-
Die vorliegende Erfindung bezieht
sich auf Chips im allgemeinen und insbesondere auf die Angriffssicherung
von Chips, wie sie beispielsweise in Chipkarten eingesetzt werden,
vor einem Zugriff auf vertrauliche Daten des Chips durch äußere Attakken, wie
z.B. DFA- (DFA = Differential Fault Attack = Differenzfehlerattacke)
Angriffe oder Reengineering-Angriffe.
-
Aktiver Zugriffsschutz für vertrauliche
Daten, insbesondere wenn global gültige kryptographische Schlüssel, gelegentlich
auch als Master Key bezeichnet, beteiligt sind, ist eine zentrale
Anforderung aus den Evaluierungskriterien für Zahlungssysteme, wie z.B.
Chipkarten. Chipkarten umfassen zumindest einen Chip sowie einen
Chipkartenträger,
an welchem der Chip befestigt ist. Auf dem Chip sind vertrauliche Daten
gespeichert, wie z.B. die Kontonummer, das Guthaben und die PIN
(personal identification number = persönliche Identifikationsnummer)
des Chipkartenbesitzers, aber auch kryptographische Schlüssel, wie
der oben erwähnte
Master Key des Kartenherausgebers oder ein individueller Chipkartenschlüssel. Die
auf der Chipkarte gespeicherten kryptographischen Schlüssel dienen
beispielsweise der Entschlüsselung
von auf der Chipkarte in verschlüsselter
Form gespeicherten vertraulichen Daten oder der Authentifikation
gegenüber
dem Kommunikationspartner der Chipkarte bzw. dem Terminal, wie z.B. einem
Bankautomaten oder einem POS (Point of Sales).
-
Aufgrund der großen Bedeutung der kryptographischen
Schlüssel
für das
Zahlungssystem besteht ein hohes Bedürfnis, diese kryptographischen Schlüssel vor
Angreifern zu schützen,
und damit auch gleichzeitig die in verschlüsselter Form auf der Chipkarte
gespeicherten weiteren Daten. Das Problem hierbei besteht darin,
daß die
Chipkarten im freien Umlauf sind und daher unkontrolliert den Angriffen
potentieller Angreifer ausgesetzt sind. Die Angriffe können grob
in vier Gruppen eingeteilt werden. Gemäß sogenannter Brute-Force-Angriffe
wird anhand der Kombination aus in den Chip eingegebenen, beispielsweise
zu verschlüsselnden,
und von dem Chip ausgegebenen, beispielsweise verschlüsselten,
Daten unter Kenntnis des Verschlüsselungsalgorithmus
durch Probieren versucht, den richtigen kryptographischen Schlüssel zu
ermitteln. Diesen Angriffen wird durch eine genügend hohe Schlüssellänge begegnet.
Gemäß DPA- (DPA
= Differential Power Analyses = Differenzleistungsanalyse) Angriffen wird
anhand des Leistungsverbrauchprofils des Chips während der Verwendung des Schlüssels zur Verschlüsselung
verschiedener Eingangsdaten auf den kryptographischen Schlüssel rückgeschlossen. Maßnahmen
gegen diese Angriffe bestehen beispielsweise in der Verwendung einer
speziellen Logik, wie z.B. einer asynchronen Logik, oder der Durchführung von
Dummy-Berechnungen, die lediglich der Überlagerung des zur Handhabung
des kryptographischen Schlüssels
notwendigen Leistung dient.
-
Neben den vorgenannten Angriffen,
die den Chip als solchen unbeeinflußt lassen, existieren Angriffe,
die durch äußere Angriffe
bzw. durch Manipulation oder Beeinflussung des Chips von außen versuchen,
denselben aus normalen Betriebsbedingungen in Betriebsbedingungen
zu versetzen, bei denen der Chip fehlerhaft arbeitet und fehlerhafte
Daten ausgibt. Gemäß diesen
sogenannten DFA-Angriffen wird beispielsweise der Chip in einem
Zustand bzw. einer Umgebung erhöhter
Temperatur, erhöhten Strahlungseinfalls,
erhöhter
Taktung oder eines Betriebs mit höherer oder niedrigerer Versorgungsspannung
als der vorgesehenen Sollspannung betrieben und somit zu einer fehlerhaften
Funktionsweise veranlaßt,
wobei aus den fehlerhaften ausgegebenen Daten des Chips versucht
wird, auf den kryptographischen Schlüssel der Chipkarte rückzuschließen. Mögliche Zugriffsschutzmechanismen
gegen diese DFA-Angriffe sehen in dem Chip neben einem Datenspeicher,
in dem die kryptographische Basis der schätzenswerten Daten oder die
zu schützenden
Daten selbst dauerhaft gespeichert sind, eine Sensorik zur Detektion
einer Beeinflussung des Chips sowie einen Energiespeicher, wie z.B.
