Manual Pengguna Keselamatan Peranti Intel Agilex 7

Intel komited terhadap keselamatan produk dan mengesyorkan pengguna untuk membiasakan diri dengan sumber keselamatan produk yang disediakan. Sumber ini harus digunakan sepanjang hayat produk Intel.

2. Ciri Keselamatan Terancang

Ciri keselamatan berikut dirancang untuk keluaran masa depan perisian Intel Quartus Prime Pro Edition:

Pengesahan Keselamatan Aliran Bit Konfigurasi Semula Separa: Memberi jaminan tambahan bahawa aliran bit Konfigurasi Semula Separa (PR) tidak boleh mengakses atau mengganggu aliran bit persona PR yang lain.

Bunuh Diri Peranti untuk Anti-T Fizikalamper: Melakukan pengelapan peranti atau tindak balas sifar peranti dan atur cara eFuses untuk menghalang peranti daripada mengkonfigurasi semula.

3. Dokumentasi Keselamatan Tersedia

Jadual berikut menyenaraikan dokumentasi yang tersedia untuk ciri keselamatan peranti pada peranti Intel FPGA dan Structured ASIC:

Nama Dokumen	Tujuan
Metodologi Keselamatan untuk Intel FPGA dan Pengguna ASIC Berstruktur Panduan	Dokumen peringkat atas yang menyediakan penerangan terperinci tentang ciri dan teknologi keselamatan dalam Intel Programmable Solutions Produk. Membantu pengguna memilih ciri keselamatan yang diperlukan untuk memenuhi objektif keselamatan mereka.
Panduan Pengguna Keselamatan Peranti Intel Stratix 10	Arahan untuk pengguna peranti Intel Stratix 10 untuk dilaksanakan ciri keselamatan yang dikenal pasti menggunakan Metodologi Keselamatan Panduan Pengguna.
Panduan Pengguna Keselamatan Peranti Intel Agilex 7	Arahan untuk pengguna peranti Intel Agilex 7 untuk dilaksanakan ciri keselamatan yang dikenal pasti menggunakan Metodologi Keselamatan Panduan Pengguna.
Panduan Pengguna Keselamatan Peranti Intel eASIC N5X	Arahan untuk pengguna peranti Intel eASIC N5X untuk dilaksanakan ciri keselamatan yang dikenal pasti menggunakan Metodologi Keselamatan Panduan Pengguna.
Perkhidmatan Kriptografi Intel Agilex 7 dan Intel eASIC N5X HPS Panduan Pengguna	Maklumat untuk jurutera perisian HPS mengenai pelaksanaan dan penggunaan perpustakaan perisian HPS untuk mengakses perkhidmatan kriptografi disediakan oleh SDM.
Panduan Mula Pantas Perkhidmatan Peruntukan Kunci Hitam AN-968	Set lengkap langkah untuk menyediakan Peruntukan Kunci Hitam perkhidmatan.

Soalan Lazim

S: Apakah tujuan Panduan Pengguna Metodologi Keselamatan?

J: Panduan Pengguna Metodologi Keselamatan menyediakan penerangan terperinci tentang ciri dan teknologi keselamatan dalam Produk Penyelesaian Boleh Aturcara Intel. Ia membantu pengguna memilih ciri keselamatan yang diperlukan untuk memenuhi objektif keselamatan mereka.

S: Di manakah saya boleh mencari Panduan Pengguna Keselamatan Peranti Intel Agilex 7?

J: Panduan Pengguna Keselamatan Peranti Intel Agilex 7 boleh didapati di Pusat Sumber dan Reka Bentuk Intel webtapak.

S: Apakah perkhidmatan Black Key Provisioning?

J: Perkhidmatan Black Key Provisioning ialah perkhidmatan yang menyediakan set lengkap langkah untuk menyediakan peruntukan utama untuk operasi yang selamat.

View Fullscreen

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7
Dikemas kini untuk Suite Reka Bentuk Perdana Intel® Quartus®: 23.1

Versi Dalam Talian Hantar Maklum Balas

UG-20335

683823 2023.05.23

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 2

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 3

683823 | 2023.05.23 Hantar Maklum Balas
1. Intel Agilex® 7

Keselamatan Peranti Selesaiview

Intel® mereka bentuk peranti Intel Agilex® 7 dengan perkakasan dan perisian tegar keselamatan yang berdedikasi dan boleh dikonfigurasikan tinggi.
Dokumen ini mengandungi arahan untuk membantu anda menggunakan perisian Intel Quartus® Prime Pro Edition untuk melaksanakan ciri keselamatan pada peranti Intel Agilex 7 anda.
Selain itu, Metodologi Keselamatan untuk Intel FPGA dan Panduan Pengguna ASIC Berstruktur tersedia di Pusat Sumber & Reka Bentuk Intel. Dokumen ini mengandungi penerangan terperinci tentang ciri dan teknologi keselamatan yang tersedia melalui produk Intel Programmable Solutions untuk membantu anda memilih ciri keselamatan yang diperlukan untuk memenuhi objektif keselamatan anda. Hubungi Sokongan Intel dengan nombor rujukan 14014613136 untuk mengakses Metodologi Keselamatan untuk Intel FPGA dan Panduan Pengguna ASIC Berstruktur.
Dokumen ini disusun seperti berikut: · Pengesahan dan Kebenaran: Menyediakan arahan untuk mencipta
kunci pengesahan dan rantai tandatangan, gunakan kebenaran dan pembatalan, tandatangan objek dan ciri pengesahan program pada peranti Intel Agilex 7. · Penyulitan AES Bitstream: Menyediakan arahan untuk mencipta kunci akar AES, menyulitkan aliran bit konfigurasi dan menyediakan kunci akar AES kepada peranti Intel Agilex 7. · Peruntukan Peranti: Menyediakan arahan untuk menggunakan perisian tegar peruntukan Intel Quartus Prime Programmer dan Secure Device Manager (SDM) untuk memprogramkan ciri keselamatan pada peranti Intel Agilex 7. · Ciri Lanjutan: Menyediakan arahan untuk mendayakan ciri keselamatan lanjutan, termasuk kebenaran nyahpepijat selamat, nyahpepijat Sistem Pemproses Keras (HPS) dan kemas kini sistem jauh.
1.1. Komitmen terhadap Keselamatan Produk
Komitmen berpanjangan Intel terhadap keselamatan tidak pernah lebih kuat. Intel amat mengesyorkan agar anda membiasakan diri dengan sumber keselamatan produk kami dan merancang untuk menggunakannya sepanjang hayat produk Intel anda.
Maklumat Berkaitan · Keselamatan Produk di Intel · Nasihat Pusat Keselamatan Produk Intel

Perbadanan Intel. Hak cipta terpelihara. Intel, logo Intel dan tanda Intel lain ialah tanda dagangan Intel Corporation atau anak syarikatnya. Intel menjamin prestasi produk FPGA dan semikonduktornya mengikut spesifikasi semasa menurut waranti standard Intel, tetapi berhak untuk membuat perubahan pada mana-mana produk dan perkhidmatan pada bila-bila masa tanpa notis. Intel tidak memikul tanggungjawab atau liabiliti yang timbul daripada aplikasi atau penggunaan mana-mana maklumat, produk atau perkhidmatan yang diterangkan di sini kecuali seperti yang dipersetujui secara bertulis oleh Intel. Pelanggan Intel dinasihatkan untuk mendapatkan versi terkini spesifikasi peranti sebelum bergantung pada sebarang maklumat yang diterbitkan dan sebelum membuat pesanan untuk produk atau perkhidmatan. *Nama dan jenama lain boleh dituntut sebagai hak milik orang lain.

ISO 9001:2015 Berdaftar

1. Keselamatan Peranti Intel Agilex® 7 Selesaiview 683823 | 2023.05.23

1.2. Ciri Keselamatan Terancang

Ciri yang dinyatakan dalam bahagian ini dirancang untuk keluaran perisian Intel Quartus Prime Pro Edition pada masa hadapan.

Nota:

Maklumat dalam bahagian ini adalah awal.

1.2.1. Pengesahan Keselamatan Bitstream Konfigurasi Semula Separa
Pengesahan keselamatan aliran bit konfigurasi semula separa (PR) membantu memberikan jaminan tambahan bahawa aliran bit persona PR tidak boleh mengakses atau mengganggu aliran bit persona PR yang lain.

1.2.2. Bunuh Diri Peranti untuk Anti-T Fizikalamper
Pembunuhan diri peranti melakukan lap peranti atau tindak balas sifar peranti dan juga memprogramkan eFuses untuk menghalang peranti daripada mengkonfigurasi semula.

1.3. Dokumentasi Keselamatan Tersedia

Jadual berikut menyenaraikan dokumentasi yang tersedia untuk ciri keselamatan peranti pada peranti Intel FPGA dan Structured ASIC:

Jadual 1.

Dokumentasi Keselamatan Peranti Tersedia

Nama Dokumen
Metodologi Keselamatan untuk Intel FPGA dan Panduan Pengguna ASIC Berstruktur

Tujuan
Dokumen peringkat atas yang mengandungi penerangan terperinci tentang ciri dan teknologi keselamatan dalam Produk Penyelesaian Boleh Aturcara Intel. Bertujuan untuk membantu anda memilih ciri keselamatan yang diperlukan untuk memenuhi objektif keselamatan anda.

ID Dokumen 721596

Panduan Pengguna Keselamatan Peranti Intel Stratix 10
Panduan Pengguna Keselamatan Peranti Intel Agilex 7

Bagi pengguna peranti Intel Stratix 10, panduan ini mengandungi arahan untuk menggunakan perisian Intel Quartus Prime Pro Edition untuk melaksanakan ciri keselamatan yang dikenal pasti menggunakan Panduan Pengguna Metodologi Keselamatan.
Bagi pengguna peranti Intel Agilex 7, panduan ini mengandungi arahan untuk menggunakan perisian Intel Quartus Prime Pro Edition untuk melaksanakan ciri keselamatan yang dikenal pasti menggunakan Panduan Pengguna Metodologi Keselamatan.

683642 683823

Panduan Pengguna Keselamatan Peranti Intel eASIC N5X

Bagi pengguna peranti Intel eASIC N5X, panduan ini mengandungi arahan untuk menggunakan perisian Intel Quartus Prime Pro Edition untuk melaksanakan ciri keselamatan yang dikenal pasti menggunakan Panduan Pengguna Metodologi Keselamatan.

626836

Panduan Pengguna Perkhidmatan Kriptografi Intel Agilex 7 dan Intel eASIC N5X HPS

Panduan ini mengandungi maklumat untuk membantu jurutera perisian HPS dalam pelaksanaan dan penggunaan perpustakaan perisian HPS untuk mengakses perkhidmatan kriptografi yang disediakan oleh SDM.

713026

Panduan Mula Pantas Perkhidmatan Peruntukan Kunci Hitam AN-968

Panduan ini mengandungi set langkah lengkap untuk menyediakan perkhidmatan Black Key Provisioning.

739071

Lokasi Sumber Intel dan
Pusat Reka Bentuk
Intel.com
Intel.com
Pusat Sumber dan Reka Bentuk Intel
Pusat Sumber dan Reka Bentuk Intel
Pusat Sumber dan Reka Bentuk Intel

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 5

683823 | 2023.05.23 Hantar Maklum Balas

Pengesahan dan Kebenaran

Untuk mendayakan ciri pengesahan peranti Intel Agilex 7, anda mulakan dengan menggunakan perisian Intel Quartus Prime Pro Edition dan alatan yang berkaitan untuk membina rantai tandatangan. Rantaian tandatangan terdiri daripada kunci akar, satu atau lebih kunci tandatangan dan kebenaran yang berkenaan. Anda menggunakan rantaian tandatangan pada projek Intel Quartus Prime Pro Edition anda dan pengaturcaraan yang disusun files. Gunakan arahan dalam Peruntukan Peranti untuk memprogramkan kunci akar anda ke dalam peranti Intel Agilex 7.
Maklumat Berkaitan
Peruntukan Peranti pada halaman 25

2.1. Mencipta Rantaian Tandatangan
Anda boleh menggunakan alat quartus_sign atau pelaksanaan rujukan agilex_sign.py untuk melaksanakan operasi rantaian tandatangan. Dokumen ini menyediakan examples menggunakan quartus_sign.
Untuk menggunakan pelaksanaan rujukan, anda menggantikan panggilan kepada penterjemah Python yang disertakan dengan perisian Intel Quartus Prime dan meninggalkan pilihan –family=agilex; semua pilihan lain adalah setara. Untuk example, perintah quartus_sign ditemui kemudian dalam bahagian ini
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky boleh ditukar kepada panggilan yang setara dengan pelaksanaan rujukan seperti berikut
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Perisian Intel Quartus Prime Pro Edition termasuk alatan quartus_sign, pgm_py dan agilex_sign.py. Anda boleh menggunakan alat shell perintah Nios® II, yang secara automatik menetapkan pembolehubah persekitaran yang sesuai untuk mengakses alatan.

Ikut arahan ini untuk memaparkan shell arahan Nios II. 1. Kemukakan shell arahan Nios II.

Windows Pilihan
Linux

Penerangan
Pada menu Mula, tuding ke Program Intel FPGA Nios II EDS dan klik Nios II Command Shell.
Dalam perintah shell tukar kepada /nios2eds dan jalankan arahan berikut:
./nios2_command_shell.sh

bekas ituamples dalam bahagian ini menganggap rantaian tandatangan dan aliran bit konfigurasi files terletak dalam direktori kerja semasa. Jika anda memilih untuk mengikut bekasamples mana kunci files disimpan pada file sistem, bekas ituampkurang anggap kunci files ialah

ISO 9001:2015 Berdaftar

2. Pengesahan dan Kebenaran 683823 | 2023.05.23
terdapat dalam direktori kerja semasa. Anda boleh memilih direktori yang hendak digunakan, dan alat menyokong relatif file laluan. Jika anda memilih untuk menyimpan kunci files pada file sistem, anda mesti berhati-hati mengurus kebenaran akses kepada mereka files.
Intel mengesyorkan bahawa Modul Keselamatan Perkakasan (HSM) yang tersedia secara komersial digunakan untuk menyimpan kunci kriptografi dan melaksanakan operasi kriptografi. Alat quartus_sign dan pelaksanaan rujukan termasuk Public Key Cryptography Standard #11 (PKCS #11) Application Programming Interface (API) untuk berinteraksi dengan HSM semasa menjalankan operasi rantaian tandatangan. Pelaksanaan rujukan agilex_sign.py termasuk abstrak antara muka serta bekasampantara muka kepada SoftHSM.
Anda boleh menggunakan bekas iniampantara muka untuk melaksanakan antara muka pada HSM anda. Rujuk dokumentasi daripada vendor HSM anda untuk mendapatkan maklumat lanjut tentang melaksanakan antara muka dan mengendalikan HSM anda.
SoftHSM ialah pelaksanaan perisian peranti kriptografi generik dengan antara muka PKCS #11 yang disediakan oleh projek OpenDNSSEC®. Anda mungkin mendapatkan lebih banyak maklumat, termasuk arahan tentang cara memuat turun, membina dan memasang OpenHSM, di projek OpenDNSSEC. bekas ituamples dalam bahagian ini menggunakan SoftHSM versi 2.6.1. bekas ituamples dalam bahagian ini tambahan menggunakan utiliti pkcs11-tool daripada OpenSC untuk melaksanakan operasi PKCS #11 tambahan dengan token SoftHSM. Anda mungkin mendapatkan lebih banyak maklumat, termasuk arahan tentang cara memuat turun, membina dan memasang pkcs11tool daripada OpenSC.
Maklumat Berkaitan
· Projek OpenDNSSEC Penandatangan zon berasaskan dasar untuk mengautomasikan proses penjejakan kunci DNSSEC.
· SoftHSM Maklumat tentang pelaksanaan stor kriptografi yang boleh diakses melalui antara muka PKCS #11.
· OpenSC Menyediakan set perpustakaan dan utiliti yang boleh berfungsi dengan kad pintar.
2.1.1. Mencipta Pasangan Kunci Pengesahan pada Tempatan File Sistem
Anda menggunakan alat quartus_sign untuk mencipta pasangan kunci pengesahan pada setempat file sistem menggunakan operasi alat make_private_pem dan make_public_pem. Anda mula-mula menjana kunci peribadi dengan operasi make_private_pem. Anda menentukan lengkung elips untuk digunakan, kunci peribadi filenama, dan secara pilihan sama ada untuk melindungi kunci peribadi dengan frasa laluan. Intel mengesyorkan penggunaan keluk secp384r1 dan mengikuti amalan terbaik industri untuk mencipta frasa laluan rawak yang kukuh pada semua kunci peribadi files. Intel juga mengesyorkan mengehadkan file kebenaran sistem pada kunci persendirian .pem files untuk dibaca oleh pemilik sahaja. Anda memperoleh kunci awam daripada kunci peribadi dengan operasi make_public_pem. Adalah berguna untuk menamakan kunci .pem files secara deskriptif. Dokumen ini menggunakan konvensyen _ .pem dalam ex berikutamples.
1. Dalam shell arahan Nios II, jalankan arahan berikut untuk mencipta kunci peribadi. Kunci persendirian, ditunjukkan di bawah, digunakan sebagai kunci akar dalam ex kemudianamples yang mencipta rantaian tandatangan. Peranti Intel Agilex 7 menyokong berbilang kunci akar, jadi anda

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 7

2. Pengesahan dan Kebenaran 683823 | 2023.05.23

ulangi langkah ini untuk mencipta bilangan kunci akar yang anda perlukan. Cthamples dalam dokumen ini semuanya merujuk kepada kunci akar pertama, walaupun anda boleh membina rantaian tandatangan dengan cara yang sama dengan mana-mana kunci akar.

