Design Security Features in Altera FPGA Опции

[doom13]

Здравствуйте!
Возник вопрос защиты проекта для FPGA (Cyclone 5, режим конфигурации - AS). Почитал an556 “Using the Design Security Features in Altera FPGAs” и “Configuration, Design Security, and Remote System Upgrades in Cyclone V Devices” от Altera, как-то не совсем понятен весь процесс защиты проекта. Согласно даташиту, необходимо сформировать зашифрованный, с использованием ключа, файл прошивки для flash-a, залить ключ в FPGA, далее при включении питания будет грузиться зашифрованная прошивка.
Вопрос:
1. Каким образом формируется файл зашифрованной прошивки? Например, предполагается первый раз залить прошивку при помощи SFL, т.е. необходимо сформировать зашифрованный jic-файл. Используем “Convert Programming File”, в опциях для sof-файла выбираем : Generate encrypted bitstream; Generate key gramming file x.ekp; вводим key жмём ОК. Полученный jic-файл и есть зашифрованный при помощи ключа? Полученный ekp-файл – encryption key programming file (необходим для прошивки ключа в FPGA)?
2. Каким образом прошивается сам ключ? Необходимо залить ekp-файл? Или сконвертить его в jam, svf, jbc и потом залить?

[yes]

2Stewart Little поясните, пожалуйста, не высылая ini

планирую использовать SoC Cyclone 5 (с АРМом которые), хотелось бы использовать криптование прошивки ПЛИС с ключем в eFuse

каких неожиданностей следует ожидать в плане софта/лицензий, может ераты какой-то...

спасибо

[Stewart Little]

планирую использовать SoC Cyclone 5 (с АРМом которые), хотелось бы использовать криптование прошивки ПЛИС с ключем в eFuse
каких неожиданностей следует ожидать в плане софта/лицензий, может ераты какой-то...

Сергей, а что такое eFuse? Это, поди, что-то из актеля/зайлинкса?
В крайних альтеровских семействах (в т.ч. Cyclone V) ключ можно хранить как в однократном ПЗУ, так и в ОЗУ (в этом случае понадобится резервная батарея).
Процедура создания шифрованного файла и прошивки ключа описана уважаемым doom13, в первом посте он также упоминает альтеровский документ, где все это описано.
Для использования non-volatile ключа понадобится специальная фича в квартусовский лицензионный файл.
Если нужен Tamper protection, то необходим еще и обсуждаемый ini-файл.
Насчет необходимости именно EthernetBlaster для прошивки non-volatile ключа в Cуclone V я не уверен - по-хорошему, нужно этот вопрос исследовать отдельно
Вроде на этом и все.

[doom13]

Насчет необходимости именно EthernetBlaster для прошивки non-volatile ключа в Cуclone V я не уверен - по-хорошему, нужно этот вопрос исследовать отдельно

В даташите (an556) написано так:
ByteBlaster II and USB-Blaster support only volatile key programming. Ethernet Blaster and JTAG Technologies support both volatile and non-volatile key programming. For non-volatile key programming, you must regulate the JTAG TCK pulse width (period) for proper polyfuse programming.

Для использования non-volatile ключа понадобится специальная фича в квартусовский лицензионный файл.

Если можно, тут по-подробней. Что именно необходимо добавить в файл лиценнзии? Строки, на подобие тех, что необходимы для добавления лицензии на IP-ядра.

[Stewart Little]

В даташите (an556) написано так:
ByteBlaster II and USB-Blaster support only volatile key programming. Ethernet Blaster and JTAG Technologies support both volatile and non-volatile key programming. For non-volatile key programming, you must regulate the JTAG TCK pulse width (period) for proper polyfuse programming.

Да, все это так. Но у альтеры есть новое железо для прошивки - USB-Blaster II, который доже допускает управление параметрами JTAG'овских сигналов. Пока этот новый бластер только встраивают в отладочные платы для новый семейств, но обещают свделавть и как отдельный девайс. Вот я и имел в виду, а нельзя ли будет использовать USB-Blaster II для прошивки OPT-ключа??? Хотя, возможно вопрос несколько преждевременный

Если можно, тут по-подробней. Что именно необходимо добавить в файл лиценнзии? Строки, на подобие тех, что необходимы для добавления лицензии на IP-ядра.

Да, именно так. В понедельник отмылю уточнения.

непонятно для меня описана возможность генерации jam файлов для прошивки ключа и файла

А что _именно_ непонятно? Там, имхо, все расписано подробно...

непонятно - позволяет ли internal jtag прошивать ключи (Non-Volatile особенно)

Что здесь понимается под "internal jtag"???

ну и если это можно в конфе - официальная стоимость или условия ini и лицензии тоже важно

Ответил в личку.

[Stewart Little]

Да, все это так. Но у альтеры есть новое железо для прошивки - USB-Blaster II, который доже допускает управление параметрами JTAG'овских сигналов. Пока этот новый бластер только встраивают в отладочные платы для новый семейств, но обещают свделавть и как отдельный девайс. Вот я и имел в виду, а нельзя ли будет использовать USB-Blaster II для прошивки OPT-ключа??? Хотя, возможно вопрос несколько преждевременный

Похоже, что USB-Blaster II таки годится для прошивки OPT-ключа:

USB-Blaster II Download Cable Support
Up to 24MHz TCK/DCLK
4x improvement
Secure Key Programming

[EugeneS]

Похоже, что USB-Blaster II таки годится для прошивки OPT-ключа:

Вот еще:
http://www.altera.com/support/kdb/solution...032008_684.html