DE102011107104B4 - Portable security module and method for its operation to defend against an attack in real time using pattern recognition - Google Patents

Portable security module and method for its operation to defend against an attack in real time using pattern recognition Download PDF

Info

Publication number
DE102011107104B4
DE102011107104B4 DE102011107104.4A DE102011107104A DE102011107104B4 DE 102011107104 B4 DE102011107104 B4 DE 102011107104B4 DE 102011107104 A DE102011107104 A DE 102011107104A DE 102011107104 B4 DE102011107104 B4 DE 102011107104B4
Authority
DE
Germany
Prior art keywords
edge
signal
pattern recognition
time
integrated circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102011107104.4A
Other languages
German (de)
Other versions
DE102011107104A1 (en
Inventor
Klaus Butz
Michael Lamla
Arvid Wirén
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient ePayments GmbH
Original Assignee
Giesecke and Devrient Mobile Security GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient Mobile Security GmbH filed Critical Giesecke and Devrient Mobile Security GmbH
Priority to DE102011107104.4A priority Critical patent/DE102011107104B4/en
Publication of DE102011107104A1 publication Critical patent/DE102011107104A1/en
Application granted granted Critical
Publication of DE102011107104B4 publication Critical patent/DE102011107104B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/75Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
    • G06F21/755Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation with measures against power attack

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Verfahren zum Betreiben eines Sicherheitsmoduls (CC), das eine integrierte Schaltung (IC) und einen nicht-flüchtigen Speicher (NVM) umfasst, wobei die integrierte Schaltung (IC) eine Operation ausführt, welche- zu einem von außerhalb des Sicherheitsmoduls (CC) messbaren Signal, wie Stromverbrauch, Aufladung oder Emission, führt; und- dem Signal ein Störsignal hinzufügt; dadurch gekennzeichnet, dass die integrierte Schaltung (IC) mit dem Ausführen der Operation selektiv den Verlauf einer Flanke des Signals durch das Hinzufügen des Störsignals variiert, um eine Erkennung der Flanke mit Hilfe einer Mustererkennung zu verzögern, wobeidie Operation zu einem Abschluss-Zeitpunkt (t1) nach dem Ende der Flanke abgeschlossen ist;die Flanke mit Hilfe der Mustererkennung zu einem Mustererkennungs-Zeitpunkt (ta) nach dem Ende der Stromflanke erkennbar ist und der Verlauf der Stromflanke derart variiert wird, dass der Abschluss-Zeitpunkt (t1) vor dem Mustererkennungs-Zeitpunkt (ta) liegt.A method for operating a security module (CC) comprising an integrated circuit (IC) and a non-volatile memory (NVM), the integrated circuit (IC) executing an operation which can be measured from outside the security module (CC) Signal, such as power consumption, charging or emission, leads; and adds an interfering signal to the signal; characterized in that the integrated circuit (IC), when the operation is carried out, selectively varies the course of an edge of the signal by adding the interference signal in order to delay recognition of the edge with the aid of a pattern recognition, the operation at a completion time (t1 ) is completed after the end of the edge; the edge can be recognized with the help of pattern recognition at a pattern recognition time (ta) after the end of the current edge and the course of the current edge is varied such that the completion time (t1) before the pattern recognition -Time (ta) is.

Description

Die Erfindung betrifft ein Verfahren zum Betreiben eines Sicherheitsmoduls, das eine integrierte Schaltung und einen nicht-flüchtigen Speicher umfasst. Die integrierte Schaltung führt eine Operation aus, welche zu einem von außerhalb des Sicherheitsmoduls messbaren Signal, wie Stromverbrauch, Aufladung oder Emission, führt und fügt dem Signal ein Störsignal hinzu. Die Erfindung betrifft ferner ein Sicherheitsmodul.The invention relates to a method for operating a security module which comprises an integrated circuit and a non-volatile memory. The integrated circuit carries out an operation which leads to a signal that can be measured from outside the security module, such as power consumption, charging or emissions, and adds an interference signal to the signal. The invention also relates to a security module.

In Chipkarten bzw. IC-Karten mit integrierter Schaltung dienen beispielsweise kryptografische Operationen zum Schutz des Betriebes dieser Geräte bzw. zum Schutz von in dem Gerät transportierten Daten. Die hierfür notwendigen Rechenoperationen werden dabei sowohl von Standard-Rechenwerken als auch von dedizierten Krypto-Rechenwerken der integrierten Schaltung durchgeführt. Bei in diesem Zusammenhang verwendeten Daten bzw. Zwischenergebnissen handelt es sich üblicherweise um sicherheitsrelevante Informationen, wie beispielsweise kryptografische Schlüssel oder Operanden.In chip cards or IC cards with an integrated circuit, for example, cryptographic operations are used to protect the operation of these devices or to protect data transported in the device. The arithmetic operations required for this are carried out both by standard arithmetic units and by dedicated crypto arithmetic units of the integrated circuit. The data or intermediate results used in this context are usually security-relevant information such as cryptographic keys or operands.

Bei von der integrierten Schaltung durchgeführten Rechenoperationen, beispielsweise zur Berechnung von kryptografischen Algorithmen, werden logische Verknüpfungen zwischen Operanden bzw. Zwischenergebnissen durchgeführt. In Abhängigkeit von der verwendeten Technologie führen diese Operationen, insbesondere das Laden von leeren oder zuvor gelöschten Speicherbereichen bzw. Registern mit Daten, zu einem erhöhten Stromverbrauch der Datenverarbeitungsgeräte. Durch eine entsprechende Analyse dieser Stromänderung ist es möglich, Informationen über die berechneten Operationen zu extrahieren, sodass eine erfolgreiche Analyse von geheimen Operanden, beispielsweise kryptografischen Schlüsseln, möglich ist.In the case of arithmetic operations carried out by the integrated circuit, for example for the calculation of cryptographic algorithms, logical links are carried out between operands or intermediate results. Depending on the technology used, these operations, in particular the loading of empty or previously deleted memory areas or registers with data, lead to increased power consumption by the data processing devices. A corresponding analysis of this change in current makes it possible to extract information about the calculated operations so that a successful analysis of secret operands, for example cryptographic keys, is possible.

Mittels Durchführung mehrerer Strommessungen an dem tragbaren Datenträger kann eine hinreichende Extraktion der Informationen ermöglicht werden. Andererseits können mehrere Strommessungen eine ggf. erforderliche Differenzbildung ermöglichen. Diese Art der Kryptoanalyse wird als „Differential Power Analysis“ bezeichnet, mittels derer ein Außenstehender durch reine Beobachtung von Änderungen des Stromverbrauchs des tragbaren Datenträgers eine ggf. unberechtigte Kryptoanalyse der kryptografischen Operationen, Algorithmen, Operanden bzw. Daten erfolgreich ausführen kann. Die „Differential Power Analysis“ ermöglicht somit über eine reine Funktionalität hinaus zusätzliche interne Informationen einer integrierten Schaltung gewinnen zu können.Sufficient extraction of the information can be made possible by carrying out several current measurements on the portable data carrier. On the other hand, several current measurements can enable a difference formation that may be required. This type of cryptanalysis is called "differential power analysis", by means of which an outsider can successfully carry out an unauthorized cryptographic analysis of the cryptographic operations, algorithms, operands or data by simply observing changes in the power consumption of the portable data carrier. The "Differential Power Analysis" thus enables additional internal information of an integrated circuit to be obtained beyond pure functionality.

