמיידן ויסווייניק קאַנעקטינג די TCK שטיפט צו ציען אַרויף אָדער אַראָפּציען אַ רעסיסטאָר בשעת איר נוצן עס פֿאַר JTAG. אָבער, איר קען פאַרבינדן די TCK שטיפט צו די VCCIO SDM מאַכט צושטעלן מיט אַ 10 ק רעסיסטאָר. די יגזיסטינג גיידאַנס אין די שפּילקע קאַנעקשאַן גיידליינז צו פאַרבינדן TCK צו אַ 1 ק פּול-אַראָפּ רעסיסטאָר איז אַרייַנגערעכנט פֿאַר ראַש סאַפּרעשאַן. די ענדערונג אין גיידאַנס צו אַ 10 ק פּול-אַרויף רעסיסטאָר טוט נישט ווירקן די מיטל פאַנגקשאַנאַלי. פֿאַר מער אינפֿאָרמאַציע וועגן קאַנעקטינג די TCK שטיפט, אָפּשיקן צו Intel Agilex 7 Pin Connection Guidelines.
Thebkp_tls_ca_certificate אָטענטאַקייץ דיין שווארצע שליסל פּראַוויזשאַנז דינסט בייַשפּיל צו דיין שוואַרץ שליסל פּראַוויזשאַנז פּראָגראַמיסט בייַשפּיל. Thebkp_tls_* סערטיפיקאַץ אָטענטאַקייט דיין שווארצע שליסל פּראַוויזשאַנז פּראָגראַמיסט בייַשפּיל צו דיין שוואַרץ שליסל פּראַוויזשאַן דינסט בייַשפּיל.
איר מאַכן אַ טעקסט file מיט די נויטיק אינפֿאָרמאַציע פֿאַר די Intel Quartus Prime פּראָגראַמיסט צו פאַרבינדן צו די שוואַרץ שליסל פּראַוויזשאַנז דינסט. צו אָנהייבן שווארצע שליסל פּראַוויזשאַנז, נוצן די פּראָגראַמיסט באַפֿעלן שורה צובינד צו ספּעציפיצירן די שוואַרץ שליסל פּראַוויזשאַן אָפּציעס טעקסט file. די פּראַוויזשאַנז פון די שוואַרץ שליסל דערנאָך אויטאָמאַטיש. פֿאַר אַקסעס צו די שוואַרץ שליסל פּראַוויזשאַנז און פֿאַרבונדן דאַקיומענטיישאַן, ביטע קאָנטאַקט Intel Support.
איר קענען געבן די שוואַרץ שליסל פּראַוויזשאַנז ניצן thequartus_pgmcommand:
quartus_pgm -c -מ -מכשיר -בקפּ_אָפּציעס=בקפּ_אָפּציעס.טקסט
די באַפֿעל אַרגומענטן ספּעציפיצירן די פאלגענדע אינפֿאָרמאַציע:

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 43

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23

· -c: קאַבלע נומער · -מ: ספּעציפיצירן די פּראָגראַממינג מאָדע אַזאַ ווי JTAG · -דיווייס: ספּעציפיצירט אַ מיטל אינדעקס אויף די JTAG קייט. פעליקייַט ווערט איז 1. · –בקפּ_אָפּציעס: ספּעציפיצירט אַ טעקסט file מיט שוואַרץ שליסל פּראַוויזשאַנז אָפּציעס.
פֿאַרבונדענע אינפֿאָרמאַציע Intel Agilex 7 Device Family Pin Connection Guidelines

4.9.3.1. שוואַרץ שליסל פּראַוויזשאַנז אָפּציעס
די שוואַרץ שליסל פּראַוויזשאַנז אָפּציעס איז אַ טעקסט file דורכגעגאנגען צו די פּראָגראַמיסט דורך די quartus_pgm באַפֿעל. די file כּולל פארלאנגט אינפֿאָרמאַציע צו צינגל שוואַרץ שליסל פּראַוויזשאַנז.
די פאלגענדע איז אַן עקסampפון די bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem bkp_1234_192.167.5.5 5000: XNUMX bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

טיש 4.

שוואַרץ שליסל פּראַוויזשאַנז אָפּציעס
דער טיש דיספּלייז די אָפּציעס פארלאנגט צו צינגל שוואַרץ שליסל פּראַוויזשאַנז.

אָפּציע נאָמען

טיפּ

באַשרייַבונג

bkp_ip

פארלאנגט

ספּעציפיצירט די IP אַדרעס פון די סערווער מיט די פּראַוויזשאַנז פון די שוואַרץ שליסל.

bkp_port

פארלאנגט

ספּעסיפיעס שוואַרץ שליסל פּראַוויזשאַנז דינסט פּאָרט פארלאנגט צו פאַרבינדן צו די סערווער.

bkp_cfg_id

פארלאנגט

יידענאַפייד די שווארצע שליסל פּראַוויזשאַנז קאַנפיגיעריישאַן לויפן שייַן.
שווארצע שליסל פּראַוויזשאַן סערוויס קריייץ די קאַנפיגיעריישאַן קאַנפיגיעריישאַן פון שוואַרץ שליסל פּראַוויזשאַנז אַרייַנגערעכנט אַ AES וואָרצל שליסל, די געבעטן eFuse סעטטינגס און אנדערע אָטערייזד אָפּציעס פֿאַר שוואַרץ שליסל פּראַוויזשאַנז. די נומער אַסיינד בעשאַס די סעטאַפּ פון די סערוויס סעטאַפּ פון די שוואַרץ שליסל פּראַוויזשאַנז יידענאַפייד די קאַנפיגיעריישאַן פון די שוואַרץ שליסל פּראַוויזשאַנז.
נאטיץ: קייפל דעוויסעס קען אָפּשיקן צו דער זעלביקער שווארצע שליסל פּראַוויידינג סערוויס קאַנפיגיעריישאַן לויפן.

bkp_tls_ca_cert

פארלאנגט

דער וואָרצל TLS באַווייַזן איז געניצט צו ידענטיפיצירן די שוואַרץ שליסל פּראַוויזשאַנז צו די Intel Quartus Prime פּראָגראַממער (פּראָגראַמער). א טראַסטיד סערטיפיקאַט אויטאָריטעט פֿאַר די שווארצע שליסל פּראַוויידינג סערוויס למשל אַרויסגעבן דעם באַווייַזן.
אויב איר לויפן די פּראָגראַמיסט אויף אַ קאָמפּיוטער מיט Microsoft® Windows® אָפּערייטינג סיסטעם (ווינדאָוז), איר מוזן ינסטאַלירן דעם באַווייַזן אין די Windows באַווייַזן קראָם.

bkp_tls_prog_cert

פארלאנגט

א באַווייַזן באשאפן פֿאַר דעם בייַשפּיל פון די שוואַרץ שליסל פּראַוויזשאַנז פּראָגראַמיסט (BKP פּראָגראַמיסט). דאָס איז דער https קליענט באַווייַזן געניצט צו ידענטיפיצירן דעם BKP פּראָגראַמיסט בייַשפּיל
פארבליבן...