eine Batterie, einen Kondensator oder dergleichen, zur Versorgung
des Chips auch während
der Phasen, in denen die Chipkarte nicht in Betrieb bzw. am Terminal
eingesetzt ist, vor. Die Sensorik erfaßt beispielsweise äußere Angriffe
durch Erfassung eines Eindringens in den Chip, der Unter- oder Überschreitung
einer zulässigen
Toleranz für
die Spannung, der Temperatur oder der Frequenz von einfallender
Röntgenstrahlung
oder dergleichen. Die Batterie oder vergleichbare Energiespeicher
versorgen die Sensorik mindestens während der Power-Down-Phasen
der Schaltung mit Energie. Wird nun ein Angriff auf den Schutzbereich
detektiert, zerstört
die aktive Schutzlogik die kryptographische Basis oder die geschützten Daten,
so daß sie
dem Angreifer nicht mehr zur Verfügung stehen. Die kryptographische
Basis ist beispielsweise ein zufällig
generierter und nur innerhalb des durch den Schutzmechanismus bzw.
die Sensorik geschützten Schutzbereichs
bekannter symmetrischer Schlüssel, mit
dem wiederum zu schützende,
verschlüsselte Daten
kryptongraphisch gesichert, wie z.B. verschlüsselt oder integritätsgesichert,
sind.
-
Nachteilhaft an der vorbeschriebenen
möglichen
Gegenmaßnahme
gegen DFA-Angriffe ist der hohe strukturelle Aufwand und insbesondere
das Vorsehen eines Energiespeichers. Das Vorsehen eines Energiespeichers
erhöht
den Platzbedarf, die Herstellungs- und Entwicklungskosten und begrenzt entweder
die Lebensdauer der Chipkarte oder macht zusätzlich Vorkehrungen zur Wiederaufladbarkeit des
Energiespeichers notwendig.
-
Eine weitere Form von Angriffen durch
einen äußeren Angriff
auf den Chip bilden sogenannte Reengineering-Angriffe. Durch wiederholtes
Abschleifen und Ablichten bzw. Anschauen des Chips kombiniert mit
der Analyse des Chips durch Kontaktieren freigelegter Durchkontaktierungen
oder optisches Analysieren der abgeschliffenen Chipebenen wird versucht,
den Aufbau des Chips und damit den implementierten Kryptoalgorithmus
sowie die gespeicherten Informationen zu ermitteln. Gegenmaßnahmen
hierfür
sehen beispielsweise den Aufbau des Chips aus speziellen Transistoren
vor, die durch Abschleifen nur schwer zu analysieren sind.
-
Nachteilhaft an den vorbeschriebenen
Möglichkeiten
zur Begegnung von kryptographischen Attacken basierend auf äußeren Angriffen
ist, daß die einzelnen
Maßnahmen
lediglich gegen eine Art von Angriff gerichtet sind, und daß im Hinblick
auf DFA-Angriffe der Schutzaufwand hoch ist.
-
Die Aufgabe der vorliegenden Erfindung
besteht darin, einen Chip zu schaffen, der ein höheres Maß an Schutz vor äußeren Angriffen
ermöglicht.
-
Diese Aufgabe wird durch einen Chip
gemäß Anspruch
1 gelöst.
-
Ein erfindungsgemäßer Chip umfaßt eine erste
Schutzschicht, die eine Struktur zur Erfassung von äußeren Angriffen
aufweist, eine Verarbeitungsschicht, die eine Verarbeitungsstruktur
aufweist, und einen zwischen der ersten Schutzschicht und der Verarbeitungsschicht
angeordneten Sicherungsdatenträgerbereich,
der Teilbereiche mit unterschiedlichen physikalischen Eigenschaften
aufweist. Die Verarbeitungsstruktur ist derart ausgebildet, daß dieselbe
eine Einrichtung zum Handhaben von Daten, eine Einrichtung zum Erfassen
der unterschiedlichen physikalischen Eigenschaften der Teilbereiche
des Sicherungsdatenträgerbereichs,
zum Herleiten von Sicherungsdaten aus den erfaßten unterschiedlichen physikalischen
Eigenschaften und zum Liefern der Sicherungsdaten an die Einrichtung
zum Handhaben und eine Einrichtung zum Überwachen der Struktur zur
Erfassung von äußeren Angriffen
der ersten Schutzschicht und zum Unterbinden oder Abbrechen der
Herleitung, Lieferung oder Handhabung der Sicherungsdaten, falls
ein äußerer Angriff
vorliegt, implementiert.
