Intel® Stratix® 10器件安全用户指南

下载 PDF
ID 683642
日期 12/15/2021
Public
文档目录
文档目录 x
1. Intel Stratix 10器件安全概述 2. 认证和授权 3. AES比特流加密 4. 器件供应(Device Provisioning) 5. 高级特性 6. Intel® Stratix® 10器件安全用户指南存档 7. Intel® Stratix® 10器件安全用户指南文档修订历史
1. Intel Stratix 10器件安全概述 x
1.1. 致力于产品安全
2. 认证和授权 x
2.1. 创建一个签名链 2.2. 签署一个配置比特流
2.1. 创建一个签名链 x
2.1.1. 在本地文件系统上创建认证秘钥对 2.1.2. 在SoftHS中创建认证秘钥对 2.1.3. 创建签名链根条目 2.1.4. 创建一个签名链公钥条目
2.2. 签署一个配置比特流 x
2.2.1. Quartus秘钥文件分配 2.2.2. 共同签署SDM固件 2.2.3. 使用quartus_sign命令签署配置比特流 2.2.4. 验证配置比特流签名链
3. AES比特流加密 x
3.1. 创建AES根秘钥 3.2. Quartus 加密设置 3.3. 加密一个配置比特流
3.3. 加密一个配置比特流 x
3.3.1. 使用编程文件生成器图形界面的配置比特流加密 3.3.2. 使用编程文件生成器命令行界面的配置比特流加密 3.3.3. 使用命令行界面的部分加密的配置比特流生成 3.3.4. 部分重配置比特流加密
4. 器件供应(Device Provisioning) x
4.1. 使用SDM供应固件 4.2. 认证根秘钥供应(Authentication Root Key Provisioning) 4.3. 在自有器件上使用QSPI出厂默认帮助程序映像 4.4. 编程秘钥取消ID Fuse 4.5. 安全设置熔断器供应(Security Setting Fuse Provisioning) 4.6. AES根秘钥供应 4.7. 将所有者根密钥,AES根密钥证书和Fuse文件转换为Jam STAPL文件格式
4.6. AES根秘钥供应 x
4.6.1. AES根秘钥紧凑型证书 4.6.2. Intrinsic ID® PUF AES根秘钥供应 4.6.3. 黑秘钥供应(Black Key Provisioning)
4.6.2. Intrinsic ID® PUF AES根秘钥供应 x
4.6.2.1. Intrinsic ID PUF注册 4.6.2.2. 封装AES根秘钥 4.6.2.3. 将Helper数据和封装的秘钥编程到QSPI闪存中 4.6.2.4. 查询Intrinsic ID PUF激活状态 4.6.2.5. 闪存中PUF的位置
4.6.3. 黑秘钥供应(Black Key Provisioning) x
4.6.3.1. Black Key Provisioning选项
5. 高级特性 x
5.1. 安全调试授权 5.2. HPS调试证书 5.3. 平台证明(Platform Attestation) 5.4. 物理防篡改 5.5. 通过远程系统更新使用设计安全特性
5.4. 物理防篡改 x
5.4.1. 防篡改响应 5.4.2. 防篡改检测 5.4.3. Anti-Tamper Lite Intel® FPGA IP
5.4.3. Anti-Tamper Lite Intel® FPGA IP x
5.4.3.1. 发布信息
1. Intel Stratix 10器件安全概述
2. 认证和授权
3. AES比特流加密
4. 器件供应(Device Provisioning)
5. 高级特性
6. Intel® Stratix® 10器件安全用户指南存档
7. Intel® Stratix® 10器件安全用户指南文档修订历史

5.5. 通过远程系统更新使用设计安全特性

远程系统更新(RSU)是一个Intel Stratix 10 FPGA的功能,以稳健的方式协助更新配置文件。由于RSU不依赖于配置比特流的设计内容,因此RSU与诸如认证,固件,共同签名和比特流加密等设计安全特性兼容。

要通过RSU映像使用设计安全特性,需要按照 Intel Stratix 10 Configuration User GuideGenerating Remote System Update Image Files Using the Programming File Generator中说明通过.sof文件输入生成RSU映像。对于在Input Files选项卡上指定的每个.sof文件,点击Properties...按钮,对签署和加密工具指定相应设置和秘钥。编程文件生成器工具在创建RSU编程文件时自动签署和加密出厂和应用程序映像。

您可以使用.rbf格式文件作为输入来构建RSU映像。在选择.rbf格式文件作为RSU映像的输入文件之前,您必须对其进行加密和签名;但是,RSU引导信息.rbf文件不能加密,只能签名。Programming File Generator不支持修改.rbf格式文件的属性。

以下示例演示了对 Intel Stratix 10 Configuration User GuideGenerating Remote System Update Image Files Using the Programming File Generator中的命令进行必要的修改。

使用.rbf文件生成初始RSU映像:命令修改

使用.rbf文件生成初始RSU映像中, 在Step 1.中修改命令,按照本文档前面部分的说明来使能所需的设计安全特性。

在step 2中,如果已经使能固件共同签署,那么必须在从出厂映像文件创建引导.rbf时使用一个附加选项: 
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON \
-o fw_source=signed_stratix10.zip

生成一个应用程序映像:命令修改

要生成一个具有设计安全特性的应用程序映像,修改Generating an Application Image中的命令,使用一个设计安全特性使能的.rbf,包括共同签署的固件(如果需要),而不是原始的应用程序.sof文件: 
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf \
secured_rsu_application.rpd -o mode=ASX4 \
-o start_address=<start_address> -o bitswap=ON

生成一个出厂更新映像:命令修改

要生成一个RSU出厂更新映像,修改Generating a Factory Update Image中的命令,使用一个设计安全特性使能的.rbf文件,添加以下选项以指示共同签署的固件使用: 
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf \
secured_rsu_factory_update.rpd \
-o mode=ASX4 -o start_address=<start_address> \
-o bitswap=ON -o rsu_upgrade=ON \
-o fw_source=signed_stratix10.zip
相关信息
二级标题