Intel Agilex® 7 Device Security User Guide 44

שיקן באַמערקונגען

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23

אָפּציע נאָמען

טיפּ

bkp_tls_prog_key

פארלאנגט

bkp_tls_prog_key_pass אַפּשאַנאַל

bkp_proxy_address bkp_proxy_user bkp_proxy_password

אָפּטיאָנאַל אָפּטיאָנאַל אָפּטיאָנאַל

באַשרייַבונג
צו די שוואַרץ שליסל פּראַוויזשאַנז דינסט. איר מוזן ינסטאַלירן און אָטערייז דעם באַווייַזן אין די שוואַרץ שליסל פּראַוויזשאַנז דינסט איידער איר אָנהייבן אַ שוואַרץ שליסל פּראַוויזשאַן סעסיע. אויב איר לויפן די פּראָגראַמיסט אויף Windows, דעם אָפּציע איז נישט בנימצא. אין דעם פאַל, די bkp_tls_prog_key שוין כולל דעם באַווייַזן.
די פּריוואַט שליסל קאָראַספּאַנדינג צו די BKP פּראָגראַמיסט באַווייַזן. דער שליסל וואַלאַדייץ די אידענטיטעט פון די BKP פּראָגראַמיסט בייַשפּיל צו שוואַרץ שליסל פּראַוויזשאַנז. אויב איר לויפן די פּראָגראַמיסט אויף ווינדאָוז, די .pfx file קאַמביינז די bkp_tls_prog_cert באַווייַזן און די פּריוואַט שליסל. די bkp_tlx_prog_key אָפּציע פּאַסיז די .pfx file אין די bkp_options.txt file.
די פּאַראָל פֿאַר די bkp_tls_prog_key פּריוואַט שליסל. ניט פארלאנגט אין די שוואַרץ שליסל פּראַוויזשאַנז קאַנפיגיעריישאַן אָפּציעס (bkp_options.txt) טעקסט file.
ספּעציפיצירט די פראקסי סערווער URL אַדרעס.
ספּעציפיצירט די פּראַקסי סערווער נאמען.
ספּעציפיצירט די פּראַקסי אָטענטאַקיישאַן פּאַראָל.

4.10. קאַנווערטינג באַזיצער וואָרצל שליסל, AES וואָרצל שליסל סערטיפיקאַץ און קאָריק fileס צו דזשאַם סטאַפּל File פאָרמאַץ

איר קענט נוצן די quartus_pfg באַפֿעלן-שורה באַפֿעל צו גער .qky, AES וואָרצל שליסל .ccert, און .פוסע fileס צו דזשאַם סטאַפּל פֿאָרמאַט File (.דזשאַם) און דזשאַם בייטע קאָד פֿאָרמאַט File (.דזשבק). איר קענען נוצן די fileס צו פּראָגראַם Intel FPGAs מיט די Jam STAPL Player און די Jam STAPL בייטע קאָד שפּילער ריספּעקטיוולי.

א איין .דזשאם אָדער .דזשבק כּולל עטלעכע פאַנגקשאַנז אַרייַנגערעכנט אַ פירמוואַרע העלפּער בילד קאַנפיגיעריישאַן און פּראָגראַם, ליידיק טשעק, און וועראַפאַקיישאַן פון שליסל און פוסע פּראָגראַממינג.

וואָרענען:

ווען איר גער די אַעס וואָרצל שליסל .ccert file צו .דזשאם פֿאָרמאַט, די .דזשאם file כּולל די AES שליסל אין קלאָר טעקסט אָבער אַבפוסקייטיד פאָרעם. דעריבער, איר מוזן באַשיצן די .דזשאם file ווען סטאָרינג די AES שליסל. איר קענען טאָן דאָס דורך פּראַוויידינג די AES שליסל אין אַ זיכער סוויווע.

דאָ זענען עקסampליי פון quartus_pfg קאַנווערזשאַן קאַמאַנדז:

quartus_pfg -c -o helper_device=AGFB014R24A "root0.qky;root1.qky;root2.qky" RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A "root0.qqky;root1.qky"root2.qky. c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device_jag.014a. o helper_device=AGFB24R014A סעטטינגס. פוסע סעטטינגס_פוסע.דזשבק

פֿאַר מער אינפֿאָרמאַציע וועגן די נוצן פון Jam STAPL Player פֿאַר מיטל פּראָגראַממינג, אָפּשיקן צו AN 425: ניצן די קאַמאַנד-ליניע דזשאַם STAPL לייזונג פֿאַר מיטל פּראָגראַממינג.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 45

4. מיטל פּראַוויזשאַנז 683823 | 2023.05.23
לויפן די פאלגענדע קאַמאַנדז צו פּראָגראַם די באַזיצער וואָרצל ציבור שליסל און AES ענקריפּשאַן שליסל:
// צו לאָדן די העלפּער ביטסטרים אין די FPGA. // די העלפּער ביטסטרים אַרייַננעמען טנייַ פירמוואַרע quartus_jli -c 1 -a CONFIGURE RootKey.jam
// צו פּראָגראַם די באַזיצער וואָרצל ציבור שליסל אין ווירטואַל eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
// צו פּראָגראַם די באַזיצער וואָרצל ציבור שליסל אין גשמיות eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
// צו פּראָגראַם די PR באַזיצער וואָרצל ציבור שליסל אין ווירטואַל עFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
// צו פּראָגראַם די PR באַזיצער וואָרצל ציבור שליסל אין גשמיות eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
// צו פּראָגראַם די AES ענקריפּשאַן שליסל CCERT אין BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
// צו פּראָגראַם די AES ענקריפּשאַן שליסל CCERT אין גשמיות eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
פֿאַרבונדענע אינפֿאָרמאַציע AN 425: ניצן די קאַמאַנד שורה דזשאַם סטאַפּל לייזונג פֿאַר מיטל פּראָגראַממינג

Intel Agilex® 7 Device Security User Guide 46

שיקן באַמערקונגען

683823 | 2023.05.23 שיקן באַמערקונגען

אַוואַנסירטע פֿעיִקייטן

5.1. זיכער דעבוג דערלויבעניש
צו געבן זיכער דעבוג דערלויבעניש, דער דיבאַג באַזיצער דאַרף דזשענערייט אַן אָטענטאַקיישאַן שליסל פּאָר און נוצן די Intel Quartus Prime Pro פּראָגראַמיסט צו דזשענערייט אינפֿאָרמאַציע וועגן די מיטל. file פֿאַר די מיטל וואָס לויפט די דיבאַג בילד:
quartus_pgm -c 1 -מ דזשtag -o "ei;device_info.txt;AGFB014R24A" -dev_info
דער מיטל באַזיצער ניצט די quartus_sign געצייַג אָדער די רעפֿערענץ ימפּלאַמענטיישאַן צו צוגעבן אַ קאַנדישאַנאַל עפנטלעך שליסל פּאָזיציע צו אַ כסימע קייט בדעה פֿאַר דיבאַג אַפּעריישאַנז ניצן די ציבור שליסל פון די דיבאַג באַזיצער, די נויטיק דערלויבעניש, די מיטל אינפֿאָרמאַציע טעקסט file, און אָנווענדלעך ווייַטער ריסטריקשאַנז:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18_pem=”XNUMX debug_authorization_public_key.pem secure_debug_auth_chain.qky
דער מיטל באַזיצער סענדז די פול כסימע קייט צוריק צו די דיבאַג באַזיצער, וואָס ניצט די כסימע קייט און זייער פּריוואַט שליסל צו צייכן די דיבאַג בילד:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
איר קענט נוצן די quartus_pfg באַפֿעל צו דורכקוקן די כסימע קייט פון יעדער אָפּטיילונג פון דעם געחתמעט זיכער דעבוג ביטסטרים ווי גייט:
quartus_pfg –check_integrity authorized_debug_design.rbf
דער רעזולטאַט פון דעם באַפֿעל פּרינץ די באַגרענעצונג וואַלועס 1,2,17,18 פון די קאַנדישאַנאַל ציבור שליסל וואָס איז געניצט צו דזשענערייט די געחתמעט ביטסטרים.
דער דיבאַג באַזיצער קענען דעמאָלט פּראָגראַם די סיקיורלי אָטערייזד דיבאַג פּלאַן:
quartus_pgm -c 1 -מ דזשtag -אָ "פּ; אַוטהאָריזעד_דעבוג_דיזיין.רבף"
דער מיטל באַזיצער קען אָפּרופן די זיכער דיבאַג דערלויבעניש דורך קאַנסאַלינג די יקספּליסאַט שליסל קאַנסאַליישאַן שייַן אַסיינד אין די זיכער דיבאַג דערלויבעניש כסימע קייט.
5.2. HPS דעבוג סערטיפיקאַץ
געבן בלויז אָטערייזד אַקסעס צו די HPS דיבאַג אַקסעס פּאָרט (DAP) דורך JTAG צובינד ריקווייערז עטלעכע סטעפּס:

