インテル® Stratix® 10 デバイス・セキュリティー・ユーザーガイド

ダウンロード PDF
ID 683642
日付 9/02/2021
Public
ドキュメント目次
ドキュメント目次 x
1. インテルStratix 10デバイス・セキュリティーの概要 2. 認証と承認 3. AESビットストリームの暗号化 4. デバイス・プロビジョニング 5. 高度な機能 6. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドのアーカイブ 7. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドの文書改訂履歴
1. インテルStratix 10デバイス・セキュリティーの概要 x
1.1. 製品セキュリティーへの取り組み
2. 認証と承認 x
2.1. 署名チェーンを作成する 2.2. コンフィグレーション・ビットストリームに署名する
2.1. 署名チェーンを作成する x
2.1.1. 認証キーペアをローカル・ファイルシステム上に作成する 2.1.2. 認証キーペアをSoftHSMで作成する 2.1.3. 署名チェーン・ルート・エントリーを作成する 2.1.4. 署名チェーン公開鍵エントリーを作成する
2.2. コンフィグレーション・ビットストリームに署名する x
2.2.1. Quartus Key Fileの割り当て 2.2.2. SDMファームウェアに共同署名する 2.2.3. quartus_signコマンドを使用してビットストリーム署名をコンフィグレーションする 2.2.4. コンフィグレーション・ビットストリーム署名チェーンを検証する
3. AESビットストリームの暗号化 x
3.1. AESルートキーを作成する 3.2. Quartusの暗号化設定 3.3. コンフィグレーション・ビットストリームに署名する
3.3. コンフィグレーション・ビットストリームに署名する x
3.3.1. Programming File Generatorのグラフィカル・インターフェイスを使用したコンフィグレーション・ビットストリームの暗号化 3.3.2. Programming File Generatorのコマンド・ライン・インターフェイスを使用したコンフィグレーション・ビットストリームの暗号化 3.3.3. コマンド・ライン・インターフェイスを使用した部分的に暗号化されたコンフィグレーション・ビットストリームの生成 3.3.4. パーシャル・リコンフィグレーション・ビットストリームの暗号化
4. デバイス・プロビジョニング x
4.1. SDMプロビジョニング・ファームウェアを使用する 4.2. 認証ルートキーのプロビジョニング 4.3. キーキャンセルIDヒューズのプログラミング 4.4. セキュリティー設定ヒューズのプロビジョニング 4.5. AESルートキーのプロビジョニング 4.6. 所有者ルートキー、AESルートキー証明書、およびヒューズファイルをJam STAPLファイル・フォーマットに変換する
4.5. AESルートキーのプロビジョニング x
4.5.1. AESルート・キー・コンパクト証明書 4.5.2. Intrinsic ID® PUF AESルートキーのプロビジョニング 4.5.3. ブラック・キー・プロビジョニング
4.5.2. Intrinsic ID® PUF AESルートキーのプロビジョニング x
4.5.2.1. Intrinsic ID PUFの登録 4.5.2.2. AESルートキーをラップする 4.5.2.3. ヘルパーデータとラップされたキーをクアッドQSPIフラッシュメモリーにプログラミングする 4.5.2.4. Intrinsic ID PUFのアクティベーション・ステータスを照会する 4.5.2.5. フラッシュメモリー内のPUFの位置
4.5.3. ブラック・キー・プロビジョニング x
4.5.3.1. ブラック・キー・プロビジョニング・オプション
5. 高度な機能 x
5.1. Secure Debug Authorization 5.2. HPSデバッグ証明書 5.3. プラットフォーム構成証明 5.4. 物理的改ざん防止 5.5. リモート・システム・アップデートでのデザイン・セキュリティー機能の使用
5.4. 物理的改ざん防止 x
5.4.1. 改ざん防止応答 5.4.2. 改ざん防止検出 5.4.3. Anti-Tamper Lite Intel® FPGA IP
5.4.3. Anti-Tamper Lite Intel® FPGA IP x
5.4.3.1. リリース情報
1. インテルStratix 10デバイス・セキュリティーの概要
2. 認証と承認
3. AESビットストリームの暗号化
4. デバイス・プロビジョニング
5. 高度な機能
6. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドのアーカイブ
7. インテル® Stratix® 10デバイス・セキュリティー・ユーザーガイドの文書改訂履歴