In ähnlicher Weise ist es möglich, die während des Betriebs der integrierten Schaltung auftretenden elektromagnetischen Emissionen zu erfassen und zu analysieren, um hieraus auf Rückschlüsse auf berechnete Operationen und Informationen der integrierten Schaltung zu gewinnen.In a similar way, it is possible to detect and analyze the electromagnetic emissions occurring during the operation of the integrated circuit, in order to draw conclusions therefrom about calculated operations and information of the integrated circuit.

Üblicherweise sind deshalb in einem tragbaren Datenträger Mechanismen implementiert, die solche Angriffe erkennen sollen und geeignete Gegenmaßnahmen ergreifen. Eine typische Gegenmaßnahme ist das Beschreiben eines nicht-flüchtigen Speichers mit einem Angriffs- bzw. sog. DFA-Fehlbedienungszähler. Der Fehlbedienungszähler kann später ausgewertet werden, um einen erfolgten Angriff zu detektieren. Eine weitere Gegenmaßnahme besteht in dem Verändern von Zuständen in dem in dem tragbaren Datenträger implementierten Betriebssystem oder dem Sperren des Datenträgers.Mechanisms are therefore usually implemented in a portable data carrier which are intended to recognize such attacks and take suitable countermeasures. A typical countermeasure is to write a non-volatile memory with an attack counter or what is known as a DFA operating error counter. The operating error counter can be evaluated later in order to detect an attack that has taken place. A further countermeasure consists in changing the states of the operating system implemented in the portable data carrier or locking the data carrier.

Um einen Angriff erfolgreich durchführen zu können und dabei auf mögliche Gegenmaßnahmen des tragbaren Datenträgers entsprechend reagieren zu können, wird mittels schneller Hardware-Logik (FPGA) eine Erkennung des typischen Strommusters des Datenträgers in Echtzeit durchgeführt. Hat der Angreifer dabei eine bestimmte Gegenmaßnahme in Echtzeit erkannt, so wird zur Umgehung der üblicherweise in Software realisierten Gegenmaßnahme der Datenträger abgeschaltet oder eine weitere Störung platziert. Beispielsweise wird die Stromversorgung des Datenträgers abgeschaltet, bevor ein Zugriff der integrierten Schaltung auf dem nicht-flüchtigen Speicher zum Beschreiben eines Fehlbedienungs- oder Angriffszählers oder ein Sperren des tragbaren Datenträgers erfolgt.In order to be able to carry out an attack successfully and to be able to react accordingly to possible countermeasures of the portable data carrier, the typical current pattern of the data carrier is recognized in real time using fast hardware logic (FPGA). If the attacker has recognized a certain countermeasure in real time, the data carrier is switched off or another malfunction is placed in order to circumvent the countermeasure usually implemented in software. For example, the power supply to the data carrier is switched off before the integrated circuit accesses the non-volatile memory for writing to an incorrect operation or attack counter or before the portable data carrier is locked.

Aus dem Stand der Technik sind verschiedene Ansätze bekannt, um die Analyse eines Stromverlaufs zu erschweren. Beispielsweise ist es bekannt, den nach außen sichtbaren Stromverlauf konstant zu halten. In einem anderen Ansatz werden sog. Dummy-Schreibzugriffe verwendet, die entweder einen an sich nicht benötigten Schreibzugriff auf den nicht-flüchtigen Speicher darstellen oder durch Aktivieren einer speziellen Schaltung erfolgen. Die in dem Datenträger vorgesehene, spezielle Schaltung ist so ausgebildet, dass diese den Stromverbrauch eines entsprechenden Speicherzugriffs möglichst genau nachbildet. Ebenso ist es bekannt, durch zusätzliche Verbraucher den Stromverbrauch derart zufällig zu markieren, dass der Verbrauch dem Beobachter als ständiges Rauschen erscheint.Various approaches are known from the prior art for making the analysis of a current curve more difficult. For example, it is known to keep the current profile visible to the outside constant. In another approach, so-called dummy write accesses are used, which either represent write access to the non-volatile memory that is not required per se or which are carried out by activating a special circuit. The special circuit provided in the data carrier is designed so that it simulates the power consumption of a corresponding memory access as precisely as possible. It is also known to mark the power consumption at random using additional consumers in such a way that the consumption appears to the observer as constant noise.

So beschreibt beispielsweise die US 6,419,159 B1 ein Verfahren, um ein externes Erkennen einer Operation eines Chips anhand einer Stromverbrauchsanalyse zu verhindern. Der Chip umfasst eine Stromverbrauchsanalysesicherheitsschaltung, die mehrere an Versorgungsanschlüsse angeschlossene Stromsenken aufweist. Mittels eines Zufallsgenerators werden die Stromsenken individuell ein bzw. ausgeschaltet, um Stromschwankungen, welche an den Versorgungsanschlüssen gemessen werden können, zu erzeugen.For example, the US 6,419,159 B1 a method to prevent external detection of an operation of a chip on the basis of a power consumption analysis. The chip comprises a power consumption analysis safety circuit which has a plurality of power sinks connected to supply connections. The current sinks are generated by means of a random generator individually switched on or off in order to generate current fluctuations which can be measured at the supply connections.

Die DE 101 28 573 A1 offenbart ein Verfahren, womit die Abarbeitung von Operationen zeitlich variiert wird.The DE 101 28 573 A1 discloses a method with which the processing of operations is varied over time.

Weiterhin offenbart die DE 60 2004 003 675 T2 ein Verfahren zur Verschlüsselung eines Klartextwertes zum Definieren eines Geheimtextes. Der Klartext wird dabei mithilfe eines maskierten Schlüssels und eines über eine kryptografische Funktion definierten Tabellenwertes in den Geheimtext verschlüsselt.Furthermore, the DE 60 2004 003 675 T2 a method of encrypting a plaintext value to define a ciphertext. The plain text is encrypted into the ciphertext using a masked key and a table value defined using a cryptographic function.

Die DE 10 2007 026 977 A1 beschreibt ein kryptographisches System, welches eine Verschlüsselungslogik enthält. Die Verschlüsselungslogik ist dazu ausgebildet Eingabedaten zu verschlüsseln, indem sie eine Maskierungsoperation an Eingabedaten unter Verwendung einer Adresse durchführt, die mit den Eingabedaten verknüpft ist.The DE 10 2007 026 977 A1 describes a cryptographic system which contains encryption logic. The encryption logic is designed to encrypt input data by performing a masking operation on input data using an address which is linked to the input data.

Ein Problem der bekannten Abwehrmechanismen besteht darin, dass diese alle einen hohen, zusätzlichen Stromverbrauch erzeugen.One problem with the known defense mechanisms is that they all generate high, additional electricity consumption.

Es ist daher Aufgabe der vorliegenden Erfindung, ein Verfahren zum Betreiben eines Sicherheitsmoduls und ein Sicherheitsmodul anzugeben, welche die Abwehr eines Angriffs in Echtzeit per Mustererkennung auf effiziente Weise erlauben und dabei gleichzeitig einen unnötigen Stromverbrauch vermeiden.It is therefore the object of the present invention to specify a method for operating a security module and a security module which allow an attack to be defended in real time by pattern recognition in an efficient manner and at the same time avoid unnecessary power consumption.

