Intel Agilex 7 Device Security notendahandbók

Intel hefur skuldbundið sig til vöruöryggis og mælir með því að notendur kynni sér þau öryggistilföng sem veitt eru. Þessar auðlindir ættu að vera nýttar allan líftíma Intel vörunnar.

2. Fyrirhugaðir öryggiseiginleikar

Eftirfarandi öryggiseiginleikar eru fyrirhugaðir fyrir framtíðarútgáfu Intel Quartus Prime Pro Edition hugbúnaðar:

Öryggisstaðfesting bitastraums að hluta til endurstillingar: Veitir viðbótartryggingu fyrir því að bitastraumar að hluta endurstillingu (PR) geti ekki fengið aðgang að eða truflað aðra bitastrauma fyrir PR persónu.

Sjálfdrepandi tæki fyrir líkamlegt andstæðingur-Tamper: Framkvæmir tækjaþurrkun eða núllstillingarsvörun tækisins og forritar eFuses til að koma í veg fyrir að tækið stillist aftur.

3. Tiltæk öryggisskjöl

Eftirfarandi tafla sýnir tiltæk skjöl fyrir öryggiseiginleika tækja á Intel FPGA og Structured ASIC tækjum:

Nafn skjals	Tilgangur
Öryggisaðferðafræði fyrir Intel FPGAs og Structured ASICs notanda Leiðsögumaður	Hæsta stigi skjal sem veitir nákvæmar lýsingar á öryggiseiginleikar og tækni í Intel forritanlegum lausnum Vörur. Hjálpar notendum að velja nauðsynlega öryggiseiginleika til að uppfylla öryggismarkmið sín.
Intel Stratix 10 Device Security notendahandbók	Leiðbeiningar fyrir notendur Intel Stratix 10 tækja til að innleiða öryggiseiginleikunum sem auðkenndir eru með öryggisaðferðafræðinni Notendahandbók.
Intel Agilex 7 Device Security notendahandbók	Leiðbeiningar fyrir notendur Intel Agilex 7 tækja til að innleiða öryggiseiginleikunum sem auðkenndir eru með öryggisaðferðafræðinni Notendahandbók.
Intel eASIC N5X Device Security notendahandbók	Leiðbeiningar fyrir notendur Intel eASIC N5X tækja til að innleiða öryggiseiginleikunum sem auðkenndir eru með öryggisaðferðafræðinni Notendahandbók.
Intel Agilex 7 og Intel eASIC N5X HPS dulritunarþjónusta Notendahandbók	Upplýsingar fyrir HPS hugbúnaðarverkfræðinga um framkvæmdina og notkun HPS hugbúnaðarsafna til að fá aðgang að dulmálsþjónustu veitt af SDM.
AN-968 Black Key Provisioning Service Quick Start Guide	Fullkomið sett af skrefum til að setja upp Black Key Provisioning þjónustu.

Algengar spurningar

Sp.: Hver er tilgangurinn með notendahandbók öryggisaðferðafræðinnar?

A: Notendahandbók öryggisaðferðafræðinnar veitir nákvæmar lýsingar á öryggiseiginleikum og tækni í Intel forritanlegum lausnum. Það hjálpar notendum að velja nauðsynlega öryggiseiginleika til að uppfylla öryggismarkmið sín.

Sp.: Hvar finn ég Intel Agilex 7 Device Security notendahandbókina?

Svar: Notendahandbók um Intel Agilex 7 Device Security er að finna á Intel Resource and Design Center websíða.

Sp.: Hvað er Black Key úthlutunarþjónustan?

Svar: Black Key Provisioning þjónustan er þjónusta sem veitir fullkomið sett af skrefum til að setja upp lykilútvegun fyrir örugga starfsemi.

View Fullscreen

Intel Agilex® 7 Device Security notendahandbók
Uppfært fyrir Intel® Quartus® Prime Design Suite: 23.1

Netútgáfa Sendu athugasemdir

UG-20335

683823 2023.05.23

Intel Agilex® 7 Device Security Notendahandbók 2

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 3

683823 | 2023.05.23 Senda athugasemd
1. Intel Agilex® 7

Öryggi tækis lokiðview

Intel® hannar Intel Agilex® 7 tækin með sérstökum, mjög stillanlegum öryggisbúnaði og fastbúnaði.
Þetta skjal inniheldur leiðbeiningar til að hjálpa þér að nota Intel Quartus® Prime Pro Edition hugbúnað til að innleiða öryggiseiginleika á Intel Agilex 7 tækjunum þínum.
Að auki er öryggisaðferðafræðin fyrir Intel FPGAs og Structured ASICs notendahandbók fáanleg á Intel Resource & Design Center. Þetta skjal inniheldur nákvæmar lýsingar á öryggiseiginleikum og tækni sem er fáanleg í gegnum Intel Programmable Solutions vörur til að hjálpa þér að velja öryggiseiginleikana sem nauðsynlegir eru til að uppfylla öryggismarkmið þín. Hafðu samband við Intel Support með tilvísunarnúmeri 14014613136 til að fá aðgang að öryggisaðferðafræði fyrir Intel FPGA og Structured ASICs notendahandbók.
Skjalið er skipulagt sem hér segir: · Auðkenning og heimild: Veitir leiðbeiningar um að búa til
auðkenningarlyklar og undirskriftarkeðjur, beita heimildum og afturköllun, undirrita hluti og forrita auðkenningareiginleika á Intel Agilex 7 tækjum. · AES bitastraums dulkóðun: Veitir leiðbeiningar um að búa til AES rótarlykil, dulkóða stillingar bitastrauma og útvega AES rótarlykil til Intel Agilex 7 tækja. · Tækjaútvegun: Veitir leiðbeiningar um notkun Intel Quartus Prime forritara og SDM (Secure Device Manager) fastbúnaðar til að forrita öryggiseiginleika á Intel Agilex 7 tækjum. · Ítarlegir eiginleikar: Veitir leiðbeiningar til að virkja háþróaða öryggiseiginleika, þar á meðal örugga kembiforrit, kembiforrit á hörðum örgjörvakerfi (HPS) og uppfærslu á ytri kerfi.
1.1. Skuldbinding við vöruöryggi
Langvarandi skuldbinding Intel til öryggis hefur aldrei verið sterkari. Intel mælir eindregið með því að þú kynnist vöruöryggisauðlindum okkar og ætlar að nýta þau alla ævi Intel vörunnar þinnar.
Tengdar upplýsingar · Vöruöryggi hjá Intel · Advisories Intel Product Security Center

Intel Corporation. Allur réttur áskilinn. Intel, Intel lógóið og önnur Intel merki eru vörumerki Intel Corporation eða dótturfélaga þess. Intel ábyrgist frammistöðu FPGA- og hálfleiðaravara sinna samkvæmt gildandi forskriftum í samræmi við staðlaða ábyrgð Intel, en áskilur sér rétt til að gera breytingar á hvaða vörum og þjónustu sem er hvenær sem er án fyrirvara. Intel tekur enga ábyrgð eða skaðabótaábyrgð sem stafar af notkun eða notkun á neinum upplýsingum, vöru eða þjónustu sem lýst er hér nema sérstaklega hafi verið samið skriflega af Intel. Viðskiptavinum Intel er bent á að fá nýjustu útgáfuna af tækjaforskriftum áður en þeir treysta á birtar upplýsingar og áður en pantað er fyrir vörur eða þjónustu. *Önnur nöfn og vörumerki geta verið eign annarra.

ISO 9001:2015 Skráð

1. Intel Agilex® 7 tækisöryggi lokiðview 683823 | 2023.05.23

1.2. Fyrirhugaðir öryggiseiginleikar

Eiginleikar sem nefndir eru í þessum hluta eru fyrirhugaðir fyrir framtíðarútgáfu af Intel Quartus Prime Pro Edition hugbúnaði.

Athugið:

Upplýsingarnar í þessum hluta eru bráðabirgðatölur.

1.2.1. Endurstilling að hluta bitastraumsöryggisstaðfestingu
Öryggisstaðfesting bitastraums að hluta (PR) hjálpar til við að veita viðbótartryggingu fyrir því að PR persona bitastraumar hafi ekki aðgang að eða truflað aðra PR persona bitastrauma.

1.2.2. Sjálfdrepandi tæki fyrir líkamlegt andstæðingur-Tamper
Sjálfdrepingu tækisins framkvæmir tækjaþurrkun eða núllstillingarsvörun tækja og forritar auk þess eFuses til að koma í veg fyrir að tækið stillist aftur.

1.3. Tiltæk öryggisskjöl

Eftirfarandi tafla telur upp tiltæk skjöl fyrir öryggiseiginleika tækja á Intel FPGA og Structured ASIC tækjum:

Tafla 1.

Tiltæk öryggisskjöl tækis

Nafn skjals
Öryggisaðferðafræði fyrir Intel FPGAs og Structured ASICs Notendahandbók

Tilgangur
Skjal á hæsta stigi sem inniheldur nákvæmar lýsingar á öryggiseiginleikum og tækni í Intel forritanlegum lausnum. Ætlað að hjálpa þér að velja nauðsynlega öryggiseiginleika til að uppfylla öryggismarkmið þín.

Skjalkenni 721596

Intel Stratix 10 Device Security notendahandbók
Intel Agilex 7 Device Security notendahandbók

Fyrir notendur Intel Stratix 10 tækja inniheldur þessi handbók leiðbeiningar um að nota Intel Quartus Prime Pro Edition hugbúnaðinn til að innleiða öryggiseiginleikana sem auðkenndir eru með notendahandbók öryggisaðferðafræðinnar.
Fyrir notendur Intel Agilex 7 tækja inniheldur þessi handbók leiðbeiningar um að nota Intel Quartus Prime Pro Edition hugbúnaðinn til að innleiða öryggiseiginleikana sem auðkenndir eru með notendahandbók öryggisaðferðafræðinnar.

683642 683823

Intel eASIC N5X Device Security notendahandbók

Fyrir notendur Intel eASIC N5X tækja inniheldur þessi handbók leiðbeiningar um að nota Intel Quartus Prime Pro Edition hugbúnaðinn til að innleiða öryggiseiginleikana sem auðkenndir eru með notendahandbók öryggisaðferðafræðinnar.

626836

Notendahandbók Intel Agilex 7 og Intel eASIC N5X HPS dulritunarþjónustu

Þessi handbók inniheldur upplýsingar til að aðstoða HPS hugbúnaðarverkfræðinga við innleiðingu og notkun HPS hugbúnaðarsafna til að fá aðgang að dulmálsþjónustu sem SDM veitir.

713026

AN-968 Black Key Provisioning Service Quick Start Guide

Þessi handbók inniheldur fullkomið sett af skrefum til að setja upp Black Key Provisioning þjónustuna.

739071

Staðsetning Intel Resource og
Hönnunarmiðstöð
Intel.com
Intel.com
Intel auðlinda- og hönnunarmiðstöð
Intel auðlinda- og hönnunarmiðstöð
Intel auðlinda- og hönnunarmiðstöð

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 5

683823 | 2023.05.23 Senda athugasemd

Staðfesting og heimild

Til að virkja auðkenningareiginleika Intel Agilex 7 tækis byrjar þú á því að nota Intel Quartus Prime Pro Edition hugbúnaðinn og tengd verkfæri til að byggja upp undirskriftarkeðju. Undirskriftarkeðja samanstendur af rótarlykli, einum eða fleiri undirskriftarlyklum og viðeigandi heimildum. Þú notar undirskriftarkeðjuna á Intel Quartus Prime Pro Edition verkefnið þitt og setti saman forritun files. Notaðu leiðbeiningarnar í Device Provisioning til að forrita rótarlykilinn þinn í Intel Agilex 7 tæki.
Tengdar upplýsingar
Tækjaútvegun á síðu 25

2.1. Að búa til undirskriftarkeðju
Þú getur notað quartus_sign tólið eða agilex_sign.py tilvísunarútfærsluna til að framkvæma undirskriftarkeðjuaðgerðir. Þetta skjal veitir tdamples með quartus_sign.
Til að nota tilvísunarútfærsluna skiptirðu út símtali í Python túlkann sem fylgir með Intel Quartus Prime hugbúnaðinum og sleppir –family=agilex valkostinum; allir aðrir valkostir eru jafngildir. Til dæmisample, quartus_sign skipunin sem er að finna síðar í þessum hluta
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky er hægt að breyta í jafngilt kall til viðmiðunarútfærslunnar sem hér segir
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Intel Quartus Prime Pro Edition hugbúnaðurinn inniheldur quartus_sign, pgm_py og agilex_sign.py verkfærin. Þú getur notað Nios® II stjórnskeljartólið, sem stillir sjálfkrafa viðeigandi umhverfisbreytur til að fá aðgang að verkfærunum.

Fylgdu þessum leiðbeiningum til að koma upp Nios II stjórnskel. 1. Komdu með Nios II stjórnskel.

Valkostur Windows
Linux

Lýsing
Á Start valmyndinni skaltu benda á Programs Intel FPGA Nios II EDS og smelltu á Nios II Skipunarskel.
Í skipanaskel breyttu í /nios2eds og keyrðu eftirfarandi skipun:
./nios2_command_shell.sh

Fyrrverandiamples í þessum hluta gera ráð fyrir undirskriftarkeðju og stillingarbitastraumi files eru staðsett í núverandi vinnuskrá. Ef þú velur að fylgja fyrrvamples hvar lykill files eru geymdar á file kerfi, þessir fyrrvamples taka lykilinn files eru

ISO 9001:2015 Skráð

2. Auðkenning og heimild 683823 | 2023.05.23
staðsett í núverandi vinnuskrá. Þú getur valið hvaða möppur á að nota og verkfærin styðja ættingja file brautir. Ef þú velur að halda lyklinum files á file kerfi, verður þú að stjórna aðgangsheimildum að þeim vandlega files.
Intel mælir með því að vélbúnaðaröryggiseining (HSM) sem fæst í verslun sé notuð til að geyma dulmálslykla og framkvæma dulmálsaðgerðir. quartus_sign tólið og tilvísunarútfærslan fela í sér Public Key Cryptography Standard #11 (PKCS #11) Application Programming Interface (API) til að hafa samskipti við HSM á meðan undirskriftarkeðjuaðgerðir eru framkvæmdar. Tilvísunarútfærslan agilex_sign.py inniheldur viðmótsútdrátt auk fyrrverandiample tengi við SoftHSM.
Þú getur notað þetta tdample tengi til að útfæra viðmót við HSM þinn. Skoðaðu skjölin frá HSM söluaðilanum þínum til að fá frekari upplýsingar um innleiðingu viðmóts við og rekstur HSM þinnar.
SoftHSM er hugbúnaðarútfærsla á almennu dulritunartæki með PKCS #11 viðmóti sem er gert aðgengilegt af OpenDNSSEC® verkefninu. Þú gætir fundið frekari upplýsingar, þar á meðal leiðbeiningar um hvernig á að hlaða niður, smíða og setja upp OpenHSM, í OpenDNSSEC verkefninu. Fyrrverandiamplesin í þessum hluta nota SoftHSM útgáfu 2.6.1. FyrrverandiampLesin í þessum hluta notaðu að auki pkcs11-tól tólið frá OpenSC til að framkvæma viðbótar PKCS #11 aðgerðir með SoftHSM tákni. Þú gætir fundið frekari upplýsingar, þar á meðal leiðbeiningar um hvernig á að hlaða niður, smíða og setja upp pkcs11tool frá OpenSC.
Tengdar upplýsingar
· OpenDNSSEC verkefnið Stefnumótað svæði undirritara til að gera sjálfvirkt ferli DNSSEC lykla rekja.
· SoftHSM Upplýsingar um útfærslu á dulmálsverslun sem er aðgengileg í gegnum PKCS #11 viðmót.
· OpenSC Veitir safn af bókasöfnum og tólum sem geta unnið með snjallkortum.
2.1.1. Að búa til auðkenningarlyklapar á staðnum File Kerfi
Þú notar quartus_sign tólið til að búa til auðkenningarlyklapör á staðnum file kerfi með því að nota make_private_pem og make_public_pem verkfærisaðgerðirnar. Þú býrð fyrst til einkalykil með make_private_pem aðgerðinni. Þú tilgreinir sporöskjulaga ferilinn sem á að nota, einkalykilinn filenafn, og mögulega hvort vernda eigi einkalykilinn með lykilorði. Intel mælir með því að nota secp384r1 ferilinn og fylgja bestu starfsvenjum iðnaðarins til að búa til sterkt, handahófskennt lykilorð á öllum einkalyklum files. Intel mælir einnig með því að takmarka file kerfisheimildir á einkalyklinum .pem files aðeins að lesa af eiganda. Þú færð opinbera lykilinn úr einkalyklinum með make_public_pem aðgerðinni. Það er gagnlegt að nefna lykilinn .pem files lýsandi. Þetta skjal notar samþykktina _ .pem í eftirfarandi tdamples.
1. Í Nios II skipanaskelinni skaltu keyra eftirfarandi skipun til að búa til einkalykil. Einkalykillinn, sýndur hér að neðan, er notaður sem rótarlykill í síðari tdamples sem búa til undirskriftarkeðju. Intel Agilex 7 tæki styðja marga rótarlykla, svo þú

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 7

2. Auðkenning og heimild 683823 | 2023.05.23

endurtaktu þetta skref til að búa til nauðsynlegan fjölda rótarlykla. FyrrverandiampLesin í þessu skjali vísa öll til fyrsta rótarlykilsins, þó þú gætir byggt undirskriftarkeðjur á svipaðan hátt og hvaða rótarlykil sem er.

