Intel Agilex 7 डिव्हाइस सुरक्षा वापरकर्ता मॅन्युअल

इंटेल उत्पादन सुरक्षेसाठी वचनबद्ध आहे आणि वापरकर्त्यांना प्रदान केलेल्या उत्पादन सुरक्षा संसाधनांशी परिचित होण्याची शिफारस करते. ही संसाधने इंटेल उत्पादनाच्या संपूर्ण आयुष्यात वापरली जावीत.

2. नियोजित सुरक्षा वैशिष्ट्ये

इंटेल क्वार्टस प्राइम प्रो एडिशन सॉफ्टवेअरच्या भावी प्रकाशनासाठी खालील सुरक्षा वैशिष्ट्ये नियोजित आहेत:

आंशिक रीकॉन्फिगरेशन बिटस्ट्रीम सुरक्षा पडताळणी: आंशिक पुनर्रचना (पीआर) बिटस्ट्रीम इतर PR व्यक्तिमत्व बिटस्ट्रीममध्ये प्रवेश करू शकत नाहीत किंवा हस्तक्षेप करू शकत नाहीत याची अतिरिक्त खात्री देते.

फिजिकल अँटी-टी साठी डिव्हाइस सेल्फ-किलamper: डिव्हाइस पुसणे किंवा डिव्हाइस शून्यीकरण प्रतिसाद आणि डिव्हाइसला पुन्हा कॉन्फिगर होण्यापासून रोखण्यासाठी eFuses प्रोग्राम करते.

3. उपलब्ध सुरक्षा दस्तऐवजीकरण

खालील तक्त्यामध्ये Intel FPGA आणि स्ट्रक्चर्ड ASIC डिव्हाइसेसवरील डिव्हाइस सुरक्षा वैशिष्ट्यांसाठी उपलब्ध कागदपत्रांची सूची आहे:

दस्तऐवजाचे नाव	उद्देश
इंटेल एफपीजीए आणि स्ट्रक्चर्ड एएसआयसी वापरकर्त्यासाठी सुरक्षा पद्धती मार्गदर्शक	चे तपशीलवार वर्णन प्रदान करणारे उच्च-स्तरीय दस्तऐवज Intel Programmable Solutions मधील सुरक्षा वैशिष्ट्ये आणि तंत्रज्ञान उत्पादने. वापरकर्त्यांना आवश्यक सुरक्षा वैशिष्ट्ये निवडण्यात मदत करते त्यांची सुरक्षा उद्दिष्टे पूर्ण करतात.
इंटेल स्ट्रॅटिक्स 10 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक	इंटेल स्ट्रॅटिक्स 10 डिव्हाइसेसच्या वापरकर्त्यांना अंमलबजावणीसाठी सूचना सुरक्षा पद्धती वापरून ओळखलेली सुरक्षा वैशिष्ट्ये वापरकर्ता मार्गदर्शक.
Intel Agilex 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक	Intel Agilex 7 डिव्हाइसेसच्या वापरकर्त्यांना अंमलबजावणी करण्याच्या सूचना सुरक्षा पद्धती वापरून ओळखलेली सुरक्षा वैशिष्ट्ये वापरकर्ता मार्गदर्शक.
इंटेल eASIC N5X डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक	इंटेल eASIC N5X डिव्हाइसेसच्या वापरकर्त्यांना अंमलबजावणीसाठी सूचना सुरक्षा पद्धती वापरून ओळखलेली सुरक्षा वैशिष्ट्ये वापरकर्ता मार्गदर्शक.
Intel Agilex 7 आणि Intel eASIC N5X HPS क्रिप्टोग्राफिक सेवा वापरकर्ता मार्गदर्शक	HPS सॉफ्टवेअर अभियंत्यांची अंमलबजावणीबद्दल माहिती आणि क्रिप्टोग्राफिक सेवांमध्ये प्रवेश करण्यासाठी HPS सॉफ्टवेअर लायब्ररीचा वापर SDM द्वारे प्रदान केले.
AN-968 ब्लॅक की प्रोव्हिजनिंग सर्व्हिस क्विक स्टार्ट गाइड	ब्लॅक की प्रोव्हिजनिंग सेट करण्यासाठी पायऱ्यांचा पूर्ण संच सेवा

वारंवार विचारले जाणारे प्रश्न

प्रश्न: सुरक्षा पद्धती वापरकर्ता मार्गदर्शकाचा उद्देश काय आहे?

A: सुरक्षा पद्धती वापरकर्ता मार्गदर्शक इंटेल प्रोग्रामेबल सोल्यूशन्स उत्पादनांमध्ये सुरक्षा वैशिष्ट्ये आणि तंत्रज्ञानाचे तपशीलवार वर्णन प्रदान करते. हे वापरकर्त्यांना त्यांची सुरक्षा उद्दिष्टे पूर्ण करण्यासाठी आवश्यक सुरक्षा वैशिष्ट्ये निवडण्यात मदत करते.

प्रश्न: मला Intel Agilex 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक कोठे मिळेल?

A: Intel Agilex 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक इंटेल संसाधन आणि डिझाइन केंद्रावर आढळू शकते. webसाइट

प्रश्न: ब्लॅक की प्रोव्हिजनिंग सेवा काय आहे?

A: ब्लॅक की प्रोव्हिजनिंग सेवा ही एक सेवा आहे जी सुरक्षित ऑपरेशन्ससाठी मुख्य तरतूद सेट करण्यासाठी पायऱ्यांचा संपूर्ण संच प्रदान करते.

View Fullscreen

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक
Intel® Quartus® Prime Design Suite साठी अपडेट केलेले: 23.1

ऑनलाइन आवृत्ती अभिप्राय पाठवा

UG-20335

०६ ४०

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 2

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 3

683823 | 2023.05.23 फीडबॅक पाठवा
1. Intel Agilex® 7

डिव्हाइस सुरक्षा संपलीview

Intel® समर्पित, उच्च-कॉन्फिगर करण्यायोग्य सुरक्षा हार्डवेअर आणि फर्मवेअरसह Intel Agilex® 7 डिव्हाइस डिझाइन करते.
या दस्तऐवजात तुमच्या Intel Agilex 7 उपकरणांवर सुरक्षा वैशिष्ट्ये लागू करण्यासाठी Intel Quartus® Prime Pro Edition सॉफ्टवेअर वापरण्यात मदत करण्यासाठी सूचना आहेत.
याव्यतिरिक्त, इंटेल FPGAs आणि स्ट्रक्चर्ड ASICs वापरकर्ता मार्गदर्शकासाठी सुरक्षा पद्धत इंटेल संसाधन आणि डिझाइन केंद्रावर उपलब्ध आहे. या दस्तऐवजात सुरक्षा वैशिष्ट्ये आणि तंत्रज्ञानाचे तपशीलवार वर्णन आहे जे इंटेल प्रोग्रामेबल सोल्युशन्स उत्पादनांद्वारे तुम्हाला तुमच्या सुरक्षा उद्देशांची पूर्तता करण्यासाठी आवश्यक सुरक्षा वैशिष्ट्ये निवडण्यात मदत करण्यासाठी उपलब्ध आहेत. Intel FPGAs आणि स्ट्रक्चर्ड ASICs वापरकर्ता मार्गदर्शकासाठी सुरक्षा पद्धतीमध्ये प्रवेश करण्यासाठी संदर्भ क्रमांक 14014613136 सह Intel समर्थनाशी संपर्क साधा.
दस्तऐवज खालीलप्रमाणे आयोजित केले आहे: · प्रमाणीकरण आणि अधिकृतता: तयार करण्यासाठी सूचना प्रदान करते
प्रमाणीकरण की आणि स्वाक्षरी साखळी, Intel Agilex 7 डिव्हाइसेसवर परवानग्या आणि रद्दीकरण, साइन ऑब्जेक्ट्स आणि प्रोग्राम प्रमाणीकरण वैशिष्ट्ये लागू करा. · एईएस बिटस्ट्रीम एन्क्रिप्शन: एईएस रूट की तयार करण्यासाठी, बिटस्ट्रीम कॉन्फिगरेशन एनक्रिप्ट करण्यासाठी आणि इंटेल एजिलेक्स 7 डिव्हाइसेससाठी एईएस रूट की तरतूद करण्यासाठी सूचना प्रदान करते. · डिव्हाइस प्रोव्हिजनिंग: इंटेल एजिलेक्स 7 डिव्हाइसेसवरील सुरक्षा वैशिष्ट्ये प्रोग्रॅम करण्यासाठी इंटेल क्वार्टस प्राइम प्रोग्रॅमर आणि सिक्युअर डिव्हाइस मॅनेजर (SDM) प्रोव्हिजन फर्मवेअर वापरण्यासाठी सूचना देते. · प्रगत वैशिष्ट्ये: सुरक्षित डीबग अधिकृतता, हार्ड प्रोसेसर सिस्टम (HPS) डीबग आणि रिमोट सिस्टम अपडेटसह प्रगत सुरक्षा वैशिष्ट्ये सक्षम करण्यासाठी सूचना प्रदान करते.
1.1. उत्पादन सुरक्षिततेसाठी वचनबद्धता
सुरक्षेसाठी इंटेलची दीर्घकाळ टिकणारी वचनबद्धता कधीही मजबूत नव्हती. इंटेल जोरदार शिफारस करतो की तुम्ही आमच्या उत्पादन सुरक्षा संसाधनांशी परिचित व्हा आणि ते तुमच्या इंटेल उत्पादनाच्या संपूर्ण आयुष्यात वापरण्याची योजना करा.
संबंधित माहिती · इंटेलमधील उत्पादन सुरक्षा · इंटेल उत्पादन सुरक्षा केंद्र सल्लागार

इंटेल कॉर्पोरेशन. सर्व हक्क राखीव. इंटेल, इंटेल लोगो आणि इतर इंटेल चिन्ह हे इंटेल कॉर्पोरेशन किंवा त्याच्या उपकंपन्यांचे ट्रेडमार्क आहेत. इंटेल त्याच्या FPGA आणि सेमीकंडक्टर उत्पादनांच्या कार्यप्रदर्शनास इंटेलच्या मानक वॉरंटीनुसार वर्तमान वैशिष्ट्यांनुसार वॉरंटी देते, परंतु कोणत्याही वेळी कोणतीही सूचना न देता कोणतीही उत्पादने आणि सेवांमध्ये बदल करण्याचा अधिकार राखून ठेवते. इंटेलने लिखित स्वरूपात स्पष्टपणे मान्य केल्याशिवाय येथे वर्णन केलेल्या कोणत्याही माहिती, उत्पादन किंवा सेवेच्या अर्जामुळे किंवा वापरामुळे उद्भवणारी कोणतीही जबाबदारी किंवा उत्तरदायित्व इंटेल गृहीत धरत नाही. इंटेल ग्राहकांना कोणत्याही प्रकाशित माहितीवर विसंबून राहण्यापूर्वी आणि उत्पादने किंवा सेवांसाठी ऑर्डर देण्यापूर्वी डिव्हाइस वैशिष्ट्यांची नवीनतम आवृत्ती मिळविण्याचा सल्ला दिला जातो. *इतर नावे आणि ब्रँडवर इतरांची मालमत्ता म्हणून दावा केला जाऊ शकतो.

ISO 9001:2015 नोंदणीकृत

1. Intel Agilex® 7 डिव्हाइस सुरक्षा संपलीview 683823 | 2023.05.23

1.2. नियोजित सुरक्षा वैशिष्ट्ये

या विभागात नमूद केलेली वैशिष्ट्ये इंटेल क्वार्टस प्राइम प्रो एडिशन सॉफ्टवेअरच्या भावी प्रकाशनासाठी नियोजित आहेत.

टीप:

या विभागातील माहिती प्राथमिक आहे.

१.२.१. आंशिक पुनर्रचना बिटस्ट्रीम सुरक्षा पडताळणी
आंशिक रीकॉन्फिगरेशन (पीआर) बिटस्ट्रीम सुरक्षा प्रमाणीकरण अतिरिक्त खात्री प्रदान करण्यात मदत करते की पीआर पर्सन बिटस्ट्रीम इतर PR व्यक्तिमत्व बिटस्ट्रीममध्ये प्रवेश करू शकत नाही किंवा त्यात हस्तक्षेप करू शकत नाही.

१.२.२. फिजिकल अँटी-टी साठी डिव्हाइस सेल्फ-किलamper
डिव्हाइस सेल्फ-किल डिव्हाइस वाइप किंवा डिव्हाइसचे शून्यीकरण प्रतिसाद देते आणि त्याव्यतिरिक्त डिव्हाइसला पुन्हा कॉन्फिगर होण्यापासून रोखण्यासाठी eFuses प्रोग्राम करते.

1.3. उपलब्ध सुरक्षा दस्तऐवजीकरण

खालील सारणी इंटेल एफपीजीए आणि स्ट्रक्चर्ड एएसआयसी उपकरणांवरील उपकरण सुरक्षा वैशिष्ट्यांसाठी उपलब्ध दस्तऐवजांची गणना करते:

तक्ता 1.

उपलब्ध डिव्हाइस सुरक्षा दस्तऐवजीकरण

दस्तऐवजाचे नाव
इंटेल FPGAs आणि स्ट्रक्चर्ड ASICs वापरकर्ता मार्गदर्शकासाठी सुरक्षा पद्धती

उद्देश
Intel Programmable Solutions Products मधील सुरक्षा वैशिष्ट्ये आणि तंत्रज्ञानाचे तपशीलवार वर्णन असलेले शीर्ष-स्तरीय दस्तऐवज. तुमची सुरक्षा उद्दिष्टे पूर्ण करण्यासाठी आवश्यक असलेली सुरक्षा वैशिष्ट्ये निवडण्यात तुम्हाला मदत करण्याचा हेतू आहे.

दस्तऐवज आयडी 721596

इंटेल स्ट्रॅटिक्स 10 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक
Intel Agilex 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक

इंटेल स्ट्रॅटिक्स 10 उपकरणांच्या वापरकर्त्यांसाठी, या मार्गदर्शकामध्ये सुरक्षा पद्धती वापरकर्ता मार्गदर्शक वापरून ओळखल्या गेलेल्या सुरक्षा वैशिष्ट्यांची अंमलबजावणी करण्यासाठी इंटेल क्वार्टस प्राइम प्रो एडिशन सॉफ्टवेअर वापरण्याच्या सूचना आहेत.
Intel Agilex 7 उपकरणांच्या वापरकर्त्यांसाठी, या मार्गदर्शकामध्ये सुरक्षा पद्धती वापरकर्ता मार्गदर्शक वापरून ओळखल्या गेलेल्या सुरक्षा वैशिष्ट्यांची अंमलबजावणी करण्यासाठी Intel Quartus Prime Pro Edition सॉफ्टवेअर वापरण्याच्या सूचना आहेत.

०६ ४०

इंटेल eASIC N5X डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक

Intel eASIC N5X डिव्हाइसेसच्या वापरकर्त्यांसाठी, या मार्गदर्शकामध्ये सुरक्षा पद्धती वापरकर्ता मार्गदर्शक वापरून ओळखल्या गेलेल्या सुरक्षा वैशिष्ट्यांची अंमलबजावणी करण्यासाठी इंटेल क्वार्टस प्राइम प्रो एडिशन सॉफ्टवेअर वापरण्याच्या सूचना आहेत.

626836

Intel Agilex 7 आणि Intel eASIC N5X HPS क्रिप्टोग्राफिक सेवा वापरकर्ता मार्गदर्शक

या मार्गदर्शकामध्ये HPS सॉफ्टवेअर अभियंत्यांना SDM द्वारे प्रदान केलेल्या क्रिप्टोग्राफिक सेवांमध्ये प्रवेश करण्यासाठी HPS सॉफ्टवेअर लायब्ररींच्या अंमलबजावणी आणि वापरामध्ये मदत करण्यासाठी माहिती आहे.

713026

AN-968 ब्लॅक की प्रोव्हिजनिंग सर्व्हिस क्विक स्टार्ट गाइड

या मार्गदर्शकामध्ये ब्लॅक की प्रोव्हिजनिंग सेवा सेट करण्यासाठी संपूर्ण चरणांचा समावेश आहे.

739071

स्थान इंटेल संसाधन आणि
डिझाइन केंद्र
Intel.com
Intel.com
इंटेल संसाधन आणि डिझाइन केंद्र
इंटेल संसाधन आणि डिझाइन केंद्र
इंटेल संसाधन आणि डिझाइन केंद्र

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 5

683823 | 2023.05.23 फीडबॅक पाठवा

प्रमाणीकरण आणि अधिकृतता

Intel Agilex 7 डिव्हाइसची प्रमाणीकरण वैशिष्ट्ये सक्षम करण्यासाठी, तुम्ही स्वाक्षरी साखळी तयार करण्यासाठी Intel Quartus Prime Pro Edition सॉफ्टवेअर आणि संबंधित टूल्स वापरून सुरुवात करता. स्वाक्षरी साखळीमध्ये रूट की, एक किंवा अधिक स्वाक्षरी की आणि लागू अधिकृतता असतात. तुम्ही तुमच्या इंटेल क्वार्टस प्राइम प्रो एडिशन प्रकल्प आणि संकलित प्रोग्रामिंगमध्ये स्वाक्षरी साखळी लागू करता files Intel Agilex 7 उपकरणांमध्ये तुमची रूट की प्रोग्राम करण्यासाठी डिव्हाइस प्रोव्हिजनिंगमधील सूचना वापरा.
संबंधित माहिती
पृष्ठ 25 वर डिव्हाइस प्रोव्हिजनिंग

२.१. स्वाक्षरी साखळी तयार करणे
स्वाक्षरी चेन ऑपरेशन्स करण्यासाठी तुम्ही quartus_sign टूल किंवा agilex_sign.py संदर्भ अंमलबजावणी वापरू शकता. हा दस्तऐवज माजी प्रदान करतोamples quartus_sign वापरून.
संदर्भ अंमलबजावणीचा वापर करण्यासाठी, तुम्ही इंटेल क्वार्टस प्राइम सॉफ्टवेअरसह समाविष्ट असलेल्या पायथन इंटरप्रिटरला कॉल करा आणि –family=agilex पर्याय वगळा; इतर सर्व पर्याय समतुल्य आहेत. उदाample, quartus_sign कमांड नंतर या विभागात आढळली
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky खालीलप्रमाणे संदर्भ अंमलबजावणीच्या समतुल्य कॉलमध्ये रूपांतरित केले जाऊ शकते
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

इंटेल क्वार्टस प्राइम प्रो एडिशन सॉफ्टवेअरमध्ये quartus_sign, pgm_py आणि agilex_sign.py टूल्स समाविष्ट आहेत. तुम्ही Nios® II कमांड शेल टूल वापरू शकता, जे टूल्समध्ये प्रवेश करण्यासाठी आपोआप योग्य पर्यावरण व्हेरिएबल्स सेट करते.

Nios II कमांड शेल आणण्यासाठी या सूचनांचे अनुसरण करा. 1. Nios II कमांड शेल आणा.