Diese Aufgaben werden gelöst durch ein Verfahren und ein Sicherheitsmodul mit den Merkmalen der unabhängigen Patentansprüche. Vorteilhafte Ausgestaltungen ergeben sich aus den abhängigen Patentansprüchen.These objects are achieved by a method and a security module with the features of the independent patent claims. Advantageous refinements result from the dependent claims.

Die Erfindung schafft ein Verfahren zum Betreiben eines Sicherheitsmoduls, das eine integrierte Schaltung und einen nicht-flüchtigen Speicher umfasst, wobei die integrierte Schaltung eine Operation ausführt, welche zu einem von außerhalb des Sicherheitsmoduls messbaren Signal, wie Stromverbrauch, Aufladung oder Emission, führt und dem Signal ein Störsignal hinzufügt. Erfindungsgemäß variiert die integrierte Schaltung mit dem Ausführen der Operation selektiv den Verlauf einer Flanke des Signals durch das Hinzufügen des Störsignals, um eine Erkennung der Flanke mit Hilfe einer Mustererkennung zu verzögern.The invention creates a method for operating a security module which comprises an integrated circuit and a non-volatile memory, the integrated circuit executing an operation which leads to a signal that can be measured from outside the security module, such as power consumption, charging or emission and the Adds an interfering signal to the signal. According to the invention, when the operation is carried out, the integrated circuit selectively varies the profile of an edge of the signal by adding the interference signal in order to delay recognition of the edge with the aid of pattern recognition.

Die Erfindung schlägt ferner ein Sicherheitsmodul vor, das eine integrierte Schaltung und einen nicht-flüchtigen Speicher umfasst, wobei die integrierte Schaltung dazu ausgebildet ist, eine Operation auszuführen, welche zu einem von außerhalb des Sicherheitsmoduls messbaren Signal, wie Stromverbrauch, Aufladung oder Emission, führt und dem Signal ein Störsignal hinzufügt. Die integrierte Schaltung ist ferner dazu ausgebildet, mit dem Ausführen der Operation selektiv den Verlauf einer Flanke des Signals durch das Hinzufügen des Störsignals zu variieren, um eine Erkennung der Flanke mit Hilfe einer Mustererkennung zu verzögern.The invention further proposes a security module that comprises an integrated circuit and a non-volatile memory, the integrated circuit being designed to carry out an operation which leads to a signal that can be measured from outside the security module, such as power consumption, charging or emissions and adds an interfering signal to the signal. The integrated circuit is also designed to selectively vary the profile of an edge of the signal by adding the interference signal when the operation is carried out, in order to delay recognition of the edge with the aid of pattern recognition.

Ein solches Sicherheitsmodul kann in einem tragbaren Datenträger, wie einer Chipkarte, einer sicheren Massenspeicherkarte oder einem USB-Token, verkörpert sein. Es kann auch ein fest eingebautes Sicherheitsmodul, wie ein Trusted Platform Modul (TPM), ein M2M-Modul, ein Benutzer-Identifikations-Modul oder ein Decoder-Moduls, sein.Such a security module can be embodied in a portable data carrier, such as a chip card, a secure mass storage card or a USB token. It can also be a permanently installed security module, such as a Trusted Platform Module (TPM), an M2M module, a user identification module or a decoder module.

Durch das erfindungsgemäß vorgeschlagene Vorgehen wird im Rahmen eines Angriffs eine Mustererkennung erschwert, wodurch der Zeitpunkt des Erkennens einer durch einen Angriff initiierten Gegenmaßnahme soweit nach hinten verschoben wird, dass die Wahrscheinlichkeit für ein erfolgreiches Schreiben einer Information, z.B. zum Sperren des Datenträgers oder zum Verändern eines Fehlbedienungs- oder Angriffszählers, ausreichend erhöht wird.The procedure proposed according to the invention makes pattern recognition more difficult in the context of an attack, as a result of which the time at which a countermeasure initiated by an attack is recognized is postponed so far that the probability of successful writing of information, e.g. to lock the data carrier or to change an incorrect operation or attack counter, is increased sufficiently.

Das erfindungsgemäße Vorgehen beruht auf der Überlegung, in welchen Fällen eine Abwehrmaßnahme sinnvoll ist und Gegenmaßnahmen gezielt einsetzbar sind. Hierbei wurde herausgefunden, dass beim schreibenden Zugriff auf den nicht-flüchtigen Speicher eine im Rahmen eines Angriffs detektierbare Signalflanke resultiert. Diese Signalflanke wird nun durch Variation massiv verfälscht, sodass ein Zugriff auf den nicht-flüchtigen Speicher nicht mehr sicher detektiert werden kann. Die Flanke beim Zugriff auf den nicht-flüchtigen Speicher kann dann nicht mehr sicher als Triggerpunkt für ein gezieltes Abschalten der integrierten Schaltung des Datenträgers benutzt werden, um einen Schreibvorgang in den nicht-flüchtigen Speicher zu verhindern.The procedure according to the invention is based on the consideration in which cases a defense measure is useful and countermeasures can be used in a targeted manner. It was found here that writing access to the non-volatile memory results in a signal edge that can be detected during an attack. This signal edge is now massively falsified by variation, so that access to the non-volatile memory can no longer be reliably detected. The edge when accessing the non-volatile memory can then no longer be safely used as a trigger point for a targeted shutdown of the integrated circuit of the data carrier in order to prevent a write process in the non-volatile memory.

Der erfindungsgemäße Abwehrmechanismus ist damit nicht permanent aktiv, sondern lediglich im Fall einer durch die integrierte Schaltung vorgenommenen Gegenmaßnahme in Reaktion auf einen Mustererkennungsangriff, welche einen Zugriff auf den nicht-flüchtigen Speicher erfordert. Hierdurch kann der Stromverbrauch für die Gegenmaßnahme im Vergleich zu bekannten Abwehrmaßnahmen reduziert werden.The defense mechanism according to the invention is therefore not permanently active, but only in the case of a countermeasure taken by the integrated circuit in response to a pattern recognition attack which requires access to the non-volatile memory. As a result, the power consumption for the countermeasure can be reduced in comparison with known countermeasures.

Die Operation ist zu einem Abschluss-Zeitpunkt nach dem Ende der Flanke abgeschlossen. Die Flanke ist mit Hilfe einer Mustererkennung in Echtzeit durch einen Angreifer zu einem Mustererkennungs-Zeitpunkt nach dem Ende der Stromflanke erkennbar. Der Verlauf der Stromflanke wird_dabei derart variiert, dass der Abschluss-Zeitpunkt vor dem Mustererkennungs-Zeitpunkt liegt.The operation is completed at a completion time after the end of the edge. The edge is with the help of a pattern recognition in real time by an attacker at a pattern recognition time after the end of the current edge recognizable. The course of the current edge is varied in such a way that the completion time is before the pattern recognition time.