Intel Corporation. אלע רעכטן רעזערווירט. ינטעל, די ינטעל לאָגאָ און אנדערע ינטעל מאַרקס זענען טריידמאַרקס פון ינטעל קאָרפּאָראַטיאָן אָדער זייַן סאַבסידיעריז. ינטעל וואָראַנטיז פאָרשטעלונג פון זייַן FPGA און סעמיקאַנדאַקטער פּראָדוקטן צו קראַנט ספּעסאַפאַקיישאַנז אין לויט מיט ינטעל ס נאָרמאַל וואָראַנטי, אָבער ריזערווז די רעכט צו מאַכן ענדערונגען צו קיין פּראָדוקטן און באַדינונגס אין קיין צייט אָן באַמערקן. ינטעל אַסומז קיין פֿאַראַנטוואָרטלעכקייט אָדער אַכרייַעס וואָס איז שטייענדיק פֿון די אַפּלאַקיישאַן אָדער נוצן פון קיין אינפֿאָרמאַציע, פּראָדוקט אָדער דינסט דיסקרייבד דאָ, אַחוץ ווי ינטעל איז עקספּרעסלי מסכים צו שרייבן. ינטעל קאַסטאַמערז זענען אַדווייזד צו קריגן די לעצטע ווערסיע פון ​​די מיטל ספּעסאַפאַקיישאַנז איידער זיי פאַרלאָזנ אויף קיין ארויס אינפֿאָרמאַציע און איידער פּלייסינג אָרדערס פֿאַר פּראָדוקטן אָדער באַדינונגס. * אנדערע נעמען און בראַנדז קען זיין קליימד ווי די פאַרמאָג פון אנדערע.

ISO 9001:2015 רעגיסטרירט

5. אַוואַנסירטע פֿעיִקייטן 683823 | 2023.05.23
1. דריקט דעם Intel Quartus Prime ווייכווארג אַסיינמאַנץ מעניו און אויסקלייַבן דיווייס מיטל און שפּילקע אָפּציעס קאַנפיגיעריישאַן קוויטל.
2. אין די קאָנפיגוראַטיאָן קוויטל, געבן די HPS דיבאַג אַקסעס פּאָרט (DAP) דורך סעלעקטינג אָדער HPS Pins אָדער SDM Pins פון די דראָפּדאָוון מעניו, און ינשורינג די לאָזן הפּס דיבאַג אָן סערטיפיקאַץ טשעקקבאָקס איז נישט אויסגעקליבן.
פיגורע 14. ספּעציפיצירן אָדער HPS אָדער SDM פּינס פֿאַר די HPS DAP

HPS דיבאַג אַקסעס פּאָרט (DAP)
אַלטערנאַטיוועלי, איר קען שטעלן די אַסיינמאַנט אונטן אין די Quartus Prime סעטטינגס .qsf file:
set_global_assignment -נאָמען HPS_DAP_SPLIT_MODE "SDM PINS"
3. צונויפנעמען און מאַסע די פּלאַן מיט די סעטטינגס. 4. שאַפֿן אַ כסימע קייט מיט די צונעמען פּערמישאַנז צו צייכן אַן HPS דיבאַג
באַווייַזן:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_qky_sign_chain.
5. בעטן אַן אַנסיינד HPS דיבאַג באַווייַזן פון די מיטל ווו די דיבאַג פּלאַן איז לאָודיד:
quartus_pgm -c 1 -מ דזשtag -o "e; unsigned_hps_debug.cert;AGFB014R24A"
6. צייכן די אַנסיינד הפּס דיבאַג באַווייַזן ניצן די quartus_sign געצייַג אָדער רעפֿערענץ ימפּלאַמענטיישאַן און די HPS דיבאַג כסימע קייט:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Intel Agilex® 7 Device Security User Guide 48

שיקן באַמערקונגען

5. אַוואַנסירטע פֿעיִקייטן 683823 | 2023.05.23
7. שיקן די געחתמעט HPS דיבאַג באַווייַזן צוריק צו די מיטל צו געבן אַקסעס צו די HPS דיבאַג אַקסעס פּאָרט (DAP):
quartus_pgm -c 1 -מ דזשtag -o "p; signed_hps_debug.cert"
די HPS דיבאַג באַווייַזן איז גילטיק בלויז פֿון די צייט ווען עס איז דזשענערייטאַד ביז דער ווייַטער מאַכט ציקל פון די מיטל אָדער ביז אַ אַנדערש טיפּ אָדער ווערסיע פון ​​SDM פירמוואַרע איז לאָודיד. איר מוזן דזשענערייט, צייכן, און פּראָגראַם די געחתמעט HPS דיבאַג באַווייַזן, און דורכפירן אַלע דיבאַג אַפּעריישאַנז איידער מאַכט סייקלינג די מיטל. איר קען פאַרקריפּלט די געחתמעט HPS דיבאַג באַווייַזן דורך מאַכט סייקלינג די מיטל.
5.3. פּלאַטפאָרמע אַטעסטאַטיאָן
איר קענען דזשענערייט אַ רעפֿערענץ אָרנטלעכקייַט מאַנאַפעסטיישאַן (.רים) file ניצן די פּראָגראַממינג file גענעראַטאָר געצייַג:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
גיי די סטעפּס צו ענשור די פּלאַטפאָרמע אַטטעסטיישאַן אין דיין פּלאַן: 1. ניצן די Intel Quartus Prime Pro פּראָגראַמיסט צו קאַנפיגיער דיין מיטל מיט די
פּלאַן איר באשאפן אַ רעפֿערענץ אָרנטלעכקייַט באַשייַמפּערלעך פֿאַר. 2. ניצן אַ פּלאַטפאָרמע אַטטעסטאַטיאָן וועראַפייער צו פאַרשרייַבן די מיטל דורך ישוינג קאַמאַנדז צו די
SDM דורך די SDM בריווקאַסטן צו שאַפֿן די מיטל שייַן באַווייַזן און פירמוואַרע באַווייַזן אויף רילאָוד. 3. ניצן די Intel Quartus Prime Pro פּראָגראַמיסט צו ריקאַנפיגיער דיין מיטל מיט די פּלאַן. 4. ניצן די פּלאַטפאָרמע אַטעסטאַטיאָן וועראַפייער צו אַרויסגעבן קאַמאַנדז צו די SDM צו באַקומען די אַטטעסטיישאַן מיטל שייַן, פירמוואַרע און אַליאַס סערטיפיקאַץ. 5. ניצן די אַטעסטאַטיאָן וועריפיער צו אַרויסגעבן די SDM בריווקאַסטן באַפֿעל צו באַקומען די אַטעסטאַטיאָן זאָגן און די וועראַפייער טשעקס די אומגעקערט זאָגן.
איר קענט ינסטרומענט דיין אייגענע וועראַפייער סערוויס ניצן די SDM בריווקאַסטן קאַמאַנדז, אָדער נוצן די ינטעל פּלאַטפאָרמע אַטעסטאַטיאָן וועראַפייער דינסט. פֿאַר מער אינפֿאָרמאַציע וועגן ינטעל פּלאַטפאָרמע אַטטעסטאַטיאָן וועראַפייער סערוויס ווייכווארג, אַוויילאַבילאַטי און דאַקיומענטיישאַן, קאָנטאַקט ינטעל סופּפּאָרט.
פֿאַרבונדענע אינפֿאָרמאַציע Intel Agilex 7 Device Family Pin Connection Guidelines
5.4. גשמיות אַנטי-טיamper
איר געבן די גשמיות אַנטי-טampער פֿעיִקייטן ניצן די פאלגענדע סטעפּס: 1. סעלעקטינג די געבעטן ענטפער צו אַ דיטעקטאַד הampער געשעעניש 2. קאַנפיגיער די געבעטן הampער דיטעקשאַן מעטהאָדס און פּאַראַמעטערס 3. אַרייַנגערעכנט די אַנטי-הampער IP אין דיין פּלאַן לאָגיק צו העלפן פירן אַנטי-הamper
געשעענישן