Valkostur Með lykilorði

Lýsing
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Sláðu inn lykilorðið þegar beðið er um það.

Án lykilorða

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Keyrðu eftirfarandi skipun til að búa til opinberan lykil með því að nota einkalykilinn sem var búinn til í fyrra skrefi. Þú þarft ekki að vernda trúnað almenningslykils.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Keyrðu skipanirnar aftur til að búa til lyklapar notað sem hönnunarundirskriftarlykill í undirskriftarkeðjunni.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Að búa til auðkenningarlyklapar í SoftHSM
SoftHSM fyrrverandiamplesin í þessum kafla eru sjálfum sér samkvæm. Ákveðnar færibreytur eru háðar SoftHSM uppsetningunni þinni og frumstillingu tákns innan SoftHSM.
Quartus_sign tólið fer eftir PKCS #11 API bókasafninu frá HSM þínum.
FyrrverandiampLesið í þessum hluta gerir ráð fyrir að SoftHSM bókasafnið sé sett upp á einum af eftirfarandi stöðum: · /usr/local/lib/softhsm2.so á Linux · C:SoftHSM2libsofthsm2.dll á 32-bita útgáfu af Windows · C:SoftHSM2libsofthsm2-x64 .dll á 64-bita útgáfu af Windows.
Frumstilla tákn innan SoftHSM með því að nota softhsm2-util tólið:
softsm2-util –init-tákn –merki agilex-tákn –pinna agilex-tákn-pinna –svo-pinna agilex-svo-pinna –frítt
Valmöguleikabreyturnar, sérstaklega merkimiðinn og táknpinninn eru tdamples notaðar í þessum kafla. Intel mælir með því að þú fylgir leiðbeiningum frá HSM söluaðila þínum til að búa til og stjórna táknum og lyklum.
Þú býrð til auðkenningarlyklapör með því að nota pkcs11-tool tólið til að hafa samskipti við táknið í SoftHSM. Í stað þess að vísa beinlínis til einka- og almenningslykilsins .pem files í file kerfi tdamples, vísar þú til lyklaparsins með merkimiðanum og tólið velur viðeigandi lykil sjálfkrafa.

Intel Agilex® 7 Device Security Notendahandbók 8

Sendu athugasemdir

2. Auðkenning og heimild 683823 | 2023.05.23

Keyrðu eftirfarandi skipanir til að búa til lyklapar notað sem rótarlykill í síðari tdamples sem og lyklapar notað sem hönnunarundirskriftarlykill í undirskriftarkeðjunni:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –tákn-merki agilex-tákn –innskráning –pinna agilex-tákn-pinna –keypairgen – vélbúnaður ECDSA-LYKIL-PAIR-GEN –lyklategund EC :secp384r1 –notkunarmerki –merki root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –tákn-merki agilex-tákn –innskráning –pinna agilex-tákn-pinna –keypairgen – vélbúnaður ECDSA-LYKIL-PAIR-GEN –lyklategund EC :secp384r1 –notkunarmerki –merki hönnun0_merki –auðkenni 1

Athugið:

Auðkennisvalkosturinn í þessu skrefi verður að vera einstakur fyrir hvern lykil, en hann er aðeins notaður af HSM. Þessi auðkennisvalkostur er ótengdur lykilafbókunarauðkenninu sem úthlutað er í undirskriftarkeðjunni.

2.1.3. Að búa til undirskriftarkeðjurótarfærsluna
Umbreyttu almenna rótarlyklinum í undirskriftarkeðjurótarfærslu, geymd á staðnum file kerfi á Intel Quartus Prime key (.qky) sniði file, með make_root aðgerðinni. Endurtaktu þetta skref fyrir hvern rótarlykil sem þú býrð til.
Keyrðu eftirfarandi skipun til að búa til undirskriftarkeðju með rótarfærslu, með því að nota opinberan rótarlykil frá file kerfi:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
Keyrðu eftirfarandi skipun til að búa til undirskriftarkeðju með rótarfærslu, með því að nota rótarlykilinn frá SoftHSM tákninu sem komið var á í fyrri hlutanum:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/lib.sosofthsm2 ” root0 root0.qky

2.1.4. Að búa til undirskriftarkeðju almenningslykilsfærslu
Búðu til nýja opinbera lyklafærslu fyrir undirskriftarkeðju með append_key aðgerðinni. Þú tilgreinir fyrri undirskriftarkeðjuna, einkalykilinn fyrir síðustu færsluna í fyrri undirskriftarkeðjunni, næsta stigs opinbera lykil, heimildirnar og afturköllunarauðkennið sem þú úthlutar á næsta stigs opinbera lykil og nýju undirskriftarkeðjuna file.
Taktu eftir að softHSM bókasafnið er ekki fáanlegt með Quartus uppsetningu og þess í stað þarf að setja það upp sérstaklega. Fyrir frekari upplýsingar um softHSM, sjá kafla Búa til undirskriftarkeðju hér að ofan.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 9

2. Auðkenning og heimild 683823 | 2023.05.23
Það fer eftir notkun þinni á lyklum á file kerfi eða í HSM, notar þú eitt af eftirfarandi tdample skipanir til að bæta design0_sign almenningslyklinum við rótarundirskriftarkeðjuna sem búin var til í fyrri hlutanum:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-tákn –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name” –fyrra root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Þú getur endurtekið append_key aðgerðina allt að tvisvar sinnum í viðbót fyrir að hámarki þrjár opinberar lyklafærslur á milli rótarfærslu og hausblokkar í hvaða einni undirskriftarkeðju sem er.
Eftirfarandi frvampLe gerir ráð fyrir að þú hafir búið til annan opinberan auðkenningarlykil með sömu heimildum og úthlutað riftunarauðkenni 1 sem kallast design1_sign_public.pem, og þú sért að bæta þessum lykil við undirskriftarkeðjuna frá fyrra ex.ample:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-tákn –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name” –fyrra design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Intel Agilex 7 tæki eru með auka lyklaafpöntunarteljara til að auðvelda notkun á lykli sem getur breyst reglulega í gegnum líf tiltekins tækis. Þú getur valið þennan lyklaafpöntunarteljara með því að breyta röksemdum –hætta valkostinum í pts:pts_value.
2.2. Að undirrita stillingarbitastraum
Intel Agilex 7 tæki styðja Security Version Number (SVN) teljara, sem gera þér kleift að afturkalla heimild hlutar án þess að hætta við lykil. Þú úthlutar SVN-teljaranum og viðeigandi SVN-teljaragildi við undirskrift hvers hlutar, svo sem bitastraumshluta, fastbúnaðar .zip file, eða samningsvottorð. Þú úthlutar SVN-teljaranum og SVN-gildinu með því að nota –cancel valmöguleikann og svn_counter:svn_value sem rök. Gild gildi fyrir svn_counter eru svnA, svnB, svnC og svnD. Svn_gildið er heil tala innan bilsins [0,63].

Intel Agilex® 7 Device Security Notendahandbók 10

Sendu athugasemdir

2. Auðkenning og heimild 683823 | 2023.05.23
2.2.1. Quartus lykill File Verkefni
Þú tilgreinir undirskriftarkeðju í Intel Quartus Prime hugbúnaðarverkefninu þínu til að virkja auðkenningareiginleikann fyrir þá hönnun. Í valmyndinni Verkefni skaltu velja Tæki Tæki og PIN Options Security Quartus Key File, flettu síðan að undirskriftarkeðjunni .qky file þú bjóst til til að skrifa undir þessa hönnun.
Mynd 1. Virkja stillingar bitastraumsstillingu

Að öðrum kosti geturðu bætt eftirfarandi úthlutunaryfirlýsingu við Intel Quartus Prime stillingarnar þínar file (.qsf):
set_global_assignment -nafn QKY_FILE design0_sign_chain.qky
Til að búa til .sof file úr áður samsettri hönnun, sem inniheldur þessa stillingu, í Vinnsluvalmyndinni, veldu Start Start Assembler. Nýja úttakið .sof file felur í sér verkefnin til að virkja auðkenningu með meðfylgjandi undirskriftarkeðju.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 11

2. Auðkenning og heimild 683823 | 2023.05.23
2.2.2. Co-Signing SDM vélbúnaðar
Þú notar quartus_sign tólið til að draga út, undirrita og setja upp viðeigandi SDM fastbúnað .zip file. Samundirritaður fastbúnaðurinn er síðan innifalinn í forrituninni file rafall tól þegar þú breytir .sof file inn í stillingarbitastraum .rbf file. Þú notar eftirfarandi skipanir til að búa til nýja undirskriftarkeðju og undirrita SDM fastbúnað.
1. Búðu til nýtt undirskriftarlyklapar.
a. Búðu til nýtt undirritunarlyklapar á file kerfi:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Búðu til nýtt undirskriftarlyklapar í HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –tákn-merki agilex-tákn –innskráning –pinna agilex-tákn-pinna –keypairgen -kerfi ECDSA-KEY-PAIR-GEN –lyklagerð EC :secp384r1 –usage-sign –label firmware1 –id 1
2. Búðu til nýja undirskriftarkeðju sem inniheldur nýja opinbera lykilinn:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-tákn –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name” –fyrra root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Afritaðu fastbúnaðinn .zip file úr Intel Quartus Prime Pro Edition hugbúnaðaruppsetningarskránni þinni ( /devices/programmer/firmware/ agilex.zip) í núverandi vinnuskrá.
quartus_sign –family=agilex –get_firmware=.
4. Skrifaðu undir fastbúnaðinn .zip file. Tólið tekur sjálfkrafa upp .zip file og undirritar hvert fyrir sig allan fastbúnað .cmf files, endurbyggir síðan .zip file til notkunar fyrir verkfærin í eftirfarandi köflum:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 Device Security Notendahandbók 12

Sendu athugasemdir

2. Auðkenning og heimild 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Undirritunarstillingar bitastraumur með því að nota quartus_sign skipunina
Til að undirrita stillingarbitastraum með quartus_sign skipuninni, umbreytirðu fyrst .sof file til óundirritaðs hráefnisins file (.rbf) sniði. Þú getur valfrjálst tilgreint samundirritaðan fastbúnað með því að nota fw_source valkostinn meðan á umbreytingarskrefinu stendur.
Þú getur búið til óundirritaða hráa bitastrauminn á .rbf sniði með því að nota eftirfarandi skipun:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Keyrðu eina af eftirfarandi skipunum til að undirrita bitastrauminn með því að nota quartus_sign tólið eftir staðsetningu lyklanna þinna:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Þú getur umbreytt undirrituðu .rbf files til annarra stillinga bitastraums file sniðum.
Til dæmisample, ef þú ert að nota Jam* Standard Test and Programming Language (STAPL) spilarann til að forrita bitastraum yfir JTAG, notar þú eftirfarandi skipun til að umbreyta .rbf file í .jam sniðinu sem Jam STAPL spilarinn krefst:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Stuðningur við endurstillingu að hluta til með mörgum yfirvöldum

Intel Agilex 7 tæki styðja að hluta endurstillingu fjölheimilda auðkenningar, þar sem eigandi tækisins býr til og undirritar kyrrstæða bitastrauminn og sérstakur PR eigandi býr til og undirritar PR persónu bitastrauma. Intel Agilex 7 tæki innleiða stuðning fyrir fjölheimildir með því að úthluta fyrstu auðkenningarrótarlyklaraufunum til tækisins eða kyrrstætts bitastraumseiganda og úthluta endanlegri auðkenningarrótlykilsrauf til hluta endurstillingar persónubitastraumseiganda.
Ef auðkenningareiginleikinn er virkur, þá verða allar PR persónumyndir að vera undirritaðar, þar á meðal hreiðrar PR persónumyndir. PR persónu myndir geta verið undirritaðar af annaðhvort eiganda tækisins eða af PR eiganda; þó verða bitastraumar á kyrrstæðum svæði að vera undirritaðir af eiganda tækisins.

Athugið:

Endurstilling að hluta til kyrrstöðu- og persónubitastraums dulkóðun þegar stuðningur fjölheimilda er virkur er fyrirhuguð í framtíðarútgáfu.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 13

2. Auðkenning og heimild 683823 | 2023.05.23

Mynd 2.