-
Die Erkenntnis der vorliegenden Erfindung besteht
darin, daß durch
die Speicherung von sicherheitskritischen Sicherungsdaten in Form
einer speziellen Wahl der physikalischen Eigenschaften von Teilbereichen
eines Sicherungsdatenträgerbereichs und
gleichzeitige Sicherstellung, daß während aktiven Phasen des Chips
kein Ablesen und Handhaben der Sicherungsdaten stattfindet, sowie
durch Vorsehen des Sicherungsdatenträgerbereichs zwischen der Schutzschicht
und der eigentlichen Verarbeitungsschicht, ein erhöhtes Maß an Sicherheit
gegen sowohl DFA- als auch Reengineering-Angriffe ermöglicht wird.
Bei Reengineering-Angriffen sorgt die Folge von Schutzschicht, Datenträgerbereich
und Verarbeitungsschicht dafür,
daß die
Teilbereiche mit unterschiedlichen physikalischen Eigenschaften
abgeschliffen sind, bevor deren Lage dem Angreifer bekannt ist.
Während
der aktiven Phasen des Chips sorgt die Schutzschicht dafür, daß die Sicherungsdaten
im Chip nicht in elektronischer Form vorhanden sind und verwendet
werden, so daß eine
wirksame Vorkehrung gegen DFA-Angriffe
geliefert ist.
-
Anders ausgedrückt besteht der Schutz aus mehreren,
sich ergänzenden
Schutzmechanismen, die in mehreren Schichten angeordnet sind. Die äußere Schutzschicht
schützt
die Verarbeitungsschicht und den Datenträgerbereich gegen Analyseangriffe, während der
Chip aktiv ist. Insbesondere übernimmt sie
den Schutz vor Angriffen während
der Extraktion der Materialeigenschaften der innere Schutzschicht. Gemäß einem
Ausführungsbeispiel
der vorliegenden Erfindung ist hierzu eine Leiterbahn in der äußeren Schutzschicht
gebildet, an der physikalische Werte, wie beispielsweise die Impedanz,
eine Signallaufzeit, eine Kapazität oder eine Grenzfrequenz,
ständig
auf eine signifikante Veränderung
hin überwacht
werden, um bei signifikanter Veränderung
einen internen Alarm auszulösen.
Die Funktion der Verarbeitungsschicht wird bei Alarm sofort deaktiviert
oder erst gar nicht aktiviert. Hat die äußere Schutzschicht keinen Angriff
erkannt, reproduziert eine in der Verarbeitungsschicht gebildete
Ausleseeinrichtung aus den unterschiedlichen physikalischen Eigenschaften
einer weiter innen liegenden inneren Schutzschicht bzw. des Sicherungsdatenträgerbereichs
Sicherungsdaten bzw. einen individuellen Referenzwert. Letztere
können
anschließend
innerhalb der Verarbeitungsschicht auf ihre Korrektheit hin überprüft werden.
Liefert die Überprüfung der
Korrektheit der aktuell ermittelten Sicherungsdaten kein positives
Ergebnis, wird keine Handhabung der Sicherungsdaten durchgeführt, wie
beispielsweise die Rekonstruktion von zu schützenden Daten, die wiederum
beispielsweise in der Entschlüsselung
derselben besteht. Informationen, die Hinweise auf die Sicherungsdaten ergeben
könnten,
ergeben sich für
den Angreifer folglich nicht.
-
Ein Vorteil der vorliegenden Erfindung
besteht folglich darin, daß im
Vergleich zu der in der Beschreibungseinleitung beschriebenen Möglichkeit der
Implementierung eines aktiven Zugriffsschutzes mittels einer Kombination
aus Energiespeicher und einer von demselben zumindest in Power-Down-Phasen
betriebenen Sensorik auf einen Energiespeicher verzichtet werden
kann, da der Angreifer weder mittels Reengineering in Power-Down-Phasen
noch mittels DFA in aktiven Phasen an die Sicherungsdaten herankommt.
Abschleifen von der äußeren Schutzschicht
aus zerstört
die die Sicherungsdaten anzeigenden Teilbereiche mit unterschiedlichen
physikalischen Eigenschaften, bevor der Angreifer dieselben lokalisieren
kann. Im Betrieb des Chips wird jeglicher Zugriff auf die physikalischen
Eigenschaften der Teilbereiche des Sicherungsdatenträgerbereichs
eingestellt, so daß keine „abhörbare" Version der Sicherungsdaten
in dem Chip vorhanden ist und zu Ausgaben des Chips führt, die
durch den Angreifer verwendet werden könnten, um auf die Sicherungsdaten,
wie z.B. einen Master-Key, rückzuschließen.