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 49

5. אַוואַנסירטע פֿעיִקייטן 683823 | 2023.05.23
5.4.1. אַנטי-טיampער רעספּאָנסעס
איר געבן גשמיות אַנטי-טampדורך סעלעקטינג אַ ענטפער פון די אַנטי-טampדער ענטפער: דראָפּדאָוון רשימה אויף די אַסיינמאַנץ מיטל מיטל און שפּילקע אָפּציעס זיכערהייַט אַנטי-טamper tab. דורך פעליקייַט, די אַנטי-טampדער ענטפער איז פאַרקריפּלט. פינף קאַטעגאָריעס פון אַנטי-הampדער ענטפער איז בנימצא. ווען איר אויסקלייַבן דיין געוואלט ענטפער, די אָפּציעס צו געבן איינער אָדער מער דיטעקשאַן מעטהאָדס זענען ענייבאַלד.
פיגורע 15. בנימצא אַנטי-טampער ענטפער אָפּציעס

די קאָראַספּאַנדינג אַסיינמאַנט אין די Quartus Prime סעטטינגס .גסף file איז די פאלגענדע:
set_global_assignment -נאָמען ANTI_TAMPER_RESPONSE "נאָטיפיקאַטיאָן מיטל ווישן דיווייס שלאָס און נולאַזיישאַן"
ווען איר געבן אַן אַנטי-טampאין ענטפער, איר קען קלייַבן צוויי בנימצא SDM דעדאַקייטאַד י / אָ פּינס צו רעזולטאַט די הampער געשעעניש דיטעקשאַן און ענטפער סטאַטוס ניצן די אַסיינמאַנץ דיווייס מיטל און שפּילקע אָפּציעס קאַנפיגיעריישאַן קאַנפיגיעריישאַן שטיפט אָפּציעס פֿענצטער.

Intel Agilex® 7 Device Security User Guide 50

שיקן באַמערקונגען

5. אַוואַנסירטע פֿעיִקייטן 683823 | 2023.05.23
פיגורע 16. בנימצא SDM דעדאַקייטאַד י / אָ פּינס פֿאַר טampער געשעעניש דעטעקשאַן

איר קענט אויך מאַכן די פאלגענדע שטיפט אַסיינמאַנץ אין די סעטטינגס file: set_global_assignment -נאָמען USE_TAMPER_DETECT SDM_IO15 set_global_assignment -נאָמען ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. אַנטי-טיampער דעטעקשאַן

איר קען ינדיווידזשואַלי געבן די אָפטקייַט, טעמפּעראַטור און וואָלtagדי דיטעקשאַן פֿעיִקייטן פון די SDM. FPGA דיטעקשאַן דעפּענדס אויף אַרייַנגערעכנט די אַנטי-טampאיז Lite Intel FPGA IP אין דיין פּלאַן.

באַמערקונג:

SDM אָפטקייַט און וואָלtagעטampדיטעקשאַן מעטהאָדס זענען אָפענגיק אויף ינערלעך באַווייַזן און מעזשערמאַנט ייַזנוואַרג וואָס קענען בייַטן צווישן דעוויסעס. ינטעל רעקאַמענדז אַז איר קעראַקטערייז די נאַטור פון הampער דיטעקשאַן סעטטינגס.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 51

5. אַוואַנסירטע פֿעיִקייטן 683823 | 2023.05.23
אָפטקייַט הampער דיטעקשאַן אַפּערייץ אויף די קאַנפיגיעריישאַן זייגער מקור. צו געבן אָפטקייַט הampאין די דעטעקשאַן, איר מוזן ספּעציפיצירן אַן אנדער אָפּציע ווי אינערלעכער אַסאַלייטער אין די קאַנפיגיעריישאַן זייגער מקור דראָפּדאָוון אויף די אַסיינמאַנץ מיטל מיטל און שטיפט אָפּציעס אַלגעמיינע קוויטל. איר מוזן ענשור אַז די לויפן קאַנפיגיעריישאַן קפּו פֿון ינערלעך אַסאַלייטער טשעקקבאָקס איז ענייבאַלד איידער איר געבן די אָפטקייַט.ampער דיטעקשאַן. פיגורע 17. באַשטעטיקן די SDM צו אינערלעכער אַסאַלייטער
צו געבן אָפטקייַט הampאין דיטעקשאַן, סעלעקטירן דעם געבן אָפטקייַטampאיז דיטעקשאַן טשעקקבאָקס און סעלעקטירן דעם געוואלט אָפטקייַטampאיז דיטעקשאַן קייט פון די דראָפּדאָוון מעניו. פיגורע 18. ענייבאַלינג אָפטקייַט טampער דעטעקשאַן

Intel Agilex® 7 Device Security User Guide 52

שיקן באַמערקונגען

5. אַוואַנסירטע פֿעיִקייטן 683823 | 2023.05.23
אַלטערנאַטיוועלי, איר קענען געבן Frequency Tampער דעטעקשאַן דורך מאכן די פאלגענדע ענדערונגען צו די Quartus Prime סעטטינגס .qsf file:
set_global_assignment -נאָמען AUTO_RESTART_CONFIGURATION OFF set_global_assignment -נאָמען DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -נאָמען RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -נאָמען ENNCABYLEAMPER_DETECTION אויף set_global_assignment -נאָמען FREQUENCY_TAMPER_DETECTION_RANGE 35
צו געבן טעמפּעראַטור הampאין דיטעקשאַן, אויסקלייַבן די געבן טעמפּעראַטור tampאיז דיטעקשאַן טשעקקבאָקס און סעלעקטירן דעם געוואלט טעמפּעראַטור אויבערשטן און נידעריקער גווול אין די קאָראַספּאַנדינג פעלדער. דער אויבערשטער און נידעריקער גווול זענען פּאַפּיאַלייטאַד דורך פעליקייַט מיט די פֿאַרבונדענע טעמפּעראַטור קייט פֿאַר די מיטל אויסגעקליבן אין די פּלאַן.
צו געבן Voltagעטampאין דיטעקשאַן, איר אויסקלייַבן איינער אָדער ביידע פון ​​די Enable VCCL voltagעטampער דיטעקשאַן אָדער געבן VCCL_SDM voltagעטampאיז דיטעקשאַן טשעקקבאָקסעס און סעלעקטירן דעם געוואלט חלקtagעטampדער דיטעקשאַן צינגל פּראָצענטtagE אין די קאָראַספּאַנדינג פעלד.
פיגורע 19. ענייבאַלינג וואָלtage טיampער דעטעקשאַן

אַלטערנאַטיוועלי, איר קענען געבן Voltage טיampער דעטעקשאַן דורך ספּעציפיצירן די פאלגענדע אַסיינמאַנץ אין די .qsf file:
set_global_assignment -נאָמען ENABLE_TEMPERATURE_TAMPER_DETECTION אויף set_global_assignment -נאָמען TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -נאָמען ENABLE_VCCL_VOLTAGע_טAMPER_DETECTION אויף set_global_assignment -נאָמען ENABLE_VCCL_SDM_VOLTAGע_טAMPER_DETECTION אויף
5.4.3. אַנטי-טיampאיז Lite Intel FPGA IP
די אַנטי-טיamper Lite Intel FPGA IP, בנימצא אין די IP קאַטאַלאָג אין Intel Quartus Prime Pro Edition ווייכווארג, פאַסילאַטייץ ביידירעקטיאָנאַל קאָמוניקאַציע צווישן דיין פּלאַן און די SDM.ampער געשעענישן.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 53

פיגורע 20. אַנטי-טampאיז Lite Intel FPGA IP

5. אַוואַנסירטע פֿעיִקייטן 683823 | 2023.05.23

די IP גיט די פאלגענדע סיגנאַלז אַז איר פאַרבינדן צו דיין פּלאַן ווי דארף:

טיש 5.