Að innleiða endurstillingu að hluta til stuðnings fjölyfirvalda krefst nokkurra skrefa:
1. Eigandi tækisins eða fasta bitastraumsins býr til einn eða fleiri auðkenningarrótarlykla eins og lýst er í Að búa til auðkenningarlyklapar í SoftHSM á síðu 8, þar sem valmöguleikinn –key_type hefur gildiseiganda.
2. Eigandi bitastraums að hluta til endurstillingar býr til auðkenningarrótarlykil en breytir valmöguleikagildinu –key_type í secondary_owner.
3. Bæði kyrrstæðu bitastraums- og endurstillingarhönnunareigendur að hluta tryggja að gátreiturinn Virkja fjölstjórnarstuðningur sé virkur á flipanum Úthlutun tækis Tæki og PIN-valkosta Öryggi.
Intel Quartus Prime virkja stillingar fyrir fjölheimildir

4. Bæði kyrrstæðu bitastraumshönnunareigendur og eigendur endurstillingar að hluta búa til undirskriftarkeðjur byggðar á viðkomandi rótlyklum eins og lýst er í Að búa til undirskriftarkeðju á blaðsíðu 6.
5. Bæði kyrrstæðu bitastraums- og hlutaendurstillingarhönnunareigendur umbreyta samsettri hönnun sinni í .rbf snið files og skrifa undir .rbf files.
6. Eigandi tækisins eða kyrrstöðu bitastraumsins býr til og undirritar samþjöppuð vottorð um almenna PR-forritsheimild.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 Device Security Notendahandbók 14

Sendu athugasemdir

2. Auðkenning og heimild 683823 | 2023.05.23

7. Tækið eða kyrrstæðu bitastraumseigandinn útvegar auðkenningarrótarlykilinn í tækið, forritar síðan PR public key program heimildarsamþykkt vottorð og að lokum útvegar hluta endurstillingar bitastraums eiganda rótarlykilinn í tækið. Hlutinn Úthlutun tækis lýsir þessu úthlutunarferli.
8. Intel Agilex 7 tæki er stillt með kyrrstöðu svæðinu .rbf file.
9. Intel Agilex 7 tæki er endurstillt að hluta með persónuhönnuninni .rbf file.
Tengdar upplýsingar
· Að búa til undirskriftarkeðju á síðu 6
· Að búa til auðkenningarlyklapar í SoftHSM á síðu 8
· Tækjaútvegun á síðu 25

2.2.5. Staðfestir stillingar Bitstream Signature keðjur
Eftir að þú hefur búið til undirskriftarkeðjur og undirritaða bitastrauma geturðu staðfest að undirritaður bitastraumur stilli tæki sem er forritað með tilteknum rótlykil rétt. Þú notar fyrst fuse_info aðgerðina í quartus_sign skipuninni til að prenta kjötkássa almenningslykils rótar í texta file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Þú notar síðan check_integrity valmöguleikann í quartus_pfg skipuninni til að skoða undirskriftarkeðjuna á hverjum hluta undirritaðs bitastraums á .rbf sniði. Valkosturinn check_integrity prentar eftirfarandi upplýsingar:
· Staða heildarathugunar á heilleika bitastraums
· Innihald hverrar færslu í hverri undirskriftarkeðju sem fylgir hverjum hluta í bitastraumnum .rbf file,
· Væntanleg öryggisgildi fyrir kjötkássa opinbera rótlykilsins fyrir hverja undirskriftarkeðju.
Gildið frá fuse_info úttakinu ætti að passa við Fuse línurnar í check_integrity úttakinu.
quartus_pfg –check_integrity signed_bitstream.rbf

Hér er fyrrverandiample af úttak check_integrity skipunarinnar:

Upplýsingar: Skipun: quartus_pfg –check_integrity signed_bitstream.rbf Heiðarleiki: Í lagi

kafla

Gerð: CMF

Undirskriftarlýsing…

Undirskriftarkeðja #0 (færslur: -1, offset: 96)

Færsla #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Búa til lykil…

Ferill: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Búa til lykil…

Ferill: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 15

2. Auðkenning og heimild 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Færsla #1

Búa til lykil…

Ferill: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Færsla #2 Lyklakippuheimild: SIGN_CODE Hægt er að hætta við lyklakippu með auðkenni: 3 Undirskriftarkeðju #1 (færslur: -1, á móti: 648)

Færsla #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Búa til lykil…

Ferill: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Búa til lykil…

Ferill: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Færsla #1

Búa til lykil…

Ferill: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Færsla #2

Búa til lykil…

Ferill: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Færsla #3 Lyklakippa leyfi: SIGN_CODE Hægt er að hætta við lyklakippu með auðkenni: 15 Undirskriftarkeðja #2 (færslur: -1, á móti: 0) Undirskriftarkeðja #3 (færslur: -1, á móti: 0) Undirskriftarkeðja #4 (færslur: -1, offset: 0) Signature chain #5 (færslur: -1, offset: 0) Signature chain #6 (færslur: -1, offset: 0) Signature chain #7 (færslur: -1, offset: 0)

Tegund hluta: IO Signature Descriptor … Undirskriftarkeðja #0 (færslur: -1, offset: 96)

Færsla #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Búa til lykil…

Ferill: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 Device Security Notendahandbók 16

Sendu athugasemdir

2. Auðkenning og heimild 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Búa til lykil…

Ferill: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Færsla #1

Búa til lykil…

Ferill: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Færsla #2

Búa til lykil…

Ferill: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Færsla #3 Lyklakippa leyfi: SIGN_CORE Hægt er að hætta við lyklakippu með auðkenni: 15 Undirskriftarkeðja #1 (færslur: -1, á móti: 0) Undirskriftarkeðja #2 (færslur: -1, á móti: 0) Undirskriftarkeðja #3 (færslur: -1, offset: 0) Undirskriftarkeðja #4 (færslur: -1, offset: 0) Undirskriftarkeðja #5 (færslur: -1, offset: 0) Undirskriftarkeðja #6 (færslur: -1, offset: 0) Undirskrift keðja #7 (færslur: -1, offset: 0)

kafla

Gerð: HPS

Undirskriftarlýsing…

Undirskriftarkeðja #0 (færslur: -1, offset: 96)

Færsla #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Búa til lykil…

Ferill: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Búa til lykil…

Ferill: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Færsla #1

Búa til lykil…

Ferill: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Færsla #2

Búa til lykil…

Ferill: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 17

2. Auðkenning og heimild 683823 | 2023.05.23

Færsla #3 Lyklakippa leyfi: SIGN_HPS Lyklakippa er hægt að hætta við með auðkenni: 15 Undirskriftarkeðja #1 (færslur: -1, á móti: 0) Undirskriftarkeðja #2 (færslur: -1, á móti: 0) Undirskriftarkeðja #3 (færslur: -1, offset: 0) Undirskriftarkeðja #4 (færslur: -1, offset: 0) Undirskriftarkeðja #5 (færslur: -1, offset: 0) Undirskriftarkeðja #6 (færslur: -1, offset: 0) Undirskrift keðja #7 (færslur: -1, offset: 0)

Tegund hluta: CORE Signature Descriptor … Undirskriftarkeðja #0 (færslur: -1, offset: 96)

Færsla #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Búa til lykil…

Ferill: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Búa til lykil…

Ferill: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Færsla #1

Búa til lykil…

Ferill: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Færsla #2

Búa til lykil…

Ferill: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Intel Agilex® 7 Device Security Notendahandbók 18

Sendu athugasemdir

683823 | 2023.05.23 Senda athugasemd

AES bitastraums dulkóðun

Advanced Encryption Standard (AES) bitastraumsdulkóðun er eiginleiki sem gerir eiganda tækis kleift að vernda trúnað um hugverkarétt í uppsetningarbitastraumi.
Til að vernda trúnað lykla notar dulkóðun bitastraums stillingar keðju af AES lyklum. Þessir lyklar eru notaðir til að dulkóða eigandagögn í stillingarbitastraumnum, þar sem fyrsti millilykillinn er dulkóðaður með AES rótarlyklinum.

3.1. Að búa til AES rótarlykilinn

Þú getur notað quartus_encrypt tólið eða stratix10_encrypt.py tilvísunarútfærslu til að búa til AES rótarlykil á Intel Quartus Prime hugbúnaðar dulkóðunarlykli (.qek) sniði file.

Athugið:

The stratix10_encrypt.py file er notað fyrir Intel Stratix® 10 og Intel Agilex 7 tæki.

Þú getur valfrjálst tilgreint grunnlykilinn sem notaður er til að leiða AES rótarlykilinn og lykilafleiðslulykil, gildi fyrir AES rótarlykil beint, fjölda millilykla og hámarksnotkun á millilykil.

Þú verður að tilgreina tækjafjölskylduna, úttak .qek file staðsetningu og lykilorð þegar beðið er um það.
Keyrðu eftirfarandi skipun til að búa til AES rótarlykil með því að nota tilviljunarkennd gögn fyrir grunnlykilinn og sjálfgefin gildi fyrir fjölda millilykla og hámarks lykilnotkun.
Til að nota tilvísunarútfærsluna skiptirðu út símtali í Python túlkann sem fylgir með Intel Quartus Prime hugbúnaðinum og sleppir –family=agilex valkostinum; allir aðrir valkostir eru jafngildir. Til dæmisample, quartus_encrypt skipunin sem finnast síðar í kaflanum

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

er hægt að breyta í samsvarandi símtal við tilvísunarútfærsluna sem hér segir pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Quartus dulkóðunarstillingar
Til að virkja bitastraumsdulkóðun fyrir hönnun, verður þú að tilgreina viðeigandi valkosti með því að nota Assignments Device Device og Pin Options Security spjaldið. Þú velur Virkja stillingar bitastraums dulkóðun gátreitinn og viðeigandi geymslustað dulkóðunarlykils í fellivalmyndinni.

ISO 9001:2015 Skráð

Mynd 3. Intel Quartus Prime dulkóðunarstillingar

3. AES bitastraums dulkóðun 683823 | 2023.05.23

Að öðrum kosti geturðu bætt eftirfarandi úthlutunaryfirlýsingu við Intel Quartus Prime stillingarnar þínar file .qsf:
set_global_assignment -nafn ENCRYPT_PROGRAMMING_BITSTREAM á set_global_assignment -nafn PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Ef þú vilt virkja frekari mótvægisaðgerðir gegn hliðarrásarárásarvektorum geturðu virkjað dulkóðunaruppfærsluhlutfall fellivalmyndina og Virkja spæna gátreitinn.

Intel Agilex® 7 Device Security Notendahandbók 20

Sendu athugasemdir

3. AES bitastraums dulkóðun 683823 | 2023.05.23

Samsvarandi breytingar á .qsf eru:
set_global_assignment -nafn PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING á set_global_assignment -nafn PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Dulkóðun stillingarbitastraums
Þú dulkóðar stillingarbitastraum áður en þú undirritar bitastrauminn. Intel Quartus Prime forritun File Rafallatólið getur sjálfkrafa dulkóðað og undirritað stillingarbitastraum með því að nota grafíska notendaviðmótið eða skipanalínuna.
Þú getur valfrjálst búið til dulkóðaðan bitastraum að hluta til til notkunar með quartus_encrypt og quartus_sign verkfærunum eða jafngildum tilvísunarútfærslu.

3.3.1. Stillingar bitastraums dulkóðun með forritun File Rafall grafískt viðmót
Þú getur notað Forritun File Rafall til að dulkóða og undirrita eigandamyndina.

Mynd 4.

1. Á Intel Quartus Prime File valmynd veldu Forritun File Rafall. 2. Á Output Files flipa, tilgreindu úttakið file tegund fyrir stillingar þínar
kerfi.
Framleiðsla File Forskrift

Stillingarkerfi Úttak file flipa
Framleiðsla file gerð

3. Á inntakinu Files flipann, smelltu á Bæta við bitastraumi og flettu í .sof. 4. Til að tilgreina dulkóðunar- og auðkenningarvalkosti skaltu velja .sof og smella
Eiginleikar. a. Kveiktu á Virkja undirritunarverkfæri. b. Fyrir einkalykil file veldu undirskriftarlykilinn þinn private .pem file. c. Kveiktu á Loka dulkóðun.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 21

3. AES bitastraums dulkóðun 683823 | 2023.05.23

Mynd 5.

d. Fyrir dulkóðunarlykil file, veldu AES .qek file. Inntak (.sof) File Eiginleikar fyrir auðkenningu og dulkóðun

Virkja auðkenning Tilgreindu einkarót .pem
Virkja dulkóðun Tilgreindu dulkóðunarlykil
5. Til að búa til undirritaðan og dulkóðaðan bitastraum, á inntakinu Files flipa, smelltu á Búa til. Lykilorðsgluggar birtast svo þú getir slegið inn lykilorð fyrir AES lykilinn þinn .qek file og undirrita einkalykil .pem file. Forritunin file rafall býr til dulkóðaða og undirritaða úttakið_file.rbf.
3.3.2. Stillingar bitastraums dulkóðun með forritun File Generator Command Line tengi
Búðu til dulkóðaðan og undirritaðan stillingarbitastraum á .rbf sniði með quartus_pfg skipanalínuviðmótinu:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
Þú getur umbreytt dulkóðuðum og undirrituðum stillingarbitastraumi á .rbf sniði í annan stillingarbitastraum file sniðum.
3.3.3. Að hluta til dulkóðuð stillingar bitastraumsmyndun með því að nota skipanalínuviðmótið
Þú gætir búið til dulkóðaða forritun að hluta file til að ganga frá dulkóðun og undirrita myndina síðar. Búðu til dulkóðuðu forritunina að hluta file á .rbf sniði með thequartus_pfg skipanalínuviðmóti: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 Device Security Notendahandbók 22

Sendu athugasemdir

3. AES bitastraums dulkóðun 683823 | 2023.05.23
Þú notar quartus_encrypt skipanalínutólið til að ganga frá bitastraumsdulkóðun:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Þú notar quartus_sign skipanalínutólið til að undirrita dulkóðaða stillingarbitastrauminn:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Endurstilling að hluta til bitastraums dulkóðun
Þú getur virkjað bitastraumsdulkóðun á sumum Intel Agilex 7 FPGA hönnun sem notar endurstillingu að hluta.
Hönnun að hluta endurstillingu sem notar stigveldishlutabreytinguna (HPR), eða Static Update Partial Reconfiguration (SUPR) styðja ekki bitastraumsdulkóðunina. Ef hönnunin þín inniheldur mörg PR svæði, verður þú að dulkóða allar persónur.
Til að virkja bitastraumsdulkóðun að hluta til endurstillingar skaltu fylgja sömu aðferð í öllum hönnunarútfærslum. 1. Á Intel Quartus Prime File valmynd, veldu Assignments Device Device
og Pin Options Security. 2. Veldu geymslustað dulkóðunarlykilsins sem þú vilt.
Mynd 6. Endurstilling að hluta til bitastraums dulkóðunarstillingar

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 23

3. AES bitastraums dulkóðun 683823 | 2023.05.23
Að öðrum kosti geturðu bætt við eftirfarandi verkefnayfirlýsingu í Quartus Prime stillingunum file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION á
Eftir að þú hefur tekið saman grunnhönnun þína og endurskoðun, býr hugbúnaðurinn til a.soffile og einn eða fleiri.pmsffiles, sem táknar persónurnar. 3. Búðu til dulkóðaða og undirritaða forritun files frá.sof og.pmsf fileer á svipaðan hátt og hönnun án endurstillingar að hluta virkjuð. 4. Umbreyttu samansettu persona.pmsf file að hluta dulkóðuðu.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Ljúktu við bitastraumsdulkóðun með því að nota quartus_encrypt skipanalínutólið:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Skrifaðu undir dulkóðaða stillingarbitastrauminn með því að nota quartus_sign skipanalínutólið:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Intel Agilex® 7 Device Security Notendahandbók 24

Sendu athugasemdir

683823 | 2023.05.23 Senda athugasemd

Úthlutun tækis

Upphafleg úthlutun öryggiseiginleika er aðeins studd í fastbúnaði fyrir SDM úthlutun. Notaðu Intel Quartus Prime forritarann til að hlaða SDM úthlutunarfastbúnaðinn og framkvæma úthlutunaraðgerðir.
Þú getur notað hvaða tegund af JTAG hlaða niður snúru til að tengja Quartus forritarann við Intel Agilex 7 tæki til að framkvæma úthlutunaraðgerðir.
4.1. Notkun SDM Provision Firmware
Intel Quartus Prime forritari býr til og hleður sjálfkrafa sjálfgefna hjálparmynd frá verksmiðjunni þegar þú velur frumstillingaraðgerðina og skipun til að forrita eitthvað annað en stillingarbitastraum.
Það fer eftir forritunarskipuninni sem tilgreind er, sjálfgefna verksmiðjuhjálparmyndin er ein af tveimur gerðum:
· Úthlutunarhjálparmynd – samanstendur af einum bitastraumshluta sem inniheldur SDM úthlutunarfastbúnaðinn.
· QSPI hjálparmynd – samanstendur af tveimur bitastraumshlutum, einn sem inniheldur SDM aðal fastbúnaðinn og einn I/O hluta.
Þú getur búið til sjálfgefna verksmiðjuhjálparmynd file til að hlaða inn í tækið þitt áður en þú framkvæmir einhverja forritunarskipun. Eftir að hafa forritað auðkenningarrótarlykil kjötkássa, verður þú að búa til og undirrita QSPI sjálfgefna hjálparmynd vegna inn-/úthlutans sem fylgir með. Ef þú forritar að auki samundirritaða fastbúnaðaröryggisstillinguna eFuse, verður þú að búa til úthlutun og QSPI sjálfgefnar hjálparmyndir með samundirrituðum fastbúnaði. Þú getur notað samundirritaða sjálfgefna hjálparmynd frá verksmiðju á óútsett tæki þar sem óútvegað tæki hunsar undirskriftarkeðjur sem ekki eru frá Intel yfir SDM fastbúnað. Sjá Notkun QSPI sjálfgefnar hjálparmyndar á tækjum í eigu á síðu 26 fyrir frekari upplýsingar um að búa til, undirrita og nota sjálfgefna hjálparmynd QSPI.
Sjálfgefin hjálparmynd úthlutunarverksmiðjunnar framkvæmir úthlutunaraðgerð, svo sem að forrita auðkenningarrótlykilshash, öryggisstillingaöryggi, PUF-skráningu eða svartlyklaútvegun. Þú notar Intel Quartus Prime forritun File Rafall skipanalínu tól til að búa til úthlutunarhjálparmyndina, tilgreina helper_image valmöguleikann, helper_device nafnið þitt, undirgerð úthlutunar hjálparmyndarinnar og mögulega samundirritaðan .zip vélbúnaðar file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Forritaðu hjálparmyndina með því að nota Intel Quartus Prime forritunartólið:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force

ISO 9001:2015 Skráð

4. Tækjaútvegun 683823 | 2023.05.23

Athugið:

Þú getur sleppt frumstillingaraðgerðinni úr skipunum, þar á meðal tdamplesið sem er að finna í þessum kafla, annaðhvort eftir að hafa forritað hjálparmynd eða notað skipun sem inniheldur frumstillingaraðgerðina.