2.2.4. コンフィグレーション・ビットストリーム署名チェーンを検証する

署名チェーンと署名付きビットストリームの作成後、特定のルートキーでプログラムされたデバイスが、署名付きビットストリームによって正しくコンフィグレーションされていることを確認できます。まず、quartus_signコマンドのfuse_info動作を使用して、ルート公開鍵のハッシュをテキストファイルに出力します。 
quartus_sign --family=stratix10 --operation=fuse_info public_root.qky hash_fuse.txt
次に、quartus_pfg コマンドの check_integrity オプションを使用して、.rbf フォーマットの署名付きビットストリームの各セクションにある署名チェーンを検査します。check_integrity オプションでは、ビットストリーム全体の整合性チェックのステータス、ビットストリーム .rbf ファイルの各セクションにアタッチされた各署名チェーンの各エントリーの内容、および各署名チェーンのルート公開鍵のハッシュの予想されるヒューズ値を出力します。fuse_info 出力の値は、check_integrity 出力のFuseの行と一致していることが必要です。 
quartus_pfg --check_integrity signed_bitstream.rbf
check_integrity コマンド出力の例を次に示します。 
Info: Command: quartus_pfg --check_integrity output_file_signed.rbf 
Integrity status: OK 

Section 
Type: CMF 
Signature Descriptor ... 
Signature chain #0 (entries: 3, offset: 96) 
Entry #0 
Fuse: A1B9545C CAC4152D 9511A9AB 321778ED 1180A280 6DC58F2C 
5607433E 02A872E3 F52B2AE5 F7B8BDE0 53FA000D 8FC7AC04 
Generate key ... 
Curve : secp384r1 
X: FC28C88662DF1437DD98E61336467DC9CDA788F22F949D8F488DA755A9F8CC11AEC10006E2 
   6490B3EAB8148E6C8AA8A1 
Y: 95D1EA0FF4C7374B350FDF39CFAE3AD8D0AEA9451EA66B5B1DFD4084DA68BC4DAD3AF5CF37 
   8D7C6FB62A10BA7C512276 
Entry #1 
Generate key ... 
Curve : secp384r1 
X: B11534AA67A30EF884B89819281522F1D0326BBAFF108BC483946717A14F9630C682ECDAE5 
   40FECBADF3E66BC92A110A 
Y: 0ED5F19E6A38D97148CE6F53B679227311198105BD9E1912AD41C075711F6185E1B095DE7F 
   E2F4855851E78F9BF3D2C6 
Entry #2 
Keychain permission: SIGN_CODE 
Keychain can be cancelled by ID: 5 
Signature chain #1 (entries: 0, offset: 0) 
Signature chain #2 (entries: 0, offset: 0) 
Signature chain #3 (entries: 0, offset: 0) 

Section 
Type: IO 
Signature Descriptor ... 
Signature chain #0 (entries: 5, offset: 96) 
Entry #0 
Fuse: 46D2D1CD 666F6FA3 8CA6DF11 F09F1E84 41162254 D5E811F0 0B72B678 52D29F2F 
Generate key ... 
Curve : prime256v1 
X: DD4E3FB89EC29E0F2C9435A8D74E0780F2282367EABF4F84FD207A80EFDA1552 
Y: 9A8A74E440002AE72FF67716FE889C49DD5D0FD4FBC7195324DE267BFF06FF49 

Entry #1 
Generate key ... 
Curve : prime256v1 
X: 7EF9D2C6D246339E6D58B937D4127F83FF590B64663FEC316A418847AAA82505 
Y: 29EE71EAFC4CDBB99414C2673EA7AD44B4EE4442E803D350590DA0D95A0F2EF5 

Entry #2 
Generate key ... 
Curve : prime256v1 
X: 3A9083FF4B91136EAC43041916C2E1FC887397ABCEA017DE42AF143DBEA17ED8 
Y: 4DDDD1670C3F846EFFC4B071BC8D291FD9477EE035AD9C46B696DD20F5702809 

