Intel® Stratix® 10器件安全用户指南

下载 PDF
ID 683642
日期 12/15/2021
Public
文档目录
文档目录 x
1. Intel Stratix 10器件安全概述 2. 认证和授权 3. AES比特流加密 4. 器件供应(Device Provisioning) 5. 高级特性 6. Intel® Stratix® 10器件安全用户指南存档 7. Intel® Stratix® 10器件安全用户指南文档修订历史
1. Intel Stratix 10器件安全概述 x
1.1. 致力于产品安全
2. 认证和授权 x
2.1. 创建一个签名链 2.2. 签署一个配置比特流
2.1. 创建一个签名链 x
2.1.1. 在本地文件系统上创建认证秘钥对 2.1.2. 在SoftHS中创建认证秘钥对 2.1.3. 创建签名链根条目 2.1.4. 创建一个签名链公钥条目
2.2. 签署一个配置比特流 x
2.2.1. Quartus秘钥文件分配 2.2.2. 共同签署SDM固件 2.2.3. 使用quartus_sign命令签署配置比特流 2.2.4. 验证配置比特流签名链
3. AES比特流加密 x
3.1. 创建AES根秘钥 3.2. Quartus 加密设置 3.3. 加密一个配置比特流
3.3. 加密一个配置比特流 x
3.3.1. 使用编程文件生成器图形界面的配置比特流加密 3.3.2. 使用编程文件生成器命令行界面的配置比特流加密 3.3.3. 使用命令行界面的部分加密的配置比特流生成 3.3.4. 部分重配置比特流加密
4. 器件供应(Device Provisioning) x
4.1. 使用SDM供应固件 4.2. 认证根秘钥供应(Authentication Root Key Provisioning) 4.3. 在自有器件上使用QSPI出厂默认帮助程序映像 4.4. 编程秘钥取消ID Fuse 4.5. 安全设置熔断器供应(Security Setting Fuse Provisioning) 4.6. AES根秘钥供应 4.7. 将所有者根密钥,AES根密钥证书和Fuse文件转换为Jam STAPL文件格式
4.6. AES根秘钥供应 x
4.6.1. AES根秘钥紧凑型证书 4.6.2. Intrinsic ID® PUF AES根秘钥供应 4.6.3. 黑秘钥供应(Black Key Provisioning)
4.6.2. Intrinsic ID® PUF AES根秘钥供应 x
4.6.2.1. Intrinsic ID PUF注册 4.6.2.2. 封装AES根秘钥 4.6.2.3. 将Helper数据和封装的秘钥编程到QSPI闪存中 4.6.2.4. 查询Intrinsic ID PUF激活状态 4.6.2.5. 闪存中PUF的位置
4.6.3. 黑秘钥供应(Black Key Provisioning) x
4.6.3.1. Black Key Provisioning选项
5. 高级特性 x
5.1. 安全调试授权 5.2. HPS调试证书 5.3. 平台证明(Platform Attestation) 5.4. 物理防篡改 5.5. 通过远程系统更新使用设计安全特性
5.4. 物理防篡改 x
5.4.1. 防篡改响应 5.4.2. 防篡改检测 5.4.3. Anti-Tamper Lite Intel® FPGA IP
5.4.3. Anti-Tamper Lite Intel® FPGA IP x
5.4.3.1. 发布信息
1. Intel Stratix 10器件安全概述
2. 认证和授权
3. AES比特流加密
4. 器件供应(Device Provisioning)
5. 高级特性
6. Intel® Stratix® 10器件安全用户指南存档
7. Intel® Stratix® 10器件安全用户指南文档修订历史

4.6.1. AES根秘钥紧凑型证书

使用quartus_pfg命令行工具将AES根秘钥.qek文件转换成紧凑型证书.ccert格式。在创建紧凑型证书的同时指定秘钥存储位置。您可以使用quartus_pfg工具创建一个未签署的证书,稍后进行签署。您必须使用一个AES根秘钥证书签署权限(权限比特6)使能的签名链才能成功签署AES根密钥紧凑型证书。

  1. 使用下面其中一个命令示例来创建一个额外的秘钥对,用于签署AES秘钥紧凑型证书:
    quartus_sign --family=stratix10 --operation=make_private_pem \
--curve=secp384r1 aesccert1_private.pem

    quartus_sign --family=stratix10 --operation=make_public_pem \
aesccert1_private.pem aesccert1_public.pem
    pkcs11-tool --module=/usr/local/lib/softhsm/libsofthsm2.so \
--token-label s10-token --login --pin s10-token-pin \
--keypairgen –mechanism ECDSA-KEY-PAIR-GEN \
--key-type EC:secp384r1 --usage-sign --label aesccert1 --id 2
  2. 使用下面其中一个命令创建一个具有正确权限比特设置的签名链:
    quartus_sign --family=stratix10 --operation=append_key \ 
--previous_pem=root_private.pem \
--previous_qky=root.qky \ 
--permission=0x40 --cancel=1 \
--input_pem=aesccert1_public.pem \
aesccert1_sign_chain.qky
    quartus_sign --family=stratix10 --operation=append_key --module=softHSM \
-–module_args="--token_label=s10-token \
--user_pin=s10-token-pin \
--hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so" \
--previous_keyname=root \
--previous_qky=root.qky \
--permission=0x40 --cancel=1 \
--input_keyname=aesccert1 \
aesccert1_sign_chain.qky
  3. 对所需的AES根秘钥存储位置创建一个未签署的AES紧凑型证书。可使用以下AES根秘钥存储选项:
    • EFUSE_WRAPPED_AES_KEY
    • IID_PUF_WRAPPED_AES_KEY
    • BBRAM_WRAPPED_AES_KEY
    //Create eFuse AES root key unsigned certificate 
quartus_pfg --ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY \ 
-o qek_file=aes.qek unsigned_efuse1.ccert
  4. 使用quartus_sign命令或者参考实现来签署紧凑型证书。
    quartus_sign --family=stratix10 --operation=sign \
--pem=aesccert1_private.pem \
--qky=aesccert1_sign_chain.qky \
unsigned_<location>1.ccert signed_<location>1.ccert
    quartus_sign --family=stratix10 --operation=sign --module=softHSM \
--module_args="--token_label=s10-token --user_pin=s10-token-pin \
--hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so" \
--keyname=aesccert1 \
--qky=aesccert1_sign_chain.qky \
unsigned_<location>1.ccert signed_<location>1.ccert
  5. 使用 Intel® Quartus® Prime Programmer通过JTAG将AES根秘钥紧凑型证书编程到Intel Stratix 10器件中。当使用EFUSE_WRAPPED_AES_KEY紧凑型证书类型时, Intel® Quartus® Prime Programmer默认对虚拟eFuses进行编程。通过添加--non_volatile_key选项来指定编程物理熔断器。
    //For physical (non-volatile) eFuse AES root key 
quartus_pgm -c 1 -m jtag -o "pi;signed_efuse1.ccert" --non_volatile_key  

    //For virtual (volatile) eFuse AES root key 
quartus_pgm -c 1 -m jtag -o “pi;signed_efuse1.ccert”   
    //For BBRAM AES root key  
quartus_pgm -c 1 -m jtag -o “pi;signed_bbram1.ccert”

SDM供应固件和主固件支持AES根密钥证书编程。您还可以使用FPGA架构或HPS的SDM mailbox界面对AES根密钥证书进行编程。

二级标题