Uporabniški priročnik za varnost naprave Intel Agilex 7

Intel je zavezan varnosti izdelkov in uporabnikom priporoča, da se seznanijo s ponujenimi viri za varnost izdelkov. Te vire je treba uporabljati skozi celotno življenjsko dobo izdelka Intel.

2. Načrtovane varnostne funkcije

Za prihodnjo izdajo programske opreme Intel Quartus Prime Pro Edition so načrtovane naslednje varnostne funkcije:

Varnostno preverjanje bitnega toka delne rekonfiguracije: Zagotavlja dodatno zagotovilo, da bitni tokovi delne rekonfiguracije (PR) ne morejo dostopati do drugih bitnih tokov oseb PR ali jih motiti.

Naprava za samoubijanje za fizični anti-Tamper: Izvede brisanje naprave ali odziv naprave na ničlo in programira eFuse, da prepreči ponovno konfiguracijo naprave.

3. Razpoložljiva varnostna dokumentacija

Naslednja tabela navaja razpoložljivo dokumentacijo za varnostne funkcije naprave na napravah Intel FPGA in Structured ASIC:

Ime dokumenta	Namen
Varnostna metodologija za Intel FPGA in uporabnik strukturiranih ASIC Vodnik	Dokument na najvišji ravni, ki vsebuje podrobne opise varnostne funkcije in tehnologije v programabilnih rešitvah Intel Izdelki. Uporabnikom pomaga izbrati potrebne varnostne funkcije izpolnjujejo svoje varnostne cilje.
Uporabniški priročnik za varnost naprave Intel Stratix 10	Navodila za uporabo za uporabnike naprav Intel Stratix 10 varnostne funkcije, identificirane z uporabo varnostne metodologije Uporabniški priročnik.
Uporabniški priročnik za varnost naprave Intel Agilex 7	Navodila za uporabo za uporabnike naprav Intel Agilex 7 varnostne funkcije, identificirane z uporabo varnostne metodologije Uporabniški priročnik.
Uporabniški priročnik za varnost naprave Intel eASIC N5X	Navodila za uporabo za uporabnike naprav Intel eASIC N5X varnostne funkcije, identificirane z uporabo varnostne metodologije Uporabniški priročnik.
Kriptografske storitve Intel Agilex 7 in Intel eASIC N5X HPS Uporabniški priročnik	Informacije za programske inženirje HPS o implementaciji in uporabo programskih knjižnic HPS za dostop do kriptografskih storitev zagotavlja SDM.
AN-968 Black Key Provisioning Service Vodnik za hiter začetek	Celoten niz korakov za nastavitev Black Key Provisioning storitev.

Pogosto zastavljena vprašanja

V: Kaj je namen Uporabniškega priročnika za varnostno metodologijo?

O: Uporabniški priročnik za varnostno metodologijo nudi podrobne opise varnostnih funkcij in tehnologij v izdelkih Intel Programmable Solutions. Uporabnikom pomaga pri izbiri potrebnih varnostnih funkcij za doseganje njihovih varnostnih ciljev.

V: Kje najdem uporabniški priročnik za Intel Agilex 7 Device Security?

O: Uporabniški priročnik za Intel Agilex 7 Device Security je na voljo v centru za vire in oblikovanje Intel webmesto.

V: Kaj je storitev Black Key Provisioning?

O: Storitev Black Key Provisioning je storitev, ki ponuja celoten nabor korakov za nastavitev zagotavljanja ključev za varne operacije.

View Fullscreen

Uporabniški priročnik za zaščito naprav Intel Agilex® 7
Posodobljeno za Intel® Quartus® Prime Design Suite: 23.1

Spletna različica Pošlji povratne informacije

UG-20335

683823 2023.05.23

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 2

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 3

683823 | 2023.05.23 Pošlji povratne informacije
1. Intel Agilex® 7

Varnost naprave končanaview

Intel® oblikuje naprave Intel Agilex® 7 z namensko varnostno strojno in strojno programsko opremo z visoko konfiguracijo.
Ta dokument vsebuje navodila za pomoč pri uporabi programske opreme Intel Quartus® Prime Pro Edition za implementacijo varnostnih funkcij na vaših napravah Intel Agilex 7.
Poleg tega je uporabniški priročnik za varnostno metodologijo za Intelove FPGA in strukturirane ASIC na voljo v Intelovem centru za vire in oblikovanje. Ta dokument vsebuje podrobne opise varnostnih funkcij in tehnologij, ki so na voljo prek izdelkov Intel Programmable Solutions, da vam pomaga izbrati varnostne funkcije, ki so potrebne za doseganje vaših varnostnih ciljev. Obrnite se na Intelovo podporo z referenčno številko 14014613136 za dostop do varnostne metodologije za uporabniški priročnik Intel FPGA in strukturiranih ASIC.
Dokument je organiziran na naslednji način: · Preverjanje pristnosti in avtorizacija: vsebuje navodila za ustvarjanje
ključe za preverjanje pristnosti in podpisne verige, uveljavljanje dovoljenj in preklice, podpisovanje predmetov in funkcije za preverjanje pristnosti programov na napravah Intel Agilex 7. · Šifriranje bitnega toka AES: ponuja navodila za ustvarjanje korenskega ključa AES, šifriranje bitnih tokov konfiguracije in zagotavljanje korenskega ključa AES za naprave Intel Agilex 7. · Omogočanje naprav: ponuja navodila za uporabo vdelane programske opreme Intel Quartus Prime Programmer in Secure Device Manager (SDM) za programiranje varnostnih funkcij na napravah Intel Agilex 7. · Napredne funkcije: ponuja navodila za omogočanje naprednih varnostnih funkcij, vključno z avtorizacijo varnega odpravljanja napak, odpravljanjem napak v sistemu trdega procesorja (HPS) in posodobitvijo sistema na daljavo.
1.1. Zavezanost varnosti izdelka
Intelova dolgotrajna zavezanost varnosti še nikoli ni bila močnejša. Intel toplo priporoča, da se seznanite z našimi varnostnimi viri izdelkov in jih nameravate uporabljati skozi celotno življenjsko dobo vašega izdelka Intel.
Povezane informacije · Varnost izdelkov pri Intelu · Nasveti centra za varnost izdelkov Intel

Intel Corporation. Vse pravice pridržane. Intel, logotip Intel in druge znamke Intel so blagovne znamke družbe Intel Corporation ali njenih podružnic. Intel jamči za delovanje svojih izdelkov FPGA in polprevodnikov v skladu s trenutnimi specifikacijami v skladu z Intelovo standardno garancijo, vendar si pridržuje pravico do sprememb katerega koli izdelka in storitve kadar koli brez predhodnega obvestila. Intel ne prevzema nobene odgovornosti ali obveznosti, ki izhaja iz uporabe ali uporabe katere koli informacije, izdelka ali storitve, opisanih tukaj, razen če je Intel izrecno pisno privolil v to. Intelovim strankam svetujemo, da pridobijo najnovejšo različico specifikacij naprave, preden se zanesejo na kakršne koli objavljene informacije in preden oddajo naročila za izdelke ali storitve. *Druga imena in blagovne znamke so lahko last drugih.

ISO 9001:2015 Registriran

1. Intel Agilex® 7 Device Security Overview 683823 | 2023.05.23

1.2. Načrtovane varnostne funkcije

Funkcije, omenjene v tem razdelku, so načrtovane za prihodnjo izdajo programske opreme Intel Quartus Prime Pro Edition.

Opomba:

Informacije v tem razdelku so predhodne.

1.2.1. Varnostno preverjanje bitnega toka delne rekonfiguracije
Preverjanje varnosti bitnega toka delne rekonfiguracije (PR) pomaga zagotoviti dodatno zagotovilo, da bitni tokovi oseb PR ne morejo dostopati do drugih bitnih tokov oseb PR ali jih motiti.

1.2.2. Naprava za samoubijanje za fizični anti-Tamper
Device self-kill izvede brisanje naprave ali odziv naprave na ničlo in dodatno programira eFuse, da prepreči ponovno konfiguracijo naprave.

1.3. Razpoložljiva varnostna dokumentacija

Naslednja tabela navaja razpoložljivo dokumentacijo za varnostne funkcije naprave na napravah Intel FPGA in Structured ASIC:

Tabela 1.

Razpoložljiva varnostna dokumentacija naprave

Ime dokumenta
Varnostna metodologija za Intelove FPGA in strukturirane ASIC uporabniški priročnik

Namen
Dokument najvišje ravni, ki vsebuje podrobne opise varnostnih funkcij in tehnologij v izdelkih Intel Programmable Solutions. Namenjeno vam je, da vam pomaga izbrati varnostne funkcije, potrebne za doseganje vaših varnostnih ciljev.

ID dokumenta 721596

Uporabniški priročnik za varnost naprave Intel Stratix 10
Uporabniški priročnik za varnost naprave Intel Agilex 7

Za uporabnike naprav Intel Stratix 10 ta priročnik vsebuje navodila za uporabo programske opreme Intel Quartus Prime Pro Edition za implementacijo varnostnih funkcij, opredeljenih v Uporabniškem priročniku za varnostno metodologijo.
Za uporabnike naprav Intel Agilex 7 ta priročnik vsebuje navodila za uporabo programske opreme Intel Quartus Prime Pro Edition za implementacijo varnostnih funkcij, opredeljenih v Uporabniškem priročniku za varnostno metodologijo.

683642 683823

Uporabniški priročnik za varnost naprave Intel eASIC N5X

Za uporabnike naprav Intel eASIC N5X ta priročnik vsebuje navodila za uporabo programske opreme Intel Quartus Prime Pro Edition za izvajanje varnostnih funkcij, opredeljenih v Uporabniškem priročniku za varnostno metodologijo.

626836

Uporabniški priročnik za kriptografske storitve Intel Agilex 7 in Intel eASIC N5X HPS

Ta priročnik vsebuje informacije za pomoč inženirjem programske opreme HPS pri izvajanju in uporabi knjižnic programske opreme HPS za dostop do kriptografskih storitev, ki jih zagotavlja SDM.

713026

AN-968 Black Key Provisioning Service Vodnik za hiter začetek

Ta priročnik vsebuje celoten niz korakov za nastavitev storitve Black Key Provisioning.

739071

Lokacija Intel Resource in
Center za oblikovanje
Intel.com
Intel.com
Intel Resource and Design Center
Intel Resource and Design Center
Intel Resource and Design Center

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 5

683823 | 2023.05.23 Pošlji povratne informacije

Avtentikacija in avtorizacija

Če želite omogočiti funkcije preverjanja pristnosti naprave Intel Agilex 7, začnete z uporabo programske opreme Intel Quartus Prime Pro Edition in povezanih orodij za izgradnjo verige podpisov. Veriga podpisa je sestavljena iz korenskega ključa, enega ali več ključev za podpisovanje in ustreznih avtorizacij. Verigo podpisa uporabite za svoj projekt Intel Quartus Prime Pro Edition in prevedeno programiranje files. Uporabite navodila v razdelku Omogočanje naprav, da programirate svoj korenski ključ v naprave Intel Agilex 7.
Povezane informacije
Omogočanje naprave na strani 25

2.1. Ustvarjanje podpisne verige
Za izvajanje operacij podpisne verige lahko uporabite orodje quartus_sign ali referenčno izvedbo agilex_sign.py. Ta dokument zagotavlja npramples z uporabo quartus_sign.
Če želite uporabiti referenčno izvedbo, zamenjate klic tolmača Python, vključenega v programsko opremo Intel Quartus Prime, in izpustite možnost –family=agilex; vse druge možnosti so enakovredne. Na primerample, ukaz quartus_sign, ki ga najdete kasneje v tem razdelku
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky je mogoče pretvoriti v enakovreden klic referenčne izvedbe, kot sledi
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Programska oprema Intel Quartus Prime Pro Edition vključuje orodja quartus_sign, pgm_py in agilex_sign.py. Uporabite lahko orodje ukazne lupine Nios® II, ki samodejno nastavi ustrezne spremenljivke okolja za dostop do orodij.

Sledite tem navodilom, da prikažete ukazno lupino Nios II. 1. Prikličite ukazno lupino Nios II.

Možnost Windows
Linux

Opis
V meniju Start pokažite na Programs Intel FPGA Nios II EDS in kliknite Nios II ukazna lupina.
V ukazni lupini spremenite v /nios2eds in zaženite naslednji ukaz:
./nios2_command_shell.sh

Bivšiampdatoteke v tem razdelku predvidevajo verigo podpisov in konfiguracijski bitni tok files se nahajajo v trenutnem delovnem imeniku. Če se odločite slediti exampkje ključ files se hranijo na file sistem, tiste prampprevzamemo ključ files so

ISO 9001:2015 Registriran

2. Preverjanje pristnosti in avtorizacija 683823 | 2023.05.23
ki se nahaja v trenutnem delovnem imeniku. Izberete lahko, katere imenike želite uporabiti, in orodja podpirajo relativno file poti. Če se odločite obdržati ključ fileje na file sistema, morate skrbno upravljati dovoljenja za dostop do teh files.
Intel priporoča uporabo komercialno dostopnega strojnega varnostnega modula (HSM) za shranjevanje kriptografskih ključev in izvajanje kriptografskih operacij. Orodje quartus_sign in referenčna izvedba vključujeta vmesnik za programiranje aplikacij (API) standarda kriptografije javnega ključa #11 (PKCS #11) za interakcijo s HSM med izvajanjem operacij podpisne verige. Referenčna implementacija agilex_sign.py vključuje povzetek vmesnika in example vmesnik za SoftHSM.
Uporabite lahko te primereample vmesniki za implementacijo vmesnika za vaš HSM. Za več informacij o izvajanju vmesnika za in upravljanju vašega HSM glejte dokumentacijo vašega prodajalca HSM.
SoftHSM je programska izvedba generične kriptografske naprave z vmesnikom PKCS #11, ki je na voljo v okviru projekta OpenDNSSEC®. Več informacij, vključno z navodili o tem, kako prenesti, zgraditi in namestiti OpenHSM, boste morda našli pri projektu OpenDNSSEC. Bivšiampdatoteke v tem razdelku uporabljajo različico SoftHSM 2.6.1. Bivšiampdatoteke v tem razdelku dodatno uporabljajo pripomoček pkcs11-tool iz OpenSC za izvajanje dodatnih operacij PKCS #11 z žetonom SoftHSM. Morda boste našli več informacij, vključno z navodili o tem, kako prenesti, zgraditi in namestiti pkcs11tool iz OpenSC.
Povezane informacije
· Projekt OpenDNSSEC Policy-based zone signer za avtomatizacijo procesa sledenja ključem DNSSEC.
· SoftHSM Informacije o implementaciji kriptografske shrambe, dostopne prek vmesnika PKCS #11.
· OpenSC Ponuja nabor knjižnic in pripomočkov, ki lahko delajo s pametnimi karticami.
2.1.1. Ustvarjanje parov ključev za preverjanje pristnosti lokalno File Sistem
Orodje quartus_sign uporabite za ustvarjanje parov ključev za preverjanje pristnosti na lokalnem file sistem z uporabo operacij orodja make_private_pem in make_public_pem. Najprej ustvarite zasebni ključ z operacijo make_private_pem. Določite eliptično krivuljo za uporabo, zasebni ključ fileime in po želji, ali želite zasebni ključ zaščititi z geslom. Intel priporoča uporabo krivulje secp384r1 in upoštevanje najboljših praks v industriji za ustvarjanje močnega, naključnega gesla za vse zasebne ključe. files. Intel priporoča tudi omejitev file sistemska dovoljenja za zasebni ključ .pem filebere le lastnik. Javni ključ izpeljete iz zasebnega ključa z operacijo make_public_pem. Koristno je poimenovati ključ .pem files opisno. Ta dokument uporablja konvencijo _ .pem v naslednjem primeruamples.
1. V ukazni lupini Nios II zaženite naslednji ukaz, da ustvarite zasebni ključ. Zasebni ključ, prikazan spodaj, se uporablja kot korenski ključ v poznejših exampdatoteke, ki ustvarjajo verigo podpisov. Naprave Intel Agilex 7 podpirajo več korenskih ključev, tako da vi

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 7

2. Preverjanje pristnosti in avtorizacija 683823 | 2023.05.23

ponovite ta korak, da ustvarite zahtevano število korenskih ključev. nprampdatoteke v tem dokumentu se vse nanašajo na prvi korenski ključ, čeprav lahko verige podpisov zgradite na podoben način s katerim koli korenskim ključem.