Die Flanke ist insbesondere eine Stromflanke, die vorzugsweise durch einen schreibenden Zugriff der integrierten Schaltung auf den nicht-flüchtigen Speicher als die Operation entsteht. Ein schreibender Zugriff kann z.B. das Erhöhen oder das Erniedrigen eines Angriffszählers sein. Ein schreibender Zugriff kann ferner das Schreiben einer Statusinformation u. dgl. umfassen.The edge is, in particular, a current edge, which is preferably produced as the operation by a write access of the integrated circuit to the non-volatile memory. Write access can e.g. be increasing or decreasing an attack counter. A write access can also write status information u. Like. Include.

Gemäß einer weiteren Ausgestaltung ist die Operation zu dem Abschluss-Zeitpunkt als erster Schritt einer Folge von Operationen abgeschlossen. Beispielsweise handelt es sich bei den der ersten Operation folgenden zweiten Operationen um solche Operationen, welche unbrauchbar sind, um als Triggerpunkt für ein gezieltes Abschalten der integrierten Schaltung des Datenträgers benutzt werden zu können und dadurch einen schreibenden Zugriff auf den nicht-flüchtigen Speicher verhindern.According to a further embodiment, the operation is completed at the completion point in time as the first step in a sequence of operations. For example, the second operations following the first operation are operations which are unusable in order to be able to be used as a trigger point for a targeted shutdown of the integrated circuit of the data carrier and thereby prevent write access to the non-volatile memory.

Gemäß einer weiteren Ausgestaltung wird das mit der Operation zu dem Signal hinzugefügte Störsignal frühestens zu einem Start-Zeitpunkt mit dem Beginn der Flanke gestartet. Dies berücksichtigt den Umstand, dass eine Stromflanke üblicherweise beim Zugriff auf den nicht-flüchtigen Speicher durch das Aktivieren einer Ladungspumpe verursacht wird. Alternativ wird das mit der Operation zu dem Signal hinzugefügte Störsignal 5% bis 20% der Dauer der Flanke vor dem Beginn der Flanke gestartet.According to a further embodiment, the interference signal added to the signal with the operation is started at the earliest at a start point in time with the beginning of the edge. This takes into account the fact that a current edge is usually caused by activating a charge pump when accessing the non-volatile memory. Alternatively, the interference signal added to the signal with the operation is started 5% to 20% of the duration of the edge before the beginning of the edge.

In einer weiteren Ausgestaltung ist vorgesehen, dass das mit der Operation zu dem Signal hinzugefügte Störsignal spätestens zu dem Abschluss-Zeitpunkt nach dem Ende der Flanke oder mit dem Ende der Flanke endet. Alternativ endet das mit der Operation zu dem Signal hinzugefügte Störsignal 5% bis 20% der Dauer der Flanke vor oder nach dem Ende der Flanke.In a further embodiment it is provided that the interference signal added to the signal with the operation ends at the latest at the termination time after the end of the edge or at the end of the edge. Alternatively, the interference signal added to the signal with the operation ends 5% to 20% of the duration of the edge before or after the end of the edge.

Um zu verhindern, dass durch eine komplexere Auswertung eines Angreifers ein verschleiertes Stromflankensignal auf einfache Weise detektiert werden kann, kann ferner vorgesehen sein, den Verlauf der Stromflanke zufällig zu variieren.In order to prevent a more complex evaluation of an attacker from being able to detect a disguised current edge signal in a simple manner, provision can furthermore be made to vary the course of the current edge at random.

Eine Analyse des Sicherheitsmoduls wird weiterhin dadurch erschwert, dass der Zeitpunkt des Beginns und/oder des Endes des Störsignals zufällig gewählt wird.An analysis of the security module is further complicated by the fact that the point in time of the beginning and / or the end of the interference signal is selected at random.

In einer weiteren Ausgestaltung ist vorgesehen, dass eine Störamplitude des Störsignals mindestens 10% und/oder maximal 100% des Nutzanteils des Signals beträgt.In a further embodiment it is provided that an interference amplitude of the interference signal is at least 10% and / or at most 100% of the useful component of the signal.

Gemäß einer weiteren Ausgestaltung wird die Höhe und/oder Steilheit der Flanke des Signals abschnittsweise variiert. Dies trägt ebenfalls zur Erschwerung der Analyse des Sicherheitsmoduls bei.According to a further embodiment, the height and / or steepness of the edge of the signal is varied in sections. This also makes the analysis of the security module more difficult.

In einer weiteren Ausgestaltung weist die variierte Flanke eine Anzahl an lokalen Maxima auf, deren zeitlicher Abstand und deren Differenzhöhe mit jeder variierten Flanke zufällig erzeugt werden. Gemäß dieser Ausgestaltungsvariante wird nicht nur die Steilheit der Flanke verändert, sondern sie wird in eine Mehrzahl an Teil-Flanken aufgeteilt. Hierdurch wird es z.B. erschwert, das Einschalten der Ladungspumpe der integrierten Schaltung als Trigger-Punkt für ein gezieltes Abschalten des Datenträgers im Rahmen eines Angriffs zu nutzen. Insbesondere ist vorgesehen, „Dummy-Stromflanken“ zu erzeugen, deren Höhe vorzugsweise von der Flanke einer echten Ladungspumpenaktivierung bis zu einer verschleierten Aktivierung variiert. Die exakte Nachbildung eines Schreibzugriffs im weiteren Verlauf ist nicht notwendig.In a further refinement, the varied edge has a number of local maxima, the time interval between which and the height of the difference are generated at random with each varied edge. According to this embodiment variant, not only is the steepness of the flank changed, but it is also divided into a plurality of partial flanks. This makes it e.g. makes it difficult to turn on the charge pump of the integrated circuit as a trigger point for a targeted shutdown of the data carrier in the context of an attack. In particular, provision is made to generate “dummy current edges”, the height of which preferably varies from the edge of a real charge pump activation to a disguised activation. The exact reproduction of a write access in the further course is not necessary.

Die Variation der Flanke des Signals kann auch durch die Aktivierung einer ohnehin in dem Datenträger vorhandenen Hardware-Schaltung, insbesondere einem Coprozessor, bewirkt werden. Dies hat den Vorteil, dass keine zusätzliche Hardware in dem tragbaren Datenträger vorgesehen werden muss, welche die Variation der Flanke ermöglicht.The variation of the edge of the signal can also be brought about by activating a hardware circuit that is already present in the data carrier, in particular a coprocessor. This has the advantage that no additional hardware has to be provided in the portable data carrier which enables the edge to be varied.

Die Variation der Flanke des Signals kann auch durch die Ausführung eines Programms, insbesondere durch das Starten einer Interrupt-Routine, durch die integrierte Schaltung erzeugt werden, wobei das Programm stromintensive Berechnungen durchführt. Der erfindungsgemäße Abwehrmechanismus lässt sich dann auf einfache und kostengünstige Weise realisieren.The variation of the edge of the signal can also be generated by the integrated circuit by executing a program, in particular by starting an interrupt routine, the program performing power-intensive calculations. The defense mechanism according to the invention can then be implemented in a simple and inexpensive manner.