Pilihan Dengan frasa laluan

Penerangan
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Masukkan frasa laluan apabila digesa untuk berbuat demikian.

Tanpa frasa laluan

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Jalankan arahan berikut untuk mencipta kunci awam menggunakan kunci persendirian yang dijana dalam langkah sebelumnya. Anda tidak perlu melindungi kerahsiaan kunci awam.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Jalankan arahan sekali lagi untuk mencipta pasangan kunci yang digunakan sebagai kunci tandatangan reka bentuk dalam rantai tandatangan.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Mencipta Pasangan Kunci Pengesahan dalam SoftHSM
SoftHSM examples dalam bab ini adalah konsisten diri. Parameter tertentu bergantung pada pemasangan SoftHSM anda dan permulaan token dalam SoftHSM.
Alat quartus_sign bergantung pada perpustakaan API PKCS #11 daripada HSM anda.
bekas ituamples dalam bahagian ini menganggap bahawa perpustakaan SoftHSM dipasang ke salah satu lokasi berikut: · /usr/local/lib/softhsm2.so pada Linux · C:SoftHSM2libsofthsm2.dll pada versi 32-bit Windows · C:SoftHSM2libsofthsm2-x64 .dll pada versi 64-bit Windows.
Mulakan token dalam SoftHSM menggunakan alat softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –percuma
Parameter pilihan, terutamanya label token dan pin token adalah exampdigunakan sepanjang bab ini. Intel mengesyorkan agar anda mengikut arahan daripada vendor HSM anda untuk mencipta dan mengurus token dan kunci.
Anda mencipta pasangan kunci pengesahan menggunakan utiliti alat pkcs11 untuk berinteraksi dengan token dalam SoftHSM. Daripada merujuk secara eksplisit kepada kunci peribadi dan awam .pem files dalam file sistem exampOleh itu, anda merujuk pada pasangan kunci mengikut labelnya dan alat memilih kunci yang sesuai secara automatik.

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 8

Hantar Maklum Balas

2. Pengesahan dan Kebenaran 683823 | 2023.05.23

Jalankan arahan berikut untuk mencipta pasangan kunci yang digunakan sebagai kunci akar dalam ex kemudianamples serta pasangan kunci yang digunakan sebagai kunci tandatangan reka bentuk dalam rantaian tandatangan:
pkcs11-tool –modul=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –log masuk –pin agilex-token-pin –keypairgen –mekanisme ECDSA-KEY-PAIR-GEN –kunci-jenis EC :secp384r1 –tanda-penggunaan –label root0 –id 0
pkcs11-tool –modul=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –log masuk –pin agilex-token-pin –keypairgen –mekanisme ECDSA-KEY-PAIR-GEN –kunci-jenis EC :secp384r1 –tanda-penggunaan –reka bentuk label0_tanda –id 1

Nota:

Pilihan ID dalam langkah ini mestilah unik untuk setiap kunci, tetapi ia hanya digunakan oleh HSM. Pilihan ID ini tidak berkaitan dengan ID pembatalan kunci yang diberikan dalam rantaian tandatangan.

2.1.3. Mencipta Entri Akar Rantaian Tandatangan
Tukar kunci awam akar menjadi entri akar rantai tandatangan, disimpan pada tempatan file sistem dalam format kunci Intel Quartus Prime (.qky). file, dengan operasi make_root. Ulangi langkah ini untuk setiap kunci akar yang anda hasilkan.
Jalankan arahan berikut untuk mencipta rantaian tandatangan dengan entri akar, menggunakan kunci awam akar daripada file sistem:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
Jalankan arahan berikut untuk mencipta rantaian tandatangan dengan entri akar, menggunakan kekunci akar daripada token SoftHSM yang ditubuhkan di bahagian sebelumnya:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so ” root0 root0.qky

2.1.4. Mencipta Kemasukan Kunci Awam Rantaian Tandatangan
Buat entri kunci awam baharu untuk rantaian tandatangan dengan operasi append_key. Anda menentukan rantaian tandatangan terdahulu, kunci peribadi untuk entri terakhir dalam rantaian tandatangan sebelumnya, kunci awam peringkat seterusnya, kebenaran dan ID pembatalan yang anda berikan kepada kunci awam peringkat seterusnya dan rantaian tandatangan baharu file.
Perhatikan bahawa perpustakaan softHSM tidak tersedia dengan pemasangan Quartus dan sebaliknya perlu dipasang secara berasingan. Untuk maklumat lanjut tentang softHSM rujuk Bahagian Mencipta Rantaian Tandatangan di atas.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 9

2. Pengesahan dan Kebenaran 683823 | 2023.05.23
Bergantung pada penggunaan kunci anda pada file sistem atau dalam HSM, anda menggunakan salah satu daripada contoh berikutample arahan untuk menambahkan kunci awam design0_sign ke rantai tandatangan akar yang dibuat di bahagian sebelumnya:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Anda boleh mengulangi operasi append_key sehingga dua kali lagi untuk maksimum tiga entri kunci awam antara entri akar dan entri blok pengepala dalam mana-mana satu rantaian tandatangan.
Ex berikutampSaya menganggap anda mencipta kunci awam pengesahan lain dengan kebenaran yang sama dan menetapkan ID pembatalan 1 yang dipanggil design1_sign_public.pem, dan menambahkan kunci ini pada rantaian tandatangan daripada bekas sebelumnyaample:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Peranti Intel Agilex 7 termasuk kaunter pembatalan kunci tambahan untuk memudahkan penggunaan kunci yang mungkin berubah secara berkala sepanjang hayat peranti tertentu. Anda boleh memilih kaunter pembatalan kunci ini dengan menukar hujah pilihan –batal kepada pts:pts_value.
2.2. Menandatangani Aliran Bit Konfigurasi
Peranti Intel Agilex 7 menyokong kaunter Nombor Versi Keselamatan (SVN), yang membolehkan anda membatalkan kebenaran objek tanpa membatalkan kunci. Anda menetapkan pembilang SVN dan nilai pembilang SVN yang sesuai semasa menandatangani sebarang objek, seperti bahagian aliran bit, perisian tegar .zip file, atau sijil padat. Anda menetapkan pembilang SVN dan nilai SVN menggunakan pilihan –batal dan svn_counter:svn_value sebagai hujah. Nilai sah untuk svn_counter ialah svnA, svnB, svnC dan svnD. svn_value ialah integer dalam julat [0,63].

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 10

Hantar Maklum Balas

2. Pengesahan dan Kebenaran 683823 | 2023.05.23
2.2.1. Kunci Quartus File Tugasan
Anda menentukan rantaian tandatangan dalam projek perisian Intel Quartus Prime anda untuk mendayakan ciri pengesahan untuk reka bentuk tersebut. Daripada menu Tugasan, pilih Peranti Peranti dan Pilihan Pin Kunci Kuartus Keselamatan File, kemudian semak imbas ke rantaian tandatangan .qky file anda buat untuk menandatangani reka bentuk ini.
Rajah 1. Dayakan Tetapan Aliran Bit Konfigurasi

Sebagai alternatif, anda boleh menambah pernyataan tugasan berikut pada Tetapan Intel Quartus Prime anda file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
Untuk menjana .sof file daripada reka bentuk yang telah disusun sebelum ini, yang termasuk tetapan ini, daripada menu Pemprosesan, pilih Mulakan Pemasang Mula. Keluaran baharu .sof file termasuk tugasan untuk mendayakan pengesahan dengan rantaian tandatangan yang disediakan.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 11

2. Pengesahan dan Kebenaran 683823 | 2023.05.23
2.2.2. Perisian Tegar SDM Menandatangani Bersama
Anda menggunakan alat quartus_sign untuk mengekstrak, menandatangani dan memasang perisian tegar SDM yang berkenaan .zip file. Firmware yang ditandatangani bersama kemudiannya disertakan oleh pengaturcaraan file alat penjana apabila anda menukar .sof file ke dalam aliran bit konfigurasi .rbf file. Anda menggunakan arahan berikut untuk mencipta rantai tandatangan baharu dan menandatangani perisian tegar SDM.
1. Buat pasangan kunci tandatangan baharu.
a. Buat pasangan kunci tandatangan baharu pada file sistem:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Buat pasangan kunci tandatangan baharu dalam HSM:
pkcs11-tool –modul=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –log masuk –pin agilex-token-pin –keypairgen -mekanisme ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –tanda-penggunaan –label firmware1 –id 1
2. Buat rantaian tandatangan baharu yang mengandungi kunci awam baharu:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Salin perisian tegar .zip file daripada direktori pemasangan perisian Intel Quartus Prime Pro Edition anda ( /devices/programmer/firmware/ agilex.zip) ke direktori kerja semasa.
quartus_sign –family=agilex –get_firmware=.
4. Tandatangani perisian tegar .zip file. Alat ini secara automatik membongkar .zip file dan secara individu menandatangani semua firmware .cmf files, kemudian membina semula .zip file untuk digunakan oleh alatan dalam bahagian berikut:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 12

Hantar Maklum Balas

2. Pengesahan dan Kebenaran 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Menandatangani Aliran Bit Konfigurasi Menggunakan Perintah quartus_sign
Untuk menandatangani aliran bit konfigurasi menggunakan arahan quartus_sign, anda mula-mula menukar .sof file kepada binari mentah yang tidak ditandatangani file (.rbf) format. Anda boleh secara pilihan menentukan perisian tegar yang ditandatangani bersama menggunakan pilihan fw_source semasa langkah penukaran.
Anda boleh menjana aliran bit mentah yang tidak ditandatangani dalam format .rbf menggunakan arahan berikut:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Jalankan salah satu daripada arahan berikut untuk menandatangani aliran bit menggunakan alat quartus_sign bergantung pada lokasi kunci anda:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Anda boleh menukar .rbf yang ditandatangani files kepada aliran bit konfigurasi lain file format.
Untuk example, jika anda menggunakan Jam* Standard Test and Programming Language Player (STAPL) untuk memprogram aliran bit ke atas JTAG, anda menggunakan arahan berikut untuk menukar .rbf file kepada format .jam yang diperlukan oleh Pemain STAPL Jam:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Sokongan Berbilang Pihak Berkuasa Konfigurasi Semula Separa

Peranti Intel Agilex 7 menyokong pengesahan berbilang kuasa konfigurasi semula separa, di mana pemilik peranti mencipta dan menandatangani aliran bit statik, dan pemilik PR yang berasingan mencipta dan menandatangani aliran bit PR persona. Peranti Intel Agilex 7 melaksanakan sokongan berbilang kuasa dengan memberikan slot kunci akar pengesahan pertama kepada peranti atau pemilik aliran bit statik dan memberikan slot kunci akar pengesahan akhir kepada pemilik aliran bit persona konfigurasi semula separa.
Jika ciri pengesahan didayakan, maka semua imej persona PR mesti ditandatangani, termasuk imej persona PR bersarang. Imej persona PR boleh ditandatangani sama ada oleh pemilik peranti atau oleh pemilik PR; walau bagaimanapun, aliran bit rantau statik mesti ditandatangani oleh pemilik peranti.

Nota:

Penyulitan statik dan persona konfigurasi semula separa apabila sokongan berbilang kuasa didayakan dirancang dalam keluaran masa hadapan.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 13

2. Pengesahan dan Kebenaran 683823 | 2023.05.23

Rajah 2.

Melaksanakan sokongan berbilang kuasa konfigurasi semula separa memerlukan beberapa langkah:
1. Pemilik peranti atau aliran bit statik menjana satu atau lebih kekunci akar pengesahan seperti yang diterangkan dalam Mencipta Pasangan Kunci Pengesahan dalam SoftHSM pada halaman 8, di mana pilihan –key_type mempunyai pemilik nilai.
2. Pemilik aliran bit konfigurasi semula separa menjana kunci akar pengesahan tetapi menukar nilai pilihan –key_type kepada secondary_owner.
3. Kedua-dua strim bit statik dan pemilik reka bentuk konfigurasi semula separa memastikan kotak semak Dayakan sokongan Berbilang Kuasa didayakan dalam tab Keselamatan Peranti Peranti Tugasan dan Pilihan Pin.
Intel Quartus Prime Dayakan Tetapan Pilihan Berbilang Autoriti

4. Kedua-dua aliran bit statik dan pemilik reka bentuk konfigurasi semula separa mencipta rantaian tandatangan berdasarkan kekunci akar masing-masing seperti yang diterangkan dalam Mencipta Rantaian Tandatangan pada halaman 6.
5. Kedua-dua aliran bit statik dan pemilik reka bentuk konfigurasi semula separa menukar reka bentuk yang disusun mereka kepada format .rbf files dan tandatangani .rbf files.
6. Pemilik peranti atau aliran bit statik menjana dan menandatangani sijil padat kebenaran program kunci awam PR.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –modul=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 14

Hantar Maklum Balas

2. Pengesahan dan Kebenaran 683823 | 2023.05.23

7. Peranti atau pemilik aliran bit statik memperuntukkan cincangan kunci akar pengesahan mereka kepada peranti, kemudian memprogramkan sijil padat keizinan program kunci awam PR, dan akhirnya memperuntukkan kunci akar pemilik aliran bit konfigurasi semula separa kepada peranti. Bahagian Peruntukan Peranti menerangkan proses penyediaan ini.
8. Peranti Intel Agilex 7 dikonfigurasikan dengan rantau statik .rbf file.
9. Peranti Intel Agilex 7 sebahagiannya dikonfigurasikan semula dengan reka bentuk persona .rbf file.
Maklumat Berkaitan
· Mencipta Rantaian Tandatangan pada halaman 6
· Mencipta Pasangan Kunci Pengesahan dalam SoftHSM pada halaman 8
· Peruntukan Peranti pada halaman 25