אַנטי-טיampער ליטע Intel FPGA IP I/O סיגנאַלז

סיגנאַל נאָמען

ריכטונג

באַשרייַבונג

gpo_sdm_at_event gpi_fpga_at_event

רעזולטאַט ינפּוט

SDM סיגנאַל צו FPGA שטאָף לאָגיק אַז אַ SDM האט דיטעקטאַד אַ הampדער געשעעניש. די FPGA לאָגיק האט בעערעך 5ms צו דורכפירן קיין געוואלט רייניקונג און ריספּאַנד צו די SDM דורך gpi_fpga_at_response_done און gpi_fpga_at_zeroization_done. די SDM לייזונג מיט די הampאיר ענטפער אַקשאַנז ווען gpi_fpga_at_response_done איז באַשטעטיקט אָדער נאָך קיין ענטפער איז באקומען אין די אַלאַטיד צייט.
FPGA יבעררייַס צו SDM אַז דיין דיזיינד אַנטי-הampער דיטעקשאַן סערקיאַליישאַן האט דיטעקטאַד אַ הampער געשעעניש און די SDM הampדער ענטפער זאָל זיין טריגערד.

gpi_fpga_at_response_done

אַרייַנשרייַב

FPGA יבעררייַסן צו SDM אַז FPGA לאָגיק האט דורכגעקאָכט די געבעטן רייניקונג.

gpi_fpga_at_zeroization_d איינער

אַרייַנשרייַב

FPGA סיגנאַל צו SDM אַז FPGA לאָגיק האט דורכגעקאָכט קיין געוואלט זעראַזיישאַן פון פּלאַן דאַטן. דער סיגנאַל איז sampגעפירט ווען gpi_fpga_at_response_done איז באשטעטיקט.

5.4.3.1. מעלדונג אינפֿאָרמאַציע

די IP ווערסיע סכעמע (XYZ) נומער ענדערונגען פון איין ווייכווארג ווערסיע צו אנדערן. א ענדערונג אין:
· X ינדיקייץ אַ הויפּט רעוויזיע פון ​​די IP. אויב איר דערהייַנטיקן דיין Intel Quartus Prime ווייכווארג, איר מוזן רידזשענערייט די IP.
· י ינדיקייץ די IP ינקלודז נייַ פֿעיִקייטן. רידזשענערייט דיין IP צו אַרייַננעמען די נייַע פֿעיִקייטן.
· ז ינדיקייץ די IP כולל מינערווערטיק ענדערונגען. רידזשענערייט דיין IP צו אַרייַננעמען די ענדערונגען.

טיש 6.

אַנטי-טיampאיז Lite Intel FPGA IP מעלדונג אינפֿאָרמאַציע

IP ווערסיע

נומער

באַשרייַבונג 20.1.0

Intel Quartus Prime ווערסיע

21.2

מעלדונג טאָג

2021.06.21

Intel Agilex® 7 Device Security User Guide 54

שיקן באַמערקונגען

5. אַוואַנסירטע פֿעיִקייטן 683823 | 2023.05.23
5.5. ניצן דיזיין זיכערהייט פֿעיִקייטן מיט רימאָוט סיסטעם דערהייַנטיקן
רימאָוט סיסטעם אַפּדייט (RSU) איז אַן Intel Agilex 7 FPGA שטריך וואָס אַסיס אין אַפּדייטינג קאַנפיגיעריישאַן fileס אין אַ געזונט וועג. RSU איז קאַמפּאַטאַבאַל מיט פּלאַן זיכערהייט פֿעיִקייטן אַזאַ ווי אָטענטאַקיישאַן, פירמוואַרע קאָ-סיינינג און ביטסטרים ענקריפּשאַן, ווייַל RSU איז נישט אָפענגען אויף די פּלאַן אינהאַלט פון קאַנפיגיעריישאַן ביטסטרים.
בילדינג RSU בילדער מיט .סאָף Files
אויב איר זענען סטאָרינג פּריוואַט שליסלען אויף דיין היגע fileסיסטעם, איר קען דזשענערייט RSU בילדער מיט פּלאַן זיכערהייט פֿעיִקייטן ניצן אַ סימפּלאַפייד לויפן מיט .סאָף fileס ווי ינפּוץ. צו דזשענערייט RSU בילדער מיט די .סאָף file, איר קען נאָכגיין די ינסטראַקשאַנז אין אָפּטיילונג דזשענערייטינג רימאָוט סיסטעם דערהייַנטיקן בילד Files ניצן די פּראָגראַממינג File גענעראַטאָר פון די Intel Agilex 7 קאַנפיגיעריישאַן באַניצער גייד. פאר יעדן .סאָף file ספּעסיפיעד אויף די אַרייַנשרייַב Fileס קוויטל, גיט די פּראָפּערטיעס ... קנעפּל און ספּעציפיצירן די צונעמען סעטטינגס און שליסלען פֿאַר די סיינינג און ענקריפּשאַן מכשירים. די פּראָגראַממינג file גענעראַטאָר געצייַג אויטאָמאַטיש צייכן און ענקריפּץ פאַבריק און אַפּלאַקיישאַן בילדער בשעת קריייטינג די RSU פּראָגראַממינג files.
אַלטערנאַטיוועלי, אויב איר סטאָרד פּריוואַט שליסלען אין אַ HSM, איר מוזן נוצן די quartus_sign געצייַג און דעריבער נוצן .rbf fileס. די רעשט פון דעם אָפּטיילונג דעטאַילס די ענדערונגען אין די לויפן צו דזשענערייט RSU בילדער מיט .rbf fileס ווי ינפּוץ. איר מוזן ענקריפּט און צייכן .רבף פֿאָרמאַט fileס פריערדיק צו סעלעקטינג זיי ווי אַרייַנשרייַב files פֿאַר RSU בילדער; אָבער, די RSU שטיוול אינפֿאָרמאַציע file מוזן נישט זיין ינקריפּטיד און אַנשטאָט נאָר זיין געחתמעט. די פּראָגראַממינג File גענעראַטאָר טוט נישט שטיצן מאַדאַפייינג פּראָפּערטיעס פון .רבף פֿאָרמאַט files.
די פאלגענדע עקסampלייענען די נויטיק מאָדיפיקאַטיאָנס צו די קאַמאַנדז אין אָפּטיילונג דזשענערייטינג רימאָוט סיסטעם דערהייַנטיקן בילד Files ניצן די פּראָגראַממינג File גענעראַטאָר פון די Intel Agilex 7 קאַנפיגיעריישאַן באַניצער גייד.
דזשענערייטינג די ערשט RSU בילד ניצן .rbf Files: באַפֿעל מאָדיפיקאַטיאָן
פון דזשענערייטינג די ערשט RSU בילד ניצן .rbf Fileס אָפּטיילונג, מאָדיפיצירן די קאַמאַנדז אין סטעפּ 1. צו געבן די פּלאַן זיכערהייט פֿעיִקייטן ווי איר ווילט ניצן ינסטראַקשאַנז פון פריער סעקשאַנז פון דעם דאָקומענט.
פֿאַר עקסampאיר וואָלט ספּעציפיצירן אַ געחתמעט פירמוואַרע file אויב איר האָט געוויינט פירמוואַרע קאָסיגנינג, נוצן די Quartus ענקריפּשאַן געצייַג צו ענקריפּט יעדער .רבף file, און לעסאָף נוצן די quartus_sign געצייַג צו צייכן יעדער file.
אין שריט 2, אויב איר האָבן ענייבאַלד פירמוואַרע קאָ-סיינינג, איר מוזן נוצן אַן נאָך אָפּציע אין די שאַפונג פון די שטיוול .rbf פֿון די פאַבריק בילד file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
נאָך איר מאַכן די שטיוול אינפֿאָרמאַציע .רבף file, נוצן די quartus_sign געצייַג צו צייכן די .rbf file. איר מוזן נישט ינקריפּט די שטיוול אינפֿאָרמאַציע .רבף file.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 55

