インテルのみ表示可能 — GUID: yfg1557281544831
Ixiasoft
インテルのみ表示可能 — GUID: yfg1557281544831
Ixiasoft
4. セキュリティーに関する考慮事項
番号 | チェック欄 | チェック項目 |
---|---|---|
1 | デザインでデバイス・セキュリティー機能を有効にする必要があるかを検討します。必要がある場合は、VCCFUSEWR_SDM レールに電力を供給し、認証ヒューズ管理で使用するように計画します。 | |
2 | デザインにビットストリームの暗号化が必要か、および暗号化キーをBattery-Backed RAM (BBRAM) に格納するかを検討します。その場合は、VCCBAT ピンへの電力供給にボード上のバッテリーを使用するように計画します。 | |
3 | デザインにビットストリームの暗号化が必要か、および暗号化キーをIID PUFでラップしてQSPIに格納するかを検討します。その場合は、コンフィグレーション・モードをActive Serial x4 (ノーマルモードまたは高速モード) にする必要があります。また、QSPIメモリーにはコンフィグレーションをサポートするための十分な大きさと、PUFヘルパーデータで使用可能なメモリースペース (64KB) が必要です。 | |
4 | デザインにブラック・キー・プロビジョニングまたは認証が必要かを検討します。必要な場合は、TCK ピンにプルダウン抵抗がないことを確認します。オプションの10kΩプルアップ抵抗を使用すると、ノイズ抑制に役立ちます。 | |
5 | デザインに認証が必要かを検討します。必要な場合は、コンフィグレーション・モードをActive Serial x4 (ノーマルモードまたは高速モード) にする必要があります。また、QSPIメモリーにはコンフィグレーションをサポートするための十分な大きさと、認証証明書で使用可能なメモリースペース (128kB) が必要です。 | |
6 | デザインに物理的な改ざん防止が必要か、およびオプションの外部応答ピンを使用するかを検討します。使用する場合は、TAMPERDETECTIONおよびTAMPERRESPONSESTATUSに正しいSDMオプション信号ピンを使用するように計画します。
注: 物理的な改ざん防止は、非VIDパーツでのみ利用可能です。
|
|
7 | ライセンス条件については、利用可能なデバイスバリアントの要件に最適なものを検討します。 |
- 認証 - 認証により、デバイスのファームウェア、およびオプションでコンフィグレーション・ビットストリームが信頼できるソースからのものであることを保証します。認証は、 Agilex™ 7セキュリティーの基本です。他の Agilex™ 7セキュリティー機能を有効にするには、最初にオーナー認証を有効にする必要があります。デバイスのファームウェア認証は、常時実行されます。さらに、デバイスのファームウェアおよびビットストリームの整合性検証が常に実行され、 Agilex™ 7デバイスに破損や悪意のある攻撃などの予期しない変更を伴うビットストリームがロードされないようにします。
- 暗号化 - 暗号化により、オーナーのコンフィグレーション・ビットストリーム内の機密情報を保護し、知的財産の盗難脅威を低減します。
Agilex™ 7デバイスを使用するシステムをデザインする際に、デバイスのセキュリティー機能を利用する場合は、認証キーの格納、許可、およびキャンセルに対するプロビジョニングを考慮する必要があります。また、暗号化キーの格納と管理の検討が必要になる場合もあります。オーナールート公開鍵のハッシュは、常に Agilex™ 7デバイスのeFuseに格納されます。また、インテルのファームウェア・キーのキャンセルとオーナー認証キーのキャンセルもまた、eFusesを介して管理されます。したがって、適切な電力を VCCFUSEWR_SDM ピンに供給することが重要です。VCCFUSEWR_SDM への電源供給に関しては、 Agilex™ 7ピン接続ガイドラインを参照してください。
Agilex™ 7デバイスでビットストリームの暗号化が有効になっている場合は、暗号化キーをデバイスに格納する必要があります。暗号化キーは、eFuse、Battery-Backed RAM (BBRAM)、またはQSPIに格納することができます。暗号化キーをeFuseで格納すると永続しますが、暗号化キーをBBRAMに格納するとキーのワイプや再プロビジョニングが可能になります。デザインで暗号化キーをBBRAMに格納する必要がある場合は、不揮発性バッテリーを VCCBAT に接続する必要があります。VCCBAT ピンへのバッテリーの接続に関しては、 Agilex™ 7ピン接続ガイドラインを参照してください。暗号化キーをQSPIに格納する場合は、Intrinsic ID PUFを使用して暗号化キーをラップする必要があります。Intrinsic IDテクノロジーを使用するには、IntrinsicIDとの個別のライセンス契約が必要です。 Quartus® Primeプロ・エディションでは、適切なライセンスがない場合、登録やキーのラッピングなどのPUF操作が制限されます。
- SDMファームウェアは、 Quartus® Primeプロ・エディションのバージョン21.3以降で提供されているものに更新する必要があります。
- TCK ピンでは、TCK ピンにプルアップ/ダウン抵抗がないことを確認します。オプションで、10kΩプルアップ抵抗を使用して TCK ピンを V CCIO_SDM 電源に接続すると、ノイズ抑制に役立ちます。
TCK ピンの接続については、 Agilex™ 7デバイスファミリーのピン接続ガイドラインを参照してください。