2.2.5. Mengesahkan Rantaian Tandatangan Bitstream Konfigurasi
Selepas anda membuat rantaian tandatangan dan aliran bit yang ditandatangani, anda boleh mengesahkan bahawa aliran bit yang ditandatangani mengkonfigurasi peranti yang diprogramkan dengan kunci akar yang diberikan dengan betul. Anda mula-mula menggunakan operasi fuse_info bagi arahan quartus_sign untuk mencetak cincang kunci awam akar kepada teks file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Anda kemudian menggunakan pilihan check_integrity perintah quartus_pfg untuk memeriksa rantai tandatangan pada setiap bahagian aliran bit yang ditandatangani dalam format .rbf. Pilihan check_integrity mencetak maklumat berikut:
· Status semakan integriti aliran bit keseluruhan
· Kandungan setiap entri dalam setiap rantaian tandatangan yang dilampirkan pada setiap bahagian dalam aliran bit .rbf file,
· Nilai fius yang dijangkakan untuk cincangan kunci awam akar untuk setiap rantaian tandatangan.
Nilai daripada output fuse_info harus sepadan dengan garis Fius dalam output check_integrity.
quartus_pfg –check_integrity signed_bitstream.rbf

Berikut adalah bekasample daripada keluaran arahan check_integrity:

Maklumat: Perintah: quartus_pfg –check_integrity signed_bitstream.rbf Status integriti: OK

Bahagian

Jenis: CMF

Deskriptor Tandatangan…

Rantaian tandatangan #0 (entri: -1, offset: 96)

Entri #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Hasilkan kunci…

Lengkung : secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Hasilkan kunci…

Lengkung : secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 15

2. Pengesahan dan Kebenaran 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Entri #1

Hasilkan kunci…

Lengkung : secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Kemasukan #2 Kebenaran rantai kunci: SIGN_CODE Rantai kunci boleh dibatalkan dengan ID: 3 Rantaian tandatangan #1 (entri: -1, offset: 648)

Entri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Hasilkan kunci…

Lengkung : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Hasilkan kunci…

Lengkung : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entri #1

Hasilkan kunci…

Lengkung : secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Entri #2

Hasilkan kunci…

Lengkung : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entri #3 Kebenaran rantai kunci: SIGN_CODE Rantai kunci boleh dibatalkan dengan ID: 15 Rantaian tandatangan #2 (entri: -1, offset: 0) Rantaian tandatangan #3 (entri: -1, offset: 0) Rantaian tandatangan #4 (entri: -1, offset: 0) Rantaian tandatangan #5 (entri: -1, offset: 0) Rantaian tandatangan #6 (entri: -1, offset: 0) Rantaian tandatangan #7 (entri: -1, offset: 0)

Jenis Bahagian: Deskriptor Tandatangan IO … Rantaian tandatangan #0 (entri: -1, offset: 96)

Entri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Hasilkan kunci…

Lengkung : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 16

Hantar Maklum Balas

2. Pengesahan dan Kebenaran 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Hasilkan kunci…

Lengkung : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entri #1

Hasilkan kunci…

Lengkung : secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entri #2

Hasilkan kunci…

Lengkung : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entri #3 Kebenaran rantai kunci: SIGN_CORE Rantai kunci boleh dibatalkan dengan ID: 15 Rantaian tandatangan #1 (entri: -1, offset: 0) Rantaian tandatangan #2 (entri: -1, offset: 0) Rantaian tandatangan #3 (entri: -1, mengimbangi: 0) Rantaian tandatangan #4 (entri: -1, mengimbangi: 0) Rantaian tandatangan #5 (entri: -1, mengimbangi: 0) Rantaian tandatangan #6 (entri: -1, mengimbangi: 0) Tandatangan rantaian #7 (entri: -1, offset: 0)

Bahagian

Jenis: HPS

Deskriptor Tandatangan…

Rantaian tandatangan #0 (entri: -1, offset: 96)

Entri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Hasilkan kunci…

Lengkung : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Hasilkan kunci…

Lengkung : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entri #1

Hasilkan kunci…

Lengkung : secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Entri #2

Hasilkan kunci…

Lengkung : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 17

2. Pengesahan dan Kebenaran 683823 | 2023.05.23

Keizinan Entri #3 Rantai Kunci: SIGN_HPS Rantai Kunci boleh dibatalkan dengan ID: 15 Rantaian tandatangan #1 (entri: -1, offset: 0) Rantaian tandatangan #2 (entri: -1, offset: 0) Rantaian tandatangan #3 (entri: -1, mengimbangi: 0) Rantaian tandatangan #4 (entri: -1, mengimbangi: 0) Rantaian tandatangan #5 (entri: -1, mengimbangi: 0) Rantaian tandatangan #6 (entri: -1, mengimbangi: 0) Tandatangan rantaian #7 (entri: -1, offset: 0)

Jenis Bahagian: Deskriptor Tandatangan TERAS … Rantaian tandatangan #0 (entri: -1, offset: 96)

Entri #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Hasilkan kunci…

Lengkung : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Hasilkan kunci…

Lengkung : secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entri #1

Hasilkan kunci…

Lengkung : secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entri #2

Hasilkan kunci…

Lengkung : secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 18

Hantar Maklum Balas

683823 | 2023.05.23 Hantar Maklum Balas

Penyulitan AES Bitstream

Penyulitan aliran bit Advanced Encryption Standard (AES) ialah ciri yang membolehkan pemilik peranti melindungi kerahsiaan harta intelek dalam aliran bit konfigurasi.
Untuk membantu melindungi kerahsiaan kunci, penyulitan aliran bit konfigurasi menggunakan rangkaian kunci AES. Kekunci ini digunakan untuk menyulitkan data pemilik dalam aliran bit konfigurasi, di mana kunci perantaraan pertama disulitkan dengan kunci akar AES.

3.1. Mencipta Kunci Akar AES

Anda boleh menggunakan alat quartus_encrypt atau pelaksanaan rujukan stratix10_encrypt.py untuk mencipta kunci akar AES dalam format kunci penyulitan perisian Intel Quartus Prime (.qek) file.

Nota:

The stratix10_encrypt.py file digunakan untuk peranti Intel Stratix® 10 dan Intel Agilex 7.

Anda boleh secara pilihan menentukan kunci asas yang digunakan untuk memperoleh kunci akar AES dan kunci terbitan kunci, nilai untuk kunci punca AES secara langsung, bilangan kunci perantaraan dan penggunaan maksimum bagi setiap kunci perantaraan.

Anda mesti menentukan keluarga peranti, output .qek file lokasi, dan frasa laluan apabila digesa.
Jalankan arahan berikut untuk menjana kunci akar AES menggunakan data rawak untuk kunci asas dan nilai lalai untuk bilangan kunci perantaraan dan penggunaan kunci maksimum.
Untuk menggunakan pelaksanaan rujukan, anda menggantikan panggilan kepada penterjemah Python yang disertakan dengan perisian Intel Quartus Prime dan meninggalkan pilihan –family=agilex; semua pilihan lain adalah setara. Untuk example, perintah quartus_encrypt ditemui kemudian dalam bahagian

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

boleh ditukar kepada panggilan yang setara dengan pelaksanaan rujukan seperti berikut pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Tetapan Penyulitan Kuartus
Untuk mendayakan penyulitan aliran bit untuk reka bentuk, anda mesti menentukan pilihan yang sesuai menggunakan panel Keselamatan Peranti Peranti Tugasan dan Pilihan Pin. Anda memilih kotak semak Dayakan penyulitan aliran bit konfigurasi dan lokasi storan kunci Penyulitan yang dikehendaki daripada menu lungsur.

ISO 9001:2015 Berdaftar

Rajah 3. Tetapan Penyulitan Intel Quartus Prime

3. Penyulitan AES Bitstream 683823 | 2023.05.23

Sebagai alternatif, anda boleh menambah pernyataan tugasan berikut pada tetapan Intel Quartus Prime anda file .qsf:
set_global_assignment -nama ENCRYPT_PROGRAMMING_BITSTREAM pada set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Jika anda ingin mendayakan pengurangan tambahan terhadap vektor serangan saluran sisi, anda boleh mendayakan kotak pilihan lungsur Nisbah kemas kini Penyulitan dan Dayakan perebutan.

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 20

Hantar Maklum Balas

3. Penyulitan AES Bitstream 683823 | 2023.05.23

Perubahan yang sepadan dalam .qsf ialah:
set_global_assignment -nama PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING pada set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Menyulitkan Aliran Bit Konfigurasi
Anda menyulitkan aliran bit konfigurasi sebelum menandatangani aliran bit. Pengaturcaraan Intel Quartus Prime File Alat penjana boleh menyulitkan dan menandatangani aliran bit konfigurasi secara automatik menggunakan antara muka pengguna grafik atau baris arahan.
Anda boleh secara pilihan membuat aliran bit yang disulitkan sebahagiannya untuk digunakan dengan alat quartus_encrypt dan quartus_sign atau setara pelaksanaan rujukan.

3.3.1. Konfigurasi Penyulitan Aliran Bit Menggunakan Pengaturcaraan File Antara Muka Grafik Penjana
Anda boleh menggunakan Pengaturcaraan File Penjana untuk menyulitkan dan menandatangani imej pemilik.

Rajah 4.

1. Pada Intel Quartus Prime File menu pilih Pengaturcaraan File Penjana. 2. Pada Output Files tab, nyatakan output file taip untuk konfigurasi anda
skim.
Keluaran File Spesifikasi

Skim konfigurasi Output file tab
Keluaran file taip

3. Pada Input Files tab, klik Tambah Bitstream dan semak imbas ke .sof anda. 4. Untuk menentukan pilihan penyulitan dan pengesahan pilih .sof dan klik
Hartanah. a. Hidupkan Dayakan alat tandatangan. b. Untuk kunci persendirian file pilih kunci tandatangan anda peribadi .pem file. c. Hidupkan Akhirkan penyulitan.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 21

3. Penyulitan AES Bitstream 683823 | 2023.05.23

Rajah 5.

d. Untuk kunci Penyulitan file, pilih AES .qek anda file. Input (.sof) File Sifat untuk Pengesahan dan Penyulitan

Dayakan pengesahan Tentukan punca persendirian .pem
Dayakan penyulitan Tentukan kunci penyulitan
5. Untuk menjana aliran bit yang ditandatangani dan disulitkan, pada Input Files tab, klik Jana. Kotak dialog kata laluan muncul untuk anda memasukkan frasa laluan anda untuk kunci AES anda .qek file dan menandatangani kunci peribadi .pem file. Pengaturcaraan file penjana mencipta output yang disulitkan dan ditandatangani_file.rbf.
3.3.2. Konfigurasi Penyulitan Aliran Bit Menggunakan Pengaturcaraan File Antara Muka Barisan Perintah Penjana
Hasilkan aliran bit konfigurasi yang disulitkan dan ditandatangani dalam format .rbf dengan antara muka baris arahan quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
Anda boleh menukar aliran bit konfigurasi yang disulitkan dan ditandatangani dalam format .rbf kepada aliran bit konfigurasi lain file format.
3.3.3. Penjanaan Arus Bit Konfigurasi Disulitkan Separa Menggunakan Antara Muka Baris Perintah
Anda boleh menjana pengaturcaraan yang disulitkan separa file untuk memuktamadkan penyulitan dan menandatangani imej kemudian. Hasilkan pengaturcaraan yang disulitkan separa file dalam format .rbf dengan antara muka baris perintah thequartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 22

Hantar Maklum Balas

3. Penyulitan AES Bitstream 683823 | 2023.05.23
Anda menggunakan alat baris arahan quartus_encrypt untuk memuktamadkan penyulitan aliran bit:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Anda menggunakan alat baris arahan quartus_sign untuk menandatangani aliran bit konfigurasi yang disulitkan:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Penyulitan Bitstream Konfigurasi Semula Separa
Anda boleh mendayakan penyulitan aliran bit pada beberapa reka bentuk FPGA Intel Agilex 7 yang menggunakan konfigurasi semula separa.
Reka bentuk konfigurasi semula separa menggunakan Konfigurasi Semula Separa Hierarki (HPR), atau Konfigurasi Semula Separa Kemas Kini Statik (SUPR) tidak menyokong penyulitan aliran bit. Jika reka bentuk anda mengandungi berbilang kawasan PR, anda mesti menyulitkan semua persona.
Untuk mendayakan penyulitan aliran bit konfigurasi semula separa, ikut prosedur yang sama dalam semua semakan reka bentuk. 1. Pada Intel Quartus Prime File menu, pilih Peranti Peranti Tugasan
dan Keselamatan Pilihan Pin. 2. Pilih lokasi storan kunci penyulitan yang dikehendaki.
Rajah 6. Tetapan Penyulitan Aliran Bit Konfigurasi Semula Separa

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 23

3. Penyulitan AES Bitstream 683823 | 2023.05.23
Sebagai alternatif, anda boleh menambah pernyataan tugasan berikut dalam tetapan Quartus Prime file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION on
Selepas anda menyusun reka bentuk asas dan semakan anda, perisian menjana a.soffile dan satu atau lebih.pmsffiles, mewakili personas. 3. Buat pengaturcaraan yang disulitkan dan ditandatangani files daripada.sof dan.pmsf files dalam cara yang serupa dengan reka bentuk tanpa konfigurasi semula separa didayakan. 4. Tukarkan persona.pmsf yang telah disusun file kepada sebahagian yang disulitkan.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Akhirkan penyulitan aliran bit menggunakan alat baris arahan quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Tandatangani aliran bit konfigurasi yang disulitkan menggunakan alat baris arahan quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 24

Hantar Maklum Balas

683823 | 2023.05.23 Hantar Maklum Balas

Peruntukan Peranti

Peruntukan ciri keselamatan awal hanya disokong dalam perisian tegar peruntukan SDM. Gunakan Intel Quartus Prime Programmer untuk memuatkan perisian tegar peruntukan SDM dan melaksanakan operasi peruntukan.
Anda boleh menggunakan mana-mana jenis JTAG muat turun kabel untuk menyambungkan Quartus Programmer kepada peranti Intel Agilex 7 untuk melaksanakan operasi peruntukan.
4.1. Menggunakan Perisian Tegar Peruntukan SDM
Pengaturcara Intel Quartus Prime secara automatik mencipta dan memuatkan imej pembantu lalai kilang apabila anda memilih operasi permulaan dan arahan untuk memprogram sesuatu selain daripada aliran bit konfigurasi.
Bergantung pada arahan pengaturcaraan yang ditentukan, imej pembantu lalai kilang ialah salah satu daripada dua jenis:
· Imej pembantu peruntukan–terdiri daripada satu bahagian aliran bit yang mengandungi perisian tegar peruntukan SDM.
· Imej pembantu QSPI–terdiri daripada dua bahagian aliran bit, satu mengandungi perisian tegar utama SDM dan satu bahagian I/O.
Anda boleh mencipta imej pembantu lalai kilang file untuk dimuatkan ke dalam peranti anda sebelum melaksanakan sebarang arahan pengaturcaraan. Selepas memprogramkan cincangan kunci akar pengesahan, anda mesti mencipta dan menandatangani imej pembantu lalai kilang QSPI kerana bahagian I/O yang disertakan. Jika anda juga memprogramkan tetapan keselamatan perisian tegar yang ditandatangani bersama eFuse, anda mesti membuat peruntukan dan imej pembantu lalai kilang QSPI dengan perisian tegar yang ditandatangani bersama. Anda boleh menggunakan imej pembantu lalai kilang yang ditandatangani bersama pada peranti yang tidak diperuntukkan kerana peranti yang tidak diperuntukkan mengabaikan rantaian tandatangan bukan Intel melalui perisian tegar SDM. Rujuk Menggunakan Imej Pembantu Lalai Kilang QSPI pada Peranti Milik pada halaman 26 untuk butiran lanjut tentang mencipta, menandatangani dan menggunakan imej pembantu lalai kilang QSPI.
Imej pembantu lalai kilang yang menyediakan melakukan tindakan penyediaan, seperti memprogramkan cincang kunci akar pengesahan, fius tetapan keselamatan, pendaftaran PUF atau peruntukan kunci hitam. Anda menggunakan Pengaturcaraan Intel Quartus Prime File Alat baris arahan penjana untuk mencipta imej pembantu peruntukan, menyatakan pilihan imej_heli, nama peranti_pembantu anda, subjenis imej pembantu peruntukan dan secara pilihan perisian tegar yang ditandatangani bersama .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Program imej pembantu menggunakan alat Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –paksa

ISO 9001:2015 Berdaftar

4. Peruntukan Peranti 683823 | 2023.05.23

Nota:

Anda boleh meninggalkan operasi permulaan daripada arahan, termasuk examples disediakan dalam bab ini, selepas sama ada memprogramkan imej pembantu peruntukan atau menggunakan arahan yang mengandungi operasi permulaan.