Die Variation der Flanke des Signals kann auch zumindest manchmal bei einem Zugriff auf den nicht-flüchtigen Speicher erzeugt werden. Mit anderen Worten bedeutet dies, dass die Verfälschung der Flanke nicht immer realisiert werden muss, sondern es ausreichend ist, die Verfälschung der Flanke ab und zu vorzunehmen.The variation in the edge of the signal can also be generated at least sometimes when the non-volatile memory is accessed. In other words, this means that the flank does not always have to be falsified, but that it is sufficient to falsify the flank from time to time.

Es ist weiterhin zweckmäßig, wenn die Operation in der integrierten Schaltung in einem ersten Schaltungsteil lokal über und/oder unter und/oder neben einem zweiten Schaltungsteil, in welchem das die Flanke aufweisende Signal erzeugt wird, ausgeführt wird. Hierdurch kann eine ortsaufgelöste Emissionsmessung verhindert werden.It is also expedient if the operation in the integrated circuit is carried out locally in a first circuit part above and / or below and / or next to a second circuit part in which the signal having the edge is generated. A spatially resolved emission measurement can hereby be prevented.

Die Erfindung wird nachfolgend näher anhand eines Ausführungsbeispiels in der Zeichnung erläutert. Es zeigen:

  • 1 eine schematische Darstellung eines Sicherheitsmoduls,
  • 2a, 2b den Stromverlauf eines herkömmlichen und eines erfindungsgemäßen Sicherheitsmoduls beim Zugriff auf einen nicht-flüchtigen Speicher nach der Erkennung eines Angriffs im Vergleich, und
  • 3 eine alternative Darstellung einer variierten Stromflanke gemäß dem erfindungsgemäßen Verfahren.
The invention is explained in more detail below using an exemplary embodiment in the drawing. Show it:
  • 1 a schematic representation of a security module,
  • 2a , 2 B the current profile of a conventional and a security module according to the invention when accessing a non-volatile memory after the detection of an attack in comparison, and
  • 3 an alternative representation of a varied current edge according to the method according to the invention.

1 zeigt in einer schematischen Darstellung ein erfindungsgemäßes Sicherheitsmodul CC in Gestalt eines tragbaren Datenträgers (z.B. eine Chipkarte), welcher in bekannter Weise eine integrierte Schaltung IC und einen nicht-flüchtigen Speicher NVM aufweist. Bei den von der integrierten Schaltung IC durchgeführten Rechenoperationen werden in bekannter Weise logische Verknüpfungen zwischen Operanden und Zwischenergebnissen durchgeführt. Diese Operationen führen beispielsweise zum Laden von leeren oder zuvor gelöschten Speicherbereichen bzw. Registern mit Daten in dem nicht-flüchtigen Speicher NVM. Sowohl der Betrieb der integrierten Schaltung IC als auch das Schreiben von Daten in den nicht-flüchtigen Speicher NVM führt zu einem Stromverbrauch des Sicherheitsmoduls CC. Wie einleitend bereits beschrieben, kann ein Angreifer durch eine entsprechende Analyse von Stromänderungen Kenntnis über die Informationen über die berechneten Operationen erlangen, so dass beispielsweise eine Kryptoanalyse von geheimen Operanden (beispielsweise kryptografischen Schlüsseln) möglich ist. 1 shows a schematic representation of a security module CC according to the invention in the form of a portable data carrier (for example a chip card) which has an integrated circuit IC and a non-volatile memory NVM in a known manner. In the arithmetic operations carried out by the integrated circuit IC, logical links between operands and intermediate results are carried out in a known manner. These operations lead, for example, to loading empty or previously deleted memory areas or registers with data in the non-volatile memory NVM. Both the operation of the integrated circuit IC and the writing of data in the non-volatile memory NVM lead to a power consumption of the security module CC. As already described in the introduction, an attacker can gain knowledge of the information about the calculated operations through a corresponding analysis of current changes, so that, for example, a cryptanalysis of secret operands (for example cryptographic keys) is possible.

Im Rahmen eines solchen Angriffs auf das Sicherheitsmodul CC werden beispielsweise mit Hilfe von Lichtblitzen Fehler in den Prozessablauf induziert. Bei der Erkennung eines solchen Angriffs wird mittels einer in das Sicherheitsmodul CC implementierten Software eine Gegenmaßnahme eingeleitet, welche einen schreibenden Zugriff der integrierten Schaltung IC auf den nicht-flüchtigen Speicher NVM erfordert. Beispielsweise kann im Rahmen einer solchen Gegenmaßnahme ein Angriffs- oder Fehlbedienungszähler in dem nicht-flüchtigen Speicher NVM erhöht, der Datenträger gesperrt oder ein Zustand im Betriebssystem verändert werden.As part of such an attack on the security module CC, errors are induced in the process sequence with the aid of light flashes, for example. When such an attack is detected, a countermeasure is initiated by means of software implemented in the security module CC, which requires write access by the integrated circuit IC to the non-volatile memory NVM. For example, as part of such a countermeasure, an attack or incorrect operation counter in the non-volatile memory NVM can be increased, the data carrier can be locked or a state in the operating system can be changed.

Der Zugriff auf den nicht-flüchtigen Speicher NVM ist mit einem Stromverbrauch verbunden, der eine Stromflanke nach sich zieht. Die Stromflanke ist durch das Einschalten einer Ladungspumpe beim Zugriff auf den nicht-flüchtigen Speicher NVM verursacht.Access to the non-volatile memory NVM is associated with a power consumption that results in a power edge. The current edge is caused by switching on a charge pump when accessing the non-volatile memory NVM.

In 2a ist der Stromverlauf I über die Zeit t bei einem herkömmlichen Datenträger dargestellt, bei dem zum Zeitpunkt -t0 (sog. Start-Zeitpunkt) die Ladungspumpe eingeschaltet wird, so dass bis zum Zeitpunkt 0 ein Strom INVM erreicht wird. Zum Zeitpunkt t1 (sog. Abschluss-Zeitpunkt) erfolgt die in dem Datenträger vorgesehene Gegenmaßnahme, beispielsweise das Erhöhen des Angriffs- bzw. Fehlbedienungszählers, das Verändern eines Zustands im Betriebssystem oder das Sperren des Datenträgers. Die Stromflanke kann bei herkömmlichen Datenträgern durch einen Angreifer als typisches Strommuster unter Verwendung einer schnellen Hardware-Logik (FPGA) jedoch in Echtzeit erkannt werden und als Trigger-Zeitpunkt verwendet werden, um das Sicherheitsmodul CC zum Zeitpunkt ta (Mustererkennungs-Zeitpunkt) abzuschalten. Da der Zeitpunkt ta vor dem Zugriff auf den nicht-flüchtigen Speicher erfolgt, kann damit die Gegenmaßnahme des Datenträgers unterbunden werden.In 2a the current profile I is shown over time t in a conventional data carrier, in which the charge pump is switched on at time -t0 (so-called start time), so that a current I NVM is reached by time 0. At time t1 (so-called completion time), the countermeasure provided in the data carrier takes place, for example increasing the attack counter or operating error counter, changing a status in the operating system or locking the data carrier. With conventional data carriers, the current edge can be recognized by an attacker as a typical current pattern using fast hardware logic (FPGA) but in real time and used as the trigger time to switch off the security module CC at time ta (pattern recognition time). Since the point in time ta occurs before the access to the non-volatile memory, the countermeasure of the data carrier can be prevented.

