AN 556: インテルFPGAにおけるデザイン・セキュリティー機能の使用

ダウンロード PDF
ID 683269
日付 11/12/2019
Public
ドキュメント目次
ドキュメント目次 x
インテル® FPGAにおけるデザイン・セキュリティー機能の使用
インテル® FPGAにおけるデザイン・セキュリティー機能の使用 x
デザイン・セキュリティー機能の概要 ハードウェアおよびソフトウェア要件 安全なコンフィグレーション・フローの実装手順 改ざん防止ビット・プログラミングのイネーブルの手順 サポートされているコンフィグレーション・スキーム セキュリティー・モードの検証 暗号化機能がイネーブルされたシリアル・フラッシュ・ローダーのサポート 単一のFPGAデバイスチェーンに対して暗号化がイネーブルされたシリアル・フラッシュ・ローダーのサポート 28nmおよび20nm FPGAのJTAGセキュアモード AN 556の改訂履歴: インテル FPGAにおけるデザイン・セキュリティー機能の使用
デザイン・セキュリティー機能の概要 x
セキュリティー暗号化アルゴリズム 不揮発性および揮発性キーのストレージ キー・プログラミング インテルArria 10およびインテルCyclone 10 GX Qcryptセキュリティー・ツール
インテルArria 10およびインテルCyclone 10 GX Qcryptセキュリティー・ツール x
Qcryptツールの使用 Qcryptツールのオプション Qcryptツール・セキュリティー・オプションのセキュリティー・レベル
ハードウェアおよびソフトウェア要件 x
ハードウェア要件 ソフトウェア要件
安全なコンフィグレーション・フローの実装手順 x
ステップ1: .ekpファイルの生成およびコンフィグレーション・ファイルの暗号化 ステップ2a: 揮発性キーのFPGAへのプログラム ステップ2b: 不揮発性キーのFPGAへのプログラム 暗号化されたコンフィグレーション・データを使用した40nm、28nmまたは20nm FPGAのコンフィグレーション
ステップ1: .ekpファイルの生成およびコンフィグレーション・ファイルの暗号化 x
インテル® Quartus® Prime開発ソフトウェアを使用したシングルデバイス .ekpファイルの生成およびコンフィグレーション・ファイルの暗号化 インテル® Quartus® Prime開発ソフトウェアのコマンドライン・インターフェイスを使用したシングルデバイス .ekpファイルの生成およびコンフィグレーション・ファイルの暗号化 インテル® Quartus® Prime開発ソフトウェアを使用したマルチデバイス .ekpファイルの生成およびコンフィグレーション・ファイルの暗号化
ステップ2b: 不揮発性キーのFPGAへのプログラム x
および インテル® Quartus® Prime開発ソフトウェアを使用した揮発性および不揮発性キーのプログラミング インテル® Quartus® Prime開発ソフトウェアを使用したシングルデバイスの揮発性または不揮発性キーのプログラミング インテル® Quartus® Prime開発ソフトウェアのコマンドライン・インターフェイスを使用したシングルデバイスの揮発性または不揮発性キーのプログラミング インテル® Quartus® Prime開発ソフトウェアを使用したマルチデバイスの揮発性または不揮発性キーのプログラミング インテル® Quartus® Prime開発ソフトウェアのコマンドライン・インターフェイスを使用したマルチデバイスの揮発性または不揮発性キーのプログラミング JTAG Technologiesを使用したキー・プログラミング
セキュリティー・モードの検証 x
JTAGセキュアモードでの検証
28nmおよび20nm FPGAのJTAGセキュアモード x
内部JTAGインターフェイス JTAGセキュアモードのデザイン例
JTAGセキュアモードのデザイン例 x
デザイン例の インテル® Quartus® Primeデザイン・コンポーネント LOCKおよびUNLOCK JTAG命令 JTAGセキュアモードの検証
インテル® FPGAにおけるデザイン・セキュリティー機能の使用

