• Important Notice to Customers Regarding Features Added in Intel Quartus Prime Pro Edition Software Version 21.1 およびPlanned Security Features のトピックを削除しました。改ざん防止機能は、 インテル® Quartus® Primeプロ・エディション開発ソフトウェア・バージョン21.2以降でサポートされています。
• インテルサポートに関する情報を インテル® Stratix® 10デバイス・セキュリティーの概要 に追加しました。
• 署名チェーンの作成 を改訂しました。Hardware Security Module (HSM) およびSoftHSMに関する情報を追加しました。
• 入力 (.sof) ファイルの認証および暗号化のプロパティー を更新しました。
• 改ざん防止機能および構成証明機能を追加しました。
  • 改ざん防止および構成証明の内容を含むセクションとスクリーンショットをグローバルに更新しました。
  • プラットフォーム構成証明 および 物理的改ざん防止 のセクションを更新し、機能の説明と使用方法を含めました。
  • 次のトピックを新たに追加しました。
    • 改ざん防止応答
    • 改ざん防止検出
    • Anti-Tamper Intel® FPGA IP
• 既存のコマンド例にHSMコマンドをグローバルに追加しました。
• セキュアデバッグ承認 を改訂しました。デバッグ所有者の役割を明確にしました。

• ドキュメント全体を次のように再構成しました。
  • Security Methodology User Guide にセキュリティー機能の説明を含めました。
  • この インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイド には、 インテル® Quartus® Prime開発ソフトウェアによって インテル® Stratix® 10 FPGAデバイスにセキュリティー機能を実装するための具体的な手順が含まれます。
• リモート・システム・アップデートでのデザイン・セキュリティー機能の使用 を更新しました。初期RSUイメージ、アプリケーション・イメージ、およびファクトリー・アップデート・イメージを生成する例を追加しました。

• 暗号化のセクションを改訂しました。テキストを追加して、高度なセキュリティーがイネーブルされているデバイスでは、セキュリティーで保護されたファームウェアのみをロードできることを記載しました。
• パーシャル・リコンフィグレーション・ビットストリーム暗号化 (PRBE) のトピックからPlanned Security Features のセクションを削除しました。 インテル® Quartus® Prime開発ソフトウェア・バージョン20.4ではPRBE機能をサポートしています。
• 署名ブロック のセクションのキーアクセス許可の内容を更新しました。ブラック・キー・プロビジョニングの署名に使用するアクセス許可ビットを追加しました。
• ファームウェアID=8とそのファームウェア・リリースをIntel Firmware IDs の表に追加しました。
• Powering On In JTAG Mode After Implementing Co-Signed Firmware およびPrograming eFuses のセクションの内容を再構築しました。
• Step 1: Enrolling the Intrinsic ID PUF via JTAG を改訂しました。
  • PUF登録のテキストを改訂して、 インテル® Quartus® Primeプロ・エディション Programmerはプロビジョニング・ファームウェアを自動ロードすることを強調しました。
  • 注記を追加し、リコンフィグレーションを正常に実行するためにnCONFIG 信号を切り替えることを提示しました。
  • テキストを更新して、適切なライセンスがない場合、 インテル® Quartus® Prime ProgrammerによってPUF動作が制限されることを強調しました。
• ブラック・キー・プロビジョニング のセクションを改訂しました。ブラック・キー・プロビジョニング機能を使用するデバイスに対する -BKOPNサフィックスの使用の推奨を追加しました。
• パーシャル・リコンフィグレーション・ビットストリームの暗号化 のトピックを更新しました。次のセクションを新たに追加しました。
  • Enabling Partial
  • Generating Encrypted Partial Reconfiguration Persona
  • Generating Partially Encrypted Partial Reconfiguration Partial
• Using eFuses のトピックを改訂しました。仮想eFuseの後に物理eFuseをプログラミングする際の制限を明確にしました。
• 次のトピックを新たに追加しました。
  • 署名ツール (ソースコード付き)
  • 暗号化ツール (ソースコード付き)
  • セキュリティー・オプションeFuse
  • リモート・システム・アップデートでのデザイン・セキュリティー機能の使用
• 軽微なエラーとタイプミスを修正しました。