4.2. Að nota QSPI Factory Default Helper Image á tækjum sem þú eiga
Intel Quartus Prime forritari býr til og hleður sjálfkrafa QSPI sjálfgefna hjálparmynd þegar þú velur frumstillingaraðgerð fyrir QSPI flassforritun file. Eftir að hafa forritað auðkenningarrótarlykils kjötkássa, verður þú að búa til og undirrita sjálfgefna QSPI verksmiðjuhjálparmyndina og forrita undirrituðu QSPI verksmiðjuhjálparmyndina sérstaklega áður en QSPI flassið er forritað. 1. Þú notar Intel Quartus Prime forritun File Rafall stjórn lína tól til að
búðu til QSPI hjálparmyndina, tilgreindu helper_image valmöguleikann, helper_device tegund þína, QSPI hjálparmynd undirgerð, og mögulega samundirritaða fastbúnaðar .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Þú skrifar undir QSPI sjálfgefna hjálparmynd:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Þú mátt nota hvaða QSPI flassforritun sem er file sniði. Eftirfarandi frvamples notar stillingarbitastraum sem er breytt í .jic file snið:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Þú forritar undirrituðu hjálparmyndina með því að nota Intel Quartus Prime Programmer tólið:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –force
5. Þú forritar .jic myndina til að blikka með því að nota Intel Quartus Prime forritunartólið:
quartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”

4.3. Útvegun rótarlykils auðkenningar
Til að forrita kjötkássa rótarlykils eiganda á líkamleg öryggi, fyrst verður þú að hlaða útbúnaðarfastbúnaðinum, næst forrita kjötkássa rótarlykils eiganda og framkvæma síðan endurstillingu strax. Ekki er þörf á að kveikja á endurstillingu ef forritun rótarlykills hristast yfir í sýndaröryggi.

Intel Agilex® 7 Device Security Notendahandbók 26

Sendu athugasemdir

4. Tækjaútvegun 683823 | 2023.05.23
Til að forrita auðkenningar rótlykils kjötkássa, forritarðu úthlutunar fastbúnaðarhjálparmyndina og keyrir eina af eftirfarandi skipunum til að forrita rótlykilinn .qky files.
// Fyrir líkamleg (óstöðug) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –non_volatile_key
// Fyrir sýndar (rokgjarnar) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky”
4.3.1. Að hluta til endurstilla Multi-Authority Root Key Forritun
Eftir að búið er að útvega rótarlykla tækisins eða fasta svæðisins bitastraums eiganda, hleður þú aftur hjálparmynd tækisútvegunar, forritar undirritaða PR public key program heimildarsamdráttarvottorðið og útvegar síðan PR persona bitastraums eiganda rótarlykil.
// Fyrir líkamleg (óstöðug) eFuses quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Fyrir sýndar (rokgjarnar) eFuses quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Afturkalla auðkenni forritunarlykils
Frá og með Intel Quartus Prime Pro Edition hugbúnaðarútgáfu 21.1 krefst forritun Intel og auðkennisöryggi eigandalykils notkunar á undirrituðu samsettu vottorði. Þú getur undirritað samþætta auðkenni lykilafpöntunar með undirskriftarkeðju sem hefur FPGA hluta undirskriftarheimilda. Þú býrð til þétt vottorðið með forrituninni file rafall skipanalínuverkfæri. Þú undirritar óundirritaða vottorðið með því að nota quartus_sign tólið eða tilvísunarútfærslu.
Intel Agilex 7 tæki styðja aðskilda banka af auðkenni eigandalykils fyrir hvern rótarlykil. Þegar samþætt vottorð fyrir afpöntun eigandalykils er forritað inn í Intel Agilex 7 FPGA, ákvarðar SDM hvaða rótarlykill undirritaði samsetta vottorðið og sprengir auðkennisöryggi lykla sem samsvarar þeim rótlykil.
Eftirfarandi frvamples að búa til Intel lykilafpöntunarvottorð fyrir Intel lykilauðkenni 7. Þú getur skipt út 7 fyrir viðeigandi Intel lyklaafpöntunarkenni frá 0-31.
Keyrðu eftirfarandi skipun til að búa til óundirritað Intel lykilafbókunarauðkenni samsett vottorð:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Keyrðu eina af eftirfarandi skipunum til að undirrita óundirritaða Intel lykilafbókunarauðkenni samningsvottorðs:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 27

4. Tækjaútvegun 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Keyrðu eftirfarandi skipun til að búa til óundirritað afbókunarauðkenni eigandalykils, samsett vottorð:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Keyrðu eina af eftirfarandi skipunum til að undirrita óundirritaða afturköllunarauðkenni eigandalykilsins:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Eftir að þú hefur búið til undirritað lykilafpöntun auðkenni, notarðu Intel Quartus Prime forritara til að forrita samningsvottorðið í tækið í gegnum JTAG.
//Fyrir líkamleg (óstöðug) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
//Fyrir sýndar (rokgjarnar) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
Þú getur að auki sent samsetta vottorðið til SDM með því að nota FPGA eða HPS pósthólfsviðmótið.
4.5. Hætta við rótarlykla
Intel Agilex 7 tæki gera þér kleift að hætta við rótarlykilinn þegar annar óafturkallaður kjötkássa fyrir rótarlykil er til staðar. Þú hættir við kjötkássa rótarlykils með því að stilla tækið fyrst með hönnun þar sem undirskriftarkeðjan er rætur í öðru kjötkássa rótarlykils, forrita síðan undirritað rótlykilsafpöntunarsamdráttarvottorð. Þú verður að undirrita samdráttarvottorð fyrir niðurfellingu rótlykils með undirskriftarkeðju með rætur í rótarlyklinum til að hætta við.
Keyrðu eftirfarandi skipun til að búa til óundirritað rótarlykil kjötkássaafpöntunarsamþykkt vottorð:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 Device Security Notendahandbók 28

Sendu athugasemdir

4. Tækjaútvegun 683823 | 2023.05.23

Keyrðu eina af eftirfarandi skipunum til að undirrita óundirritaða rótarlykil-hash cancellation samningsvottorðið:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Þú getur forritað rótlykil kjötkássa afpöntun samningsvottorð í gegnum JTAG, FPGA eða HPS pósthólf.

4.6. Forritun gegn öryggi
Þú uppfærir öryggisútgáfunúmerið (SVN) og Pseudo Time Stamp (PTS) gegn öryggi með undirrituðum samningsvottorðum.

Athugið:

SDM heldur utan um lágmarksgildi teljara sem sést við tiltekna uppsetningu og tekur ekki við vottorðum um mælikvarða þegar mæligildi er minna en lágmarksgildi. Þú verður að uppfæra alla hluti sem úthlutað er á teljara og endurstilla tækið áður en þú forritar þétt vottorð með teljarahækkanir.

Keyrðu eina af eftirfarandi skipunum sem samsvarar vottorðinu um mælikvarða sem þú vilt búa til.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o teljari=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Teljargildi upp á 1 býr til heimildarvottorð fyrir aukningu teljara. Forritun á samþættu vottorði fyrir heimildarhækkun teljara gerir þér kleift að forrita frekari óundirrituð vottorð um mælihækkun til að uppfæra viðkomandi teljara. Þú notar quartus_sign tólið til að undirrita þjöppunarskírteinin á svipaðan hátt og samþjöppuð skilríki fyrir lyklaafpöntun.
Þú getur forritað rótlykil kjötkássa afpöntun samningsvottorð í gegnum JTAG, FPGA eða HPS pósthólf.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 29

4. Tækjaútvegun 683823 | 2023.05.23

4.7. Örugg gagnahlutþjónusta rótarlykilsútvegun
Þú notar Intel Quartus Prime forritara til að útvega rótarlykilinn Secure Data Object Service (SDOS). Forritarinn hleður sjálfkrafa hjálparmyndinni til að útvega vélbúnaðar til að útvega SDOS rótarlykilinn.
quartus_pgm c 1 mjtag –þjónusta_rótarlykill –non_volatile_key

4.8. Öryggisstilling Fuse Provisioning
Notaðu Intel Quartus Prime forritara til að skoða öryggisstillingar öryggisstillinga tækisins og skrifa þau á textabyggðan .fuse file sem hér segir:
quartus_pgm -c 1 -mjtag -o “ei;forritun_file.fuse;AGFB014R24B”

Valmöguleikar · i: Forritarinn hleður hjálparmyndinni fyrir fastbúnaðarbúnaðinn í tækið. · e: Forritarinn les öryggið úr tækinu og geymir það í .öryggi file.

.öryggið file inniheldur lista yfir heiti og gildi pör. Gildið tilgreinir hvort öryggi hefur verið sprungið eða innihald öryggisreitsins.

Eftirfarandi frvample sýnir snið .fuse file:

# Samundirritaður vélbúnaðar

= "Ekki blásið"

# Drepa tækisleyfi

= "Ekki blásið"

# Tæki ekki öruggt

= "Ekki blásið"

# Slökktu á HPS villuleit

= "Ekki blásið"

# Slökktu á Intrinsic ID PUF skráningu

= "Ekki blásið"

# Slökktu á JTAG

= "Ekki blásið"

# Slökktu á PUF-vafnum dulkóðunarlykil

= "Ekki blásið"

# Slökktu á dulkóðunarlykli eiganda í BBRAM = „Ekki blásið“

# Slökktu á dulkóðunarlykli eiganda í eFuses = „Ekki blásið“

# Slökktu á rót almenningslykils fyrir eiganda 0

= "Ekki blásið"

# Slökktu á rót almenningslykils fyrir eiganda 1

= "Ekki blásið"

# Slökktu á rót almenningslykils fyrir eiganda 2

= "Ekki blásið"

# Slökktu á sýndar eFuses

= "Ekki blásið"

# Þvingaðu SDM klukku í innri sveiflu = „Ekki blásið“

# Þvingaðu uppfærslu dulkóðunarlykils

= "Ekki blásið"

# Skýr lyklaafpöntun Intel

= "0"

# Læsa öryggi eFuses

= "Ekki blásið"

# Dulkóðunarlyklaforrit eiganda lokið

= "Ekki blásið"

# Dulkóðunarlyklaforrit eiganda hefst

= "Ekki blásið"

# Skýr lyklaafpöntun eiganda 0

= “”

# Skýr lyklaafpöntun eiganda 1

= “”

# Skýr lyklaafpöntun eiganda 2

= “”

# Eigandi öryggi

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Eigandi rót almenningslykils kjötkássa 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Eigandi rót almenningslykils kjötkássa 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Eigandi rót almenningslykils kjötkássa 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Stærð almenningslykils rótar eiganda

= "Enginn"

# PTS teljari

= "0"

# PTS teljaragrunnur

= "0"

Intel Agilex® 7 Device Security Notendahandbók 30

Sendu athugasemdir

4. Tækjaútvegun 683823 | 2023.05.23

# QSPI ræsingu seinkun # RMA teljari # SDMIO0 er I2C # SVN teljari A # SVN teljari B # SVN teljari C # SVN teljari D

= “10ms” = “0” = “Ekki blásið” = “0” = “0” = “0” = “0”

Breyttu .fuse file til að stilla viðeigandi öryggisstillingar. Lína sem byrjar á # er meðhöndluð sem athugasemdarlína. Til að forrita öryggisstillingaröryggi skaltu fjarlægja fremsta # og stilla gildið á Blown. Til dæmisample, til að virkja samundirritaða fastbúnaðaröryggisstillinguna, breyttu fyrstu línu öryggisins file til eftirfarandi:
Samundirritaður fastbúnaður = „Blæst“

Þú getur líka úthlutað og forritað eigandaöryggin miðað við kröfur þínar.
Þú getur notað eftirfarandi skipun til að framkvæma auðathugun, forrita og staðfesta opinberan lykil eigandarótar:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

Valmöguleikar · i: Hleður hjálparmynd fyrir fastbúnaðarútgáfu í tækið. · b: Framkvæmir auðathugun til að ganga úr skugga um að öryggisstillingar sem óskað er eftir séu það ekki
þegar blásið. · p: Forritar öryggið. · v: Staðfestir forritaða takkann á tækinu.
Eftir að hafa forritað .qky file, þú gætir skoðað öryggisupplýsingarnar með því að athuga öryggisupplýsingarnar aftur til að ganga úr skugga um að bæði opinber lyklaþjöppun eiganda og stærð almenningslykils eiganda séu ekki með núllgildi.
Þó að ekki sé hægt að skrifa eftirfarandi reiti í gegnum .fuse file aðferð, þau eru innifalin í úttakinu við athugunaraðgerðina til sannprófunar: · Tæki ekki öruggt · Tækjaleyfisdráp · Slökkva á kjötkássa rótar almenningslykils eiganda 0 · Slökkva á kjötkássa rótar almenningslykils eiganda 1 · Slökkva á kjötkássa rótar almenningslykils eiganda 2 · Afpöntun Intel lykils · Dulkóðunarlyklaforrit eiganda hafin · Dulkóðunarlyklaforrit eiganda lokið · Hætta við eigandalykli · Opinbera lyklaþjöppu eiganda · Stærð almenningslykils eiganda · Opinbera lyklalykils rót eiganda 0 · Káss rótar opinbers lykils eiganda 1 · Opinbera lyklalykils rót eiganda 2

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 31

4. Tækjaútvegun 683823 | 2023.05.23
· PTS teljari · PTS teljaragrunnur · QSPI ræsingar seinkun · RMA teljari · SDMIO0 er I2C · SVN teljari A · SVN teljari B · SVN teljari C · SVN teljari D
Notaðu Intel Quartus Prime forritara til að forrita .fuse file aftur í tækið. Ef þú bætir við i valkostinum hleður forritarinn sjálfkrafa útbúnaðarfastbúnaðinn til að forrita öryggisstillingaröryggi.
//Fyrir líkamleg (óstöðug) eFuses quartus_pgm -c 1 -mjtag -o “pi;forritun_file.fuse“ –non_volatile_key
//Fyrir sýndar (rokgjarnar) eFuses quartus_pgm -c 1 -mjtag -o “pi;forritun_file.fuse“
Þú getur notað eftirfarandi skipun til að ganga úr skugga um hvort rótarlykillinn í tækinu sé sá sami og .qky sem gefin er upp í skipuninni:
quartus_pgm -c 1 -mjtag -o “v;root0_annar.qky”
Ef lyklarnir passa ekki, mistekst forritarinn með villuskilaboðum Operation failed.
4.9. Útvegun AES rótarlykils
Þú verður að nota undirritað AES rótarlykil samsett vottorð til að forrita AES rótarlykil á Intel Agilex 7 tæki.
4.9.1. AES Root Key Compact vottorð
Þú notar quartus_pfg skipanalínutólið til að breyta AES rótarlyklinum þínum .qek file inn í .ccert sniðið fyrir skírteini. Þú tilgreinir staðsetningu lykla á meðan þú býrð til samsetta vottorðið. Þú getur notað quartus_pfg tólið til að búa til óundirritað vottorð til síðari undirritunar. Þú verður að nota undirskriftarkeðju með undirritunarheimild AES rótarlykils, leyfisbita 6, virkt til að geta undirritað AES rótarlykil samsett vottorð.