Demgegenüber zeigt 2b den Stromverlauf I eines erfindungsgemäßen Sicherheitsmoduls CC über die Zeit, bei dem die durch das Einschalten der Ladungspumpe erzeugte Stromflanke durch die integrierte Schaltung IC variiert wird. Es ist dabei ausreichend, wenn die Variation der Stromflanke im Zeitintervall zwischen [-t0; 0] erfolgt. Prinzipiell kann die Variation der Stromflanke jedoch auch über den Zeitpunkt 0 hinaus gehen.In contrast, shows 2 B the current profile I of a security module CC according to the invention over time, in which the current edge generated by switching on the charge pump is varied by the integrated circuit IC. It is sufficient if the variation of the current edge in the time interval between [-t0; 0] takes place. In principle, however, the variation of the current edge can also go beyond time 0.

Für die Wirksamkeit des erfindungsgemäßen Abwehr-Mechanismus ist insbesondere die Flanke im Zeitraum zwischen -t0 und 0 von Bedeutung. In diesem Zeitraum wird das Strombild mit hoher Amplitude verfälscht, so dass sich die Stromflanke deutlich von einem Rauschen abhebt. Dabei basiert das Prinzip nicht auf einem Dummy-Schreiben, wie dies typischerweise im Stand der Technik eingesetzt wird, sondern auf einer Dummy-Berechnung.For the effectiveness of the defense mechanism according to the invention, the edge in the period between -t0 and 0 is particularly important. During this period, the current image is falsified with a high amplitude, so that the current edge is clearly distinguished from noise. The principle is not based on dummy writing, as is typically used in the prior art, but on dummy calculation.

Während die variierte Stromflanke in 2b beispielhaft eine größere Steilheit und eine größere Höhe als die „normale“ Stromflanke eines herkömmlichen Datenträgers in 2a aufweist, kann die Stromflanke - wie dies in 3 dargestellt ist - auch in eine Mehrzahl an Stromflanken A, B, C mit jeweiligen lokalen Strommaxima unterteilt sein. Der zeitliche Abstand und die Differenz für jeweilige Strommaxima werden mit jeder variierten Stromflanke zufällig erzeugt. Zwischen den lokalen Strommaxima kann das Stromsignal verrauscht sein.While the varied current edge in 2 B for example a greater steepness and a greater height than the “normal” current edge of a conventional data carrier in 2a has, the current edge - as shown in 3 is shown - also be divided into a plurality of current edges A, B, C with respective local current maxima. The time interval and the difference for the respective current maxima are generated randomly with each varied current edge. The current signal can be noisy between the local current maxima.

Das erfindungsgemäße Vorgehen beruht somit darauf, gezielt beim Einschalten der Ladungspumpe der integrierten Schaltung IC des Datenträgers CC das Stromsignal massiv zu verfälschen, sodass ein Zugriff, d.h. ein Schreibvorgang, auf bzw. in den nicht-flüchtigen Speicher NVM nicht mehr sicher detektiert werden kann. Dabei ist es ausreichend, wenn die Variation bzw. Verfälschung nicht bei jedem Einschalten der Ladungspumpe, sondern nur lediglich manchmal wirkt.The procedure according to the invention is thus based on massively falsifying the current signal when the charge pump of the integrated circuit IC of the data carrier CC is switched on, so that an access, i.e. a write operation to or into the non-volatile memory NVM can no longer be reliably detected. It is sufficient here if the variation or falsification does not act each time the charge pump is switched on, but only occasionally.

Die Variation bzw. Verfälschung der Stromflanke benötigt dabei keinerlei zusätzliche Hardware, sondern kann durch die Nutzung bereits vorhandener Mechanismen der integrierten Schaltung realisiert werden. Beispielsweise kann die Variation der Stromflanke durch das Einschalten des Coprozessors der integrierten Schaltung IC hervorgerufen werden. Eine zufällige Stromänderung der Stromflanke kann auch durch geeignete Software-Maßnahmen bewirkt werden. Beispielsweise kann dies durch das Starten einer Interrupt-Routine, welche während des Zugriffs auf den nicht-flüchtigen Speicher stromintensive Berechnungen durchführt, realisiert werden. Im Ergebnis kann die Stromflanke beim Einschalten der Ladungspumpe nicht mehr sicher als Trigger-Punkt für ein gezieltes Abschalten der integrierten Schaltung IC genutzt werden, um ein Einschreiben von Daten in den nicht-flüchtigen Speicher zu verhindern.The variation or falsification of the current edge does not require any additional hardware, but can be implemented by using existing mechanisms of the integrated circuit. For example, the variation of the current edge can be caused by switching on the coprocessor of the integrated circuit IC. A random change in the current of the current edge can also be brought about by suitable software measures. For example, this can be implemented by starting an interrupt routine which carries out power-intensive calculations while the non-volatile memory is being accessed. As a result, when the charge pump is switched on, the current edge can no longer be safely used as a trigger point for a targeted shutdown of the integrated circuit IC in order to prevent data from being written into the non-volatile memory.

Durch das erfindungsgemäße Vorgehen wird das gezielte Verhindern von Schreib-/Löschvorgängen des nicht-flüchtigen Speichers NVM oder die Veränderung eines Zustandes mittels Überwachung des Stromes durch einen Angreifer erschwert. Ein Angriffs- bzw. Fehlbedienungszähler, welcher den Datenträger bei erkannten Angriffen mittels eines Lichtangriffs abschaltet, kann damit verbessert werden, da der Zeitpunkt einer möglichen Abschaltung des Datenträgers durch den Angreifer so weit nach hinten verschoben wird, dass die Wahrscheinlichkeit für ein erfolgreiches Schreiben des Angriffs- bzw. Fernbedienungszählers ausreichend erhöht wird.The procedure according to the invention makes it more difficult for an attacker to specifically prevent write / delete operations in the non-volatile memory NVM or to change a state by monitoring the current. An attack or incorrect operation counter, which switches off the data carrier when attacks are detected by means of a light attack, can thus be improved, since the point in time of a possible deactivation of the data carrier by the attacker is pushed back so far that the probability of a successful writing of the attack - or remote control counter is increased sufficiently.

Dem Schreiben des Angriffs- oder Fernbedienungszählers können eine oder mehrere weitere Operation folgen. Diese weiteren Operation können auch parallel zum Schreiben des Angriffs- oder Fernbedienungszählers durchgeführt werden. Die weiteren Operationen sind vorzugsweise dergestalt, dass diese nicht als Trigger für einen Angriff genutzt werden können.The writing of the attack or remote control counter can be followed by one or more further operations. This further operation can also be carried out in parallel with writing the attack or remote control counter. The further operations are preferably such that they cannot be used as a trigger for an attack.

