-
GEBIET DER OFFENBARUNG
-
Diese Offenlegung bezieht sich im Allgemeinen auf Sicherheitsschaltungen, insbesondere auf Tamper-Schutzschaltungen für sichere integrierte Schaltungen.
-
HINTERGRUND
-
Hacker versuchen Zugang zu kryptographischen integrierten Schaltungen, wie z.B. Smart Card Controllern, zu schaffen, um wertvolle Benutzerdaten, Passwörter und dergleichen zu stehlen. Eine Technik, die Hacker verwenden, ist das Einspeisen von elektrischen Fehlern, um Schaltungen zu Fehlfunktionen zu veranlassen, die den Hackern Zugriff auf den Speicher und andere Ressourcen der integrierten Schaltung ermöglichen. Fehlereinspeisungen stellen eine ernste Bedrohung für sichere Schaltungen dar. Es gibt mehrere Methoden, um Fehler in kryptographische Schaltungen einzuspeisen. Zu den Methoden gehören Laser-, Spannungs- und elektromagnetische (EM) Fehlereinspeisung. Die Laser-Fehlereinspeisung ist wegen ihrer hohen räumlichen und zeitlichen Auflösung eine beliebte Methode. Der Einsatz von Laser zur Fehlereinspeisung hat jedoch Einschränkungen. Eine erhöhte Anzahl von Metallschichten für das Routing von Signalen in einem Chip sowie progressive Gegenmaßnahmen erhöhen die Ineffizienz von Laserangriffen. Die Spannungsspitzeneinspeisung wird auch verwendet, indem eine Spannungsspitze direkt in ein Substrat einer gezielten integrierten Schaltung eingespeist wird. Die Einspeisung von Spannungsspitzen führt zu Ground Bounces oder Spannungseinbrüchen in Abhängigkeit von der Intensität des Spikes. Die EM-Fehlereinspeisung über einen gezielten elektromagnetischen Impuls wird häufiger für gezielte Angriffe eingesetzt, die darauf abzielen, das Verhalten logischer Schaltungen in integrierten Schaltungen zu stören.
-
Es sind zwei Arten von EM-Einspeiseplattformen bekannt, die zum Verursachen von Fehlern in Schaltungen eingesetzt werden. Die Harmonic EM-Einspeiseplattform erzeugt Sinus-EM-Wellen, die zur Erzeugung von Fehlern moduliert werden können. Harmonische EM-Einspeisungen können das Verhalten eines internen Taktgebers einer integrierten Schaltung stören, ebenso wie die Vorspannung eines echten Zufallszahlengenerators. Zusätzlich hat sich gezeigt, dass EM Pulse- (EMP) Einspeisung, hergestellt mit einem Hochspannungsimpulsgenerator und einem Einspeiser, Fehler erzeugt, die aus Sicht der Kryptoanalyse ausnutzbar sind. Die EMP-Injektion erzeugt einen einzelnen, aber leistungsstarken EMP zu einem gewünschten Zeitpunkt und Ort auf einer gezielten integrierten Schaltung, die einen plötzlichen Stromfluss in den Strom- und Erdungsnetzen der gezielten integrierten Schaltung erzeugt, wodurch Spannungsabfälle, Ground Bounces und Zeitfehler entstehen. Jede dieser Formen der Fehlereinspeisung ist schwer zu verteidigen. Da Geräte in unserer Umgebung immer kleiner und allgegenwärtiger werden, wird die Anfälligkeit gegenüber Sicherheitsverletzungen immer wichtiger und schwieriger zu bekämpfen.
-
KURZE ZUSAMMENFASSUNG
-
Die Erfindung sieht integrierte Schaltungen und ein Verfahren zum Schutz einer integrierten Schaltung vor Tampering vor, wie sie in den unabhängigen Ansprüchen beansprucht werden. Ausführungen sind in den abhängigen Ansprüchen angegeben.
-
Figurenliste
-
- 1 zeigt ein Flussdiagramm eines Verfahrens zur kryptographischen Authentifizierung einer integrierten Schaltung während einer elektromagnetischen Impulsunterbrechung nach einigen Ausführungsformen.
- 2 zeigt ein Zeitdiagramm der internen Spannungsschwingungen bei der elektromagnetischen Fehlereinspeisung zur Unterbrechung des Verhaltens einer logischen Schaltung.
- 3 zeigt ein Diagramm des elektromagnetischen pulsinduzierten Magnetfeldes in einem integrierten Schaltkreis.
- 4 zeigt im Blockschaltbild ein elektromagnetisches Impuls-FehlerEinspeisesystem, mit dem ein Hacker die Fehler-Einspeisung von 3 realisieren kann.
- 5 zeigt in grafischer Form eine elektromagnetische Fehlereinspeisung-Glitch-Analyse.
- 6 zeigt im Blockschaltbild eine beispielhafte sichere integrierte Schaltung nach einigen Ausführungsformen.
- 7 zeigt im Blockschaltbild eine elektromagnetische Impulserfassungsschaltung nach einigen Ausführungsformen.