4.2. Menggunakan Imej Pembantu Lalai Kilang QSPI pada Peranti Milik
Pengaturcara Intel Quartus Prime secara automatik mencipta dan memuatkan imej pembantu lalai kilang QSPI apabila anda memilih operasi permulaan untuk pengaturcaraan kilat QSPI file. Selepas memprogramkan cincangan kunci akar pengesahan, anda mesti mencipta dan menandatangani imej pembantu lalai kilang QSPI, dan memprogram imej pembantu kilang QSPI yang ditandatangani secara berasingan sebelum memprogramkan denyar QSPI. 1. Anda menggunakan Intel Quartus Prime Programming File Alat baris arahan penjana untuk
cipta imej pembantu QSPI, dengan menyatakan pilihan imej_pembantu, jenis peranti_pembantu anda, subjenis imej pembantu QSPI dan secara pilihan perisian tegar yang ditandatangani bersama .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Anda menandatangani imej pembantu lalai kilang QSPI:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Anda boleh menggunakan sebarang pengaturcaraan kilat QSPI file format. Ex berikutampGunakan aliran bit konfigurasi yang ditukar kepada .jic file format:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Anda memprogram imej pembantu yang ditandatangani menggunakan alat Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –paksa
5. Anda memprogramkan imej .jic untuk berkelip menggunakan alat Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”

4.3. Peruntukan Kunci Root Pengesahan
Untuk memprogram cincang kunci akar pemilik kepada fius fizikal, mula-mula anda mesti memuatkan perisian tegar peruntukan, seterusnya memprogramkan cincang kunci akar pemilik, dan kemudian segera lakukan tetapan semula kuasa. Tetapan semula kuasa tidak diperlukan jika kunci akar pengaturcaraan bertukar kepada fius maya.

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 26

Hantar Maklum Balas

4. Peruntukan Peranti 683823 | 2023.05.23
Untuk memprogramkan cincangan kunci akar pengesahan, anda memprogram imej pembantu perisian tegar peruntukan dan jalankan salah satu daripada arahan berikut untuk memprogramkan kekunci akar .qky files.
// Untuk fizikal (tidak meruap) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –non_volatile_key
// Untuk maya (meruap) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky”
4.3.1. Pengaturcaraan Kunci Root Berbilang Kuasa Konfigurasi Separa Separa
Selepas memperuntukkan kekunci akar pemilik aliran bit peranti atau kawasan statik, anda memuatkan semula imej pembantu peruntukan peranti, memprogram sijil padat keizinan program kunci awam PR yang ditandatangani, dan kemudian memperuntukkan kunci akar pemilik aliran bit PR persona.
// Untuk fizikal (tidak meruap) eFuses quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Untuk maya (meruap) eFuses quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Pengaturcaraan Fius ID Pembatalan Kunci
Bermula dengan perisian Intel Quartus Prime Pro Edition versi 21.1, pengaturcaraan fius ID pembatalan kunci Intel dan pemilik memerlukan penggunaan sijil padat yang ditandatangani. Anda boleh menandatangani sijil padat ID pembatalan kunci dengan rantai tandatangan yang mempunyai kebenaran menandatangani bahagian FPGA. Anda mencipta sijil padat dengan pengaturcaraan file alat baris arahan penjana. Anda menandatangani sijil yang tidak ditandatangani menggunakan alat quartus_sign atau pelaksanaan rujukan.
Peranti Intel Agilex 7 menyokong bank berasingan ID pembatalan kunci pemilik untuk setiap kunci akar. Apabila sijil padat ID pembatalan kunci pemilik diprogramkan ke dalam FPGA Intel Agilex 7, SDM menentukan kunci akar mana yang menandatangani sijil padat dan meniup fius ID pembatalan kunci yang sepadan dengan kunci akar tersebut.
Ex berikutamples buat sijil pembatalan kunci Intel untuk ID kunci Intel 7. Anda boleh menggantikan 7 dengan ID pembatalan kunci Intel yang berkenaan dari 0-31.
Jalankan arahan berikut untuk mencipta sijil padat ID pembatalan kunci Intel yang tidak ditandatangani:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Jalankan salah satu daripada arahan berikut untuk menandatangani sijil padat ID pembatalan kunci Intel yang tidak ditandatangani:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 27

4. Peruntukan Peranti 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Jalankan arahan berikut untuk mencipta sijil padat ID pembatalan kunci pemilik yang tidak ditandatangani:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Jalankan salah satu daripada arahan berikut untuk menandatangani sijil padat ID pembatalan kunci pemilik yang tidak ditandatangani:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Selepas anda membuat sijil padat ID pembatalan kunci yang ditandatangani, anda menggunakan Intel Quartus Prime Programmer untuk memprogramkan sijil padat ke peranti melalui JTAG.
//Untuk fizikal (tidak meruap) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
//Untuk maya (meruap) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
Anda juga boleh menghantar sijil padat kepada SDM menggunakan antara muka peti mel FPGA atau HPS.
4.5. Membatalkan Kekunci Root
Peranti Intel Agilex 7 membenarkan anda membatalkan cincangan kunci akar apabila cincangan kunci akar lain yang tidak dibatalkan hadir. Anda membatalkan cincangan kunci akar dengan terlebih dahulu mengkonfigurasi peranti dengan reka bentuk yang rantaian tandatangannya diakar dalam cincangan kunci akar yang berbeza, kemudian atur cara sijil padat pembatalan cincang akar kunci yang ditandatangani. Anda mesti menandatangani sijil padat pembatalan cincang akar dengan rantai tandatangan yang berakar pada kunci akar untuk dibatalkan.
Jalankan arahan berikut untuk menjana sijil padat pembatalan hash kunci akar yang tidak ditandatangani:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 28

Hantar Maklum Balas

4. Peruntukan Peranti 683823 | 2023.05.23

Jalankan salah satu daripada arahan berikut untuk menandatangani sijil padat pembatalan cincang akar kunci yang tidak ditandatangani:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Anda boleh memprogramkan sijil padat pembatalan hash kunci akar melalui JTAG, peti mel FPGA atau HPS.

4.6. Fius Kaunter Pengaturcaraan
Anda mengemas kini Nombor Versi Keselamatan (SVN) dan Pseudo Time Stamp (PTS) fius kaunter menggunakan sijil padat yang ditandatangani.

Nota:

SDM menjejaki nilai pembilang minimum yang dilihat semasa konfigurasi yang diberikan dan tidak menerima sijil kenaikan balas apabila nilai pembilang lebih kecil daripada nilai minimum. Anda mesti mengemas kini semua objek yang diberikan kepada kaunter dan mengkonfigurasi semula peranti sebelum memprogramkan sijil padat kenaikan kaunter.

Jalankan salah satu daripada arahan berikut yang sepadan dengan sijil kenaikan kaunter yang anda ingin hasilkan.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Nilai kaunter 1 mencipta sijil kebenaran kenaikan kaunter. Memprogramkan sijil padat kebenaran kenaikan kaunter membolehkan anda memprogramkan sijil kenaikan kaunter yang belum ditandatangani selanjutnya untuk mengemas kini kaunter masing-masing. Anda menggunakan alat quartus_sign untuk menandatangani sijil padat kaunter dengan cara yang serupa dengan sijil padat ID pembatalan kunci.
Anda boleh memprogramkan sijil padat pembatalan hash kunci akar melalui JTAG, peti mel FPGA atau HPS.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 29

4. Peruntukan Peranti 683823 | 2023.05.23

4.7. Peruntukan Kunci Root Perkhidmatan Objek Data Selamat
Anda menggunakan Intel Quartus Prime Programmer untuk menyediakan kunci akar Perkhidmatan Objek Data Selamat (SDOS). Pengaturcara secara automatik memuatkan imej pembantu perisian tegar peruntukan untuk menyediakan kunci akar SDOS.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

4.8. Penyediaan Fius Tetapan Keselamatan
Gunakan Intel Quartus Prime Programmer untuk memeriksa fius tetapan keselamatan peranti dan tuliskannya ke .fuse berasaskan teks file seperti berikut:
quartus_pgm -c 1 -mjtag -o “ei;pengaturcaraan_file.fius;AGFB014R24B”

Pilihan · i: Pengaturcara memuatkan imej pembantu perisian tegar peruntukan ke peranti. · e: Pengaturcara membaca fius daripada peranti dan menyimpannya dalam .fius file.

Fius file mengandungi senarai pasangan nilai nama fius. Nilai menentukan sama ada fius telah ditiup atau kandungan medan fius.

Ex berikutample menunjukkan format .fius file:

# Perisian tegar yang ditandatangani bersama

= "Tidak ditiup"

# Permit Peranti Membunuh

= "Tidak ditiup"

# Peranti tidak selamat

= "Tidak ditiup"

# Lumpuhkan nyahpepijat HPS

= "Tidak ditiup"

# Lumpuhkan pendaftaran PUF ID Intrinsik

= "Tidak ditiup"

# Lumpuhkan JTAG

= "Tidak ditiup"

# Lumpuhkan kunci penyulitan yang dibalut PUF

= "Tidak ditiup"

# Lumpuhkan kunci penyulitan pemilik dalam BBRAM = "Tidak ditiup"

# Lumpuhkan kunci penyulitan pemilik dalam eFuses = "Tidak ditiup"

# Lumpuhkan cincang kunci awam akar pemilik 0

= "Tidak ditiup"

# Lumpuhkan cincang kunci awam akar pemilik 1

= "Tidak ditiup"

# Lumpuhkan cincang kunci awam akar pemilik 2

= "Tidak ditiup"

# Lumpuhkan eFuses maya

= "Tidak ditiup"

# Paksa jam SDM ke pengayun dalaman = "Tidak ditiup"

# Paksa kemas kini kunci penyulitan

= "Tidak ditiup"

# Pembatalan kunci eksplisit Intel

= “0”

# Kunci keselamatan eFuses

= "Tidak ditiup"

# Program kunci penyulitan pemilik selesai

= "Tidak ditiup"

# Program kunci penyulitan pemilik bermula

= "Tidak ditiup"

# Pembatalan kunci eksplisit pemilik 0

= “”

# Pembatalan kunci eksplisit pemilik 1

= “”

# Pembatalan kunci eksplisit pemilik 2

= “”

# Fius pemilik

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Hash kunci awam akar pemilik 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Hash kunci awam akar pemilik 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Hash kunci awam akar pemilik 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Saiz kunci awam akar pemilik

= “Tiada”

# Kaunter PTS

= “0”

# Pangkalan kaunter PTS

= “0”

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 30

Hantar Maklum Balas

4. Peruntukan Peranti 683823 | 2023.05.23

# Kelewatan permulaan QSPI # Kaunter RMA # SDMIO0 ialah I2C # Kaunter SVN A # Kaunter SVN B # Kaunter SVN C # Kaunter SVN D

= “10ms” = “0” = “Tidak ditiup” = “0” = “0” = “0” = “0”

Ubah suai .fius file untuk menetapkan fius tetapan keselamatan yang anda inginkan. Baris yang bermula dengan # dianggap sebagai baris ulasan. Untuk memprogram fius tetapan keselamatan, keluarkan # pendahuluan dan tetapkan nilai kepada Blown. Untuk example, untuk mendayakan fius tetapan keselamatan Perisian Tegar yang ditandatangani bersama, ubah suai baris pertama fius file kepada yang berikut:
Perisian tegar yang ditandatangani bersama = "Blown"

Anda juga boleh memperuntukkan dan memprogramkan Fius Pemilik berdasarkan keperluan anda.
Anda boleh menggunakan arahan berikut untuk melakukan semakan kosong, atur cara dan mengesahkan kunci awam akar pemilik:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

Pilihan · i: Memuatkan imej pembantu perisian tegar peruntukan ke peranti. · b: Lakukan pemeriksaan kosong untuk mengesahkan fius tetapan keselamatan yang diingini tidak
sudah ditiup. · p: Program fius. · v: Mengesahkan kunci yang diprogramkan pada peranti.
Selepas pengaturcaraan .qky file, anda boleh menyemak maklumat fius dengan menyemak maklumat fius sekali lagi untuk memastikan kedua-dua cincang kunci awam pemilik dan saiz kunci awam pemilik mempunyai nilai bukan sifar.
Manakala medan berikut tidak boleh ditulis melalui .fius file kaedah, ia disertakan semasa output operasi pemeriksaan untuk pengesahan: · Peranti tidak selamat · Permit peranti membunuh · Lumpuhkan cincang kunci awam akar pemilik 0 · Lumpuhkan cincang kunci awam akar pemilik 1 · Lumpuhkan cincang kunci awam akar pemilik 2 · Pembatalan kunci Intel · Program kunci penyulitan pemilik bermula · Program kunci penyulitan pemilik selesai · Pembatalan kunci pemilik · Cincang kunci awam pemilik · Saiz kunci awam pemilik · Cincang kunci awam akar pemilik 0 · Cincang kunci awam akar pemilik 1 · Cincang kunci awam akar pemilik 2

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 31

4. Peruntukan Peranti 683823 | 2023.05.23
· Kaunter PTS · Pangkalan kaunter PTS · Kelewatan permulaan QSPI · Kaunter RMA · SDMIO0 ialah I2C · Kaunter SVN A · Kaunter SVN B · Kaunter SVN C · Kaunter SVN D
Gunakan Intel Quartus Prime Programmer untuk memprogram .fuse file kembali ke peranti. Jika anda menambah pilihan i, Pengaturcara secara automatik memuatkan perisian tegar peruntukan untuk memprogram fius tetapan keselamatan.
//Untuk fizikal (tidak meruap) eFuses quartus_pgm -c 1 -mjtag -o “pi; pengaturcaraan_file.fius” –non_volatile_key
//Untuk maya (meruap) eFuses quartus_pgm -c 1 -mjtag -o “pi; pengaturcaraan_file.fius”
Anda boleh menggunakan arahan berikut untuk mengesahkan sama ada cincangan kunci akar peranti adalah sama dengan .qky yang disediakan dalam arahan:
quartus_pgm -c 1 -mjtag -o “v;root0_another.qky”
Jika kekunci tidak sepadan, Pengaturcara gagal dengan mesej ralat Operasi gagal.
4.9. Peruntukan Kunci Akar AES
Anda mesti menggunakan sijil padat kunci akar AES yang ditandatangani untuk memprogramkan kunci akar AES kepada peranti Intel Agilex 7.
4.9.1. Sijil Kompak Kunci Akar AES
Anda menggunakan alat baris arahan quartus_pfg untuk menukar kunci akar AES anda .qek file ke dalam format sijil padat .ccert. Anda menentukan lokasi storan kunci semasa membuat sijil padat. Anda boleh menggunakan alat quartus_pfg untuk mencipta sijil yang tidak ditandatangani untuk ditandatangani kemudian. Anda mesti menggunakan rantaian tandatangan dengan kebenaran menandatangani sijil kunci akar AES, bit kebenaran 6, didayakan untuk berjaya menandatangani sijil padat kunci akar AES.