5. אַוואַנסירטע פֿעיִקייטן 683823 | 2023.05.23
דזשענערייטינג אַ אַפּלאַקיישאַן בילד: באַפֿעל מאָדיפיקאַטיאָן
צו דזשענערייט אַ אַפּלאַקיישאַן בילד מיט פּלאַן זיכערהייט פֿעיִקייטן, איר מאָדיפיצירן די באַפֿעל אין דזשענערייטינג אַן אַפּפּליקאַטיאָן בילד צו נוצן אַ .רבף מיט פּלאַן זיכערהייט פֿעיִקייטן, אַרייַנגערעכנט קאָ-געחתמעט פירמוואַרע אויב פארלאנגט, אַנשטאָט פון דער אָריגינעל אַפּלאַקיישאַן .sof. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
דזשענערייטינג אַ פאַבריק דערהייַנטיקן בילד: באַפֿעל מאָדיפיקאַטיאָן
נאָך איר מאַכן די שטיוול אינפֿאָרמאַציע .רבף file, איר נוצן די quartus_sign געצייַג צו צייכן די .rbf file. איר מוזן נישט ינקריפּט די שטיוול אינפֿאָרמאַציע .רבף file.
צו דזשענערייט אַ RSU פאַבריק דערהייַנטיקן בילד, איר מאָדיפיצירן די באַפֿעל פון דזשענערייטינג אַ פאַבריק דערהייַנטיקן בילד צו נוצן אַ .rbf file מיט פּלאַן זיכערהייט פֿעיִקייטן ענייבאַלד און לייגן די אָפּציע צו אָנווייַזן די קאָ-געחתמעט פירמוואַרע באַניץ:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
פֿאַרבונדענע אינפֿאָרמאַציע Intel Agilex 7 קאַנפיגיעריישאַן באַניצער גייד
5.6. SDM קריפּטאָגראַפיק באַדינונגס
די SDM אויף Intel Agilex 7 דעוויסעס גיט קריפּטאָגראַפיק באַדינונגס וואָס FPGA שטאָף לאָגיק אָדער די HPS קען בעטן דורך די ריספּעקטיוו SDM בריווקאַסטן צובינד. פֿאַר מער אינפֿאָרמאַציע וועגן די בריווקאַסטן קאַמאַנדז און דאַטן פֿאָרמאַטירונגען פֿאַר אַלע SDM קריפּטאָגראַפיק באַדינונגס, אָפּשיקן צו אַפּפּענדיקס ב אין די זיכערהייט מעטאַדאַלאַדזשי פֿאַר ינטעל פפּגאַ און סטראַקטשערד אַסיק באַניצער גייד.
צו אַקסעס די SDM בריווקאַסטן צובינד צו FPGA שטאָף לאָגיק פֿאַר SDM קריפּטאָגראַפיק באַדינונגס, איר מוזן ינסטאַנטייט די Mailbox Client Intel FPGA IP אין דיין פּלאַן.
רעפערענץ קאָד צו אַקסעס צו די SDM בריווקאַסטן צובינד פֿון די HPS איז אַרייַנגערעכנט אין די ATF און Linux קאָד צוגעשטעלט דורך Intel.
פֿאַרבונדענע אינפֿאָרמאַציע בריווקאַסטן קליענט ינטעל פפּגאַ יפּ באַניצער גייד
5.6.1. פאַרקויפער אָטערייזד שטיוול
ינטעל גיט אַ רעפֿערענץ ימפּלאַמענטיישאַן פֿאַר HPS ווייכווארג וואָס ניצט די פאַרקויפער אָטערייזד שטיוול שטריך צו אָטענטאַקייט HPS שטיוול ווייכווארג פֿון דער ערשטער ס.tagדי שטיוול לאָודער צו די לינוקס קערן.
פֿאַרבונדענע אינפֿאָרמאַציע Intel Agilex 7 SoC Secure Boot Demo Design

Intel Agilex® 7 Device Security User Guide 56

שיקן באַמערקונגען

5. אַוואַנסירטע פֿעיִקייטן 683823 | 2023.05.23
5.6.2. זיכער דאַטאַ אָבדזשעקט סערוויס
איר שיקן די קאַמאַנדז דורך די SDM בריווקאַסטן צו דורכפירן SDOS כייפעץ ענקריפּשאַן און דעקריפּטיאָן. איר קענט נוצן די SDOS שטריך נאָך פּראַוויידינג די SDOS וואָרצל שליסל.
פֿאַרבונדענע אינפֿאָרמאַציע זיכער דאַטאַ אָבדזשעקט סערוויס וואָרצל שליסל פּראַוויזשאַנז אויף בלאַט 30
5.6.3. SDM קריפּטאָגראַפיק פּרימיטיוו באַדינונגס
איר שיקן די קאַמאַנדז דורך די SDM בריווקאַסטן צו אָנהייבן SDM קריפּטאָגראַפיק פּרימיטיוו סערוויס אַפּעריישאַנז. עטלעכע קריפּטאָגראַפיק פּרימיטיוו באַדינונגס דאַרפן אַז מער דאַטן טראַנספערד צו און פון די SDM ווי די בריווקאַסטן צובינד קענען אָננעמען. אין די קאַסעס, די באַפֿעל פון די פֿאָרמאַט ענדערונגען צו צושטעלן פּאָינטערז צו דאַטן אין זכּרון. אַדדיטיאָנאַללי, איר מוזן טוישן די ינסטאַנטיישאַן פון די בריווקאַסטן קליענט Intel FPGA IP צו נוצן SDM קריפּטאָגראַפיק פּרימיטיוו באַדינונגס פֿון די FPGA שטאָף לאָגיק. איר מוזן אויך שטעלן די Enable Crypto Service פּאַראַמעטער צו 1 און פאַרבינדן די ניי יקספּאָוזד AXI ינישיייטער צובינד צו אַ זכּרון אין דיין פּלאַן.
פיגורע 21. ענייבאַלינג SDM קריפּטאָגראַפיק באַדינונגס אין די בריווקאַסטן קליענט ינטעל פפּגאַ יפּ

5.7. ביטסטרים זיכערהייט סעטטינגס (FM/S10)
FPGA Bitstream זיכערהייט אָפּציעס זענען אַ זאַמלונג פון פּאַלאַסיז וואָס באַגרענעצן די ספּעסיפיעד שטריך אָדער מאָדע פון ​​אָפּעראַציע אין אַ דיפיינד צייט.
ביטסטרים סעקוריטי אָפּציעס צונויפשטעלנ זיך פון פלאַגס וואָס איר שטעלן אין Intel Quartus Prime Pro Edition ווייכווארג. די פלאַגס זענען אויטאָמאַטיש קאַפּיד אין די קאַנפיגיעריישאַן ביטסטרים.
איר קענט פּערמאַנאַנטלי דורכפירן זיכערהייט אָפּציעס אויף אַ מיטל דורך די נוצן פון די קאָראַספּאַנדינג זיכערהייט באַשטעטיקן eFuse.
צו נוצן קיין זיכערהייט סעטטינגס אין די ביטסטרעאַם קאַנפיגיעריישאַן אָדער eFuses פון די מיטל, איר מוזן געבן די אָטענטאַקיישאַן שטריך.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 57

5. אַוואַנסירטע פֿעיִקייטן 683823 | 2023.05.23
5.7.1. סעלעקטינג און ענייבאַלינג זיכערהייט אָפּציעס
צו אויסקלייַבן און געבן זיכערהייט אָפּציעס, טאָן ווי גייט: פֿון די אַסיינמאַנץ מעניו, אויסקלייַבן דיווייס מיטל און שטיפט אָפּציעס זיכערהייַט מער אָפּציעס ... פיגורע 22. סעלעקטינג און ענייבאַלינג זיכערהייַט אָפּציעס