- 8 zeigt in grafischer Form eine überlagerte Perspektive von 5 und die Verteilung einer Antenne einer elektromagnetischen Impulserfassungsschaltung nach einigen Ausführungsformen.
- 9 zeigt im Blockschaltbild eine Verteilung einer Antenne und einer elektromagnetischen Impulserfassungsschaltung auf einem integrierten Schaltungslayout nach einigen Ausführungsformen.
-
In der folgenden Beschreibung zeigt die Verwendung der gleichen Referenznummern in verschiedenen Zeichnungen ähnliche oder identische Komponente an. Wenn nicht anders angegeben, umfassen das Wort „gekoppelt“ und die dazugehörigen Verbformen sowohl den direkten als auch den indirekten elektrischen Anschluss mit den aus dem Stand der Technik bekannten Mitteln, und wenn nicht anders angegeben, impliziert jede Beschreibung des direkten Anschlusses auch die Verwendung geeigneter Formen des indirekten elektrischen Anschlusses.
-
AUSFÜHRLICHE BESCHREIBUNG
-
Eine integrierte Schaltung umfasst in einer Form eine Energieerfassungsschaltung, einen Umschalter und eine Tamper-Response-Schaltung. Die Energieerfassungsschaltung hat einen Eingang zum Empfang eines Radiofrequenz(RF) -Signals, einen ersten Ausgang zur Bereitstellung eines demodulierten Signals und einen zweiten Ausgang zur selektiven Bereitstellung eines Detektiersignals. Das Detektiersignal wird als Reaktion auf ein Erfassen durch die Energieerfassungsschaltung bereitgestellt, die erkennt, dass eine Energie eines internen Signals einen ersten Schwellenwert überschreitet, wenn sich die Energieerfassungsschaltung in einem sicheren Modus befindet. Der Umschalter schaltet alternativ den Eingang der Energieerfassungsschaltung auf einen RF-Eingang in einem normalen Modus und auf eine interne Antenne einem sicheren Modus. Die Tamper-Response-Schaltung wird verwendet, um eine Funktion der integrierten Schaltung als Reaktion auf eine Aktivierung des Detektiersignals im sicheren Modus zu deaktivieren.
-
In noch einer weiteren Ausführung umfasst eine integrierte Schaltung eine geschützte Schaltung, eine Energieerfassungsschaltung, eine Antenne, eine Tamper-Response-Schaltung und eine Schutzschaltung. Die Energieerfassungsschaltung hat einen Eingang zum Empfang eines RF-Signals, einen ersten Ausgang zum Liefern eines demodulierten Signals und einen zweiten Ausgang zum selektiven Liefern eines Detektiersignalls als Reaktion darauf, dass eine Energie eines ersten internen Signals einen ersten Schwellenwert überschreitet. Die Tamper-Response-Schaltung dient zur Aktivierung eines Schutzsignals als Reaktion auf das Detektiersignal in einem sicheren Authentifizierungsmodus. Die Schutzschaltung reagiert auf das Schutzsignal, um eine Funktion der geschützten Schaltung zu deaktivieren.
-
1 zeigt ein Flussdiagramm eines Verfahrens zur kryptographischen Authentifizierung einer integrierten Schaltung während einer elektromagnetischen Impulsunterbrechung nach einigen Ausführungsformen. Bei Block 102 wird ein kryptographisches Zertifikat verwendet, um die Entwicklung der Host-Firmware und den Debug-Zugriff an einen autorisierten Entwickler zu übertragen. Die kryptographische Authentifizierung wird im Block 104 ausgeführt. Beim Block 106 kann eine Fehlereinspeisung wie ein elektromagnetischer (EM) Impuls (EMP) während der kryptographischen Authentifizierung an der integrierten Schaltung angewendet werden. Eine Fehlereinspeisung kann auch über Spannung-Glitch- und Takt-Glitch realisiert werden. Beim Block 108 wird entschieden, ob der EMP bei der Validierung der Signatur eine Unterbrechung hervorruft. Während des Prozesses der Signaturvalidierung im Block 108 wird beim Block 110 ein nachfolgender EMP angewendet. Als Reaktion auf die Erkennung eines EMP ausreichender Intensität, um den integrierten Schaltkreis entweder beim Block 106 oder 110 zu unterbrechen, wird die Signatur als ungültig erkannt und die Firmware-Integrität geschützt. Als Reaktion darauf, dass der Tamper-Sensor die Signatur als gültig erkannt, wird der Firmware-Boot-Prozess fortgesetzt.