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 32

Hantar Maklum Balas

4. Peruntukan Peranti 683823 | 2023.05.23
1. Buat pasangan kunci tambahan yang digunakan untuk menandatangani sijil padat kunci AES menggunakan salah satu daripada perintah berikut examples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –modul=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –log masuk –pin agilex-token-pin –keypairgen mechanism ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –tanda-penggunaan –label aesccert1 –id 2
2. Cipta rantai tandatangan dengan set bit kebenaran yang betul menggunakan salah satu daripada arahan berikut:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Cipta sijil padat AES yang tidak ditandatangani untuk lokasi storan kunci akar AES yang dikehendaki. Pilihan storan kunci akar AES berikut tersedia:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Buat kunci akar eFuse AES tidak ditandatangani sijil quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Tandatangani sijil padat dengan arahan quartus_sign atau pelaksanaan rujukan.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert signed_ 1.ccert
quartus_sign –family=agilex –operation=sign –modul=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 33

4. Peruntukan Peranti 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert signed_ 1.ccert
5. Gunakan Intel Quartus Prime Programmer untuk memprogram sijil padat kunci akar AES ke peranti Intel Agilex 7 melalui JTAG. Pengaturcara Intel Quartus Prime lalai untuk memprogramkan eFuses maya apabila menggunakan jenis sijil padat EFUSE_WRAPPED_AES_KEY.
Anda menambah pilihan –non_volatile_key untuk menentukan fius fizikal pengaturcaraan.
//Untuk fizikal (tidak meruap) kekunci akar eFuse AES quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –non_volatile_key

//Untuk kunci akar eFuse AES maya (tidak menentu) quartus_pgm -c 1 -mjtag -o "pi;signed_efuse1.ccert"

//Untuk kunci akar BBRAM AES quartus_pgm -c 1 -mjtag -o "pi;signed_bbram1.ccert"

Perisian tegar peruntukan SDM dan perisian tegar utama menyokong pengaturcaraan sijil kunci akar AES. Anda juga boleh menggunakan antara muka peti mel SDM daripada fabrik FPGA atau HPS untuk memprogramkan sijil kunci akar AES.

Nota:

Perintah quartus_pgm tidak menyokong pilihan b dan v untuk sijil padat(.ccert).

4.9.2. Peruntukan Kunci Root ID® PUF AES Intrinsik
Melaksanakan Kunci AES yang dibalut PUF ID Intrinsik* merangkumi langkah-langkah berikut: 1. Mendaftarkan ID Intrinsik PUF melalui JTAG. 2. Membungkus kekunci akar AES. 3. Memprogramkan data pembantu dan membungkus kekunci ke dalam memori kilat quad SPI. 4. Menyoal status pengaktifan PUF ID Intrinsik.
Penggunaan teknologi ID Intrinsik memerlukan perjanjian lesen yang berasingan dengan ID Intrinsik. Perisian Intel Quartus Prime Pro Edition mengehadkan operasi PUF tanpa lesen yang sesuai, seperti pendaftaran, pembungkusan kunci dan pengaturcaraan data PUF kepada kilat QSPI.

4.9.2.1. Pendaftaran PUF ID Intrinsik
Untuk mendaftar PUF, anda mesti menggunakan perisian tegar peruntukan SDM. Perisian tegar peruntukan mestilah perisian tegar pertama yang dimuatkan selepas kitaran kuasa dan anda mesti mengeluarkan arahan pendaftaran PUF sebelum sebarang arahan lain. Perisian tegar peruntukan menyokong perintah lain selepas pendaftaran PUF, termasuk pembalut kunci akar AES dan pengaturcaraan quad SPI, walau bagaimanapun, anda mesti mengitar kuasa peranti untuk memuatkan aliran bit konfigurasi.
Anda menggunakan Intel Quartus Prime Programmer untuk mencetuskan pendaftaran PUF dan menjana data pembantu PUF .puf file.

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 34

Hantar Maklum Balas

4. Peruntukan Peranti 683823 | 2023.05.23

Rajah 7.

Pendaftaran PUF ID Intrinsik
quartus_pgm Pendaftaran PUF

Data pembantu PUF pendaftaran

Pengurus Peranti Selamat (SDM)

wrapper.puf Data Pembantu
Pengaturcara secara automatik memuatkan imej pembantu perisian tegar peruntukan apabila anda menentukan kedua-dua operasi i dan hujah .puf.
quartus_pgm -c 1 -mjtag -o “ei;help_data.puf;AGFB014R24A”
Jika anda menggunakan perisian tegar yang ditandatangani bersama, anda memprogram imej pembantu perisian tegar yang ditandatangani bersama sebelum menggunakan arahan pendaftaran PUF.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o “e;help_data.puf;AGFB014R24A”
UDS IID PUF didaftarkan semasa pembuatan peranti dan tidak tersedia untuk pendaftaran semula. Sebaliknya, anda menggunakan Pengaturcara untuk menentukan lokasi data pembantu UDS PUF pada IPCS, muat turun .puf file terus, dan kemudian gunakan UDS .puf file dengan cara yang sama seperti .puf file diekstrak daripada peranti Intel Agilex 7.
Gunakan arahan Pengaturcara berikut untuk menjana teks file mengandungi senarai URLs menunjuk kepada peranti khusus files di IPCS:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Membungkus Kunci Akar AES
Anda menjana kekunci akar AES yang dibalut IID PUF .wkey file dengan menghantar sijil yang ditandatangani kepada SDM.
Anda boleh menggunakan Intel Quartus Prime Programmer untuk menjana, menandatangani dan menghantar sijil secara automatik untuk membalut kunci akar AES anda, atau anda boleh menggunakan Intel Quartus Prime Programming File Penjana untuk menjana sijil yang tidak ditandatangani. Anda menandatangani sijil yang tidak ditandatangani menggunakan alat anda sendiri atau alat tandatangan Quartus. Anda kemudian menggunakan Pengaturcara untuk menghantar sijil yang ditandatangani dan membalut kunci akar AES anda. Sijil yang ditandatangani boleh digunakan untuk memprogram semua peranti yang boleh mengesahkan rantai tandatangan.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 35

4. Peruntukan Peranti 683823 | 2023.05.23

Rajah 8.

Membungkus Kunci AES Menggunakan Pengaturcara Intel Quartus Prime
.pem Persendirian
kunci

.qky

quartus_pgm

Balut Kunci AES

AES.QSKigYnature RootCPhuabilnic Key

Hasilkan PUF Wrapped Key

Kunci AES yang dibalut

SDM

Penyulitan .qek
kunci

.wkey PUF-Balut
Kunci AES

1. Anda boleh menjana kekunci akar AES yang dibalut IID PUF (.wkey) dengan Pengaturcara menggunakan argumen berikut:
· .qky file mengandungi rantaian tandatangan dengan kebenaran sijil kunci akar AES
· Peribadi .pem file untuk kunci terakhir dalam rantaian tandatangan
· .qek file memegang kekunci akar AES
· Vektor permulaan 16-bait (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Sebagai alternatif, anda boleh menjana sijil kunci akar AES pembalut IID PUF yang tidak ditandatangani dengan Pengaturcaraan File Penjana menggunakan hujah berikut:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Anda menandatangani sijil yang tidak ditandatangani dengan alat tandatangan anda sendiri atau alat quartus_sign menggunakan arahan berikut:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Anda kemudian menggunakan Pengaturcara untuk menghantar sijil AES yang ditandatangani dan mengembalikan kunci yang dibalut (.wkey) file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Nota: Operasi i tidak diperlukan jika anda sebelum ini memuatkan imej pembantu perisian tegar peruntukan, contohnyaample, untuk mendaftar PUF.

4.9.2.3. Data Pembantu Pengaturcaraan dan Kunci Terbungkus pada Memori Flash QSPI
Anda menggunakan Pengaturcaraan Quartus File Antara muka grafik penjana untuk membina imej kilat QSPI awal yang mengandungi partition PUF. Anda mesti menjana dan memprogram keseluruhan imej pengaturcaraan denyar untuk menambah partition PUF pada denyar QSPI. Penciptaan PUF

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 36

Hantar Maklum Balas

4. Peruntukan Peranti 683823 | 2023.05.23

Rajah 9.

pembahagian data dan penggunaan data pembantu PUF dan kunci yang dibalut files untuk penjanaan imej kilat tidak disokong melalui Pengaturcaraan File Antara muka baris arahan penjana.
Langkah-langkah berikut menunjukkan membina imej pengaturcaraan kilat dengan data pembantu PUF dan kunci berbalut:
1. Pada File menu, klik Pengaturcaraan File Penjana. Pada Output Filetab s buat pilihan berikut:
a. Untuk Keluarga Peranti pilih Agilex 7.
b. Untuk mod Konfigurasi pilih Siri Aktif x4.
c. Untuk direktori Output semak imbas ke output anda file direktori. bekas iniample menggunakan output_files.
d. Untuk Nama, nyatakan nama untuk pengaturcaraan file untuk dijana. bekas iniample menggunakan output_file.
e. Di bawah Penerangan pilih pengaturcaraan files untuk menjana. bekas iniample menjana JTAG Konfigurasi tidak langsung File (.jic) untuk konfigurasi peranti dan Perduaan Mentah File Imej Pembantu Pengaturcaraan (.rbf) untuk imej pembantu peranti. bekas iniample juga memilih Peta Memori pilihan File (.map) dan Data Pengaturcaraan Mentah File (.rpd). Data pengaturcaraan mentah file adalah perlu hanya jika anda merancang untuk menggunakan pengaturcara pihak ketiga pada masa hadapan.
Pengaturcaraan File Penjana – Output Files Tab – Pilih JTAG Konfigurasi Tidak Langsung

Mod Konfigurasi Keluarga Peranti
Keluaran file tab
Direktori output
JTAG Peta Memori Tidak Langsung (.jic). File Pembantu Pengaturcaraan Data Pengaturcaraan Mentah
Pada Input Files tab, buat pilihan berikut: 1. Klik Tambah Bitstream dan semak imbas ke .sof anda. 2. Pilih .sof anda file dan kemudian klik Properties.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 37

4. Peruntukan Peranti 683823 | 2023.05.23
a. Hidupkan Dayakan alat tandatangan. b. Untuk kunci persendirian file pilih .pem anda file. c. Hidupkan Akhirkan penyulitan. d. Untuk kunci Penyulitan file pilih .qek anda file. e. Klik OK untuk kembali ke tetingkap sebelumnya. 3. Untuk menentukan data pembantu PUF anda file, klik Tambah Data Mentah. Tukar Files daripada jenis menu lungsur ke Quartus Physical Unclonable Function File (*.puf). Semak imbas ke .puf anda file. Jika anda menggunakan kedua-dua IID PUF dan UDS IID PUF, ulangi langkah ini supaya .puf files untuk setiap PUF ditambah sebagai input files. 4. Untuk menentukan kunci AES yang dibalut anda file, klik Tambah Data Mentah. Tukar Files daripada jenis menu lungsur turun ke Quartus Wrapped Key File (*.wkey). Semak imbas ke .wkey anda file. Jika anda telah membungkus kekunci AES menggunakan kedua-dua IID PUF dan UDS IID PUF, ulangi langkah ini supaya .wkey files untuk setiap PUF ditambah sebagai input files.
Rajah 10. Nyatakan Input Files untuk Konfigurasi, Pengesahan dan Penyulitan

Tambah Bitstream Tambah Data Mentah
Hartanah
Kunci peribadi file
Selesaikan penyulitan Kunci penyulitan
Pada tab Peranti Konfigurasi, buat pilihan berikut: 1. Klik Tambah Peranti dan pilih peranti denyar anda daripada senarai denyar yang tersedia
peranti. 2. Pilih peranti konfigurasi yang baru anda tambah dan klik Tambah Partition. 3. Dalam kotak dialog Edit Partition untuk Input file dan pilih .sof anda daripada
senarai juntai bawah. Anda boleh mengekalkan lalai atau mengedit parameter lain dalam kotak dialog Edit Partition.

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 38

Hantar Maklum Balas

4. Peruntukan Peranti 683823 | 2023.05.23
Rajah 11. Menentukan .sof Configuration Bitstream Partition anda

Peranti Konfigurasi
Edit Pembahagian Tambah .sof file

Tambah Partition

4. Apabila anda menambah .puf dan .wkey sebagai input files, Pengaturcaraan File Penjana secara automatik mencipta partition PUF dalam Peranti Konfigurasi anda. Untuk menyimpan .puf dan .wkey dalam partition PUF, pilih partition PUF dan klik Edit. Dalam kotak dialog Edit Partition, pilih .puf dan .wkey anda files daripada senarai juntai bawah. Jika anda mengalih keluar partition PUF, anda mesti mengalih keluar dan menambah semula peranti konfigurasi untuk Pengaturcaraan File Penjana untuk mencipta partition PUF yang lain. Anda mesti memastikan bahawa anda memilih .puf dan .wkey yang betul file untuk IID PUF dan UDS IID PUF, masing-masing.
Rajah 12. Tambah .puf dan .wkey files kepada Pembahagian PUF

Pembahagian PUF

Sunting

Edit Pembahagian

Pemuat Flash

Pilih Jana

5. Untuk parameter Flash Loader pilih keluarga peranti Intel Agilex 7 dan nama peranti yang sepadan dengan Intel Agilex 7 OPN anda.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 39

4. Peruntukan Peranti 683823 | 2023.05.23
6. Klik Jana untuk menjana output files yang anda tentukan pada Output Filetab s.
7. Pengaturcaraan File Penjana membaca .qek anda file dan menggesa anda untuk frasa laluan anda. Taipkan frasa laluan anda sebagai respons kepada gesaan Masukkan frasa laluan QEK. Klik kekunci Enter.
8. Klik OK apabila Pengaturcaraan File Penjana melaporkan penjanaan yang berjaya.
Anda menggunakan Intel Quartus Prime Programmer untuk menulis imej pengaturcaraan QSPI ke memori kilat QSPI. 1. Pada menu Alat Intel Quartus Prime pilih Pengaturcara. 2. Dalam Pengaturcara, klik Persediaan Perkakasan dan kemudian pilih Intel yang disambungkan
Kabel Muat Turun FPGA. 3. Klik Tambah File dan semak imbas ke .jic anda file.
Rajah 13. Program .jic

Pengaturcaraan file

Program/ Konfigurasi

JTAG rantai imbasan
4. Nyahpilih kotak yang dikaitkan dengan imej Helper. 5. Pilih Program/Konfigurasi untuk output .jic file. 6. Hidupkan butang Mula untuk memprogram memori kilat quad SPI anda. 7. Kitaran kuasa papan anda. Reka bentuk diprogramkan kepada memori kilat quad SPI
peranti kemudiannya dimuatkan ke dalam FPGA sasaran.
Anda mesti menjana dan memprogram keseluruhan imej pengaturcaraan denyar untuk menambah partition PUF pada denyar quad SPI.
Apabila partition PUF sudah wujud dalam denyar, anda boleh menggunakan Intel Quartus Prime Programmer untuk mengakses terus data pembantu PUF dan kunci yang dibalut files. Untuk exampOleh itu, jika pengaktifan tidak berjaya, adalah mungkin untuk mendaftar semula PUF, membungkus semula kunci AES, dan seterusnya hanya memprogramkan PUF files tanpa perlu menulis ganti keseluruhan denyar.

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 40

Hantar Maklum Balas

4. Peruntukan Peranti 683823 | 2023.05.23
Intel Quartus Prime Programmer menyokong hujah operasi berikut untuk PUF files dalam partition PUF sedia ada:
· p: program
· v: mengesahkan
· r: padam
· b: semak kosong
Anda mesti mengikut sekatan yang sama untuk pendaftaran PUF, walaupun sekatan PUF wujud.
1. Gunakan hujah operasi i untuk memuatkan imej pembantu perisian tegar peruntukan untuk operasi pertama. Untuk example, urutan arahan berikut mendaftarkan semula PUF, bungkus semula kekunci akar AES, padamkan data pembantu PUF lama dan kunci yang dibalut, kemudian atur cara dan sahkan data pembantu PUF baharu dan kunci akar AES.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o "v;new.wkey"
4.9.2.4. Menyoal Status Pengaktifan PUF ID Intrinsik
Selepas anda mendaftarkan PUF ID Intrinsik, bungkus kunci AES, jana pengaturcaraan kilat files, dan mengemas kini denyar quad SPI, anda mengitar kuasa peranti anda untuk mencetuskan pengaktifan dan konfigurasi PUF daripada aliran bit yang disulitkan. SDM melaporkan status pengaktifan PUF bersama dengan status konfigurasi. Jika pengaktifan PUF gagal, SDM sebaliknya melaporkan status ralat PUF. Gunakan perintah quartus_pgm untuk menanyakan status konfigurasi.
1. Gunakan arahan berikut untuk menanyakan status pengaktifan:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Berikut adalah sampkeluaran daripada pengaktifan yang berjaya:
Maklumat (21597): Respons CONFIG_STATUS Peranti sedang berjalan dalam mod pengguna 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Versi C000007B MSEL=QSPI_NORMAL, nSTATUS=1, nSTATUS=1, nSTATUS=1, nSTATUS=XNUMX,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Lokasi ralat 00000000 Butiran ralat Respons PUF_STATUS 00002000_2 STATUS IID=PUF_ACTIVATION_SUCCESS,
KEBOLEHPERCAYAAN_DIAGNOSTIK_SKOR=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
KEPERCAYAAN_DIAGNOSTIK_SCORE=5, TEST_MODE=0

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 41

4. Peruntukan Peranti 683823 | 2023.05.23

Jika anda hanya menggunakan sama ada IID PUF atau UDS IID PUF dan belum memprogramkan data pembantu .puf file untuk sama ada PUF dalam denyar QSPI, PUF itu tidak diaktifkan dan status PUF menunjukkan bahawa data pembantu PUF tidak sah. Ex berikutample menunjukkan status PUF apabila data pembantu PUF tidak diprogramkan untuk PUF:
Respons PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
KEPERCAYAAN_DIAGNOSTIK_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
KEPERCAYAAN_DIAGNOSTIK_SCORE=0, TEST_MODE=0

4.9.2.5. Lokasi PUF dalam Memori Flash
Lokasi PUF file adalah berbeza untuk reka bentuk yang menyokong RSU dan reka bentuk yang tidak menyokong ciri RSU.

Untuk reka bentuk yang tidak menyokong RSU, anda mesti memasukkan .puf dan .wkey files apabila anda mencipta imej kilat yang dikemas kini. Untuk reka bentuk yang menyokong RSU, SDM tidak menulis ganti bahagian data PUF semasa kemas kini imej kilang atau aplikasi.

Jadual 2.

Reka Letak Sub-Pecahan Kilat tanpa Sokongan RSU

Offset Denyar (dalam bait)

Saiz (dalam bait)

kandungan

Penerangan

0K 256K

256K 256K

Perisian Tegar Pengurusan Konfigurasi Perisian Tegar Pengurusan Konfigurasi

Perisian tegar yang berjalan pada SDM.

512K

256K

Perisian Tegar Pengurusan Konfigurasi

768K

256K

Perisian Tegar Pengurusan Konfigurasi

32K

Salinan data PUF 0

Struktur data untuk menyimpan data pembantu PUF dan salinan kunci akar AES yang dibalut PUF 0

1J+32K

32K

Salinan data PUF 1

Struktur data untuk menyimpan data pembantu PUF dan salinan kunci akar AES yang dibalut PUF 1

Jadual 3.

Reka Letak Sub-Pecahan Kilat dengan Sokongan RSU

Offset Denyar (dalam bait)

Saiz (dalam bait)

kandungan

Penerangan

0K 512K

512K 512K

Perisian tegar keputusan Perisian tegar keputusan

Perisian tegar untuk mengenal pasti dan memuatkan imej keutamaan tertinggi.

1M 1.5M

512K 512K

Perisian tegar keputusan Perisian tegar keputusan

8K + 24K

Data perisian tegar keputusan

Padding

Dikhaskan untuk penggunaan perisian tegar Keputusan.

2M + 32K

32K

Dikhaskan untuk SDM

Dikhaskan untuk SDM.

2M + 64K

Pembolehubah

Imej kilang

Imej ringkas yang anda buat sebagai sandaran jika semua imej aplikasi lain gagal dimuatkan. Imej ini termasuk CMF yang berjalan pada SDM.

Seterusnya

32K

Salinan data PUF 0

Struktur data untuk menyimpan data pembantu PUF dan salinan kunci akar AES yang dibalut PUF 0
bersambung…

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 42

Hantar Maklum Balas

4. Peruntukan Peranti 683823 | 2023.05.23

Offset Denyar (dalam bait)

Saiz (dalam bait)

+32K 32K seterusnya

Kandungan salinan data PUF 1

Seterusnya + 256K 4K Seterusnya +32K 4K Seterusnya +32K 4K

Salinan jadual sub-parti 0 Salin jadual sub-partition 1 salinan blok penunjuk CMF 0

+32K _ Seterusnya

Salinan blok penunjuk CMF 1

Pembolehubah Pembolehubah

Imej aplikasi 1 Imej aplikasi 2

4.9.3. Peruntukan Kunci Hitam

Penerangan
Struktur data untuk menyimpan data pembantu PUF dan salinan kunci akar AES yang dibalut PUF 1
Struktur data untuk memudahkan pengurusan storan kilat.
Senarai penunjuk kepada imej aplikasi mengikut keutamaan. Apabila anda menambah imej, imej itu menjadi yang tertinggi.
Salinan kedua senarai penunjuk kepada imej aplikasi.
Imej aplikasi pertama anda.
Imej aplikasi kedua anda.

Nota:

TheIntel Quartus PrimeProgrammer membantu dalam mewujudkan sambungan selamat yang saling disahkan antara peranti Intel Agilex 7 dan perkhidmatan penyediaan kunci hitam. Sambungan selamat diwujudkan melalui https dan memerlukan beberapa sijil yang dikenal pasti menggunakan teks file.
Apabila menggunakan Black Key Provisioning, Intel mengesyorkan agar anda mengelak daripada menyambungkan pin TCK secara luaran untuk menarik ke atas atau menurunkan perintang semasa masih menggunakannya untuk JTAG. Walau bagaimanapun, anda boleh menyambungkan pin TCK ke bekalan kuasa VCCIO SDM menggunakan perintang 10 k. Panduan sedia ada dalam Garis Panduan Sambungan Pin untuk menyambungkan TCK ke perintang tarik-turun 1 k disertakan untuk penindasan hingar. Perubahan dalam panduan kepada perintang tarik naik 10 k tidak menjejaskan fungsi peranti. Untuk maklumat lanjut tentang menyambungkan pin TCK, rujuk Garis Panduan Sambungan 7 Pin Intel Agilex.
Thebkp_tls_ca_certcertificate mengesahkan contoh perkhidmatan peruntukan kunci hitam anda kepada contoh pengaturcara peruntukan kunci hitam anda. Thebkp_tls_*certificates mengesahkan contoh pengaturcara peruntukan kunci hitam anda kepada contoh perkhidmatan peruntukan kunci hitam anda.
Anda membuat teks file mengandungi maklumat yang diperlukan untuk Pengaturcara Intel Quartus Prime untuk menyambung kepada perkhidmatan peruntukan kunci hitam. Untuk memulakan peruntukan kunci hitam, gunakan antara muka baris arahan Pengaturcara untuk menentukan teks pilihan peruntukan kunci hitam file. Peruntukan kunci hitam kemudiannya diteruskan secara automatik. Untuk akses kepada perkhidmatan penyediaan kunci hitam dan dokumentasi yang berkaitan, sila hubungi Sokongan Intel.
Anda boleh mendayakan peruntukan kunci hitam menggunakan thequartus_pgmcommand:
quartus_pgm -c -m –peranti –bkp_options=bkp_options.txt
Argumen arahan menentukan maklumat berikut:

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 43

4. Peruntukan Peranti 683823 | 2023.05.23

· -c: nombor kabel · -m: menentukan mod pengaturcaraan seperti JTAG · –peranti: menentukan indeks peranti pada JTAG rantai. Nilai lalai ialah 1. · –bkp_options: menentukan teks file mengandungi pilihan peruntukan kunci hitam.
Maklumat Berkaitan Garis Panduan Sambungan Pin Keluarga Peranti Intel Agilex 7

4.9.3.1. Pilihan Penyediaan Kunci Hitam
Pilihan peruntukan kunci hitam ialah teks file dihantar kepada Pengaturcara melalui arahan quartus_pgm. The file mengandungi maklumat yang diperlukan untuk mencetuskan peruntukan kunci hitam.
Berikut adalah bekasample daripada bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem_prog_prog_key = prog_key.pem_address https://1234:192.167.5.5 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Jadual 4.

Pilihan Penyediaan Kunci Hitam
Jadual ini memaparkan pilihan yang diperlukan untuk mencetuskan peruntukan kunci hitam.

Nama Pilihan

taip

Penerangan

bkp_ip

Diperlukan

Menentukan alamat IP pelayan yang menjalankan perkhidmatan penyediaan kunci hitam.

bkp_port

Diperlukan

Menentukan port perkhidmatan penyediaan kunci hitam yang diperlukan untuk menyambung ke pelayan.

bkp_cfg_id

Diperlukan

Mengenal pasti ID aliran konfigurasi peruntukan kunci hitam.
Perkhidmatan peruntukan kunci hitam mencipta aliran konfigurasi peruntukan kunci hitam termasuk kunci akar AES, tetapan eFuse yang dikehendaki dan pilihan kebenaran peruntukan kunci hitam yang lain. Nombor yang diberikan semasa persediaan perkhidmatan peruntukan kunci hitam mengenal pasti aliran konfigurasi peruntukan kunci hitam.
Nota: Berbilang peranti mungkin merujuk kepada aliran konfigurasi perkhidmatan peruntukan kunci hitam yang sama.

bkp_tls_ca_cert

Diperlukan

Sijil TLS akar yang digunakan untuk mengenal pasti perkhidmatan penyediaan kunci hitam kepada Intel Quartus Prime Programmer (Programmer). Pihak Berkuasa Sijil yang dipercayai untuk contoh perkhidmatan penyediaan kunci hitam mengeluarkan sijil ini.
Jika anda menjalankan Pengaturcara pada komputer dengan sistem pengendalian Microsoft® Windows® (Windows), anda mesti memasang sijil ini dalam stor sijil Windows.

bkp_tls_prog_cert

Diperlukan

Sijil yang dibuat untuk contoh Pengaturcara peruntukan kunci hitam (Pengaturcara BKP). Ini ialah sijil pelanggan https yang digunakan untuk mengenal pasti contoh pengaturcara BKP ini
bersambung…

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 44

Hantar Maklum Balas

4. Peruntukan Peranti 683823 | 2023.05.23

Nama Pilihan

taip

bkp_tls_prog_key

Diperlukan

bkp_tls_prog_key_pass Pilihan

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Pilihan Pilihan Pilihan

Penerangan
kepada perkhidmatan penyediaan kunci hitam. Anda mesti memasang dan membenarkan sijil ini dalam perkhidmatan peruntukan kunci hitam sebelum memulakan sesi peruntukan kunci hitam. Jika anda menjalankan Pengaturcara pada Windows, pilihan ini tidak tersedia. Dalam kes ini, bkp_tls_prog_key sudah termasuk sijil ini.
Kunci persendirian yang sepadan dengan sijil Pengaturcara BKP. Kunci mengesahkan identiti contoh BKP Programmer kepada perkhidmatan penyediaan kunci hitam. Jika anda menjalankan Pengaturcara pada Windows, .pfx file menggabungkan sijil bkp_tls_prog_cert dan kunci peribadi. Pilihan bkp_tlx_prog_key melepasi .pfx file dalam bkp_options.txt file.
Kata laluan untuk kunci peribadi bkp_tls_prog_key. Tidak diperlukan dalam teks pilihan konfigurasi peruntukan kunci hitam (bkp_options.txt). file.
Menentukan pelayan proksi URL alamat.
Menentukan nama pengguna pelayan proksi.
Menentukan kata laluan pengesahan proksi.

4.10. Menukar Kunci Root Pemilik, Sijil Kunci Root AES dan Fius files kepada Jam STAPL File Format

Anda boleh menggunakan perintah baris perintah quartus_pfg untuk menukar .qky, kunci akar AES .ccert dan .fuse files kepada Format STAPL Jam File (.jam) dan Format Kod Bait Jam File (.jbc). Anda boleh menggunakan ini files untuk memprogramkan Intel FPGA menggunakan Jam STAPL Player dan Jam STAPL Byte-Code Player, masing-masing.

Satu .jam atau .jbc mengandungi beberapa fungsi termasuk konfigurasi imej pembantu perisian tegar dan atur cara, semakan kosong dan pengesahan pengaturcaraan kunci dan fius.

Awas:

Apabila anda menukar kekunci akar AES .ccert file kepada format .jam, .jam file mengandungi kunci AES dalam bentuk plaintext tetapi dikaburkan. Akibatnya, anda mesti melindungi .jam file apabila menyimpan kunci AES. Anda boleh melakukan ini dengan menyediakan kunci AES dalam persekitaran yang selamat.