पर्याय विंडोज
लिनक्स

वर्णन
प्रारंभ मेनूवर, Intel FPGA Nios II EDS प्रोग्राम्सकडे निर्देश करा आणि Nios II वर क्लिक करा कमांड शेल.
कमांड शेल मध्ये बदला /nios2eds आणि खालील आदेश चालवा:
./nios2_command_shell.sh

माजीampया विभागातील लेस सिग्नेचर चेन आणि कॉन्फिगरेशन बिटस्ट्रीम गृहीत धरते files वर्तमान कार्यरत निर्देशिकेत स्थित आहेत. आपण माजी अनुसरण करणे निवडल्यासampलेस जेथे की files वर ठेवले आहेत file प्रणाली, त्या माजीamples की गृहीत धरा files आहेत

ISO 9001:2015 नोंदणीकृत

2. प्रमाणीकरण आणि अधिकृतता 683823 | 2023.05.23
वर्तमान कार्यरत निर्देशिकेत स्थित आहे. कोणती डिरेक्टरी वापरायची ते तुम्ही निवडू शकता आणि साधने सापेक्ष समर्थन देतात file मार्ग आपण की ठेवणे निवडल्यास files वर file प्रणाली, आपण काळजीपूर्वक त्या प्रवेश परवानग्या व्यवस्थापित करणे आवश्यक आहे files.
क्रिप्टोग्राफिक की संचयित करण्यासाठी आणि क्रिप्टोग्राफिक ऑपरेशन्स करण्यासाठी व्यावसायिकरित्या उपलब्ध हार्डवेअर सिक्युरिटी मॉड्यूल (एचएसएम) वापरण्याची इंटेल शिफारस करते. quartus_sign टूल आणि संदर्भ अंमलबजावणीमध्ये सिग्नेचर चेन ऑपरेशन्स करताना HSM शी संवाद साधण्यासाठी सार्वजनिक की क्रिप्टोग्राफी मानक #11 (PKCS #11) ऍप्लिकेशन प्रोग्रामिंग इंटरफेस (API) समाविष्ट आहे. agilex_sign.py संदर्भ अंमलबजावणीमध्ये इंटरफेस ॲबस्ट्रॅक्ट तसेच एक्स समाविष्ट आहेampसॉफ्टएचएसएम ला इंटरफेस.
आपण या माजी वापरू शकताampले इंटरफेस तुमच्या HSM मध्ये इंटरफेस लागू करण्यासाठी. तुमच्या HSM मध्ये इंटरफेस लागू करणे आणि ऑपरेट करणे याबद्दल अधिक माहितीसाठी तुमच्या HSM विक्रेत्याकडील दस्तऐवजीकरण पहा.
SoftHSM हे PKCS #11 इंटरफेससह जेनेरिक क्रिप्टोग्राफिक उपकरणाचे सॉफ्टवेअर अंमलबजावणी आहे जे OpenDNSSEC® प्रोजेक्टद्वारे उपलब्ध केले जाते. OpenDNSSEC प्रोजेक्टवर OpenHSM कसे डाउनलोड, बिल्ड आणि इन्स्टॉल करायचे यावरील सूचनांसह तुम्हाला अधिक माहिती मिळू शकते. माजीampया विभागातील लेस SoftHSM आवृत्ती 2.6.1 वापरतात. माजीampया विभागातील लेस सॉफ्टएचएसएम टोकनसह अतिरिक्त PKCS #11 ऑपरेशन्स करण्यासाठी OpenSC कडील pkcs11-टूल युटिलिटी वापरतात. OpenSC वरून pkcs11 टूल डाउनलोड, बिल्ड आणि इन्स्टॉल कसे करावे यावरील सूचनांसह तुम्हाला अधिक माहिती मिळू शकते.
संबंधित माहिती
· DNSSEC की ट्रॅकिंगची प्रक्रिया स्वयंचलित करण्यासाठी OpenDNSSEC प्रकल्प धोरण-आधारित झोन स्वाक्षरी करणारा.
· PKCS #11 इंटरफेसद्वारे प्रवेशयोग्य क्रिप्टोग्राफिक स्टोअरच्या अंमलबजावणीबद्दल सॉफ्टएचएसएम माहिती.
· ओपनएससी लायब्ररी आणि उपयुक्तता यांचा संच प्रदान करते जे स्मार्ट कार्डसह कार्य करू शकतात.
२.१.१. स्थानिक वर प्रमाणीकरण की जोड्या तयार करणे File प्रणाली
लोकलवर ऑथेंटिकेशन की जोड्या तयार करण्यासाठी तुम्ही quartus_sign टूल वापरता file make_private_pem आणि make_public_pem टूल ऑपरेशन्स वापरून प्रणाली. तुम्ही प्रथम make_private_pem ऑपरेशनसह खाजगी की व्युत्पन्न करा. तुम्ही वापरण्यासाठी लंबवर्तुळाकार वक्र, खाजगी की निर्दिष्ट करता fileनाव, आणि पर्यायाने खाजगी कीला सांकेतिक वाक्यांशासह संरक्षित करायचे की नाही. इंटेल सर्व खाजगी की वर एक मजबूत, यादृच्छिक सांकेतिक वाक्यांश तयार करण्यासाठी secp384r1 वक्र वापरण्याची आणि उद्योगातील सर्वोत्तम पद्धतींचे अनुसरण करण्याची शिफारस करते. files इंटेल देखील प्रतिबंधित करण्याची शिफारस करते file खाजगी की .pem वर सिस्टम परवानग्या files फक्त मालकाद्वारे वाचण्यासाठी. तुम्ही make_public_pem ऑपरेशनसह खाजगी की मधून सार्वजनिक की मिळवता. किल्लीचे नाव देणे उपयुक्त आहे .pem fileवर्णनात्मक आहे. हा दस्तऐवज अधिवेशनाचा वापर करतो _ .pem खालील उदाampलेस
1. Nios II कमांड शेलमध्ये, खाजगी की तयार करण्यासाठी खालील आदेश चालवा. खाली दाखवलेली खाजगी की, नंतरच्या ex मध्ये रूट की म्हणून वापरली जातेamples जे स्वाक्षरी साखळी तयार करतात. Intel Agilex 7 डिव्हाइसेस एकाधिक रूट कीला समर्थन देतात, म्हणून आपण

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 7

2. प्रमाणीकरण आणि अधिकृतता 683823 | 2023.05.23

तुमची आवश्यक संख्या रूट की तयार करण्यासाठी ही पायरी पुन्हा करा. उदाampया दस्तऐवजातील सर्व प्रथम रूट कीचा संदर्भ घेतात, जरी तुम्ही कोणत्याही रूट कीसह अशाच पद्धतीने स्वाक्षरी चेन तयार करू शकता.

सांकेतिक वाक्यांशासह पर्याय

वर्णन
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem असे करण्यास सांगितल्यावर सांकेतिक वाक्यांश प्रविष्ट करा.

सांकेतिक वाक्यांशाशिवाय

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. मागील चरणात व्युत्पन्न केलेली खाजगी की वापरून सार्वजनिक की तयार करण्यासाठी खालील आदेश चालवा. तुम्हाला सार्वजनिक कीच्या गोपनीयतेचे संरक्षण करण्याची आवश्यकता नाही.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. स्वाक्षरी शृंखलामध्ये डिझाईन साइनिंग की म्हणून वापरलेली की जोडी तयार करण्यासाठी आदेश पुन्हा चालवा.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

२.१.२. SoftHSM मध्ये प्रमाणीकरण की जोड्या तयार करणे
सॉफ्टएचएसएम माजीampया अध्यायातील लेस स्वयं-सुसंगत आहेत. काही पॅरामीटर्स तुमच्या SoftHSM इंस्टॉलेशनवर आणि SoftHSM मध्ये टोकन इनिशिएलायझेशनवर अवलंबून असतात.
quartus_sign टूल तुमच्या HSM मधील PKCS #11 API लायब्ररीवर अवलंबून आहे.
माजीampया विभागातील les असे गृहीत धरू की SoftHSM लायब्ररी खालीलपैकी एका ठिकाणी स्थापित केली आहे: · /usr/local/lib/softhsm2.so Linux वर · C:SoftHSM2libsofthsm2.dll Windows च्या 32-बिट आवृत्तीवर · C:SoftHSM2libsofthsm2-x64 विंडोजच्या 64-बिट आवृत्तीवर .dll.
softhsm2-util टूल वापरून SoftHSM मध्ये टोकन सुरू करा:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –free
ऑप्शन पॅरामीटर्स, विशेषतः टोकन लेबल आणि टोकन पिन माजी आहेतamples या संपूर्ण प्रकरणामध्ये वापरले. Intel शिफारस करतो की तुम्ही टोकन आणि की तयार करण्यासाठी आणि व्यवस्थापित करण्यासाठी तुमच्या HSM विक्रेत्याच्या सूचनांचे पालन करा.
SoftHSM मधील टोकनशी संवाद साधण्यासाठी तुम्ही pkcs11-टूल युटिलिटी वापरून ऑथेंटिकेशन की जोड्या तयार करता. खाजगी आणि सार्वजनिक की स्पष्टपणे संदर्भित करण्याऐवजी .pem fileमध्ये s file प्रणाली उदाamples, तुम्ही त्याच्या लेबलद्वारे की जोडीचा संदर्भ घेता आणि साधन आपोआप योग्य की निवडते.

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 8

अभिप्राय पाठवा

2. प्रमाणीकरण आणि अधिकृतता 683823 | 2023.05.23

नंतरच्या ex मध्ये रूट की म्हणून वापरलेली की जोडी तयार करण्यासाठी खालील आदेश चालवाamples तसेच स्वाक्षरी साखळीत डिझाईन साइनिंग की म्हणून वापरलेली की जोडी:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

टीप:

या चरणातील आयडी पर्याय प्रत्येक कीसाठी अद्वितीय असणे आवश्यक आहे, परंतु ते फक्त HSM द्वारे वापरले जाते. हा आयडी पर्याय स्वाक्षरी साखळीमध्ये नियुक्त केलेल्या की रद्दीकरण आयडीशी संबंधित नाही.

२.१.३. स्वाक्षरी चेन रूट एंट्री तयार करणे
रूट पब्लिक कीला सिग्नेचर चेन रूट एंट्रीमध्ये रूपांतरित करा, स्थानिक वर संग्रहित file इंटेल क्वार्टस प्राइम की (.qky) स्वरूपात प्रणाली file, make_root ऑपरेशनसह. तुम्ही व्युत्पन्न केलेल्या प्रत्येक रूट कीसाठी ही पायरी पुन्हा करा.
रूट पब्लिक की वापरून, रूट एंट्रीसह स्वाक्षरी साखळी तयार करण्यासाठी खालील आदेश चालवा file प्रणाली:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
आधीच्या विभागात स्थापित SoftHSM टोकनमधील रूट की वापरून, रूट एंट्रीसह स्वाक्षरीची साखळी तयार करण्यासाठी खालील आदेश चालवा:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm2/softhsm. ” root0 root0.qky

२.१.४. स्वाक्षरी साखळी सार्वजनिक की एंट्री तयार करणे
append_key ऑपरेशनसह स्वाक्षरी साखळीसाठी नवीन सार्वजनिक की एंट्री तयार करा. तुम्ही अगोदर स्वाक्षरी साखळी, आधीच्या स्वाक्षरी साखळीतील शेवटच्या एंट्रीसाठी खाजगी की, पुढील स्तरावरील सार्वजनिक की, तुम्ही पुढील स्तरावरील सार्वजनिक कीला नियुक्त केलेल्या परवानग्या आणि रद्दीकरण आयडी आणि नवीन स्वाक्षरी साखळी निर्दिष्ट करता. file.
लक्षात घ्या की सॉफ्टएचएसएम लायब्ररी क्वार्टस इंस्टॉलेशनसह उपलब्ध नाही आणि त्याऐवजी स्वतंत्रपणे स्थापित करणे आवश्यक आहे. सॉफ्टएचएसएमबद्दल अधिक माहितीसाठी वरील सिग्नेचर चेन तयार करणे विभाग पहा.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 9

2. प्रमाणीकरण आणि अधिकृतता 683823 | 2023.05.23
वर कळा वापरण्यावर अवलंबून file सिस्टम किंवा एचएसएममध्ये, तुम्ही खालीलपैकी एक वापरताampपूर्वीच्या विभागात तयार केलेल्या रूट स्वाक्षरी साखळीत design0_sign सार्वजनिक की जोडण्यासाठी le आदेश देते:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
कोणत्याही एका स्वाक्षरी साखळीतील रूट एंट्री आणि हेडर ब्लॉक एंट्री दरम्यान जास्तीत जास्त तीन सार्वजनिक की नोंदींसाठी तुम्ही append_key ऑपरेशन आणखी दोन वेळा पुनरावृत्ती करू शकता.
खालील माजीample असे गृहीत धरते की तुम्ही त्याच परवानग्यांसह दुसरी ऑथेंटिकेशन पब्लिक की तयार केली आहे आणि design1_sign_public.pem नावाचा रद्दीकरण आयडी 1 नियुक्त केला आहे, आणि ही की मागील माजी पासून स्वाक्षरी साखळीला जोडत आहात.ampले:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem_chain1_sign.
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Intel Agilex 7 डिव्हाइसेसमध्ये अतिरिक्त की कॅन्सलेशन काउंटर समाविष्ट आहे जी दिलेल्या डिव्हाइसच्या संपूर्ण आयुष्यभर वेळोवेळी बदलू शकणारी की वापरण्यास सुलभ करते. तुम्ही –रद्द करा पर्यायाचा युक्तिवाद pts:pts_value वर बदलून ही की रद्दीकरण काउंटर निवडू शकता.
२.२. कॉन्फिगरेशन बिटस्ट्रीमवर स्वाक्षरी करणे
Intel Agilex 7 डिव्हाइसेस सिक्युरिटी व्हर्जन नंबर (SVN) काउंटरला समर्थन देतात, जे तुम्हाला की रद्द न करता ऑब्जेक्टची अधिकृतता मागे घेण्याची परवानगी देतात. बिटस्ट्रीम विभाग, फर्मवेअर .zip सारख्या कोणत्याही ऑब्जेक्टवर स्वाक्षरी करताना तुम्ही SVN काउंटर आणि योग्य SVN काउंटर मूल्य नियुक्त करता. file, किंवा संक्षिप्त प्रमाणपत्र. तुम्ही –रद्द पर्याय वापरून SVN काउंटर आणि SVN व्हॅल्यू आणि svn_counter:svn_value वितर्क म्हणून नियुक्त करता. svn_counter साठी वैध मूल्ये svnA, svnB, svnC आणि svnD आहेत. svn_value हे [0,63] श्रेणीतील पूर्णांक आहे.

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 10

अभिप्राय पाठवा

2. प्रमाणीकरण आणि अधिकृतता 683823 | 2023.05.23
२.२.१. क्वार्टस की File असाइनमेंट
त्या डिझाईनसाठी प्रमाणीकरण वैशिष्ट्य सक्षम करण्यासाठी तुम्ही तुमच्या इंटेल क्वार्टस प्राइम सॉफ्टवेअर प्रोजेक्टमध्ये स्वाक्षरीची साखळी निर्दिष्ट करता. असाइनमेंट मेनूमधून, डिव्हाइस डिव्हाइस आणि पिन पर्याय सुरक्षा क्वार्टस की निवडा File, नंतर स्वाक्षरी साखळी ब्राउझ करा .qky file आपण या डिझाइनवर स्वाक्षरी करण्यासाठी तयार केले आहे.
आकृती 1. कॉन्फिगरेशन बिटस्ट्रीम सेटिंग सक्षम करा

वैकल्पिकरित्या, तुम्ही तुमच्या इंटेल क्वार्टस प्राइम सेटिंग्जमध्ये खालील असाइनमेंट स्टेटमेंट जोडू शकता file (.qsf):
set_global_assignment -नाव QKY_FILE design0_sign_chain.qky
.sof तयार करण्यासाठी file पूर्वी संकलित केलेल्या डिझाइनमधून, ज्यामध्ये या सेटिंगचा समावेश आहे, प्रक्रिया मेनूमधून, स्टार्ट स्टार्ट असेंबलर निवडा. नवीन आउटपुट .sof file प्रदान केलेल्या स्वाक्षरी साखळीसह प्रमाणीकरण सक्षम करण्यासाठी असाइनमेंट समाविष्ट करते.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 11

2. प्रमाणीकरण आणि अधिकृतता 683823 | 2023.05.23
२.२.२. सह-स्वाक्षरी SDM फर्मवेअर
लागू SDM फर्मवेअर काढण्यासाठी, साइन इन करण्यासाठी आणि स्थापित करण्यासाठी तुम्ही quartus_sign टूल वापरता.zip file. सह-स्वाक्षरी केलेले फर्मवेअर नंतर प्रोग्रामिंगद्वारे समाविष्ट केले जाते file जेव्हा तुम्ही .sof रूपांतरित करता तेव्हा जनरेटर साधन file कॉन्फिगरेशन बिटस्ट्रीम .rbf मध्ये file. तुम्ही नवीन स्वाक्षरी साखळी तयार करण्यासाठी आणि SDM फर्मवेअरवर स्वाक्षरी करण्यासाठी खालील आदेश वापरता.
1. नवीन साइनिंग की जोडी तयार करा.
a वर एक नवीन साइनिंग की जोडी तयार करा file प्रणाली:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 फर्मवेयर1_private.pem
quartus_sign –family=agilex –operation=make_public_pem फर्मवेयर1_private.pem फर्मवेयर1_public.pem
b HSM मध्ये नवीन साइनिंग की जोडी तयार करा:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mechanism ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label फर्मवेअर1 –id 1
2. नवीन सार्वजनिक की असलेली नवीन स्वाक्षरी साखळी तयार करा:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem फर्मवेयर1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. फर्मवेअर .zip कॉपी करा file तुमच्या इंटेल क्वार्टस प्राइम प्रो एडिशन सॉफ्टवेअर इंस्टॉलेशन डिरेक्टरीमधून ( /devices/programmer/firmware/ agilex.zip) वर्तमान कार्यरत निर्देशिकेत.
quartus_sign –family=agilex –get_firmware=.
4. फर्मवेअर .zip वर स्वाक्षरी करा file. साधन स्वयंचलितपणे .zip अनपॅक करते file आणि वैयक्तिकरित्या सर्व फर्मवेअर .cmf वर स्वाक्षरी करते files, नंतर .zip पुनर्बांधणी करते file खालील विभागांमधील साधनांद्वारे वापरण्यासाठी:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 12

अभिप्राय पाठवा

2. प्रमाणीकरण आणि अधिकृतता 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

२.२.३. quartus_sign कमांड वापरून साइनिंग कॉन्फिगरेशन बिटस्ट्रीम
quartus_sign कमांड वापरून कॉन्फिगरेशन बिटस्ट्रीम साइन करण्यासाठी, तुम्ही प्रथम .sof चे रूपांतर करा file स्वाक्षरी न केलेल्या कच्च्या बायनरीकडे file (.rbf) फॉरमॅट. रूपांतरण चरणादरम्यान fw_source पर्याय वापरून तुम्ही सह-स्वाक्षरी केलेले फर्मवेअर वैकल्पिकरित्या निर्दिष्ट करू शकता.
तुम्ही खालील आदेश वापरून .rbf फॉरमॅटमध्ये स्वाक्षरी न केलेले रॉ बिटस्ट्रीम व्युत्पन्न करू शकता:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
तुमच्या कीच्या स्थानावर अवलंबून quartus_sign टूल वापरून बिटस्ट्रीमवर स्वाक्षरी करण्यासाठी खालीलपैकी एक कमांड चालवा:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so=”key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
तुम्ही स्वाक्षरी केलेले .rbf रूपांतरित करू शकता files इतर कॉन्फिगरेशन बिटस्ट्रीमवर file स्वरूप
उदाampले, तुम्ही J वर बिटस्ट्रीम प्रोग्राम करण्यासाठी Jam* मानक चाचणी आणि प्रोग्रामिंग भाषा (STAPL) प्लेयर वापरत असल्यासTAG, तुम्ही .rbf रूपांतरित करण्यासाठी खालील कमांड वापरता file Jam STAPL प्लेयरला आवश्यक असलेल्या .jam फॉरमॅटमध्ये:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

२.२.४. आंशिक पुनर्रचना मल्टी-ऑथॉरिटी सपोर्ट

Intel Agilex 7 डिव्हाइसेस आंशिक पुनर्रचना मल्टी-ऑथॉरिटी ऑथेंटिकेशनला समर्थन देतात, जेथे डिव्हाइस मालक स्थिर बिटस्ट्रीम तयार करतो आणि त्यावर स्वाक्षरी करतो आणि स्वतंत्र PR मालक PR व्यक्तिमत्व बिटस्ट्रीम तयार करतो आणि त्यावर स्वाक्षरी करतो. Intel Agilex 7 डिव्हाइसेस प्रथम प्रमाणीकरण रूट की स्लॉट डिव्हाइस किंवा स्थिर बिटस्ट्रीम मालकास नियुक्त करून आणि आंशिक पुनर्रचना व्यक्तिमत्व बिटस्ट्रीम मालकास अंतिम प्रमाणीकरण रूट की स्लॉट नियुक्त करून मल्टी-ऑथॉरिटी समर्थन लागू करतात.
प्रमाणीकरण वैशिष्ट्य सक्षम केले असल्यास, नेस्टेड PR व्यक्तिमत्व प्रतिमांसह सर्व PR व्यक्तिमत्व प्रतिमांवर स्वाक्षरी करणे आवश्यक आहे. PR व्यक्तिमत्व प्रतिमा एकतर डिव्हाइस मालकाद्वारे किंवा PR मालकाद्वारे स्वाक्षरी केल्या जाऊ शकतात; तथापि, स्थिर प्रदेश बिटस्ट्रीम डिव्हाइस मालकाद्वारे स्वाक्षरी करणे आवश्यक आहे.

टीप:

आंशिक पुनर्रचना स्थिर आणि व्यक्तिमत्व बिटस्ट्रीम एनक्रिप्शन जेव्हा बहु-अधिकृत समर्थन सक्षम केले जाते तेव्हा भविष्यातील प्रकाशनात नियोजित आहे.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 13

2. प्रमाणीकरण आणि अधिकृतता 683823 | 2023.05.23

आकृती 2.