Možnost z geslom

Opis
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Ko ste pozvani, vnesite geslo.

Brez gesla

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Zaženite naslednji ukaz, da ustvarite javni ključ z uporabo zasebnega ključa, ustvarjenega v prejšnjem koraku. Ni vam treba varovati zaupnosti javnega ključa.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Znova zaženite ukaze, da ustvarite par ključev, ki se uporablja kot ključ za podpisovanje načrta v verigi podpisa.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Ustvarjanje parov ključev za preverjanje pristnosti v SoftHSM
SoftHSM exampdatoteke v tem poglavju so skladne same s seboj. Nekateri parametri so odvisni od vaše namestitve SoftHSM in inicializacije žetona v SoftHSM.
Orodje quartus_sign je odvisno od knjižnice API PKCS #11 iz vašega HSM.
Bivšiampdatoteke v tem razdelku predvidevajo, da je knjižnica SoftHSM nameščena na eno od naslednjih lokacij: · /usr/local/lib/softhsm2.so v sistemu Linux · C:SoftHSM2libsofthsm2.dll v 32-bitni različici sistema Windows · C:SoftHSM2libsofthsm2-x64 .dll v 64-bitni različici sistema Windows.
Inicializirajte žeton znotraj SoftHSM z orodjem softhsm2-util:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
Parametri možnosti, zlasti oznaka žetona in pin žetona, so nprampki se uporabljajo v tem poglavju. Intel priporoča, da sledite navodilom prodajalca HSM za ustvarjanje in upravljanje žetonov in ključev.
Pare ključev za preverjanje pristnosti ustvarite s pomočjo pripomočka pkcs11-tool za interakcijo z žetonom v SoftHSM. Namesto izrecnega sklicevanja na zasebni in javni ključ .pem files v file sistem npramples, se sklicujete na par ključev po njegovi oznaki in orodje samodejno izbere ustrezen ključ.

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 8

Pošlji povratne informacije

2. Preverjanje pristnosti in avtorizacija 683823 | 2023.05.23

Zaženite naslednje ukaze, da ustvarite par ključev, ki se uporablja kot korenski ključ v poznejših exampdatoteke kot tudi par ključev, ki se uporablja kot ključ za podpisovanje načrta v verigi podpisa:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mehanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mehanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

Opomba:

Možnost ID v tem koraku mora biti edinstvena za vsak ključ, vendar jo uporablja samo HSM. Ta možnost ID-ja ni povezana z ID-jem preklica ključa, dodeljenim v verigi podpisa.

2.1.3. Ustvarjanje korenskega vnosa verige podpisov
Pretvorite korenski javni ključ v korenski vnos verige podpisov, shranjen na lokalnem file sistem v formatu ključa Intel Quartus Prime (.qky). file, z operacijo make_root. Ta korak ponovite za vsak korenski ključ, ki ga ustvarite.
Zaženite naslednji ukaz, da ustvarite verigo podpisov s korenskim vnosom z uporabo korenskega javnega ključa iz file sistem:
quartus_sign –family=agilex –operation=make_root –key_type=lastnik root0_public.pem root0.qky
Zaženite naslednji ukaz, da ustvarite verigo podpisov s korenskim vnosom z uporabo korenskega ključa iz žetona SoftHSM, vzpostavljenega v prejšnjem razdelku:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so ” root0 root0.qky

2.1.4. Ustvarjanje vnosa javnega ključa verige podpisov
Ustvarite nov vnos javnega ključa za verigo podpisov z operacijo append_key. Določite predhodno verigo podpisov, zasebni ključ za zadnji vnos v prejšnji verigi podpisov, javni ključ naslednje ravni, dovoljenja in ID preklica, ki jih dodelite javnemu ključu naslednje ravni, in novo verigo podpisov file.
Upoštevajte, da knjižnica softHSM ni na voljo z namestitvijo Quartusa in jo je treba namestiti ločeno. Za več informacij o softHSM glejte razdelek Ustvarjanje verige podpisov zgoraj.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 9

2. Preverjanje pristnosti in avtorizacija 683823 | 2023.05.23
Odvisno od vaše uporabe tipk na file sistemu ali v HSM, uporabite eno od naslednjih nprampdate ukaze za pripenjanje javnega ključa design0_sign korenski podpisni verigi, ustvarjeni v prejšnjem razdelku:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Operacijo append_key lahko ponovite še največ dvakrat za največ tri vnose javnega ključa med korenskim vnosom in vnosom bloka glave v kateri koli verigi podpisov.
Naslednji example predpostavlja, da ste ustvarili drug javni ključ za preverjanje pristnosti z enakimi dovoljenji in dodeljenim ID-jem preklica 1, imenovan design1_sign_public.pem, in ta ključ dodajate verigi podpisov iz prejšnjega example:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Naprave Intel Agilex 7 vključujejo dodaten števec preklica ključev za lažjo uporabo ključa, ki se lahko občasno spremeni v življenjski dobi dane naprave. Ta števec preklica ključev lahko izberete tako, da spremenite argument možnosti –cancel v pts:pts_value.
2.2. Podpisovanje konfiguracijskega bitnega toka
Naprave Intel Agilex 7 podpirajo števce varnostne številke različice (SVN), ki vam omogočajo, da prekličete avtorizacijo predmeta brez preklica ključa. Števec SVN in ustrezno vrednost števca SVN dodelite med podpisovanjem katerega koli predmeta, kot je razdelek bitnega toka, vdelana programska oprema .zip file, ali kompaktno potrdilo. Števec SVN in vrednost SVN dodelite z možnostjo –cancel in svn_counter:svn_value kot argumentom. Veljavne vrednosti za svn_counter so svnA, svnB, svnC in svnD. svn_value je celo število v območju [0,63].

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 10

Pošlji povratne informacije

2. Preverjanje pristnosti in avtorizacija 683823 | 2023.05.23
2.2.1. Kvartov ključ File Dodelitev
V svojem projektu programske opreme Intel Quartus Prime določite verigo podpisov, da omogočite funkcijo preverjanja pristnosti za ta dizajn. V meniju Dodelitve izberite Naprava Naprava in možnosti Pin Varnostni ključ Quartus File, nato pa poiščite verigo podpisov .qky file ste ustvarili za podpis tega dizajna.
Slika 1. Omogoči nastavitev bitnega toka konfiguracije

Druga možnost je, da svojim nastavitvam Intel Quartus Prime dodate naslednji stavek o dodelitvi file (.qsf):
set_global_assignment -name QKY_FILE design0_sign_chain.qky
Če želite ustvariti .sof file iz predhodno prevedenega načrta, ki vključuje to nastavitev, v meniju Obdelava izberite Zaženi Zaženi sestavljalnik. Novi rezultat .sof file vključuje dodelitve za omogočanje avtentikacije s podano verigo podpisov.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 11

2. Preverjanje pristnosti in avtorizacija 683823 | 2023.05.23
2.2.2. Sopodpis strojne programske opreme SDM
Orodje quartus_sign uporabite za ekstrahiranje, podpisovanje in namestitev ustrezne vdelane programske opreme SDM .zip file. Sopodpisano vdelano programsko opremo nato vključi programiranje file generator, ko pretvorite .sof file v konfiguracijski bitni tok .rbf file. Z naslednjimi ukazi ustvarite novo verigo podpisov in podpišete vdelano programsko opremo SDM.
1. Ustvarite nov par ključev za podpisovanje.
a. Ustvarite nov par podpisnih ključev na file sistem:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Ustvarite nov par ključev za podpisovanje v HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. Ustvarite novo podpisno verigo, ki vsebuje nov javni ključ:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Kopirajte vdelano programsko opremo .zip file iz namestitvenega imenika programske opreme Intel Quartus Prime Pro Edition ( /devices/programmer/firmware/agilex.zip) v trenutni delovni imenik.
quartus_sign –family=agilex –get_firmware=.
4. Podpišite firmware .zip file. Orodje samodejno odpakira .zip file in posamezno podpiše vso firmware .cmf files, nato znova zgradi .zip file za uporabo z orodji v naslednjih razdelkih:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 12

Pošlji povratne informacije

2. Preverjanje pristnosti in avtorizacija 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Bitni tok konfiguracije podpisovanja z uporabo ukaza quartus_sign
Če želite podpisati konfiguracijski bitni tok z ukazom quartus_sign, najprej pretvorite datoteko .sof file v nepredznačeno surovo dvojiško datoteko file (.rbf). Po želji lahko med korakom pretvorbe določite sopodpisano vdelano programsko opremo z možnostjo fw_source.
Nepodpisan surovi bitni tok lahko ustvarite v formatu .rbf z naslednjim ukazom:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Zaženite enega od naslednjih ukazov za podpis bitnega toka z orodjem quartus_sign, odvisno od lokacije vaših ključev:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Pretvorite lahko podpisani .rbf files v drug konfiguracijski bitni tok file formatov.
Na primerample, če uporabljate predvajalnik Jam* Standard Test and Programming Language (STAPL) za programiranje bitnega toka prek JTAG, uporabite naslednji ukaz za pretvorbo .rbf file v format .jam, ki ga zahteva Jam STAPL Player:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Podpora za delno rekonfiguracijo z več avtoritetami

Naprave Intel Agilex 7 podpirajo preverjanje pristnosti z več avtoritetami z delno rekonfiguracijo, kjer lastnik naprave ustvari in podpiše statični bitni tok, ločeni lastnik PR pa ustvari in podpiše bitne tokove PR osebe. Naprave Intel Agilex 7 izvajajo podporo za več pooblastil tako, da prve reže za korenski ključ za preverjanje pristnosti dodelijo napravi ali lastniku statičnega bitnega toka in dodelijo končno režo za korenski ključ za preverjanje pristnosti lastniku bitnega toka z delno rekonfiguracijo.
Če je funkcija preverjanja pristnosti omogočena, morajo biti vse slike PR oseb podpisane, vključno z ugnezdenimi slikami PR oseb. Slike PR oseb lahko podpiše lastnik naprave ali lastnik PR; vendar mora bitne tokove statične regije podpisati lastnik naprave.

Opomba:

Statično in osebno šifriranje bitnega toka z delno rekonfiguracijo, ko je omogočena podpora za več pooblastil, je načrtovano v prihodnji izdaji.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 13

2. Preverjanje pristnosti in avtorizacija 683823 | 2023.05.23

Slika 2.

Implementacija podpore z več avtoritetami za delno rekonfiguracijo zahteva več korakov:
1. Lastnik naprave ali statičnega bitnega toka ustvari enega ali več korenskih ključev za preverjanje pristnosti, kot je opisano v Ustvarjanje parov ključev za preverjanje pristnosti v SoftHSM na strani 8, kjer ima možnost –key_type vrednost lastnik.
2. Lastnik bitnega toka delne rekonfiguracije ustvari korenski ključ za preverjanje pristnosti, vendar spremeni vrednost možnosti –key_type v secondary_owner.
3. Lastniki zasnove statičnega bitnega toka in delne rekonfiguracije zagotovijo, da je potrditveno polje Omogoči podporo za več pooblastil omogočeno na kartici Dodelitve Naprava Naprava in Možnosti PIN Varnost.
Intel Quartus Prime Enable Multi-Authority Option Settings

4. Lastniki zasnove statičnega bitnega toka in delne rekonfiguracije ustvarijo verige podpisov na podlagi svojih korenskih ključev, kot je opisano v Ustvarjanje verige podpisov na strani 6.
5. Tako lastniki statičnega bitnega toka kot delno rekonfiguriranega načrta pretvorijo svoje prevedene načrte v format .rbf files in podpišite .rbf files.
6. Lastnik naprave ali statičnega bitnega toka ustvari in podpiše kompaktno potrdilo avtorizacije programa javnega ključa PR.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 14

Pošlji povratne informacije

2. Preverjanje pristnosti in avtorizacija 683823 | 2023.05.23

7. Lastnik naprave ali statičnega bitnega toka napravi zagotovi svoje zgoščene vrednosti korenskega ključa za preverjanje pristnosti, nato programira kompaktno potrdilo avtorizacije programa javnega ključa PR in na koncu napravi omogoči delni rekonfiguracijski korenski ključ lastnika bitnega toka. Oddelek za zagotavljanje naprav opisuje ta postopek zagotavljanja.
8. Naprava Intel Agilex 7 je konfigurirana s statično regijo .rbf file.
9. Naprava Intel Agilex 7 je delno preoblikovana z osebnim dizajnom .rbf file.
Povezane informacije
· Ustvarjanje verige podpisov na strani 6
· Ustvarjanje parov ključev za preverjanje pristnosti v programu SoftHSM na strani 8
· Omogočanje naprave na strani 25