• Important Notice to Customers Regarding Features Added in Intel Quartus Prime Pro Edition Software Version 20.3 の通知を改訂しました。IID PUFベースのAESキーストレージ機能は製品版の機能です。改ざん防止機能は、このリリースでは削除しました。
• インテル® Stratix® 10 GX 10Mデバイスの制限を インテル® Stratix® 10デバイス・セキュリティーの概要: 暗号化 のセクションに追加しました。 インテル® Stratix® 10 GX 10デバイスでは、高度なセキュリティー機能はサポートしていません。
• Owner Security Keys and Storage Options のセクションを次のとおり更新しました。
  • Comparison of AES Key Storage Options の表で仮想ヒューズ、物理eヒューズ、およびBBRAMの一般的なアプリケーションを改訂しました。
  • Owner AES Key のセクションのブラック・キー・プロビジョニングの説明を改訂しました。
  • Owner AES Key Programming のセクションを削除しました。この内容は、Encryption and Decryption の章に記載があります。
• Planned Security Features のセクションを次のとおり更新しました。
  • Anti-Tampering のトピックを追加しました。
  • Partial Reconfiguration Bitstream Encryption のトピックを追加しました。
  • Black Key Provisioning のトピックを削除しました。
• Signature Chain Content の表を次のとおり更新しました。
  • ビット6: AESルートキー証明書をPublic Key Entryの説明に追加しました。
  • Header Block Entryの説明を改訂しました。
• Canceling Intel Firmware ID のセクションを次のとおり更新しました。
  • ファームウェアID=7とファームウェア・リリースを インテル Firmware IDs の表に追加しました。
  • 新しいファームウェア ・バージョンにアップグレードした後、古いファームウェア・バージョンを使用しないようにする手順を改訂および追加しました。
• Append Key to Signature Chain のセクションでファームウェアに署名するための引数値を修正しました。ファームウェアに署名する値は0ではなく1です。
• Step 4a: Signing the Bitstream Using the Programming File Generator のセクションで、所有者のキャンセルIDを指定する割り当てを追加しました。
• Using the Co-Signed Feature のセクションの注記を改訂しました。このテキストは、共同署名付きeFusesのプログラミングについてのUsing eFuses のセクションを指しています。
• Prerequisites for Co-Signing Device Firmware のセクションを次のとおり更新しました。
  • 引数名を --key_storage から --non_volatile_key に変更しました。
  • quartus_pgm コマンドを更新しました。
  • 命令リンクを更新しました。
• 次のトピックを新たに追加しました。Step 2c: Generating Partially Encrypted Programming File Using the Command Line Interface
• Step 3a: Specifying Keys and Configuring the Encrypted Image Using the Intel Quartus Prime Programmer に、クアッドSPI Intrinsic ID PUFラップオプションを追加しました。
• -i オプションの説明を更新し、Step 3b: Programming the AES Key and Configuring the Encrypted Image Using the Command Line のセクションに注記を追加しました。この注記では、共同署名付きヘルパーイメージのプログラミングは、.qek 暗号化キーのプログラミング前にできることを示しています。
• Anti-Tamper Monitoring and Mitigation のセクションおよび関連するすべての改ざん防止の内容を削除しました。
• (ベータ) ラベルをすべてのIID PUFベースのAESキーストレージの内容から削除しました。このリリースでは、IID PUFは製品版の機能です。
• PUF関連のすべての内容を改訂しました。
• ブラック・キー・プロビジョニングのサポートを追加しました。また、新しいセクションを追加し、bkp_options オプションの説明などのブラック・キー・プロビジョニングのイネーブルについて説明しました。
• Using eFuses およびKey Cancellation eFuses のトピックを次のとおり改訂しました。
  • 仮想eFuseの使用を強調する記述を追加しました。仮想eFuseはテストのみを目的としています。製造環境のセキュリティーを保証するものではありません。
• Using an HPS Debug Certificate のトピックを次のとおり改訂しました。
  • テキストを次のとおり修正し、ビットストリーム・セキュリティーを確保するためのデバッグ証明書の使用を強調しました。 インテルでは、このコンフィグレーション・ビットストリームが不要になった後は、このようなビットストリームのリリースを制限し、署名キーIDを取り消すことを強くお勧めします。
  • HPSデバッグ証明書を作成するために必要な条件を次のとおり修正しました。
    • JTAG関連の条件を更新し、JTAGディスエーブル・ヒューズによりJTAGがディスエーブルされることを強調しました。
    • 新しい条件を追加し、HPSデバッグ・ディスエーブル・ヒューズによりHPSデバッグが恒久的にディスエーブルされることを強調しました。
• Enabling HPS JTAG Debugging のトピックを次のとおり更新しました。
  • permission の使用に関する記述を修正しました。HPSデバッグ証明書には、permission=8 を指定する必要があります。
  • キーファイル名を <design0_sign_chain.qky> から <debug_cert_sign_chain.qky> に変更しました。
• 付録File Types for Security の .puf ファイルの説明を更新しました。
• 次の quartus_pgm コマンド引数を付録 quartus_pgm Command Operation Argument に新たに追加しました。
  • -o p;file.ccert
  • -o pvbi;file.puf
  • -o pvbi;file.wkey
  • -o ei;file.ccert;device_name
  • -o ei;file.puf;device_name
  • -o ei;file.wkey;device_name
• 軽微な誤りとスペルミスを修正しました。

• Important Notice to Customers Regarding Features Added in Intel Quartus Prime Pro Edition Software Version 20.1 のトピックを追加し、IID PUFベースのAESキーストレージおよび改ざん防止機能は、 インテル® Quartus® Primeプロ・エディション開発ソフトウェア・バージョン 20.1のベータリリースであることを記述しました。
• PUFでラップしたAESキーのサポートを追加しました。詳細は、Using a PUF-Wrapped AES Key (Beta) を参照してください。この機能は、 インテル® Quartus® Primeプロ・エディション開発ソフトウェア・バージョン20.1のベータリリースです。
• 温度、電圧、または外部クロック周波数が指定値を超えたときに、改ざん防止応答をトリガーできるモニターのサポートを追加しました。詳細は、Anti-Tamper Monitoring and Mitigation (Beta) を参照してください。この機能は、 インテル® Quartus® Primeプロ・エディション開発ソフトウェア・バージョン20.1のベータリリースです。
• Comparison of AES Key Storage Options の表を追加し、4つの可能な格納場所の機能を説明しました。
• ファームウェアID=6とファームウェア・リリースを インテル Firmware IDs の表に追加しました。
• ユーザーガイドを再編成しました。
• 署名付きコンフィグレーション・ビットストリームの整合性をチェックする quartus_pfg コマンドのサポートを追加しました。詳細は、Verifying a Configuration Bitstream Signature を参照してください。
• 付録を追加し、セキュリティー用語の頭字語と定義を説明しました。
• 付録を追加し、セキュリティー機能を実装するファイルの種類を説明しました。
• 付録を追加し、 quartus_pgm コマンドに対する動作 (-o) 引数のヘルプを示しました。
• Updated Security Categoryの図を更新し、Permitted owner cancellation idおよびAnti-Tamperタブを表示しました。
• JTAGディスエーブルeFuseによりバウンダリー・スキャンが排除されるという記述を削除しました。 インテル® Quartus® Prime20.1のリリースでは、JTAGをディスエーブルしてもバウンダリー・スキャンはディスエーブルされません。
• 軽微な誤りとスペルミスを修正しました。

quartus_pfg -c encryption_enabled.sof top.rbf \ 
-o finalize_encryption=ON -o qek_file=aes.qek \
 -o signing=ON -o pem_file=design0_sign_private.pem