Berikut adalah bekasampkurang daripada perintah penukaran quartus_pfg:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qqky.jpky;root2.qqky;” c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=Rseg_Afu014 er_device=Tetapan AGFB24RXNUMXA. fius settings_fuse.jbc

Untuk maklumat lanjut tentang penggunaan Jam STAPL Player untuk pengaturcaraan peranti rujuk AN 425: Menggunakan Penyelesaian STAPL Jam Baris Perintah untuk Pengaturcaraan Peranti.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 45

4. Peruntukan Peranti 683823 | 2023.05.23
Jalankan arahan berikut untuk memprogram kunci awam akar pemilik dan kunci penyulitan AES:
//Untuk memuatkan aliran bit pembantu ke dalam FPGA. // Aliran bit pembantu termasuk perisian tegar peruntukan quartus_jli -c 1 -a CONFIGURE RootKey.jam
//Untuk memprogram kunci awam akar pemilik ke dalam eFuses maya quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Untuk memprogram kunci awam akar pemilik ke dalam fizikal eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Untuk memprogram kunci awam akar pemilik PR ke dalam eFuses maya quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Untuk memprogram kunci awam akar pemilik PR ke dalam fizikal eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Untuk memprogramkan kunci penyulitan AES CCERT ke dalam BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Untuk memprogramkan kunci penyulitan AES CCERT ke dalam eFuses fizikal quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Maklumat Berkaitan AN 425: Menggunakan Penyelesaian STAPL Jam Baris Perintah untuk Pengaturcaraan Peranti

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 46

Hantar Maklum Balas

683823 | 2023.05.23 Hantar Maklum Balas

Ciri Lanjutan

5.1. Kebenaran Nyahpepijat Selamat
Untuk mendayakan Kebenaran Nyahpepijat Selamat, pemilik nyahpepijat perlu menjana pasangan kunci pengesahan dan menggunakan Pengaturcara Intel Quartus Prime Pro untuk menjana maklumat peranti file untuk peranti yang menjalankan imej nyahpepijat:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
Pemilik peranti menggunakan alat quartus_sign atau pelaksanaan rujukan untuk menambahkan kemasukan kunci awam bersyarat pada rantaian tandatangan yang bertujuan untuk operasi nyahpepijat menggunakan kunci awam daripada pemilik nyahpepijat, kebenaran yang diperlukan, teks maklumat peranti file, dan sekatan lanjut yang berkenaan:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″ debug_authorization_public_key.pem secure_debug_auth_chain.qky
Pemilik peranti menghantar semula rantaian tandatangan penuh kepada pemilik nyahpepijat, yang menggunakan rantaian tandatangan dan kunci peribadi mereka untuk menandatangani imej nyahpepijat:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Anda boleh menggunakan perintah quartus_pfg untuk memeriksa rantaian tandatangan setiap bahagian aliran bit nyahpepijat selamat yang ditandatangani ini seperti berikut:
quartus_pfg –check_integrity authorized_debug_design.rbf
Output arahan ini mencetak nilai sekatan 1,2,17,18 kunci awam bersyarat yang digunakan untuk menjana aliran bit yang ditandatangani.
Pemilik nyahpepijat kemudiannya boleh memprogramkan reka bentuk nyahpepijat yang dibenarkan dengan selamat:
quartus_pgm -c 1 -mjtag -o "p;authorized_debug_design.rbf"
Pemilik peranti boleh membatalkan kebenaran nyahpepijat selamat dengan membatalkan ID pembatalan kunci eksplisit yang diberikan dalam rantaian tandatangan keizinan nyahpepijat selamat.
5.2. Sijil Nyahpepijat HPS
Mendayakan hanya akses yang dibenarkan kepada port akses nyahpepijat (DAP) HPS melalui JTAG antara muka memerlukan beberapa langkah:

ISO 9001:2015 Berdaftar

5. Ciri Lanjutan 683823 | 2023.05.23
1. Klik menu Tugasan perisian Intel Quartus Prime dan pilih tab Konfigurasi Peranti Peranti dan Pin.
2. Dalam tab Konfigurasi, dayakan port akses nyahpepijat HPS (DAP) dengan memilih sama ada Pin HPS atau Pin SDM daripada menu lungsur turun dan pastikan kotak semak Benarkan nyahpepijat HPS tanpa sijil tidak dipilih.
Rajah 14. Nyatakan Sama ada Pin HPS atau SDM untuk HPS DAP

Port akses nyahpepijat HPS (DAP)
Sebagai alternatif, anda boleh menetapkan tugasan di bawah dalam Tetapan Quartus Prime .qsf file:
set_global_assignment -nama HPS_DAP_SPLIT_MODE “SDM PIN”
3. Susun dan muatkan reka bentuk dengan tetapan ini. 4. Buat rantaian tandatangan dengan kebenaran yang sesuai untuk menandatangani nyahpepijat HPS
sijil:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hpky_debug_cert_sign_chain.
5. Minta sijil nyahpepijat HPS yang tidak ditandatangani daripada peranti tempat reka bentuk nyahpepijat dimuatkan:
quartus_pgm -c 1 -mjtag -o "e;unsigned_hps_debug.cert;AGFB014R24A"
6. Tandatangani sijil nyahpepijat HPS yang tidak ditandatangani menggunakan alat quartus_sign atau pelaksanaan rujukan dan rantaian tandatangan nyahpepijat HPS:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 48

Hantar Maklum Balas

5. Ciri Lanjutan 683823 | 2023.05.23
7. Hantar sijil nyahpepijat HPS yang telah ditandatangani kembali ke peranti untuk membolehkan akses kepada port akses nyahpepijat HPS (DAP):
quartus_pgm -c 1 -mjtag -o "p;signed_hps_debug.cert"
Sijil nyahpepijat HPS hanya sah dari masa ia dijana sehingga kitaran kuasa peranti seterusnya atau sehingga jenis atau versi perisian tegar SDM yang berbeza dimuatkan. Anda mesti menjana, menandatangani dan memprogramkan sijil nyahpepijat HPS yang telah ditandatangani, dan melaksanakan semua operasi nyahpepijat, sebelum mengitar kuasa peranti. Anda boleh membatalkan sijil nyahpepijat HPS yang ditandatangani dengan mengitar kuasa peranti.
5.3. Pengesahan Platform
Anda boleh menjana manifes integriti rujukan (.rim) file menggunakan pengaturcaraan file alat penjana:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Ikuti langkah ini untuk memastikan pengesahan platform dalam reka bentuk anda: 1. Gunakan Intel Quartus Prime Pro Programmer untuk mengkonfigurasi peranti anda dengan
reka bentuk yang anda cipta manifes integriti rujukan. 2. Gunakan pengesah pengesahan platform untuk mendaftarkan peranti dengan mengeluarkan arahan kepada
SDM melalui peti mel SDM untuk mencipta sijil ID peranti dan sijil perisian tegar semasa dimuat semula. 3. Gunakan Intel Quartus Prime Pro Programmer untuk mengkonfigurasi semula peranti anda dengan reka bentuk. 4. Gunakan pengesah pengesahan platform untuk mengeluarkan arahan kepada SDM untuk mendapatkan ID peranti pengesahan, perisian tegar dan sijil alias. 5. Gunakan pengesah pengesahan untuk mengeluarkan arahan peti mel SDM untuk mendapatkan bukti pengesahan dan pengesah menyemak bukti yang dikembalikan.
Anda boleh melaksanakan perkhidmatan pengesah anda sendiri menggunakan arahan peti mel SDM atau menggunakan perkhidmatan pengesah pengesahan platform Intel. Untuk mendapatkan maklumat lanjut tentang perisian perkhidmatan pengesah pengesahan platform Intel, ketersediaan dan dokumentasi, hubungi Sokongan Intel.
Maklumat Berkaitan Garis Panduan Sambungan Pin Keluarga Peranti Intel Agilex 7
5.4. Anti-T Fizikalamper
Anda mendayakan anti-t fizikalamper menggunakan langkah-langkah berikut: 1. Memilih respons yang diingini kepada t yang dikesanamper acara 2. Mengkonfigurasi t yang dikehendakiampkaedah dan parameter pengesanan 3. Termasuk anti-tamper IP dalam logik reka bentuk anda untuk membantu mengurus anti-tamper
peristiwa

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 49

5. Ciri Lanjutan 683823 | 2023.05.23
5.4.1. Anti-Tamper Respons
Anda mendayakan anti-t fizikalamper dengan memilih respons daripada Anti-tamprespons er: senarai lungsur turun pada Peranti Tugasan dan Pilihan Pin Keselamatan Anti-Tamper tab. Secara lalai, anti-tamper respons dilumpuhkan. Lima kategori anti-tampjawapan er tersedia. Apabila anda memilih respons yang anda inginkan, pilihan untuk mendayakan satu atau lebih kaedah pengesanan didayakan.
Rajah 15. Tersedia Anti-Tamper Pilihan Respons

Tugasan yang sepadan dalam tetapan Quartus Prime .gsf file adalah yang berikut:
set_global_assignment -nama ANTI_TAMPER_RESPONSE "PEMBERITAHUAN PERANTI LAPKAN KUNCI DAN PENYIFIRAN PERANTI"
Apabila anda mendayakan anti-tamper respons, anda boleh memilih dua pin I/O khusus SDM yang tersedia untuk mengeluarkan tamppengesanan peristiwa dan status tindak balas menggunakan tetingkap Pilihan Pin Konfigurasi Peranti Tugasan dan Pilihan Pin.

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 50

Hantar Maklum Balas

5. Ciri Lanjutan 683823 | 2023.05.23
Rajah 16. Pin I/O khusus SDM tersedia untuk Tamper Pengesanan Peristiwa

Anda juga boleh membuat penetapan pin berikut dalam tetapan file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -nama ANTI_TAMPER_RESPONSE_GAGAL SDM_IO16

5.4.2. Anti-Tamper Pengesanan

Anda boleh mendayakan frekuensi, suhu dan voltage ciri pengesanan SDM. Pengesanan FPGA bergantung pada memasukkan Anti-Tamper Lite Intel FPGA IP dalam reka bentuk anda.

Nota:

Kekerapan SDM dan voltagetampkaedah pengesanan adalah bergantung pada rujukan dalaman dan perkakasan pengukuran yang boleh berbeza-beza merentas peranti. Intel mengesyorkan agar anda mencirikan tingkah laku tamptetapan pengesanan.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 51

5. Ciri Lanjutan 683823 | 2023.05.23
Kekerapan tamppengesanan er beroperasi pada sumber jam konfigurasi. Untuk membolehkan kekerapan tamppengesanan, anda mesti menentukan pilihan selain Pengayun Dalaman dalam menu lungsur sumber jam Konfigurasi pada tab Peranti Peranti Tugasan dan Pilihan Pin Umum. Anda mesti memastikan bahawa kotak semak Jalankan konfigurasi CPU daripada pengayun dalaman didayakan sebelum mendayakan frekuensi tamper pengesanan. Rajah 17. Menetapkan SDM kepada Pengayun Dalaman
Untuk membolehkan kekerapan tamper pengesanan, pilih frekuensi Dayakan tampkotak semak pengesanan dan pilih Frekuensi t yang dikehendakiampjulat pengesanan daripada menu lungsur turun. Rajah 18. Mendayakan Frekuensi Tamper Pengesanan

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 52

Hantar Maklum Balas

5. Ciri Lanjutan 683823 | 2023.05.23
Sebagai alternatif, anda boleh mendayakan Frekuensi Tamper Pengesanan dengan membuat perubahan berikut pada Tetapan Quartus Prime .qsf file:
set_global_assignment -nama AUTO_RESTART_CONFIGURATION OFF set_global_assignment -nama DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -nama RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -nama_global_assignmentAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Untuk membolehkan suhu tamper pengesanan, pilih butang Dayakan suhu tampkotak semak pengesanan dan pilih batas atas dan bawah suhu yang dikehendaki dalam medan yang sepadan. Sempadan atas dan bawah diisi secara lalai dengan julat suhu yang berkaitan untuk peranti yang dipilih dalam reka bentuk.
Untuk membolehkan voltagetamper pengesanan, anda memilih salah satu atau kedua-duanya daripada Dayakan VCCL voltagetamppengesanan atau Dayakan VCCL_SDM voltagetampkotak semak pengesanan dan pilih Voltagetampperatus pencetus pengesanantage dalam medan yang sepadan.
Rajah 19. Membolehkan Voltage Tamper Pengesanan

Sebagai alternatif, anda boleh mendayakan Voltage Tamper Pengesanan dengan menyatakan tugasan berikut dalam .qsf file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -nama ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION HIDUP
5.4.3. Anti-Tamper Lite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP, tersedia dalam katalog IP dalam perisian Intel Quartus Prime Pro Edition, memudahkan komunikasi dua arah antara reka bentuk anda dan SDM untukampperistiwa er.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 53

Rajah 20. Anti-Tamper Lite Intel FPGA IP

5. Ciri Lanjutan 683823 | 2023.05.23

IP menyediakan isyarat berikut yang anda sambungkan ke reka bentuk anda seperti yang diperlukan:

Jadual 5.

Anti-TampIsyarat I/O IP FPGA Intel Lite

Nama Isyarat

Arah

Penerangan

gpo_sdm_at_event gpi_fpga_at_event

Input Hasil

Isyarat SDM kepada logik fabrik FPGA yang telah dikesan oleh SDMamper acara. Logik FPGA mempunyai kira-kira 5ms untuk melakukan sebarang pembersihan yang dikehendaki dan bertindak balas kepada SDM melalui gpi_fpga_at_response_done dan gpi_fpga_at_zeroization_done. SDM meneruskan dengan tamptindakan tindak balas apabila gpi_fpga_at_response_done ditegaskan atau selepas tiada respons diterima dalam masa yang diperuntukkan.
FPGA mengganggu kepada SDM yang direka anti-t andaamplitar pengesanan telah dikesan padaampacara er dan SDM tamper respons harus dicetuskan.

gpi_fpga_at_response_done

Input

FPGA mengganggu SDM bahawa logik FPGA telah melakukan pembersihan yang diingini.

gpi_fpga_at_zeroization_d satu

Input

Isyarat FPGA kepada SDM bahawa logik FPGA telah menyelesaikan sebarang pensifaran data reka bentuk yang dikehendaki. Isyarat ini ialah sampdiketuai apabila gpi_fpga_at_response_done ditegaskan.

5.4.3.1. Maklumat Keluaran

Nombor skema versi IP (XYZ) berubah daripada satu versi perisian ke versi perisian yang lain. Perubahan dalam:
· X menunjukkan semakan utama IP. Jika anda mengemas kini perisian Intel Quartus Prime anda, anda mesti menjana semula IP.
· Y menunjukkan IP termasuk ciri baharu. Jana semula IP anda untuk memasukkan ciri baharu ini.
· Z menunjukkan IP termasuk perubahan kecil. Jana semula IP anda untuk memasukkan perubahan ini.

Jadual 6.

Anti-TampMaklumat Keluaran IP FPGA Intel Lite

Versi IP

item

Penerangan 20.1.0

Versi Intel Quartus Prime

21.2

Tarikh Tayangan

2021.06.21

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 54

Hantar Maklum Balas

5. Ciri Lanjutan 683823 | 2023.05.23
5.5. Menggunakan Ciri Keselamatan Reka Bentuk dengan Kemas Kini Sistem Jauh
Kemas Kini Sistem Jauh (RSU) ialah ciri FPGA Intel Agilex 7 yang membantu dalam mengemas kini konfigurasi files dengan cara yang mantap. RSU serasi dengan ciri keselamatan reka bentuk seperti pengesahan, tandatangan bersama perisian tegar dan penyulitan aliran bit kerana RSU tidak bergantung pada kandungan reka bentuk aliran bit konfigurasi.
Membina Imej RSU dengan .sof Files
Jika anda menyimpan kunci peribadi pada tempatan anda filesistem, anda boleh menjana imej RSU dengan ciri keselamatan reka bentuk menggunakan aliran dipermudahkan dengan .sof files sebagai input. Untuk menjana imej RSU dengan .sof file, anda boleh mengikut arahan dalam Bahagian Menjana Imej Kemas Kini Sistem Jauh Files Menggunakan Pengaturcaraan File Penjana Panduan Pengguna Konfigurasi Intel Agilex 7. Bagi setiap .sof file dinyatakan pada Input Files tab, klik butang Properties… dan tentukan tetapan dan kunci yang sesuai untuk alat tandatangan dan penyulitan. Pengaturcaraan file alat penjana secara automatik menandatangani dan menyulitkan imej kilang dan aplikasi semasa mencipta pengaturcaraan RSU files.
Sebagai alternatif, jika anda menyimpan kunci peribadi dalam HSM, anda mesti menggunakan alat quartus_sign dan oleh itu gunakan .rbf files. Bahagian selebihnya memperincikan perubahan dalam aliran untuk menjana imej RSU dengan .rbf files sebagai input. Anda mesti menyulitkan dan menandatangani format .rbf files sebelum memilihnya sebagai input files untuk imej RSU; bagaimanapun, maklumat but RSU file tidak boleh disulitkan dan sebaliknya hanya ditandatangani. Pengaturcaraan File Penjana tidak menyokong sifat mengubah suai format .rbf files.
Ex berikutamples menunjukkan pengubahsuaian yang diperlukan pada arahan dalam Bahagian Menjana Imej Kemas Kini Sistem Jauh Files Menggunakan Pengaturcaraan File Penjana Panduan Pengguna Konfigurasi Intel Agilex 7.
Menjana Imej RSU Permulaan Menggunakan .rbf Files: Pengubahsuaian Perintah
Daripada Menjana Imej RSU Permulaan Menggunakan .rbf Files bahagian, ubah suai arahan dalam Langkah 1. untuk membolehkan ciri keselamatan reka bentuk seperti yang dikehendaki menggunakan arahan daripada bahagian awal dokumen ini.
Untuk exampOleh itu, anda akan menentukan perisian tegar yang ditandatangani file jika anda menggunakan penandatanganan perisian tegar, kemudian gunakan alat penyulitan Quartus untuk menyulitkan setiap .rbf file, dan akhirnya gunakan alat quartus_sign untuk menandatangani setiap satu file.
Dalam langkah 2, jika anda telah mendayakan tandatangan bersama perisian tegar, anda mesti menggunakan pilihan tambahan dalam penciptaan but .rbf daripada imej kilang file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Selepas anda mencipta maklumat but .rbf file, gunakan alat quartus_sign untuk menandatangani .rbf file. Anda tidak boleh menyulitkan maklumat but .rbf file.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 55