आंशिक पुनर्रचना मल्टी-ऑथॉरिटी समर्थन लागू करण्यासाठी अनेक चरणांची आवश्यकता आहे:
1. पृष्ठ 8 वर सॉफ्टएचएसएममध्ये प्रमाणीकरण की जोड्या तयार करणे मध्ये वर्णन केल्याप्रमाणे उपकरण किंवा स्थिर बिटस्ट्रीम मालक एक किंवा अधिक ऑथेंटिकेशन रूट की व्युत्पन्न करतात, जेथे –key_type पर्यायाचे मूल्य मालक आहे.
2. आंशिक पुनर्रचना बिटस्ट्रीम मालक प्रमाणीकरण रूट की व्युत्पन्न करतो परंतु –key_type पर्याय मूल्य दुय्यम_owner मध्ये बदलतो.
3. दोन्ही स्थिर बिटस्ट्रीम आणि आंशिक पुनर्रचना डिझाइन मालक खात्री करतात की असाइनमेंट डिव्हाइस डिव्हाइस आणि पिन पर्याय सुरक्षा टॅबमध्ये मल्टी-ऑथॉरिटी समर्थन सक्षम करा चेकबॉक्स सक्षम केला आहे.
इंटेल क्वार्टस प्राइम मल्टी-ऑथॉरिटी पर्याय सेटिंग्ज सक्षम करा

4. दोन्ही स्टॅटिक बिटस्ट्रीम आणि आंशिक पुनर्रचना डिझाइन मालक त्यांच्या संबंधित रूट कीच्या आधारे स्वाक्षरी साखळी तयार करतात जसे पृष्ठ 6 वर सिग्नेचर चेन तयार करणे मध्ये वर्णन केले आहे.
5. दोन्ही स्थिर बिटस्ट्रीम आणि आंशिक पुनर्रचना डिझाइन मालक त्यांचे संकलित डिझाइन .rbf फॉरमॅटमध्ये रूपांतरित करतात. files आणि .rbf वर स्वाक्षरी करा files.
6. डिव्हाइस किंवा स्टॅटिक बिटस्ट्रीम मालक PR सार्वजनिक की प्रोग्राम अधिकृतता संक्षिप्त प्रमाणपत्र व्युत्पन्न करतात आणि त्यावर स्वाक्षरी करतात.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH किंवा मालक_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 14

अभिप्राय पाठवा

2. प्रमाणीकरण आणि अधिकृतता 683823 | 2023.05.23

7. डिव्हाइस किंवा स्टॅटिक बिटस्ट्रीम मालक त्यांच्या ऑथेंटिकेशन रूट की हॅशची डिव्हाईसमध्ये तरतूद करतात, नंतर PR सार्वजनिक की प्रोग्राम ऑथोरायझेशन कॉम्पॅक्ट सर्टिफिकेट प्रोग्राम करतात आणि शेवटी डिव्हाइसवर आंशिक पुनर्रचना बिटस्ट्रीम मालक रूट कीची तरतूद करतात. डिव्हाइस प्रोव्हिजनिंग विभाग या तरतूद प्रक्रियेचे वर्णन करतो.
8. Intel Agilex 7 डिव्हाइस स्थिर प्रदेश .rbf सह कॉन्फिगर केले आहे file.
9. Intel Agilex 7 डिव्हाइस अंशतः व्यक्तिमत्व डिझाइन .rbf सह पुन्हा कॉन्फिगर केले आहे file.
संबंधित माहिती
· पृष्ठ ६ वर स्वाक्षरी साखळी तयार करणे
· पृष्ठ 8 वर SoftHSM मध्ये प्रमाणीकरण की जोड्या तयार करणे
· पृष्ठ 25 वर डिव्हाइस प्रोव्हिजनिंग

२.२.५. कॉन्फिगरेशन बिटस्ट्रीम स्वाक्षरी चेन सत्यापित करत आहे
तुम्ही स्वाक्षरी साखळी आणि स्वाक्षरी केलेले बिटस्ट्रीम तयार केल्यानंतर, तुम्ही सत्यापित करू शकता की स्वाक्षरी केलेले बिटस्ट्रीम दिलेल्या रूट कीसह प्रोग्राम केलेले डिव्हाइस योग्यरित्या कॉन्फिगर करते. तुम्ही प्रथम quartus_sign कमांडच्या fuse_info ऑपरेशनचा वापर करा file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

त्यानंतर तुम्ही .rbf फॉरमॅटमध्ये स्वाक्षरी केलेल्या बिटस्ट्रीमच्या प्रत्येक विभागावरील स्वाक्षरी साखळीची तपासणी करण्यासाठी quartus_pfg कमांडचा check_integrity पर्याय वापरता. check_integrity पर्याय खालील माहिती मुद्रित करतो:
· एकूण बिटस्ट्रीम अखंडता तपासणीची स्थिती
· बिटस्ट्रीम .rbf मधील प्रत्येक विभागाशी संलग्न प्रत्येक स्वाक्षरी साखळीतील प्रत्येक नोंदीची सामग्री file,
· प्रत्येक स्वाक्षरी साखळीसाठी रूट सार्वजनिक कीच्या हॅशसाठी अपेक्षित फ्यूज मूल्य.
fuse_info आउटपुटमधील मूल्य चेक_इंटिग्रिटी आउटपुटमधील फ्यूज लाइनशी जुळले पाहिजे.
quartus_pfg –check_integrity signed_bitstream.rbf

येथे एक माजी आहेampचेक_इंटिग्रिटी कमांड आउटपुटचे le:

माहिती: आदेश: quartus_pfg –check_integrity signed_bitstream.rbf अखंडता स्थिती: ठीक आहे

विभाग

प्रकार: CMF

स्वाक्षरी वर्णनकर्ता…

स्वाक्षरी साखळी #0 (प्रविष्टी: -1, ऑफसेट: 96)

प्रवेश #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

की व्युत्पन्न करा…

वक्र: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

की व्युत्पन्न करा…

वक्र: secp384r1

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 15

2. प्रमाणीकरण आणि अधिकृतता 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

प्रवेश #1

की व्युत्पन्न करा…

वक्र: secp384r1

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

एंट्री #2 कीचेन परवानगी: SIGN_CODE कीचेन ID द्वारे रद्द केली जाऊ शकते: 3 स्वाक्षरी चेन #1 (प्रविष्टी: -1, ऑफसेट: 648)

प्रवेश #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

की व्युत्पन्न करा…

वक्र: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

की व्युत्पन्न करा…

वक्र: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

प्रवेश #1

की व्युत्पन्न करा…

वक्र: secp384r1

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

प्रवेश #2

की व्युत्पन्न करा…

वक्र: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

एंट्री #3 कीचेन परवानगी: SIGN_CODE कीचेन ID द्वारे रद्द केली जाऊ शकते: 15 स्वाक्षरी साखळी #2 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #3 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #4 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #5 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #6 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #7 (प्रविष्टी: -1, ऑफसेट: 0)

विभाग प्रकार: IO स्वाक्षरी वर्णनकर्ता … स्वाक्षरी साखळी #0 (प्रविष्टी: -1, ऑफसेट: 96)

प्रवेश #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

की व्युत्पन्न करा…

वक्र: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 16

अभिप्राय पाठवा

2. प्रमाणीकरण आणि अधिकृतता 683823 | 2023.05.23

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

की व्युत्पन्न करा…

वक्र: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

प्रवेश #1

की व्युत्पन्न करा…

वक्र: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

प्रवेश #2

की व्युत्पन्न करा…

वक्र: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

एंट्री #3 कीचेन परवानगी: SIGN_CORE कीचेन ID द्वारे रद्द केली जाऊ शकते: 15 स्वाक्षरी साखळी #1 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #2 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #3 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #4 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #5 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #6 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #7 (प्रविष्टी: -1, ऑफसेट: 0)

विभाग

प्रकार: HPS

स्वाक्षरी वर्णनकर्ता…

स्वाक्षरी साखळी #0 (प्रविष्टी: -1, ऑफसेट: 96)

प्रवेश #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

की व्युत्पन्न करा…

वक्र: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

की व्युत्पन्न करा…

वक्र: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

प्रवेश #1

की व्युत्पन्न करा…

वक्र: secp384r1

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

प्रवेश #2

की व्युत्पन्न करा…

वक्र: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 17

2. प्रमाणीकरण आणि अधिकृतता 683823 | 2023.05.23

एंट्री #3 कीचेन परवानगी: SIGN_HPS कीचेन ID द्वारे रद्द केली जाऊ शकते: 15 स्वाक्षरी साखळी #1 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #2 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #3 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #4 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #5 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #6 (प्रविष्टी: -1, ऑफसेट: 0) स्वाक्षरी साखळी #7 (प्रविष्टी: -1, ऑफसेट: 0)

विभाग प्रकार: CORE स्वाक्षरी वर्णनकर्ता … स्वाक्षरी साखळी #0 (प्रविष्टी: -1, ऑफसेट: 96)

प्रवेश #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

की व्युत्पन्न करा…

वक्र: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

की व्युत्पन्न करा…

वक्र: secp384r1

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

प्रवेश #1

की व्युत्पन्न करा…

वक्र: secp384r1

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

प्रवेश #2

की व्युत्पन्न करा…

वक्र: secp384r1

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 18

अभिप्राय पाठवा

683823 | 2023.05.23 फीडबॅक पाठवा

AES बिटस्ट्रीम एन्क्रिप्शन

प्रगत एन्क्रिप्शन मानक (AES) बिटस्ट्रीम एन्क्रिप्शन हे एक वैशिष्ट्य आहे जे डिव्हाइस मालकास कॉन्फिगरेशन बिटस्ट्रीममध्ये बौद्धिक मालमत्तेच्या गोपनीयतेचे संरक्षण करण्यास सक्षम करते.
कीच्या गोपनीयतेचे संरक्षण करण्यासाठी, कॉन्फिगरेशन बिटस्ट्रीम एनक्रिप्शन AES की चेन वापरते. या कीजचा वापर कॉन्फिगरेशन बिटस्ट्रीममध्ये मालकाचा डेटा एनक्रिप्ट करण्यासाठी केला जातो, जेथे पहिली इंटरमीडिएट की AES रूट की सह एनक्रिप्ट केली जाते.

३.१. AES रूट की तयार करणे

इंटेल क्वार्टस प्राइम सॉफ्टवेअर एन्क्रिप्शन की (.qek) फॉरमॅटमध्ये AES रूट की तयार करण्यासाठी तुम्ही quartus_encrypt टूल किंवा stratix10_encrypt.py संदर्भ अंमलबजावणी वापरू शकता. file.

टीप:

stratix10_encrypt.py file Intel Stratix® 10, आणि Intel Agilex 7 उपकरणांसाठी वापरले जाते.

तुम्ही वैकल्पिकरित्या AES रूट की आणि की व्युत्पन्न की मिळवण्यासाठी वापरली जाणारी बेस की, थेट AES रूट कीचे मूल्य, इंटरमीडिएट कीची संख्या आणि प्रति इंटरमीडिएट की कमाल वापर निर्दिष्ट करू शकता.

आपण डिव्हाइस कुटुंब, आउटपुट .qek निर्दिष्ट करणे आवश्यक आहे file स्थान, आणि संकेत दिलेला सांकेतिक वाक्यांश.
बेस कीसाठी यादृच्छिक डेटा वापरून AES रूट की व्युत्पन्न करण्यासाठी खालील आदेश चालवा आणि इंटरमीडिएट की आणि जास्तीत जास्त की वापरण्यासाठी डीफॉल्ट मूल्ये.
संदर्भ अंमलबजावणीचा वापर करण्यासाठी, तुम्ही इंटेल क्वार्टस प्राइम सॉफ्टवेअरसह समाविष्ट असलेल्या पायथन इंटरप्रिटरला कॉल करा आणि –family=agilex पर्याय वगळा; इतर सर्व पर्याय समतुल्य आहेत. उदाample, quartus_encrypt कमांड नंतर विभागात आढळली

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek संदर्भ अंमलबजावणीसाठी समतुल्य कॉलमध्ये रूपांतरित केले जाऊ शकते

३.२. क्वार्टस एन्क्रिप्शन सेटिंग्ज
डिझाईनसाठी बिटस्ट्रीम एनक्रिप्शन सक्षम करण्यासाठी, तुम्ही असाइनमेंट्स डिव्हाइस डिव्हाइस आणि पिन पर्याय सुरक्षा पॅनेल वापरून योग्य पर्याय निर्दिष्ट करणे आवश्यक आहे. तुम्ही ड्रॉपडाउन मेनूमधून कॉन्फिगरेशन बिटस्ट्रीम एनक्रिप्शन सक्षम करा चेकबॉक्स आणि इच्छित एन्क्रिप्शन की स्टोरेज स्थान निवडा.

ISO 9001:2015 नोंदणीकृत

आकृती 3. इंटेल क्वार्टस प्राइम एन्क्रिप्शन सेटिंग्ज

3. AES बिटस्ट्रीम एनक्रिप्शन 683823 | 2023.05.23

वैकल्पिकरित्या, तुम्ही तुमच्या Intel Quartus Prime सेटिंग्जमध्ये खालील असाइनमेंट स्टेटमेंट जोडू शकता file .qsf:
set_global_assignment -नाव ENCRYPT_PROGRAMMING_BITSTREAM on set_global_assignment -नाव PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
तुम्हाला साइड-चॅनल अटॅक व्हेक्टरच्या विरूद्ध अतिरिक्त शमन सक्षम करायचे असल्यास, तुम्ही एनक्रिप्शन अपडेट रेशो ड्रॉपडाउन आणि स्क्रॅम्बलिंग चेकबॉक्स सक्षम करू शकता.

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 20

अभिप्राय पाठवा

3. AES बिटस्ट्रीम एनक्रिप्शन 683823 | 2023.05.23

.qsf मध्ये संबंधित बदल आहेत:
set_global_assignment -नाव PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING वर set_global_assignment -नाव PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

३.३. कॉन्फिगरेशन बिटस्ट्रीम एनक्रिप्ट करणे
बिटस्ट्रीमवर स्वाक्षरी करण्यापूर्वी तुम्ही कॉन्फिगरेशन बिटस्ट्रीम एनक्रिप्ट करता. इंटेल क्वार्टस प्राइम प्रोग्रामिंग File जनरेटर टूल ग्राफिकल यूजर इंटरफेस किंवा कमांड लाइन वापरून कॉन्फिगरेशन बिटस्ट्रीम स्वयंचलितपणे एनक्रिप्ट आणि साइन इन करू शकते.
quartus_encrypt आणि quartus_sign टूल्स किंवा संदर्भ अंमलबजावणी समतुल्य वापरण्यासाठी तुम्ही वैकल्पिकरित्या अंशतः एनक्रिप्टेड बिटस्ट्रीम तयार करू शकता.

३.३.१. प्रोग्रामिंग वापरून कॉन्फिगरेशन बिटस्ट्रीम एनक्रिप्शन File जनरेटर ग्राफिकल इंटरफेस
तुम्ही प्रोग्रामिंग वापरू शकता File मालकाची प्रतिमा एनक्रिप्ट करण्यासाठी आणि स्वाक्षरी करण्यासाठी जनरेटर.

आकृती 4.

1. इंटेल क्वार्टस प्राइम वर File मेनूमधून प्रोग्रामिंग निवडा File जनरेटर. 2. आउटपुट वर Files टॅब, आउटपुट निर्दिष्ट करा file तुमच्या कॉन्फिगरेशनसाठी टाइप करा
योजना
आउटपुट File तपशील

कॉन्फिगरेशन योजना आउटपुट file टॅब
आउटपुट file प्रकार

3. इनपुटवर Files टॅबवर, बिटस्ट्रीम जोडा क्लिक करा आणि तुमच्या .sof वर ब्राउझ करा. 4. एनक्रिप्शन आणि प्रमाणीकरण पर्याय निर्दिष्ट करण्यासाठी .sof निवडा आणि क्लिक करा
गुणधर्म. a साइनिंग टूल सक्षम करा. b खाजगी की साठी file तुमची स्वाक्षरी की खाजगी .pem निवडा file. c अंतिम एन्क्रिप्शन चालू करा.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 21

3. AES बिटस्ट्रीम एनक्रिप्शन 683823 | 2023.05.23

आकृती 5.

d एनक्रिप्शन की साठी file, तुमचा AES .qek निवडा file. इनपुट (.sof) File प्रमाणीकरण आणि एन्क्रिप्शनसाठी गुणधर्म

प्रमाणीकरण सक्षम करा खाजगी रूट .pem निर्दिष्ट करा
एनक्रिप्शन सक्षम करा एनक्रिप्शन की निर्दिष्ट करा
5. इनपुटवर, स्वाक्षरी केलेले आणि एनक्रिप्ट केलेले बिटस्ट्रीम व्युत्पन्न करण्यासाठी Files टॅबवर, व्युत्पन्न करा क्लिक करा. तुमच्या AES की .qek साठी तुमचा सांकेतिक वाक्यांश इनपुट करण्यासाठी पासवर्ड डायलॉग बॉक्सेस दिसतात. file आणि खाजगी की .pem वर स्वाक्षरी करत आहे file. प्रोग्रामिंग file जनरेटर एनक्रिप्टेड आणि साइन केलेले आउटपुट तयार करतो_file.rbf.
३.३.१. प्रोग्रामिंग वापरून कॉन्फिगरेशन बिटस्ट्रीम एनक्रिप्शन File जनरेटर कमांड लाइन इंटरफेस
quartus_pfg कमांड लाइन इंटरफेससह .rbf फॉरमॅटमध्ये एनक्रिप्टेड आणि साइन इन केलेले कॉन्फिगरेशन बिटस्ट्रीम तयार करा:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o signing=ON -o pem_file=design0_sign_private.pem
तुम्ही एनक्रिप्टेड आणि साइन इन केलेले कॉन्फिगरेशन बिटस्ट्रीम .rbf फॉरमॅटमध्ये इतर कॉन्फिगरेशन बिटस्ट्रीममध्ये रूपांतरित करू शकता file स्वरूप
३.३.३. कमांड लाइन इंटरफेस वापरून अंशतः एनक्रिप्टेड कॉन्फिगरेशन बिटस्ट्रीम जनरेशन
तुम्ही अंशतः एनक्रिप्टेड प्रोग्रामिंग तयार करू शकता file एनक्रिप्शन अंतिम करण्यासाठी आणि नंतर प्रतिमेवर स्वाक्षरी करण्यासाठी. अंशतः एनक्रिप्टेड प्रोग्रामिंग व्युत्पन्न करा file thequartus_pfgcommand लाइन इंटरफेससह .rbf फॉरमॅटमध्ये: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 22

अभिप्राय पाठवा

3. AES बिटस्ट्रीम एनक्रिप्शन 683823 | 2023.05.23
बिटस्ट्रीम एनक्रिप्शन अंतिम करण्यासाठी तुम्ही quartus_encrypt कमांड लाइन टूल वापरता:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
एनक्रिप्टेड कॉन्फिगरेशन बिटस्ट्रीम साइन करण्यासाठी तुम्ही quartus_sign कमांड लाइन टूल वापरता:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so=”key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
३.३.४. आंशिक पुनर्रचना बिटस्ट्रीम एन्क्रिप्शन
आंशिक रीकॉन्फिगरेशन वापरणाऱ्या काही इंटेल एजिलेक्स 7 FPGA डिझाईन्सवर तुम्ही बिटस्ट्रीम एन्क्रिप्शन सक्षम करू शकता.
श्रेणीबद्ध आंशिक पुनर्रचना (HPR), किंवा स्टॅटिक अपडेट आंशिक रीकॉन्फिगरेशन (SUPR) वापरणारे आंशिक पुनर्रचना डिझाइन बिटस्ट्रीम एनक्रिप्शनला समर्थन देत नाहीत. तुमच्या डिझाइनमध्ये एकाधिक PR क्षेत्रे असल्यास, तुम्ही सर्व व्यक्तिरेखा एन्क्रिप्ट करणे आवश्यक आहे.
आंशिक रीकॉन्फिगरेशन बिटस्ट्रीम एनक्रिप्शन सक्षम करण्यासाठी, सर्व डिझाइन पुनरावृत्तींमध्ये समान प्रक्रियेचे अनुसरण करा. 1. इंटेल क्वार्टस प्राइम वर File मेनू, असाइनमेंट डिव्हाइस डिव्हाइस निवडा
आणि पिन पर्याय सुरक्षा. 2. इच्छित एन्क्रिप्शन की स्टोरेज स्थान निवडा.
आकृती 6. आंशिक पुनर्रचना बिटस्ट्रीम एनक्रिप्शन सेटिंग

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 23

3. AES बिटस्ट्रीम एनक्रिप्शन 683823 | 2023.05.23
वैकल्पिकरित्या, तुम्ही क्वार्टस प्राइम सेटिंग्जमध्ये खालील असाइनमेंट स्टेटमेंट जोडू शकता file .qsf:
set_global_assignment -name –ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION वर
तुम्ही तुमची बेस डिझाईन आणि पुनरावृत्ती संकलित केल्यानंतर, सॉफ्टवेअर a.sof व्युत्पन्न करतेfile आणि एक किंवा अधिक.pmsffiles, व्यक्तींचे प्रतिनिधित्व करत आहे. 3. एनक्रिप्टेड आणि स्वाक्षरी केलेले प्रोग्रामिंग तयार करा files कडून.sof आणि.pmsf fileअंशतः पुनर्रचना सक्षम नसलेल्या डिझाईन्स प्रमाणेच आहे. 4. संकलित persona.pmsf रूपांतरित करा file अंशतः encrypted.rbf वर file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. quartus_encrypt कमांड लाइन टूल वापरून बिटस्ट्रीम एन्क्रिप्शन अंतिम करा:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. quartus_sign कमांड लाइन टूल वापरून एनक्रिप्टेड कॉन्फिगरेशन बिटस्ट्रीम साइन करा:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthqky=”so. design2_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona0.rbf signed_encrypted_persona1.rbf

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 24

अभिप्राय पाठवा

683823 | 2023.05.23 फीडबॅक पाठवा

डिव्हाइस तरतूद

प्रारंभिक सुरक्षा वैशिष्ट्य तरतूद केवळ SDM तरतूद फर्मवेअरमध्ये समर्थित आहे. SDM प्रोव्हिजन फर्मवेअर लोड करण्यासाठी आणि प्रोव्हिजनिंग ऑपरेशन्स करण्यासाठी इंटेल क्वार्टस प्राइम प्रोग्रामर वापरा.
तुम्ही कोणत्याही प्रकारचे जे वापरू शकताTAG प्रोव्हिजनिंग ऑपरेशन्स करण्यासाठी क्वार्टस प्रोग्रामरला इंटेल एजिलेक्स 7 डिव्हाइसशी कनेक्ट करण्यासाठी केबल डाउनलोड करा.
४.१. SDM प्रोव्हिजन फर्मवेअर वापरणे
इंटेल क्वार्टस प्राइम प्रोग्रामर आपोआप फॅक्टरी डीफॉल्ट हेल्पर इमेज तयार करतो आणि लोड करतो जेव्हा तुम्ही इनिशियलाइज ऑपरेशन आणि कॉन्फिगरेशन बिटस्ट्रीम व्यतिरिक्त काहीतरी प्रोग्राम करण्यासाठी कमांड निवडता.
निर्दिष्ट केलेल्या प्रोग्रामिंग कमांडवर अवलंबून, फॅक्टरी डीफॉल्ट मदतनीस प्रतिमा दोन प्रकारांपैकी एक आहे:
· प्रोव्हिजनिंग हेल्पर इमेज-मध्ये SDM प्रोव्हिजनिंग फर्मवेअर असलेला एक बिटस्ट्रीम विभाग असतो.
QSPI हेल्पर इमेज– दोन बिटस्ट्रीम विभागांचा समावेश आहे, एक SDM मुख्य फर्मवेअर आणि एक I/O विभाग.
तुम्ही फॅक्टरी डीफॉल्ट मदतनीस प्रतिमा तयार करू शकता file कोणतीही प्रोग्रामिंग कमांड पूर्ण करण्यापूर्वी तुमच्या डिव्हाइसमध्ये लोड करण्यासाठी. प्रमाणीकरण रूट की हॅश प्रोग्रामिंग केल्यानंतर, समाविष्ट केलेल्या I/O विभागामुळे तुम्ही QSPI फॅक्टरी डीफॉल्ट मदतनीस प्रतिमा तयार करणे आणि त्यावर स्वाक्षरी करणे आवश्यक आहे. तुम्ही अतिरिक्तपणे सह-स्वाक्षरी केलेले फर्मवेअर सुरक्षा सेटिंग eFuse प्रोग्राम करत असल्यास, तुम्ही सह-स्वाक्षरी केलेल्या फर्मवेअरसह प्रोव्हिजनिंग आणि QSPI फॅक्टरी डीफॉल्ट मदतनीस प्रतिमा तयार करणे आवश्यक आहे. तुम्ही तरतूद नसलेल्या डिव्हाइसवर सह-स्वाक्षरी केलेली फॅक्टरी डीफॉल्ट मदतनीस प्रतिमा वापरू शकता कारण तरतूद न केलेले डिव्हाइस SDM फर्मवेअरवर नॉन-इंटेल स्वाक्षरी साखळीकडे दुर्लक्ष करते. QSPI फॅक्टरी डीफॉल्ट हेल्पर प्रतिमा तयार करणे, स्वाक्षरी करणे आणि वापरणे याबद्दल अधिक तपशीलांसाठी पृष्ठ 26 वर मालकीच्या उपकरणांवर QSPI फॅक्टरी डीफॉल्ट मदतनीस प्रतिमा वापरणे पहा.
प्रोव्हिजनिंग फॅक्टरी डीफॉल्ट हेल्पर इमेज प्रोव्हिजनिंग क्रिया करते, जसे की ऑथेंटिकेशन रूट की हॅश प्रोग्रामिंग, सिक्युरिटी सेटिंग फ्यूज, PUF एनरोलमेंट किंवा ब्लॅक की प्रोव्हिजनिंग. तुम्ही इंटेल क्वार्टस प्राइम प्रोग्रामिंग वापरता File प्रोव्हिजनिंग हेल्पर इमेज तयार करण्यासाठी जनरेटर कमांड लाइन टूल, helper_image पर्याय, तुमचे helper_device नाव, प्रोव्हिजन हेल्पर इमेज उपप्रकार आणि वैकल्पिकरित्या सह-स्वाक्षरी केलेले फर्मवेअर .zip नमूद करणे. file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
इंटेल क्वार्टस प्राइम प्रोग्रामर टूल वापरून मदतनीस प्रतिमा प्रोग्राम करा:
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –फोर्स

ISO 9001:2015 नोंदणीकृत

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23

टीप:

तुम्ही कमांडमधून इनिशियलाइज ऑपरेशन वगळू शकता, उदाamples या प्रकरणात प्रदान केले आहे, एकतर प्रोव्हिजन हेल्पर इमेज प्रोग्रामिंग केल्यानंतर किंवा इनिशियलाइज ऑपरेशन समाविष्टीत कमांड वापरल्यानंतर.