Intel Agilex® 7 Device Security Notendahandbók 32

Sendu athugasemdir

4. Tækjaútvegun 683823 | 2023.05.23
1. Búðu til viðbótarlyklapar sem notað er til að undirrita AES-lykilsamsett vottorð með því að nota eina af eftirfarandi skipunum tdamples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –innskráning –pin agilex-token-pin –keypairgen vélbúnaður ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –notkunarmerki –merki aesccert1 –id 2
2. Búðu til undirskriftarkeðju með rétta heimildabitasettinu með því að nota eina af eftirfarandi skipunum:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-tákn –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2_name” –fyrra root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Búðu til óundirritað AES samningsvottorð fyrir viðkomandi AES rótarlykil geymslustað. Eftirfarandi AES rótarlykil geymsluvalkostir eru í boði:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Búa til eFuse AES rótarlykil óundirritað vottorð quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Undirritaðu samningsvottorðið með quartus_sign skipuninni eða tilvísunarútfærslu.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert undirritað_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 33

4. Tækjaútvegun 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert undirritað_ 1.ccert
5. Notaðu Intel Quartus Prime forritarann til að forrita AES rótarlykilinn samsetta vottorðið á Intel Agilex 7 tækið í gegnum JTAG. Intel Quartus Prime forritari er sjálfgefið að forrita sýndar eFuses þegar EFUSE_WRAPPED_AES_KEY samsett vottorðsgerð er notuð.
Þú bætir við valmöguleikanum –non_volatile_key til að tilgreina líkamlega öryggi forritunar.
//Fyrir líkamlegan (óstöðug) eFuse AES rótarlykil quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –non_volatile_key

//Fyrir sýndar (rokgjarnan) eFuse AES rótarlykil quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”

//Fyrir BBRAM AES rótarlykil quartus_pgm -c 1 -mjtag -o “pi;signed_bbram1.ccert”

SDM útvegun fastbúnaðar og aðal fastbúnaðar styðja AES rótarlykilsvottorðsforritun. Þú getur líka notað SDM pósthólfsviðmótið úr FPGA efninu eða HPS til að forrita AES rótarlykilsvottorð.

Athugið:

quartus_pgm skipunin styður ekki valkosti b og v fyrir þétt vottorð (.ccert).

4.9.2. Intrinsic ID® PUF AES Root Key Provisioning
Innleiðing á Intrinsic* ID PUF umbúðum AES lykilnum felur í sér eftirfarandi skref: 1. Skráning á Intrinsic ID PUF gegnum JTAG. 2. Umbúðir AES rótarlykilsins. 3. Að forrita hjálpargögnin og vafða lykilinn í quad SPI flassminni. 4. Spurning um innra auðkenni PUF virkjunarstöðu.
Notkun Intrinsic ID tækni krefst sérstaks leyfissamnings við Intrinsic ID. Intel Quartus Prime Pro Edition hugbúnaður takmarkar PUF aðgerðir án viðeigandi leyfis, svo sem skráningu, lyklaumbúðir og PUF gagnaforritun við QSPI flash.

4.9.2.1. Innri auðkenni PUF skráning
Til að skrá PUF verður þú að nota SDM útboðsfastbúnaðinn. Veitingarfastbúnaðurinn verður að vera fyrsti fastbúnaðurinn sem hlaðið er inn eftir aflhring og þú verður að gefa út PUF skráningarskipunina á undan hverri annarri skipun. Veitingarfastbúnaðurinn styður aðrar skipanir eftir PUF-skráningu, þar á meðal AES rótarlyklaumbúðir og forritun quad SPI, hins vegar verður þú að kveikja á tækinu til að hlaða uppstillingarbitastraumi.
Þú notar Intel Quartus Prime forritara til að kveikja á PUF skráningu og búa til PUF hjálpargögnin .puf file.

Intel Agilex® 7 Device Security Notendahandbók 34

Sendu athugasemdir

4. Tækjaútvegun 683823 | 2023.05.23

Mynd 7.

Innri auðkenni PUF skráning
quartus_pgm PUF skráning

Skráning PUF hjálpargögn

Öruggur tækjastjóri (SDM)

wrapper.puf Hjálpargögn
Forritarinn hleður sjálfkrafa inn vélbúnaðarhjálparmynd þegar þú tilgreinir bæði i aðgerðina og .puf rök.
quartus_pgm -c 1 -mjtag -o “ei;help_data.puf;AGFB014R24A”
Ef þú ert að nota samundirritaðan fastbúnað, forritarðu samundirritaða vélbúnaðarhjálparmyndina áður en þú notar PUF skráningarskipunina.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o "e;help_data.puf;AGFB014R24A"
UDS IID PUF er skráð við framleiðslu tækja og er ekki tiltækt til endurskráningar. Í staðinn notarðu forritarann til að ákvarða staðsetningu UDS PUF hjálpargagnanna á IPCS, halaðu niður .puf file beint, og notaðu síðan UDS .puf file á sama hátt og .puf file unnið úr Intel Agilex 7 tæki.
Notaðu eftirfarandi forritaraskipun til að búa til texta file sem inniheldur lista yfir URLs sem bendir til sértækra tækja files á IPCS:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Umbúðir AES rótarlykilsins
Þú býrð til IID PUF umbúðir AES rótarlykilinn .wkey file með því að senda undirritað vottorð til SDM.
Þú getur notað Intel Quartus Prime forritarann til að búa til, undirrita og senda vottorðið sjálfkrafa til að vefja AES rótarlykilinn þinn, eða þú getur notað Intel Quartus Prime forritunina. File Rafall til að búa til óundirritað vottorð. Þú undirritar óundirritaða vottorðið með því að nota eigin verkfæri eða Quartus undirritunarverkfæri. Þú notar síðan forritarann til að senda undirritaða vottorðið og pakka inn AES rótarlyklinum þínum. Hægt er að nota undirritaða vottorðið til að forrita öll tæki sem geta staðfest undirskriftarkeðjuna.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 35

4. Tækjaútvegun 683823 | 2023.05.23

Mynd 8.

Umbúðir AES lykilsins með því að nota Intel Quartus Prime forritara
.pem Einkamál
Lykill

.qky

quartus_pgm

Vefjið AES lykil

AES.QSKigYnature RootCPhuabilnic lykill

Búðu til PUF vafinn lykil

Vafður AES lykill

SDM

.qek dulkóðun
Lykill

.wkey PUF-umbúðir
AES lykill

1. Þú getur búið til IID PUF umbúðir AES rótarlykil (.wkey) með forritaranum með því að nota eftirfarandi rök:
· .qky file sem inniheldur undirskriftarkeðju með leyfi AES rótarlykils
· Einka .pem file fyrir síðasta lykilinn í undirskriftarkeðjunni
· .qek file halda rótarlyklinum AES
· 16-bæta upphafsvigur (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Að öðrum kosti geturðu búið til óundirritað IID PUF umbúðir AES rótarlykilsvottorð með forritun File Rafall með eftirfarandi rökum:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Þú undirritar óundirritaða vottorðið með eigin undirritunarverkfærum eða quartus_sign tólinu með því að nota eftirfarandi skipun:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Þú notar svo forritarann til að senda undirritað AES vottorðið og skila umbúðalyklinum (.wkey) file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Athugið: i aðgerðin er ekki nauðsynleg ef þú hleður áður inn vélbúnaðarhjálparmyndinni, tdample, til að skrá PUF.

4.9.2.3. Forritun hjálpargagna og vafinn lykill að QSPI Flash Memory
Þú notar Quartus forritunina File Rafall grafískt viðmót til að búa til upphaflega QSPI flassmynd sem inniheldur PUF skipting. Þú verður að búa til og forrita heila flassforritunarmynd til að bæta PUF skipting við QSPI flassið. Stofnun PUF

Intel Agilex® 7 Device Security Notendahandbók 36

Sendu athugasemdir

4. Tækjaútvegun 683823 | 2023.05.23

Mynd 9.

gagnaskiptingu og notkun á PUF hjálpargögnum og umbúðum lykli files til að búa til flassmyndir er ekki studd í gegnum forritunina File Generator skipanalínuviðmót.
Eftirfarandi skref sýna að smíða flassforritunarmynd með PUF hjálpargögnum og vafnum lykli:
1. Á File valmynd, smelltu á Forritun File Rafall. Á Output Files flipi veldu eftirfarandi val:
a. Fyrir Device Family veldu Agilex 7.
b. Fyrir stillingarstillingu skaltu velja Active Serial x4.
c. Fyrir Output map flettu að framleiðslunni þinni file Skrá. Þetta frvample notar output_files.
d. Fyrir Nafn, tilgreindu nafn fyrir forritunina file að myndast. Þetta frvample notar output_file.
e. Undir Lýsing velurðu forritun files að búa til. Þetta frvample býr til JTAG Óbein stilling File (.jic) fyrir uppsetningu tækisins og Raw Binary File af forritunarhjálparmynd (.rbf) fyrir hjálparmynd tækis. Þetta frvample velur einnig valfrjálsa Memory Map File (.map) og hrá forritunargögn File (.rpd). Hrá forritunargögnin file er aðeins nauðsynlegt ef þú ætlar að nota þriðja aðila forritara í framtíðinni.
Forritun File Rafall - Framleiðsla Files Flipi – Veldu JTAG Óbein stilling

Tækjafjölskyldustillingarstilling
Framleiðsla file flipa
Úttaksskrá
JTAG Óbeint (.jic) Minniskort File Forritunarhjálp Hrá forritunargögn
Á inntakinu Files flipa, veldu eftirfarandi val: 1. Smelltu á Bæta við bitastraumi og flettu að .sof. 2. Veldu .sof file og smelltu síðan á Properties.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 37

4. Tækjaútvegun 683823 | 2023.05.23
a. Kveiktu á Virkja undirritunarverkfæri. b. Fyrir einkalykil file veldu .pem file. c. Kveiktu á Lokaðu dulkóðun. d. Fyrir dulkóðunarlykil file veldu .qek file. e. Smelltu á OK til að fara aftur í fyrri glugga. 3. Til að tilgreina PUF hjálpargögnin þín file, smelltu á Bæta við hráum gögnum. Breyttu Files af gerð fellivalmyndinni í Quartus Physical Unclonable Function File (*.púf). Skoðaðu .puf file. Ef þú ert að nota bæði IID PUF og UDS IID PUF skaltu endurtaka þetta skref þannig að .puf files fyrir hverja PUF er bætt við sem inntak files. 4. Til að tilgreina vafinn AES lykilinn þinn file, smelltu á Bæta við hráum gögnum. Breyttu Files af gerð fellivalmyndinni til Quartus Wrapped Key File (*.wkey). Skoðaðu .wkey þinn file. Ef þú hefur vafið AES lykla með bæði IID PUF og UDS IID PUF skaltu endurtaka þetta skref þannig að .wkey files fyrir hverja PUF er bætt við sem inntak files.
Mynd 10. Tilgreindu inntak Files fyrir stillingar, auðkenningu og dulkóðun

Bæta við bitastraumi Bæta við hráum gögnum
Eiginleikar
Einkalykill file
Ljúka við dulkóðun Dulkóðunarlykill
Veldu eftirfarandi val á flipanum Stillingartæki: 1. Smelltu á Bæta við tæki og veldu flassið þitt af listanum yfir tiltækt flass
tæki. 2. Veldu stillingartækið sem þú varst að bæta við og smelltu á Bæta við skipting. 3. Í Edit Partition valmyndinni fyrir Input file og veldu .sof þitt úr
fellilista. Þú getur haldið sjálfgefnum stillingum eða breytt öðrum breytum í Breyta skipting glugganum.

Intel Agilex® 7 Device Security Notendahandbók 38

Sendu athugasemdir

4. Tækjaútvegun 683823 | 2023.05.23
Mynd 11. Tilgreina .sof stillingar bitastraumsskiptinguna þína

Stillingartæki
Breyta skipting Bæta við .sof file

Bæta við skiptingu

4. Þegar þú bætir við .puf og .wkey sem inntak files, Forritun File Rafall býr sjálfkrafa til PUF skipting í stillingartækinu þínu. Til að geyma .puf og .wkey í PUF skiptingunni skaltu velja PUF skiptinguna og smella á Edit. Í Edit Partition valmyndinni skaltu velja .puf og .wkey files úr fellilistanum. Ef þú fjarlægir PUF skiptinguna verður þú að fjarlægja og bæta við stillingartækinu fyrir forritunina aftur File Rafall til að búa til aðra PUF skipting. Þú verður að tryggja að þú veljir rétta .puf og .wkey file fyrir IID PUF og UDS IID PUF, í sömu röð.
Mynd 12. Bættu við .puf og .wkey files til PUF skiptingarinnar

PUF skipting

Breyta

Breyta skipting

Flash Loader

Veldu Búa til

5. Fyrir Flash Loader færibreytuna skaltu velja Intel Agilex 7 tækjafjölskyldu og tækjaheiti sem samsvarar Intel Agilex 7 OPN.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 39

4. Tækjaútvegun 683823 | 2023.05.23
6. Smelltu á Búa til til að búa til úttakið files sem þú tilgreindir á Output Files flipi.
7. Forritunin File Rafall les .qek file og biður þig um lykilorðið þitt. Sláðu inn lykilorðið þitt sem svar við Sláðu inn QEK lykilorð hvetjandi. Smelltu á Enter takkann.
8. Smelltu á OK þegar Forritun File Rafall tilkynnir um árangursríka kynslóð.
Þú notar Intel Quartus Prime forritara til að skrifa QSPI forritunarmyndina í QSPI flassminni. 1. Á Intel Quartus Prime Tools valmyndinni velurðu Forritari. 2. Í Forritaranum, smelltu á Vélbúnaðaruppsetning og veldu síðan tengda Intel
FPGA niðurhalssnúra. 3. Smelltu á Bæta við File og flettu að .jic þínum file.
Mynd 13. Forrit .jic

Forritun file

Forrita/stilla

JTAG skanna keðju
4. Afveljið reitinn sem tengist hjálparmyndinni. 5. Veldu Program/Configure fyrir .jic úttakið file. 6. Kveiktu á Start-hnappinum til að forrita quad SPI flassminnið þitt. 7. Kveiktu á spjaldinu þínu. Hönnunin forrituð á quad SPI flassminni
tækið hleðst síðan inn í mark FPGA.
Þú verður að búa til og forrita heila flassforritunarmynd til að bæta PUF skipting við quad SPI flassið.
Þegar PUF skipting er þegar til í flassinu er hægt að nota Intel Quartus Prime forritara til að fá beinan aðgang að PUF hjálpargögnum og umbúðum lykli files. Til dæmisample, ef virkjun tekst ekki, er hægt að skrá PUF aftur, vefja AES lykilinn aftur og í kjölfarið aðeins forrita PUF files án þess að þurfa að skrifa yfir allt flassið.