-
2 zeigt ein Zeitdiagramm der internen/lokalisierten Spannungsschwingungen während der EM-Fehlereinspeisung zur Unterbrechung des Verhaltens einer logischen Schaltung nach einigen Ausführungsformen. Eine Grafik 200 zeigt eine Kurvenform 220 der Abweichung der Versorgungsspannung (Vdd) von ihrem Nennwert, einen Schwellwert 210 und 212. Ein Verfahren zur Auslösung von Fehlern in einer integrierten Schaltung ist die Verwendung von EMP. Im Beispiel von 2 wird ein EMP bei etwa 100 Nanosekunden (ns) eingespeist und verursacht eine Schwingung von Vdd. Die Vdd Schwingung verursacht Timingverletzungen, wenn die Abweichung außerhalb vordefinierter Grenzen liegt, wobei Schwellenwert 210 eine obere Grenze ist, die die Hold-Verletzungsgrenze angibt, und Schwellenwert 212 eine untere Grenze ist, die die Setup-Verletzungsgrenze angibt. Der EMP erzeugt Timingverletzungen als Folge von Spannung-Glitches. Der Schwellenwert 210 zeigt eine hohe Vdd-Abweichung bei +50mV und eine niedrige Vdd-Abweichung von -50mV. Ein gezielter Angriff, der darauf abzielt, das Verhalten einer logischen Schaltung mit Hilfe eines EMP zu stören, liefert einen Impuls an die integrierte Schaltung mit einem Tamper-Sensor. Dementsprechend führt eine EMP-Einspeisung mit einer Versorgungsspannungsabweichung größer als der Schwellenwert 210 (Abweichung > 50mV) zu einem Haltezeitverletzung im Tamper-Sensor. Eine EMP-Einspeisung mit einer Versorgungsspannungsabweichung kleiner als der Schwellenwert 212 (Abweichung < -50mV) führt zu einem Rüstzeitverletzung im Tamper-Sensor.
-
3 zeigt ein Diagramm der EMP-induzierten Magnetfeldverteilung in einer integrierten Schaltung nach einigen Ausführungsformen. Das Diagramm 300 zeigt eine EMP-Sonde 310 in der Nähe der aktiven Oberfläche einer integrierten Schaltung. In einem Beispiel erzeugt die EMP-Einspeisung eine starke und plötzliche Veränderung des Magnetfeldes in der Nähe des Zielgeräts und/oder eines Teils des Zielgeräts. Die EMP-Sonde 310 hat eine Schleife mit einem Durchmesser von 100 Mikrometer (m) und induziert ein Magnetfeld im Zielgerät, das mit zunehmendem Abstand vom Einspeisepunkt abnimmt. Die von der EMP-Sonde 310 induzierten Fehler können stark lokalisiert sein, wie in Diagramm 300 dargestellt.
-
4 zeigt im Blockschaltbild ein EMP-Fehlereinspeisesystem 400 nach einer Ausführungsform, mit dem ein lokalisiertes EMP des in 3 dargestellten Typs eingespeist werden kann. Das EMP- Fehlereinspeisesystem 400 umfasst ein Zielgerät 410, eine Stromversorgung 415, ein Host-Computersystem 420, einen Impulsgeber 430 und eine EMP-Sonde 440. Der Host-Computer 420 ist an die Stromversorgung 415, den Impulsgeber 430, die EMP-Sonde 440 und das Zielgerät 410 angeschlossen.
-
In einem Beispiel führt der Host-Computer 420 einen EMP-Sweep auf dem Zielgerät 410 aus. Das Host-Computersystem 420 wird verwendet, um dem Zielgerät 410 eine ungültige Boot-Firmware zur Verfügung zu stellen. Der Impulsgeber 430 stellt die EMP-zu-EMP-Sonde 440 für die Einspeisung des Fehlers in das Zielgerät 410 zur Verfügung. Die EMP-Sonde 440 ist ein miniaturisierter EMP-Einspeiser, der über dem Zielgerät 410 positioniert ist. Die EMP-Sonde 440 entlädt beim Empfang eines Impulses vom Impulsgeber 430 eine Kondensatorbatterie in eine Spule und erzeugt so einen EMP. Impulsgeber 430 wartet eine vordefinierte Zeit (Glitch-Offset) und gibt einen Impuls aus, wenn ein Triggersignal vom Zielgerät 410 ausgegeben wird. Das Host-Computersystem 420 kommuniziert mit dem Zielgerät 410 und überwacht das Verhalten des Zielgerätes 410. In einem Beispiel ist die Stromversorgung 415 eine unterbrechbare Stromversorgung, die es dem Host-Computersystem 420 ermöglicht, die Stromversorgung des Zielgeräts 410 zu unterbrechen, um einen Neustart des Zielgeräts zu erzwingen. In einem anderen Beispiel ist die Stromversorgung 415 ein Steuereingang, der das Zielgerät 410 veranlasst, eine kritische Sequenz während des Bootvorgangs zu wiederholen.