2.2.5. Preverjanje verige podpisa bitnega toka konfiguracije
Ko ustvarite podpisne verige in podpisane bitne tokove, lahko preverite, ali podpisani bitni tok pravilno konfigurira napravo, programirano z danim korenskim ključem. Najprej uporabite operacijo fuse_info ukaza quartus_sign za tiskanje zgoščene vrednosti korenskega javnega ključa v besedilo file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Nato uporabite možnost check_integrity ukaza quartus_pfg, da pregledate verigo podpisov na vsakem odseku podpisanega bitnega toka v formatu .rbf. Možnost check_integrity natisne naslednje informacije:
· Status celotnega preverjanja celovitosti bitnega toka
· Vsebina vsakega vnosa v vsaki verigi podpisov, ki je priložena vsakemu razdelku v bitnem toku .rbf file,
· Pričakovana vrednost varovalke za zgoščeno vrednost korenskega javnega ključa za vsako verigo podpisov.
Vrednost iz izhoda fuse_info se mora ujemati z linijami Fuse v izhodu check_integrity.
quartus_pfg –preveri_integriteto signed_bitstream.rbf

Tukaj je bivšiampdatoteka izhoda ukaza check_integrity:

Informacije: Ukaz: quartus_pfg –check_integrity signed_bitstream.rbf Stanje integritete: OK

Razdelek

Vrsta: CMF

Deskriptor podpisa …

Veriga podpisa št. 0 (vnosi: -1, odmik: 96)

Vnos št. 0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Ustvari ključ …

Krivulja: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Ustvari ključ …

Krivulja: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 15

2. Preverjanje pristnosti in avtorizacija 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Vnos št. 1

Ustvari ključ …

Krivulja: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Vnos #2 Dovoljenje za obesek ključev: SIGN_CODE Obesek za ključe lahko prekliče ID: 3 Veriga podpisa #1 (vnosi: -1, odmik: 648)

Vnos št. 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Ustvari ključ …

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ustvari ključ …

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Vnos št. 1

Ustvari ključ …

Krivulja: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Vnos št. 2

Ustvari ključ …

Krivulja: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Vnos #3 Dovoljenje za obesek ključev: SIGN_CODE Obesek za ključe lahko prekliče ID: 15 Veriga podpisa #2 (vnosi: -1, odmik: 0) Veriga podpisa #3 (vnosi: -1, odmik: 0) Veriga podpisa #4 (vnosi: -1, odmik: 0) Veriga podpisa #5 (vnosi: -1, odmik: 0) Veriga podpisa #6 (vnosi: -1, odmik: 0) Veriga podpisa #7 (vnosi: -1, odmik: 0)

Vrsta razdelka: Deskriptor podpisa IO … Veriga podpisa #0 (vnosi: -1, odmik: 96)

Vnos št. 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Ustvari ključ …

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 16

Pošlji povratne informacije

2. Preverjanje pristnosti in avtorizacija 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ustvari ključ …

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Vnos št. 1

Ustvari ključ …

Krivulja: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Vnos št. 2

Ustvari ključ …

Krivulja: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Vnos #3 Dovoljenje za obesek ključev: SIGN_CORE Obesek za ključe lahko prekliče ID: 15 Veriga podpisa #1 (vnosi: -1, odmik: 0) Veriga podpisa #2 (vnosi: -1, odmik: 0) Veriga podpisa #3 (vnosi: -1, odmik: 0) Veriga podpisa #4 (vnosi: -1, odmik: 0) Veriga podpisa #5 (vnosi: -1, odmik: 0) Veriga podpisa #6 (vnosi: -1, odmik: 0) Podpis veriga #7 (vnosi: -1, odmik: 0)

Razdelek

Tip: HPS

Deskriptor podpisa …

Veriga podpisa št. 0 (vnosi: -1, odmik: 96)

Vnos št. 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Ustvari ključ …

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ustvari ključ …

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Vnos št. 1

Ustvari ključ …

Krivulja: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Vnos št. 2

Ustvari ključ …

Krivulja: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 17

2. Preverjanje pristnosti in avtorizacija 683823 | 2023.05.23

Vnos #3 Dovoljenje za obesek ključev: SIGN_HPS Obesek za ključe lahko prekliče ID: 15 Veriga podpisa #1 (vnosi: -1, odmik: 0) Veriga podpisa #2 (vnosi: -1, odmik: 0) Veriga podpisa #3 (vnosi: -1, odmik: 0) Veriga podpisa #4 (vnosi: -1, odmik: 0) Veriga podpisa #5 (vnosi: -1, odmik: 0) Veriga podpisa #6 (vnosi: -1, odmik: 0) Podpis veriga #7 (vnosi: -1, odmik: 0)

Vrsta razdelka: Deskriptor podpisa CORE ... Veriga podpisa #0 (vnosi: -1, odmik: 96)

Vnos št. 0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Ustvari ključ …

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Ustvari ključ …

Krivulja: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Vnos št. 1

Ustvari ključ …

Krivulja: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Vnos št. 2

Ustvari ključ …

Krivulja: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 18

Pošlji povratne informacije

683823 | 2023.05.23 Pošlji povratne informacije

Bitstream šifriranje AES

Šifriranje bitnega toka Advanced Encryption Standard (AES) je funkcija, ki lastniku naprave omogoča zaščito zaupnosti intelektualne lastnine v bitnem toku konfiguracije.
Za zaščito zaupnosti ključev šifriranje konfiguracijskega bitnega toka uporablja verigo ključev AES. Ti ključi se uporabljajo za šifriranje podatkov lastnika v konfiguracijskem bitnem toku, kjer je prvi vmesni ključ šifriran s korenskim ključem AES.

3.1. Ustvarjanje korenskega ključa AES

Uporabite lahko orodje quartus_encrypt ali referenčno izvedbo stratix10_encrypt.py, da ustvarite korenski ključ AES v formatu šifrirnega ključa programske opreme Intel Quartus Prime (.qek). file.

Opomba:

Stratix10_encrypt.py file se uporablja za naprave Intel Stratix® 10 in Intel Agilex 7.

Po želji lahko podate osnovni ključ, ki se uporablja za izpeljavo korenskega ključa AES in ključa za izpeljavo ključa, neposredno vrednost za korenski ključ AES, število vmesnih ključev in največjo uporabo na vmesni ključ.

Določiti morate družino naprav, izhod .qek file lokacijo in geslo ob pozivu.
Zaženite naslednji ukaz, da ustvarite korenski ključ AES z uporabo naključnih podatkov za osnovni ključ in privzetih vrednosti za število vmesnih ključev in največjo uporabo ključa.
Če želite uporabiti referenčno izvedbo, zamenjate klic tolmača Python, vključenega v programsko opremo Intel Quartus Prime, in izpustite možnost –family=agilex; vse druge možnosti so enakovredne. Na primerample, ukaz quartus_encrypt, ki ga najdete kasneje v razdelku

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

je mogoče pretvoriti v enakovreden klic referenčne izvedbe, kot sledi pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Nastavitve šifriranja Quartus
Če želite omogočiti šifriranje bitnega toka za načrt, morate določiti ustrezne možnosti z uporabo plošče Assignments Device Device and Pin Options Security. Izberete potrditveno polje Omogoči šifriranje bitnega toka konfiguracije in v spustnem meniju želeno lokacijo za shranjevanje šifrirnega ključa.

ISO 9001:2015 Registriran

Slika 3. Nastavitve šifriranja Intel Quartus Prime

3. Šifriranje bitnega toka AES 683823 | 2023.05.23

Druga možnost je, da svojim nastavitvam Intel Quartus Prime dodate naslednji stavek o dodelitvi file .qsf:
set_global_assignment -name ENCRYPT_PROGRAMMING_BITSTREAM na set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Če želite omogočiti dodatne ublažitve proti vektorjem napadov stranskih kanalov, lahko omogočite spustni meni Razmerje posodobitve šifriranja in potrditveno polje Omogoči šifriranje.

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 20

Pošlji povratne informacije

3. Šifriranje bitnega toka AES 683823 | 2023.05.23

Ustrezne spremembe v .qsf so:
set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING na set_global_assignment -name PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Šifriranje bitnega toka konfiguracije
Konfiguracijski bitni tok šifrirate pred podpisom bitnega toka. Programiranje Intel Quartus Prime File Orodje Generator lahko samodejno šifrira in podpiše konfiguracijski bitni tok z uporabo grafičnega uporabniškega vmesnika ali ukazne vrstice.
Po želji lahko ustvarite delno šifriran bitni tok za uporabo z orodji quartus_encrypt in quartus_sign ali enakovrednimi referenčnimi implementacijami.

3.3.1. Konfiguracija Šifriranje bitnega toka z uporabo programiranja File Grafični vmesnik generatorja
Lahko uporabite programiranje File Generator za šifriranje in podpis slike lastnika.

Slika 4.

1. Na Intel Quartus Prime File v meniju izberite Programiranje File Generator. 2. Na izhodu Files, določite izhod file tip za vašo konfiguracijo
shema.
Izhod File Specifikacija

Konfiguracijska shema Izhod file zavihek
Izhod file vrsta

3. Na vhodu Files kliknite Dodaj bitni tok in poiščite svojo datoteko .sof. 4. Če želite določiti možnosti šifriranja in preverjanja pristnosti, izberite .sof in kliknite
Lastnosti. a. Vklopite Omogoči orodje za podpisovanje. b. Za zasebni ključ file izberite zasebni ključ za podpisovanje .pem file. c. Vklopite Dokončajte šifriranje.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 21

3. Šifriranje bitnega toka AES 683823 | 2023.05.23

Slika 5.

d. Za šifrirni ključ file, izberite svoj AES .qek file. Vnos (.sof) File Lastnosti za preverjanje pristnosti in šifriranje

Omogoči preverjanje pristnosti Določite zasebni koren .pem
Omogoči šifriranje Določite šifrirni ključ
5. Za ustvarjanje podpisanega in šifriranega bitnega toka na vhodu Files kliknite Ustvari. Prikažejo se pogovorna okna za geslo, kjer lahko vnesete geslo za ključ AES .qek file in podpisovanje zasebnega ključa .pem file. Programiranje file generator ustvari šifriran in podpisan izhod_file.rbf.
3.3.2. Konfiguracija Šifriranje bitnega toka z uporabo programiranja File Vmesnik ukazne vrstice generatorja
Ustvarite šifriran in podpisan bitni tok konfiguracije v formatu .rbf z vmesnikom ukazne vrstice quartus_pfg:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o podpisovanje=ON -o pem_file=design0_sign_private.pem
Pretvorite lahko šifriran in podpisan konfiguracijski bitni tok v formatu .rbf v drug konfiguracijski bitni tok file formatov.
3.3.3. Generiranje bitnega toka delno šifrirane konfiguracije z uporabo vmesnika ukazne vrstice
Ustvarite lahko delno šifrirano programiranje file da dokončate šifriranje in pozneje podpišete sliko. Ustvarite delno šifrirano programiranje file v formatu .rbf z vmesnikom ukazne vrsticequartus_pfg: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 22

Pošlji povratne informacije

3. Šifriranje bitnega toka AES 683823 | 2023.05.23
Za dokončanje šifriranja bitnega toka uporabite orodje ukazne vrstice quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Za podpis šifriranega bitnega toka konfiguracije uporabite orodje ukazne vrstice quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Šifriranje bitnega toka delne rekonfiguracije
Šifriranje bitnega toka lahko omogočite na nekaterih modelih Intel Agilex 7 FPGA, ki uporabljajo delno rekonfiguracijo.
Zasnove delne rekonfiguracije, ki uporabljajo hierarhično delno rekonfiguracijo (HPR) ali delno rekonfiguracijo statične posodobitve (SUPR), ne podpirajo šifriranja bitnega toka. Če vaš dizajn vsebuje več regij PR, morate šifrirati vse osebe.
Če želite omogočiti šifriranje bitnega toka delne rekonfiguracije, sledite istemu postopku v vseh revizijah zasnove. 1. Na Intel Quartus Prime File izberite Naprava za dodelitve Naprava
in Možnosti pripenjanja Varnost. 2. Izberite želeno lokacijo za shranjevanje šifrirnega ključa.
Slika 6. Nastavitev šifriranja bitnega toka delne rekonfiguracije

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 23

3. Šifriranje bitnega toka AES 683823 | 2023.05.23
Druga možnost je, da v nastavitvah Quartus Prime dodate naslednji stavek o dodelitvi file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION na
Ko sestavite svojo osnovno zasnovo in revizije, programska oprema ustvari a.soffile in enega ali več.pmsffiles, ki predstavljajo osebe. 3. Ustvarite šifrirano in podpisano programiranje files iz.sof in.pmsf files na podoben način kot modeli brez omogočene delne rekonfiguracije. 4. Pretvorite prevedeni persona.pmsf file na delno šifrirano.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Dokončajte šifriranje bitnega toka z orodjem ukazne vrstice quartus_encrypt:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Podpišite šifrirani konfiguracijski bitni tok z orodjem ukazne vrstice quartus_sign:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 24

Pošlji povratne informacije

683823 | 2023.05.23 Pošlji povratne informacije

Priprava naprave

Začetno zagotavljanje varnostnih funkcij je podprto samo v vdelani programski opremi za zagotavljanje SDM. Uporabite Intel Quartus Prime Programmer za nalaganje vdelane programske opreme za zagotavljanje SDM in izvajanje operacij zagotavljanja.
Uporabite lahko katero koli vrsto JTAG prenesite kabel za povezavo programatorja Quartus z napravo Intel Agilex 7 za izvajanje operacij zagotavljanja.
4.1. Uporaba vdelane programske opreme za zagotavljanje SDM
Intel Quartus Prime Programmer samodejno ustvari in naloži tovarniško privzeto sliko pomoči, ko izberete operacijo inicializacije in ukaz za programiranje nečesa drugega kot konfiguracijski bitni tok.
Odvisno od podanega programskega ukaza je tovarniško privzeta slika pomoči ena od dveh vrst:
· Pomožna slika za zagotavljanje – sestoji iz enega odseka bitnega toka, ki vsebuje vdelano programsko opremo za zagotavljanje SDM.
· Pomožna slika QSPI–sestavljena je iz dveh odsekov bitnega toka, od katerih eden vsebuje glavno vdelano programsko opremo SDM in en odsek V/I.
Ustvarite lahko tovarniško privzeto sliko pomoči file naložiti v vašo napravo, preden izvedete kateri koli programski ukaz. Po programiranju zgoščene vrednosti korenskega ključa za preverjanje pristnosti morate ustvariti in podpisati tovarniško privzeto sliko pomočnika QSPI zaradi vključenega I/O razdelka. Če dodatno programirate sopodpisano varnostno nastavitev vdelane programske opreme eFuse, morate ustvariti tovarniško privzete pomožne slike za zagotavljanje in QSPI s sopodpisano vdelano programsko opremo. Na neopremljeni napravi lahko uporabite sopodpisano tovarniško privzeto sliko pomoči, saj neomogočena naprava ignorira verige podpisov, ki niso Intelove, preko vdelane programske opreme SDM. Glejte Uporaba tovarniško privzete slike pomoči QSPI na lastnih napravah na strani 26 za več podrobnosti o ustvarjanju, podpisovanju in uporabi tovarniško privzete slike pomoči QSPI.
Tovarniško privzeta pomočna slika za oskrbo izvaja oskrbovalno dejanje, kot je programiranje zgoščene vrednosti korenskega ključa za preverjanje pristnosti, varovalke varnostnih nastavitev, vpis PUF ali oskrbo črnega ključa. Uporabljate programiranje Intel Quartus Prime File Orodje ukazne vrstice Generator za ustvarjanje slike pomočnika za zagotavljanje, ki določa možnost helper_image, ime vaše helper_device, podvrsto slike pomočnika za zagotavljanje in po želji sopodpisano .zip vdelane programske opreme file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Programirajte pomožno sliko z orodjem Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force

ISO 9001:2015 Registriran

4. Omogočanje naprave 683823 | 2023.05.23

Opomba:

Operacijo inicializacije lahko izpustite iz ukazov, vključno z nprampdatoteke, ki so na voljo v tem poglavju, potem ko programirate sliko pomočnika za zagotavljanje ali uporabite ukaz, ki vsebuje operacijo inicializacije.

