インテルのみ表示可能 — GUID: ukz1616590033418
Ixiasoft
4.1. SDMプロビジョニング・ファームウェアを使用する
4.2. QSPIファクトリー・デフォルト・ヘルパー・イメージを所有デバイスで使用する
4.3. 認証ルート鍵のプロビジョニング
4.4. キーキャンセルIDヒューズをプログラミングする
4.5. ルート鍵をキャンセルする
4.6. カウンターヒューズをプログラミングする
4.7. Secure Data Object Serviceルート鍵のプロビジョニング
4.8. セキュリティー設定ヒューズのプロビジョニング
4.9. AESルート鍵のプロビジョニング
4.10. 所有者ルート鍵、AESルート鍵証明書、およびヒューズファイルをJam STAPLファイル・フォーマットに変換する
インテルのみ表示可能 — GUID: ukz1616590033418
Ixiasoft
4.9.2.2. AESルート鍵をラッピングする
IID PUFでラッピングされたAESルート鍵 .wkey ファイルを生成するには、署名付き証明書をSDMに送信します。
インテル® Quartus® Prime Programmerを使用して、証明書の生成、署名、送信を自動で行い、AESルート鍵をラッピングすることができます。または、 インテル® Quartus® Prime Programming File Generatorを使用して、未署名の証明書を生成することもできます。未署名の証明書に署名するには、独自のツール、またはQuartus署名ツールを使用します。次に、Programmerを使用して署名付き証明書を送信し、AESルート鍵をラッピングします。署名付き証明書を使用して、署名チェーンの検証ができるすべてのデバイスをプログラミングすることができます。
図 8. インテル® Quartus® Prime Programmerを使用したAES鍵のラッピング
- Programmerを使用してIID PUFでラッピングされたAESルート鍵 (.wkey) を生成するには、次の引数を使用します。
- AESルート鍵証明書のアクセス許可を持つ署名チェーンを含む .qky ファイル
- 署名チェーン内の最後の鍵に対する秘密 .pem ファイル
- AESルート鍵を保持している .qek ファイル
- 16バイトの初期化ベクター (iv)
quartus_pgm -c 1 -m jtag --qky_file=aes0_sign_chain.qky \ --pem_file=aes0_sign_private.pem --qek_file=aes.qek \ --iv=1234567890ABCDEF1234567890ABCDEF -o "ei;aes.wkey;AGFB014R24A"
- 別の方法として、Programming File Generatorを使用して、未署名のIID PUFでラッピングされたAESルート鍵認証を生成することもできます。これには、次の引数を使用します。
quartus_pfg --ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY \ -o qek_file=aes.qek --iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert
- 未署名の証明書に署名する際に、独自の署名ツール、または quartus_sign ツールを使用する場合は、次のコマンドを使用します。
quartus_sign --family=agilex --operation=sign \ --qky=aes0_sign_chain.qky --pem=aes0_sign_private.pem \ unsigned_aes.ccert signed_aes.ccert
- 次に、Programmerを使用して、署名付きAES証明書を送信し、ラッピングされたキー (.wkey) ファイルを返します。
quarts_pgm -c 1 -m jtag --ccert_file=signed_aes.ccert \ -o "ei;aes.wkey;AGFB014R24A"
注: プロビジョニング・ファームウェア・ヘルパー・イメージを以前にロードしてあれば、例えばPUFを登録する場合などは、i 動作は必要ありません。