-
Ein Schrittmotor wird verwendet, um das Zielgerätes 410 und/oder die EMP-Sonde 440 zu bewegen. Ein Spannungsimpuls einer bestimmten Amplitude (z.B. Spannung: 200 V, Strom: 8A) wird von der EMP-Sonde 440 für eine bestimmte Dauer (z.B. 5 ns bis 100ns) bei der Oberfläche des Zielgerätes 410 angelegt. Das Host-Computersystem 420 initiiert einen Glitch-Sweep des EMP über die Oberfläche des Zielgerätes 410, um einen Timing-Fehler beim Booten des Zielgerätes 410 zu erzeugen. In einem Beispiel wird der Sweep mit einem festen Glitch-Offset (Zeit) bei einer vorgegebenen Glitch-Intensität und -Dauer durchgeführt. Beim Start an einem ersten Ort wird das Zielgerät 410 zurückgesetzt, die EMP-Sonde 440 wendet das EMP an und das Host-Computersystem 420 ermittelt ein Ergebnis. Die EMP-Sonde 440 wird an die nächste Stelle geschoben und der Vorgang wiederholt. Das Host-Computersystem 420 überwacht weiterhin das Zielgerät 410, um festzustellen, wann das Zielgerät 410 während des Firmware-Boot-Authentifizierungsvorgangs nicht ordnungsgemäß funktioniert, so dass das Host-Computersystem 420 Anweisungen zum Lesen und Ändern des Speichers auf dem Zielgerät 410 bereitstellen kann.
-
5 zeigt in grafischer Form eine elektromagnetische Fehlereinspeisung-Glitch-Analyse nach einigen Ausführungsformen. Eine Grafik 500 enthält die Glitch-Ergebnisse der Bereiche 510, 515 und 520. In einem Beispiel wird ein System, ähnlich der 4, verwendet, um die Glitch-Analyse der Grafik 500 durchzuführen. Ein Sweep wird auf einem Zielgerät durchgeführt, z.B. einem Mikrocomputer mit einem Cortex-A8-Kern-Prozessor, der von Advanced RISC Machines, Ltd. in Cambridge, England, lizenziert ist und ein Testprogramm ausführt. Das Ziel des EMP-Fehlereinspeisesystems (4) ist es, einen Fehler zu einem Zeitpunkt nach dem Reset und an einer Stelle auf dem integrierten Schaltkreis einzuspeisen, damit die integrierte Schaltung während der Ausführung des Authentifizierungsvorgangs ausfällt, so dass dem Zielgerät bösartige Firmware zur Verfügung gestellt werden kann. Der Sweep beginnt an einer ersten XY-Position und setzt sich über die gesamte Fläche des Gerätes zu einem festen Zeitpunkt nach dem Reset fort, dem so genannten „Glitch-Offset“. Der EMP ist auf eine feste Intensität und Dauer eingestellt. Die Parameter werden auf das Zielgerät angewendet, bis das gewünschte Verhalten erreicht ist. Ein Bereich 510 stellt anormale Ergebnisse dar, die erkennen lassen, dass die EMP-Einspeisung einen Glitch verursacht hat, der es einem Hacker ermöglichen würde, den Authentifizierungsprozess zu unterbrechen. Ein Bereich 515 stellt ein nicht antwortendes Ziel dar und ein Bereich 520 stellt ein erwartetes Ergebnis dar.
-
6 zeigt im Blockschaltbild eine beispielhafte sichere integrierte Schaltung 600 nach einigen Ausführungsformen. Integrierte Schaltung 600 enthält eine geschützte Schaltung mit Mikrocontroller-Einheit (microcontroller unit, MCU) 610, Peripheriebus-Schnittstelle 620, Flash-Speicher 631, Nur-Lese-Speicher (reedonly memory, ROM) 632, Direktzugriffsspeicher (random access memory, RAM) 633, Tamper-Response-Schaltung 635, Debug-Schnittstellenschaltung 636, Debug-Port 650 und EMP-Erkennungsschaltung 675.
-
MCU 610 ist ein an ROM 632 und RAM 633 angeschlossenes Verarbeitungsgerät. MCU 610 wird auch an die Peripheriebusschnittstelle 620, den Flash-Speicher 631, die Tamper-Response- 635 und die Debug-Schnittstellenschaltung 636 angeschlossen. ROM 632 ist ein nichtflüchtiger Speicher zur Speicherung der Firmware und der mit der integrierten Schaltung assoziierten Daten. Zur Speicherung der Programmdaten wird RAM 633 verwendet. Die Peripheriebusschnittstelle 620 dient zum Anschluss von Peripheriegeräten an die MCU 610. Der Flash-Speicher 631 ist ein nichtflüchtiges Speichermedium, das Daten ohne Stromversorgung speichert und elektrisch gelöscht und neu programmiert werden kann. Blöcke des Flash-Speichers 631 können gelöscht werden, und der Flash-Speicher 631 kann auch ganz gelöscht werden.
-
Der Debug-Port 650 wird an die Debug-Schnittstellenschaltung 636 angeschlossen. Die Debug-Schnittstellenschaltung 636 ist eine elektronische Schnittstelle, die den Zugriff auf die auf der MCU 610 gespeicherten Debug-Informationen ermöglicht. Der Debug-Port 650 erleichtert die Entwicklung und das Debugging von MCU 610; der Debug-Port 650 wird jedoch auch von Hackern genutzt, um Zugriff auf Firmware, Funktionalitäten und geheime Daten von MCU 610, einem anderen Prozessor, einem Peripheriegerät und/oder einer an MCU 610 angeschlossenen Speicherkomponente zu erhalten. Ein Host kann ein mit der Debug-Schnittstellenschaltung 636 verbundenes Ziel über den Debug-Port 650 verwalten und abfragen. Die Debug-Schnittstellenschaltung 636 erlaubt den MCU-Debug-Zugriff nur, wenn der Debug-Port die korrekten kryptographischen Entsperrinformationen bereitstellt.
-
Die Tamper-Response-Schaltung 635 ist mit der Debug-Schnittstellenschaltung 636, MCU 610 und den Speicherblöcken (Flash-Speicher 631, ROM 632 und RAM 633) verbunden. Die Tamper-Response-Schaltung 635 empfängt ein Detektiersignal von der EMP-Erkennungsschaltung 675, wenn sie einen EMP erkennt, der für einen Versuch, die integrierte Schaltung 600 zu hacken, charakteristisch ist, und führt eine Schutzoperation durch, um Komponenten der integrierten Schaltung 600 als Reaktion auf das Detektiersignal zu sichern. Die Tamper-Response-Schaltung 635 gibt selektiv eine Antwort auf die Debug-Schnittstellenschaltung 636, MCU 610 oder Flash-Speicher 631 aus, wenn ein Detektiersignal von der EMP-Erkennungsschaltung 675 empfangen wird, wodurch eine Sicherheitsunterbrechung der integrierten Schaltung 600 erkannt wird.
-
Die EMP-Erkennungsschaltung 675 enthält eine RF-Empfängerschaltung 680, eine interne Antenne 684, einen Umschalter 686 und einen RF-Eingangsanschluss 682. Der Umschalter 686 schaltet den Eingang des RF-Empfängerschaltung 680 auf den RF-Eingangsanschluss 682 in einen normalen Betriebsmodus für die integrierten Schaltung 600 um. In einem sicheren Betriebsmodus schaltet der Umschalter 686 auf die interne Antenne 684 um. Als Reaktion auf einen EMP-Fehler aktiviert die RF-Empfängerschaltung 680 ein Detektiersignal und liefert das Detektiersignal an die Tamper-Response-Schaltung 635. Die Tamper-Response-Schaltung 635 deaktiviert eine Funktion der integrierten Schaltung 600.
-
Im Betrieb bietet der integrierte Schaltkreis 600 unter anderem bestimmte sichere Funktionen wie die Speicherung von sicheren Schlüsseln und die Speicherung von geschützten Informationen. Die im Flash-Speicher 631 gespeicherten Informationen werden durch eine kryptografische Authentifizierung geschützt. Während des Bootvorgangs der integrierten Schaltung 600 erkennt die EMP-Erkennungsschaltung 675 eine Fehlereinspeisung und gibt ein Detektiersignal an die Tamper-Response-Schaltung 635 aus. Der Tamper-Response-Schaltung 635 liefert dynamisch eine Antwort auf das Detektiersignal. Beispielsweise kann die Tamper-Response-Schaltung 635 die integrierte Schaltung 600 zurücksetzen. In einem anderen Beispiel löscht die Tamper-Response-Schaltung 635 selektiv sensible Informationen aus der integrierten Schaltung 600. In einem weiteren Beispiel ermöglicht die Tamper-Response-Schaltung 635 die Debug-Schnittstelle 636, eine kryptographische Authentifizierungsoperation zu invalidieren und den Zugriff auf die Debug-Schnittstelle 636 zu sperren. Die Tamper-Response-Schaltung 635 löscht Geheimnisse und/oder Funktionen der integrierten Schaltung 600 als Reaktion auf die Erkennung einer Fehlereinspeisung durch den EMP-Erkennungsschaltung 675 in Übereinstimmung mit einer Tamper-Response-Richtlinie.
-
Die EMP-Erkennungsschaltung 675 erkennt EMP-Angriffe auf die integrierte Schaltung 600. Insbesondere erkennt die EMP-Erkennungsschaltung 675, wenn ein internes Signal, das an der internen Antenne 684 empfangen wird, einen vorbestimmten Schwellenwert für die durch Fehlereinspeisungsangriffe induzierte Leistung überschreitet. Außerdem nutzt es eine RF-Empfängerschaltung, die bereits auf der integrierten Schaltung 600 vorhanden ist, um Versuche zu erkennen, die Schaltung mit Hilfe eines EMP zu hacken, wenn der RF-Empfänger nicht für andere Zwecke benötigt wird, z. B. während einer sicheren Authentifizierungsoperation vor dem Debuggen oder Firmware-Update. So bietet die EMP-Erkennungsschaltung 675 zusätzliche Sicherheit gegen Versuche, die integrierte Schaltung mit nur wenigen zusätzlichen Schaltungen zu hacken.