און סעלעקטירן די וואַלועס פון די פאַל-אַראָפּ רשימות פֿאַר די זיכערהייט אָפּציעס איר ווילן צו געבן ווי געוויזן אין די פאלגענדע עקס.ampלאַ:
פיגורע 23. סעלעקטינג וואַלועס פֿאַר זיכערהייַט אָפּציעס

Intel Agilex® 7 Device Security User Guide 58

שיקן באַמערקונגען

5. אַוואַנסירטע פֿעיִקייטן 683823 | 2023.05.23
די פאלגענדע זענען די קאָראַספּאַנדינג ענדערונגען אין די Quartus Prime סעטטינגס .qsf file:
set_global_assignment -נאָמען SECU_OPTION_DISABLE_JTAG "ON CHECK" set_global_assignment -נאָמען SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE "ON STICKY" set_global_assignment -נאָמען SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -נאָמען SECU_OPTION_DISABLE_DISABLE_DISABLE_SET CK_SECURITY_EFUSES ON set_global_assignment -נאָמען SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -נאָמען SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -נאָמען SECU_OPTION_EFUSESON_NAME_SET OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES אויף set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES אויף set_global_assignment -נאָמען SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM אויף set_global_assignment -נאָמען SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 59

683823 | 2023.05.23 שיקן באַמערקונגען

טראָובלעשאָאָטינג

דער קאַפּיטל באשרייבט פּראָסט ערראָרס און ווארענונג אַרטיקלען וואָס איר קען טרעפן ווען איר פּרובירן צו נוצן די זיכערהייט פֿעיִקייטן און מיטלען פון די מיטל צו האַלטן זיי.
6.1. ניצן קוואַרטוס קאַמאַנדז אין אַ Windows סוויווע טעות
טעות quartus_pgm: באַפֿעל ניט געפֿונען באַשרייַבונג דער טעות דיספּלייז ווען איר פּרווון צו נוצן Quartus קאַמאַנדז אין אַ ניאָס וו שעל אין אַ Windows סוויווע דורך ניצן WSL. האַכלאָטע דעם באַפֿעל אַרבעט אין לינוקס סוויווע; פֿאַר Windows מחנות, נוצן די פאלגענדע באַפֿעל: quartus_pgm.exe -h סימילאַרלי, צולייגן די זעלבע סינטאַקס צו אנדערע Quartus Prime קאַמאַנדז אַזאַ ווי quartus_pfg, quartus_sign, quartus_encrypt צווישן אנדערע קאַמאַנדז.

Intel Corporation. אלע רעכטן רעזערווירט. ינטעל, די ינטעל לאָגאָ און אנדערע ינטעל מאַרקס זענען טריידמאַרקס פון ינטעל קאָרפּאָראַטיאָן אָדער זייַן סאַבסידיעריז. ינטעל וואָראַנטיז פאָרשטעלונג פון זייַן FPGA און סעמיקאַנדאַקטער פּראָדוקטן צו קראַנט ספּעסאַפאַקיישאַנז אין לויט מיט ינטעל ס נאָרמאַל וואָראַנטי, אָבער ריזערווז די רעכט צו מאַכן ענדערונגען צו קיין פּראָדוקטן און באַדינונגס אין קיין צייט אָן באַמערקן. ינטעל אַסומז קיין פֿאַראַנטוואָרטלעכקייט אָדער אַכרייַעס וואָס איז שטייענדיק פֿון די אַפּלאַקיישאַן אָדער נוצן פון קיין אינפֿאָרמאַציע, פּראָדוקט אָדער דינסט דיסקרייבד דאָ, אַחוץ ווי ינטעל איז עקספּרעסלי מסכים צו שרייבן. ינטעל קאַסטאַמערז זענען אַדווייזד צו קריגן די לעצטע ווערסיע פון ​​די מיטל ספּעסאַפאַקיישאַנז איידער זיי פאַרלאָזנ אויף קיין ארויס אינפֿאָרמאַציע און איידער פּלייסינג אָרדערס פֿאַר פּראָדוקטן אָדער באַדינונגס. * אנדערע נעמען און בראַנדז קען זיין קליימד ווי די פאַרמאָג פון אנדערע.

ISO 9001:2015 רעגיסטרירט

6. טראָובלעשאָאָטינג 683823 | 2023.05.23

6.2. דזשענערייטינג אַ פּריוואַט שליסל ווארענונג

ווארענונג:

די ספּעסאַפייד פּאַראָל איז געהאלטן ינסאַקיער. ינטעל רעקאַמענדז אַז ביי מינדסטער 13 אותיות פון פּאַראָל זאָל זיין געוויינט. איר זענען רעקאַמענדיד צו טוישן די פּאַראָל דורך ניצן די OpenSSL עקסעקוטאַבלע.

אָפּענססל עק -אין -אויס -aes256

באַשרייַבונג
די ווארענונג איז שייך צו די שפּריכוואָרט שטאַרקייט און דיספּלייז ווען איר פּרובירן צו דזשענערייט אַ פּריוואַט שליסל דורך די פאלגענדע קאַמאַנדז:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

האַכלאָטע ניצן די אָפּענססל עקסעקוטאַבלע צו ספּעציפיצירן אַ מער און אַזוי שטארקער פּאַראָל.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 61

6. טראָובלעשאָאָטינג 683823 | 2023.05.23
6.3. אַדינג אַ סיינינג שליסל צו די Quartus Project טעות
טעות …File כּולל וואָרצל שליסל אינפֿאָרמאַציע ...
באַשרייַבונג
נאָך אַדינג אַ סיינינג שליסל .קקי file צו די Quartus פּרויעקט, איר דאַרפֿן צו שייַעך-אַסעמבאַל די .סאָף file. ווען איר לייגן דעם רידזשענערייטיד .סאָף file צו די אויסגעקליבן מיטל דורך ניצן Quartus פּראָגראַמיסט, די פאלגענדע טעות אָנזאָג ינדיקייץ אַז די file כּולל וואָרצל שליסל אינפֿאָרמאַציע:
ניט אַנדערש צו לייגןfile-path-name> צו פּראָגראַמיסט. די file כּולל וואָרצל שליסל אינפֿאָרמאַציע (.קקי). אָבער, פּראָגראַמיסט שטיצט נישט ביטסטרים סיינינג שטריך. איר קענען נוצן פּראָגראַממינג File גענעראַטאָר צו בייַטן די file צו די געחתמעט רוי ביינערי file (.רבף) פֿאַר קאַנפיגיעריישאַן.
האַכלאָטע
ניצן די Quartus פּראָגראַממינג file גענעראַטאָר צו בייַטן די file אין אַ געחתמעט ראַ ביינערי File .rbf פֿאַר קאַנפיגיעריישאַן.
פֿאַרבונדענע אינפֿאָרמאַציע סיינינג קאַנפיגיעריישאַן ביטסטרים ניצן די quartus_sign באַפֿעל אויף בלאַט 13

Intel Agilex® 7 Device Security User Guide 62

שיקן באַמערקונגען

6. טראָובלעשאָאָטינג 683823 | 2023.05.23
6.4. דזשענערייטינג Quartus Prime פּראָגראַממינג File איז ניט געראָטן
טעות
טעות (20353): X פון ציבור שליסל פֿון QKY איז נישט גלייַכן מיט פּריוואַט שליסל פֿון PEM file.
טעות (20352): ניט אַנדערש צו צייכן די ביטסטרים דורך פּיטהאָן שריפט agilex_sign.py.
טעות: Quartus Prime פּראָגראַממינג File גענעראַטאָר איז ניט געראָטן.
באַשרייַבונג אויב איר פּרובירן צו צייכן אַ קאַנפיגיעריישאַן ביטסטרים ניצן אַ פאַלש פּריוואַט שליסל .פּעם file אָדער אַ .פּעם file וואָס קען נישט גלייַכן די .qky צוגעגעבן צו די פּרויעקט, די אויבן פּראָסט ערראָרס אַרויסווייַזן. האַכלאָטע פאַרזיכערן אַז איר נוצן די ריכטיק פּריוואַט שליסל .פּעם צו צייכן די ביטסטרים.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 63

6. טראָובלעשאָאָטינג 683823 | 2023.05.23
6.5. אומבאַקאַנט אַרגומענט ערראָרס
טעות
טעות (23028): אומבאַקאַנט אַרגומענט "אָוק". אָפּשיקן צו -הילף פֿאַר לעגאַל טענות.
טעות (213008): פּראָגראַממינג אָפּציע שטריקל "ûפּ" איז ומלעגאַל. אָפּשיקן צו -הילף פֿאַר לעגאַל פּראָגראַממינג אָפּציע פֿאָרמאַטירונגען.
באַשרייַבונג אויב איר נאָכמאַכן און פּאַפּ באַפֿעלן-שורה אָפּציעס פון אַ. פּדף file אין די Windows NIOS II Shell, איר קען טרעפן אומבאַקאַנט אַרגומענט ערראָרס ווי געוויזן אויבן. האַכלאָטע אין אַזאַ קאַסעס, איר קען מאַניואַלי אַרייַן די קאַמאַנדז אַנשטאָט פון פּאַסטינג פון די קליפּבאָרד.

