Intel® Stratix® 10器件安全用户指南

下载 PDF
ID 683642
日期 12/15/2021
Public
文档目录
文档目录 x
1. Intel Stratix 10器件安全概述 2. 认证和授权 3. AES比特流加密 4. 器件供应(Device Provisioning) 5. 高级特性 6. Intel® Stratix® 10器件安全用户指南存档 7. Intel® Stratix® 10器件安全用户指南文档修订历史
1. Intel Stratix 10器件安全概述 x
1.1. 致力于产品安全
2. 认证和授权 x
2.1. 创建一个签名链 2.2. 签署一个配置比特流
2.1. 创建一个签名链 x
2.1.1. 在本地文件系统上创建认证秘钥对 2.1.2. 在SoftHS中创建认证秘钥对 2.1.3. 创建签名链根条目 2.1.4. 创建一个签名链公钥条目
2.2. 签署一个配置比特流 x
2.2.1. Quartus秘钥文件分配 2.2.2. 共同签署SDM固件 2.2.3. 使用quartus_sign命令签署配置比特流 2.2.4. 验证配置比特流签名链
3. AES比特流加密 x
3.1. 创建AES根秘钥 3.2. Quartus 加密设置 3.3. 加密一个配置比特流
3.3. 加密一个配置比特流 x
3.3.1. 使用编程文件生成器图形界面的配置比特流加密 3.3.2. 使用编程文件生成器命令行界面的配置比特流加密 3.3.3. 使用命令行界面的部分加密的配置比特流生成 3.3.4. 部分重配置比特流加密
4. 器件供应(Device Provisioning) x
4.1. 使用SDM供应固件 4.2. 认证根秘钥供应(Authentication Root Key Provisioning) 4.3. 在自有器件上使用QSPI出厂默认帮助程序映像 4.4. 编程秘钥取消ID Fuse 4.5. 安全设置熔断器供应(Security Setting Fuse Provisioning) 4.6. AES根秘钥供应 4.7. 将所有者根密钥,AES根密钥证书和Fuse文件转换为Jam STAPL文件格式
4.6. AES根秘钥供应 x
4.6.1. AES根秘钥紧凑型证书 4.6.2. Intrinsic ID® PUF AES根秘钥供应 4.6.3. 黑秘钥供应(Black Key Provisioning)
4.6.2. Intrinsic ID® PUF AES根秘钥供应 x
4.6.2.1. Intrinsic ID PUF注册 4.6.2.2. 封装AES根秘钥 4.6.2.3. 将Helper数据和封装的秘钥编程到QSPI闪存中 4.6.2.4. 查询Intrinsic ID PUF激活状态 4.6.2.5. 闪存中PUF的位置
4.6.3. 黑秘钥供应(Black Key Provisioning) x
4.6.3.1. Black Key Provisioning选项
5. 高级特性 x
5.1. 安全调试授权 5.2. HPS调试证书 5.3. 平台证明(Platform Attestation) 5.4. 物理防篡改 5.5. 通过远程系统更新使用设计安全特性
5.4. 物理防篡改 x
5.4.1. 防篡改响应 5.4.2. 防篡改检测 5.4.3. Anti-Tamper Lite Intel® FPGA IP
5.4.3. Anti-Tamper Lite Intel® FPGA IP x
5.4.3.1. 发布信息
1. Intel Stratix 10器件安全概述
2. 认证和授权
3. AES比特流加密
4. 器件供应(Device Provisioning)
5. 高级特性
6. Intel® Stratix® 10器件安全用户指南存档
7. Intel® Stratix® 10器件安全用户指南文档修订历史

2.1. 创建一个签名链

您可以使用quartus_sign工具或者stratix10_sign.py 参考实现来执行签名链操作。此文档提供了使用quartus_sign的示例。
要使用参考实现,您要对Python interpreter(包含在 Intel® Quartus® Prime软件中)的一个调用进行替换,并忽略--family=Stratix10 选项;所有其他选项都是等效的。例如,本节后面的quartus_sign 
quartus_sign --family=stratix10 --operation=make_root root_public.pem root.qky
可以转换为对参考实现的如下等效调用 
pgm_py stratix10_sign.py --operation=make_root root_public.pem root.qky

Intel® Quartus® Prime Pro Edition软件包括quartus_signpgm_pystratix10_sign.py 工具。您可以使用 Nios® II命令壳工具(自动设置相应的环境变量)来访问这些工具。

按照以下方法调出 Nios® II命令壳。

调出 Nios® II命令壳。
选项 描述
Windows 在Start菜单上,指向Programs > Intel FPGA > Nios II EDS > <version> ,然后点击Nios II <version> Command Shell
Linux 在命令壳中更改成 <install_dir>/nios2eds,然后运行以下命令:
./nios2_command_shell.sh

本节中的示例假设签名链和配置比特流文件位于当前工作目录中。如果您选择遵循将密钥文件保存在文件系统上的示例,那么这些示例假定密钥文件位于当前工作目录中。您可以选择要使用的目录,并且这些工具支持相对文件路径。如果您选择在文件系统上保留秘钥文件,那么必须谨慎管理对这些文件的访问权限。

Intel建议使用商用Hardware Security Module (HSM)来存储加密密钥并执行加密操作。quartus_sign工具和参考实现包括一个Public Key Cryptography Standard #11 (PKCS #11) Application Programming Interface (API),用于在执行签名链操作时与HSM进行交互。stratix10_sign.py 参考实现包括一个接口抽象以及SoftHSM的示例接口。

您可以使用这些示例接口来实现HSM的接口。有关实现HSM接口和操作HSM的详细信息,请参考HSM供应商提供的文档。

SoftHSM是一个通用加密器件的软件实现,此通用加密器件具有OpenDNSSEC®工程提供的PKCS #11接口。您可以在OpenDNSSEC工程中找到更多信息,包括如何下载,构建和安装OpenHSM的指导说明。本节中的示例使用SoftHSM版本2.6.1。本节中的示例还使用OpenSC 的pkcs11-tool实用程序来执行其他的PKCS #11操作(通过一个SoftHSM token)。您可以从OpenSC找到更多信息,包括如何下载,构建和安装pkcs11-tool的指导说明。


本章节内容
在本地文件系统上创建认证秘钥对
在SoftHS中创建认证秘钥对
创建签名链根条目
创建一个签名链公钥条目

相关信息
二级标题