-
7 zeigt in einen Blockschaltbild die EMP-Erkennungsschaltung 675 aus 6 nach einigen Ausführungsformen. Die EMP-Erkennungsschaltung 675 umfasst eine interne Antenne 684, eine externe Antenne 704, einen Umschalter 705, einen Verstärker 701, einen Leistungsdetektor 742, eine automatische Verstärkungsregelungsschaltung 703, ein Register 715, eine RF-Empfängerschaltung 680 und einen Demodulator 790. Die EMP-Erkennungsschaltung 675 hat einen Eingang für den Empfang eines RF-Signals von der internen Antenne 684 oder der externen Antenne 704. Der Umschalter 705 wird an den Eingang der RF-Empfängerschaltung 680 angeschlossen. Der Verstärker 701 hat einen an den Schaltkreis 705 angeschlossenen Eingang zum Empfang des Eingangssignals, einen Steuereingang und einen Ausgang. Der Verstärker 701 kann ein Operationsverstärker sein. Der Eingang des Verstärkers 701 kann am Ausgang des Verstärkers ein verstärktes Signal erzeugen, das gegenüber dem am Eingang des Verstärkers 701 empfangenen Signal nicht invertiert ist, d.h. der Eingang des Verstärkers kann ein positiver Eingang sein. Die automatische Verstärkungsregelungsschaltung 703 hat einen ersten Eingang zum Empfang des Eingangssignals, einen ersten Ausgang, der an dem Verstärker 701 angeschlossen ist, und einen zweiten Ausgang. Der Ausgang des Verstärkers 701 wird an den Leistungsdetektor 742 angeschlossen. Der Leistungsdetektor 742 hat einen Eingang für den Empfang des internen Signals und einen Ausgang. Die automatische Verstärkungsregelungsschaltung 703 hat einen Eingang, der an den Ausgang des Leistungsdetektors 742 angeschlossen ist, einen ersten Ausgang, der an den Steuereingang des Verstärkers 701 angeschlossen ist, und einen zweiten Ausgang. Das Register 715 ist ein Set-Reset-Flip-Flop mit einem Set-Eingang mit der Bezeichnung „S“ am zweiten Ausgang des Regelungsschaltung 703, einem Reset-Eingang mit der Bezeichnung „R“ zum Empfang eines Signals mit der Bezeichnung „AKTIVIER DETEKTOR“ und einem Q-Ausgang, der an die Tamper-Response-Schaltung 635 aus 6 zur Bereitstellung des Detektiersignals angeschlossen ist. Der RF-Empfänger 710 hat einen Eingang zum Empfang des Ausgangs des Verstärkers 701 und einen Ausgang. Der Demodulator 790 wird an den Ausgang der RF-Empfängerschaltung 710 angeschlossen. Das vom Demodulator 620 an seinem Ausgang erzeugte demodulierte Signal kann bei der MCU über den Peripheriebus 620 zur weiteren Verarbeitung und Auslösung von MCU-Prozeduren zum Schutz der MCU vor EMP-Angriffen empfangen werden.
-
Die EMP-Erkennungsschaltung 675 erkennt, wenn die Energie eines internen Signals, das von der internen Antenne 684 empfangen wird, einen vorgegebenen Schwellenwert überschreitet. Während des sicheren Betriebs des integrierten Schaltkreises 600 schaltet der EMP-Erkennungsschaltung 675 auf die interne Antenne 684, andernfalls wird die Umschalter 705 auf den Empfang von Signalen der externen Antenne 704 eingestellt. Im sicheren Modus wird ein Breitbandsignal am Leistungsdetektor 742 empfangen. Der Leistungsdetektor 742 gibt eine Spitzenleistung des Breitbandsignals aus. Die automatische Verstärkungsregelungsschaltung 703 reduziert die Verstärkung des von der RF-Empfängerschaltung 680 empfangenen Signals. Die automatische Verstärkungsregelungsschaltung 703 vergleicht die Spitzenleistung des internen Signals mit dem vorgegebenen Schwellenwert. Wird bei der EMP-Erkennungsschaltung 675 durch Anlegen eines EMP eine Fehlereinspeisung festgestellt, überschreitet der Spannung-Glitch den vorbestimmten Spitzenleistungsschwellenwert, und die automatische Verstärkungsregelungsschaltung den Q von Register 715 aus, um durch Auslösen des „Set“-Signals von Register 715 die Logik high zu registrieren. Als Reaktion auf das Auslösen des Q von Register 715 wird ein Detektiersignal an die Tamper-Response-Schaltung 635 geliefert, das die Erkennung einer Fehlereinspeisung anzeigt. Die Tamper-Response-Schaltung 635 ermöglicht die Ausführung eines Schutzvorgangs. Nach Empfang eines Signals am Eingang „Reset“ von Register 715 wird der Q-Ausgang des Registers 715 auf „0“ gesetzt und die EMP-Erkennungsschaltung 675 ist scharf geschaltet, um die Fehlereinspeisung weiter zu überwachen.
