Arria 10 SoCセキュア・ブート・ユーザーガイド

ダウンロード PDF
ID 683060
日付 3/29/2016
Public
ドキュメント目次
ドキュメント目次 x
1. Arria 10 SoCセキュア・ブート・ユーザーガイド
1. Arria 10 SoCセキュア・ブート・ユーザーガイド x
1.1. 前提条件 1.2. 参照資料 1.3. セキュア・ブート・ステージ 1.4. セキュア・ブート・フローの概要 1.5. ソフトウェア・イメージの認証 1.6. ソフトウェア・イメージの暗号化 1.7. ソフトウェア・イメージの認証と暗号化 1.8. セキュア・ブートに向けたSoC EDSツール 1.9. セキュア・ブートの例 1.10. 付録:SoC EDSセキュア・ブート・イメージ・ツール:alt-secure-boot 1.11. 改訂履歴
1.3. セキュア・ブート・ステージ x
1.3.1. 信頼のルート 1.3.2. 第1ステージ・ブートローダ(ROM) 1.3.3. 第2ステージ・ブートローダ 1.3.4. オペレーティング・システム
1.4. セキュア・ブート・フローの概要 x
1.4.1. セキュア・ブート・システムの作成
1.5. ソフトウェア・イメージの認証 x
1.5.1. セキュア署名鍵の生成 1.5.2. セキュア署名鍵のプログラミング 1.5.3. ブート・イメージの認証 1.5.4. OpenSSLを使用した署名鍵のペアの生成
1.5.2. セキュア署名鍵のプログラミング x
1.5.2.1. ブート・イメージ署名のフロー
1.6. ソフトウェア・イメージの暗号化 x
1.6.1. AESの暗号化と復号 1.6.2. ブート・イメージとコンフィギュレーション・ファイルの暗号化 1.6.3. ブート・イメージ暗号化フロー 1.6.4. AES暗号化鍵のプログラミング
1.8. セキュア・ブートに向けたSoC EDSツール x
1.8.1. ブートローダ・ジェネレータ 1.8.2. セキュア・ブート・イメージ・ツール 1.8.3. ブート・イメージ・フォーマット・ツール
1.8.1. ブートローダ・ジェネレータ x
1.8.1.1. ブートローダ・ジェネレータ内のセキュリティ設定
1.9. セキュア・ブートの例 x
1.9.1. 署名付きの第2ステージ・ブートローダ・イメージの作成 1.9.2. 暗号化された第2ステージ・ブートローダ・イメージの作成
1. Arria 10 SoCセキュア・ブート・ユーザーガイド

1.5.2. セキュア署名鍵のプログラミング

ブート・イメージが署名された後、秘密鍵はデバイスの製造サイトでブート・イメージが保護されるよう保持されます。公開鍵は、デバイスにプログラムされます。一部の署名鍵の種類には、更改期のハッシュがプログラムされます。たとえば、デバイス・セキュリティが破られる可能性があるといった場合、製造者は必要に応じて新しい鍵のペアを生成することが可能です。鍵のペアは再生成が可能であり、システムの脆弱性を低減することができます。

署名鍵の種類により、公開鍵のロケーションが決定されます。以下の表に、使用可能な署名鍵の種類と対応するロケーションを示します。

表 1.  署名鍵の種類

ロケーション

鍵の種類

説明

ブート・イメージ

ユーザー

公開鍵はブート・イメージ・ヘッダ内に保存されます。

注: 非セキュア:テスト用のみ

ユーザー・ヒューズ

ヒューズ

公開鍵はブート・イメージ・ヘッダ内に保存されます。公開鍵のハッシュは、ユーザー・ヒューズ内に保存され、ブート・イメージ・ヘッダ内の公開鍵を検証する際に使用することができます(今後のSoC EDSリリースでサポートされます)。

セキュリティ・ヒューズについての詳細は、Arria 10 Hard Processor System Technical Reference ManualSoC Securityの章の「セキュリティ・ヒューズ」を参照してください。

FPGA

FPGA

公開鍵はFPGAメモリ内に保存されます。
関連情報
レベル 2 の表題