インテル® Stratix® 10 デバイス・セキュリティー・ユーザーガイド

ダウンロード PDF
ID 683642
日付 9/02/2021
Public
ドキュメント目次
ドキュメント目次 x
1. インテルStratix 10デバイス・セキュリティーの概要 2. 認証と承認 3. AESビットストリームの暗号化 4. デバイス・プロビジョニング 5. 高度な機能 6. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドのアーカイブ 7. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドの文書改訂履歴
1. インテルStratix 10デバイス・セキュリティーの概要 x
1.1. 製品セキュリティーへの取り組み
2. 認証と承認 x
2.1. 署名チェーンを作成する 2.2. コンフィグレーション・ビットストリームに署名する
2.1. 署名チェーンを作成する x
2.1.1. 認証キーペアをローカル・ファイルシステム上に作成する 2.1.2. 認証キーペアをSoftHSMで作成する 2.1.3. 署名チェーン・ルート・エントリーを作成する 2.1.4. 署名チェーン公開鍵エントリーを作成する
2.2. コンフィグレーション・ビットストリームに署名する x
2.2.1. Quartus Key Fileの割り当て 2.2.2. SDMファームウェアに共同署名する 2.2.3. quartus_signコマンドを使用してビットストリーム署名をコンフィグレーションする 2.2.4. コンフィグレーション・ビットストリーム署名チェーンを検証する
3. AESビットストリームの暗号化 x
3.1. AESルートキーを作成する 3.2. Quartusの暗号化設定 3.3. コンフィグレーション・ビットストリームに署名する
3.3. コンフィグレーション・ビットストリームに署名する x
3.3.1. Programming File Generatorのグラフィカル・インターフェイスを使用したコンフィグレーション・ビットストリームの暗号化 3.3.2. Programming File Generatorのコマンド・ライン・インターフェイスを使用したコンフィグレーション・ビットストリームの暗号化 3.3.3. コマンド・ライン・インターフェイスを使用した部分的に暗号化されたコンフィグレーション・ビットストリームの生成 3.3.4. パーシャル・リコンフィグレーション・ビットストリームの暗号化
4. デバイス・プロビジョニング x
4.1. SDMプロビジョニング・ファームウェアを使用する 4.2. 認証ルートキーのプロビジョニング 4.3. キーキャンセルIDヒューズのプログラミング 4.4. セキュリティー設定ヒューズのプロビジョニング 4.5. AESルートキーのプロビジョニング 4.6. 所有者ルートキー、AESルートキー証明書、およびヒューズファイルをJam STAPLファイル・フォーマットに変換する
4.5. AESルートキーのプロビジョニング x
4.5.1. AESルート・キー・コンパクト証明書 4.5.2. Intrinsic ID® PUF AESルートキーのプロビジョニング 4.5.3. ブラック・キー・プロビジョニング
4.5.2. Intrinsic ID® PUF AESルートキーのプロビジョニング x
4.5.2.1. Intrinsic ID PUFの登録 4.5.2.2. AESルートキーをラップする 4.5.2.3. ヘルパーデータとラップされたキーをクアッドQSPIフラッシュメモリーにプログラミングする 4.5.2.4. Intrinsic ID PUFのアクティベーション・ステータスを照会する 4.5.2.5. フラッシュメモリー内のPUFの位置
4.5.3. ブラック・キー・プロビジョニング x
4.5.3.1. ブラック・キー・プロビジョニング・オプション
5. 高度な機能 x
5.1. Secure Debug Authorization 5.2. HPSデバッグ証明書 5.3. プラットフォーム構成証明 5.4. 物理的改ざん防止 5.5. リモート・システム・アップデートでのデザイン・セキュリティー機能の使用
5.4. 物理的改ざん防止 x
5.4.1. 改ざん防止応答 5.4.2. 改ざん防止検出 5.4.3. Anti-Tamper Lite Intel® FPGA IP
5.4.3. Anti-Tamper Lite Intel® FPGA IP x
5.4.3.1. リリース情報
1. インテルStratix 10デバイス・セキュリティーの概要
2. 認証と承認
3. AESビットストリームの暗号化
4. デバイス・プロビジョニング
5. 高度な機能
6. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドのアーカイブ
7. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドの文書改訂履歴

2.2.2. SDMファームウェアに共同署名する

Secure Device Manager (SDM) ファームウェアへの共同署名は、コンフィグレーション・ビットストリームへの署名とは別に行います。新しい公開鍵エントリーを備えた署名チェーンを作成し、SDMファームウェアに署名するための排他的アクセス許可を持たせます。quartus_sign ツールを使用して、該当するSDMファームウェア・ファイルに署名します。次に、共同署名付きファームウェア・ファイルを提供します。その手順は、この次のセクションで説明しますが、コンフィグレーション・ビットストリームの署名になります。共同署名付きファームウェアが含まれるのは、コンフィグレーション・ビットストリーム・セカンダリー・プログラミング・ファイルが作成されるときです。これは、他のコンフィグレーション・ビットストリーム・セクションに署名する前です。

SDMファームウェア .zip ファイルを <install_dir>/quartus/common/devinfo/programmer/firmware/Stratix10.zip から作業ディレクトリーにコピーします。次のコマンドを使用して、新しい署名チェーンを作成し、SDMファームウェアに署名します。
  1. 新しい署名キーペアを作成します。
    1. 新しい署名キーペアをファイルシステム上に作成します。
      quartus_sign --family=stratix10 --operation=make_private_pem \  
--curve=secp384r1 firmware1_private.pem 
      quartus_sign --family=stratix10 --operation=make_public_pem \  
firmware1_private.pem firmware1_public.pem
    2. 新しい署名キーペアをHSM内に作成します。
      pkcs11-tool --module=/usr/local/lib/softhsm/libsofthsm2.so \
--token_label s10-token --login --pin s10-token-pin \
--keypairgen -–mechanism ECDSA-KEY-PAIR-GEN \
--key-type EC:secp384r1 --usage-sign --label firmware1 --id 1
  2. 新しい公開鍵を含む新しい署名チェーンを作成します。 
    quartus_sign --family=stratix10 --operation=append_key \ 
--previous_pem=root_private.pem --previous_qky=root.qky \ 
--permission=0x1 --cancel=1 \
firmware1_public.pem firmware1_sign_chain.qky
    quartus_sign --family=stratix10 --operation=append_key \
--module=softHSM --module_args="--token_label=s10-token \
--user_pin=s10-token-pin \
--hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so" \
--previous_pem=root --previous_qky=root.qky \
--permission=1 --cancel=1 firmware1 firmware1_sign_chain.qky
  3. ファームウェア .zip ファイルに署名します。このツールでは、.zip ファイルを自動でアンパックし、すべてのファームウェア .cmf ファイルに個別に署名してから .zip ファイルを再構築し、それを次のセクションのツールで使用できるようにします。
    quartus_sign --family=stratix10 --operation=sign \
--qky=firmware1_sign_chain.qky \  
--pem=firmware1_private.pem Stratix10.zip signed_Stratix10.zip
    quartus_sign --family=stratix10 --operation=sign --module=softHSM \
--module_args="--token_label=s10-token --user_pin=s10-token-pin \
--hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so" --pem=firmware1 \
--qky=firmware1_sign_chain.qky Stratix10.zip signed_Stratix10.zip
レベル 2 の表題