४.२. मालकीच्या उपकरणांवर QSPI फॅक्टरी डीफॉल्ट मदतनीस प्रतिमा वापरणे
जेव्हा तुम्ही QSPI फ्लॅश प्रोग्रामिंगसाठी इनिशियलाइज ऑपरेशन निवडता तेव्हा इंटेल क्वार्टस प्राइम प्रोग्रामर आपोआप QSPI फॅक्टरी डीफॉल्ट मदतनीस प्रतिमा तयार करतो आणि लोड करतो. file. ऑथेंटिकेशन रूट की हॅश प्रोग्रामिंग केल्यानंतर, तुम्ही QSPI फॅक्टरी डीफॉल्ट हेल्पर इमेज तयार करून त्यावर स्वाक्षरी केली पाहिजे आणि QSPI फ्लॅश प्रोग्रामिंग करण्यापूर्वी स्वतंत्रपणे स्वाक्षरी केलेली QSPI फॅक्टरी हेल्पर इमेज प्रोग्राम करा. 1. तुम्ही इंटेल क्वार्टस प्राइम प्रोग्रामिंग वापरता File करण्यासाठी जनरेटर कमांड लाइन साधन
QSPI हेल्पर इमेज तयार करा, helper_image पर्याय, तुमचा helper_device प्रकार, QSPI हेल्पर इमेज उपप्रकार आणि वैकल्पिकरित्या कॉसाइन केलेले फर्मवेअर .zip निर्दिष्ट करून. file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. तुम्ही QSPI फॅक्टरी डीफॉल्ट मदतनीस प्रतिमेवर स्वाक्षरी करता:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. तुम्ही कोणतेही QSPI फ्लॅश प्रोग्रामिंग वापरू शकता file स्वरूप खालील माजीamples .jic मध्ये रूपांतरित कॉन्फिगरेशन बिटस्ट्रीम वापरते file स्वरूप:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o मोड=ASX4
4. तुम्ही इंटेल क्वार्टस प्राइम प्रोग्रामर टूल वापरून स्वाक्षरी केलेली मदतनीस प्रतिमा प्रोग्राम करता:
quartus_pgm -c 1 -mjtag -o “p;signed_qspi_helper_image.rbf” –फोर्स
5. इंटेल क्वार्टस प्राइम प्रोग्रामर टूल वापरून तुम्ही .jic इमेज फ्लॅश करण्यासाठी प्रोग्राम करता:
quartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”

४.३. प्रमाणीकरण रूट की तरतूद
मालक रूट की हॅशला फिजिकल फ्यूजवर प्रोग्राम करण्यासाठी, प्रथम तुम्हाला प्रोव्हिजन फर्मवेअर लोड करणे आवश्यक आहे, पुढील प्रोग्राम मालक रूट की हॅश करणे आवश्यक आहे आणि नंतर लगेच पॉवर-ऑन रीसेट करणे आवश्यक आहे. प्रोग्रामिंग रूट की व्हर्च्युअल फ्यूजवर हॅश करत असल्यास पॉवर-ऑन रीसेट आवश्यक नाही.

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 26

अभिप्राय पाठवा

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23
प्रमाणीकरण रूट की हॅश प्रोग्राम करण्यासाठी, तुम्ही प्रोव्हिजन फर्मवेअर हेल्पर इमेज प्रोग्राम करा आणि रूट की .qky प्रोग्राम करण्यासाठी खालीलपैकी एक कमांड चालवा. files.
// भौतिक (नॉन-अस्थिर) eFuses quartus_pgm -c 1 -mj साठीtag -o “p;root0.qky;root1.qky;root2.qky” –non_volatile_key
// आभासी (अस्थिर) eFuses quartus_pgm -c 1 -mj साठीtag -o “p;root0.qky;root1.qky;root2.qky”
४.३.१. आंशिक पुनर्रचना मल्टी-ऑथॉरिटी रूट की प्रोग्रामिंग
डिव्हाइस किंवा स्थिर प्रदेश बिटस्ट्रीम मालक रूट कीची तरतूद केल्यानंतर, तुम्ही पुन्हा डिव्हाइस तरतूद मदतनीस प्रतिमा लोड करा, स्वाक्षरी केलेले PR सार्वजनिक की प्रोग्राम अधिकृतता संक्षिप्त प्रमाणपत्र प्रोग्राम करा आणि नंतर PR व्यक्तिमत्व बिटस्ट्रीम मालक रूट कीची तरतूद करा.
// भौतिक (नॉन-अस्थिर) eFuses quartus_pgm -c 1 -mj साठीtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// आभासी (अस्थिर) eFuses quartus_pgm -c 1 -mj साठीtag -o “p;p;root_pr.qky” –pr_pubkey
४.४. प्रोग्रामिंग की रद्दीकरण आयडी फ्यूज
इंटेल क्वार्टस प्राइम प्रो एडिशन सॉफ्टवेअर आवृत्ती 21.1 सह प्रारंभ करून, प्रोग्रामिंग इंटेल आणि मालक की कॅन्सलेशन आयडी फ्यूजसाठी स्वाक्षरी केलेले कॉम्पॅक्ट प्रमाणपत्र वापरणे आवश्यक आहे. तुम्ही FPGA विभाग स्वाक्षरी परवानग्या असलेल्या स्वाक्षरी साखळीसह की कॅन्सलेशन आयडी कॉम्पॅक्ट प्रमाणपत्रावर स्वाक्षरी करू शकता. तुम्ही प्रोग्रामिंगसह कॉम्पॅक्ट प्रमाणपत्र तयार करा file जनरेटर कमांड लाइन टूल. तुम्ही quartus_sign टूल किंवा संदर्भ अंमलबजावणी वापरून स्वाक्षरी न केलेल्या प्रमाणपत्रावर स्वाक्षरी करता.
Intel Agilex 7 उपकरणे प्रत्येक रूट कीसाठी मालक की रद्दीकरण ID च्या स्वतंत्र बँकांना समर्थन देतात. जेव्हा मालक की कॅन्सलेशन आयडी कॉम्पॅक्ट प्रमाणपत्र Intel Agilex 7 FPGA मध्ये प्रोग्राम केले जाते, तेव्हा SDM ठरवते की कोणत्या रूट कीने कॉम्पॅक्ट प्रमाणपत्रावर स्वाक्षरी केली आहे आणि त्या रूट कीशी संबंधित की कॅन्सलेशन आयडी फ्यूज उडवते.
खालील माजीamples इंटेल की आयडी 7 साठी इंटेल की रद्दीकरण प्रमाणपत्र तयार करा. तुम्ही 7-0 पासून लागू असलेल्या इंटेल की रद्दीकरण आयडीसह 31 बदलू शकता.
स्वाक्षरी न केलेले इंटेल की कॅन्सलेशन आयडी कॉम्पॅक्ट प्रमाणपत्र तयार करण्यासाठी खालील आदेश चालवा:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
स्वाक्षरी नसलेल्या इंटेल की कॅन्सलेशन आयडी कॉम्पॅक्ट प्रमाणपत्रावर स्वाक्षरी करण्यासाठी खालीलपैकी एक कमांड चालवा:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 27

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
स्वाक्षरी नसलेली मालक की कॅन्सलेशन आयडी कॉम्पॅक्ट प्रमाणपत्र तयार करण्यासाठी खालील आदेश चालवा:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
स्वाक्षरी नसलेल्या मालक की कॅन्सलेशन आयडी कॉम्पॅक्ट प्रमाणपत्रावर स्वाक्षरी करण्यासाठी खालीलपैकी एक आदेश चालवा:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so=”key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
तुम्ही स्वाक्षरी केलेले की कॅन्सलेशन आयडी कॉम्पॅक्ट प्रमाणपत्र तयार केल्यानंतर, तुम्ही J द्वारे डिव्हाइसवर कॉम्पॅक्ट प्रमाणपत्र प्रोग्राम करण्यासाठी इंटेल क्वार्टस प्राइम प्रोग्रामर वापरता.TAG.
//भौतिक (नॉन-अस्थिर) eFuses quartus_pgm -c 1 -mj साठीtag -o “pi;signed_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert” –non_volatile_key
//आभासी (अस्थिर) eFuses साठी quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_intel7.ccert” quartus_pgm -c 1 -mjtag -o “pi;signed_cancel_owner2.ccert”
तुम्ही FPGA किंवा HPS मेलबॉक्स इंटरफेस वापरून SDM ला संक्षिप्त प्रमाणपत्र देखील पाठवू शकता.
४.५. रूट की रद्द करत आहे
Intel Agilex 7 डिव्हाइसेस तुम्हाला रूट की हॅश रद्द करू देतात जेव्हा दुसरा रद्द न केलेला रूट की हॅश असतो. तुम्ही रूट की हॅश रद्द करा ज्याची स्वाक्षरी साखळी वेगळ्या रूट की हॅशमध्ये रुजलेली आहे अशा डिझाइनसह प्रथम डिव्हाइस कॉन्फिगर करून, नंतर स्वाक्षरी केलेल्या रूट की हॅश रद्दीकरण संक्षिप्त प्रमाणपत्राचा प्रोग्राम करा. तुम्ही रूट की हॅश रद्द करण्याच्या कॉम्पॅक्ट प्रमाणपत्रावर रूट की रुजलेल्या स्वाक्षरी साखळीसह स्वाक्षरी करणे आवश्यक आहे.
स्वाक्षरी नसलेली रूट की हॅश कॅन्सलेशन कॉम्पॅक्ट प्रमाणपत्र व्युत्पन्न करण्यासाठी खालील आदेश चालवा:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 28

अभिप्राय पाठवा

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23

स्वाक्षरी न केलेल्या रूट की हॅश रद्दीकरण संक्षिप्त प्रमाणपत्रावर स्वाक्षरी करण्यासाठी खालीलपैकी एक आदेश चालवा:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so=”key design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
तुम्ही J द्वारे रूट की हॅश रद्दीकरण कॉम्पॅक्ट प्रमाणपत्र प्रोग्राम करू शकताTAG, FPGA, किंवा HPS मेलबॉक्सेस.

४.६. प्रोग्रामिंग काउंटर फ्यूज
तुम्ही सिक्युरिटी व्हर्जन नंबर (SVN) आणि स्यूडो टाइम सेंट अपडेट करताamp (PTS) काउंटर फ्यूज स्वाक्षरी केलेले संक्षिप्त प्रमाणपत्रे वापरून.

टीप:

SDM दिलेल्या कॉन्फिगरेशन दरम्यान पाहिलेल्या किमान काउंटर मूल्याचा मागोवा ठेवतो आणि काउंटर मूल्य किमान मूल्यापेक्षा लहान असताना काउंटर इन्क्रिमेंट प्रमाणपत्रे स्वीकारत नाही. आपण काउंटरला नियुक्त केलेल्या सर्व ऑब्जेक्ट्स अपडेट करणे आवश्यक आहे आणि काउंटर इन्क्रिमेंट कॉम्पॅक्ट प्रमाणपत्र प्रोग्रामिंग करण्यापूर्वी डिव्हाइस पुन्हा कॉन्फिगर करणे आवश्यक आहे.

तुम्ही व्युत्पन्न करू इच्छित काउंटर इन्क्रीमेंट प्रमाणपत्राशी संबंधित खालीलपैकी एक कमांड चालवा.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

1 चे काउंटर व्हॅल्यू काउंटर इन्क्रिमेंट ऑथोरायझेशन प्रमाणपत्र तयार करते. काउंटर इन्क्रीमेंट ऑथोरायझेशन कॉम्पॅक्ट सर्टिफिकेट प्रोग्रामिंग केल्याने तुम्हाला संबंधित काउंटर अपडेट करण्यासाठी आणखी स्वाक्षरी नसलेली काउंटर इन्क्रीमेंट सर्टिफिकेट प्रोग्राम करता येते. कॅन्सलेशन आयडी कॉम्पॅक्ट प्रमाणपत्रांप्रमाणेच काउंटर कॉम्पॅक्ट प्रमाणपत्रांवर स्वाक्षरी करण्यासाठी तुम्ही quartus_sign टूल वापरता.
तुम्ही J द्वारे रूट की हॅश रद्दीकरण कॉम्पॅक्ट प्रमाणपत्र प्रोग्राम करू शकताTAG, FPGA, किंवा HPS मेलबॉक्सेस.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 29

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23

४.७. सुरक्षित डेटा ऑब्जेक्ट सेवा रूट की तरतूद
सुरक्षित डेटा ऑब्जेक्ट सर्व्हिस (SDOS) रूट कीची तरतूद करण्यासाठी तुम्ही इंटेल क्वार्टस प्राइम प्रोग्रामर वापरता. प्रोग्रामर SDOS रूट कीची तरतूद करण्यासाठी प्रोव्हिजन फर्मवेअर हेल्पर इमेज स्वयंचलितपणे लोड करतो.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

४.८. सुरक्षा सेटिंग फ्यूज तरतूद
डिव्हाइस सुरक्षा सेटिंग फ्यूजचे परीक्षण करण्यासाठी इंटेल क्वार्टस प्राइम प्रोग्रामर वापरा आणि त्यांना मजकूर-आधारित .fuse वर लिहा. file खालीलप्रमाणे:
quartus_pgm -c 1 -mjtag -o “ei;प्रोग्रामिंग_file.fuse;AGFB014R24B”

पर्याय · i: प्रोग्रामर प्रोव्हिजन फर्मवेअर हेल्पर इमेज डिव्हाइसवर लोड करतो. · e: प्रोग्रामर डिव्हाइसमधून फ्यूज वाचतो आणि .fuse मध्ये संग्रहित करतो file.

फ्यूज file फ्यूज नाव-मूल्य जोड्यांची सूची आहे. मूल्य निर्दिष्ट करते की फ्यूज उडवला गेला आहे की फ्यूज फील्डमधील सामग्री.

खालील माजीample .fuse चे स्वरूप दाखवते file:

# सह-स्वाक्षरी केलेले फर्मवेअर

= "फुंकलेले नाही"

# डिव्हाइस परमिट मारणे

= "फुंकलेले नाही"

# डिव्हाइस सुरक्षित नाही

= "फुंकलेले नाही"

# HPS डीबग अक्षम करा

= "फुंकलेले नाही"

# अंतर्गत आयडी PUF नोंदणी अक्षम करा

= "फुंकलेले नाही"

# जे अक्षम कराTAG

= "फुंकलेले नाही"

# PUF-रॅप्ड एनक्रिप्शन की अक्षम करा

= "फुंकलेले नाही"

# BBRAM मध्ये मालक एनक्रिप्शन की अक्षम करा = "उडवलेले नाही"

# eFuses मध्ये मालक एनक्रिप्शन की अक्षम करा = "उडवलेले नाही"

# मालक रूट सार्वजनिक की हॅश 0 अक्षम करा

= "फुंकलेले नाही"

# मालक रूट सार्वजनिक की हॅश 1 अक्षम करा

= "फुंकलेले नाही"

# मालक रूट सार्वजनिक की हॅश 2 अक्षम करा

= "फुंकलेले नाही"

# आभासी eFuses अक्षम करा

= "फुंकलेले नाही"

# SDM घड्याळ अंतर्गत ऑसिलेटरवर सक्ती करा = "उडवलेले नाही"

# सक्तीने एनक्रिप्शन की अपडेट करा

= "फुंकलेले नाही"

# इंटेल स्पष्ट की रद्द करणे

= "0"

# सुरक्षा eFuses लॉक करा

= "फुंकलेले नाही"

# मालक एन्क्रिप्शन की प्रोग्राम पूर्ण झाला

= "फुंकलेले नाही"

# मालक एन्क्रिप्शन की प्रोग्राम प्रारंभ

= "फुंकलेले नाही"

# मालक स्पष्ट की रद्द करणे 0

= “”

# मालक स्पष्ट की रद्द करणे 1

= “”

# मालक स्पष्ट की रद्द करणे 2

= “”

# मालक फ्यूज

0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

१८.९”

# मालक रूट सार्वजनिक की हॅश 0

0x00000000000000000000000000000000000000000000000000000

१८.९”

# मालक रूट सार्वजनिक की हॅश 1

0x00000000000000000000000000000000000000000000000000000

१८.९”

# मालक रूट सार्वजनिक की हॅश 2

0x00000000000000000000000000000000000000000000000000000

१८.९”

# मालक रूट सार्वजनिक की आकार

= “काहीही नाही”

# PTS काउंटर

= "0"

# PTS काउंटर बेस

= "0"

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 30

अभिप्राय पाठवा

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23

# QSPI स्टार्ट अप विलंब # RMA काउंटर # SDMIO0 I2C आहे # SVN काउंटर A # SVN काउंटर B # SVN काउंटर C # SVN काउंटर D

= "10ms" = "0" = "उडवलेले नाही" = "0" = "0" = "0" = "0"

.फ्यूज सुधारित करा file आपले इच्छित सुरक्षा सेटिंग फ्यूज सेट करण्यासाठी. # ने सुरू होणारी ओळ टिप्पणी ओळ म्हणून मानली जाते. सुरक्षा सेटिंग फ्यूज प्रोग्राम करण्यासाठी, अग्रगण्य # काढा आणि मूल्य ब्लॉन वर सेट करा. उदाample, सह-स्वाक्षरी केलेले फर्मवेअर सुरक्षा सेटिंग फ्यूज सक्षम करण्यासाठी, फ्यूजची पहिली ओळ सुधारा file खालील:
सह-स्वाक्षरी केलेले फर्मवेअर = "उडवले"

तुम्ही तुमच्या गरजेनुसार मालकाचे फ्यूज वाटप आणि प्रोग्राम देखील करू शकता.
रिक्त चेक, प्रोग्राम आणि मालक रूट सार्वजनिक की सत्यापित करण्यासाठी तुम्ही खालील आदेश वापरू शकता:
quartus_pgm -c 1 -mjtag -o “ibpv;root0.qky”

पर्याय · i: प्रोव्हिजन फर्मवेअर हेल्पर इमेज डिव्हाइसवर लोड करते. · b: इच्छित सुरक्षा सेटिंग फ्यूज नाहीत याची पडताळणी करण्यासाठी रिक्त तपासणी करते
आधीच उडवलेला. · p: फ्यूज प्रोग्राम करते. · v: डिव्हाइसवरील प्रोग्राम केलेली की सत्यापित करते.
प्रोग्रामिंग केल्यानंतर .qky file, मालक सार्वजनिक की हॅश आणि मालक सार्वजनिक की आकारात शून्य नसलेली मूल्ये आहेत हे सुनिश्चित करण्यासाठी तुम्ही फ्यूज माहिती पुन्हा तपासून फ्यूज माहिती तपासू शकता.
.fuse द्वारे खालील फील्ड लिहिण्यायोग्य नसताना file पद्धत, ते पडताळणीसाठी तपासणी ऑपरेशन आउटपुट दरम्यान समाविष्ट केले आहेत: · डिव्हाइस सुरक्षित नाही · डिव्हाइस परमिट मारणे · मालक रूट सार्वजनिक की हॅश अक्षम करा 0 · मालक रूट सार्वजनिक की हॅश अक्षम करा 1 · मालक रूट सार्वजनिक की हॅश अक्षम करा 2 · इंटेल की रद्दीकरण · ओनर एन्क्रिप्शन की प्रोग्राम प्रारंभ · मालक एनक्रिप्शन की प्रोग्राम पूर्ण झाला · मालक की रद्द करणे · मालक सार्वजनिक की हॅश · मालक सार्वजनिक की आकार · मालक रूट सार्वजनिक की हॅश 0 · मालक रूट सार्वजनिक की हॅश 1 · मालक रूट सार्वजनिक की हॅश 2

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 31

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23
· PTS काउंटर · PTS काउंटर बेस · QSPI सुरू होण्यास विलंब · RMA काउंटर · SDMIO0 I2C आहे · SVN काउंटर A · SVN काउंटर B · SVN काउंटर C · SVN काउंटर D
.फ्यूज प्रोग्राम करण्यासाठी इंटेल क्वार्टस प्राइम प्रोग्रामर वापरा file डिव्हाइसवर परत. तुम्ही i पर्याय जोडल्यास, प्रोग्रामर सुरक्षा सेटिंग फ्यूज प्रोग्राम करण्यासाठी प्रोव्हिजन फर्मवेअर आपोआप लोड करतो.
//भौतिक (नॉन-अस्थिर) eFuses quartus_pgm -c 1 -mj साठीtag -o “pi;प्रोग्रामिंग_file.fuse” –non_volatile_key
//आभासी (अस्थिर) eFuses साठी quartus_pgm -c 1 -mjtag -o “pi;प्रोग्रामिंग_file.फ्यूज
डिव्हाईस रूट की हॅश कमांडमध्ये प्रदान केलेल्या .qky प्रमाणेच आहे का याची पडताळणी करण्यासाठी तुम्ही खालील कमांड वापरू शकता:
quartus_pgm -c 1 -mjtag -o “v;root0_another.qky”
कळा जुळत नसल्यास, ऑपरेशन अयशस्वी त्रुटी संदेशासह प्रोग्रामर अयशस्वी होतो.
४.९. AES रूट की तरतूद
Intel Agilex 7 डिव्हाइसवर AES रूट की प्रोग्राम करण्यासाठी तुम्ही स्वाक्षरी केलेले AES रूट की कॉम्पॅक्ट प्रमाणपत्र वापरणे आवश्यक आहे.
४.९.१. AES रूट की कॉम्पॅक्ट प्रमाणपत्र
तुमची AES रूट की .qek रूपांतरित करण्यासाठी तुम्ही quartus_pfg कमांड लाइन टूल वापरता file कॉम्पॅक्ट प्रमाणपत्र .ccert फॉरमॅटमध्ये. कॉम्पॅक्ट प्रमाणपत्र तयार करताना तुम्ही मुख्य स्टोरेज स्थान निर्दिष्ट करता. नंतर स्वाक्षरीसाठी तुम्ही quartus_pfg टूल वापरू शकता. AES रूट की कॉम्पॅक्ट प्रमाणपत्रावर यशस्वीरीत्या स्वाक्षरी करण्यासाठी तुम्ही AES रूट की प्रमाणपत्र स्वाक्षरी करण्याची परवानगी, परवानगी बिट 6 सक्षम असलेली स्वाक्षरी साखळी वापरणे आवश्यक आहे.