Intel Agilex® 7 Device Security Notendahandbók 40

Sendu athugasemdir

4. Tækjaútvegun 683823 | 2023.05.23
Intel Quartus Prime forritari styður eftirfarandi rekstrarrök fyrir PUF files í fyrirliggjandi PUF skipting:
· p: forrit
· v: sannreyna
· r: eyða
· b: óútfyllt ávísun
Þú verður að fylgja sömu takmörkunum fyrir PUF skráningu, jafnvel þótt PUF skipting sé til.
1. Notaðu i aðgerð rökin til að hlaða hjálparmynd fyrir fastbúnaðarbúnað fyrir fyrstu aðgerðina. Til dæmisample, eftirfarandi skipanaröð skráir PUF aftur, vefur aftur AES rótarlykilinn, eyddu gömlu PUF hjálpargögnunum og umbúðalyklinum, forritaðu síðan og staðfestu nýju PUF hjálpargögnin og AES rótarlykilinn.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o “v;new.wkey”
4.9.2.4. Spurning um innra auðkenni PUF virkjunarstöðu
Eftir að þú hefur skráð innra auðkenni PUF skaltu pakka inn AES lykli, búa til flassforritunina files, og uppfærir quad SPI flassið, kveikirðu á tækinu þínu til að kveikja á PUF virkjun og stillingu frá dulkóðuðu bitastraumnum. SDM tilkynnir um PUF virkjunarstöðu ásamt stillingarstöðu. Ef PUF virkjun mistekst, tilkynnir SDM þess í stað PUF villustöðu. Notaðu quartus_pgm skipunina til að spyrjast fyrir um stillingarstöðu.
1. Notaðu eftirfarandi skipun til að spyrjast fyrir um virkjunarstöðu:
quartus_pgm -c 1 -mjtag –status –status_type="CONFIG"
Hér er sampúttak frá vel heppnaðri virkjun:
Upplýsingar (21597): Svar CONFIG_STATUS tækis er í gangi í notendaham 00006000 RESPONSE_CODE=Í lagi, LENGTH=6 00000000 STATE=IDLE 00160300 Útgáfa C000007B MSEL=QSPI_NORMAL=, 1,CON
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Villustaðsetning 00000000 Villuupplýsingar Svar PUF_STATUS_00002000=2=00000500=XNUMX USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 41

4. Tækjaútvegun 683823 | 2023.05.23

Ef þú ert aðeins að nota annað hvort IID PUF eða UDS IID PUF og hefur ekki forritað hjálpargögn .puf file fyrir annað hvort PUF í QSPI flassinu, þá virkjast þessi PUF ekki og PUF staða endurspeglar að PUF hjálpargögn eru ekki gild. Eftirfarandi frvample sýnir PUF stöðuna þegar PUF hjálpargögnin voru ekki forrituð fyrir hvorugt PUF:
Svar frá PUF_STATUS 00002000 RESPONSE_CODE=Í lagi, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Staðsetning PUF í Flash Memory
Staðsetning PUF file er öðruvísi fyrir hönnun sem styður RSU og hönnun sem styður ekki RSU eiginleikann.

Fyrir hönnun sem styður ekki RSU verður þú að láta .puf og .wkey fylgja með files þegar þú býrð til uppfærðar flassmyndir. Fyrir hönnun sem styður RSU skrifar SDM ekki yfir PUF gagnahlutana meðan á mynduppfærslum frá verksmiðju eða forriti stendur.

Tafla 2.

Flash undirskiptingarskipulag án RSU-stuðnings

Flash Offset (í bætum)

Stærð (í bætum)

Innihald

Lýsing

0K 256K

256K 256K

Stillingarstjórnunar fastbúnaðar Stillingarstjórnunarfastbúnaðar

Firmware sem keyrir á SDM.

512 þúsund

256 þúsund

Fastbúnaðarstillingarstjórnun

768 þúsund

256 þúsund

Fastbúnaðarstillingarstjórnun

32 þúsund

PUF gagnaafrit 0

Gagnauppbygging til að geyma PUF hjálpargögn og PUF-umbúðir AES rótarlykils afrit 0

1M+32K

32 þúsund

PUF gagnaafrit 1

Gagnauppbygging til að geyma PUF hjálpargögn og PUF-umbúðir AES rótarlykils afrit 1

Tafla 3.

Flash undirskiptingarskipulag með RSU stuðningi

Flash Offset (í bætum)

Stærð (í bætum)

Innihald

Lýsing

0K 512K

512K 512K

Decision vélbúnaðar Decision firmware

Fastbúnað til að bera kennsl á og hlaða myndinni með mesta forgang.

1M 1.5M

512K 512K

Decision vélbúnaðar Decision firmware

8K + 24K

Fastbúnaðargögn ákvörðunar

Bólstrun

Frátekið fyrir Decision vélbúnaðarnotkun.

2M + 32K

32 þúsund

Frátekið fyrir SDM

Frátekið fyrir SDM.

2M + 64K

Breytilegt

Verksmiðjumynd

Einföld mynd sem þú býrð til sem öryggisafrit ef ekki tekst að hlaða öllum öðrum forritamyndum. Þessi mynd inniheldur CMF sem keyrir á SDM.

Næst

32 þúsund

PUF gagnaafrit 0

Gagnauppbygging til að geyma PUF hjálpargögn og PUF-umbúðir AES rótarlykils afrit 0
áfram…

Intel Agilex® 7 Device Security Notendahandbók 42

Sendu athugasemdir

4. Tækjaútvegun 683823 | 2023.05.23

Flash Offset (í bætum)

Stærð (í bætum)

Næsta +32K 32K

Innihald PUF gagnaafrit 1

Næsta + 256K 4K Næsta +32K 4K Næsta +32K 4K

Afrit af undirskiptingatöflu 0 Afrit af undirsneiðatöflu 1 CMF bendiblokkafrit 0

Næsta +32K _

CMF bendiblokk eintak 1

Breytilegt Breytilegt

Forritsmynd 1 Forritsmynd 2

4.9.3. Úthlutun svarta lykla

Lýsing
Gagnauppbygging til að geyma PUF hjálpargögn og PUF-umbúðir AES rótarlykils afrit 1
Gagnauppbygging til að auðvelda stjórnun flassgeymslunnar.
Listi yfir ábendingar um forritsmyndir í forgangsröð. Þegar þú bætir við mynd verður sú mynd sú hæsta.
Annað eintak af listanum yfir ábendingar um forritsmyndir.
Fyrsta forritsmyndin þín.
Önnur forritsmyndin þín.

Athugið:

Intel Quartus PrimeProgrammer aðstoðar við að koma á gagnkvæmu staðfestu öruggri tengingu milli Intel Agilex 7 tækisins og svarta lyklaveitingarþjónustunnar. Örugg tenging er komið á í gegnum https og krefst nokkurra skilríkja sem auðkennd eru með texta file.
Þegar þú notar Black Key Provisioning mælir Intel með því að þú forðast að tengja TCK pinna utanaðkomandi til að draga upp eða draga niður viðnám á meðan þú notar hann enn fyrir JTAG. Hins vegar geturðu tengt TCK pinna við VCCIO SDM aflgjafa með því að nota 10 k viðnám. Fyrirliggjandi leiðbeiningar í leiðbeiningum um tengingu pinna um að tengja TCK við 1 k niðurdráttarviðnám er innifalið fyrir hávaðabælingu. Breytingin á leiðsögn í 10 k uppdráttarviðnám hefur ekki áhrif á virkni tækisins. Frekari upplýsingar um tengingu TCK pinna er að finna í Intel Agilex 7 pinna tengingarleiðbeiningum.
Thebkp_tls_ca_certificate auðkennir svarta lyklaútvegunarþjónustutilvikið þitt við svarta lyklaúthlutunarforritaratilvikið þitt. Thebkp_tls_*vottorð auðkenna svarta lyklaúthlutunarforritaratilvikið þitt við svarta lyklaútvegunarþjónustutilvikið þitt.
Þú býrð til texta file sem inniheldur nauðsynlegar upplýsingar til að Intel Quartus Prime forritari geti tengst svörtu lyklaþjónustunni. Til að hefja úthlutun svarta lykla, notaðu forritara skipanalínuviðmótið til að tilgreina texta úthlutunarvalkosta svarta lykla file. Úthlutun svarta lyklanna heldur síðan áfram sjálfkrafa. Til að fá aðgang að svarta lyklaþjónustunni og tengdum skjölum, vinsamlegast hafðu samband við Intel Support.
Þú getur virkjað úthlutun svarta lykilsins með því að nota thequartus_pgmcommand:
quartus_pgm -c -m -tæki –bkp_options=bkp_options.txt
Skipunarrökin tilgreina eftirfarandi upplýsingar:

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 43

4. Tækjaútvegun 683823 | 2023.05.23

· -c: snúrunúmer · -m: tilgreinir forritunarham eins og JTAG · –tæki: tilgreinir tækjavísitölu á JTAG keðja. Sjálfgefið gildi er 1. · –bkp_options: tilgreinir texta file sem inniheldur svarta lykilúthlutunarvalkosti.
Tengdar upplýsingar Intel Agilex 7 Device Family Pin Connection Guidelines

4.9.3.1. Svartur lykilúthlutunarvalkostir
Svarta takkans úthlutunarvalkostir eru texti file send til forritarans í gegnum quartus_pgm skipunina. The file inniheldur nauðsynlegar upplýsingar til að kveikja á úthlutun svarta lykla.
Eftirfarandi er fyrrverandiample af bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem bkp_proxy_dress = bkp_proxy_1234 192.167.5.5:5000 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Tafla 4.

Svartur lykilúthlutunarvalkostir
Þessi tafla sýnir valkostina sem þarf til að kveikja á úthlutun svarta lykla.

Nafn valkosts

Tegund

Lýsing

bkp_ip

Áskilið

Tilgreinir IP-tölu netþjónsins sem keyrir úthlutunarþjónustu svarta lykla.

bkp_port

Áskilið

Tilgreinir þjónustugátt fyrir svarta lykla sem þarf til að tengjast þjóninum.

bkp_cfg_id

Áskilið

Auðkennir svarta lykilúthlutunarskilgreiningarflæðisauðkenni.
Úthlutunarþjónusta svarta lykla býr til stillingar fyrir svarta lyklaútvegun, þar á meðal AES rótarlykil, æskilegar eFuse stillingar og aðra úthlutunarheimildarmöguleika fyrir svarta lykla. Númerið sem úthlutað er við uppsetningu svarta lyklaveituþjónustunnar auðkennir uppsetningarflæði svarta lykla.
Athugið: Mörg tæki geta átt við sama svarta lyklaúthlutunarþjónustustillingarflæðið.

bkp_tls_ca_cert

Áskilið

Rót TLS vottorðið sem notað er til að auðkenna svarta lyklaþjónustuna fyrir Intel Quartus Prime forritara (forritara). Traust vottunaryfirvöld fyrir svarta lyklaveitingarþjónustutilvikið gefur út þetta vottorð.
Ef þú keyrir forritarann á tölvu með Microsoft® Windows® stýrikerfi (Windows), verður þú að setja upp þetta vottorð í Windows vottorðageymslunni.

bkp_tls_prog_cert

Áskilið

Vottorð búið til fyrir tilvik svarta lyklaforritara (BKP forritara). Þetta er https biðlaravottorðið sem notað er til að auðkenna þetta BKP forritaratilvik
áfram…

Intel Agilex® 7 Device Security Notendahandbók 44

Sendu athugasemdir

4. Tækjaútvegun 683823 | 2023.05.23

Nafn valkosts

Tegund

bkp_tls_prog_key

Áskilið

bkp_tls_prog_key_pass Valfrjálst

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Valfrjálst Valfrjálst Valfrjálst

Lýsing
til svarta lyklaveituþjónustunnar. Þú verður að setja upp og heimila þetta vottorð í úthlutunarþjónustu svarta lykla áður en þú byrjar úthlutunarlotu fyrir svarta lykla. Ef þú keyrir forritarann á Windows er þessi valkostur ekki tiltækur. Í þessu tilviki inniheldur bkp_tls_prog_key nú þegar þetta vottorð.
Einkalykillinn sem samsvarar BKP forritara vottorðinu. Lykillinn staðfestir auðkenni BKP forritara tilviksins fyrir svarta lyklaveitingarþjónustu. Ef þú keyrir forritarann á Windows er .pfx file sameinar bkp_tls_prog_cert vottorðið og einkalykilinn. Valmöguleikinn bkp_tlx_prog_key framhjá .pfx file í bkp_options.txt file.
Lykilorðið fyrir bkp_tls_prog_key einkalykilinn. Ekki krafist í texta stillingarvalkosta fyrir úthlutun svarta lykla (bkp_options.txt). file.
Tilgreinir proxy-þjóninn URL heimilisfang.
Tilgreinir notandanafn proxy-þjónsins.
Tilgreinir proxy-staðfestingarlykilorðið.

4.10. Umbreytir rótarlykil eiganda, AES rótarlykilskírteini og öryggi files til Jam STAPL File Snið

Þú getur notað quartus_pfg skipanalínuskipunina til að umbreyta .qky, AES rótarlykli .ccert og .fuse files til Jam STAPL Format File (.jam) og Jam Byte Code Format File (.jbc). Þú getur notað þessar files til að forrita Intel FPGAs með því að nota Jam STAPL spilara og Jam STAPL bætikóðaspilara, í sömu röð.

Einn .jam eða .jbc inniheldur nokkrar aðgerðir, þar á meðal stillingar og forrit fyrir vélbúnaðarhjálparmynd, auðávísun og staðfestingu á lykla- og öryggisforritun.

Varúð:

Þegar þú breytir AES rótarlyklinum .ccert file að .jam sniði, .jam file inniheldur AES lykilinn í látlausum texta en á hulduformi. Þar af leiðandi verður þú að vernda .jam file þegar AES lykillinn er geymdur. Þú getur gert þetta með því að útvega AES lykilinn í öruggu umhverfi.