5. Ciri Lanjutan 683823 | 2023.05.23
Menjana Imej Aplikasi: Pengubahsuaian Perintah
Untuk menjana imej aplikasi dengan ciri keselamatan reka bentuk, anda mengubah suai perintah dalam Menjana Imej Aplikasi untuk menggunakan .rbf dengan ciri keselamatan reka bentuk didayakan, termasuk perisian tegar yang ditandatangani bersama jika diperlukan, bukannya aplikasi asal .sof file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Menjana Imej Kemas Kini Kilang: Pengubahsuaian Perintah
Selepas anda mencipta maklumat but .rbf file, anda menggunakan alat quartus_sign untuk menandatangani .rbf file. Anda tidak boleh menyulitkan maklumat but .rbf file.
Untuk menjana imej kemas kini kilang RSU, anda mengubah suai arahan daripada Menjana Imej Kemas Kini Kilang untuk menggunakan .rbf file dengan ciri keselamatan reka bentuk didayakan dan tambahkan pilihan untuk menunjukkan penggunaan perisian tegar yang ditandatangani bersama:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Maklumat Berkaitan Panduan Pengguna Konfigurasi Intel Agilex 7
5.6. Perkhidmatan Kriptografi SDM
SDM pada peranti Intel Agilex 7 menyediakan perkhidmatan kriptografi yang boleh diminta oleh logik fabrik FPGA atau HPS melalui antara muka peti mel SDM masing-masing. Untuk mendapatkan maklumat lanjut tentang arahan peti mel dan format data untuk semua perkhidmatan kriptografi SDM, rujuk Lampiran B dalam Metodologi Keselamatan untuk Intel FPGA dan Panduan Pengguna ASIC Berstruktur.
Untuk mengakses antara muka peti mel SDM kepada logik fabrik FPGA untuk perkhidmatan kriptografi SDM, anda mesti membuat seketika IP FPGA Intel FPGA Pelanggan Peti Mel dalam reka bentuk anda.
Kod rujukan untuk mengakses antara muka peti mel SDM daripada HPS disertakan dalam kod ATF dan Linux yang disediakan oleh Intel.
Maklumat Berkaitan Panduan Pengguna Peti Mel Pelanggan Intel FPGA IP
5.6.1. But Dibenarkan Penjual
Intel menyediakan pelaksanaan rujukan untuk perisian HPS yang menggunakan ciri but dibenarkan vendor untuk mengesahkan perisian but HPS dari s pertama.tage pemuat but melalui kernel Linux.
Maklumat Berkaitan Reka Bentuk Demo Boot Selamat Intel Agilex 7 SoC

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 56

Hantar Maklum Balas

5. Ciri Lanjutan 683823 | 2023.05.23
5.6.2. Perkhidmatan Objek Data Selamat
Anda menghantar arahan melalui peti mel SDM untuk melaksanakan penyulitan dan penyahsulitan objek SDOS. Anda boleh menggunakan ciri SDOS selepas memperuntukkan kunci akar SDOS.
Maklumat Berkaitan Secure Data Object Service Root Key Provisioning pada halaman 30
5.6.3. Perkhidmatan Primitif Kriptografi SDM
Anda menghantar arahan melalui peti mel SDM untuk memulakan operasi perkhidmatan primitif kriptografi SDM. Sesetengah perkhidmatan primitif kriptografi memerlukan lebih banyak data dipindahkan ke dan dari SDM daripada antara muka peti mel boleh terima. Dalam kes ini, arahan format berubah untuk memberikan penunjuk kepada data dalam ingatan. Selain itu, anda mesti menukar instantiasi IP FPGA Intel FPGA Pelanggan Peti Mel untuk menggunakan perkhidmatan primitif kriptografi SDM daripada logik fabrik FPGA. Anda juga mesti menetapkan parameter Dayakan Perkhidmatan Kripto kepada 1 dan sambungkan antara muka pemula AXI yang baru terdedah kepada memori dalam reka bentuk anda.
Rajah 21. Mendayakan Perkhidmatan Kriptografi SDM dalam Peti Mel Pelanggan Intel FPGA IP

5.7. Tetapan Keselamatan Aliran Bit (FM/S10)
Pilihan Keselamatan FPGA Bitstream ialah koleksi dasar yang menyekat ciri atau mod operasi yang ditentukan dalam tempoh yang ditetapkan.
Pilihan Bitstream Security terdiri daripada bendera yang anda tetapkan dalam perisian Intel Quartus Prime Pro Edition. Bendera ini secara automatik disalin ke dalam aliran bit konfigurasi.
Anda boleh menguatkuasakan pilihan keselamatan secara kekal pada peranti melalui penggunaan tetapan keselamatan yang sepadan eFuse.
Untuk menggunakan sebarang tetapan keselamatan dalam aliran bit konfigurasi atau peranti eFuses, anda mesti mendayakan ciri pengesahan.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 57

5. Ciri Lanjutan 683823 | 2023.05.23
5.7.1. Memilih dan Mendayakan Pilihan Keselamatan
Untuk memilih dan mendayakan pilihan keselamatan, lakukan seperti berikut: Dari menu Tugasan, pilih Peranti Peranti dan Pilihan Pin Keselamatan Lagi Pilihan... Rajah 22. Memilih dan Mendayakan Pilihan Keselamatan

Dan kemudian pilih nilai daripada senarai juntai bawah untuk pilihan keselamatan yang anda ingin dayakan seperti yang ditunjukkan dalam contoh berikutample:
Rajah 23. Memilih Nilai untuk Pilihan Keselamatan

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 58

Hantar Maklum Balas

5. Ciri Lanjutan 683823 | 2023.05.23
Berikut ialah perubahan yang sepadan dalam Tetapan Quartus Prime .qsf file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG “ON CHECK” set_global_assignment -nama SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE “ON STICKY” set_global_assignment -nama SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECU_OPTION_CUUAL_assignment_NAME_OPTION_DISABLE LOCK_SECURITY_EFUSES ON set_global_assignment -nama SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -nama SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -nama SECU_OPTION_G_FUSES_assignment -nama SECU_OPTION_G_FUSES_DISABLE nama SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -nama SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -nama SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 59

683823 | 2023.05.23 Hantar Maklum Balas

Menyelesaikan masalah

Bab ini menerangkan ralat biasa dan mesej amaran yang mungkin anda hadapi semasa cuba menggunakan ciri dan langkah keselamatan peranti untuk menyelesaikannya.
6.1. Menggunakan Perintah Quartus dalam Ralat Persekitaran Windows
Ralat quartus_pgm: arahan tidak ditemui Penerangan Ralat ini dipaparkan apabila cuba menggunakan arahan Quartus dalam Shell NIOS II dalam persekitaran Windows dengan menggunakan WSL. Resolusi Perintah ini berfungsi dalam persekitaran Linux; Untuk hos Windows, gunakan arahan berikut: quartus_pgm.exe -h Begitu juga, gunakan sintaks yang sama pada perintah Quartus Prime yang lain seperti quartus_pfg, quartus_sign, quartus_encrypt antara arahan lain.

ISO 9001:2015 Berdaftar

6. Penyelesaian masalah 683823 | 2023.05.23

6.2. Menjana Amaran Kunci Peribadi

Amaran:

Kata laluan yang dinyatakan dianggap tidak selamat. Intel mengesyorkan bahawa sekurang-kurangnya 13 aksara kata laluan digunakan. Anda disyorkan untuk menukar kata laluan dengan menggunakan boleh laku OpenSSL.

openssl ec -in -keluar -aes256

Penerangan
Amaran ini berkaitan dengan kekuatan kata laluan dan paparan apabila cuba menjana kunci peribadi dengan mengeluarkan arahan berikut:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Penyelesaian Gunakan openssl boleh laku untuk menentukan kata laluan yang lebih panjang dan dengan itu lebih kukuh.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 61

6. Penyelesaian masalah 683823 | 2023.05.23
6.3. Menambah Kunci Tandatangan pada Ralat Projek Quartus
Ralat…File mengandungi maklumat kunci akar…
Penerangan
Selepas menambah kunci tandatangan .qky file kepada projek Quartus, anda perlu memasang semula .sof file. Apabila anda menambah .sof yang dijana semula ini file ke peranti yang dipilih dengan menggunakan Quartus Programmer, mesej ralat berikut menunjukkan bahawa file mengandungi maklumat kunci akar:
Gagal menambahfile-path-name> kepada Pengaturcara. The file mengandungi maklumat kunci akar (.qky). Walau bagaimanapun, Pengaturcara tidak menyokong ciri tandatangan aliran bit. Anda boleh menggunakan Pengaturcaraan File Penjana untuk menukar file kepada Perduaan Mentah yang ditandatangani file (.rbf) untuk konfigurasi.
Resolusi
Gunakan Pengaturcaraan Quartus file penjana untuk menukar file ke dalam Perduaan Mentah yang ditandatangani File .rbf untuk konfigurasi.
Aliran Bit Konfigurasi Penandatanganan Maklumat Berkaitan Menggunakan Perintah quartus_sign pada halaman 13

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 62

Hantar Maklum Balas

6. Penyelesaian masalah 683823 | 2023.05.23
6.4. Menjana Pengaturcaraan Quartus Prime File tidak berjaya
ralat
Ralat (20353): X kunci awam daripada QKY tidak sepadan dengan kunci peribadi daripada PEM file.
Ralat (20352): Gagal menandatangani aliran bit melalui skrip python agilex_sign.py.
Ralat: Pengaturcaraan Quartus Prime File Penjana tidak berjaya.
Perihalan Jika anda cuba menandatangani aliran bit konfigurasi menggunakan kunci persendirian yang salah .pem file atau .pem file yang tidak sepadan dengan .qky yang ditambahkan pada projek, ralat biasa di atas dipaparkan. Penyelesaian Pastikan anda menggunakan kunci persendirian yang betul .pem untuk menandatangani aliran bit.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 63

6. Penyelesaian masalah 683823 | 2023.05.23
6.5. Ralat Hujah Tidak Diketahui
ralat
Ralat (23028): Argumen tidak diketahui "ûc". Rujuk kepada –help untuk hujah undang-undang.
Ralat (213008): Rentetan pilihan pengaturcaraan "ûp" adalah menyalahi undang-undang. Rujuk kepada –help untuk format pilihan pengaturcaraan undang-undang.
Penerangan Jika anda menyalin dan menampal pilihan baris arahan daripada .pdf file dalam Windows NIOS II Shell, anda mungkin menghadapi ralat hujah Tidak diketahui seperti yang ditunjukkan di atas. Penyelesaian Dalam kes sedemikian, anda boleh memasukkan arahan secara manual dan bukannya menampal dari papan keratan.

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 64

Hantar Maklum Balas

6. Penyelesaian masalah 683823 | 2023.05.23
6.6. Ralat Dilumpuhkan Pilihan Penyulitan Bitstream
ralat
Tidak dapat memuktamadkan penyulitan untuk file reka bentuk .sof kerana ia telah disusun dengan pilihan penyulitan aliran bit dilumpuhkan.
Perihalan Jika anda cuba menyulitkan aliran bit melalui GUI atau baris arahan selepas anda menyusun projek dengan pilihan penyulitan aliran bit dilumpuhkan, Quartus menolak arahan seperti yang ditunjukkan di atas.
Resolusi Pastikan anda menyusun projek dengan pilihan penyulitan aliran bit didayakan sama ada melalui GUI atau baris arahan. Untuk mendayakan pilihan ini dalam GUI, anda mesti menandakan kotak semak untuk pilihan ini.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 65

6. Penyelesaian masalah 683823 | 2023.05.23
6.7. Menentukan Laluan Betul ke Kunci
ralat
Ralat (19516): Pengaturcaraan Dikesan File Ralat tetapan penjana: Tidak dapat mencari 'key_file'. Pastikan file terletak di lokasi yang dijangkakan atau kemas kini tetapan.sec
Ralat (19516): Pengaturcaraan Dikesan File Ralat tetapan penjana: Tidak dapat mencari 'key_file'. Pastikan file terletak di lokasi yang dijangkakan atau kemas kini tetapan.
Penerangan
Jika anda menggunakan kunci yang disimpan pada file sistem, anda perlu memastikan bahawa mereka menentukan laluan yang betul untuk kunci yang digunakan untuk penyulitan dan tandatangan aliran bit. Jika Pengaturcaraan File Penjana tidak dapat mengesan laluan yang betul, mesej ralat di atas dipaparkan.
Resolusi
Rujuk kepada Tetapan Quartus Prime .qsf file untuk mencari laluan yang betul untuk kunci. Pastikan anda menggunakan laluan relatif dan bukannya laluan mutlak.

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 66

Hantar Maklum Balas

6. Penyelesaian masalah 683823 | 2023.05.23
6.8. Menggunakan Output Tidak Disokong File taip
ralat
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
Ralat (19511): Output tidak disokong file jenis (ebf). Gunakan pilihan "-l" atau "–senarai" untuk memaparkan disokong file taip maklumat.
Penerangan Semasa menggunakan Pengaturcaraan Quartus File Penjana untuk menjana aliran bit konfigurasi yang disulitkan dan ditandatangani, anda mungkin melihat ralat di atas jika output tidak disokong file jenis ditentukan. Resolusi Gunakan pilihan -l atau –senarai untuk melihat senarai yang disokong file jenis.

Hantar Maklum Balas

Panduan Pengguna Keselamatan Peranti Intel Agilex® 7 67

683823 | 2023.05.23 Hantar Maklum Balas
7. Arkib Panduan Pengguna Keselamatan Peranti Intel Agilex 7
Untuk versi terkini dan sebelumnya bagi panduan pengguna ini, rujuk Panduan Pengguna Keselamatan Peranti Intel Agilex 7. Jika IP atau versi perisian tidak disenaraikan, panduan pengguna untuk IP atau versi perisian sebelumnya terpakai.

ISO 9001:2015 Berdaftar

683823 | 2023.05.23 Hantar Maklum Balas

8. Sejarah Semakan untuk Panduan Pengguna Keselamatan Peranti Intel Agilex 7

Versi Dokumen 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumen / Sumber

Keselamatan Peranti Intel Agilex 7 [pdf] Manual Pengguna
Keselamatan Peranti Agilex 7, Agilex 7, Keselamatan Peranti, Keselamatan

Rujukan

Manual Pengguna

Keselamatan Peranti Intel Agilex 7

Maklumat Produk

Arahan Penggunaan Produk

Soalan Lazim

Keselamatan Peranti Selesaiview

Pengesahan dan Kebenaran

Penyulitan AES Bitstream

Peruntukan Peranti

Ciri Lanjutan

Menyelesaikan masalah

Dokumen / Sumber

Rujukan

Tinggalkan komen

Batalkan balasan