Entry #3 
Generate key ... 
Curve : prime256v1 
X: 8A1FBB3D3F0E5961E7FFF7D8E94AFD1836752169A9E66B79BB5861BBDA79E53F 
Y: 361FE17E8C73DE0FB4277480FAED32363A3C134DD27D6961E6F046222F06D600 

Entry #4 
Keychain permission: SIGN_CORE, SIGN_HPS 
Keychain can be cancelled by ID: 0, 0, 0 
Signature chain #1 (entries: 0, offset: 0) 
Signature chain #2 (entries: 0, offset: 0) 
Signature chain #3 (entries: 0, offset: 0) 

Section 
Type: HPS 
Signature Descriptor ... 
Signature chain #0 (entries: 5, offset: 96) 

Entry #0 
Fuse: 46D2D1CD 666F6FA3 8CA6DF11 F09F1E84 41162254 D5E811F0 0B72B678 52D29F2F 
Generate key ... 
Curve : prime256v1 
X: DD4E3FB89EC29E0F2C9435A8D74E0780F2282367EABF4F84FD207A80EFDA1552 
Y: 9A8A74E440002AE72FF67716FE889C49DD5D0FD4FBC7195324DE267BFF06FF49 

Entry #1 
Generate key ... 
Curve : prime256v1 
X: 7EF9D2C6D246339E6D58B937D4127F83FF590B64663FEC316A418847AAA82505 
Y: 29EE71EAFC4CDBB99414C2673EA7AD44B4EE4442E803D350590DA0D95A0F2EF5 

Entry #2 
Generate key ... 
Curve : prime256v1 
X: 3A9083FF4B91136EAC43041916C2E1FC887397ABCEA017DE42AF143DBEA17ED8 
Y: 4DDDD1670C3F846EFFC4B071BC8D291FD9477EE035AD9C46B696DD20F5702809 

Entry #3 
Generate key ... 
Curve : prime256v1 
X: 8A1FBB3D3F0E5961E7FFF7D8E94AFD1836752169A9E66B79BB5861BBDA79E53F 
Y: 361FE17E8C73DE0FB4277480FAED32363A3C134DD27D6961E6F046222F06D600 

Entry #4 
Keychain permission: SIGN_CORE, SIGN_HPS 
Keychain can be cancelled by ID: 0, 0, 0 
Signature chain #1 (entries: 0, offset: 0) 
Signature chain #2 (entries: 0, offset: 0) 
Signature chain #3 (entries: 0, offset: 0) 

Section 
Type: CORE 
Signature Descriptor ... 
Signature chain #0 (entries: 5, offset: 96) 

Entry #0 
Fuse: 46D2D1CD 666F6FA3 8CA6DF11 F09F1E84 41162254 D5E811F0 0B72B678 52D29F2F 
Generate key ... 
Curve : prime256v1 
X: DD4E3FB89EC29E0F2C9435A8D74E0780F2282367EABF4F84FD207A80EFDA1552 
Y: 9A8A74E440002AE72FF67716FE889C49DD5D0FD4FBC7195324DE267BFF06FF49 

Entry #1 
Generate key ... 
Curve : prime256v1 
X: 7EF9D2C6D246339E6D58B937D4127F83FF590B64663FEC316A418847AAA82505 
Y: 29EE71EAFC4CDBB99414C2673EA7AD44B4EE4442E803D350590DA0D95A0F2EF5 

Entry #2 
Generate key ... 
Curve : prime256v1 
X: 3A9083FF4B91136EAC43041916C2E1FC887397ABCEA017DE42AF143DBEA17ED8 
Y: 4DDDD1670C3F846EFFC4B071BC8D291FD9477EE035AD9C46B696DD20F5702809 

Entry #3 
Generate key ... 
Curve : prime256v1 
X: 8A1FBB3D3F0E5961E7FFF7D8E94AFD1836752169A9E66B79BB5861BBDA79E53F 
Y: 361FE17E8C73DE0FB4277480FAED32363A3C134DD27D6961E6F046222F06D600 

Entry #4 
Keychain permission: SIGN_CORE, SIGN_HPS 
Keychain can be cancelled by ID: 0, 0, 0 
Signature chain #1 (entries: 0, offset: 0) 
Signature chain #2 (entries: 0, offset: 0) 
Signature chain #3 (entries: 0, offset: 0)
レベル 2 の表題