-
Durch die Erkennung, dass die Spitzenleistung des Signals der internen Antenne 684 die vorgegebene Spitzenleistungsschwelle überschreitet, erkennt die EMP-Erkennungsschaltung 675 zuverlässig die Anwendung eines EMP und erzeugt das Detektiersignal, um zu verhindern, dass der EMP eine wichtige Operation wie eine kryptographische Authentifizierungsoperation stört und dadurch ein Hacken der integrierten Schaltung verhindert. Es ist zu beachten, dass der Verstärker 701, der Leistungsdetektor 742 und eine automatische Verstärkungsregelung (automatic gain control, AGC) -Steuerschaltung 703 eine AGC-Schleife bilden, die in der RF-Empfängerschaltung 680 zur Verwendung im normalen Betriebsmodus enthalten ist, und die RF-Empfängerschaltung 680 in der Lage ist, einen von der internen Antenne 684 empfangenen EMP im sicheren Modus mit nur einer sehr geringen Menge zusätzlicher Hardware zu erkennen. In einer anderen Ausführung kann die automatische Verstärkungsregelungsschaltung 703 das dynamische Verhalten der Verstärkung des an der internen Antenne 684 empfangenen Signals überwachen. Eine schnelle Verstärkungsverringerung zeigt die Erkennung einer steigenden Flanke eines EMP an. Daher erkennt die automatische Verstärkungsregelungsschaltung 703 eine steigende Flanke des Ausgangssignals des Leistungsdetektors 742, wenn eine Rate der Verstärkungsverringerung im Laufe der Zeit einen Schwellenwert der Verstärkungsreduzierung überschreitet, wodurch das Detektiersignal ausgelöst wird.
-
In einer anderen Ausführung könnte eine integrierte Schaltung ohne vorhandenen RF-Empfänger auch den EMP-Erkennungsmechanismus implementieren. Integrierte Schaltung 600 würde die interne Antenne 684 enthalten, aber eine einfache Erkennungsschaltung ersetzt die RF-Empfängerschaltung 680. In einer bestimmten Ausführung könnte die Erkennungsschaltung ein Breitband-Energiedetektor mit einem Gleichrichter sein, gefolgt von einem fast-Attack (Filterzustand steigt schnell an), slow-Release (Filterzustand fällt langsam ab) Filter. Ein Komparator, wie der obig beschriebene Komparator der automatischen Verstärkungsregelungsschaltung 703, würde den Ausgang des Filters mit dem vorgegebenen Schwellenwert vergleichen. Der Ausgang des Komparators würde dann den Zustand eines Registers wie Register 715 setzen, um das Detektiersignal wie oben beschrieben zu erzeugen. So könnte die integrierte Schaltung die Vorteile dieser EMP-Detektionsfähigkeit nutzen, indem sie nur eine Erkennungsschaltung hinzufügt, die viel kleiner ist als die RF-Empfängerschaltung 680.
-
8 zeigt in grafischer Form eine überlagerte Perspektive aus 5 und die Verteilung einer Antenne einer elektromagnetischen Impulserfassungsschaltung nach einigen Ausführungsformen. Die Grafik 800 enthält die interne Antenne 684, den integrierten Schaltkreis 832 und das Glitch-Ergebnis 820, 822, 824, 830 und 834. In dieser Ausführung ist die interne Antenne 684 um weniger als eine vorbestimmte Entfernung, bezogen auf einen erwarteten Fehlereinspeisebereich, über die gesamte integrierte Schaltung 832 verteilt. Das gebildete Netzwerk von Tamper-Sensoren ermöglicht die Erkennung des Glitch-Ergebnisses 820, 822, 824, 830 und 834, die sich aus der in 5 dargestellten Fehlerinjektionsanalyse ergeben.
-
9 zeigt im Blockschaltbild die integrierte Schaltung 832 aus 8 mit interner Antenne 684 und einer Durchgangsprüfschaltung 900 zur Verwendung mit interner Antenne 684. Der Durchgangsprüfkreis 900 umfasst die interne Antenne 684, die Schalter 910 und 920, ein Register 915, eine Spannungsquelle 930, ein Amperemeter 940 und einen Komparator 950. Wie in 8 dargestellt, ist die interne Antenne 684 in einem Serpentinenmuster auf dem integrierten Schaltkreis 832 konfiguriert. Der Durchgangsprüfkreis 900 befindet sich zwischen dem ersten und zweiten Ende der internen Antenne 684.