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 32

अभिप्राय पाठवा

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23
1. खालीलपैकी एक कमांड वापरून AES की कॉम्पॅक्ट प्रमाणपत्रावर स्वाक्षरी करण्यासाठी वापरलेली अतिरिक्त की जोडी तयार कराampलेस:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen यंत्रणा ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. खालीलपैकी एक आदेश वापरून योग्य परवानगी बिट सेटसह स्वाक्षरी साखळी तयार करा:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign.
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2. root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. इच्छित AES रूट की स्टोरेज स्थानासाठी स्वाक्षरी न केलेले AES कॉम्पॅक्ट प्रमाणपत्र तयार करा. खालील AES रूट की स्टोरेज पर्याय उपलब्ध आहेत:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
// eFuse AES रूट की अस्वाक्षरित प्रमाणपत्र तयार करा quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. quartus_sign आदेश किंवा संदर्भ अंमलबजावणीसह संक्षिप्त प्रमाणपत्रावर स्वाक्षरी करा.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert स्वाक्षरी केलेले_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 33

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert स्वाक्षरी केलेले_ 1.ccert
5. J द्वारे Intel Agilex 7 डिव्हाइसवर AES रूट की कॉम्पॅक्ट प्रमाणपत्र प्रोग्राम करण्यासाठी इंटेल क्वार्टस प्राइम प्रोग्रामर वापराTAG. EFUSE_WRAPPED_AES_KEY कॉम्पॅक्ट प्रमाणपत्र प्रकार वापरताना इंटेल क्वार्टस प्राइम प्रोग्रामर व्हर्च्युअल eFuses प्रोग्राम करण्यासाठी डीफॉल्ट करतो.
प्रोग्रामिंग फिजिकल फ्यूज निर्दिष्ट करण्यासाठी तुम्ही –non_volatile_key पर्याय जोडता.
// भौतिक (नॉन-अस्थिर) eFuse AES रूट की क्वार्टस_pgm -c 1 -mj साठीtag -o “pi;signed_efuse1.ccert” –non_volatile_key

// आभासी (अस्थिर) eFuse AES रूट की क्वार्टस_pgm -c 1 -mj साठीtag -o “pi;signed_efuse1.ccert”

//BBRAM AES रूट की quartus_pgm -c 1 -mj साठीtag -o “pi;signed_bbram1.ccert”

SDM तरतूद फर्मवेअर आणि मुख्य फर्मवेअर AES रूट की प्रमाणपत्र प्रोग्रामिंगला समर्थन देते. AES रूट की प्रमाणपत्र प्रोग्राम करण्यासाठी तुम्ही FPGA फॅब्रिक किंवा HPS मधील SDM मेलबॉक्स इंटरफेस देखील वापरू शकता.

टीप:

quartus_pgm कमांड कॉम्पॅक्ट सर्टिफिकेट्स (.ccert) साठी b आणि v पर्यायांना समर्थन देत नाही.

४.९.२. Intrinsic ID® PUF AES रूट की तरतूद
Intrinsic* ID PUF गुंडाळलेली AES की लागू करताना खालील चरणांचा समावेश होतो: 1. J द्वारे Intrinsic ID PUF ची नोंदणी करणेTAG. 2. AES रूट की गुंडाळणे. 3. हेल्पर डेटा प्रोग्रामिंग आणि क्वाड SPI फ्लॅश मेमरीमध्ये गुंडाळलेली की. 4. आंतरिक ID PUF सक्रियकरण स्थितीची चौकशी करणे.
Intrinsic ID तंत्रज्ञानाच्या वापरासाठी Intrinsic ID सह स्वतंत्र परवाना करार आवश्यक आहे. इंटेल क्वार्टस प्राइम प्रो एडिशन सॉफ्टवेअर योग्य परवान्याशिवाय PUF ऑपरेशन्स प्रतिबंधित करते, जसे की नोंदणी, की रॅपिंग आणि PUF डेटा प्रोग्रामिंग QSPI फ्लॅशवर.

४.९.२.१. अंतर्गत आयडी PUF नावनोंदणी
PUF ची नोंदणी करण्यासाठी, तुम्ही SDM तरतूद फर्मवेअर वापरणे आवश्यक आहे. प्रोव्हिजन फर्मवेअर हे पॉवर सायकल नंतर लोड केलेले पहिले फर्मवेअर असणे आवश्यक आहे आणि तुम्ही इतर कोणत्याही कमांडच्या आधी PUF नावनोंदणी कमांड जारी करणे आवश्यक आहे. एईएस रूट की रॅपिंग आणि प्रोग्रॅमिंग क्वाड SPI सह PUF नावनोंदणीनंतर प्रोव्हिजन फर्मवेअर इतर आदेशांना समर्थन देते, तथापि, कॉन्फिगरेशन बिटस्ट्रीम लोड करण्यासाठी तुम्ही डिव्हाइसला पॉवर सायकल चालवणे आवश्यक आहे.
तुम्ही PUF नावनोंदणी ट्रिगर करण्यासाठी आणि PUF मदतनीस डेटा तयार करण्यासाठी इंटेल क्वार्टस प्राइम प्रोग्रामर वापरता. puf file.

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 34

अभिप्राय पाठवा

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23

आकृती 7.

अंतर्गत आयडी PUF नावनोंदणी
quartus_pgm PUF नावनोंदणी

नोंदणी PUF मदतनीस डेटा

सुरक्षित उपकरण व्यवस्थापक (SDM)

wrapper.puf मदतनीस डेटा
जेव्हा तुम्ही i ऑपरेशन आणि .puf युक्तिवाद दोन्ही निर्दिष्ट करता तेव्हा प्रोग्रामर आपोआप प्रोव्हिजन फर्मवेअर मदतनीस प्रतिमा लोड करतो.
quartus_pgm -c 1 -mjtag -o “ei;help_data.puf;AGFB014R24A”
तुम्ही सह-स्वाक्षरी केलेले फर्मवेअर वापरत असल्यास, तुम्ही PUF नावनोंदणी आदेश वापरण्यापूर्वी सह-स्वाक्षरी केलेले फर्मवेअर मदतनीस इमेज प्रोग्राम करता.
quartus_pgm -c 1 -mjtag -o “p;signed_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o “e;help_data.puf;AGFB014R24A”
UDS IID PUF ची नोंदणी डिव्हाइस उत्पादनादरम्यान केली जाते आणि ते पुन्हा नोंदणीसाठी उपलब्ध नाही. त्याऐवजी, IPCS वर UDS PUF मदतनीस डेटाचे स्थान निर्धारित करण्यासाठी तुम्ही प्रोग्रामर वापरता, .puf डाउनलोड करा. file थेट, आणि नंतर UDS .puf वापरा file .puf प्रमाणेच file Intel Agilex 7 उपकरणातून काढले.
मजकूर तयार करण्यासाठी खालील प्रोग्रामर कमांड वापरा file ची यादी असलेली URLs डिव्हाइस-विशिष्ट कडे निर्देश करत आहे fileIPCS वर s:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
४.९.२.२. AES रूट की गुंडाळत आहे
तुम्ही IID PUF गुंडाळलेली AES रूट की .wkey व्युत्पन्न करा file SDM ला स्वाक्षरी केलेले प्रमाणपत्र पाठवून.
तुमची AES रूट की गुंडाळण्यासाठी तुम्ही Intel Quartus Prime Programmer चा वापर आपोआप तयार करण्यासाठी, स्वाक्षरी करण्यासाठी आणि प्रमाणपत्र पाठवण्यासाठी करू शकता किंवा तुम्ही Intel Quartus Prime Programming वापरू शकता. File स्वाक्षरी नसलेले प्रमाणपत्र व्युत्पन्न करण्यासाठी जनरेटर. तुम्ही तुमची स्वतःची साधने किंवा क्वार्टस स्वाक्षरी साधन वापरून स्वाक्षरी नसलेल्या प्रमाणपत्रावर स्वाक्षरी करता. त्यानंतर तुम्ही स्वाक्षरी केलेले प्रमाणपत्र पाठवण्यासाठी आणि तुमची AES रूट की गुंडाळण्यासाठी प्रोग्रामर वापरता. स्वाक्षरी केलेले प्रमाणपत्र सर्व उपकरणांना प्रोग्राम करण्यासाठी वापरले जाऊ शकते जे स्वाक्षरी साखळी प्रमाणित करू शकतात.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 35

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23

आकृती 8.

इंटेल क्वार्टस प्राइम प्रोग्रामर वापरून AES की गुंडाळणे
.pem खाजगी
की

.qky

quartus_pgm

AES की गुंडाळा

AES.QSKigYnature RootCPhuabilnic की

PUF रॅप्ड की व्युत्पन्न करा

गुंडाळलेली AES की

एसडीएम

.qek एनक्रिप्शन
की

.wkey PUF-रॅप्ड
AES की

1. तुम्ही खालील युक्तिवाद वापरून प्रोग्रामरसह IID PUF गुंडाळलेली AES रूट की (.wkey) व्युत्पन्न करू शकता:
· द .qky file AES रूट की प्रमाणपत्र परवानगीसह स्वाक्षरीची साखळी आहे
· खाजगी .pem file स्वाक्षरी साखळीतील शेवटच्या कीसाठी
· द .qek file AES रूट की धरून ठेवणे
· 16-बाइट इनिशिएलायझेशन वेक्टर (iv).

quartus_pgm -c 1 -mjtag -qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. वैकल्पिकरित्या, तुम्ही प्रोग्रॅमिंगसह एक सही न केलेले IID PUF रॅपिंग AES रूट की प्रमाणपत्र तयार करू शकता. File खालील युक्तिवाद वापरून जनरेटर:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. तुम्ही स्वाक्षरी न केलेल्या प्रमाणपत्रावर तुमच्या स्वतःच्या स्वाक्षरी साधनांनी किंवा quartus_sign टूलने खालील आदेश वापरून स्वाक्षरी करता:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. त्यानंतर तुम्ही स्वाक्षरी केलेले AES प्रमाणपत्र पाठवण्यासाठी आणि गुंडाळलेली की (.wkey) परत करण्यासाठी प्रोग्रामर वापरता. file:

quarts_pgm -c 1 -mjtag -ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

टीप: जर तुम्ही पूर्वी प्रोव्हिजन फर्मवेअर मदतनीस इमेज लोड केली असेल तर i ऑपरेशन आवश्यक नाहीample, PUF नोंदणी करण्यासाठी.

४.९.२.३. प्रोग्रामिंग हेल्पर डेटा आणि QSPI फ्लॅश मेमरीची गुंडाळलेली की
तुम्ही क्वार्टस प्रोग्रामिंग वापरता File PUF विभाजन असलेली प्रारंभिक QSPI फ्लॅश प्रतिमा तयार करण्यासाठी जनरेटर ग्राफिकल इंटरफेस. QSPI फ्लॅशमध्ये PUF विभाजन जोडण्यासाठी तुम्ही संपूर्ण फ्लॅश प्रोग्रॅमिंग इमेज व्युत्पन्न आणि प्रोग्राम करणे आवश्यक आहे. PUF ची निर्मिती

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 36

अभिप्राय पाठवा

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23

आकृती 9.

डेटा विभाजन आणि PUF मदतनीस डेटा आणि गुंडाळलेली की वापरणे fileफ्लॅश प्रतिमा निर्मितीसाठी s प्रोग्रामिंगद्वारे समर्थित नाही File जनरेटर कमांड लाइन इंटरफेस.
खालील चरण PUF मदतनीस डेटा आणि गुंडाळलेल्या कीसह फ्लॅश प्रोग्रामिंग प्रतिमा तयार करणे दर्शवितात:
1. वर File मेनू, प्रोग्रामिंग क्लिक करा File जनरेटर. आउटपुट वर Files टॅब खालील निवडी करा:
a डिव्हाइस कुटुंबासाठी Agilex 7 निवडा.
b कॉन्फिगरेशन मोडसाठी सक्रिय सिरीयल x4 निवडा.
c आउटपुट डिरेक्ट्रीसाठी तुमचे आउटपुट ब्राउझ करा file निर्देशिका या माजीample आउटपुट वापरते_files.
d नावासाठी, प्रोग्रामिंगसाठी नाव निर्दिष्ट करा file व्युत्पन्न करणे. या माजीample आउटपुट वापरते_file.
e वर्णन अंतर्गत प्रोग्रामिंग निवडा files व्युत्पन्न करण्यासाठी. या माजीample जे जनरेट करतेTAG अप्रत्यक्ष कॉन्फिगरेशन File (.jic) डिव्हाइस कॉन्फिगरेशन आणि रॉ बायनरी साठी File डिव्हाइस हेल्पर इमेजसाठी प्रोग्रामिंग हेल्पर इमेज (.rbf) चे. या माजीample पर्यायी मेमरी नकाशा देखील निवडते File (.map) आणि रॉ प्रोग्रामिंग डेटा File (.rpd). कच्चा प्रोग्रामिंग डेटा file आपण भविष्यात तृतीय-पक्ष प्रोग्रामर वापरण्याची योजना आखल्यासच आवश्यक आहे.
प्रोग्रामिंग File जनरेटर - आउटपुट Files टॅब - J निवडाTAG अप्रत्यक्ष कॉन्फिगरेशन

डिव्हाइस फॅमिली कॉन्फिगरेशन मोड
आउटपुट file टॅब
आउटपुट निर्देशिका
JTAG अप्रत्यक्ष (.jic) मेमरी नकाशा File प्रोग्रामिंग हेल्पर रॉ प्रोग्रामिंग डेटा
इनपुट वर Files टॅबवर, खालील निवडी करा: 1. Bitstream जोडा क्लिक करा आणि तुमच्या .sof वर ब्राउझ करा. 2. तुमचा .sof निवडा file आणि नंतर गुणधर्म क्लिक करा.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 37

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23
a साइनिंग टूल सक्षम करा. b खाजगी की साठी file तुमचा .pem निवडा file. c अंतिम एन्क्रिप्शन चालू करा. d एनक्रिप्शन की साठी file तुमचा .qek निवडा file. e आधीच्या विंडोवर परत येण्यासाठी ओके क्लिक करा. 3. तुमचा PUF मदतनीस डेटा निर्दिष्ट करण्यासाठी file, कच्चा डेटा जोडा क्लिक करा. बदला Fileक्वार्टस फिजिकल अनक्लोनेबल फंक्शनसाठी ड्रॉप-डाउन मेनूचा प्रकार File (*.puf). तुमच्या .puf वर ब्राउझ करा file. तुम्ही IID PUF आणि UDS IID PUF दोन्ही वापरत असल्यास, ही पायरी पुन्हा करा जेणेकरून .puf fileप्रत्येक PUF साठी s इनपुट म्हणून जोडले जातात files 4. तुमची गुंडाळलेली AES की निर्दिष्ट करण्यासाठी file, कच्चा डेटा जोडा क्लिक करा. बदला Files प्रकारचा ड्रॉप-डाउन मेनू क्वार्टस रॅप्ड की File (*.wkey). तुमच्या .wkey वर ब्राउझ करा file. जर तुम्ही IID PUF आणि UDS IID PUF दोन्ही वापरून AES की गुंडाळल्या असतील, तर ही पायरी पुन्हा करा जेणेकरून .wkey fileप्रत्येक PUF साठी s इनपुट म्हणून जोडले जातात files.
आकृती 10. इनपुट निर्दिष्ट करा Files कॉन्फिगरेशन, प्रमाणीकरण आणि एनक्रिप्शनसाठी

बिटस्ट्रीम जोडा रॉ डेटा जोडा
गुणधर्म
खाजगी की file
एन्क्रिप्शन अंतिम करा एनक्रिप्शन की
कॉन्फिगरेशन डिव्हाइस टॅबवर, खालील निवडी करा: 1. डिव्हाइस जोडा क्लिक करा आणि उपलब्ध फ्लॅशच्या सूचीमधून तुमचे फ्लॅश डिव्हाइस निवडा
उपकरणे 2. तुम्ही नुकतेच जोडलेले कॉन्फिगरेशन डिव्हाइस निवडा आणि विभाजन जोडा क्लिक करा. 3. इनपुटसाठी विभाजन संपादित करा डायलॉग बॉक्समध्ये file आणि मधून तुमचा .sof निवडा
ड्रॉपडाउन सूची. तुम्ही डिफॉल्ट राखून ठेवू शकता किंवा विभाजन संपादित करा डायलॉग बॉक्समध्ये इतर पॅरामीटर्स संपादित करू शकता.

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 38

अभिप्राय पाठवा

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23
आकृती 11. तुमचे .sof कॉन्फिगरेशन बिटस्ट्रीम विभाजन निर्दिष्ट करणे

कॉन्फिगरेशन डिव्हाइस
विभाजन संपादित करा जोडा .sof file

विभाजन जोडा

4. जेव्हा तुम्ही .puf आणि .wkey इनपुट म्हणून जोडता files, प्रोग्रामिंग File जनरेटर तुमच्या कॉन्फिगरेशन डिव्हाइसमध्ये स्वयंचलितपणे PUF विभाजन तयार करतो. PUF विभाजनामध्ये .puf आणि .wkey संग्रहित करण्यासाठी, PUF विभाजन निवडा आणि संपादित करा क्लिक करा. विभाजन संपादित करा डायलॉग बॉक्समध्ये, तुमचा .puf आणि .wkey निवडा fileड्रॉपडाउन सूचीमधून s. तुम्ही PUF विभाजन काढून टाकल्यास, तुम्हाला प्रोग्रामिंगसाठी कॉन्फिगरेशन डिव्हाइस काढून टाकणे आणि पुन्हा जोडणे आवश्यक आहे. File दुसरे PUF विभाजन तयार करण्यासाठी जनरेटर. तुम्ही योग्य .puf आणि .wkey निवडल्याची खात्री करा file IID PUF आणि UDS IID PUF साठी, अनुक्रमे.
आकृती 12. .puf आणि .wkey जोडा filePUF विभाजनासाठी s

PUF विभाजन

संपादित करा

विभाजन संपादित करा

फ्लॅश लोडर

जनरेट निवडा

5. फ्लॅश लोडर पॅरामीटरसाठी Intel Agilex 7 डिव्हाइस कुटुंब आणि तुमच्या Intel Agilex 7 OPN शी जुळणारे डिव्हाइस नाव निवडा.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 39

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23
6. आउटपुट जनरेट करण्यासाठी जनरेट वर क्लिक करा files जे तुम्ही आउटपुटवर निर्दिष्ट केले आहे Fileचे टॅब.
7. प्रोग्रामिंग File जनरेटर तुमचे .qek वाचतो file आणि तुम्हाला तुमच्या सांकेतिक वाक्यांशासाठी सूचित करते. एंटर QEK सांकेतिक वाक्यांश प्रॉम्प्टला प्रतिसाद म्हणून तुमचा सांकेतिक वाक्यांश टाइप करा. एंटर की क्लिक करा.
8. प्रोग्रामिंग करताना ओके क्लिक करा File जनरेटर यशस्वी पिढीचा अहवाल देतो.
QSPI प्रोग्रामिंग इमेज QSPI फ्लॅश मेमरीवर लिहिण्यासाठी तुम्ही इंटेल क्वार्टस प्राइम प्रोग्रामर वापरता. 1. इंटेल क्वार्टस प्राइम टूल्स मेनूवर प्रोग्रामर निवडा. 2. प्रोग्रामरमध्ये, हार्डवेअर सेटअप वर क्लिक करा आणि नंतर कनेक्ट केलेले इंटेल निवडा
FPGA डाउनलोड केबल. 3. जोडा क्लिक करा File आणि तुमच्या .jic वर ब्राउझ करा file.
आकृती 13. कार्यक्रम .jic

प्रोग्रामिंग file

प्रोग्राम/कॉन्फिगर करा

JTAG स्कॅन साखळी
4. हेल्पर इमेजशी संबंधित बॉक्सची निवड रद्द करा. 5. .jic आउटपुटसाठी प्रोग्राम/कॉन्फिगर निवडा file. 6. तुमची क्वाड SPI फ्लॅश मेमरी प्रोग्राम करण्यासाठी स्टार्ट बटण चालू करा. 7. तुमच्या बोर्डला पॉवर सायकल करा. क्वाड एसपीआय फ्लॅश मेमरीमध्ये प्रोग्राम केलेले डिझाइन
डिव्हाइस नंतर लक्ष्य FPGA मध्ये लोड होते.
क्वाड SPI फ्लॅशमध्ये PUF विभाजन जोडण्यासाठी तुम्ही संपूर्ण फ्लॅश प्रोग्रामिंग प्रतिमा तयार आणि प्रोग्राम करणे आवश्यक आहे.
जेव्हा फ्लॅशमध्ये PUF विभाजन आधीपासूनच अस्तित्वात असते, तेव्हा PUF मदतनीस डेटा आणि गुंडाळलेली की थेट ऍक्सेस करण्यासाठी इंटेल क्वार्टस प्राइम प्रोग्रामर वापरणे शक्य आहे. files उदाample, सक्रिय करणे अयशस्वी झाल्यास, PUF ची पुन्हा नोंदणी करणे, AES की पुन्हा गुंडाळणे आणि त्यानंतर फक्त PUF प्रोग्राम करणे शक्य आहे. files संपूर्ण फ्लॅश ओव्हरराईट न करता.