Hér eru fyrrverandiamples af quartus_pfg umbreytingarskipunum:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qqky;root1.qqky;root2.qpky;root014gb c -o helper_device=AGFB24R014A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB24R014A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device_jam.fúseg stillingar -Fuseg quartus_ja.fuseb24 stillingar -fúseg stillingar o helper_device=AGFB014R24A stillingar. fuse settings_fuse.jbc

Nánari upplýsingar um notkun Jam STAPL spilarans fyrir tækjaforritun er að finna í AN 425: Notkun Command-Line Jam STAPL lausn fyrir tækjaforritun.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 45

4. Tækjaútvegun 683823 | 2023.05.23
Keyrðu eftirfarandi skipanir til að forrita rótarlykil eiganda og AES dulkóðunarlykil:
//Til að hlaða hjálparbitastraumnum inn í FPGA. // Hjálparbitastraumurinn inniheldur fastbúnaðarbúnað quartus_jli -c 1 -a CONFIGURE RootKey.jam
//Til að forrita rótarlykil eiganda í sýndar eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Til að forrita rótarlykil eiganda í líkamlega eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Til að forrita PR eiganda rót almenningslykilsins í sýndar eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Til að forrita PR eiganda rót almenningslykilsins í líkamlega eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Til að forrita AES dulkóðunarlykilinn CCERT í BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Til að forrita AES dulkóðunarlykilinn CCERT í líkamlega eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Tengdar upplýsingar AN 425: Notkun Command-Line Jam STAPL lausn fyrir tækjaforritun

Intel Agilex® 7 Device Security Notendahandbók 46

Sendu athugasemdir

683823 | 2023.05.23 Senda athugasemd

Ítarlegir eiginleikar

5.1. Örugg kembiforrit
Til að virkja örugga villuheimild þarf villuleitareigandinn að búa til auðkenningarlyklapar og nota Intel Quartus Prime Pro forritara til að búa til upplýsingar um tæki file fyrir tækið sem keyrir villuleitarmyndina:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
Eigandi tækisins notar quartus_sign tólið eða tilvísunarútfærsluna til að bæta skilyrtri opinberri lyklafærslu við undirskriftarkeðju sem ætlað er til villuleitaraðgerða með því að nota opinbera lykilinn frá villuleitareiganda, nauðsynlegar heimildir, upplýsingatexta tækisins file, og viðeigandi frekari takmarkanir:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18_pem=input_ debug_authorization_public_key.pem secure_debug_auth_chain.qky
Eigandi tækisins sendir alla undirskriftarkeðjuna til baka til villuleitareigandans, sem notar undirskriftarkeðjuna og einkalykil sinn til að undirrita villuleitarmyndina:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Þú getur notað quartus_pfg skipunina til að skoða undirskriftarkeðju hvers hluta þessa undirritaða örugga villuleitarbitastraums sem hér segir:
quartus_pfg –check_integrity authorized_debug_design.rbf
Úttak þessarar skipunar prentar takmörkunargildin 1,2,17,18 af skilyrta almenningslyklinum sem var notaður til að búa til undirritaða bitastrauminn.
Villuleitareigandinn getur síðan forritað örugga viðurkennda villuleitarhönnun:
quartus_pgm -c 1 -mjtag -o “p;authorized_debug_design.rbf”
Eigandi tækisins getur afturkallað örugga villuleitarheimild með því að hætta við skýrt lykilafbókunarauðkenni sem úthlutað er í undirskriftarkeðju fyrir örugga villuleitarheimild.
5.2. HPS villuleitarvottorð
Virkja aðeins viðurkenndan aðgang að HPS villuleitaraðgangstengi (DAP) í gegnum JTAG viðmót krefst nokkurra skrefa:

ISO 9001:2015 Skráð

5. Ítarlegir eiginleikar 683823 | 2023.05.23
1. Smelltu á Intel Quartus Prime hugbúnaðarúthlutunarvalmyndina og veldu Device Device and Pin Options Configuration flipann.
2. Í Stillingar flipanum, virkjaðu HPS kembiforritið (DAP) með því að velja annað hvort HPS Pins eða SDM Pins úr fellivalmyndinni og tryggja að Leyfa HPS kembiforrit án vottorða gátreitinn sé ekki valinn.
Mynd 14. Tilgreindu annað hvort HPS eða SDM pinna fyrir HPS DAP

HPS kembiforrit (DAP)
Að öðrum kosti geturðu stillt verkefnið hér að neðan í Quartus Prime Settings .qsf file:
set_global_assignment -nafn HPS_DAP_SPLIT_MODE „SDM PINS“
3. Settu saman og hlaðið hönnuninni með þessum stillingum. 4. Búðu til undirskriftarkeðju með viðeigandi heimildum til að undirrita HPS villuleit
vottorð:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_qky_sign_chain.
5. Biddu um óundirritað HPS kembiforrit frá tækinu þar sem kembihönnunin er hlaðin:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. Skrifaðu undir óundirritaða HPS villuleitarvottorðið með því að nota quartus_sign tólið eða tilvísunarútfærslu og HPS villuleitarundirskriftarkeðjuna:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Intel Agilex® 7 Device Security Notendahandbók 48

Sendu athugasemdir

5. Ítarlegir eiginleikar 683823 | 2023.05.23
7. Sendu undirritaða HPS kembiforritið til baka í tækið til að virkja aðgang að HPS kembiforritinu (DAP):
quartus_pgm -c 1 -mjtag -o “p;signed_hps_debug.cert”
HPS villuleitarvottorðið er aðeins gilt frá því að það var búið til og fram að næstu aflhring tækisins eða þar til önnur gerð eða útgáfa af SDM fastbúnaði er hlaðinn. Þú verður að búa til, undirrita og forrita undirritaða HPS villuleitarvottorðið og framkvæma allar villuleitaraðgerðir, áður en þú kveikir á tækinu. Þú getur ógilt undirritað HPS villuleitarvottorð með því að kveikja á tækinu.
5.3. Staðfesting vettvangs
Þú getur búið til tilvísunarheiðarleikaskrá (.rim) file með því að nota forritunina file rafall tól:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Fylgdu þessum skrefum til að tryggja vettvangsvottorð í hönnun þinni: 1. Notaðu Intel Quartus Prime Pro forritara til að stilla tækið þitt með
hönnun sem þú bjóst til tilvísunarheiðarleikaskrá fyrir. 2. Notaðu vettvangsvottun til að skrá tækið með því að gefa út skipanir til
SDM í gegnum SDM pósthólfið til að búa til auðkenni tækisins og fastbúnaðarvottorð við endurhleðslu. 3. Notaðu Intel Quartus Prime Pro forritara til að endurstilla tækið þitt með hönnuninni. 4. Notaðu vettvangsvottunarstaðfestinguna til að gefa út skipanir til SDM til að fá auðkenni staðfestingartækisins, fastbúnað og samnefniskírteini. 5. Notaðu vottunarstaðfestinguna til að gefa út SDM pósthólfsskipunina til að fá staðfestingarsönnunargögnin og sannprófandinn athugar skilað sönnunargögn.
Þú getur innleitt þína eigin sannprófunarþjónustu með því að nota SDM pósthólfsskipanirnar, eða notað staðfestingarstaðfestingarþjónustuna Intel. Fyrir frekari upplýsingar um þjónustuhugbúnað, framboð og skjöl fyrir vottunarstaðfestingu Intel, hafðu samband við þjónustudeild Intel.
Tengdar upplýsingar Intel Agilex 7 Device Family Pin Connection Guidelines
5.4. Líkamleg andstæðingur-Tamper
Þú virkjar líkamlegt andstæðingur-tamper eiginleikar með því að nota eftirfarandi skref: 1. Velja æskilega svörun við greint tamper atburður 2. Stilla viðkomandi tamper uppgötvunaraðferðir og breytur 3. Þar á meðal andstæðingur-tamper IP í hönnunarrökfræðinni þinni til að hjálpa til við að stjórna and-tamper
atburðir

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 49

5. Ítarlegir eiginleikar 683823 | 2023.05.23
5.4.1. Anti-Tamper Svör
Þú virkjar líkamlegt andstæðingur-tamper með því að velja svar frá Anti-tamper svar: fellilistanum á Verkefni Tæki Tæki og Pin Options Security Anti-Tamper flipi. Sjálfgefið er að andstæðingur-tamper svar er óvirkt. Fimm flokkar andstæðingur-tamper svar eru fáanleg. Þegar þú velur svarið sem þú vilt eru valmöguleikarnir virkjaðir til að virkja eina eða fleiri greiningaraðferðir.
Mynd 15. Í boði Anti-Tamper Svarvalkostir

Samsvarandi verkefni í Quartus Prime stillingunum .gsf file er eftirfarandi:
set_global_assignment -heiti ANTI_TAMPER_RESPONSE „TÆKJA TÆKI ÞURKA LÁS OG NÚLLSTÆÐI“
Þegar þú virkjar anti-tamper svar, þú getur valið tvo tiltæka SDM sérstaka I/O pinna til að gefa út tamper atburðaskynjun og viðbragðsstaða með því að nota gluggann Verkefni Tæki Tæki og Pin Options Stillingar Stillingar Pin Options glugga.

Intel Agilex® 7 Device Security Notendahandbók 50

Sendu athugasemdir

5. Ítarlegir eiginleikar 683823 | 2023.05.23
Mynd 16. Tiltækir SDM sérstakir I/O pinnar fyrir Tamper Atburðagreining

Þú getur líka gert eftirfarandi pinnaúthlutun í stillingunum file: set_global_assignment -nafn USE_TAMPER_DETECT SDM_IO15 set_global_assignment -heiti ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Uppgötvun

Þú getur sérstaklega virkjað tíðni, hitastig og rúmmáltage uppgötvunareiginleikar SDM. FPGA uppgötvun fer eftir því að hafa Anti-T meðamper Lite Intel FPGA IP í hönnun þinni.

Athugið:

SDM tíðni og binditagetamper uppgötvunaraðferðir eru háðar innri tilvísunum og mælibúnaði sem getur verið mismunandi eftir tækjum. Intel mælir með því að þú einkennir hegðun tamper uppgötvunarstillingar.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 51

5. Ítarlegir eiginleikar 683823 | 2023.05.23
Tíðni ekkiamper uppgötvun starfar á uppsetningarklukkugjafanum. Til að virkja tíðni tamper uppgötvun verður þú að tilgreina annan valmöguleika en Innri Oscillator í fellivalmyndinni Stillingar klukkuuppsprettu á flipanum Verkefni Tæki Tæki og Pinnavalkostir Almennt. Þú verður að tryggja að gátreiturinn Keyra stillingar CPU frá innri oscillator sé virkjaður áður en þú kveikir á tíðninni tamper uppgötvun. Mynd 17. Stilling SDM á Innri Oscillator
Til að virkja tíðni tamper uppgötvun, veldu Virkja tíðni tamper uppgötvun gátreitinn og veldu þá tíðni sem þú viltamper uppgötvunarsvið úr fellivalmyndinni. Mynd 18. Virkja tíðni Tamper Uppgötvun

Intel Agilex® 7 Device Security Notendahandbók 52

Sendu athugasemdir

5. Ítarlegir eiginleikar 683823 | 2023.05.23
Að öðrum kosti geturðu virkjað Frequency Tamper Greining með því að gera eftirfarandi breytingar á Quartus Prime stillingunum .qsf file:
set_global_assignment -nafn AUTO_RESTART_CONFIGURATION OFF set_global_assignment -nafn DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -nafn RUN_CONFIG_CPU_FROM_INT_OSC ON sett_global_assignment -QUE ENNCABYLE_FREAMPER_DETECTION ON set_global_assignment -nafn FREQUENCY_TAMPER_DETECTION_RANGE 35
Til að virkja hitastig tamper uppgötvun, veldu Virkja hitastig tamper uppgötvun gátreitinn og veldu viðeigandi efri og neðri mörk hitastigs í samsvarandi reitum. Efri og neðri mörk eru sjálfgefið fyllt út með tengdu hitastigi fyrir tækið sem valið er í hönnuninni.
Til að virkja binditagetamper uppgötvun, þú velur annaðhvort eða bæði Virkja VCCL voltagetamper uppgötvun eða Virkja VCCL_SDM voltagetamper uppgötvun gátreitir og veldu viðkomandi Voltagetamper uppgötvun kveikja prósenttage í samsvarandi reit.
Mynd 19. Enabling Voltagog Tamper Uppgötvun

Að öðrum kosti geturðu virkjað Voltagog Tamper Greining með því að tilgreina eftirfarandi verkefni í .qsf file:
set_global_assignment -heiti ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -heiti TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -heiti ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -nafn ENABLE_VCCL_SDM_VOLTAGE_TAMPKveikt á ER_DETECTION
5.4.3. Anti-Tamper Lite Intel FPGA IP
The Anti-Tamper Lite Intel FPGA IP, fáanlegt í IP vörulistanum í Intel Quartus Prime Pro Edition hugbúnaðinum, auðveldar tvíátta samskipti milli hönnunar þinnar og SDM fyrir tamper atburðir.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 53

Mynd 20. Anti-Tamper Lite Intel FPGA IP

5. Ítarlegir eiginleikar 683823 | 2023.05.23

IP veitir eftirfarandi merki sem þú tengir við hönnunina þína eftir þörfum:

Tafla 5.

Andstæðingur-Tamper Lite Intel FPGA IP I/O merki

Merkisheiti

Stefna

Lýsing

gpo_sdm_at_event gpi_fpga_at_event

Úttak Inntak

SDM merki til FPGA efni rökfræði sem SDM hefur greint áamper atburður. FPGA rökfræðin hefur um það bil 5ms til að framkvæma hvaða hreinsun sem er og svara SDM í gegnum gpi_fpga_at_response_done og gpi_fpga_at_zeroization_done. SDM heldur áfram með tamper viðbragðsaðgerðir þegar gpi_fpga_at_response_done er fullyrt eða eftir að ekkert svar hefur borist á tilsettum tíma.
FPGA truflun á SDM sem er hannaður andstæðingur-tamper uppgötvunarrás hefur greint klamper atburður og SDM tamper svar ætti að koma af stað.

gpi_fpga_at_response_done

Inntak

FPGA truflun á SDM sem FPGA rökfræði hefur framkvæmt æskilega hreinsun.

gpi_fpga_at_zeroization_d einn

Inntak

FPGA merki til SDM um að FPGA rökfræði hafi lokið hvaða núllstillingu sem óskað er eftir hönnunargögnum. Þetta merki er sampleiddi þegar gpi_fpga_at_response_done er fullyrt.

5.4.3.1. Upplýsingar um útgáfu

IP útgáfukerfi (XYZ) númerið breytist úr einni hugbúnaðarútgáfu í aðra. Breyting á:
· X gefur til kynna meiriháttar endurskoðun á IP. Ef þú uppfærir Intel Quartus Prime hugbúnaðinn þinn verður þú að endurskapa IP.
· Y gefur til kynna að IP-talan inniheldur nýja eiginleika. Endurskapaðu IP-töluna þína til að innihalda þessa nýju eiginleika.
· Z gefur til kynna að IP-talan inniheldur smávægilegar breytingar. Endurskapaðu IP-töluna þína til að innihalda þessar breytingar.

Tafla 6.

Andstæðingur-Tamper Lite Intel FPGA IP útgáfuupplýsingar

IP útgáfa

Atriði

Lýsing 20.1.0

Intel Quartus Prime útgáfa

21.2

Útgáfudagur

2021.06.21

Intel Agilex® 7 Device Security Notendahandbók 54

Sendu athugasemdir

5. Ítarlegir eiginleikar 683823 | 2023.05.23
5.5. Notkun öryggiseiginleika hönnunar með fjarkerfisuppfærslu
Remote System Update (RSU) er Intel Agilex 7 FPGA eiginleiki sem aðstoðar við að uppfæra stillingar files á sterkan hátt. RSU er samhæft við hönnunaröryggisaðgerðir eins og auðkenningu, samhliða undirritun vélbúnaðar og bitastraumsdulkóðun þar sem RSU er ekki háð hönnunarinnihaldi stillingarbitastrauma.
Byggja RSU myndir með .sof Files
Ef þú ert að geyma einkalykla á staðnum þínum filekerfi geturðu búið til RSU myndir með hönnunaröryggisaðgerðum með því að nota einfaldað flæði með .sof files sem inntak. Til að búa til RSU myndir með .sof file, gætirðu fylgst með leiðbeiningunum í kaflanum Búa til fjarkerfisuppfærslumynd Files Notkun forritunar File Rafall Intel Agilex 7 Stillingar Notendahandbók. Fyrir hverja .sof file tilgreint á inntakinu Files flipann, smelltu á Eiginleikar… hnappinn og tilgreindu viðeigandi stillingar og lykla fyrir undirritunar- og dulkóðunarverkfærin. Forritunin file rafall tól undirritar sjálfkrafa og dulkóðar verksmiðju- og forritamyndir á meðan þú býrð til RSU forritunina files.
Að öðrum kosti, ef þú ert að geyma einkalykla í HSM, verður þú að nota quartus_sign tólið og því nota .rbf files. Restin af þessum hluta lýsir breytingum á flæðinu til að búa til RSU myndir með .rbf files sem inntak. Þú verður að dulkóða og undirrita .rbf snið files áður en þau eru valin sem inntak files fyrir RSU myndir; hins vegar, RSU ræsiupplýsingarnar file má ekki vera dulkóðuð og þess í stað aðeins undirritað. Forritunin File Rafall styður ekki að breyta eiginleikum .rbf sniðs files.
Eftirfarandi frvamples sýna fram á nauðsynlegar breytingar á skipunum í kafla sem býr til fjarlægar kerfisuppfærslumynd Files Notkun forritunar File Rafall Intel Agilex 7 Stillingar Notendahandbók.
Að búa til upphaflegu RSU myndina með því að nota .rbf Files: Skipunarbreyting
Frá því að búa til upphaflegu RSU myndina með því að nota .rbf Files kafla, breyttu skipunum í skrefi 1. til að virkja hönnunaröryggiseiginleikana eins og þú vilt með því að nota leiðbeiningar frá fyrri köflum þessa skjals.
Til dæmisample, þú myndir tilgreina undirritaðan fastbúnað file ef þú varst að nota vélbúnaðarsamsetningu, notaðu þá Quartus dulkóðunartólið til að dulkóða hvert .rbf file, og að lokum notaðu quartus_sign tólið til að skrifa undir hvert file.
Í skrefi 2, ef þú hefur virkjað samundirritun fastbúnaðar, verður þú að nota viðbótarvalkost við að búa til ræsingu .rbf úr verksmiðjumyndinni file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Eftir að þú hefur búið til ræsiupplýsingarnar .rbf file, notaðu quartus_sign tólið til að skrifa undir .rbf file. Þú mátt ekki dulkóða ræsiupplýsingarnar .rbf file.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 55