4.2. Uporaba tovarniško privzete slike pomočnika QSPI na napravah v lasti
Intel Quartus Prime Programmer samodejno ustvari in naloži tovarniško privzeto pomočno sliko QSPI, ko izberete operacijo inicializacije za programiranje QSPI flash file. Po programiranju zgoščene vrednosti korenskega ključa za preverjanje pristnosti morate ustvariti in podpisati tovarniško privzeto sliko pomočnika QSPI ter ločeno programirati podpisano sliko tovarniško pomočnika QSPI, preden programirate flash QSPI. 1. Uporabljate programiranje Intel Quartus Prime File Generator orodje ukazne vrstice za
ustvarite sliko pomočnika QSPI, pri čemer navedete možnost helper_image, vaš tip helper_device, podvrsto slike pomočnika QSPI in po želji sopodpisano .zip vdelane programske opreme file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Podpišete tovarniško privzeto sliko pomočnika QSPI:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Uporabite lahko katero koli programiranje QSPI flash file format. Naslednji exampuporabljajo konfiguracijski bitni tok, pretvorjen v .jic file format:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Podpisano pomožno sliko programirate z orodjem Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –force
5. Programirate sliko .jic za utripanje z orodjem Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”

4.3. Omogočanje korenskega ključa za preverjanje pristnosti
Če želite programirati zgoščene vrednosti korenskega ključa lastnika na fizične varovalke, morate najprej naložiti vdelano programsko opremo, nato programirati zgoščene vrednosti korenskega ključa lastnika in nato takoj izvesti ponastavitev ob vklopu. Ponastavitev ob vklopu ni potrebna, če programirate zgoščene korenske ključe na virtualne varovalke.

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 26

Pošlji povratne informacije

4. Omogočanje naprave 683823 | 2023.05.23
Če želite programirati zgoščene korenske ključe za preverjanje pristnosti, programirajte sliko pomočnika vdelane programske opreme za zagotavljanje in zaženite enega od naslednjih ukazov za programiranje korenskega ključa .qky files.
// Za fizične (nehlapne) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –non_volatile_key
// Za virtualne (nestanovitne) eFuse quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky”
4.3.1. Programiranje korenskih ključev z več avtoritetami z delno rekonfiguracijo
Po zagotavljanju korenskih ključev lastnika bitnega toka naprave ali statične regije znova naložite sliko pomočnika za zagotavljanje naprave, programirate podpisano kompaktno potrdilo avtorizacije programa javnega ključa PR in nato zagotovite korenski ključ lastnika bitnega toka osebe PR.
// Za fizične (nehlapne) eFuses quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Za virtualne (nestanovitne) eFuse quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Programiranje varovalk ID preklic ključa
Od programske opreme Intel Quartus Prime Pro Edition različice 21.1 programiranje varovalk ID-ja za preklic ključa Intel in lastnika zahteva uporabo podpisanega kompaktnega potrdila. Kompaktno potrdilo ID-ja preklica ključa lahko podpišete s podpisno verigo, ki ima dovoljenja za podpisovanje razdelka FPGA. Kompaktno potrdilo ustvarite s programiranjem file orodje za ukazno vrstico generatorja. Nepodpisano potrdilo podpišete z orodjem quartus_sign ali referenčno izvedbo.
Naprave Intel Agilex 7 podpirajo ločene banke ID-jev za preklic ključa lastnika za vsak korenski ključ. Ko je kompaktno potrdilo ID-ja za preklic lastniškega ključa programirano v Intel Agilex 7 FPGA, SDM določi, kateri korenski ključ je podpisal kompaktno potrdilo, in vžge varovalko ID-ja za preklic ključa, ki ustreza temu korenskemu ključu.
Naslednji exampustvarite potrdilo o preklicu ključa Intel za ID ključa Intel 7. 7 lahko zamenjate z ustreznim ID-jem za preklic ključa Intel od 0-31.
Zaženite naslednji ukaz, da ustvarite nepodpisano kompaktno potrdilo ID-ja za preklic ključa Intel:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Zaženite enega od naslednjih ukazov za podpis nepodpisanega kompaktnega potrdila Intel Key Cancellation ID:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 27

4. Omogočanje naprave 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Zaženite naslednji ukaz, da ustvarite nepodpisano kompaktno potrdilo ID-ja za preklic ključa lastnika:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Zaženite enega od naslednjih ukazov, da podpišete kompaktno potrdilo ID-ja preklica nepodpisanega ključa lastnika:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Ko ustvarite kompaktno potrdilo ID-ja za preklic podpisanega ključa, uporabite Intel Quartus Prime Programmer za programiranje kompaktnega potrdila v napravo prek JTAG.
//Za fizične (nehlapne) eFuses quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
//Za virtualne (hlapne) eFuse quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
Kompaktno potrdilo lahko dodatno pošljete SDM z uporabo vmesnika poštnega predala FPGA ali HPS.
4.5. Preklic korenskih ključev
Naprave Intel Agilex 7 vam omogočajo preklic zgoščenih korenskih ključev, ko je prisoten drug nepreklican zgoščeni korenski ključ. Zgoščevanje korenskega ključa prekličete tako, da napravo najprej konfigurirate z zasnovo, katere veriga podpisa je zakoreninjena v drugem zgoščenem ključu korenskega ključa, nato pa programirate podpisano kompaktno potrdilo za preklic razpršitve korenskega ključa. Kompaktno potrdilo o preklicu razpršitve korenskega ključa morate podpisati z verigo podpisov, ki je ukoreninjena v korenskem ključu, ki ga želite preklicati.
Zaženite naslednji ukaz, da ustvarite kompaktno potrdilo za preklic zgoščene vrednosti korenskega ključa brez podpisa:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 28

Pošlji povratne informacije

4. Omogočanje naprave 683823 | 2023.05.23

Zaženite enega od naslednjih ukazov za podpis nepodpisanega kompaktnega potrdila za preklic zgoščene vrednosti korenskega ključa:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Kompaktno potrdilo za preklic razpršitve korenskega ključa lahko programirate prek JTAG, FPGA ali nabiralnike HPS.

4.6. Programiranje števcev varovalk
Posodobite številko varnostne različice (SVN) in Pseudo Time Stamp (PTS) števčne varovalke z uporabo podpisanih kompaktnih potrdil.

Opomba:

SDM spremlja najmanjšo vrednost števca, vidno med dano konfiguracijo, in ne sprejema potrdil o povečanju števca, če je vrednost števca manjša od najmanjše vrednosti. Pred programiranjem kompaktnega potrdila povečanja števca morate posodobiti vse objekte, dodeljene števcu, in znova konfigurirati napravo.

Zaženite enega od naslednjih ukazov, ki ustreza potrdilu števca povečanja, ki ga želite ustvariti.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Vrednost števca 1 ustvari avtorizacijsko potrdilo povečanja števca. Programiranje kompaktnega potrdila za avtorizacijo števca inkrementa vam omogoča programiranje nadaljnjih nepodpisanih potrdil števca inkrementa za posodobitev zadevnega števca. Orodje quartus_sign uporabite za podpisovanje nasprotnih kompaktnih potrdil na podoben način kot kompaktna potrdila ID preklica ključa.
Kompaktno potrdilo za preklic razpršitve korenskega ključa lahko programirate prek JTAG, FPGA ali nabiralnike HPS.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 29

4. Omogočanje naprave 683823 | 2023.05.23

4.7. Zagotavljanje korenskega ključa storitve varnega podatkovnega objekta
Programer Intel Quartus Prime Programmer uporabljate za zagotavljanje korenskega ključa Secure Data Object Service (SDOS). Programer samodejno naloži sliko pomočnika vdelane programske opreme za zagotavljanje korenskega ključa SDOS.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

4.8. Varnostna nastavitev Zagotavljanje varovalke
Uporabite Intel Quartus Prime Programmer za pregled varovalk varnostnih nastavitev naprave in jih zapišite v besedilno varovalko .fuse file kot sledi:
quartus_pgm -c 1 -mjtag -o “ei;programiranje_file.varovalka;AGFB014R24B”

Možnosti · i: Programer naloži sliko pomočnika strojne programske opreme za zagotavljanje v napravo. · e: Programer prebere varovalko iz naprave in jo shrani v .varovalko file.

.varovalka file vsebuje seznam parov ime-vrednost varovalke. Vrednost določa, ali je pregorela varovalka ali vsebino polja varovalke.

Naslednji example prikazuje format .fuse file:

# Sopodpisana vdelana programska oprema

= “Ni prepihano”

# Device Permit Kill

= “Ni prepihano”

# Naprava ni varna

= “Ni prepihano”

# Onemogoči HPS debug

= “Ni prepihano”

# Onemogoči vpis PUF z notranjim ID-jem

= “Ni prepihano”

# Onemogoči JTAG

= “Ni prepihano”

# Onemogoči šifrirni ključ, ovit v PUF

= “Ni prepihano”

# Onemogoči lastniški šifrirni ključ v BBRAM = »Ni razpisan«

# Onemogoči lastniški šifrirni ključ v eFuses = »Ni pregorelo«

# Onemogoči lastniški korenski javni ključ hash 0

= “Ni prepihano”

# Onemogoči lastniški korenski javni ključ hash 1

= “Ni prepihano”

# Onemogoči lastniški korenski javni ključ hash 2

= “Ni prepihano”

# Onemogoči virtualne eFuse

= “Ni prepihano”

# Prisili uro SDM na notranji oscilator = »Ni pregorelo«

# Prisilna posodobitev šifrirnega ključa

= “Ni prepihano”

# Eksplicitni Intelov preklic ključa

= “0”

# Zaklenite varnostne varovalke

= “Ni prepihano”

# Lastniški šifrirni ključ je končan

= “Ni prepihano”

# Zagon programa lastniškega šifrirnega ključa

= “Ni prepihano”

# Eksplicitna lastniška preklic ključa 0

= ""

# Eksplicitna lastniška preklic ključa 1

= ""

# Eksplicitna lastniška preklic ključa 2

= ""

# Lastniške varovalke

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# lastnik korenski javni ključ hash 0

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# lastnik korenski javni ključ hash 1

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# lastnik korenski javni ključ hash 2

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Velikost javnega ključa lastnika

= "Brez"

# PTS števec

= “0”

# Osnova števca PTS

= “0”

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 30

Pošlji povratne informacije

4. Omogočanje naprave 683823 | 2023.05.23

# Zakasnitev zagona QSPI # Števec RMA # SDMIO0 je I2C # SVN števec A # SVN števec B # SVN števec C # SVN števec D

= “10ms” = “0” = “Ni prepihano” = “0” = “0” = “0” = “0”

Spremenite .varovalko file da nastavite želene varnostne nastavitve varovalk. Vrstica, ki se začne z #, se obravnava kot vrstica komentarja. Če želite programirati varovalko varnostne nastavitve, odstranite vodilni # in nastavite vrednost na Pregorelo. Na primerample, če želite omogočiti varovalko varnostne nastavitve sopodpisane vdelane programske opreme, spremenite prvo vrstico varovalke file na naslednje:
Sopodpisana vdelana programska oprema = "Blown"

Prav tako lahko dodelite in programirate lastniške varovalke glede na vaše zahteve.
Z naslednjim ukazom lahko izvedete prazno preverjanje, programirate in preverite korenski javni ključ lastnika:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

Možnosti · i: Naloži sliko pomočnika za vdelano programsko opremo v napravo. · b: Izvede prazno preverjanje, da preveri, ali varovalke želene varnostne nastavitve niso vklopljene
že prepihano. · p: Programira varovalko. · v: preveri programirani ključ na napravi.
Po programiranju .qky file, lahko pregledate informacije o varovalki tako, da znova preverite informacije o varovalki, da zagotovite, da imata zgoščena vrednost javnega ključa lastnika in velikost javnega ključa lastnika vrednosti različni od nič.
Medtem ko v naslednja polja ni mogoče zapisovati prek .fuse file metoda, so vključeni med izhodno operacijo pregleda za preverjanje: · Naprava ni varna · Device permit kill · Onemogoči zgoščevanje javnega ključa lastnika 0 · Onemogoči zgoščevanje javnega ključa lastnika 1 · Onemogoči zgoščevanje javnega ključa lastnika 2 · Preklic ključa Intel · Začetek programa lastnikovega šifrirnega ključa · Program lastnikovega šifrirnega ključa končan · Preklic lastnikovega ključa · Lastnikova zgoščena vrednost javnega ključa · Velikost lastnikovega javnega ključa · Lastniška zgoščena vrednost javnega ključa korenskega ključa 0 · Lastniška zgoščena vrednost korenskega javnega ključa 1 · Lastniška zgoščena vrednost javnega ključa korenskega ključa 2

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 31

4. Omogočanje naprave 683823 | 2023.05.23
· števec PTS · osnova števca PTS · zakasnitev zagona QSPI · števec RMA · SDMIO0 je I2C · števec SVN A · števec SVN B · števec SVN C · števec SVN D
Za programiranje varovalke uporabite programator Intel Quartus Prime file nazaj v napravo. Če dodate možnost i, programator samodejno naloži vdelano programsko opremo, da programira varovalke varnostnih nastavitev.
//Za fizične (nehlapne) eFuses quartus_pgm -c 1 -mjtag -o “pi;programiranje_file.varovalka” –nehlapna_ključ
//Za virtualne (hlapne) eFuse quartus_pgm -c 1 -mjtag -o “pi;programiranje_file.varovalka”
Z naslednjim ukazom lahko preverite, ali je zgoščena vrednost korenskega ključa naprave enaka .qky, podanemu v ukazu:
quartus_pgm -c 1 -mjtag -o “v;root0_another.qky”
Če se ključa ne ujemata, programer ne uspe s sporočilom o napaki Operacija ni uspela.
4.9. Omogočanje korenskega ključa AES
Za programiranje korenskega ključa AES v napravi Intel Agilex 7 morate uporabiti podpisano kompaktno potrdilo korenskega ključa AES.
4.9.1. AES Root Key Compact Certificate
Za pretvorbo korenskega ključa AES .qek uporabite orodje ukazne vrstice quartus_pfg file v format kompaktnega potrdila .ccert. Lokacijo shranjevanja ključev določite med ustvarjanjem kompaktnega potrdila. Z orodjem quartus_pfg lahko ustvarite nepodpisano potrdilo za kasnejše podpisovanje. Če želite uspešno podpisati kompaktno potrdilo korenskega ključa AES, morate uporabiti verigo podpisov z omogočenim dovoljenjem za podpisovanje potrdila korenskega ključa AES, bit dovoljenja 6.

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 32

Pošlji povratne informacije

4. Omogočanje naprave 683823 | 2023.05.23
1. Ustvarite dodatni par ključev, ki se uporablja za podpis kompaktnega potrdila ključa AES, z enim od naslednjih ukazov, npramples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen mehanizem ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. Ustvarite verigo podpisov s pravilnim nastavljenim bitom dovoljenja z enim od naslednjih ukazov:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Ustvarite nepodpisano kompaktno potrdilo AES za želeno lokacijo shranjevanja korenskega ključa AES. Na voljo so naslednje možnosti shranjevanja korenskega ključa AES:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Ustvari nepodpisano potrdilo korenskega ključa eFuse AES quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Podpišite kompaktno potrdilo z ukazom quartus_sign ali referenčno izvedbo.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert podpisano_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 33

4. Omogočanje naprave 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert podpisano_ 1.ccert
5. Uporabite Intel Quartus Prime Programmer za programiranje kompaktnega potrdila korenskega ključa AES v napravi Intel Agilex 7 prek JTAG. Programer Intel Quartus Prime privzeto programira navidezne eFuse, ko uporablja vrsto kompaktnega potrdila EFUSE_WRAPPED_AES_KEY.
Dodate možnost –non_volatile_key, da podate programiranje fizičnih varovalk.
//Za fizični (nehlapni) korenski ključ AES eFuse quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –neobstojen_ključ

//Za navidezni (nestanoviten) korenski ključ eFuse AES quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”

//Za korenski ključ BBRAM AES quartus_pgm -c 1 -mjtag -o “pi;signed_bbram1.ccert”

Vdelana programska oprema za zagotavljanje SDM in glavna vdelana programska oprema podpirata programiranje potrdila korenskega ključa AES. Za programiranje potrdila korenskega ključa AES lahko uporabite tudi vmesnik poštnega predala SDM iz tkanine FPGA ali HPS.

Opomba:

Ukaz quartus_pgm ne podpira možnosti b in v za kompaktna potrdila (.ccert).

4.9.2. Zagotavljanje korenskega ključa Intrinsic ID® PUF AES
Implementacija ključa AES, ovitega z notranjim ID-jem PUF, vključuje naslednje korake: 1. Vpis PUF z notranjim ID-jem prek JTAG. 2. Ovijanje korenskega ključa AES. 3. Programiranje pomožnih podatkov in zavitega ključa v quad SPI flash pomnilnik. 4. Poizvedba po statusu aktivacije Intrinsic ID PUF.
Za uporabo tehnologije Intrinsic ID je potrebna ločena licenčna pogodba z Intrinsic ID. Programska oprema Intel Quartus Prime Pro Edition omejuje operacije PUF brez ustrezne licence, kot so vpis, zavijanje ključev in programiranje podatkov PUF na bliskavico QSPI.

4.9.2.1. Intrinzični ID PUF vpis
Za vpis PUF morate uporabiti vdelano programsko opremo za zagotavljanje SDM. Vdelana programska oprema za zagotavljanje mora biti prva vdelana programska oprema, naložena po ciklu napajanja, in morate izdati ukaz za vpis PUF pred katerim koli drugim ukazom. Vdelana programska oprema za zagotavljanje podpira druge ukaze po vpisu PUF, vključno z zavijanjem korenskega ključa AES in programiranjem quad SPI, vendar morate napravo izklopiti, da naložite konfiguracijski bitni tok.
Programer Intel Quartus Prime uporabite za sprožitev vpisa PUF in ustvarjanje podatkov .puf za pomoč pri PUF file.

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 34

Pošlji povratne informacije

4. Omogočanje naprave 683823 | 2023.05.23

Slika 7.

Intrinzični ID PUF vpis
quartus_pgm Vpis PUF

Podatki o pomočniku PUF za vpis

Upravitelj varnih naprav (SDM)

wrapper.puf pomožni podatki
Programer samodejno naloži sliko pomočnika vdelane programske opreme za zagotavljanje, ko podate operacijo i in argument .puf.
quartus_pgm -c 1 -mjtag -o “ei;podatki_pomoči.puf;AGFB014R24A”
Če uporabljate sopodpisano vdelano programsko opremo, pred uporabo ukaza za vpis PUF programirate sopodpisano sliko pomočnika vdelane programske opreme.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o “e;podatki_pomoči.puf;AGFB014R24A”
UDS IID PUF je vpisan med proizvodnjo naprave in ni na voljo za ponovni vpis. Namesto tega uporabite programerja za določitev lokacije pomožnih podatkov UDS PUF na IPCS, prenesite .puf file neposredno in nato uporabite UDS .puf file na enak način kot .puf file ekstrahirano iz naprave Intel Agilex 7.
Za ustvarjanje besedila uporabite naslednji programski ukaz file ki vsebuje seznam URLs kaže na specifično napravo files na IPCS:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Ovijanje korenskega ključa AES
Ustvarite IID PUF ovit korenski ključ AES .wkey file s pošiljanjem podpisanega potrdila na SDM.
Programer Intel Quartus Prime lahko uporabite za samodejno ustvarjanje, podpisovanje in pošiljanje potrdila, da zavijete svoj korenski ključ AES, ali pa uporabite programiranje Intel Quartus Prime Programming File Generator za ustvarjanje nepodpisanega potrdila. Nepodpisano potrdilo podpišete z lastnimi orodji ali orodjem za podpisovanje Quartus. Nato s programatorjem pošljete podpisano potrdilo in zavijete svoj korenski ključ AES. Podpisano potrdilo se lahko uporablja za programiranje vseh naprav, ki lahko potrdijo verigo podpisov.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 35

4. Omogočanje naprave 683823 | 2023.05.23

Slika 8.

Ovijanje ključa AES s programatorjem Intel Quartus Prime
.pem Zasebno
Ključ

.qky

quartus_pgm

Ovijte ključ AES

AES.QSKigYnature RootCPhuabilnic Key

Ustvari PUF ovojni ključ

Zavit ključ AES

SDM

.qek Šifriranje
Ključ

.wkey PUF-ovita
AES ključ

1. S programerjem lahko ustvarite IID PUF ovit korenski ključ AES (.wkey) z naslednjimi argumenti:
· .qky file ki vsebuje podpisno verigo z dovoljenjem potrdila korenskega ključa AES
· Zasebni .pem file za zadnji ključ v verigi podpisa
· .qek file držite korenski ključ AES
· 16-bajtni inicializacijski vektor (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Lahko pa ustvarite nepodpisano potrdilo korenskega ključa AES, ki ovije IID PUF, s Programiranjem File Generator z naslednjimi argumenti:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Nepodpisano potrdilo podpišete z lastnimi orodji za podpisovanje ali orodjem quartus_sign z naslednjim ukazom:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Nato s programatorjem pošljete podpisano potrdilo AES in vrnete zavit ključ (.wkey) file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Opomba: Operacija i ni potrebna, če ste predhodno naložili sliko pomočnika vdelane programske opreme, nprample, za vpis v PUF.

4.9.2.3. Podatki za pomoč pri programiranju in oviti ključ za bliskovni pomnilnik QSPI
Uporabljate programiranje Quartus File Grafični vmesnik generatorja za izdelavo začetne bliskovne slike QSPI, ki vsebuje particijo PUF. Ustvariti in programirati morate celotno programsko sliko bliskavice, da dodate particijo PUF v bliskavico QSPI. Ustvarjanje PUF

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 36

Pošlji povratne informacije

4. Omogočanje naprave 683823 | 2023.05.23

Slika 9.

podatkovna particija in uporaba pomožnih podatkov PUF in ovitega ključa files za ustvarjanje slike flash ni podprt v programiranju File Vmesnik ukazne vrstice generatorja.
Naslednji koraki prikazujejo gradnjo programske slike flash s pomožnimi podatki PUF in ovitim ključem:
1. Na File kliknite Programiranje File Generator. Na izhodu Filezavihek s naredite naslednje izbire:
a. Za družino naprav izberite Agilex 7.
b. Za način konfiguracije izberite Active Serial x4.
c. Za izhodni imenik poiščite svoj izhod file imenik. Ta bivšiample uporablja output_files.
d. Za Ime določite ime za programiranje file ki jih je treba ustvariti. Ta bivšiample uporablja output_file.
e. Pod opisom izberite programiranje files za ustvarjanje. Ta bivšiample ustvari JTAG Posredna konfiguracija File (.jic) za konfiguracijo naprave in Raw Binary File slike pomočnika za programiranje (.rbf) za sliko pomočnika naprave. Ta bivšiample izbere tudi izbirni zemljevid pomnilnika File (.map) in neobdelani programski podatki File (.rpd). Neobdelani programski podatki file je potreben le, če nameravate v prihodnosti uporabljati programator drugega proizvajalca.
Programiranje File Generator – izhod Files Zavihek – izberite JTAG Posredna konfiguracija

Način konfiguracije družine naprav
Izhod file zavihek
Izhodni imenik
JTAG Posredni (.jic) pomnilniški zemljevid File Programski pomočnik Neobdelani programski podatki
Na vhodu Files, izberite naslednje: 1. Kliknite Dodaj bitni tok in poiščite svojo datoteko .sof. 2. Izberite svojo datoteko .sof file in nato kliknite Lastnosti.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 37

4. Omogočanje naprave 683823 | 2023.05.23
a. Vklopite Omogoči orodje za podpisovanje. b. Za zasebni ključ file izberite svoj .pem file. c. Vklopite Dokončajte šifriranje. d. Za šifrirni ključ file izberite svoj .qek file. e. Kliknite OK, da se vrnete v prejšnje okno. 3. Za določitev vaših pomožnih podatkov PUF file, kliknite Dodaj neobdelane podatke. Spremenite Files spustnega menija tipa Quartus Physical Unclonable Function File (*.puf). Prebrskajte do svojega .puf file. Če uporabljate tako IID PUF kot UDS IID PUF, ponovite ta korak, da bo .puf files za vsak PUF se dodajo kot vhod files. 4. Za določitev vašega zavitega ključa AES file, kliknite Dodaj neobdelane podatke. Spremenite Files spustnega menija vrste za Quartus Wrapped Key File (*.wkey). Poiščite svoj .wkey file. Če ste zavili ključe AES z uporabo IID PUF in UDS IID PUF, ponovite ta korak, da bo .wkey files za vsak PUF se dodajo kot vhod files.
Slika 10. Določite vnos Files za konfiguracijo, avtentikacijo in šifriranje

Dodaj bitni tok Dodaj neobdelane podatke
Lastnosti
Zasebni ključ file
Dokončajte šifriranje Šifrirni ključ
Na zavihku Naprava za konfiguracijo izberite naslednje: 1. Kliknite Dodaj napravo in s seznama razpoložljivih bliskov izberite svojo bliskovno napravo.
naprave. 2. Izberite konfiguracijsko napravo, ki ste jo pravkar dodali, in kliknite Dodaj particijo. 3. V pogovornem oknu Urejanje particije za vnos file in izberite svoj .sof iz
spustni seznam. V pogovornem oknu Urejanje particije lahko obdržite privzete nastavitve ali uredite druge parametre.

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 38

Pošlji povratne informacije

4. Omogočanje naprave 683823 | 2023.05.23
Slika 11. Določanje vaše konfiguracijske particije bitnega toka .sof

Konfiguracijska naprava
Uredi particijo Dodaj .sof file

Dodaj particijo

4. Ko kot vnos dodate .puf in .wkey files, Programiranje File Generator samodejno ustvari particijo PUF v vaši konfiguracijski napravi. Če želite shraniti .puf in .wkey v particijo PUF, izberite particijo PUF in kliknite Uredi. V pogovornem oknu Urejanje particije izberite .puf in .wkey files s spustnih seznamov. Če odstranite particijo PUF, morate odstraniti in znova dodati konfiguracijsko napravo za programiranje File Generator za ustvarjanje druge particije PUF. Zagotoviti morate, da izberete pravilen .puf in .wkey file za IID PUF oziroma UDS IID PUF.
Slika 12. Dodajte .puf in .wkey files na particijo PUF

PUF pregrada

Uredi

Uredi particijo

Flash Loader

Izberite Ustvari

5. Za parameter Flash Loader izberite družino naprav Intel Agilex 7 in ime naprave, ki se ujema z vašim OPN Intel Agilex 7.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 39

4. Omogočanje naprave 683823 | 2023.05.23
6. Kliknite Generiraj, da ustvarite izhod files, ki ste jih določili na izhodu Files zavihek.
7. Programiranje File Generator prebere vaš .qek file in vas pozove k vnosu gesla. Vnesite svoje geslo kot odgovor na poziv Enter QEK passphrase. Kliknite tipko Enter.
8. Kliknite V redu, ko se prikaže programiranje File Generator poroča o uspešnem ustvarjanju.
Programer Intel Quartus Prime uporabite za pisanje programske slike QSPI v bliskovni pomnilnik QSPI. 1. V meniju Intel Quartus Prime Tools izberite Programmer. 2. V programu Programmer kliknite Hardware Setup in nato izberite povezani Intel
Kabel za prenos FPGA. 3. Kliknite Dodaj File in poiščite svoj .jic file.
Slika 13. Program .jic

Programiranje file

Program/konfiguracija

JTAG veriga skeniranja
4. Počistite polje, povezano s sliko pomočnika. 5. Izberite Program/Konfiguriraj za izhod .jic file. 6. Vklopite gumb Start, da programirate svoj quad SPI flash pomnilnik. 7. Izklopite napajanje vaše plošče. Zasnova je programirana na quad SPI flash pomnilnik
naprava nato naloži v ciljno FPGA.
Ustvariti in programirati morate celotno programsko sliko bliskavice, da dodate particijo PUF v bliskavico quad SPI.
Ko particija PUF že obstaja v bliskavici, je mogoče uporabiti programer Intel Quartus Prime za neposreden dostop do podatkov pomočnika PUF in zavitega ključa. files. Na primerample, če je aktivacija neuspešna, je možno ponovno vpisati PUF, ponovno zaviti ključ AES in nato samo programirati PUF files, ne da bi morali prepisati celotno bliskavico.

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 40

Pošlji povratne informacije

4. Omogočanje naprave 683823 | 2023.05.23
Intel Quartus Prime Programmer podpira naslednji operacijski argument za PUF files v že obstoječi particiji PUF:
· p: program
· v: preveri
· r: izbriši
· b: prazen ček
Upoštevati morate enake omejitve za vpis PUF, tudi če particija PUF obstaja.
1. Uporabite argument operacije i, da naložite sliko pomočnika vdelane programske opreme za zagotavljanje za prvo operacijo. Na primerample, naslednje zaporedje ukazov znova vnese PUF, znova zavije korenski ključ AES, izbriše stare pomožne podatke PUF in zavit ključ, nato programira in preveri nove pomožne podatke PUF in korenski ključ AES.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;novo.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;novo.puf” quartus_pgm -c 1 -mjtag -o “v;new.wkey”
4.9.2.4. Poizvedba o statusu aktivacije notranjega ID-ja PUF
Ko vnesete Intrinsic ID PUF, ovijte ključ AES in ustvarite programiranje flash files in posodobite quad SPI flash, vklopite napravo, da sproži aktivacijo PUF in konfiguracijo iz šifriranega bitnega toka. SDM poroča o statusu aktivacije PUF skupaj s statusom konfiguracije. Če aktivacija PUF ne uspe, SDM namesto tega sporoči stanje napake PUF. Za poizvedbo o statusu konfiguracije uporabite ukaz quartus_pgm.
1. Uporabite naslednji ukaz za poizvedbo o stanju aktivacije:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Tukaj je sampizhod datoteke po uspešni aktivaciji:
Informacije (21597): Odziv CONFIG_STATUS Naprava deluje v uporabniškem načinu 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Različica C000007B MSEL=QSPI_NORMAL, nSTATUS=1, nCONFIG=1, VID=1,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Lokacija napake 00000000 Podrobnosti o napaki Odziv PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000500 XNUMX USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 41

4. Omogočanje naprave 683823 | 2023.05.23

Če uporabljate samo IID PUF ali UDS IID PUF in niste programirali pomožnih podatkov .puf file za kateri koli PUF v bliskavici QSPI se ta PUF ne aktivira in stanje PUF odraža, da pomožni podatki PUF niso veljavni. Naslednji exampprikazuje stanje PUF, ko pomožni podatki PUF niso bili programirani za nobenega od PUF:
Odgovor PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Lokacija PUF v bliskovnem pomnilniku
Lokacija PUF file se razlikuje za modele, ki podpirajo RSU, in dizajne, ki ne podpirajo funkcije RSU.

Za modele, ki ne podpirajo RSU, morate vključiti .puf in .wkey files ko ustvarite posodobljene slike flash. Pri zasnovah, ki podpirajo RSU, SDM ne prepiše podatkovnih odsekov PUF med posodobitvijo slike tovarne ali aplikacije.

Tabela 2.

Postavitev Flash podparticij brez podpore RSU

Flash Offset (v bajtih)

Velikost (v bajtih)

Vsebina

Opis

0K 256K

256K 256K

Vdelana programska oprema za upravljanje konfiguracije Vdelana programska oprema za upravljanje konfiguracije

Vdelana programska oprema, ki deluje na SDM.

512K

256K

Vdelana programska oprema za upravljanje konfiguracije

768K

256K

Vdelana programska oprema za upravljanje konfiguracije

32K

Kopija podatkov PUF 0

Podatkovna struktura za shranjevanje pomožnih podatkov PUF in kopije 0 korenskega ključa AES, ovite v PUF

1M+32K

32K

Kopija podatkov PUF 1

Podatkovna struktura za shranjevanje pomožnih podatkov PUF in kopije 1 korenskega ključa AES, ovite v PUF

Tabela 3.

Postavitev Flash podparticij s podporo RSU

Flash Offset (v bajtih)

Velikost (v bajtih)

Vsebina

Opis

0K 512K

512K 512K

Vdelana programska oprema za odločitev Vdelana programska oprema za odločitev

Vdelana programska oprema za prepoznavanje in nalaganje slike z najvišjo prioriteto.

1M 1.5M

512K 512K

Vdelana programska oprema za odločitev Vdelana programska oprema za odločitev

8K + 24K

Podatki vdelane programske opreme odločitve

Oblazinjenje

Rezervirano za uporabo vdelane programske opreme Decision.

2M + 32K

32K

Rezervirano za SDM

Rezervirano za SDM.

2M + 64K

Spremenljivka

Tovarniška slika

Preprosta slika, ki jo ustvarite kot varnostno kopijo, če se druge slike aplikacij ne naložijo. Ta slika vključuje CMF, ki se izvaja na SDM.

Naprej

32K

Kopija podatkov PUF 0

Podatkovna struktura za shranjevanje pomožnih podatkov PUF in kopije 0 korenskega ključa AES, ovite v PUF
nadaljevanje ...

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 42

Pošlji povratne informacije

4. Omogočanje naprave 683823 | 2023.05.23

Flash Offset (v bajtih)

Velikost (v bajtih)

Naprej +32K 32K

Vsebina PUF kopija podatkov 1

Naprej + 256K 4K Naslednji +32K 4K Naslednji +32K 4K

Kopija podparticijske tabele 0 Kopija podparticijske tabele 1 Kopija bloka kazalca CMF 0

Naslednji +32K _

Kopija bloka kazalca CMF 1

Spremenljivka Spremenljivka

Slika aplikacije 1 Slika aplikacije 2

4.9.3. Zagotavljanje črnega ključa

Opis
Podatkovna struktura za shranjevanje pomožnih podatkov PUF in kopije 1 korenskega ključa AES, ovite v PUF
Podatkovna struktura za lažje upravljanje bliskovnega pomnilnika.
Seznam kazalcev na slike aplikacij po prednostnem vrstnem redu. Ko dodate sliko, ta slika postane najvišja.
Druga kopija seznama kazalcev na slike aplikacij.
Slika vaše prve aplikacije.
Slika vaše druge aplikacije.

Opomba:

Intel Quartus PrimeProgrammer pomaga pri vzpostavljanju medsebojno preverjene varne povezave med napravo Intel Agilex 7 in storitvijo zagotavljanja črnega ključa. Varna povezava se vzpostavi prek https in zahteva več potrdil, identificiranih z besedilom file.
Ko uporabljate Black Key Provisioning, Intel priporoča, da se izognete zunanjemu povezovanju zatiča TCK za dvig ali vlečenje upora, medtem ko ga še vedno uporabljate za JTAG. Vendar pa lahko povežete pin TCK z napajalnikom VCCIO SDM z uporabo upora 10 k. Obstoječe smernice v Smernicah za povezavo pinov za povezavo TCK z 1 k upornikom navzdol so vključene za dušenje šuma. Sprememba v smeri za 10 k upor na dvig ne vpliva na delovanje naprave. Za več informacij o povezovanju zatiča TCK glejte Navodila za povezavo s 7 pini Intel Agilex.
Certifikat bkp_tls_ca_certcertificate overja vaš primerek storitve zagotavljanja črnega ključa vašemu primerku programerja zagotavljanja črnega ključa. Potrdila bkp_tls_* overjajo vaš primerek programerja za zagotavljanje črnega ključa v vašem primerku storitve zagotavljanja črnega ključa.
Ustvarite besedilo file ki vsebuje potrebne informacije, da se lahko programer Intel Quartus Prime poveže s storitvijo zagotavljanja črnega ključa. Če želite sprožiti zagotavljanje črnega ključa, uporabite vmesnik ukazne vrstice programerja, da določite besedilo možnosti zagotavljanja črnega ključa file. Zagotavljanje črnega ključa se nato samodejno nadaljuje. Za dostop do storitve zagotavljanja črnega ključa in povezane dokumentacije se obrnite na Intelovo podporo.
Omogočanje črnega ključa lahko omogočite z ukazomquartus_pgm:
quartus_pgm -c -m – naprava –bkp_options=bkp_options.txt
Argumenti ukaza določajo naslednje informacije:

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 43

4. Omogočanje naprave 683823 | 2023.05.23

· -c: številka kabla · -m: določa način programiranja, kot je JTAG · –naprava: določa indeks naprave na JTAG veriga. Privzeta vrednost je 1. · –bkp_options: določa besedilo file ki vsebuje možnosti zagotavljanja črnega ključa.
Povezane informacije Smernice za povezavo Pin družine naprav Intel Agilex 7

4.9.3.1. Možnosti zagotavljanja črnega ključa
Možnosti zagotavljanja črnega ključa je besedilo file posredovan programerju prek ukaza quartus_pgm. The file vsebuje potrebne informacije za sprožitev zagotavljanja črnega ključa.
Sledi bivšiampdatoteke bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem bkp_tls_prog_key_pass = 1234 bkp_pro xy_address = https://192.167.5.5:5000 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Tabela 4.

Možnosti zagotavljanja črnega ključa
V tej tabeli so prikazane možnosti, potrebne za sprožitev zagotavljanja črnega ključa.

Ime možnosti

Vrsta

Opis

bkp_ip

Obvezno

Podaja naslov IP strežnika, ki izvaja storitev zagotavljanja črnega ključa.

bkp_vrata

Obvezno

Določa vrata storitve črnega ključa, ki so potrebna za povezavo s strežnikom.

bkp_cfg_id

Obvezno

Identificira ID toka konfiguracije zagotavljanja črnega ključa.
Storitev zagotavljanja črnega ključa ustvari konfiguracijske tokove zagotavljanja črnega ključa, vključno s korenskim ključem AES, želenimi nastavitvami eFuse in drugimi možnostmi avtorizacije zagotavljanja črnega ključa. Številka, dodeljena med nastavitvijo storitve zagotavljanja črnega ključa, identificira tokove konfiguracije zagotavljanja črnega ključa.
Opomba: Več naprav se lahko nanaša na isti tok konfiguracije storitve zagotavljanja črnega ključa.

bkp_tls_ca_cert

Obvezno

Korensko potrdilo TLS, ki se uporablja za identifikacijo storitev zagotavljanja črnega ključa za Intel Quartus Prime Programmer (Programer). Zaupanja vreden overitelj potrdil za instanco storitve zagotavljanja črnega ključa izda to potrdilo.
Če zaženete programer v računalniku z operacijskim sistemom Microsoft® Windows® (Windows), morate to potrdilo namestiti v shrambo potrdil Windows.

bkp_tls_prog_cert

Obvezno

Potrdilo, ustvarjeno za primerek programerja za zagotavljanje črnega ključa (programer BKP). To je potrdilo odjemalca https, ki se uporablja za identifikacijo tega primerka programerja BKP
nadaljevanje ...

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 44

Pošlji povratne informacije

4. Omogočanje naprave 683823 | 2023.05.23

Ime možnosti

Vrsta

bkp_tls_prog_key

Obvezno

bkp_tls_prog_key_pass Izbirno

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Neobvezno Neobvezno Neobvezno

Opis
na storitev zagotavljanja črnega ključa. To potrdilo morate namestiti in pooblastiti v storitvi zagotavljanja črnega ključa, preden začnete sejo zagotavljanja črnega ključa. Če zaženete Programer v sistemu Windows, ta možnost ni na voljo. V tem primeru bkp_tls_prog_key že vključuje to potrdilo.
Zasebni ključ, ki ustreza certifikatu programerja BKP. Ključ potrdi identiteto primerka programerja BKP za storitev zagotavljanja črnega ključa. Če programer zaženete v sistemu Windows, bo datoteka .pfx file združuje potrdilo bkp_tls_prog_cert in zasebni ključ. Možnost bkp_tlx_prog_key posreduje .pfx file v datoteki bkp_options.txt file.
Geslo za zasebni ključ bkp_tls_prog_key. Ni zahtevano v besedilu možnosti konfiguracije črnega ključa (bkp_options.txt). file.
Določa strežnik proxy URL naslov.
Podaja uporabniško ime strežnika proxy.
Določa geslo za preverjanje pristnosti posrednika.

4.10. Pretvarjanje korenskega ključa lastnika, potrdil korenskega ključa AES in Fuse files do Jam STAPL File Formati

Za pretvorbo .qky, korenskega ključa AES .ccert in .fuse lahko uporabite ukaz ukazne vrstice quartus_pfg files za Jam STAPL Format File (.jam) in Jam Byte Code Format File (.jbc). Te lahko uporabite files za programiranje Intel FPGA z uporabo Jam STAPL Player oziroma Jam STAPL Byte-Code Player.

Posamezen .jam ali .jbc vsebuje več funkcij, vključno s konfiguracijo in programom za pomoč pri vdelani programski opremi, praznim preverjanjem ter preverjanjem programiranja ključa in varovalke.

Pozor:

Ko pretvorite korenski ključ AES .ccert file v format .jam, .jam file vsebuje ključ AES v navadnem besedilu, vendar zakriti obliki. Zato morate zaščititi .jam file pri shranjevanju ključa AES. To lahko storite tako, da zagotovite ključ AES v varnem okolju.

Tu so bivšiampdatoteke ukazov za pretvorbo quartus_pfg:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jbc quartus_pfg - c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A settings.fuse settings_fuse.jam quartus_pfg -c -o helper_de vice=AGFB014R24A nastavitve. nastavitve varovalke_varovalka.jbc

Za več informacij o uporabi predvajalnika Jam STAPL Player za programiranje naprav glejte AN 425: Uporaba rešitve Jam STAPL v ukazni vrstici za programiranje naprav.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 45

4. Omogočanje naprave 683823 | 2023.05.23
Zaženite naslednje ukaze za programiranje korenskega javnega ključa lastnika in šifrirnega ključa AES:
//Za nalaganje pomožnega bitnega toka v FPGA. // Pomožni bitni tok vključuje zagotavljanje vdelane programske opreme quartus_jli -c 1 -a KONFIGURIRAJ RootKey.jam
//Za programiranje lastnikovega korenskega javnega ključa v virtualne eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Za programiranje lastnikovega korenskega javnega ključa v fizične eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Za programiranje korenskega javnega ključa lastnika PR v virtualne eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Za programiranje javnega korenskega ključa lastnika PR v fizične eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Za programiranje šifrirnega ključa AES CCERT v BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Za programiranje šifrirnega ključa AES CCERT v fizične eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
Povezane informacije AN 425: Uporaba rešitve Jam STAPL v ukazni vrstici za programiranje naprav

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 46

Pošlji povratne informacije

683823 | 2023.05.23 Pošlji povratne informacije

Napredne funkcije

5.1. Varna avtorizacija za odpravljanje napak
Če želite omogočiti varno pooblastilo za odpravljanje napak, mora lastnik naprave za odpravljanje napak ustvariti par ključev za preverjanje pristnosti in uporabiti programator Intel Quartus Prime Pro za ustvarjanje informacij o napravi file za napravo, ki izvaja sliko za odpravljanje napak:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
Lastnik naprave uporablja orodje quartus_sign ali referenčno izvedbo, da doda pogojni vnos javnega ključa v verigo podpisov, namenjenih za operacije odpravljanja napak, z uporabo javnega ključa lastnika odpravljanja napak, potrebnih pooblastil, besedila informacij o napravi filein ustrezne dodatne omejitve:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″ –input_pem= debug_authorization_public_key.pem secure_debug_auth_chain.qky
Lastnik naprave pošlje celotno verigo podpisov nazaj lastniku odpravljanja napak, ki uporabi verigo podpisov in svoj zasebni ključ za podpis slike odpravljanja napak:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Z ukazom quartus_pfg lahko pregledate verigo podpisov vsakega odseka tega podpisanega varnega bitnega toka za odpravljanje napak, kot sledi:
quartus_pfg –check_integrity authorized_debug_design.rbf
Izhod tega ukaza natisne vrednosti omejitve 1,2,17,18 pogojnega javnega ključa, ki je bil uporabljen za ustvarjanje podpisanega bitnega toka.
Lastnik odpravljanja napak lahko nato programira varno pooblaščeno zasnovo odpravljanja napak:
quartus_pgm -c 1 -mjtag -o “p;authorized_debug_design.rbf”
Lastnik naprave lahko prekliče pooblastilo za varno odpravljanje napak tako, da prekliče izrecni ID preklica ključa, dodeljen v verigi podpisa pooblastila za varno odpravljanje napak.
5.2. Potrdila za odpravljanje napak HPS
Omogočanje samo pooblaščenega dostopa do dostopnih vrat HPS za odpravljanje napak (DAP) prek JTAG vmesnik zahteva več korakov:

ISO 9001:2015 Registriran

5. Napredne funkcije 683823 | 2023.05.23
1. Kliknite meni Dodelitve programske opreme Intel Quartus Prime in izberite zavihek Device Device and Pin Options Configuration.
2. Na zavihku Konfiguracija omogočite vrata za dostop do HPS za odpravljanje napak (DAP), tako da v spustnem meniju izberete HPS Pins ali SDM Pins in zagotovite, da potrditveno polje Allow HPS debug without certificates ni potrjeno.
Slika 14. Določite nožice HPS ali SDM za HPS DAP

HPS dostopna vrata za odpravljanje napak (DAP)
Lahko pa nastavite spodnjo dodelitev v nastavitvah Quartus Prime .qsf file:
set_global_assignment -name HPS_DAP_SPLIT_MODE “SDM PINS”
3. Prevedite in naložite načrt s temi nastavitvami. 4. Ustvarite verigo podpisov z ustreznimi dovoljenji za podpis razhroščevanja HPS
potrdilo:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_sign_chain.qky
5. Zahtevajte nepodpisano potrdilo za odpravljanje napak HPS od naprave, kjer je naložen dizajn za odpravljanje napak:
quartus_pgm -c 1 -mjtag -o “e;unsigned_hps_debug.cert;AGFB014R24A”
6. Podpišite nepodpisano potrdilo za odpravljanje napak HPS z orodjem quartus_sign ali referenčno izvedbo in verigo podpisa za odpravljanje napak HPS:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 48

Pošlji povratne informacije

5. Napredne funkcije 683823 | 2023.05.23
7. Pošljite podpisano potrdilo za odpravljanje napak HPS nazaj v napravo, da omogočite dostop do dostopnih vrat za odpravljanje napak HPS (DAP):
quartus_pgm -c 1 -mjtag -o “p;signed_hps_debug.cert”
Potrdilo za odpravljanje napak HPS je veljavno samo od trenutka, ko je bilo ustvarjeno, do naslednjega cikla napajanja naprave ali dokler se ne naloži drugačna vrsta ali različica vdelane programske opreme SDM. Pred vklopom naprave morate ustvariti, podpisati in programirati podpisano potrdilo za odpravljanje napak HPS in izvesti vse operacije odpravljanja napak. Podpisano potrdilo za odpravljanje napak HPS lahko razveljavite tako, da vklopite napravo.
5.3. Potrdilo o platformi
Ustvarite lahko manifest referenčne celovitosti (.rim) file z uporabo programiranja file generatorsko orodje:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Sledite tem korakom, da zagotovite atestiranje platforme v svoji zasnovi: 1. S programatorjem Intel Quartus Prime Pro konfigurirajte svojo napravo z
načrt, za katerega ste ustvarili manifest referenčne celovitosti. 2. Uporabite preverjalnik potrdila platforme, da vpišete napravo z izdajo ukazov za
SDM prek nabiralnika SDM za ustvarjanje potrdila ID naprave in potrdila vdelane programske opreme ob ponovnem nalaganju. 3. Uporabite programator Intel Quartus Prime Pro, da ponovno konfigurirate svojo napravo z zasnovo. 4. Uporabite preverjalnik atestiranja platforme za izdajo ukazov SDM za pridobitev ID-ja atestacijske naprave, vdelane programske opreme in potrdil vzdevkov. 5. Uporabite overitelj potrdila za izdajo ukaza poštnega predala SDM, da pridobite potrdilo o potrdilu in preveritelj preveri vrnjeno dokazilo.
Svojo lastno storitev preverjanja lahko implementirate z uporabo ukazov nabiralnika SDM ali uporabite storitev preverjanja atestiranja platforme Intel. Za več informacij o programski opremi storitve preverjanja atestiranja platforme Intel, razpoložljivosti in dokumentaciji se obrnite na podporo Intel.
Povezane informacije Smernice za povezavo Pin družine naprav Intel Agilex 7
5.4. Fizični anti-Tamper
Omogočite fizični anti-tamper z naslednjimi koraki: 1. Izbira želenega odziva na zaznano tamper dogodek 2. Konfiguracija želenega tampmetode in parametri odkrivanja er 3. Vključno z anti-tamper IP v vaši načrtovalski logiki za pomoč pri upravljanju anti-tamper
dogodkov

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 49

5. Napredne funkcije 683823 | 2023.05.23
5.4.1. Anti-Tamper Odzivi
Omogočite fizični anti-tamper tako, da izberete odgovor iz Anti-tamper response: spustni seznam na Dodelitve Device Device and Pin Options Security Anti-Tamper zavihek. Privzeto je anti-tamper odziv je onemogočen. Pet kategorij proti-tamper odziv je na voljo. Ko izberete želeni odgovor, so omogočene možnosti za omogočanje ene ali več metod zaznavanja.
Slika 15. Razpoložljivi anti-Tamper možnosti odziva

Ustrezna dodelitev v nastavitvah Quartus Prime .gsf file je naslednje:
nastavite_globalno_dodeljevanje -ime ANTI_TAMPER_RESPONSE “OBVESTILNA NAPRAVA BRIŠITE ZAKLEPANJE NAPRAVE IN IZNIČILO”
Ko omogočite anti-tamper odgovor, lahko izberete dva razpoložljiva namenska I/O zatiča SDM za izhod tamper zaznavanje dogodka in status odziva z uporabo okna Možnosti konfiguracije Naprava in Pin Možnosti Pin Assignments Device Configuration.

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 50

Pošlji povratne informacije

5. Napredne funkcije 683823 | 2023.05.23
Slika 16. Razpoložljivi namenski V/I zatiči SDM za Tamper zaznavanje dogodkov

V nastavitvah lahko naredite tudi naslednje dodelitve pinov file: set_global_assignment -name USE_TAMPER_DETECT SDM_IO15 set_global_assignment -name ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Odkrivanje

Posamično lahko omogočite frekvenco, temperaturo in voltagFunkcije zaznavanja SDM. Zaznavanje FPGA je odvisno od vključitve Anti-Tamper Lite Intel FPGA IP v vaši zasnovi.

Opomba:

SDM frekvenca in voltagetampMetode zaznavanja so odvisne od notranjih referenc in merilne strojne opreme, ki se lahko med napravami razlikuje. Intel priporoča, da označite vedenje tamper nastavitve zaznavanja.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 51

5. Napredne funkcije 683823 | 2023.05.23
frekvenca tampzaznavanje deluje na viru konfiguracijske ure. Za omogočanje frekvence tampČe zaznate, morate v spustnem meniju Configuration clock source na zavihku Assignments Device Device and Pin Options General določiti možnost, ki ni Notranji oscilator. Zagotoviti morate, da je potrditveno polje Zaženi konfiguracijo CPU iz notranjega oscilatorja omogočeno, preden omogočite frekvenco tamper odkrivanje. Slika 17. Nastavitev SDM na notranji oscilator
Za omogočanje frekvence tampČe zaznate, izberite Omogoči frekvenco tamper detection potrditveno polje in izberite želeno frekvenco tamper obseg zaznavanja v spustnem meniju. Slika 18. Omogočanje frekvence Tamper Odkrivanje

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 52

Pošlji povratne informacije

5. Napredne funkcije 683823 | 2023.05.23
Druga možnost je, da omogočite frekvenco Tamper Zaznavanje z naslednjimi spremembami v nastavitvah Quartus Prime .qsf file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -name DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -name RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -name ENABLE_FREQUENCY_TAMPER_DETECTION ON set_global_assignment -name FREQUENCY_TAMPER_DETECTION_RANGE 35
Za omogočanje temperature tamppo zaznavi izberite možnost Omogoči temperaturo tamper detection potrditveno polje in izberite želeno zgornjo in spodnjo mejo temperature v ustreznih poljih. Zgornja in spodnja meja sta privzeto poseljeni z ustreznim temperaturnim območjem za napravo, izbrano v načrtu.
Če želite omogočiti voltagetamppri odkrivanju izberete eno ali obe možnosti Enable VCCL voltagetamper detection ali Omogoči VCCL_SDM voltagetamper detection potrditvena polja in izberite želeno Voltagetamper sprožilec odkrivanja odsttage v ustreznem polju.
Slika 19. Omogočanje Voltagin Tamper Odkrivanje

Druga možnost je, da omogočite Voltagin Tamper Odkrivanje z določitvijo naslednjih dodelitev v .qsf file:
set_global_assignment -name ENABLE_TEMPERATURE_TAMPER_DETECTION ON set_global_assignment -name TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION ON set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION ON
5.4.3. Anti-Tamper Lite Intel FPGA IP
Anti-Tamper Lite Intel FPGA IP, ki je na voljo v katalogu IP v programski opremi Intel Quartus Prime Pro Edition, olajša dvosmerno komunikacijo med vašo zasnovo in SDM za tamper dogodki.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 53

Slika 20. Anti-Tamper Lite Intel FPGA IP

5. Napredne funkcije 683823 | 2023.05.23

IP zagotavlja naslednje signale, ki jih po potrebi povežete s svojim dizajnom:

Tabela 5.

Anti-Tamper Lite Intel FPGA IP V/I signali

Ime signala

Smer

Opis

gpo_sdm_at_event gpi_fpga_at_event

Izhodni vhod

Signal SDM v logiko tkanine FPGA, ki jo je SDM zaznalamper dogodek. Logika FPGA ima približno 5 ms časa za izvedbo želenega čiščenja in odgovor na SDM prek gpi_fpga_at_response_done in gpi_fpga_at_zeroization_done. SDM nadaljuje s tamper odzivna dejanja, ko je uveljavljen gpi_fpga_at_response_done ali ko v dodeljenem času ni prejet noben odgovor.
Prekinitev FPGA za SDM, ki je zasnovana proti tamper zaznavno vezje je zaznalo priamper dogodek in SDM tampmora biti sprožen odziv.

gpi_fpga_at_response_done

Vnos

Prekinitev FPGA do SDM, da je logika FPGA izvedla želeno čiščenje.

gpi_fpga_at_zeroization_d ena

Vnos

FPGA signalizira SDM, da je logika FPGA dokončala kakršno koli želeno ničelizacijo načrtovalnih podatkov. Ta signal je sampsproži, ko je uveljavljen gpi_fpga_at_response_done.

5.4.3.1. Informacije o izdaji

Številka sheme različic IP (XYZ) se spreminja od ene različice programske opreme do druge. Sprememba v:
· X označuje večjo revizijo IP-ja. Če posodobite programsko opremo Intel Quartus Prime, morate ponovno ustvariti IP.
· Y označuje, da IP vključuje nove funkcije. Ponovno ustvarite svoj IP, da vključite te nove funkcije.
· Z označuje, da IP vključuje manjše spremembe. Ponovno ustvarite svoj IP, da vključite te spremembe.

Tabela 6.