Ein weiterer Anwendungsfall der Erfindung betrifft Signale, welche anhand ihrer elektromagnetischen Emissionen analysiert werden könnten. Die abFlanke eines abzusichernden elektromagnetischen Emissions-Signales kann ebenso wie eine Stromflanke behandelt werden. Eine ortsaufgelöste Emissionsmessung kann zudem z.B. dadurch verhindert werden, dass Rechenoperationen in der integrierten Schaltung des Sicherheitsmoduls in einem ersten Schaltungsteil durchgeführt und das oder die Störsignale in einem zweiten Schaltungsteil der integrierten Schaltung erzeugt werden. Der zweite Schaltungsteil kann wahlweise lokal über und/oder unter und/oder neben dem ersten Schaltungsteil angeordnet sein.Another application of the invention relates to signals which could be analyzed on the basis of their electromagnetic emissions. The starting edge of an electromagnetic emission signal to be protected can be treated like a current edge. A spatially resolved emission measurement can also e.g. this prevents arithmetic operations in the integrated circuit of the security module from being carried out in a first circuit part and the interference signal or signals from being generated in a second circuit part of the integrated circuit. The second circuit part can optionally be arranged locally above and / or below and / or next to the first circuit part.

Claims (16)

Verfahren zum Betreiben eines Sicherheitsmoduls (CC), das eine integrierte Schaltung (IC) und einen nicht-flüchtigen Speicher (NVM) umfasst, wobei die integrierte Schaltung (IC) eine Operation ausführt, welche - zu einem von außerhalb des Sicherheitsmoduls (CC) messbaren Signal, wie Stromverbrauch, Aufladung oder Emission, führt; und - dem Signal ein Störsignal hinzufügt; dadurch gekennzeichnet, dass die integrierte Schaltung (IC) mit dem Ausführen der Operation selektiv den Verlauf einer Flanke des Signals durch das Hinzufügen des Störsignals variiert, um eine Erkennung der Flanke mit Hilfe einer Mustererkennung zu verzögern, wobei die Operation zu einem Abschluss-Zeitpunkt (t1) nach dem Ende der Flanke abgeschlossen ist; die Flanke mit Hilfe der Mustererkennung zu einem Mustererkennungs-Zeitpunkt (ta) nach dem Ende der Stromflanke erkennbar ist und der Verlauf der Stromflanke derart variiert wird, dass der Abschluss-Zeitpunkt (t1) vor dem Mustererkennungs-Zeitpunkt (ta) liegt.A method for operating a security module (CC) comprising an integrated circuit (IC) and a non-volatile memory (NVM), the integrated circuit (IC) executing an operation which - to a measurable from outside the security module (CC) Signal, such as power consumption, charging or emission, leads; and - adds an interfering signal to the signal; characterized in that the integrated circuit (IC), when the operation is carried out, selectively varies the course of an edge of the signal by adding the interference signal in order to delay recognition of the edge with the aid of a pattern recognition, the operation at a completion time ( t1) is completed after the end of the edge; the edge is recognizable with the help of the pattern recognition at a pattern recognition time (ta) after the end of the current edge and the course of the current edge is varied such that the completion time (t1) is before the pattern recognition time (ta). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das mit der Operation zu dem Signal hinzugefügte Störsignal in einem Zeitintervall von - 20% der Dauer der Flanke vor dem Beginn der Flanke und - 20 % der Dauer der Flanke nach Ende der Flanke erfolgt.Procedure according to Claim 1 , characterized in that the interference signal added to the signal with the operation occurs in a time interval of - 20% of the duration of the edge before the beginning of the edge and - 20% of the duration of the edge after the end of the edge. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Flanke mit Hilfe einer Mustererkennung in Echtzeit durch einen Angreifer zum Mustererkennungs-Zeitpunkt (ta) nach dem Ende der Stromflanke erkennbar ist.Procedure according to Claim 1 or 2 , characterized in that the flank can be recognized in real time by an attacker at the pattern recognition time (ta) after the end of the current flank with the aid of a pattern recognition. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Flanke eine Stromflanke ist, die vorzugsweise durch einen schreibenden Zugriff der integrierten Schaltung (IC) auf den nicht-flüchtigen Speicher als die Operation entsteht.Method according to one of the preceding claims, characterized in that the edge is a current edge which is preferably produced by a write access by the integrated circuit (IC) to the non-volatile memory as the operation. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Operation zu dem Abschluss-Zeitpunkt (t1) als erster Schritt einer Folge von Operationen abgeschlossen ist.Method according to one of the preceding claims, characterized in that the operation is completed at the completion time (t1) as the first step in a sequence of operations. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das mit der Operation zu dem Signal hinzugefügte Störsignal frühestens zu einem Start-Zeitpunkt (-t0) mit dem Beginn der Flanke gestartet wird.Method according to one of the Claims 1 to 5 , characterized in that the interference signal added to the signal with the operation is started at the earliest at a start time (-t0) with the beginning of the edge. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das mit der Operation zu dem Signal hinzugefügte Störsignal 5% bis 20% der Dauer der Flanke vor dem Beginn der Flanke gestartet wird.Method according to one of the Claims 1 to 5 , characterized in that the interference signal added to the signal with the operation is 5% to 20% of the duration of the edge is started before the edge begins. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass das mit der Operation zu dem Signal hinzugefügte Störsignal spätestens zu dem Abschluss-Zeitpunkt (t1) nach dem Ende der Flanke oder mit dem Ende der Flanke (0) endet.Method according to one of the Claims 1 to 7th , characterized in that the interference signal added to the signal with the operation ends at the latest at the termination time (t1) after the end of the edge or at the end of the edge (0). Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass das mit der Operation zu dem Signal hinzugefügte Störsignal 5% bis 20% der Dauer der Flanke vor oder nach dem Ende der Flanke endet.Method according to one of the Claims 1 to 7th , characterized in that the interference signal added to the signal with the operation ends 5% to 20% of the duration of the edge before or after the end of the edge. Verfahren nach einem der Ansprüche 6 bis 9, dadurch gekennzeichnet, dass der Zeitpunkt des Beginns und/oder des Endes des Störsignals zufällig gewählt wird.Method according to one of the Claims 6 to 9 , characterized in that the time of the beginning and / or the end of the interference signal is selected randomly. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Störamplitude des Störsignals mindestens 10% und/oder maximal 100% des Nutzanteils des Signals beträgt.Method according to one of the preceding claims, characterized in that an interference amplitude of the interference signal is at least 10% and / or at most 100% of the useful portion of the signal. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Höhe und/oder Steilheit der Flanke des Signals abschnittsweise variiert wird.Method according to one of the preceding claims, characterized in that the height and / or steepness of the edge of the signal is varied in sections. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Operation in der integrierten Schaltung in einem ersten Schaltungsteil lokal über und/oder unter und/oder neben einem zweiten Schaltungsteil, in welchem das die Flanke aufweisende Signal erzeugt wird, ausgeführt wird.Method according to one of the preceding claims, characterized in that the operation in the integrated circuit is carried out in a first circuit part locally above and / or below and / or next to a second circuit part in which the signal having the edge is generated. Sicherheitsmodul (CC), das eine integrierte Schaltung (IC) und einen nicht-flüchtigen Speicher (NVM) umfasst, wobei die integrierte Schaltung (IC) dazu ausgebildet ist eine Operation auszuführen, welche - zu einem von außerhalb des Sicherheitsmoduls (CC) messbaren Signal, wie Stromverbrauch, Aufladung oder Emission, führt; und - dem Signal ein Störsignal hinzufügt; dadurch gekennzeichnet, dass die integrierte Schaltung (IC) ferner dazu ausgebildet ist, mit dem Ausführen der Operation selektiv den Verlauf einer Flanke des Signals durch das Hinzufügen des Störsignals zu variieren, um eine Erkennung der Flanke mit Hilfe einer Mustererkennung zu verzögern, wobei die Operation zu einem Abschluss-Zeitpunkt (t1) nach dem Ende der Flanke abgeschlossen ist; die Flanke mit Hilfe einer Mustererkennung zu einem Mustererkennungs-Zeitpunkt (ta) nach dem Ende der Stromflanke erkennbar ist und der Verlauf der Stromflanke derart variiert wird, dass der Abschluss-Zeitpunkt (t1) vor dem Mustererkennungs-Zeitpunkt (ta) liegt.Security module (CC), which comprises an integrated circuit (IC) and a non-volatile memory (NVM), the integrated circuit (IC) being designed to carry out an operation which - to a signal measurable from outside the security module (CC) , such as power consumption, charging or emission leads; and - adds an interfering signal to the signal; characterized in that the integrated circuit (IC) is further designed to selectively vary the profile of an edge of the signal by adding the interference signal when the operation is carried out in order to delay recognition of the edge with the aid of pattern recognition, the operation is completed at a completion time (t1) after the end of the edge; the edge is recognizable with the help of a pattern recognition at a pattern recognition time (ta) after the end of the current edge and the course of the current edge is varied such that the completion time (t1) is before the pattern recognition time (ta). Sicherheitsmodul nach Anspruch 14, dadurch gekennzeichnet, dass diese Mittel zur Durchführung des Verfahren nach einem der Ansprüche 2 bis 13 umfasst.Security module after Claim 14 , characterized in that these means for performing the method according to one of the Claims 2 to 13 includes. Sicherheitsmodul nach Anspruch 14 oder 15, dadurch gekennzeichnet, dass dieses in einem tragbaren Datenträger, wie einer Chipkarte, einer sicheren Massenspeicherkarte oder einem USB-Token, verkörpert ist oder ein fest eingebautes Sicherheitsmodul, wie ein Trusted Platform Modul (TPM), ein M2M-Modul, ein Benutzer-Identifikations-Modul oder ein Decoder-Modul, ist.Security module after Claim 14 or 15th , characterized in that this is embodied in a portable data carrier, such as a chip card, a secure mass storage card or a USB token, or a permanently installed security module, such as a Trusted Platform Module (TPM), an M2M module, a user identification Module or a decoder module.
DE102011107104.4A 2011-07-12 2011-07-12 Portable security module and method for its operation to defend against an attack in real time using pattern recognition Active DE102011107104B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102011107104.4A DE102011107104B4 (en) 2011-07-12 2011-07-12 Portable security module and method for its operation to defend against an attack in real time using pattern recognition

