インテル® Stratix® 10 デバイス・セキュリティー・ユーザーガイド

ダウンロード PDF
ID 683642
日付 9/02/2021
Public
ドキュメント目次
ドキュメント目次 x
1. インテルStratix 10デバイス・セキュリティーの概要 2. 認証と承認 3. AESビットストリームの暗号化 4. デバイス・プロビジョニング 5. 高度な機能 6. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドのアーカイブ 7. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドの文書改訂履歴
1. インテルStratix 10デバイス・セキュリティーの概要 x
1.1. 製品セキュリティーへの取り組み
2. 認証と承認 x
2.1. 署名チェーンを作成する 2.2. コンフィグレーション・ビットストリームに署名する
2.1. 署名チェーンを作成する x
2.1.1. 認証キーペアをローカル・ファイルシステム上に作成する 2.1.2. 認証キーペアをSoftHSMで作成する 2.1.3. 署名チェーン・ルート・エントリーを作成する 2.1.4. 署名チェーン公開鍵エントリーを作成する
2.2. コンフィグレーション・ビットストリームに署名する x
2.2.1. Quartus Key Fileの割り当て 2.2.2. SDMファームウェアに共同署名する 2.2.3. quartus_signコマンドを使用してビットストリーム署名をコンフィグレーションする 2.2.4. コンフィグレーション・ビットストリーム署名チェーンを検証する
3. AESビットストリームの暗号化 x
3.1. AESルートキーを作成する 3.2. Quartusの暗号化設定 3.3. コンフィグレーション・ビットストリームに署名する
3.3. コンフィグレーション・ビットストリームに署名する x
3.3.1. Programming File Generatorのグラフィカル・インターフェイスを使用したコンフィグレーション・ビットストリームの暗号化 3.3.2. Programming File Generatorのコマンド・ライン・インターフェイスを使用したコンフィグレーション・ビットストリームの暗号化 3.3.3. コマンド・ライン・インターフェイスを使用した部分的に暗号化されたコンフィグレーション・ビットストリームの生成 3.3.4. パーシャル・リコンフィグレーション・ビットストリームの暗号化
4. デバイス・プロビジョニング x
4.1. SDMプロビジョニング・ファームウェアを使用する 4.2. 認証ルートキーのプロビジョニング 4.3. キーキャンセルIDヒューズのプログラミング 4.4. セキュリティー設定ヒューズのプロビジョニング 4.5. AESルートキーのプロビジョニング 4.6. 所有者ルートキー、AESルートキー証明書、およびヒューズファイルをJam STAPLファイル・フォーマットに変換する
4.5. AESルートキーのプロビジョニング x
4.5.1. AESルート・キー・コンパクト証明書 4.5.2. Intrinsic ID® PUF AESルートキーのプロビジョニング 4.5.3. ブラック・キー・プロビジョニング
4.5.2. Intrinsic ID® PUF AESルートキーのプロビジョニング x
4.5.2.1. Intrinsic ID PUFの登録 4.5.2.2. AESルートキーをラップする 4.5.2.3. ヘルパーデータとラップされたキーをクアッドQSPIフラッシュメモリーにプログラミングする 4.5.2.4. Intrinsic ID PUFのアクティベーション・ステータスを照会する 4.5.2.5. フラッシュメモリー内のPUFの位置
4.5.3. ブラック・キー・プロビジョニング x
4.5.3.1. ブラック・キー・プロビジョニング・オプション
5. 高度な機能 x
5.1. Secure Debug Authorization 5.2. HPSデバッグ証明書 5.3. プラットフォーム構成証明 5.4. 物理的改ざん防止 5.5. リモート・システム・アップデートでのデザイン・セキュリティー機能の使用
5.4. 物理的改ざん防止 x
5.4.1. 改ざん防止応答 5.4.2. 改ざん防止検出 5.4.3. Anti-Tamper Lite Intel® FPGA IP
5.4.3. Anti-Tamper Lite Intel® FPGA IP x
5.4.3.1. リリース情報
1. インテルStratix 10デバイス・セキュリティーの概要
2. 認証と承認
3. AESビットストリームの暗号化
4. デバイス・プロビジョニング
5. 高度な機能
6. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドのアーカイブ
7. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドの文書改訂履歴

