如何对xilinx FPGA进行bit文件加密
2018-01-29 23:00
141 查看
项目终于搞完了,到了发布的关键节点,为了防止自己的心血被别人利用,最好对产品进行bit加密。
1,可以防止别人回读或者对你的程序进行逆向;
2,防止更改烧写的bit文件。
如果仅仅是防止回读,可以简单设置BITSTREAM.READBACK.SECURITY,其中LEVEL1是禁止回读,LEVEL2禁止回读和重新烧写FPGA。
但如果对手的逆向能力很强,比如说在FPGA上电加载bit的时候用逻辑分析仪把用bit文件“读”出来,这个简单的设置肯定就不行了。这时候可以使用AES256加密。
所以采用CBC模式的256AES需要两个东西,128bit-startCBC和256bit-AES key。
到这里还没完,完成了bit加密还没有认证,万一别人把烧进去bit文件篡改了怎么办?(重新烧了新的bit文件)。所以xilinx又提供了HMAC的认证,这个就跟校验差不多了,检查消息的完整性。
所以还需要提供256bit-HMAC,加上128bit-startCBC和256bit-AES key,一共是三个。这三个key可以自己生成,也可以指定空的 .nky文件,由软件随机生成好。
for example
···
Device xc7a35t;
Key 0 0f2ec1178ae0d04c8c1431afe8266d08e799b01c5c486c2567f3621f47319aaf;
Key StartCBC a6262d508c338eeab815340a7832436d;
Key HMAC d82e72733a7bd7904c802d13db37187b8ad20b972ac163470c5a4d239bce6308;
···
加密的AES key可以存到FPGA内部易失性的BBR或只能烧写一次(OTP)的eFUSE中。
BBR需要电池供电,可以多次编程。eFUSE不需要电池,但只能烧写一次。这里使用eFUSE
一共有四个寄存器,分别是存放AES秘钥,用户信息,设备DNA
4000
和eFUSE控制。下面特别关注一下eFUSE控制寄存器:
一共有6个bit有用,各种设置的优缺点表里有详细说明,使用参考设置101100就行了。
其中bit0很重要,万一置位了,AES的key又搞丢了,FPGA就变砖头了。
要打开edit device properties,先要打开sythesized design 或者implement design,然后在generate bitstream右键设置
program
加密的优点
xilinx的V6和7全系列FPGA支持AES256加密,加密的好处:1,可以防止别人回读或者对你的程序进行逆向;
2,防止更改烧写的bit文件。
如果仅仅是防止回读,可以简单设置BITSTREAM.READBACK.SECURITY,其中LEVEL1是禁止回读,LEVEL2禁止回读和重新烧写FPGA。
但如果对手的逆向能力很强,比如说在FPGA上电加载bit的时候用逻辑分析仪把用bit文件“读”出来,这个简单的设置肯定就不行了。这时候可以使用AES256加密。
AES算法简介:
AES即高级加密标准,是一种区块加密,当然也是对称加密。区块固定为128bit,秘钥为128,192或256bit。AES有5种加密模式,xliinx采用的是CBC模式。有一个128bit初始向量IV(startCBC),先利用初始向量IV与第一组数据进行异或后再进行加密运算生成C1。将C1作为初始向量与第二组数据进行异或后再进行加密运算生成C2。以此类推,当最后一组数据加密完毕后,将加密结果拼接为最终结果,C = C1C2C3……Cn。所以采用CBC模式的256AES需要两个东西,128bit-startCBC和256bit-AES key。
到这里还没完,完成了bit加密还没有认证,万一别人把烧进去bit文件篡改了怎么办?(重新烧了新的bit文件)。所以xilinx又提供了HMAC的认证,这个就跟校验差不多了,检查消息的完整性。
所以还需要提供256bit-HMAC,加上128bit-startCBC和256bit-AES key,一共是三个。这三个key可以自己生成,也可以指定空的 .nky文件,由软件随机生成好。
for example
···
Device xc7a35t;
Key 0 0f2ec1178ae0d04c8c1431afe8266d08e799b01c5c486c2567f3621f47319aaf;
Key StartCBC a6262d508c338eeab815340a7832436d;
Key HMAC d82e72733a7bd7904c802d13db37187b8ad20b972ac163470c5a4d239bce6308;
···
加密的AES key可以存到FPGA内部易失性的BBR或只能烧写一次(OTP)的eFUSE中。
BBR需要电池供电,可以多次编程。eFUSE不需要电池,但只能烧写一次。这里使用eFUSE
eFUSE寄存器
首先来看一下eFUSE寄存器:一共有四个寄存器,分别是存放AES秘钥,用户信息,设备DNA
4000
和eFUSE控制。下面特别关注一下eFUSE控制寄存器:
一共有6个bit有用,各种设置的优缺点表里有详细说明,使用参考设置101100就行了。
其中bit0很重要,万一置位了,AES的key又搞丢了,FPGA就变砖头了。
具体的操作步骤如下:
1生成key和加密bit
下面三个key可以自己生成填进去,也可以由软件随机生成。要打开edit device properties,先要打开sythesized design 或者implement design,然后在generate bitstream右键设置
2下载eFUSE
3烧写FPGA程序
program
4验证
很简单,读出mcs然后烧到另一个FPGA里面去,可以看到不能工作。当然,也可以在前面eFUSE设置时选择只能加载AES加密的bit文件,这样换一个不加密的bit下进去也能验证。相关文章推荐
- 如何利用异或运算进行简单加密解密
- Windows XP 里如何对文件进行加密
- 对加密系统下的项目代码如何进行解密
- 译:在ASP.NET中如何对cookies进行加密和解密
- Windows XP 里如何对文件进行加密
- c# 如何利用异或运算进行简单加密解密
- 如何使用Java对密码进行加密 Java Sah加密方式帮你实现加密
- 如何对shell脚本进行加密且不影响脚本运行
- 如何对web.config进行加密和解密
- (爱加密系列教程十三) 如何防止工具(八门神器)进行内存修改
- xilinx的bit文件格式如何写入FPGA
- Q:我欲使用WinDriver开发一个PCI卡的驱动程序来传输图像,但是当我利用WinDriver进行Virtex5 FPGA进行读取和写入动作时,计算机会当机,请问如何解决?
- python—如何使用post进行登录操作与非对称加密的破解
- 如何为数据进行加密与解密,避免使用者窃取机密数据?
- 如何使用Base64进行加密和解密
- 如何对Unity工程进行加密
- 如何对ASP页面进行加密
- FPGA 设计如何进行面积优化(逻辑资源占用量优化)
- 技术分析 | 新型勒索病毒Petya如何对你的文件进行加密
- 【Android数据加密与完整性校验之RSA加密算法】Android应用开发中如何使用RSA加密算法对数据进行校验