• 如何对xilinx FPGA进行bit文件加密


    记录背景:最近在用Vivado评估国外一个公司所提供的ISE所建的工程时,由于我并没有安装ISE工程,因此将其提供的所有v文件导入到Vivado中,对其进行编译。添加完之后成功建立顶层文件,但奇怪的是,除了顶层文件的v文件可以正常打开编辑外,其它sub层的v文件都无法正常打开编辑,双击打开后显示的是乱码,继续查找它们与顶层文件有什么不同时,发现这些文件的属性之一——encrypted 都是“yes”状态。

    这多少有点震惊我了,我之前只知道为了保护某文件的保密性时,一般都是生成网表(ncg?netlist?)文件以便提供他人使用,别人拿到的网表文件只是个空壳子,尽管调用就好,里面的代码对他来说就是个空壳子。

    为了知道别人是怎么做到v文件加密的(感觉逼格挺高的),上网搜索一番,最后,最后,最后发现是需要Xilinx提供特定的工具才可以(而这一说法也得到了Xilinx的FAE的认证),而这个特定的工具一般只有Xilinx的高级客户才会拥有。好吧,继续挖掘的冲动突然就猝死了。

    --------------------------------------------------------------------------------------------------------------------------------------------

    转自:https://blog.csdn.net/u010161493/article/details/79200527,如有侵犯,请告知删除,抱歉!

    加密的优点

    xilinx的V6和7全系列FPGA支持AES256加密,加密的好处: 
    1,可以防止别人回读或者对你的程序进行逆向读取; 
    2,防止更改烧写的bit文件。 
    如果仅仅是防止回读,可以简单设置BITSTREAM.READBACK.SECURITY,其中LEVEL1是禁止回读,LEVEL2禁止回读和重新烧写FPGA。 
    但如果对手的逆向能力很强,比如说在FPGA上电加载bit的时候用逻辑分析仪把用bit文件“读”出来,这个简单的设置肯定就不行了。这时候可以使用AES256加密。

    AES算法简介:

    AES即高级加密标准,是一种区块加密,当然也是对称加密。区块固定为128bit,秘钥为128,192或256bit。AES有5种加密模式,xliinx采用的是CBC模式。有一个128bit初始向量IV(startCBC),先利用初始向量IV与第一组数据进行异或后再进行加密运算生成C1。将C1作为初始向量与第二组数据进行异或后再进行加密运算生成C2。以此类推,当最后一组数据加密完毕后,将加密结果拼接为最终结果,C = C1C2C3……Cn。 
    所以采用CBC模式的256AES需要两个东西,128bit-startCBC和256bit-AES key。

    到这里还没完,完成了bit加密还没有认证,万一别人把烧进去bit文件篡改了怎么办?(重新烧了新的bit文件)。所以xilinx又提供了HMAC的认证,这个就跟校验差不多了,检查消息的完整性。

    所以还需要提供256bit-HMAC,加上128bit-startCBC和256bit-AES key,一共是三个。这三个key可以自己生成,也可以指定空的 .nky文件,由软件随机生成好。 
    for example 
    ··· 
    Device xc7a35t; 
    Key 0 0f2ec1178ae0d04c8c1431afe8266d08e799b01c5c486c2567f3621f47319aaf; 
    Key StartCBC a6262d508c338eeab815340a7832436d; 
    Key HMAC d82e72733a7bd7904c802d13db37187b8ad20b972ac163470c5a4d239bce6308; 
    ··· 
    加密的AES key可以存到FPGA内部易失性的BBR或只能烧写一次(OTP)的eFUSE中。 
    BBR需要电池供电,可以多次编程。eFUSE不需要电池,但只能烧写一次。这里使用eFUSE

    eFUSE寄存器

    首先来看一下eFUSE寄存器: 
    这里写图片描述 
    一共有四个寄存器,分别是存放AES秘钥,用户信息,设备DNA和eFUSE控制。下面特别关注一下eFUSE控制寄存器:

    这里写图片描述 
    这里写图片描述 
    一共有6个bit有用,各种设置的优缺点表里有详细说明,使用参考设置101100就行了。 
    其中bit0很重要,万一置位了,AES的key又搞丢了,FPGA就变砖头了。

    具体的操作步骤如下:

    1生成key和加密bit

    下面三个key可以自己生成填进去,也可以由软件随机生成。 
    这里写图片描述
    这里写图片描述
    要打开edit device properties,先要打开sythesized design 或者implement design,然后在generate bitstream右键设置 
    这里写图片描述
    这里写图片描述

    2下载eFUSE

    这里写图片描述 
    这里写图片描述 
    这里写图片描述 
    这里写图片描述

    3烧写FPGA程序

    这里写图片描述 
    这里写图片描述 
    program 
    这里写图片描述 
    这里写图片描述

    4验证

    很简单,读出mcs然后烧到另一个FPGA里面去,可以看到不能工作。当然,也可以在前面eFUSE设置时选择只能加载AES加密的bit文件,这样换一个不加密的bit下进去也能验证。 
    这里写图片描述 
    这里写图片描述

    **********************************************************************************************************************

    Q1:在bitstreams中的edit device property选项中,没有encyption选项,所以无法设置efues。

    A1:这应该是开发工具版本过低的原因,升级到新版本试试。

  • 相关阅读:
    浏览器渲染页面
    递归求1-100之和
    border属性
    ES6 Class
    数组去重
    get、post请求
    对象冒充继承
    原型链继承
    实现JS数据拷贝
    【转】centos升级curl版本
  • 原文地址:https://www.cnblogs.com/lifei-chan/p/9208402.html
Copyright © 2020-2023  润新知