インテル® Stratix® 10 デバイス・セキュリティー・ユーザーガイド

ダウンロード PDF
ID 683642
日付 9/02/2021
Public
ドキュメント目次
ドキュメント目次 x
1. インテルStratix 10デバイス・セキュリティーの概要 2. 認証と承認 3. AESビットストリームの暗号化 4. デバイス・プロビジョニング 5. 高度な機能 6. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドのアーカイブ 7. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドの文書改訂履歴
1. インテルStratix 10デバイス・セキュリティーの概要 x
1.1. 製品セキュリティーへの取り組み
2. 認証と承認 x
2.1. 署名チェーンを作成する 2.2. コンフィグレーション・ビットストリームに署名する
2.1. 署名チェーンを作成する x
2.1.1. 認証キーペアをローカル・ファイルシステム上に作成する 2.1.2. 認証キーペアをSoftHSMで作成する 2.1.3. 署名チェーン・ルート・エントリーを作成する 2.1.4. 署名チェーン公開鍵エントリーを作成する
2.2. コンフィグレーション・ビットストリームに署名する x
2.2.1. Quartus Key Fileの割り当て 2.2.2. SDMファームウェアに共同署名する 2.2.3. quartus_signコマンドを使用してビットストリーム署名をコンフィグレーションする 2.2.4. コンフィグレーション・ビットストリーム署名チェーンを検証する
3. AESビットストリームの暗号化 x
3.1. AESルートキーを作成する 3.2. Quartusの暗号化設定 3.3. コンフィグレーション・ビットストリームに署名する
3.3. コンフィグレーション・ビットストリームに署名する x
3.3.1. Programming File Generatorのグラフィカル・インターフェイスを使用したコンフィグレーション・ビットストリームの暗号化 3.3.2. Programming File Generatorのコマンド・ライン・インターフェイスを使用したコンフィグレーション・ビットストリームの暗号化 3.3.3. コマンド・ライン・インターフェイスを使用した部分的に暗号化されたコンフィグレーション・ビットストリームの生成 3.3.4. パーシャル・リコンフィグレーション・ビットストリームの暗号化
4. デバイス・プロビジョニング x
4.1. SDMプロビジョニング・ファームウェアを使用する 4.2. 認証ルートキーのプロビジョニング 4.3. キーキャンセルIDヒューズのプログラミング 4.4. セキュリティー設定ヒューズのプロビジョニング 4.5. AESルートキーのプロビジョニング 4.6. 所有者ルートキー、AESルートキー証明書、およびヒューズファイルをJam STAPLファイル・フォーマットに変換する
4.5. AESルートキーのプロビジョニング x
4.5.1. AESルート・キー・コンパクト証明書 4.5.2. Intrinsic ID® PUF AESルートキーのプロビジョニング 4.5.3. ブラック・キー・プロビジョニング
4.5.2. Intrinsic ID® PUF AESルートキーのプロビジョニング x
4.5.2.1. Intrinsic ID PUFの登録 4.5.2.2. AESルートキーをラップする 4.5.2.3. ヘルパーデータとラップされたキーをクアッドQSPIフラッシュメモリーにプログラミングする 4.5.2.4. Intrinsic ID PUFのアクティベーション・ステータスを照会する 4.5.2.5. フラッシュメモリー内のPUFの位置
4.5.3. ブラック・キー・プロビジョニング x
4.5.3.1. ブラック・キー・プロビジョニング・オプション
5. 高度な機能 x
5.1. Secure Debug Authorization 5.2. HPSデバッグ証明書 5.3. プラットフォーム構成証明 5.4. 物理的改ざん防止 5.5. リモート・システム・アップデートでのデザイン・セキュリティー機能の使用
5.4. 物理的改ざん防止 x
5.4.1. 改ざん防止応答 5.4.2. 改ざん防止検出 5.4.3. Anti-Tamper Lite Intel® FPGA IP
5.4.3. Anti-Tamper Lite Intel® FPGA IP x
5.4.3.1. リリース情報
1. インテルStratix 10デバイス・セキュリティーの概要
2. 認証と承認
3. AESビットストリームの暗号化
4. デバイス・プロビジョニング
5. 高度な機能
6. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドのアーカイブ
7. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドの文書改訂履歴

2.1. 署名チェーンを作成する

quartus_sign ツール、またはsratix10_sign.py リファレンス実装を使用して、署名チェーン動作を実行します。このドキュメントでは、quartus_sign を使用した例を説明します。
リファレンス実装を使用するには、 インテル® Quartus® Primeに含まれているPythonインタープリターへの呼び出しを置き換え、--family = Stratix10 オプションを省略します。他のすべてのオプションは同じです。例えば、quartus_sign コマンド (本セクションで後述) の 
quartus_sign --family=stratix10 --operation=make_root root_public.pem root.qky
は、リファレンス実装の同等の呼び出しに変換して次のようにすることができます。 
pgm_py stratix10_sign.py --operation=make_root root_public.pem root.qky

インテル® Quartus® Primeプロ・エディション開発ソフトウェアには、quartus_signpgm_py および stratix10_sign.py ツールが含まれています。 Nios® IIコマンド・シェル・ツールを使用すると、適切な環境変数が自動設定され、これらのツールにアクセスできます。

次の手順で Nios® IIコマンドシェルを起動します。

Nios® IIコマンドシェルを起動します。
オプション 説明
Windows Startメニューで、Programs > Intel FPGA > Nios II EDS > <version> にカーソルを合わせ、Nios II <version> Command Shellをクリックします。
Linux コマンドシェルで <install_dir>/nios2eds に切り替え、次のコマンドを実行します。
./nios2_command_shell.sh

このセクションにある例では、署名チェーンおよびコンフィグレーション・ビットストリーム・ファイルが現在の作業ディレクトリーにあることを前提としています。キーファイルがファイルシステムに保持されている例に従う場合、その例では、キーファイルが現在の作業ディレクトリーにあることを前提としています。使用するディレクトリーを選択すると、ツールでは相対ファイルパスをサポートします。キーファイルをファイルシステムに保持する場合、そのファイルへのアクセス許可の管理は慎重に行ってください。

インテルでは、市販のHardware Security Module (HSM) を使用し、暗号化キーを格納し、暗号化動作を実行することをお勧めします。quartus_sign ツールおよびリファレンス実装に含まれているPublic Key Cryptography Standard #11 (PKCS #11) Application Programming Interface (API) により、HSMとの対話が、署名チェーン動作の実行中にできます。stratix10_sign.py リファレンス実装には、インターフェイスの抽象化と、SoftHSMに対するインターフェイス例が含まれています。

このインターフェイス例を使用して、HSMに対するインターフェイスを実装します。HSMに対するインターフェイスの実装とその動作の詳細については、お使いのHSMベンダーのドキュメントを参照してください。

SoftHSMは、汎用暗号化デバイスのソフトウェア実装です。PKCS#11インターフェイスを備え、OpenDNSSEC® プロジェクトにより提供されています。OpenHSMのダウンロード、ビルド、およびインストール方法などの詳細については、OpenDNSSECプロジェクトを参照してください。このセクションの例では、SoftHSMバージョン2.6.1を使用しています。このセクションの例では、さらにOpenSCの pkcs11-tool ユーティリティーを使用し、SoftHSMトークンで追加のPKCS#11動作を実行します。pkcs11-tool をダウンロード、ビルド、 インストールする方法などの詳細情報は、OpenSCを参照してください。

関連情報
レベル 2 の表題