インテルのみ表示可能 — GUID: ukz1616590033418
Ixiasoft
4.5.2.2. AESルートキーをラップする
IID PUFでラップされたAESルートキー (.wkey) ファイルを生成するには、署名付き証明書をSDMに送信します。
インテル® Quartus® Prime Programmerを使用して、証明書の生成、署名、送信を自動で行い、AESルートキーをラップすることができます。または、 インテル® Quartus® Prime Programming File Generatorを使用して、署名されていない証明書を生成することもできます。署名されていない証明書に署名するには、独自のツール、またはQuartus署名ツールを使用します。次に、Programmerを使用して署名付き証明書を送信し、AESルートキーをラップします。署名付き証明書を使用して、署名チェーンの検証ができるすべてのデバイスをプログラムすることができます。
図 7. インテル® Quartus® Prime Programmerを使用してAESキーをラップする
- Programmerを使用してIID PUFでラップされたAESルートキー (.wkey) を生成するには、次の引数を使用します。
- AESルートキー証明書のアクセス許可を持つ署名チェーンを含む .qky ファイル
- 署名チェーンの最後のキーの秘密 .pem ファイル
- AESルートキーを保持している .qek ファイル
- 16バイトの初期化ベクター (iv)
quartus_pgm -c 1 -m jtag --qky_file=aes0_sign_chain.qky \ --pem_file=aes0_sign_private.pem --qek_file=aes.qek \ --iv=1234567890ABCDEF1234567890ABCDEF -o "ei;aes.wkey;1SX280LH2"
- 別の方法として、Programming File Generatorを使用して、署名されていないIID PUFでラップされたAESルートキー認証を生成するには、次の引数を使用します。
quartus_pfg --ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY \ -o qek_file=aes.qek --iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert
- 署名されていない証明書に署名する際に、独自の署名ツール、または quartus_sign ツールを使用する場合は、次のコマンドを使用します。
quartus_sign --family=stratix10 --operation=sign \ --qky=aes0_sign_chain.qky --pem=aes0_sign_private.pem \ unsigned_aes.ccert signed_aes.ccert
- 次に、Programmerを使用して、署名付きAES証明書を送信し、ラップされたキー (.wkey) ファイルを返します。
quarts_pgm -c 1 -m jtag --ccert_file=signed_aes.ccert \ -o "ei;aes.wkey;1SX280LH2"
注: プロビジョニング・ファームウェアのヘルパーイメージを以前にロードしてあれば、例えばPUFを登録する場合などは、i 動作は必要ありません。