-
Im sicheren Modus verbinden die Schalter 910 und 920 die Durchgangsschaltung 900 mit den beiden Enden der internen Antenne 684. Die Durchgangsschaltung 900 erkennt Tampering an der internen Antenne 684, wenn die interne Antenne 684 nicht genügend Strom von einem Ende zum anderen leitet. Das Amperemeter 940 misst den Strom durch die interne Antenne 684, wenn die Spannungsquelle 930 zwischen den beiden Enden der internen Antenne 684 in Reihe geschaltet ist. Um einen virtuellen Kurzschluss zu vermeiden, hat die Spannungsquelle 930 einen hohen Innenwiderstand, um ihren Ausgangsstrom zu begrenzen. Der Komparator 950 erhält vom Amperemeter 940 eine Spannung, die repräsentativ für den durch die interne Antenne 684 fließenden Strom ist. Der Komparator 950 vergleicht den Ausgang des Amperemeters 940 mit einer mit „VTH“ bezeichneten Schwellenspannung. Wenn der Ausgang des Amperemeters 940 unter VTH fällt, geht der Ausgang des Komparators 950 hoch und stellt das Register 915 ein. Wird also die interne Antenne 684 gestört (z.B. abgeschnitten, tampert, entfernt oder zerstört), wird auch der Strom durch das Amperemeter 940 unterbrochen, wodurch eine logische „1“ am Eingang „Set“ des Registers 915 anliegt. Durch die Bereitstellung einer Logik „1“ für das Register 915 wird der Ausgang des Registers 915 auf „high“ gesetzt, wodurch das Register 915 ein Signal mit der Bezeichnung „DURGANGSFEHLER“ an die Tamper-Response-Schaltung 635 liefert. So enthält die sichere integrierte Schaltung nicht nur eine interne Antenne, die an einen Eingang eines vorhandenen RF-Empfängers angeschlossen ist, um einen hochenergetischen EMP zu erkennen, sondern sie erkennt auch einen Verlust an Durchgängigkeit in der internen Antenne, der sich aus Versuchen ergibt, den internen EMP-Erkennungsmechanismus zu umgehen.
-
In einer bestimmten Ausführung kann eine integrierte Schaltung mit Durchgangsschaltung wie folgt hergestellt werden. Zuerst wird die integrierte Schaltung so gelayoutet, dass sie ein Layout wie das Layout der integrierten Schaltung 832 bildet. Im Allgemeinen stellt ein Entwickler von integrierten Schaltungen eine Netzliste für die integrierten Schaltung an ein kommerziell erhältliches Place-and-Route-Tool zur Verfügung, das die elektronischen Komponenten in der integrierten Schaltung automatisch so layoutet, dass sie den Zeitanforderungen entsprechen. Der Entwickler gibt jedoch die gewünschte Position der internen Antenne 684 an. Das Verfahren beinhaltet die Definition einer Route für die interne Antenne 684, so dass alle Punkte auf dem integrierten Schaltkreis 600 innerhalb einer vorgegebenen Entfernung zur internen Antenne 684 liegen. Das Verfahren umfasst das Anschließen eines Eingangs der Tamper-Response-Schaltung 635 an dem Reset-Eingang des Registers 915 und des Registers 715. Das Verfahren umfasst das Verteilen der internen Antenne 684 nach einem Serpentinenmuster auf der integrierten Schaltung 600 und das Platzieren der Durchgangsschaltung 900 zwischen dem ersten und zweiten Ende der internen Antenne 684. Das Verfahren umfasst ein Anschließen der Ausgänge der Durchgangsschaltung 900 und der EMP-Erkennungsschaltung 675 an die Tamper-Response-Schaltung 635.
-
Zweitens wird die integrierte Schaltung entsprechend dem Layout hergestellt. Die Herstellung kann mit konventionellen Herstellungsverfahren für komplementäre Metalloxid-Halbleiterchips (CMOS-Chips) durchgeführt werden. Der Herstellungsprozess umfasst Schritte wie das Dotieren des Halbleiterwafers, um aktive Bereiche von Transistoren zu bilden, das Strukturieren und Ätzen von Gate-Elektroden und elektrischen Verbindungen, das Polieren verschiedener Schichten zur Planarisierung, das Testen der fertigen integrierten Schaltung, das Verkapseln des Integrierte-Schaltung-Chips im Integrierte-Schalung-Gehäuse zur Montage auf Platinen und dergleichen.
-
Der obig offenbarte Gegenstand ist als erläuternd und nicht einschränkend zu betrachten, und die angefügten Ansprüche sollen alle Änderungen, Verbesserungen und andere Ausführungsformen abdecken, die in den wahren Anwendungsbereich der Ansprüche fallen. In einer Ausführung beinhaltet eine Basis-Tamper-Sensorschaltung eine Schaltung zur Erkennung von Haltezeitverletzungen und eine Schaltung zur Erkennung von Rüstzeitverletzungen. Jede Schaltung erkennt die jeweilige Fehlereinspeisung, die entweder eine niedrige Haltezeitverletzung oder eine niedrige Rüstzeitverletzung auslöst. In einem Beispiel werden Rüstzeit- und Haltezeitverletzungsschaltungen zufällig auf einer integrierten Schaltung verteilt. In einem anderen Beispiel werden Rüstzeit- und Haltezeitverletzungsschaltungen strategisch platziert, um ein bestimmtes Element auf einer integrierten Schaltung zu sichern. In einer alternativen Ausführung enthält die Tamper-Sensorschaltung gepaarte Cluster von Rüstzeit- und Haltezeitverletzungsschaltungen. In einer weiteren Ausführungsform, verwendet der Tamper-Sensorschaltung Quad-Cluster. Der Anwendungsbereich der vorliegenden Erfindung ist daher, soweit gesetzlich zulässig, durch die weitestgehend zulässige Auslegung der folgenden Ansprüche und ihrer Äquivalente zu bestimmen und darf durch die vorstehende ausführliche Beschreibung nicht eingeschränkt oder begrenzt werden.