Intel Agilex® 7 Device Security User Guide 64

שיקן באַמערקונגען

6. טראָובלעשאָאָטינג 683823 | 2023.05.23
6.6. ביטסטרעאַם ענקריפּשאַן אָפּציע פאַרקריפּלט טעות
טעות
קענען ניט פיינאַלייז די ענקריפּשאַן פֿאַר די file פּלאַן .סאָף ווייַל עס איז געווען קאַמפּיילד מיט די ביטסטרים ענקריפּשאַן אָפּציע פאַרקריפּלט.
באַשרייַבונג אויב איר פּרובירן צו ענקריפּט די ביטסטרים דורך GUI אָדער באַפֿעלן-שורה נאָך איר האָבן צונויפגעשטעלט די פּרויעקט מיט די ביטסטרים ענקריפּשאַן אָפּציע פאַרקריפּלט, Quartus אפ די באַפֿעל ווי געוויזן אויבן.
האַכלאָטע פאַרזיכערן אַז איר צונויפנעמען די פּרויעקט מיט די ביטסטרים ענקריפּשאַן אָפּציע ענייבאַלד אָדער דורך GUI אָדער באַפֿעלן שורה. צו געבן דעם אָפּציע אין GUI, איר מוזן טשעק די טשעקקבאָקס פֿאַר דעם אָפּציע.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 65

6. טראָובלעשאָאָטינג 683823 | 2023.05.23
6.7. ספּעציפיצירן די ריכטיק וועג צו די שליסל
טעות
טעות (19516): דיטעקטאַד פּראָגראַממינג File גענעראַטאָר סעטטינגס טעות: קען ניט געפֿינען 'key_file'. מאַכן זיכער די file איז ליגן אין די דערוואַרט אָרט אָדער דערהייַנטיקן די setting.sec
טעות (19516): דיטעקטאַד פּראָגראַממינג File גענעראַטאָר סעטטינגס טעות: קען ניט געפֿינען 'key_file'. מאַכן זיכער די file איז ליגן אין די דערוואַרט אָרט אָדער דערהייַנטיקן די באַשטעטיקן.
באַשרייַבונג
אויב איר נוצן שליסלען וואָס זענען סטאָרד אויף די file סיסטעם, איר דאַרפֿן צו ענשור אַז זיי ספּעציפיצירן די ריכטיק דרך פֿאַר די שליסלען געניצט פֿאַר ביטסטרים ענקריפּשאַן און סיינינג. אויב די פּראָגראַממינג File גענעראַטאָר קענען נישט דעטעקט די רעכט דרך, די אויבן טעות אַרטיקלען ווייַזן.
האַכלאָטע
אָפּשיקן צו די Quartus Prime סעטטינגס .qsf file צו געפינען די ריכטיק פּאַטס פֿאַר די שליסלען. מאַכן זיכער איר נוצן קאָרעוו פּאַטס אַנשטאָט פון אַבסאָלוט פּאַטס.

Intel Agilex® 7 Device Security User Guide 66

שיקן באַמערקונגען

6. טראָובלעשאָאָטינג 683823 | 2023.05.23
6.8. ניצן ונסאַפּאָרטיד רעזולטאַט File טיפּ
טעות
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -אָ סיינינג=ON -o pem_file=sign_private.pem
טעות (19511): ניט-סופּפּאָרטעד רעזולטאַט file טיפּ (עבף). ניצן "-ל" אָדער "-ליסט" אָפּציע צו אַרויסווייַזן געשטיצט file טיפּ אינפֿאָרמאַציע.
באַשרייַבונג בשעת ניצן די קוואַרטוס פּראָגראַממינג File גענעראַטאָר צו דזשענערייט די ינקריפּטיד און געחתמעט קאַנפיגיעריישאַן ביטסטרים, איר קען זען די אויבן טעות אויב אַ אַנסאַפּאָרטיד רעזולטאַט file טיפּ איז ספּעסיפיעד. האַכלאָטע ניצן די -l אָדער די -ליסט אָפּציע צו זען די רשימה פון געשטיצט file טייפּס.

שיקן באַמערקונגען

Intel Agilex® 7 Device Security User Guide 67

683823 | 2023.05.23 שיקן באַמערקונגען
7. Intel Agilex 7 Device Security User Guide Archives
פֿאַר די לעצטע און פריערדיקע ווערסיעס פון דעם באַניצער גייד, אָפּשיקן צו Intel Agilex 7 Device Security User Guide. אויב אַן IP אָדער ווייכווארג ווערסיע איז נישט ליסטעד, דער באַניצער פירער פֿאַר די פריערדיקע IP אָדער ווייכווארג ווערסיע אַפּלייז.

Intel Corporation. אלע רעכטן רעזערווירט. ינטעל, די ינטעל לאָגאָ און אנדערע ינטעל מאַרקס זענען טריידמאַרקס פון ינטעל קאָרפּאָראַטיאָן אָדער זייַן סאַבסידיעריז. ינטעל וואָראַנטיז פאָרשטעלונג פון זייַן FPGA און סעמיקאַנדאַקטער פּראָדוקטן צו קראַנט ספּעסאַפאַקיישאַנז אין לויט מיט ינטעל ס נאָרמאַל וואָראַנטי, אָבער ריזערווז די רעכט צו מאַכן ענדערונגען צו קיין פּראָדוקטן און באַדינונגס אין קיין צייט אָן באַמערקן. ינטעל אַסומז קיין פֿאַראַנטוואָרטלעכקייט אָדער אַכרייַעס וואָס איז שטייענדיק פֿון די אַפּלאַקיישאַן אָדער נוצן פון קיין אינפֿאָרמאַציע, פּראָדוקט אָדער דינסט דיסקרייבד דאָ, אַחוץ ווי ינטעל איז עקספּרעסלי מסכים צו שרייבן. ינטעל קאַסטאַמערז זענען אַדווייזד צו קריגן די לעצטע ווערסיע פון ​​די מיטל ספּעסאַפאַקיישאַנז איידער זיי פאַרלאָזנ אויף קיין ארויס אינפֿאָרמאַציע און איידער פּלייסינג אָרדערס פֿאַר פּראָדוקטן אָדער באַדינונגס. * אנדערע נעמען און בראַנדז קען זיין קליימד ווי די פאַרמאָג פון אנדערע.

ISO 9001:2015 רעגיסטרירט

683823 | 2023.05.23 שיקן באַמערקונגען

8. רעוויזיע געשיכטע פֿאַר די ינטעל אַגילעקס 7 דיווייס זיכערהייט באַניצער גייד

דאָקומענט ווערסיע 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

דאָקומענטן / רעסאָורסעס

Intel Agilex 7 Device Security [pdfבאַניצער מאַנואַל Agilex 7 Device Security, Agilex 7, Device Security, Security

רעפערענצן

• באַניצער מאַנואַל