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 40

अभिप्राय पाठवा

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23
इंटेल क्वार्टस प्राइम प्रोग्रामर PUF साठी खालील ऑपरेशन युक्तिवादाचे समर्थन करतो files आधीपासून अस्तित्वात असलेल्या PUF विभाजनामध्ये:
· p: कार्यक्रम
· v: सत्यापित करा
· आर: पुसून टाका
· ब: कोरा धनादेश
तुम्ही PUF नावनोंदणीसाठी समान निर्बंधांचे पालन केले पाहिजे, जरी PUF विभाजन अस्तित्वात असले तरीही.
1. पहिल्या ऑपरेशनसाठी प्रोव्हिजन फर्मवेअर हेल्पर इमेज लोड करण्यासाठी i ऑपरेशन आर्ग्युमेंट वापरा. उदाample, खालील आदेश क्रम PUF ची पुन्हा नोंदणी करतो, AES रूट की पुन्हा-रॅप करा, जुना PUF हेल्पर डेटा आणि रॅप्ड की पुसून टाका, नंतर नवीन PUF हेल्पर डेटा आणि AES रूट की प्रोग्राम आणि सत्यापित करा.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag -ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;new.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o “v;new.wkey”
४.९.२.४. आंतरिक आयडी PUF सक्रियकरण स्थितीची चौकशी करत आहे
तुम्ही Intrinsic ID PUF ची नोंदणी केल्यानंतर, AES की गुंडाळा, फ्लॅश प्रोग्रामिंग तयार करा files, आणि क्वाड SPI फ्लॅश अपडेट करा, तुम्ही एनक्रिप्टेड बिटस्ट्रीममधून PUF सक्रियकरण आणि कॉन्फिगरेशन ट्रिगर करण्यासाठी तुमच्या डिव्हाइसला पॉवर सायकल चालवा. SDM कॉन्फिगरेशन स्थितीसह PUF सक्रियकरण स्थितीचा अहवाल देतो. PUF सक्रियकरण अयशस्वी झाल्यास, SDM त्याऐवजी PUF त्रुटी स्थितीचा अहवाल देतो. कॉन्फिगरेशन स्थितीची चौकशी करण्यासाठी quartus_pgm कमांड वापरा.
1. सक्रियकरण स्थितीची चौकशी करण्यासाठी खालील आदेश वापरा:
quartus_pgm -c 1 -mjtag -स्थिती -status_type="CONFIG"
येथे एसampयशस्वी सक्रियतेतून आउटपुट:
माहिती (21597): CONFIG_STATUS डिव्हाइसचा प्रतिसाद वापरकर्ता मोडमध्ये चालत आहे 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 आवृत्ती C000007B MSEL=QSPIn=VSPIn=1V,1B
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 त्रुटी स्थान 00000000 त्रुटी तपशील प्रतिसाद 00002000 USER_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 41

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23

जर तुम्ही फक्त IID PUF किंवा UDS IID PUF वापरत असाल आणि सहाय्यक डेटा प्रोग्राम केलेला नसेल तर .puf file QSPI फ्लॅशमधील PUF साठी, ते PUF सक्रिय होत नाही आणि PUF स्थिती दर्शवते की PUF मदतनीस डेटा वैध नाही. खालील माजीample PUF स्थिती दाखवते जेव्हा PUF मदतनीस डेटा PUF साठी प्रोग्राम केलेला नसतो:
PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED चा प्रतिसाद,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID स्थिती=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

४.९.२.५. फ्लॅश मेमरीमध्ये PUF चे स्थान
PUF चे स्थान file RSU ला सपोर्ट करणाऱ्या डिझाईन्स आणि RSU वैशिष्ट्याला सपोर्ट न करणाऱ्या डिझाईन्ससाठी वेगळे आहे.

RSU ला सपोर्ट न करणाऱ्या डिझाईन्ससाठी, तुम्ही .puf आणि .wkey समाविष्ट करणे आवश्यक आहे files जेव्हा तुम्ही अद्यतनित फ्लॅश प्रतिमा तयार करता. RSU ला सपोर्ट करणाऱ्या डिझाईन्ससाठी, SDM फॅक्टरी किंवा ॲप्लिकेशन इमेज अपडेट्स दरम्यान PUF डेटा विभाग ओव्हरराईट करत नाही.

तक्ता 2.

RSU सपोर्टशिवाय फ्लॅश सब-पार्टिशन्स लेआउट

फ्लॅश ऑफसेट (बाइट्समध्ये)

आकार (बाइट्समध्ये)

सामग्री

वर्णन

0K 256K

256K 256K

कॉन्फिगरेशन मॅनेजमेंट फर्मवेअर कॉन्फिगरेशन मॅनेजमेंट फर्मवेअर

SDM वर चालणारे फर्मवेअर.

512K

256K

कॉन्फिगरेशन व्यवस्थापन फर्मवेअर

768K

256K

कॉन्फिगरेशन व्यवस्थापन फर्मवेअर

32K

PUF डेटा कॉपी 0

PUF हेल्पर डेटा आणि PUF-रॅप्ड AES रूट की कॉपी 0 संचयित करण्यासाठी डेटा संरचना

1M+32K

32K

PUF डेटा कॉपी 1

PUF हेल्पर डेटा आणि PUF-रॅप्ड AES रूट की कॉपी 1 संचयित करण्यासाठी डेटा संरचना

तक्ता 3.

RSU सपोर्टसह फ्लॅश सब-पार्टिशन्स लेआउट

फ्लॅश ऑफसेट (बाइट्समध्ये)

आकार (बाइट्समध्ये)

सामग्री

वर्णन

0K 512K

512K 512K

निर्णय फर्मवेअर निर्णय फर्मवेअर

सर्वोच्च प्राधान्य प्रतिमा ओळखण्यासाठी आणि लोड करण्यासाठी फर्मवेअर.

1 एम 1.5 एम

512K 512K

निर्णय फर्मवेअर निर्णय फर्मवेअर

8K + 24K

निर्णय फर्मवेअर डेटा

पॅडिंग

निर्णय फर्मवेअर वापरासाठी राखीव.

2M + 32K

32K

SDM साठी राखीव

SDM साठी राखीव.

2M + 64K

चल

फॅक्टरी प्रतिमा

इतर सर्व ॲप्लिकेशन इमेज लोड होण्यात अयशस्वी झाल्यास तुम्ही बॅकअप म्हणून तयार केलेली एक साधी प्रतिमा. या प्रतिमेमध्ये CMF समाविष्ट आहे जे SDM वर चालते.

पुढे

32K

PUF डेटा कॉपी 0

PUF हेल्पर डेटा आणि PUF-रॅप्ड AES रूट की कॉपी 0 संचयित करण्यासाठी डेटा संरचना
चालू ठेवले…

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 42

अभिप्राय पाठवा

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23

फ्लॅश ऑफसेट (बाइट्समध्ये)

आकार (बाइट्समध्ये)

पुढील +32K 32K

सामग्री PUF डेटा कॉपी 1

पुढील + 256K 4K पुढील +32K 4K पुढील +32K 4K

उप-विभाजन सारणी प्रत 0 उप-विभाजन सारणी प्रत 1 CMF पॉइंटर ब्लॉक प्रत 0

पुढील +32K _

CMF पॉइंटर ब्लॉक कॉपी 1

व्हेरिएबल व्हेरिएबल

अनुप्रयोग प्रतिमा 1 अनुप्रयोग प्रतिमा 2

४.९.३. ब्लॅक की तरतूद

वर्णन
PUF हेल्पर डेटा आणि PUF-रॅप्ड AES रूट की कॉपी 1 संचयित करण्यासाठी डेटा संरचना
फ्लॅश स्टोरेजचे व्यवस्थापन सुलभ करण्यासाठी डेटा संरचना.
अग्रक्रमाच्या क्रमाने ॲप्लिकेशन इमेजेससाठी पॉइंटरची सूची. जेव्हा तुम्ही एखादी प्रतिमा जोडता तेव्हा ती प्रतिमा सर्वोच्च बनते.
ॲप्लिकेशन इमेजेसच्या पॉइंटरच्या सूचीची दुसरी प्रत.
तुमची पहिली ॲप्लिकेशन इमेज.
तुमची दुसरी ॲप्लिकेशन इमेज.

टीप:

इंटेल क्वार्टस प्राइमप्रोग्रामर इंटेल एजिलेक्स 7 डिव्हाइस आणि ब्लॅक की प्रोव्हिजनिंग सेवा यांच्यात परस्पर प्रमाणीकृत सुरक्षित कनेक्शन स्थापित करण्यात मदत करते. सुरक्षित कनेक्शन https द्वारे स्थापित केले आहे आणि मजकूर वापरून ओळखल्या जाणाऱ्या अनेक प्रमाणपत्रांची आवश्यकता आहे file.
ब्लॅक की प्रोव्हिजनिंग वापरताना, इंटेल शिफारस करतो की तुम्ही J साठी वापरत असतानाही रेझिस्टर वर खेचण्यासाठी किंवा खाली खेचण्यासाठी TCK पिन बाहेरून कनेक्ट करणे टाळा.TAG. तथापि, तुम्ही 10 k रेझिस्टर वापरून TCK पिन VCCIO SDM वीज पुरवठ्याशी जोडू शकता. TCK ला 1 k पुल-डाउन रेझिस्टरशी जोडण्यासाठी पिन कनेक्शन मार्गदर्शक तत्त्वांमधील विद्यमान मार्गदर्शन आवाज दाबण्यासाठी समाविष्ट केले आहे. 10 k पुल-अप रेझिस्टरच्या मार्गदर्शनातील बदल डिव्हाइसवर कार्यक्षमपणे प्रभाव पाडत नाही. TCK पिन कनेक्ट करण्याबद्दल अधिक माहितीसाठी, Intel Agilex 7 पिन कनेक्शन मार्गदर्शक तत्त्वे पहा.
Thebkp_tls_ca_certcertificate तुमच्या ब्लॅक की प्रोव्हिजनिंग सर्व्हिस इन्स्टन्सला तुमच्या ब्लॅक की प्रोव्हिजनिंग प्रोग्रामर इंस्टन्सला ऑथेंटिकेट करते. Thebkp_tls_*प्रमाणपत्रे तुमच्या ब्लॅक की प्रोव्हिजनिंग प्रोग्रामर उदाहरणाला तुमच्या ब्लॅक की प्रोव्हिजनिंग सर्व्हिस इन्स्टन्सला प्रमाणित करतात.
तुम्ही मजकूर तयार करा file ब्लॅक की प्रोव्हिजनिंग सेवेशी कनेक्ट करण्यासाठी इंटेल क्वार्टस प्राइम प्रोग्रामरसाठी आवश्यक माहिती असलेली. ब्लॅक की प्रोव्हिजनिंग सुरू करण्यासाठी, ब्लॅक की प्रोव्हिजनिंग पर्याय मजकूर निर्दिष्ट करण्यासाठी प्रोग्रामर कमांड लाइन इंटरफेस वापरा file. ब्लॅक की प्रोव्हिजनिंग नंतर आपोआप पुढे जाते. ब्लॅक की प्रोव्हिजनिंग सेवेमध्ये प्रवेश आणि संबंधित कागदपत्रांसाठी, कृपया इंटेल समर्थनाशी संपर्क साधा.
तुम्ही thequartus_pgmcommand वापरून ब्लॅक की तरतूद सक्षम करू शकता:
quartus_pgm -c -m -डिव्हाइस –bkp_options=bkp_options.txt
कमांड वितर्क खालील माहिती निर्दिष्ट करतात:

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 43

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23

· -c: केबल क्रमांक · -m: प्रोग्रामिंग मोड निर्दिष्ट करते जसे की JTAG · -डिव्हाइस: J वर उपकरण निर्देशांक निर्दिष्ट करतेTAG साखळी डीफॉल्ट मूल्य 1 आहे. · -bkp_options: मजकूर निर्दिष्ट करते file ब्लॅक की प्रोव्हिजनिंग पर्यायांचा समावेश आहे.
संबंधित माहिती Intel Agilex 7 डिव्हाइस फॅमिली पिन कनेक्शन मार्गदर्शक तत्त्वे

४.९.३.१. ब्लॅक की प्रोव्हिजनिंग पर्याय
ब्लॅक की प्रोव्हिजनिंग पर्याय हा मजकूर आहे file quartus_pgm कमांडद्वारे प्रोग्रामरकडे पाठवले जाते. द file ब्लॅक की तरतूद ट्रिगर करण्यासाठी आवश्यक माहिती समाविष्ट आहे.
खालील एक माजी आहेampbkp_options.txt च्या le file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pls_p_1234_prog_key = prog_key.pls_192.167.5.5_prog5000 पत्ता = https://XNUMX:XNUMX bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

तक्ता 4.

ब्लॅक की प्रोव्हिजनिंग पर्याय
हे सारणी ब्लॅक की प्रोव्हिजनिंग ट्रिगर करण्यासाठी आवश्यक पर्याय प्रदर्शित करते.

पर्यायाचे नाव

प्रकार

वर्णन

bkp_ip

आवश्यक आहे

ब्लॅक की प्रोव्हिजनिंग सेवा चालवणारा सर्व्हर IP पत्ता निर्दिष्ट करते.

bkp_port

आवश्यक आहे

सर्व्हरशी कनेक्ट करण्यासाठी आवश्यक ब्लॅक की प्रोव्हिजनिंग सर्व्हिस पोर्ट निर्दिष्ट करते.

bkp_cfg_id

आवश्यक आहे

ब्लॅक की प्रोव्हिजनिंग कॉन्फिगरेशन फ्लो आयडी ओळखते.
ब्लॅक की प्रोव्हिजनिंग सर्व्हिस ब्लॅक की प्रोव्हिजनिंग कॉन्फिगरेशन फ्लो तयार करते ज्यामध्ये AES रूट की, इच्छित eFuse सेटिंग्ज आणि इतर ब्लॅक की प्रोव्हिजनिंग ऑथोरायझेशन पर्याय समाविष्ट आहेत. ब्लॅक की प्रोव्हिजनिंग सर्व्हिस सेटअप दरम्यान नियुक्त केलेला नंबर ब्लॅक की प्रोव्हिजनिंग कॉन्फिगरेशन प्रवाह ओळखतो.
टीप: एकाधिक उपकरणे समान ब्लॅक की तरतूद सेवा कॉन्फिगरेशन प्रवाहाचा संदर्भ घेऊ शकतात.

bkp_tls_ca_cert

आवश्यक आहे

इंटेल क्वार्टस प्राइम प्रोग्रामर (प्रोग्रामर) ला ब्लॅक की प्रोव्हिजनिंग सेवा ओळखण्यासाठी रूट TLS प्रमाणपत्र वापरले जाते. ब्लॅक की प्रोव्हिजनिंग सेवेसाठी विश्वसनीय प्रमाणपत्र प्राधिकरण हे प्रमाणपत्र जारी करते.
तुम्ही Microsoft® Windows® ऑपरेटिंग सिस्टम (Windows) असलेल्या संगणकावर प्रोग्रामर चालवत असल्यास, तुम्ही हे प्रमाणपत्र Windows प्रमाणपत्र स्टोअरमध्ये स्थापित करणे आवश्यक आहे.

bkp_tls_prog_cert

आवश्यक आहे

ब्लॅक की प्रोव्हिजनिंग प्रोग्रामर (BKP प्रोग्रामर) च्या उदाहरणासाठी तयार केलेले प्रमाणपत्र. हे बीकेपी प्रोग्रामर उदाहरण ओळखण्यासाठी वापरलेले https क्लायंट प्रमाणपत्र आहे
चालू ठेवले…

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 44

अभिप्राय पाठवा

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23

पर्यायाचे नाव

प्रकार

bkp_tls_prog_key

आवश्यक आहे

bkp_tls_prog_key_pass पर्यायी

bkp_proxy_address bkp_proxy_user bkp_proxy_password

ऐच्छिक ऐच्छिक ऐच्छिक

वर्णन
ब्लॅक की प्रोव्हिजनिंग सेवेसाठी. ब्लॅक की प्रोव्हिजनिंग सेशन सुरू करण्यापूर्वी तुम्ही हे प्रमाणपत्र ब्लॅक की प्रोव्हिजनिंग सेवेमध्ये स्थापित आणि अधिकृत केले पाहिजे. तुम्ही Windows वर प्रोग्रामर चालवल्यास, हा पर्याय उपलब्ध नाही. या प्रकरणात, bkp_tls_prog_key मध्ये हे प्रमाणपत्र आधीपासूनच समाविष्ट आहे.
BKP प्रोग्रामर प्रमाणपत्राशी संबंधित खाजगी की. की ब्लॅक की तरतूद सेवेसाठी BKP प्रोग्रामर उदाहरणाची ओळख प्रमाणित करते. तुम्ही Windows वर प्रोग्रामर चालवल्यास, .pfx file bkp_tls_prog_cert प्रमाणपत्र आणि खाजगी की एकत्र करते. bkp_tlx_prog_key पर्याय .pfx पास करतो file bkp_options.txt मध्ये file.
bkp_tls_prog_key खाजगी की साठी पासवर्ड. ब्लॅक की प्रोव्हिजनिंग कॉन्फिगरेशन पर्यायांमध्ये (bkp_options.txt) मजकूर आवश्यक नाही file.
प्रॉक्सी सर्व्हर निर्दिष्ट करते URL पत्ता
प्रॉक्सी सर्व्हर वापरकर्तानाव निर्दिष्ट करते.
प्रॉक्सी प्रमाणीकरण पासवर्ड निर्दिष्ट करते.

४.१०. मालक रूट की, AES रूट की प्रमाणपत्रे आणि फ्यूज रूपांतरित करणे files ते जाम STAPL File स्वरूप

तुम्ही .qky, AES रूट की .ccert आणि .fuse मध्ये रूपांतरित करण्यासाठी quartus_pfg कमांड लाइन कमांड वापरू शकता. files ते जॅम STAPL फॉरमॅट File (.jam) आणि जॅम बाइट कोड फॉरमॅट File (.jbc). तुम्ही हे वापरू शकता fileअनुक्रमे जॅम STAPL प्लेयर आणि जॅम STAPL बाइट-कोड प्लेयर वापरून इंटेल FPGAs प्रोग्राम करण्यासाठी.

सिंगल .jam किंवा .jbc मध्ये फर्मवेअर हेल्पर इमेज कॉन्फिगरेशन आणि प्रोग्राम, ब्लँक चेक आणि की आणि फ्यूज प्रोग्रामिंगची पडताळणी यासह अनेक कार्ये असतात.

खबरदारी:

जेव्हा तुम्ही AES रूट की .ccert रूपांतरित करता file .jam फॉरमॅट करण्यासाठी, .jam file AES की साध्या मजकुरात पण अस्पष्ट स्वरूपात आहे. परिणामी, आपण .jam संरक्षित करणे आवश्यक आहे file AES की साठवताना. तुम्ही सुरक्षित वातावरणात AES कीची तरतूद करून हे करू शकता.