5. Ítarlegir eiginleikar 683823 | 2023.05.23
Búa til forritsmynd: Skipunarbreyting
Til að búa til forritamynd með hönnunaröryggiseiginleikum, breytir þú skipuninni í Búa til forritamynd til að nota .rbf með hönnunaröryggiseiginleikum virkt, þ. file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Búa til verksmiðjuuppfærslumynd: Skipunarbreyting
Eftir að þú hefur búið til ræsiupplýsingarnar .rbf file, þú notar quartus_sign tólið til að skrifa undir .rbf file. Þú mátt ekki dulkóða ræsiupplýsingarnar .rbf file.
Til að búa til RSU verksmiðjuuppfærslumynd breytir þú skipuninni frá Búa til verksmiðjuuppfærslumynd til að nota .rbf file með hönnunaröryggisaðgerðum virka og bættu við möguleikanum til að gefa til kynna samundirritaða fastbúnaðarnotkun:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Tengdar upplýsingar Intel Agilex 7 Configuration User Guide
5.6. SDM dulritunarþjónusta
SDM á Intel Agilex 7 tækjum veitir dulritunarþjónustu sem FPGA efni rökfræði eða HPS getur óskað eftir í gegnum viðkomandi SDM pósthólfsviðmót. Fyrir frekari upplýsingar um pósthólfsskipanir og gagnasnið fyrir alla SDM dulritunarþjónustu, sjá viðauka B í Öryggisaðferðafræði fyrir Intel FPGA og Structured ASICs User Guide.
Til að fá aðgang að SDM pósthólfsviðmótinu við FPGA efnisrökfræði fyrir SDM dulmálsþjónustur, verður þú að stofna pósthólf viðskiptavinarins Intel FPGA IP í hönnun þinni.
Tilvísunarkóði til að fá aðgang að SDM pósthólfsviðmótinu frá HPS er innifalinn í ATF og Linux kóðanum sem Intel veitir.
Tengdar upplýsingar Mailbox Client Intel FPGA IP notendahandbók
5.6.1. Viðurkennd stígvél seljanda
Intel veitir tilvísunarútfærslu fyrir HPS hugbúnað sem notar ræsieiginleika seljanda til að sannvotta HPS ræsihugbúnað frá fyrstu s.tage ræsihleðslutæki í gegnum Linux kjarnann.
Tengdar upplýsingar Intel Agilex 7 SoC Secure Boot Demo Design

Intel Agilex® 7 Device Security Notendahandbók 56

Sendu athugasemdir

5. Ítarlegir eiginleikar 683823 | 2023.05.23
5.6.2. Örugg gagnahlutaþjónusta
Þú sendir skipanirnar í gegnum SDM pósthólfið til að framkvæma SDOS-hluta dulkóðun og afkóðun. Þú getur notað SDOS eiginleikann eftir að þú hefur útvegað SDOS rótarlykilinn.
Tengdar upplýsingar Örugg gagnahlutþjónusta rótlykilsútvegun á síðu 30
5.6.3. SDM dulmáls frumstæð þjónusta
Þú sendir skipanirnar í gegnum SDM pósthólfið til að hefja SDM dulmáls frumstæða þjónustuaðgerðir. Sumar frumstæðar dulmálsþjónustur krefjast þess að fleiri gögn séu flutt til og frá SDM en pósthólfsviðmótið getur samþykkt. Í þessum tilvikum breytist skipun sniðsins til að gefa vísbendingar um gögn í minni. Að auki verður þú að breyta uppsetningu pósthólfs viðskiptavinarins Intel FPGA IP til að nota frumstæða SDM dulmálsþjónustu frá FPGA efni rökfræði. Þú verður að auki að stilla færibreytuna Virkja dulritunarþjónustu á 1 og tengja nýlega afhjúpað AXI ræsiviðmótið við minni í hönnun þinni.
Mynd 21. Virkja SDM dulritunarþjónustu í pósthólfsbiðlara Intel FPGA IP

5.7. Öryggisstillingar bitastraums (FM/S10)
FPGA bitastraumsöryggisvalkostir eru safn reglna sem takmarka tilgreindan eiginleika eða notkunarmáta innan tiltekins tímabils.
Bitstraumsöryggisvalkostir samanstanda af fánum sem þú stillir í Intel Quartus Prime Pro Edition hugbúnaðinum. Þessir fánar eru sjálfkrafa afritaðir í stillingarbitastraumana.
Þú getur framfylgt varanlega öryggisvalkostum á tæki með því að nota samsvarandi öryggisstillingu eFuse.
Til að nota einhverjar öryggisstillingar í stillingarbitastraumnum eða eFuses tækisins verður þú að virkja auðkenningareiginleikann.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 57

5. Ítarlegir eiginleikar 683823 | 2023.05.23
5.7.1. Val og virkja öryggisvalkosti
Til að velja og virkja öryggisvalkosti, gerðu eftirfarandi: Í valmyndinni Verkefni, veldu Tæki Tæki og PIN-valkostir Öryggi Fleiri valkostir... Mynd 22. Val og virkja öryggisvalkosti

Og veldu síðan gildin úr fellilistanum fyrir öryggisvalkostina sem þú vilt virkja eins og sýnt er í eftirfarandi dæmiample:
Mynd 23. Values fyrir öryggisvalkosti

Intel Agilex® 7 Device Security Notendahandbók 58

Sendu athugasemdir

5. Ítarlegir eiginleikar 683823 | 2023.05.23
Eftirfarandi eru samsvarandi breytingar á Quartus Prime Settings .qsf file:
set_global_assignment -nafn SECU_OPTION_DISABLE_JTAG „Við athugun“ set_global_assignment -name secu_option_force_encryption_key_update “á Sticky” Set_global_assignment -name secu_option_force_sdm_clock_to_int_osc á set_global_assignment -name secu_option_disable_svirtual_efuses á set_global_ Ecurity_efuses á set_global_assignment -name secu_option_disable_hps_debug á set_global_assignment -name secu_option_disable_encryption_key_in_efuses on set_global_assignment -name secu_option_disable_encyption_key_in_efuse á set_global ABLE_ENCRYPTION_KEY_IN_EFUS ON SET_GLOBAL_ASSIGNMENT -NAME SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -nafn SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -nafn SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 59

683823 | 2023.05.23 Senda athugasemd

Úrræðaleit

Þessi kafli lýsir algengum villum og viðvörunarskilaboðum sem þú gætir rekist á þegar þú reynir að nota öryggiseiginleika tækisins og ráðstafanir til að leysa úr þeim.
6.1. Notkun Quartus skipana í Windows umhverfi villa
Villa quartus_pgm: skipun fannst ekki Lýsing Þessi villa birtist þegar reynt er að nota Quartus skipanir í NIOS II skel í Windows umhverfi með því að nota WSL. Upplausn Þessi skipun virkar í Linux umhverfi; Fyrir Windows vélar, notaðu eftirfarandi skipun: quartus_pgm.exe -h Á sama hátt, notaðu sömu setningafræði fyrir aðrar Quartus Prime skipanir eins og quartus_pfg, quartus_sign, quartus_encrypt meðal annarra skipana.

ISO 9001:2015 Skráð

6. Bilanaleit 683823 | 2023.05.23

6.2. Búa til einkalyklaviðvörun

Viðvörun:

Tilgreint lykilorð er talið óöruggt. Intel mælir með því að nota að minnsta kosti 13 stafir af lykilorði. Mælt er með því að breyta lykilorðinu með því að nota OpenSSL executable.

openssl ec -in -út -aes256

Lýsing
Þessi viðvörun tengist styrkleika lykilorðsins og birtist þegar reynt er að búa til einkalykil með því að gefa út eftirfarandi skipanir:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Upplausn Notaðu openssl executable til að tilgreina lengra og þar með sterkara lykilorð.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 61

6. Bilanaleit 683823 | 2023.05.23
6.3. Að bæta undirritunarlykli við Quartus verkefnisvilluna
Villa…File inniheldur upplýsingar um rótarlykil...
Lýsing
Eftir að hafa bætt við undirskriftarlykli .qky file við Quartus verkefnið þarftu að setja saman .sof file. Þegar þú bætir þessu endurmyndaða .sof file við valið tæki með því að nota Quartus forritara, eftirfarandi villuboð gefa til kynna að file inniheldur upplýsingar um rótarlykil:
Ekki tókst að bæta viðfile-path-name> til forritara. The file inniheldur upplýsingar um rótarlykil (.qky). Hins vegar styður forritari ekki bitastraums undirskriftaraðgerð. Þú getur notað Forritun File Rafall til að umbreyta file til undirritaðs Raw Binary file (.rbf) fyrir uppsetningu.
Upplausn
Notaðu Quartus forritunina file rafall til að umbreyta file inn í undirritaðan Raw Binary File .rbf fyrir uppsetningu.
Tengdar upplýsingar Undirritunarstillingar bitastraumur Notkun quartus_sign skipunarinnar á síðu 13

Intel Agilex® 7 Device Security Notendahandbók 62

Sendu athugasemdir

6. Bilanaleit 683823 | 2023.05.23
6.4. Búa til Quartus Prime forritun File var árangurslaus
Villa
Villa (20353): X af opinberum lykli frá QKY passar ekki við einkalykil frá PEM file.
Villa (20352): Mistókst að undirrita bitastrauminn í gegnum python skriftu agilex_sign.py.
Villa: Quartus Prime forritun File Rafall tókst ekki.
Lýsing Ef þú reynir að undirrita stillingarbitastraum með því að nota rangan einkalykil .pem file eða .pem file sem passar ekki við .qky sem bætt var við verkefnið, birtast algengar villur hér að ofan. Upplausn Gakktu úr skugga um að þú notir réttan einkalykil .pem til að undirrita bitastrauminn.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 63

6. Bilanaleit 683823 | 2023.05.23
6.5. Óþekktar rökvillur
Villa
Villa (23028): Óþekkt rök “ûc”. Vísaðu til –hjálp fyrir lagaleg rök.
Villa (213008): Forritunarmöguleikastrengur „ûp“ er ólöglegur. Sjá –hjálp fyrir lögleg forritunarvalkostasnið.
Lýsing Ef þú afritar og límir skipanalínuvalkosti úr .pdf file í Windows NIOS II skelinni gætirðu rekist á óþekktar rökvillur eins og sýnt er hér að ofan. Upplausn Í slíkum tilvikum geturðu slegið inn skipanirnar handvirkt í stað þess að líma af klippiborðinu.

Intel Agilex® 7 Device Security Notendahandbók 64

Sendu athugasemdir

6. Bilanaleit 683823 | 2023.05.23
6.6. Bitstraums dulkóðunarvalkostur óvirkur Villa
Villa
Get ekki gengið frá dulkóðuninni fyrir file hannaðu .sof vegna þess að það var sett saman með bitastraums dulkóðunarvalkostinn óvirkan.
Lýsing Ef þú reynir að dulkóða bitastrauminn í gegnum GUI eða skipanalínu eftir að þú hefur sett saman verkefnið með bitastraumsdulkóðunarvalkostinn óvirkan, hafnar Quartus skipuninni eins og sýnt er hér að ofan.
Upplausn Gakktu úr skugga um að þú setjir verkefnið saman með bitastraums dulkóðunarvalkostinum virkan annað hvort í gegnum GUI eða skipanalínu. Til að virkja þennan valkost í GUI, verður þú að haka í gátreitinn fyrir þennan valkost.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 65

6. Bilanaleit 683823 | 2023.05.23
6.7. Tilgreinir rétta slóð að lyklinum
Villa
Villa (19516): Uppgötvuð forritun File Villa stillingar fyrir rafall: Finn ekki 'lykill_file'. Gakktu úr skugga um að file er staðsett á væntanlegum stað eða uppfærðu setting.sec
Villa (19516): Uppgötvuð forritun File Villa stillingar fyrir rafall: Finn ekki 'lykill_file'. Gakktu úr skugga um að file er staðsett á væntanlegum stað eða uppfærðu stillinguna.
Lýsing
Ef þú ert að nota lykla sem eru geymdir á file kerfi, þú þarft að tryggja að þeir tilgreini rétta slóðina fyrir lyklana sem notaðir eru fyrir bitastraumsdulkóðun og undirskrift. Ef Forritun File Rafall getur ekki greint réttu leiðina, villuboðin hér að ofan birtast.
Upplausn
Sjá Quartus Prime stillingar .qsf file til að finna réttar slóðir fyrir lyklana. Gakktu úr skugga um að þú notir afstæðar slóðir í stað algildra slóða.

Intel Agilex® 7 Device Security Notendahandbók 66

Sendu athugasemdir

6. Bilanaleit 683823 | 2023.05.23
6.8. Að nota óstudd úttak File Tegund
Villa
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=skilti_einka.pem
Villa (19511): Óstudd framleiðsla file gerð (ebf). Notaðu "-l" eða "–list" valkostinn til að sýna studd file tegund upplýsingar.
Lýsing Þegar Quartus forritun er notuð File Rafall til að búa til dulkóðaða og undirritaða stillingarbitastrauminn, þú gætir séð ofangreinda villu ef óstudd úttak file gerð er tilgreind. Upplausn Notaðu -l eða -list valkostinn til að sjá listann yfir studdar file tegundir.

Sendu athugasemdir

Intel Agilex® 7 Device Security Notendahandbók 67

683823 | 2023.05.23 Senda athugasemd
7. Intel Agilex 7 Device Security User Guide Archives
Fyrir nýjustu og fyrri útgáfur þessarar notendahandbókar, sjá Intel Agilex 7 Device Security User Guide. Ef IP- eða hugbúnaðarútgáfa er ekki á listanum gildir notendahandbók fyrir fyrri IP- eða hugbúnaðarútgáfu.

ISO 9001:2015 Skráð

683823 | 2023.05.23 Senda athugasemd

8. Endurskoðunarsaga fyrir Intel Agilex 7 Device Security notandahandbók

Skjalútgáfa 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Skjöl / auðlindir

Intel Agilex 7 tækjaöryggi [pdfNotendahandbók
Agilex 7 Tækjaöryggi, Agilex 7, Tækjaöryggi, Öryggi

Heimildir

Notendahandbók

Intel Agilex 7 tækjaöryggi

Upplýsingar um vöru

Notkunarleiðbeiningar fyrir vöru

Algengar spurningar

Öryggi tækis lokiðview

Staðfesting og heimild

AES bitastraums dulkóðun

Úthlutun tækis

Ítarlegir eiginleikar

Úrræðaleit

Skjöl / auðlindir

Heimildir

Skildu eftir athugasemd

Hætta við svar