Anti-Tamper Lite Intel FPGA IP Informacije o izdaji

Različica IP

Postavka

Opis 20.1.0

Različica Intel Quartus Prime

21.2

Datum izdaje

2021.06.21

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 54

Pošlji povratne informacije

5. Napredne funkcije 683823 | 2023.05.23
5.5. Uporaba varnostnih funkcij oblikovanja z oddaljeno posodobitvijo sistema
Remote System Update (RSU) je funkcija Intel Agilex 7 FPGA, ki pomaga pri posodabljanju konfiguracije files na robusten način. RSU je združljiv z varnostnimi funkcijami zasnove, kot so preverjanje pristnosti, sopodpisovanje vdelane programske opreme in šifriranje bitnega toka, saj RSU ni odvisen od vsebine zasnove konfiguracijskih bitnih tokov.
Gradnja slik RSU z .sof Files
Če zasebne ključe shranjujete na lokalni filelahko ustvarite slike RSU z varnostnimi funkcijami oblikovanja z uporabo poenostavljenega poteka z .sof files kot vložki. Za ustvarjanje slik RSU z datoteko .sof file, lahko sledite navodilom v razdelku Ustvarjanje slike posodobitve oddaljenega sistema Files Uporaba programiranja File Generator uporabniškega priročnika za konfiguracijo Intel Agilex 7. Za vsak .sof file določeno na vhodu Files, kliknite gumb Lastnosti… in podajte ustrezne nastavitve in ključe za orodja za podpisovanje in šifriranje. Programiranje file generatorsko orodje samodejno podpiše in šifrira tovarniške in aplikacijske slike med ustvarjanjem programiranja RSU files.
Če pa zasebne ključe shranjujete v HSM, morate uporabiti orodje quartus_sign in zato uporabiti .rbf files. Preostanek tega razdelka podrobno opisuje spremembe v toku za ustvarjanje slik RSU z .rbf files kot vložki. Morate šifrirati in podpisati format .rbf filepreden jih izberete kot vnos files za slike RSU; vendar informacije o zagonu RSU file ne sme biti šifriran, ampak mora biti samo podpisan. Programiranje File Generator ne podpira spreminjanja lastnosti zapisa .rbf files.
Naslednji exampprikazujejo potrebne spremembe ukazov v razdelku Ustvarjanje slike posodobitve oddaljenega sistema Files Uporaba programiranja File Generator uporabniškega priročnika za konfiguracijo Intel Agilex 7.
Ustvarjanje začetne slike RSU z uporabo .rbf Files: Sprememba ukaza
Iz generiranja začetne slike RSU z uporabo .rbf Files, spremenite ukaze v 1. koraku, da po želji omogočite varnostne funkcije oblikovanja z uporabo navodil iz prejšnjih razdelkov tega dokumenta.
Na primerample bi navedli podpisano vdelano programsko opremo file če ste uporabljali sopodpis strojne programske opreme, uporabite orodje za šifriranje Quartus za šifriranje vsakega .rbf filein na koncu uporabite orodje quartus_sign za podpis vsakega file.
Če ste v 2. koraku omogočili sopodpisovanje vdelane programske opreme, morate uporabiti dodatno možnost pri ustvarjanju zagonskega .rbf iz tovarniške slike file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Ko ustvarite podatke o zagonu .rbf file, uporabite orodje quartus_sign za podpis .rbf file. Podatkov o zagonu .rbf ne smete šifrirati file.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 55

5. Napredne funkcije 683823 | 2023.05.23
Ustvarjanje slike aplikacije: sprememba ukaza
Če želite ustvariti sliko aplikacije z varnostnimi funkcijami zasnove, spremenite ukaz v Generiranju slike aplikacije za uporabo .rbf z omogočenimi varnostnimi funkcijami zasnove, vključno s sopodpisano vdelano programsko opremo, če je potrebno, namesto izvirne aplikacije .sof file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Ustvarjanje slike tovarniške posodobitve: sprememba ukaza
Ko ustvarite podatke o zagonu .rbf file, uporabite orodje quartus_sign za podpis .rbf file. Podatkov o zagonu .rbf ne smete šifrirati file.
Če želite ustvariti sliko tovarniške posodobitve RSU, spremenite ukaz iz Ustvarjanje slike tovarniške posodobitve za uporabo .rbf file z omogočenimi varnostnimi funkcijami zasnove in dodajte možnost za navedbo sopodpisane uporabe vdelane programske opreme:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Povezane informacije Uporabniški priročnik za konfiguracijo Intel Agilex 7
5.6. Kriptografske storitve SDM
SDM na napravah Intel Agilex 7 zagotavlja kriptografske storitve, ki jih lahko zahteva logika FPGA tkanine ali HPS prek ustreznega vmesnika poštnega predala SDM. Za več informacij o ukazih nabiralnika in formatih podatkov za vse kriptografske storitve SDM glejte Dodatek B v uporabniškem priročniku Varnostna metodologija za Intelove FPGA in strukturirane ASIC.
Če želite dostopati do vmesnika nabiralnika SDM do logike tkanine FPGA za kriptografske storitve SDM, morate v svoji zasnovi ustvariti primerek odjemalca poštnega predala Intel FPGA IP.
Referenčna koda za dostop do vmesnika nabiralnika SDM iz HPS je vključena v kodo ATF in Linux, ki jo zagotavlja Intel.
Sorodne informacije Odjemalec poštnega predala Intel FPGA IP Uporabniški priročnik
5.6.1. Prodajalec pooblaščen zagon
Intel ponuja referenčno izvedbo za programsko opremo HPS, ki uporablja zagonsko funkcijo, ki jo je odobril prodajalec, za preverjanje pristnosti zagonske programske opreme HPS od prvega stage zagonskega nalagalnika do jedra Linuxa.
Sorodne informacije Intel Agilex 7 SoC Secure Boot Demo Design

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 56

Pošlji povratne informacije

5. Napredne funkcije 683823 | 2023.05.23
5.6.2. Storitev varnega podatkovnega objekta
Ukaze pošljete prek nabiralnika SDM za izvedbo šifriranja in dešifriranja objekta SDOS. Funkcijo SDOS lahko uporabite po zagotavljanju korenskega ključa SDOS.
Povezane informacije Omogočanje korenskega ključa storitve varnega podatkovnega objekta na strani 30
5.6.3. Primitivne kriptografske storitve SDM
Ukaze pošljete prek nabiralnika SDM, da sprožite operacije kriptografske primitivne storitve SDM. Nekatere kriptografske primitivne storitve zahtevajo, da se na in iz SDM prenese več podatkov, kot jih lahko sprejme vmesnik nabiralnika. V teh primerih se ukaz formata spremeni, da zagotovi kazalce na podatke v pomnilniku. Poleg tega morate spremeniti instanciacijo odjemalca poštnega predala Intel FPGA IP za uporabo kriptografskih primitivnih storitev SDM iz logike tkanine FPGA. Dodatno morate nastaviti parameter Enable Crypto Service na 1 in povezati na novo izpostavljen vmesnik iniciatorja AXI s pomnilnikom v vašem dizajnu.
Slika 21. Omogočanje kriptografskih storitev SDM v odjemalcu poštnega predala Intel FPGA IP

5.7. Varnostne nastavitve bitnega toka (FM/S10)
Varnostne možnosti bitnega toka FPGA so zbirka pravilnikov, ki omejujejo določeno funkcijo ali način delovanja v določenem obdobju.
Možnosti Bitstream Security so sestavljene iz zastavic, ki jih nastavite v programski opremi Intel Quartus Prime Pro Edition. Te zastavice se samodejno kopirajo v konfiguracijske bitne tokove.
Varnostne možnosti v napravi lahko trajno uveljavite z uporabo ustrezne varnostne nastavitve eFuse.
Za uporabo kakršnih koli varnostnih nastavitev v konfiguracijskem bitnem toku ali napravah eFuses morate omogočiti funkcijo preverjanja pristnosti.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 57

5. Napredne funkcije 683823 | 2023.05.23
5.7.1. Izbira in omogočanje varnostnih možnosti
Če želite izbrati in omogočiti varnostne možnosti, naredite naslednje: V meniju Dodelitve izberite Naprava Možnosti naprave in Pin Varnost Več možnosti… Slika 22. Izbiranje in omogočanje varnostnih možnosti

Nato izberite vrednosti s spustnih seznamov za varnostne možnosti, ki jih želite omogočiti, kot je prikazano v naslednjem primeruample:
Slika 23. Izbira vrednosti za varnostne možnosti

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 58

Pošlji povratne informacije

5. Napredne funkcije 683823 | 2023.05.23
Sledijo ustrezne spremembe v nastavitvah Quartus Prime .qsf file:
set_global_assignment -name SECU_OPTION_DISABLE_JTAG “ON CHECK” set_global_assignment -name SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE “ON STICKY” set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -name SECU_OPTION_DISABLE_VIRTUAL_EFUSES ON set_global_assignment -name SECU_OPTION_LOCK_S ECURITY_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_ DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ON set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ON set_global_assignment -name SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY ON

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 59

683823 | 2023.05.23 Pošlji povratne informacije

Odpravljanje težav

V tem poglavju so opisane pogoste napake in opozorilna sporočila, na katera lahko naletite, ko poskušate uporabiti varnostne funkcije naprave, ter ukrepi za njihovo odpravo.
6.1. Uporaba ukazov Quartus v napaki okolja Windows
Napaka quartus_pgm: ukaz ni bil najden Opis Ta napaka se prikaže pri poskusu uporabe ukazov Quartus v lupini NIOS II v okolju Windows z uporabo WSL. Rešitev Ta ukaz deluje v okolju Linux; Za gostitelje Windows uporabite naslednji ukaz: quartus_pgm.exe -h Podobno uporabite isto sintakso za druge ukaze Quartus Prime, kot so quartus_pfg, quartus_sign, quartus_encrypt med drugimi ukazi.

ISO 9001:2015 Registriran

6. Odpravljanje težav 683823 | 2023.05.23

6.2. Ustvarjanje opozorila o zasebnem ključu

Opozorilo:

Navedeno geslo velja za nevarno. Intel priporoča, da uporabite vsaj 13 znakov gesla. Priporočamo, da spremenite geslo z uporabo izvršljive datoteke OpenSSL.

openssl ec -in -ven -aes256

Opis
To opozorilo je povezano z močjo gesla in se prikaže, ko poskušate ustvariti zasebni ključ z izdajo naslednjih ukazov:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Rešitev Uporabite izvršljivo datoteko openssl, da določite daljše in s tem močnejše geslo.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 61

6. Odpravljanje težav 683823 | 2023.05.23
6.3. Dodajanje ključa za podpisovanje k napaki projekta Quartus
Napaka …File vsebuje informacije o korenskem ključu ...
Opis
Po dodajanju ključa za podpisovanje .qky file za projekt Quartus, morate znova sestaviti .sof file. Ko dodate ta regenerirani .sof file v izbrano napravo s programatorjem Quartus, naslednje sporočilo o napaki nakazuje, da je file vsebuje informacije o korenskem ključu:
Dodajanje ni uspelofile-ime-poti> do programerja. The file vsebuje podatke o korenskem ključu (.qky). Vendar Programmer ne podpira funkcije podpisovanja bitnega toka. Lahko uporabite programiranje File Generator za pretvorbo file na podpisano Raw Binary file (.rbf) za konfiguracijo.
Resolucija
Uporabite programiranje Quartus file generator za pretvorbo file v podpisano surovo dvojiško datoteko File .rbf za konfiguracijo.
Povezane informacije Bitni tok konfiguracije podpisovanja z uporabo ukaza quartus_sign na strani 13

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 62

Pošlji povratne informacije

6. Odpravljanje težav 683823 | 2023.05.23
6.4. Ustvarjanje programiranja Quartus Prime File je bil neuspešen
Napaka
Napaka (20353): X javnega ključa iz QKY se ne ujema z zasebnim ključem iz PEM file.
Napaka (20352): bitnega toka ni bilo mogoče podpisati prek skripta python agilex_sign.py.
Napaka: programiranje Quartus Prime File Generator je bil neuspešen.
Opis Če poskusite podpisati konfiguracijski bitni tok z napačnim zasebnim ključem .pem file ali .pem file ki se ne ujema z .qky, dodanim projektu, se prikažejo zgornje pogoste napake. Rešitev Prepričajte se, da uporabljate pravilen zasebni ključ .pem za podpisovanje bitnega toka.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 63

6. Odpravljanje težav 683823 | 2023.05.23
6.5. Napake neznanega argumenta
Napaka
Napaka (23028): Neznan argument »ûc«. Glejte –pomoč za pravne argumente.
Napaka (213008): Niz možnosti programiranja »ûp« je neveljaven. Glejte -help za legalne oblike programskih možnosti.
Opis Če kopirate in prilepite možnosti ukazne vrstice iz .pdf file v lupini Windows NIOS II lahko naletite na napake neznanih argumentov, kot je prikazano zgoraj. Rešitev V takih primerih lahko ukaze vnesete ročno, namesto da jih prilepite iz odložišča.

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 64

Pošlji povratne informacije

6. Odpravljanje težav 683823 | 2023.05.23
6.6. Bitstream Encryption Option Disabled Error
Napaka
Ni mogoče dokončati šifriranja za file design .sof, ker je bil preveden z onemogočeno možnostjo šifriranja bitnega toka.
Opis Če poskusite šifrirati bitni tok prek GUI ali ukazne vrstice, potem ko ste prevedli projekt z onemogočeno možnostjo šifriranja bitnega toka, Quartus zavrne ukaz, kot je prikazano zgoraj.
Rešitev Prepričajte se, da prevedete projekt z omogočeno možnostjo šifriranja bitnega toka prek GUI ali ukazne vrstice. Če želite omogočiti to možnost v GUI, morate označiti potrditveno polje za to možnost.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 65

6. Odpravljanje težav 683823 | 2023.05.23
6.7. Določanje pravilne poti do ključa
Napaka
Napaka (19516): Zaznano programiranje File Napaka v nastavitvah generatorja: Ni mogoče najti 'key_file'. Prepričajte se, da file se nahaja na pričakovani lokaciji ali posodobite nastavitev.sek
Napaka (19516): Zaznano programiranje File Napaka v nastavitvah generatorja: Ni mogoče najti 'key_file'. Prepričajte se, da file se nahaja na pričakovani lokaciji ali posodobite nastavitev.
Opis
Če uporabljate ključe, ki so shranjeni na file morate zagotoviti, da podajo pravilno pot za ključe, ki se uporabljajo za šifriranje in podpisovanje bitnega toka. Če programiranje File Generator ne more zaznati prave poti, prikažejo se zgornja sporočila o napaki.
Resolucija
Glejte nastavitve Quartus Prime .qsf file da poiščete prave poti za ključe. Prepričajte se, da uporabljate relativne poti namesto absolutnih poti.

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 66

Pošlji povratne informacije

6. Odpravljanje težav 683823 | 2023.05.23
6.8. Uporaba nepodprtega izhoda File Vrsta
Napaka
quartus_pfg -c design.sof izhod_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o podpisovanje=ON -o pem_file=sign_private.pem
Napaka (19511): Nepodprt izhod file tip (ebf). Za prikaz podprtih uporabite možnost »-l« ali »–list«. file informacije o vrsti.
Opis Med uporabo programiranja Quartus File Generator za generiranje šifriranega in podpisanega konfiguracijskega bitnega toka, boste morda videli zgornjo napako, če je nepodprt izhod file tip je določen. Rešitev Za ogled seznama podprtih uporabite možnost -l ali –list file vrste.

Pošlji povratne informacije

Uporabniški priročnik za zaščito naprav Intel Agilex® 7 67

683823 | 2023.05.23 Pošlji povratne informacije
7. Arhiv uporabniškega priročnika za Intel Agilex 7 Device Security
Za najnovejšo in prejšnjo različico tega uporabniškega priročnika glejte uporabniški priročnik za Intel Agilex 7 Device Security. Če IP ali različica programske opreme ni navedena, velja uporabniški priročnik za prejšnji IP ali različico programske opreme.

ISO 9001:2015 Registriran

683823 | 2023.05.23 Pošlji povratne informacije

8. Zgodovina revizij za uporabniški priročnik za varnost naprave Intel Agilex 7

Različica dokumenta 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Dokumenti / Viri

Varnost naprav Intel Agilex 7 [pdfUporabniški priročnik
Varnost naprave Agilex 7, Varnost naprave Agilex 7, Varnost naprave

Reference

Uporabniški priročnik

Varnost naprav Intel Agilex 7

Informacije o izdelku

Navodila za uporabo izdelka

Pogosto zastavljena vprašanja

Varnost naprave končanaview

Avtentikacija in avtorizacija

Bitstream šifriranje AES

Priprava naprave

Napredne funkcije

Odpravljanje težav

Dokumenti / Viri

Reference

Pustite komentar

Prekliči odgovor