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102011107104.4A DE102011107104B4 (en) 2011-07-12 2011-07-12 Portable security module and method for its operation to defend against an attack in real time using pattern recognition

Publications (2)

Publication Number Publication Date
DE102011107104A1 DE102011107104A1 (en) 2013-01-17
DE102011107104B4 true DE102011107104B4 (en) 2020-11-12

Family

ID=47425541

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011107104.4A Active DE102011107104B4 (en) 2011-07-12 2011-07-12 Portable security module and method for its operation to defend against an attack in real time using pattern recognition

Country Status (1)

Country Link
DE (1) DE102011107104B4 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6419159B1 (en) * 1999-06-14 2002-07-16 Microsoft Corporation Integrated circuit device with power analysis protection circuitry
DE10128573A1 (en) * 2001-06-13 2003-01-02 Infineon Technologies Ag Prevent unwanted external detection of operations in integrated digital circuits
DE602004003675T2 (en) * 2004-04-16 2007-10-25 Research In Motion Ltd., Waterloo Security countermeasures against attacks by electricity consumption analyzes
DE102007026977A1 (en) * 2006-06-07 2008-01-24 Samsung Electronics Co., Ltd., Suwon Cryptographic system and associated operating method, error detection circuit and associated operating method and computer program product
DE102008001806A1 (en) * 2008-05-15 2009-11-19 Robert Bosch Gmbh Method and device for error monitoring of a computer system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6419159B1 (en) * 1999-06-14 2002-07-16 Microsoft Corporation Integrated circuit device with power analysis protection circuitry
DE10128573A1 (en) * 2001-06-13 2003-01-02 Infineon Technologies Ag Prevent unwanted external detection of operations in integrated digital circuits
DE602004003675T2 (en) * 2004-04-16 2007-10-25 Research In Motion Ltd., Waterloo Security countermeasures against attacks by electricity consumption analyzes
DE102007026977A1 (en) * 2006-06-07 2008-01-24 Samsung Electronics Co., Ltd., Suwon Cryptographic system and associated operating method, error detection circuit and associated operating method and computer program product
DE102008001806A1 (en) * 2008-05-15 2009-11-19 Robert Bosch Gmbh Method and device for error monitoring of a computer system

Also Published As

Publication number Publication date
DE102011107104A1 (en) 2013-01-17

Similar Documents

Publication Publication Date Title
DE69938045T2 (en) Use of unpredictable information to minimize the leak of chip cards and other cryptosystems
EP1430376B1 (en) Prevention of undesired external detection of operations in integrated digital circuits
DE102009024179B4 (en) Circuit with a plurality of functions
DE102012109665A1 (en) Tamper Detection Measures to Abandon Physical Attacks on a Security ASIC
WO2000017826A1 (en) Device for supplying output data in reaction to input data, method for checking authenticity and method for encrypted data transmission
EP1496420B1 (en) Security data processing unit and method therefor
DE102014208838A1 (en) Method for operating a control device
EP1272984B1 (en) Portable data carrier with protection against side channel attacks
WO2016202504A1 (en) Apparatus and method for carrying out a computing process
EP1664978B1 (en) Device and method for the reliable execution of a program
DE102011107104B4 (en) Portable security module and method for its operation to defend against an attack in real time using pattern recognition
EP2545483A1 (en) Protection against access violation during the execution of an operating sequence in a portable data carrier
DE102005042790B4 (en) Integrated circuit arrangement and method for operating such
DE102006048969B4 (en) Circuit arrangement and method for inhibiting a circuit operation
DE102015209120A1 (en) Computing device and operating method for this
DE102004016342B4 (en) Detection device for detecting manipulative attacks on electrical circuits, especially for chip card use, wherein the characteristic current over a specified time period is recorded and compared with a stored characteristic curve
EP2230617B1 (en) Blocking a portable data carrier
DE10258178B4 (en) Circuit with security measures against spying on the circuit
DE102006027682B3 (en) Integrated circuit arrangement and method for operating an integrated circuit arrangement
DE102014213071A1 (en) Method and device for processing data
DE102016200850A1 (en) Method for operating a safety-relevant device and device
DE102015222968A1 (en) Operating method for an electronic device and electronic device
DE102017009315B4 (en) Protection of automation programs against reverse development
EP1750217B1 (en) Protection of stored contents of a data carrier
EP1532508B1 (en) Data processing device

Legal Events

Date Code Title Description
R163 Identified publications notified
R163 Identified publications notified

Effective date: 20130205

R012 Request for examination validly filed

Effective date: 20130516

R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE