Intel® Stratix® 10器件安全用户指南

下载 PDF
ID 683642
日期 12/15/2021
Public
文档目录
文档目录 x
1. Intel Stratix 10器件安全概述 2. 认证和授权 3. AES比特流加密 4. 器件供应(Device Provisioning) 5. 高级特性 6. Intel® Stratix® 10器件安全用户指南存档 7. Intel® Stratix® 10器件安全用户指南文档修订历史
1. Intel Stratix 10器件安全概述 x
1.1. 致力于产品安全
2. 认证和授权 x
2.1. 创建一个签名链 2.2. 签署一个配置比特流
2.1. 创建一个签名链 x
2.1.1. 在本地文件系统上创建认证秘钥对 2.1.2. 在SoftHS中创建认证秘钥对 2.1.3. 创建签名链根条目 2.1.4. 创建一个签名链公钥条目
2.2. 签署一个配置比特流 x
2.2.1. Quartus秘钥文件分配 2.2.2. 共同签署SDM固件 2.2.3. 使用quartus_sign命令签署配置比特流 2.2.4. 验证配置比特流签名链
3. AES比特流加密 x
3.1. 创建AES根秘钥 3.2. Quartus 加密设置 3.3. 加密一个配置比特流
3.3. 加密一个配置比特流 x
3.3.1. 使用编程文件生成器图形界面的配置比特流加密 3.3.2. 使用编程文件生成器命令行界面的配置比特流加密 3.3.3. 使用命令行界面的部分加密的配置比特流生成 3.3.4. 部分重配置比特流加密
4. 器件供应(Device Provisioning) x
4.1. 使用SDM供应固件 4.2. 认证根秘钥供应(Authentication Root Key Provisioning) 4.3. 在自有器件上使用QSPI出厂默认帮助程序映像 4.4. 编程秘钥取消ID Fuse 4.5. 安全设置熔断器供应(Security Setting Fuse Provisioning) 4.6. AES根秘钥供应 4.7. 将所有者根密钥,AES根密钥证书和Fuse文件转换为Jam STAPL文件格式
4.6. AES根秘钥供应 x
4.6.1. AES根秘钥紧凑型证书 4.6.2. Intrinsic ID® PUF AES根秘钥供应 4.6.3. 黑秘钥供应(Black Key Provisioning)
4.6.2. Intrinsic ID® PUF AES根秘钥供应 x
4.6.2.1. Intrinsic ID PUF注册 4.6.2.2. 封装AES根秘钥 4.6.2.3. 将Helper数据和封装的秘钥编程到QSPI闪存中 4.6.2.4. 查询Intrinsic ID PUF激活状态 4.6.2.5. 闪存中PUF的位置
4.6.3. 黑秘钥供应(Black Key Provisioning) x
4.6.3.1. Black Key Provisioning选项
5. 高级特性 x
5.1. 安全调试授权 5.2. HPS调试证书 5.3. 平台证明(Platform Attestation) 5.4. 物理防篡改 5.5. 通过远程系统更新使用设计安全特性
5.4. 物理防篡改 x
5.4.1. 防篡改响应 5.4.2. 防篡改检测 5.4.3. Anti-Tamper Lite Intel® FPGA IP
5.4.3. Anti-Tamper Lite Intel® FPGA IP x
5.4.3.1. 发布信息
1. Intel Stratix 10器件安全概述
2. 认证和授权
3. AES比特流加密
4. 器件供应(Device Provisioning)
5. 高级特性
6. Intel® Stratix® 10器件安全用户指南存档
7. Intel® Stratix® 10器件安全用户指南文档修订历史

4.5. 安全设置熔断器供应(Security Setting Fuse Provisioning)

使用 Intel® Quartus® Prime Programmer检查器件安全设置熔断器,并将它们写入到一个基于文本的.fuse文件中。 
quartus_pgm -c 1 -m jtag -o “ei;programming_file.fuse;1SX280LH2”

.fuse文件包含一列熔断器名称-值对(fuse name-value pairs)。这些值指定一个熔断器是否熔断,还是fuse域的内容。

下面示例显示了.fuse文件的格式。 
# Co-signed firmware                       = "Not blown" 
# Device not secure                        = "Not blown" 
# Disable HPS debug                        = "Not blown" 
# Disable Intrinsic ID PUF enrollment      = "Not blown" 
# Disable JTAG                             = "Not blown" 
# Disable PUF-wrapped encryption key       = "Not blown" 
# Disable owner encryption key in BBRAM    = "Not blown" 
# Disable owner encryption key in eFuses   = "Not blown" 
# Disable virtual eFuses                   = "Not blown" 
# Force SDM clock to internal oscillator   = "Not blown" 
# Force encryption key update              = "Not blown" 
# Intel key cancellation                   = "1" 
# Lock security eFuses                     = "Not blown" 
# Owner encryption key program done        = "Not blown" 
# Owner encryption key program start       = "Not blown" 
# Owner fuses                              = 
 "0x00000000000000000000000000000000000000000000000000000
    00000000000000000000000000000000000000000000000000000
    00000000000000000000000000000000000000000000000000000
    00000000000000000000000000000000000000000000000000000
    00000000000000000000000000000000000000000000" 
# Owner key cancellation                   = "" 
# Owner public key hash                    = "" 
# Owner public key size                    = "" 
# QSPI start up delay                      = "10ms" 
# RMA Counter                              = "0" 
# SDMIO0 is I2C                            = "Not blown"
通过修改.fuse文件来设置所需的安全设置熔断器。以#开头的命令行被视为注释行。要对一个安全设置熔断器进行编程,您必须删除前导#,并将值设为Blown。例如,要使能Co-signed Firmware 安全设置熔断器,需要将熔断器文件中的第一个行修改成: 
Co-signed firmware = "Blown"

您也可以根据您的要求分配和编程Owner Fuses。

以下域不能通过.fuse文件方法写入;然而,在examine操作输出期间包含这些域用于验证:
  • Device not secure
  • Intel key cancellation
  • Owner encryption key program start
  • Owner encryption key program done
  • Owner key cancellation
  • Owner public key hash
  • Owner public key size
  • QSPI start up delay
  • RMA counter
  • SDMIO0 is I2C
使用 Intel® Quartus® Prime Programmer将.fuse文件编程回器件中。如果添加i选项,那么Programmer自动加载供应固件以对安全设置熔断器进行编程。 
//For physical (non-volatile) eFuses 
quartus_pgm -c 1 -m jtag -o "pi;programming_file.fuse" --non_volatile_key
//For virtual (volatile) eFuses 
quartus_pgm -c 1 -m jtag -o "pi;programming_file.fuse"
二级标题