4.5.3.1. ブラック・キー・プロビジョニング・オプション

ブラック・キー・プロビジョニング・オプションは、quartus_pgm コマンドを介してProgrammerに渡されるテキストファイルです。このファイルには、ブラック・キー・プロビジョニングをトリガーするために必要な情報が含まれています。

bkp_options.txt ファイルの例です。 

bkp_cfg_id = 1
bkp_ip = 192.167.1.1
bkp_port = 10034
bkp_tls_ca_cert = root.cert
bkp_tls_prog_cert = prog.cert
bkp_tls_prog_key = prog_key.pem
bkp_tls_prog_key_pass = 1234
bkp_proxy_address = https://192.167.5.5:5000
bkp_proxy_user = proxy_user
bkp_proxy_password = proxy_password
表 3.  ブラック・キー・プロビジョニング・オプションこの表で示しているオプションは、ブラック・キー・プロビジョニングをトリガーするために必要です。
オプション名 タイプ 説明
bkp_ip 必須 ブラック・キー・プロビジョニング・サービスを実行しているサーバーのIPアドレスを指定します。
bkp_port 必須 サーバーへの接続に必要なブラック・キー・プロビジョニング・サービス・ポートを指定します。
bkp_cfg_id 必須 ブラック・キー・プロビジョニング・コンフィグレーション・フローIDを識別します。

ブラック・キー・プロビジョニング・サービスによって作成されるブラック・キー・プロビジョニング・コンフィグレーション・フローには、AESルートキー、必要なeFuse設定、およびその他のブラック・キー・プロビジョニング承認オプションが含まれます。ブラック・キー・プロビジョニング・サービスのセットアップ中に割り当てられた番号によって、ブラック・キー・プロビジョニング・コンフィグレーション・フローを識別します。

注: 複数のデバイスによって、同じブラック・キー・プロビジョニング・サービス・コンフィグレーション・フローを参照する場合があります。
bkp_tls_ca_cert 必須

ルートTLS証明書です。これを使用して、 インテル® Quartus® Prime Programmer (Programmer) に対するブラック・キー・プロビジョニング・サービスを識別します。ブラック・キー・プロビジョニング・サービス・インスタンスの信頼された証明機関によってこの証明書が発行されます。

Programmerをコンピューターで実行する際、Microsoft® Windows® オペレーティング・システム (Windows) を使用している場合は、この証明書をWindows証明書ストアにインストールする必要があります。

bkp_tls_prog_cert

必須

 ブラック・キー・プロビジョニング・プログラマー (BKP Programmer) のインスタンス用に作成される証明書です。これは、httpsクライアント証明書です。これを使用して、このBKPプログラマー・インスタンスをブラック・キー・プロビジョニング・サービスに対して識別します。ブラック・キー・プロビジョニング・セッションを開始する前に、この証明書をブラック・キー・プロビジョニング・サービスにインストールし、承認する必要があります。

ProgrammerをWindowsで実行している場合、このオプションは使用できません。この場合は、bkp_tls_prog_key にこの証明書がすでに含まれています。

bkp_tls_prog_key 必須 BKP Programmer証明書に対応する秘密鍵です。このキーによって、ブラック・キー・プロビジョニング・サービスに対するBKP ProgrammerインスタンスのIDを検証します。

ProgrammerをWindowsで実行する場合、.pfx ファイルは、bkp_tls_prog_cert 証明書と秘密鍵を結合します。bkp_tlx_prog_key オプションでは、bkp_options.txt ファイルの .pfx ファイルを渡します。

bkp_tls_prog_key_pass 任意 bkp_tls_prog_key 秘密鍵のパスワードです。ブラック・キー・プロビジョニング・コンフィグレーション・オプション (bkp_options.txt) テキストファイルでは必要ありません。
bkp_proxy_address 任意 プロキシサーバーのURLアドレスを指定します。
bkp_proxy_user 任意 プロキシサーバーのユーザー名を指定します。
bkp_proxy_password 任意 プロキシ認証パスワードを指定します。
レベル 2 の表題