येथे माजी आहेतamples of quartus_pfg रूपांतरण आदेश:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root_qky.root2 - c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_devices014m_fuse _pfg -c -o helper_device=AGFB24R014A सेटिंग्ज. fuse settings_fuse.jbc

डिव्हाइस प्रोग्रामिंगसाठी जॅम STAPL प्लेयर वापरण्याबद्दल अधिक माहितीसाठी AN 425 पहा: डिव्हाइस प्रोग्रामिंगसाठी कमांड-लाइन जॅम STAPL सोल्यूशन वापरणे.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 45

4. डिव्हाइस प्रोव्हिजनिंग 683823 | 2023.05.23
मालक रूट सार्वजनिक की आणि AES एन्क्रिप्शन की प्रोग्राम करण्यासाठी खालील आदेश चालवा:
// हेल्पर बिटस्ट्रीम FPGA मध्ये लोड करण्यासाठी. // हेल्पर बिटस्ट्रीममध्ये तरतूद फर्मवेअर quartus_jli -c 1 -a कॉन्फिगर करा RootKey.jam समाविष्ट आहे
//मालक रूट पब्लिक की आभासी eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam मध्ये प्रोग्राम करण्यासाठी
//मालक रूट पब्लिक की भौतिक eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam मध्ये प्रोग्राम करण्यासाठी
// PR मालक रूट सार्वजनिक की व्हर्च्युअल eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam मध्ये प्रोग्राम करण्यासाठी
//पीआर मालक रूट सार्वजनिक की भौतिक eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam मध्ये प्रोग्राम करण्यासाठी
// AES एन्क्रिप्शन की CCERT ला BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam मध्ये प्रोग्राम करण्यासाठी
// AES एन्क्रिप्शन की CCERT ला भौतिक eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam मध्ये प्रोग्राम करण्यासाठी
संबंधित माहिती AN 425: डिव्हाइस प्रोग्रामिंगसाठी कमांड-लाइन जॅम STAPL सोल्यूशन वापरणे

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 46

अभिप्राय पाठवा

683823 | 2023.05.23 फीडबॅक पाठवा

प्रगत वैशिष्ट्ये

५.१. सुरक्षित डीबग अधिकृतता
सुरक्षित डीबग ऑथोरायझेशन सक्षम करण्यासाठी, डीबग मालकाने प्रमाणीकरण की जोडी व्युत्पन्न करणे आणि डिव्हाइस माहिती व्युत्पन्न करण्यासाठी इंटेल क्वार्टस प्राइम प्रो प्रोग्रामर वापरणे आवश्यक आहे. file डीबग इमेज चालवणाऱ्या डिव्हाइससाठी:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
डीबग मालकाकडून सार्वजनिक की वापरून डीबग ऑपरेशन्ससाठी अभिप्रेत असलेल्या स्वाक्षरी साखळीमध्ये सशर्त सार्वजनिक की एंट्री जोडण्यासाठी डिव्हाइस मालक quartus_sign टूल किंवा संदर्भ अंमलबजावणी वापरतो, आवश्यक अधिकृतता, डिव्हाइस माहिती मजकूर file, आणि लागू पुढील निर्बंध:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –प्रतिबंध″, 1,2,17,18=XNUMX, XNUMX_XNUMX-पुट = XNUMX. debug_authorization_public_key.pem safe_debug_auth_chain.qky
डिव्हाइस मालक डीबग मालकाला संपूर्ण स्वाक्षरी साखळी परत पाठवतो, जो डीबग प्रतिमेवर स्वाक्षरी करण्यासाठी स्वाक्षरी साखळी आणि त्यांची खाजगी की वापरतो:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
या स्वाक्षरी केलेल्या सुरक्षित डीबग बिटस्ट्रीमच्या प्रत्येक विभागाच्या स्वाक्षरी साखळीची तपासणी करण्यासाठी तुम्ही quartus_pfg कमांड वापरू शकता:
quartus_pfg –check_integrity authorized_debug_design.rbf
या कमांडचे आऊटपुट कंडिशनल पब्लिक की ची प्रतिबंध मूल्ये 1,2,17,18 मुद्रित करते जी स्वाक्षरी केलेली बिटस्ट्रीम व्युत्पन्न करण्यासाठी वापरली होती.
डीबग मालक नंतर सुरक्षितपणे अधिकृत डीबग डिझाइन प्रोग्राम करू शकतो:
quartus_pgm -c 1 -mjtag -o “p;authorized_debug_design.rbf”
सुरक्षित डीबग अधिकृतता स्वाक्षरी शृंखलामध्ये नियुक्त केलेला स्पष्ट की रद्दीकरण आयडी रद्द करून डिव्हाइस मालक सुरक्षित डीबग अधिकृतता रद्द करू शकतो.
५.२. HPS डीबग प्रमाणपत्रे
J द्वारे HPS डीबग ऍक्सेस पोर्ट (DAP) वर फक्त अधिकृत प्रवेश सक्षम करणेTAG इंटरफेसला अनेक चरणांची आवश्यकता आहे:

ISO 9001:2015 नोंदणीकृत

5. प्रगत वैशिष्ट्ये 683823 | 2023.05.23
1. इंटेल क्वार्टस प्राइम सॉफ्टवेअर असाइनमेंट मेनूवर क्लिक करा आणि डिव्हाइस डिव्हाइस आणि पिन पर्याय कॉन्फिगरेशन टॅब निवडा.
2. कॉन्फिगरेशन टॅबमध्ये, ड्रॉपडाउन मेनूमधून HPS पिन किंवा SDM पिन निवडून HPS डीबग ऍक्सेस पोर्ट (DAP) सक्षम करा आणि प्रमाणपत्रांशिवाय HPS डीबगला अनुमती द्या चेकबॉक्स निवडलेला नाही याची खात्री करा.
आकृती 14. HPS DAP साठी HPS किंवा SDM पिन निर्दिष्ट करा

HPS डीबग ऍक्सेस पोर्ट (डीएपी)
वैकल्पिकरित्या, तुम्ही Quartus Prime Settings .qsf मध्ये खालील असाइनमेंट सेट करू शकता file:
set_global_assignment -नाव HPS_DAP_SPLIT_MODE “SDM PINS”
3. या सेटिंग्जसह डिझाइन संकलित करा आणि लोड करा. 4. HPS डीबगवर स्वाक्षरी करण्यासाठी योग्य परवानग्यांसह स्वाक्षरी साखळी तयार करा
प्रमाणपत्रः
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hps_debug_cert_public_key.pem.
5. डिबग डिझाइन लोड केलेल्या डिव्हाइसवरून स्वाक्षरी न केलेल्या HPS डीबग प्रमाणपत्राची विनंती करा:
quartus_pgm -c 1 -mjtag -o “e;unsigned_hps_debug.cert;AGFB014R24A”
6. quartus_sign टूल किंवा संदर्भ अंमलबजावणी आणि HPS डीबग स्वाक्षरी साखळी वापरून स्वाक्षरी न केलेल्या HPS डीबग प्रमाणपत्रावर स्वाक्षरी करा:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 48

अभिप्राय पाठवा

5. प्रगत वैशिष्ट्ये 683823 | 2023.05.23
7. HPS डीबग ऍक्सेस पोर्ट (DAP) मध्ये प्रवेश सक्षम करण्यासाठी स्वाक्षरी केलेले HPS डीबग प्रमाणपत्र डिव्हाइसवर परत पाठवा:
quartus_pgm -c 1 -mjtag -o “p;signed_hps_debug.cert”
HPS डीबग प्रमाणपत्र केवळ ते व्युत्पन्न झाल्यापासून ते डिव्हाइसच्या पुढील पॉवर सायकलपर्यंत किंवा SDM फर्मवेअरचा भिन्न प्रकार किंवा आवृत्ती लोड होईपर्यंत वैध आहे. तुम्ही साइन केलेले HPS डीबग प्रमाणपत्र व्युत्पन्न, स्वाक्षरी आणि प्रोग्राम करणे आवश्यक आहे आणि डिव्हाइसला पॉवर सायकलिंग करण्यापूर्वी सर्व डीबग ऑपरेशन्स करणे आवश्यक आहे. तुम्ही डिव्हाइसला पॉवर सायकलिंग करून स्वाक्षरी केलेले HPS डीबग प्रमाणपत्र अवैध करू शकता.
५.३. प्लॅटफॉर्म प्रमाणीकरण
तुम्ही संदर्भ इंटिग्रिटी मॅनिफेस्ट (.rim) व्युत्पन्न करू शकता file प्रोग्रामिंग वापरून file जनरेटर साधन:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
तुमच्या डिझाइनमध्ये प्लॅटफॉर्मचे प्रमाणीकरण सुनिश्चित करण्यासाठी या चरणांचे अनुसरण करा: 1. तुमचे डिव्हाइस कॉन्फिगर करण्यासाठी इंटेल क्वार्टस प्राइम प्रोग्रामर वापरा.
डिझाइनसाठी तुम्ही संदर्भ अखंडता मॅनिफेस्ट तयार केले आहे. 2. ला आदेश जारी करून डिव्हाइसची नोंदणी करण्यासाठी प्लॅटफॉर्म प्रमाणीकरण सत्यापनकर्ता वापरा
रीलोड केल्यावर डिव्हाइस आयडी प्रमाणपत्र आणि फर्मवेअर प्रमाणपत्र तयार करण्यासाठी SDM मेलबॉक्सद्वारे SDM. 3. डिझाइनसह तुमचे डिव्हाइस पुन्हा कॉन्फिगर करण्यासाठी इंटेल क्वार्टस प्राइम प्रो प्रोग्रामर वापरा. 4. प्रमाणीकरण डिव्हाइस आयडी, फर्मवेअर आणि उपनाम प्रमाणपत्रे मिळविण्यासाठी SDM ला आदेश जारी करण्यासाठी प्लॅटफॉर्म प्रमाणीकरण सत्यापनकर्ता वापरा. 5. प्रमाणीकरणाचा पुरावा मिळविण्यासाठी SDM मेलबॉक्स आदेश जारी करण्यासाठी प्रमाणीकरण सत्यापनकर्ता वापरा आणि सत्यापनकर्ता परत केलेले पुरावे तपासतो.
तुम्ही SDM मेलबॉक्स कमांड वापरून तुमची स्वतःची पडताळणी सेवा लागू करू शकता किंवा इंटेल प्लॅटफॉर्म ॲटेस्टेशन व्हेरिफायर सेवा वापरू शकता. इंटेल प्लॅटफॉर्म ॲटेस्टेशन व्हेरिफायर सर्व्हिस सॉफ्टवेअर, उपलब्धता आणि कागदपत्रांबद्दल अधिक माहितीसाठी, इंटेल सपोर्टशी संपर्क साधा.
संबंधित माहिती Intel Agilex 7 डिव्हाइस फॅमिली पिन कनेक्शन मार्गदर्शक तत्त्वे
५.४. शारीरिक विरोधी टीamper
आपण भौतिक विरोधी टी सक्षमampखालील चरणांचा वापर करून er वैशिष्ट्ये: 1. आढळलेल्या टी ला इच्छित प्रतिसाद निवडणेampइव्हेंट 2. इच्छित टी कॉन्फिगर करणेamper शोधण्याच्या पद्धती आणि पॅरामीटर्स 3. अँटी-टीसहampअँटी-टी व्यवस्थापित करण्यात मदत करण्यासाठी तुमच्या डिझाइन लॉजिकमध्ये er IPamper
घटना

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 49

5. प्रगत वैशिष्ट्ये 683823 | 2023.05.23
५.४.१. विरोधी टीamper प्रतिसाद
आपण भौतिक विरोधी टी सक्षमamper अँटी-टी मधून प्रतिसाद निवडूनamper प्रतिसाद: असाइनमेंट डिव्हाइस डिव्हाइस आणि पिन पर्याय सुरक्षा अँटी-टी वर ड्रॉपडाउन सूचीamper टॅब. डीफॉल्टनुसार, विरोधी टीamper प्रतिसाद अक्षम आहे. विरोधी टी च्या पाच श्रेणीamper प्रतिसाद उपलब्ध आहेत. जेव्हा तुम्ही तुमचा इच्छित प्रतिसाद निवडता, तेव्हा एक किंवा अधिक शोध पद्धती सक्षम करण्याचे पर्याय सक्षम केले जातात.
आकृती 15. उपलब्ध अँटी-टीamper प्रतिसाद पर्याय

क्वार्टस प्राइम सेटिंग्जमधील संबंधित असाइनमेंट .gsf file खालील आहे:
set_global_assignment -नाव ANTI_TAMPER_RESPONSE "सूचना डिव्हाइस डिव्हाइस लॉक आणि शून्यीकरण पुसून टाका"
जेव्हा तुम्ही अँटी-टी सक्षम करताampया प्रतिसादात, तुम्ही टी आउटपुट करण्यासाठी दोन उपलब्ध SDM समर्पित I/O पिन निवडू शकताampअसाइनमेंट डिव्हाइस डिव्हाइस आणि पिन पर्याय कॉन्फिगरेशन कॉन्फिगरेशन पिन पर्याय विंडो वापरून इव्हेंट शोध आणि प्रतिसाद स्थिती.

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 50

अभिप्राय पाठवा

5. प्रगत वैशिष्ट्ये 683823 | 2023.05.23
आकृती 16. टी साठी उपलब्ध SDM समर्पित I/O पिनampइव्हेंट डिटेक्शन

तुम्ही सेटिंग्जमध्ये खालील पिन असाइनमेंट देखील करू शकता file: set_global_assignment -नाव USE_TAMPER_DETECT SDM_IO15 set_global_assignment -नाव ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

५.४.१. विरोधी टीamper शोध

तुम्ही स्वतंत्रपणे वारंवारता, तापमान आणि व्हॉल्यूम सक्षम करू शकताtagएसडीएमची ओळख वैशिष्ट्ये. FPGA शोधणे अँटी-टी समाविष्ट करण्यावर अवलंबून असतेampतुमच्या डिझाइनमध्ये er Lite Intel FPGA IP.

टीप:

SDM वारंवारता आणि व्हॉल्यूमtagइampएर डिटेक्शन पद्धती अंतर्गत संदर्भ आणि मापन हार्डवेअरवर अवलंबून असतात जे सर्व उपकरणांमध्ये बदलू शकतात. इंटेल शिफारस करतो की तुम्ही टी चे वर्तन वैशिष्ट्यीकृत कराampएर डिटेक्शन सेटिंग्ज.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 51

5. प्रगत वैशिष्ट्ये 683823 | 2023.05.23
वारंवारता टीamper डिटेक्शन कॉन्फिगरेशन क्लॉक सोर्सवर चालते. वारंवारता सक्षम करण्यासाठी tampएर डिटेक्शन, तुम्ही Assignments Device Device आणि Pin Options General टॅबवरील कॉन्फिगरेशन क्लॉक सोर्स ड्रॉपडाउनमध्ये अंतर्गत ऑसिलेटर व्यतिरिक्त पर्याय निर्दिष्ट करणे आवश्यक आहे. फ्रिक्वेन्सी सक्षम करण्यापूर्वी अंतर्गत ऑसीलेटर चेकबॉक्समधून रन कॉन्फिगरेशन CPU सक्षम केले आहे याची खात्री करणे आवश्यक आहे.ampएर डिटेक्शन. आकृती 17. एसडीएमला इंटरनल ऑसिलेटरवर सेट करणे
वारंवारता सक्षम करण्यासाठी tampएर डिटेक्शन, सक्षम वारंवारता t निवडाamper डिटेक्शन चेकबॉक्स आणि इच्छित वारंवारता निवडाampड्रॉपडाउन मेनूमधून एर डिटेक्शन रेंज. आकृती 18. वारंवारता T सक्षम करणेamper शोध

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 52

अभिप्राय पाठवा

5. प्रगत वैशिष्ट्ये 683823 | 2023.05.23
वैकल्पिकरित्या, तुम्ही वारंवारता T सक्षम करू शकताampक्वार्टस प्राइम सेटिंग्ज .qsf मध्ये खालील बदल करून er शोध file:
set_global_assignment -name AUTO_RESTART_CONFIGURATION OFF set_global_assignment -नाव DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ सेट_ग्लोबल_असाइनमेंट -नाव RUN_CONFIG_CPU_FROM_INT_OSC ऑन सेट_QUET_global_assignmentAMPER_DETECTION on set_global_assignment -नाव FREQUENCY_TAMPER_DETECTION_RANGE 35
तापमान सक्षम करण्यासाठी टीampएर डिटेक्शन, सक्षम तापमान t निवडाamper डिटेक्शन चेकबॉक्स निवडा आणि संबंधित फील्डमध्ये इच्छित तापमान वरच्या आणि खालच्या सीमा निवडा. डिझाइनमध्ये निवडलेल्या डिव्हाइससाठी संबंधित तापमान श्रेणीसह वरच्या आणि खालच्या सीमा डीफॉल्टनुसार पॉप्युलेट केल्या जातात.
व्हॉल्यूम सक्षम करण्यासाठीtagइampएर डिटेक्शन, तुम्ही VCCL सक्षम व्हॉल्यूमपैकी एक किंवा दोन्ही निवडाtagइampएर डिटेक्शन किंवा VCCL_SDM व्हॉल्यूम सक्षम कराtagइamper डिटेक्शन चेकबॉक्सेस आणि इच्छित व्हॉल्यूम निवडाtagइamper शोध ट्रिगर टक्केtage संबंधित क्षेत्रात.
आकृती 19. सक्षम करणे व्हॉल्यूमtagई टीamper शोध

वैकल्पिकरित्या, तुम्ही Vol. सक्षम करू शकताtagई टीamp.qsf मध्ये खालील असाइनमेंट निर्दिष्ट करून er शोध file:
set_global_assignment -नाव ENABLE_TEMPERATURE_TAMPER_DETECTION on set_global_assignment -नाव TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -name ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION on set_global_assignment -name ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION चालू
५.४.१. विरोधी टीampएर लाइट इंटेल एफपीजीए आयपी
अँटी टीamper Lite Intel FPGA IP, इंटेल क्वार्टस प्राइम प्रो एडिशन सॉफ्टवेअरमधील आयपी कॅटलॉगमध्ये उपलब्ध आहे, तुमची रचना आणि एसडीएम दरम्यान द्विदिश संप्रेषण सुलभ करते.ampइव्हेंट्स.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 53

आकृती 20. अँटी-टीampएर लाइट इंटेल एफपीजीए आयपी

5. प्रगत वैशिष्ट्ये 683823 | 2023.05.23

आयपी खालील सिग्नल प्रदान करतो जे तुम्ही तुमच्या डिझाइनशी आवश्यकतेनुसार कनेक्ट करता:

तक्ता 5.

अँटी-टीamper Lite Intel FPGA IP I/O सिग्नल

सिग्नलचे नाव

दिशा

वर्णन

gpo_sdm_at_event gpi_fpga_at_event

आउटपुट इनपुट

FPGA फॅब्रिक लॉजिकला SDM सिग्नल जे SDM ला आढळले आहेamper घटना. FPGA लॉजिकमध्ये कोणतीही इच्छित साफसफाई करण्यासाठी आणि gpi_fpga_at_response_done आणि gpi_fpga_at_zeroization_done द्वारे SDM ला प्रतिसाद देण्यासाठी अंदाजे 5ms आहे. एसडीएम पुढे टीampजेव्हा gpi_fpga_at_response_done असे प्रतिपादन केले जाते किंवा वाटप केलेल्या वेळेत प्रतिसाद न मिळाल्यानंतर er प्रतिसाद क्रिया.
SDM ला FPGA व्यत्यय जो तुमची रचना विरोधी टीampएर डिटेक्शन सर्किटरी येथे आढळले आहेampइव्हेंट आणि एसडीएम टीamper प्रतिसाद ट्रिगर केला पाहिजे.

gpi_fpga_at_response_done

इनपुट

FPGA लॉजिकने इच्छित साफसफाई केली आहे असे SDM ला FPGA व्यत्यय.

gpi_fpga_at_zeroization_d एक

इनपुट

FPGA ला SDM ला सिग्नल देतो की FPGA लॉजिकने डिझाइन डेटाचे कोणतेही इच्छित शून्यीकरण पूर्ण केले आहे. हा सिग्नल एसampजेव्हा gpi_fpga_at_response_done असा दावा केला जातो तेव्हा led.

२.१. रिलीझ माहिती

आयपी व्हर्जनिंग स्कीम (XYZ) नंबर एका सॉफ्टवेअर व्हर्जनमधून दुसऱ्यामध्ये बदलतो. यामध्ये बदल:
· X हे IP चे मोठे पुनरावृत्ती सूचित करते. तुम्ही तुमचे इंटेल क्वार्टस प्राइम सॉफ्टवेअर अपडेट केल्यास, तुम्ही आयपी पुन्हा निर्माण करणे आवश्यक आहे.
· Y सूचित करते की IP मध्ये नवीन वैशिष्ट्ये समाविष्ट आहेत. या नवीन वैशिष्ट्यांचा समावेश करण्यासाठी तुमचा आयपी पुन्हा निर्माण करा.
· Z सूचित करतो की IP मध्ये किरकोळ बदल समाविष्ट आहेत. हे बदल समाविष्ट करण्यासाठी तुमचा आयपी पुन्हा निर्माण करा.

तक्ता 6.

अँटी-टीamper Lite Intel FPGA IP प्रकाशन माहिती

आयपी आवृत्ती

आयटम

वर्णन १

इंटेल क्वार्टस प्राइम आवृत्ती

21.2

प्रकाशन तारीख

2021.06.21

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 54

अभिप्राय पाठवा

5. प्रगत वैशिष्ट्ये 683823 | 2023.05.23
५.५. रिमोट सिस्टम अपडेटसह डिझाइन सुरक्षा वैशिष्ट्ये वापरणे
रिमोट सिस्टम अपडेट (RSU) एक इंटेल एजिलेक्स 7 FPGAs वैशिष्ट्य आहे जे कॉन्फिगरेशन अद्यतनित करण्यात मदत करते fileमजबूत मार्गाने आहे. RSU डिझाइन सुरक्षा वैशिष्ट्यांसह सुसंगत आहे जसे की प्रमाणीकरण, फर्मवेअर सह-स्वाक्षरी करणे आणि बिटस्ट्रीम एनक्रिप्शन कारण RSU कॉन्फिगरेशन बिटस्ट्रीमच्या डिझाइन सामग्रीवर अवलंबून नाही.
.sof सह RSU प्रतिमा तयार करणे Files
तुम्ही तुमच्या लोकलवर खाजगी की साठवत असाल तर fileप्रणाली, तुम्ही .sof सह सरलीकृत प्रवाह वापरून डिझाइन सुरक्षा वैशिष्ट्यांसह RSU प्रतिमा तयार करू शकता. files इनपुट म्हणून. .sof सह RSU प्रतिमा निर्माण करण्यासाठी file, तुम्ही रिमोट सिस्टम अपडेट इमेज जनरेटिंग विभागातील सूचनांचे अनुसरण करू शकता Files प्रोग्रामिंग वापरणे File Intel Agilex 7 कॉन्फिगरेशन वापरकर्ता मार्गदर्शकाचा जनरेटर. प्रत्येक .sof साठी file इनपुटवर निर्दिष्ट केले आहे Files टॅबवर, गुणधर्म… बटणावर क्लिक करा आणि सही आणि एनक्रिप्शन साधनांसाठी योग्य सेटिंग्ज आणि की निर्दिष्ट करा. प्रोग्रामिंग file जनरेटर टूल RSU प्रोग्रामिंग तयार करताना फॅक्टरी आणि ऍप्लिकेशन प्रतिमा स्वयंचलितपणे साइन आणि कूटबद्ध करते files.
वैकल्पिकरित्या, जर तुम्ही HSM मध्ये खाजगी की साठवत असाल, तर तुम्ही quartus_sign टूल वापरणे आवश्यक आहे आणि म्हणून .rbf वापरणे आवश्यक आहे. files हा उर्वरित विभाग .rbf सह RSU प्रतिमा निर्माण करण्यासाठी प्रवाहातील बदलांचा तपशील देतो files इनपुट म्हणून. तुम्ही .rbf फॉरमॅट एन्क्रिप्ट आणि साइन इन करणे आवश्यक आहे files त्यांना इनपुट म्हणून निवडण्यापूर्वी fileRSU प्रतिमांसाठी s; तथापि, RSU बूट माहिती file एनक्रिप्ट केलेले नसावे आणि त्याऐवजी फक्त स्वाक्षरी केली पाहिजे. प्रोग्रामिंग File जनरेटर .rbf फॉरमॅटचे गुणधर्म बदलण्यास समर्थन देत नाही files.
खालील माजीamples जनरेटिंग रिमोट सिस्टम अपडेट इमेज विभागातील कमांड्समध्ये आवश्यक फेरबदल दाखवते Files प्रोग्रामिंग वापरणे File Intel Agilex 7 कॉन्फिगरेशन वापरकर्ता मार्गदर्शकाचा जनरेटर.
.rbf वापरून प्रारंभिक RSU प्रतिमा निर्माण करणे Files: आदेश बदल
.rbf वापरून प्रारंभिक RSU प्रतिमा निर्माण करण्यापासून Files विभागात, या दस्तऐवजाच्या पूर्वीच्या विभागातील सूचना वापरून इच्छित डिझाइन सुरक्षा वैशिष्ट्ये सक्षम करण्यासाठी चरण 1 मधील आदेश सुधारित करा.
उदाample, आपण स्वाक्षरी केलेले फर्मवेअर निर्दिष्ट कराल file जर तुम्ही फर्मवेअर कॉसाइनिंग वापरत असाल, तर प्रत्येक .rbf एनक्रिप्ट करण्यासाठी क्वार्टस एन्क्रिप्शन टूल वापरा file, आणि शेवटी प्रत्येक साइन करण्यासाठी quartus_sign टूल वापरा file.
पायरी 2 मध्ये, जर तुम्ही फर्मवेअर सह-स्वाक्षरी सक्षम केली असेल, तर तुम्ही फॅक्टरी इमेजमधून बूट .rbf तयार करण्यासाठी अतिरिक्त पर्याय वापरणे आवश्यक आहे. file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
तुम्ही बूट माहिती .rbf तयार केल्यानंतर file, .rbf वर स्वाक्षरी करण्यासाठी quartus_sign टूल वापरा file. तुम्ही बूट माहिती .rbf एन्क्रिप्ट करू नये file.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 55