Qcryptツールのオプション

表 7.  Qcryptツールの基本オプション
基本オプション 説明
--encrypt デフォルト動作で input_file.rbf を暗号化します。
--decrypt input_file.rbf を復号化して、元のビットストリームを取得します。復号化後の .rbf が元のビットストリームと異なるのは、セキュリティー・オプションがイネーブルされていた場合です。明示的にこれらのセキュリティー・オプションをレベル0にリセットすれば、復号化された .rbf を暗号化前の元の .rbf と一致させることができます。元の .rbf ファイルは、復号化後のファイルとわずかに異なりますが、その違いは無視できます。
--keyfile=<KEY_FILE> このキーファイルのデフォルト名は keyfile.key です。このオプションを使用すると、keyfile.key に別の名前を指定できます。キーファイルは、現在のプロジェクト・ディレクトリーにあり、そこには input_file.rbf も格納されています。キーファイルの例は、インテル Quartus Prime開発ソフトウェアを使用したシングルデバイス .ekpファイルの生成およびコンフィグレーション・ファイルの暗号化 を参照してください。
--keyname=<KEY_NAME> 使用する名前付きキーをキーファイルから指定します。デフォルトで、ツールではキーファイルの最初のキーを使用します。
--keystore=<types of key> 使用するセキュリティー・キーを指定します。
  • otp (不揮発性キー)
  • battery (揮発性キー)
One-time programmable (otp) がデフォルト値です。
--iv=<HEX_VALUE> オプションのシード値。非ランダム初期化ベクトル (IV) が作成されます。デフォルトでは、.rbf が暗号化されるたびに暗号化された異なる.rbf が生成されます。このオプションでは、シード値を指定して、同じ .rbf の生成を確実に行うことができます。これには同じ --iv 値を使用します。HEX_VALUE には、任意の32ビット16進値を指定できます。
表 8.  Qcryptツールのセキュリティー・オプション
セキュリティー・オプション 説明
--lockto=<FILE_NAME.qlk>

認証を以前の対応ベース・ビットストリームにロックします。

.qlkファイルが自動作成されるのは、CvPコア・イメージ・ビットストリームなどの基本コンフィグレーション・ファイルが暗号化されるときです。このオプションを使用して、後続のコアCvPまたはパーシャル・リコンフィグレーション・イメージを基本コンフィグレーションのみで使用可能にします。これにより、後続のビットストリームが、誤った (しかしそうでなければ認証されている) ベース・ビットストリームを介してロードされるのを防ぐことができます。

--no-lockto 必須の --lockto 要件をオーバーライドします。
--epof-only=[0:3] 暗号化および認証されたビットストリームのみを外部コンフィグレーションに使用できるようにします。
--no-config=[0:3] 外部ピンからのコンフィグレーションをディスエーブルします。このオプションを設定すると、コンフィグレーションの制御は内部HPSによってのみ行うことができます。
注: このセキュリティー・オプションは、 インテル® Cyclone® 10 GXではサポートされていません。
--no-pr=[0:3] 外部パーシャル・コンフィグレーションをディスエーブルします。
--no-jtag-key=[0:3] キー関連のJTAG命令をディスエーブルします。
--no-jtag-ext=[0:3] JTAGセキュアモードをイネーブルします。
--no-jtag=[0:3] 外部JTAGピンをBYPASSモードに強制します。
--no-hps-jtag=[0:3] 内部HPS JTAGをBYPASSモードに強制します。
注: このセキュリティー・オプションは、 インテル® Cyclone® 10 GXではサポートされていません。
--no-otp-key=[0:3] 不揮発性OTPヒューズキーの使用をディスエーブルします。
--no-battery-key=[0:3] バッテリー・バックアップ付きキーの使用をディスエーブルします。
--lock-battery-key=[0:3] バッテリー・バックアップ付き揮発性キーの変更または上書きを防止します。
--secure=[2:3] テストモード<default=2> をディスエーブルします。
関連情報
レベル 2 の表題