• Step 1: Preparing the Owner Image and AES Key File のトピックでquartus_encrypt コマンドを修正しました。ik_count および max_key_use 引数の前には、-- を付ける必要があります。
• .rbf を .jam フォーマットに変換する方法を示すコマンドをStep 4: Signing the Bitstream のトピックに追加しました。
• Converting Key, Encryption, and Fuse Files to Jam Staple File Formats のトピックに次の注記を追加しました。
  注意:
  AES .qek ファイルを .jam フォーマットに変換すると、.jam ファイルに含まれるAESキーの形式は、プレーンテキストですが、難読化されています。したがって、AESキーを格納する際には、.jam ファイルを保護する必要があります。.jam ファイルを保護するには、AESキーをセキュアな環境でプロビジョニングします。
• Storing the AES Key in BBRAM using the JTAG Mailbox の記事How can I write or erase the Intel Stratix 10 AES BBRAM encryption key using the Mailbox Client Intel® FPGA IP interface and System Console? にリンクを追加しました。

• 物理 (不揮発性) eFuseのサポートを追加しました。
• 仮想 (揮発性) または物理 (非揮発性) eFuseの指定方法を変更しました。 --non_volatile_key パラメーターは、quartus_pgm コマンドに対する引数になりました。したがって、eFuseの格納場所を変更するために再コンパイルする必要はありません。
• サポートされる公開鍵エントリーの数を2から3に増やしました。
• 署名付きのセキュアなHPSデバッグ証明書のサポートを追加し、HPSへの不正なリモートアクセスまたは物理的アクセスを防ぎます。
• 暗号化の更新比率を127:1から31:1に減らしました。
• Using the Authentication Feature の例を改訂しました。この例では、アクセス許可6を指定し、キーによる署名が許可されるセクションが、コンフィグレーション・ビットストリームのコア (アクセス許可 = 2) セクションとHPS (アクセス許可 = 4) セクションの両方になりました。アクセス許可をコアとHPSのいずれかに制限するには、別々のキー チェーンを作成する必要があります。
• Owner Programmable eFuses の表に記述のある10個のeFuseのサポートを追加しました。
• 高度なセキュリティー機能の例を追加しました。
• サイドチャネル緩和機能の説明を追加しました。
• 次のトピックを追加しました。
  • Step 4a: Protecting the AES Key when Storing the AES in eFuses
  • Step 4b: Protecting the AES Key when Storing the AES Key in BBRAM
  • Encryption Command Detailed Description
  • Make AES Key
  • Encrypt the Bitstream
  • Programming eFuses
  • Canceling eFuses
• .jam コマンドの例をUsing the .jam Files to Program Root Key and AES Encryption Key の見出しの下に追加しました。
• AES Update Mode の図を修正しました。データブロック内のデータビット数は、128ではなく256です。
• Figure 5: Three-Key Signature Chain のキャンセルID番号を修正しました。キャンセルIDは0と1です。
• インテル® Stratix® 10 SXデバイスでコアとHPSに対して個別の署名キーを使用する推奨を削除しました。Using the Authentication Feature の例を変更し、コアとHPSの両方に署名できるアクセス許可を6に設定しました。
• Anti-Tampering のトピックを改訂しました。
• Using eFuses のトピックを改訂しました。
• 軽微な誤りとタイプミスを修正しました。

• Signing Command Argument Summary の表を修正しました。.key フォーマットへの参照は、.qky フォーマットです。

• Step 3b: Programming the AES Key and Configuring the Encrypted Image Using the Command Line のquartus_pgm コマンドのヒューズ・プログラミング・ファイル名の前にあったスペースを削除しました。
• Step 4 の Canceling Non-Volatile eFuses で、ファイル名の引数を -o "p;my_fuse.fuse" に変更しました。