5. प्रगत वैशिष्ट्ये 683823 | 2023.05.23
ॲप्लिकेशन इमेज तयार करणे: कमांड मॉडिफिकेशन
डिझाईन सुरक्षा वैशिष्ट्यांसह ॲप्लिकेशन इमेज व्युत्पन्न करण्यासाठी, तुम्ही मूळ ॲप्लिकेशन ऐवजी, आवश्यक असल्यास सह-स्वाक्षरी केलेल्या फर्मवेअरसह सक्षम केलेल्या डिझाइन सुरक्षा वैशिष्ट्यांसह .rbf वापरण्यासाठी ॲप्लिकेशन इमेज व्युत्पन्न करण्यासाठी कमांडमध्ये बदल करा.sof file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf safed_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
फॅक्टरी अपडेट इमेज व्युत्पन्न करणे: कमांड मॉडिफिकेशन
तुम्ही बूट माहिती .rbf तयार केल्यानंतर file, तुम्ही .rbf वर स्वाक्षरी करण्यासाठी quartus_sign टूल वापरता file. तुम्ही बूट माहिती .rbf एन्क्रिप्ट करू नये file.
RSU फॅक्टरी अपडेट इमेज व्युत्पन्न करण्यासाठी, तुम्ही .rbf वापरण्यासाठी फॅक्टरी अपडेट इमेज व्युत्पन्न करण्यापासून कमांडमध्ये बदल करा. file डिझाइन सुरक्षा वैशिष्ट्यांसह सक्षम केले आणि सह-स्वाक्षरी केलेले फर्मवेअर वापर सूचित करण्यासाठी पर्याय जोडा:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf safed_rsu_factory_update.rpd -o मोड=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
संबंधित माहिती Intel Agilex 7 कॉन्फिगरेशन वापरकर्ता मार्गदर्शक
५.६. SDM क्रिप्टोग्राफिक सेवा
Intel Agilex 7 डिव्हाइसेसवरील SDM क्रिप्टोग्राफिक सेवा प्रदान करते ज्याची FPGA फॅब्रिक लॉजिक किंवा HPS संबंधित SDM मेलबॉक्स इंटरफेसद्वारे विनंती करू शकते. सर्व SDM क्रिप्टोग्राफिक सेवांसाठी मेलबॉक्स आदेश आणि डेटा स्वरूपांबद्दल अधिक माहितीसाठी, Intel FPGAs आणि स्ट्रक्चर्ड ASICs वापरकर्ता मार्गदर्शकासाठी सुरक्षा पद्धतीमधील परिशिष्ट B पहा.
SDM क्रिप्टोग्राफिक सेवांसाठी FPGA फॅब्रिक लॉजिकमध्ये SDM मेलबॉक्स इंटरफेसमध्ये प्रवेश करण्यासाठी, तुम्ही तुमच्या डिझाइनमध्ये मेलबॉक्स क्लायंट इंटेल FPGA IP इन्स्टंट करणे आवश्यक आहे.
HPS वरून SDM मेलबॉक्स इंटरफेसमध्ये प्रवेश करण्यासाठी संदर्भ कोड इंटेलने प्रदान केलेल्या ATF आणि Linux कोडमध्ये समाविष्ट केला आहे.
संबंधित माहिती मेलबॉक्स क्लायंट इंटेल FPGA IP वापरकर्ता मार्गदर्शक
५.६.१. विक्रेता अधिकृत बूट
इंटेल HPS सॉफ्टवेअरसाठी संदर्भ अंमलबजावणी प्रदान करते जे पहिल्या पासून HPS बूट सॉफ्टवेअरचे प्रमाणीकरण करण्यासाठी विक्रेता अधिकृत बूट वैशिष्ट्याचा वापर करते.tagलिनक्स कर्नल द्वारे e बूट लोडर.
संबंधित माहिती Intel Agilex 7 SoC सुरक्षित बूट डेमो डिझाइन

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 56

अभिप्राय पाठवा

5. प्रगत वैशिष्ट्ये 683823 | 2023.05.23
५.६.२. सुरक्षित डेटा ऑब्जेक्ट सेवा
तुम्ही SDOS ऑब्जेक्ट एनक्रिप्शन आणि डिक्रिप्शन करण्यासाठी SDM मेलबॉक्सद्वारे कमांड पाठवता. SDOS रूट कीची तरतूद केल्यानंतर तुम्ही SDOS वैशिष्ट्य वापरू शकता.
पृष्ठ 30 वर संबंधित माहिती सुरक्षित डेटा ऑब्जेक्ट सेवा रूट की तरतूद
५.६.३. SDM क्रिप्टोग्राफिक आदिम सेवा
तुम्ही SDM क्रिप्टोग्राफिक प्रिमिटिव्ह सर्व्हिस ऑपरेशन्स सुरू करण्यासाठी SDM मेलबॉक्सद्वारे कमांड पाठवता. काही क्रिप्टोग्राफिक आदिम सेवांसाठी मेलबॉक्स इंटरफेस स्वीकारू शकतील त्यापेक्षा जास्त डेटा SDM मध्ये आणि वरून हस्तांतरित करणे आवश्यक आहे. या प्रकरणांमध्ये, मेमरीमधील डेटाला पॉइंटर प्रदान करण्यासाठी फॉरमॅटची कमांड बदलते. याव्यतिरिक्त, तुम्ही FPGA फॅब्रिक लॉजिकमधून SDM क्रिप्टोग्राफिक प्रिमिटिव्ह सेवा वापरण्यासाठी मेलबॉक्स क्लायंट इंटेल FPGA IP चे इन्स्टंटेशन बदलणे आवश्यक आहे. तुम्ही याव्यतिरिक्त क्रिप्टो सेवा सक्षम करा पॅरामीटर 1 वर सेट करणे आवश्यक आहे आणि तुमच्या डिझाइनमधील मेमरीशी नवीन उघडलेला AXI इनिशिएटर इंटरफेस कनेक्ट करणे आवश्यक आहे.
आकृती 21. मेलबॉक्स क्लायंट इंटेल FPGA IP मध्ये SDM क्रिप्टोग्राफिक सेवा सक्षम करणे

५.७. बिटस्ट्रीम सुरक्षा सेटिंग्ज (FM/S5.7)
FPGA Bitstream सुरक्षा पर्याय हे धोरणांचा एक संग्रह आहे जे निर्दिष्ट वैशिष्ट्य किंवा कार्यपद्धती निर्धारित कालावधीत प्रतिबंधित करते.
बिटस्ट्रीम सुरक्षा पर्यायांमध्ये तुम्ही इंटेल क्वार्टस प्राइम प्रो एडिशन सॉफ्टवेअरमध्ये सेट केलेले ध्वज असतात. हे ध्वज स्वयंचलितपणे कॉन्फिगरेशन बिटस्ट्रीममध्ये कॉपी केले जातात.
तुम्ही संबंधित सुरक्षा सेटिंग eFuse वापरून डिव्हाइसवर सुरक्षितता पर्याय कायमस्वरूपी लागू करू शकता.
कॉन्फिगरेशन बिटस्ट्रीम किंवा डिव्हाइस eFuses मध्ये कोणतीही सुरक्षा सेटिंग्ज वापरण्यासाठी, तुम्ही प्रमाणीकरण वैशिष्ट्य सक्षम करणे आवश्यक आहे.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 57

5. प्रगत वैशिष्ट्ये 683823 | 2023.05.23
५.७.१. सुरक्षा पर्याय निवडणे आणि सक्षम करणे
सुरक्षा पर्याय निवडण्यासाठी आणि सक्षम करण्यासाठी, खालीलप्रमाणे करा: असाइनमेंट मेनूमधून, डिव्हाइस डिव्हाइस आणि पिन पर्याय सुरक्षा अधिक पर्याय निवडा… आकृती 22. सुरक्षा पर्याय निवडणे आणि सक्षम करणे

आणि नंतर खालील एक्समध्ये दर्शविल्याप्रमाणे तुम्ही सक्षम करू इच्छित असलेल्या सुरक्षा पर्यायांसाठी ड्रॉप-डाउन सूचीमधून मूल्ये निवडा.ampले:
आकृती 23. सुरक्षा पर्यायांसाठी मूल्ये निवडणे

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 58

अभिप्राय पाठवा

5. प्रगत वैशिष्ट्ये 683823 | 2023.05.23
क्वार्टस प्राइम सेटिंग्ज .qsf मधील संबंधित बदल खालीलप्रमाणे आहेत file:
set_global_assignment -नाव SECU_OPTION_DISABLE_JTAG "चालू करा" सेट_ग्लोबल_असाइनमेंट -नाव SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE "ON STICKY" set_global_assignment -name SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ऑन set_global_assignment -नाव SECU_OPTION_global_assignment_Secu_OPTION_BAL_SEUBLE_नाव सेट करा OPTION_LOCK_SECURITY_EFUSES on set_global_assignment -name SECU_OPTION_DISABLE_HPS_DEBUG on set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ऑन सेट_ग्लोबल_असाइनमेंट -नाव SECU_OPTION_IN_EFUSES सेट वैश्विक_असाइनमेंट -नाव SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ऑन set_global_assignment -नाव SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES ऑन set_global_assignment -name SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM ऑन सेट_ग्लोबल_असाइनमेंट -नाव SECU_OPTION_DISABLE_PUF_WRAPPED_ENCYKEY

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 59

683823 | 2023.05.23 फीडबॅक पाठवा

समस्यानिवारण

हा धडा डिव्हाइस सुरक्षा वैशिष्ट्ये वापरण्याचा प्रयत्न करत असताना तुम्हाला येऊ शकणाऱ्या सामान्य त्रुटी आणि चेतावणी संदेशांचे आणि त्यांचे निराकरण करण्यासाठी उपायांचे वर्णन केले आहे.
६.१. विंडोज एन्व्हायर्नमेंट एररमध्ये क्वार्टस कमांड्स वापरणे
त्रुटी quartus_pgm: आदेश सापडला नाही वर्णन WSL वापरून Windows वातावरणात NIOS II शेलमध्ये Quartus कमांड वापरण्याचा प्रयत्न करताना ही त्रुटी दिसून येते. रिझोल्यूशन ही कमांड लिनक्स वातावरणात कार्य करते; विंडोज होस्टसाठी, खालील कमांड वापरा: quartus_pgm.exe -h त्याचप्रमाणे, इतर कमांडमध्ये quartus_pfg, quartus_sign, quartus_encrypt सारख्या इतर क्वार्टस प्राइम कमांडवर समान वाक्यरचना लागू करा.

ISO 9001:2015 नोंदणीकृत

6. समस्यानिवारण 683823 | 2023.05.23

६.२. खाजगी की चेतावणी व्युत्पन्न करत आहे

चेतावणी:

निर्दिष्ट पासवर्ड असुरक्षित मानला जातो. इंटेलने किमान १३ वर्णांचा पासवर्ड वापरण्याची शिफारस केली आहे. तुम्हाला OpenSSL एक्झिक्युटेबल वापरून पासवर्ड बदलण्याची शिफारस केली जाते.

openssl ec -in -बाहेर -aes256

वर्णन
ही चेतावणी पासवर्डच्या सामर्थ्याशी संबंधित आहे आणि खालील आदेश जारी करून खाजगी की व्युत्पन्न करण्याचा प्रयत्न करताना प्रदर्शित होतो:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

रिझोल्यूशन एक लांब आणि अशा प्रकारे मजबूत पासवर्ड निर्दिष्ट करण्यासाठी ओपनएसएसएल एक्झिक्युटेबल वापरा.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 61

6. समस्यानिवारण 683823 | 2023.05.23
६.३. क्वार्टस प्रोजेक्ट एररमध्ये साइनिंग की जोडणे
त्रुटी…File रूट की माहिती समाविष्टीत आहे...
वर्णन
साइनिंग की जोडल्यानंतर .qky file क्वार्टस प्रकल्पासाठी, तुम्हाला .sof पुन्हा एकत्र करणे आवश्यक आहे file. जेव्हा तुम्ही हे पुन्हा निर्माण केलेले .sof जोडता file क्वार्टस प्रोग्रामर वापरून निवडलेल्या डिव्हाइसवर, खालील त्रुटी संदेश सूचित करतो की file रूट की माहिती समाविष्टीत आहे:
जोडण्यात अयशस्वीfile-path-name> ते प्रोग्रामर. द file रूट की माहिती (.qky) समाविष्टीत आहे. तथापि, प्रोग्रामर बिटस्ट्रीम साइनिंग वैशिष्ट्यास समर्थन देत नाही. तुम्ही प्रोग्रामिंग वापरू शकता File रूपांतरित करण्यासाठी जनरेटर file स्वाक्षरी केलेल्या रॉ बायनरीकडे file (.rbf) कॉन्फिगरेशनसाठी.
ठराव
क्वार्टस प्रोग्रामिंग वापरा file रूपांतरित करण्यासाठी जनरेटर file स्वाक्षरी केलेल्या रॉ बायनरीमध्ये File कॉन्फिगरेशनसाठी .rbf.
पृष्ठ 13 वरील quartus_sign कमांडचा वापर करून संबंधित माहिती साइनिंग कॉन्फिगरेशन बिटस्ट्रीम

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 62

अभिप्राय पाठवा

6. समस्यानिवारण 683823 | 2023.05.23
६.४. क्वार्टस प्राइम प्रोग्रामिंग व्युत्पन्न करत आहे File अयशस्वी होते
त्रुटी
त्रुटी (20353): QKY कडील सार्वजनिक कीचा X PEM कडील खाजगी कीशी जुळत नाही file.
त्रुटी (20352): python स्क्रिप्ट agilex_sign.py द्वारे बिटस्ट्रीम साइन करण्यात अयशस्वी.
त्रुटी: क्वार्टस प्राइम प्रोग्रामिंग File जनरेटर अयशस्वी झाला.
वर्णन तुम्ही चुकीची खाजगी की .pem वापरून कॉन्फिगरेशन बिटस्ट्रीमवर स्वाक्षरी करण्याचा प्रयत्न केल्यास file किंवा .pem file जे प्रोजेक्टमध्ये जोडलेल्या .qky शी जुळत नाही, वरील सामान्य त्रुटी प्रदर्शित करतात. ठराव बिटस्ट्रीमवर सही करण्यासाठी तुम्ही योग्य खाजगी की .pem वापरत असल्याची खात्री करा.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 63

6. समस्यानिवारण 683823 | 2023.05.23
६.५. अज्ञात युक्तिवाद त्रुटी
त्रुटी
त्रुटी (२३०२८): अज्ञात युक्तिवाद “ûc”. कायदेशीर युक्तिवादांसाठी -मदत पहा.
त्रुटी (213008): प्रोग्रामिंग पर्याय स्ट्रिंग “ûp” बेकायदेशीर आहे. कायदेशीर प्रोग्रामिंग पर्याय फॉरमॅटसाठी -मदत पहा.
वर्णन तुम्ही .pdf वरून कमांड-लाइन पर्याय कॉपी आणि पेस्ट केल्यास file Windows NIOS II शेलमध्ये, वर दर्शविल्याप्रमाणे तुम्हाला अज्ञात युक्तिवाद त्रुटी येऊ शकतात. रिझोल्यूशन अशा परिस्थितीत, क्लिपबोर्डवरून पेस्ट करण्याऐवजी तुम्ही व्यक्तिचलितपणे आदेश प्रविष्ट करू शकता.

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 64

अभिप्राय पाठवा

6. समस्यानिवारण 683823 | 2023.05.23
६.६. बिटस्ट्रीम एन्क्रिप्शन पर्याय अक्षम केलेली त्रुटी
त्रुटी
साठी एन्क्रिप्शन अंतिम करू शकत नाही file डिझाइन .sof कारण ते बिटस्ट्रीम एनक्रिप्शन पर्याय अक्षम करून संकलित केले गेले.
वर्णन तुम्ही बिटस्ट्रीम एन्क्रिप्शन पर्याय अक्षम करून प्रकल्प संकलित केल्यानंतर GUI किंवा कमांड लाइनद्वारे बिटस्ट्रीम एनक्रिप्ट करण्याचा प्रयत्न केल्यास, वर दर्शविल्याप्रमाणे क्वार्टस कमांड नाकारतो.
रिझोल्यूशन तुम्ही GUI किंवा कमांड लाइनद्वारे सक्षम केलेल्या बिटस्ट्रीम एनक्रिप्शन पर्यायासह प्रकल्प संकलित केल्याची खात्री करा. GUI मध्ये हा पर्याय सक्षम करण्यासाठी, तुम्ही या पर्यायासाठी चेकबॉक्स चेक करणे आवश्यक आहे.

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 65

6. समस्यानिवारण 683823 | 2023.05.23
६.७. किल्लीचा योग्य मार्ग निर्दिष्ट करणे
त्रुटी
एरर (19516): डिटेक्टेड प्रोग्रामिंग File जनरेटर सेटिंग्ज त्रुटी: 'की_ शोधू शकत नाहीfile'. याची खात्री करा file अपेक्षित ठिकाणी स्थित आहे किंवा setting.sec अपडेट करा
एरर (19516): डिटेक्टेड प्रोग्रामिंग File जनरेटर सेटिंग्ज त्रुटी: 'की_ शोधू शकत नाहीfile'. याची खात्री करा file अपेक्षित ठिकाणी स्थित आहे किंवा सेटिंग अद्यतनित करा.
वर्णन
वर संग्रहित केलेल्या की वापरत असल्यास file सिस्टम, बिटस्ट्रीम एनक्रिप्शन आणि स्वाक्षरीसाठी वापरल्या जाणाऱ्या कीजसाठी योग्य मार्ग निर्दिष्ट करतात याची खात्री करणे आवश्यक आहे. जर प्रोग्रामिंग File जनरेटर योग्य मार्ग शोधू शकत नाही, वरील त्रुटी संदेश प्रदर्शित करतात.
ठराव
Quartus Prime Settings .qsf पहा file की साठी योग्य मार्ग शोधण्यासाठी. तुम्ही निरपेक्ष मार्गांऐवजी सापेक्ष मार्ग वापरत असल्याची खात्री करा.

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 66

अभिप्राय पाठवा

6. समस्यानिवारण 683823 | 2023.05.23
६.८. असमर्थित आउटपुट वापरणे File प्रकार
त्रुटी
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o signing=ON -o pem_file=sign_private.pem
त्रुटी (19511): असमर्थित आउटपुट file प्रकार (ebf). समर्थित प्रदर्शित करण्यासाठी “-l” किंवा “–list” पर्याय वापरा file माहिती टाइप करा.
क्वार्टस प्रोग्रामिंग वापरताना वर्णन File एनक्रिप्टेड आणि साइन इन केलेले कॉन्फिगरेशन बिटस्ट्रीम व्युत्पन्न करण्यासाठी जनरेटर, असमर्थित आउटपुट असल्यास तुम्हाला वरील त्रुटी दिसू शकते file प्रकार निर्दिष्ट केला आहे. रिझोल्यूशन समर्थित यादी पाहण्यासाठी -l किंवा -list पर्याय वापरा file प्रकार

अभिप्राय पाठवा

Intel Agilex® 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक 67

683823 | 2023.05.23 फीडबॅक पाठवा
7. Intel Agilex 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक संग्रहण
या वापरकर्ता मार्गदर्शकाच्या नवीनतम आणि मागील आवृत्त्यांसाठी, Intel Agilex 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शक पहा. IP किंवा सॉफ्टवेअर आवृत्ती सूचीबद्ध नसल्यास, मागील IP किंवा सॉफ्टवेअर आवृत्तीसाठी वापरकर्ता मार्गदर्शक लागू होतो.

ISO 9001:2015 नोंदणीकृत

683823 | 2023.05.23 फीडबॅक पाठवा

8. Intel Agilex 7 डिव्हाइस सुरक्षा वापरकर्ता मार्गदर्शकासाठी पुनरावृत्ती इतिहास

दस्तऐवज आवृत्ती 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

कागदपत्रे / संसाधने

Intel Agilex 7 डिव्हाइस सुरक्षा [pdf] वापरकर्ता मॅन्युअल
Agilex 7 डिव्हाइस सुरक्षा, Agilex 7, डिव्हाइस सुरक्षा, सुरक्षा

संदर्भ

वापरकर्ता मॅन्युअल

Intel Agilex 7 डिव्हाइस सुरक्षा

उत्पादन माहिती

उत्पादन वापर सूचना

वारंवार विचारले जाणारे प्रश्न

डिव्हाइस सुरक्षा संपलीview

प्रमाणीकरण आणि अधिकृतता

AES बिटस्ट्रीम एन्क्रिप्शन

डिव्हाइस तरतूद

प्रगत वैशिष्ट्ये

समस्यानिवारण

कागदपत्रे / संसाधने

संदर्भ

एक टिप्पणी द्या

उत्तर रद्द करा