-
Bevorzugte Ausführungsbeispiele der vorliegenden
Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden
Zeichnungen näher
erläutert.
Es zeigen:
-
1 eine
Explosionsansicht einer Schichtfolge eines Chips gemäß einem
Ausführungsbeispiel der
vorliegenden Erfindung; und
-
2 eine
schematische Zeichnung, aus welcher die Funktionalitäten der
Schichten des Chips von 1 hervorgehen.
-
Im folgenden wird anhand von 1 und 2 ein Ausführungsbeispiel der vorliegenden
Erfindung beschrieben, wie er beispielsweise in auf einen Chipkartenträger aufgebrachter
Form bei einer Chipkarte eingesetzt werden kann, die batterielos
ist und während
der Sitzungen entweder über
Kontakte oder kontaktlos von dem jeweiligen Terminal mit Energie versorgt
wird. Verwendungen der vorliegenden Erfindung im Rahmen anderer
Sicherungsmodule sind jedoch ebenfalls denkbar, wie beispielsweise
die Anwendung des Chips im Rahmen einer Smartcard oder als fest
integrierter Chip in einem elektronischen Gerät, wie z.B. als Dongle bzw.
Kopierschutzschaltung.
-
Der Chip, der in 1 allgemein mit 10 angezeigt ist, bzw.
die integrierte Schaltungsanordnung umfaßt eine auf einem Halbleitersubstrat 12 angeordnete
Schichtfolge aus einer äußeren Schutzschicht 14,
einer Sicherungsdatenträgerschicht
oder, wie sie im folgenden genannt wird, innere Schutzschicht 16 und
einer geschützten
Verarbeitungsschicht 18. Die Folge von Schichten 14, 16 und 18 und
Substrat 12 ist derart, daß die Verarbeitungsschicht 18 zwischen
dem Halbleitersubstrat 12 auf der einen und den Schutzschichten 14 und 16 auf
der anderen Seite angeordnet ist, und daß die innere Schutzschicht 16 wiederum
zwischen der äußeren Schutzschicht 14 und
der Verarbeitungsschicht 18 angeordnet ist.
-
Die einzelnen Schichten 14, 16 und 18 sind geeignet
strukturiert und aufgebaut, um verschiedene Funktionen zu erfüllen. So
ist, wie es in 2 gezeigt
ist, in der mit gestrichel ten Linien die Schichten 14, 16 und 18 angezeigt
sind, in der äußeren Schutzschicht 14 eine
Erfassungsstruktur gebildet, die zur Erfassung äußerer Angriffe dienen soll,
wie sie beispielsweise bei DFA-Angriffen durchgeführt werden. In
der Verarbeitungsschicht ist eine Verarbeitungseinrichtung 22 gebildet,
die mit Erfassungsstruktur 20 der äußeren Schutzschicht 14 und
Teilbereichen 24 der inneren Schutzschicht 16 aus
Gründen,
die im folgenden dargelegt sind, verbunden ist.
-
Die Erfassungsstruktur 20 ist
beispielsweise eine mäanderförmige Leiterbahn,
die in einem Isolatormaterial eingebettet ist. Mittels einer mäanderförmigen Leiterbahn
erfaßbare äußere Angriffe
umfassen beispielsweise das Eindringen in den Chip durch beispielsweise
Bohren, das Aussetzen des Chips 10 einer über- oder
unterhalb des Normbereichs liegenden Temperatur oder das Aussetzen
des Chips einer erhöhten
elektromagnetischen Strahlung, wie z.B. Röntgenstrahlung. Weitere oder
alternative Erfassungsstrukturen könnten vorgesehen sein, um gemeinhin
bestimmte Maßnahmen
bzw. Beeinflussungen des Chips von außen erfaßbar zu machen, die geeignet
sind, um den Chip zu einer fehlerhaften Funktionsweise zu provozieren.
Nicht alle Erfassungsstrukturen müßten in der äußeren Schutzschicht 14 angeordnet
sein.
-
In dem Fall der mäanderförmigen Leiterbahn als Erfassungsstruktur 20 werden äußere Angriffe dadurch
erfaßbar,
daß sich
je nach Intensität
der äußeren Angriffe
physikalische Eigenschaften derselben bzw. Meßwerte, die an der Leiterbahn
intermittierend abgegriffen werden, von Mal zu Mal ändern. Um die Änderungen
dieser physikalischen Eigenschaften der Erfassungsstruktur 20 zu überwachen
bzw. zu messen, ist die Erfassungsstruktur 20 mit der Verarbeitungseinrichtung 22 verbunden,
wie z.B. einer CPU, die in der Verarbeitungsschicht 18 gebildet bzw.
strukturiert ist. Die Verarbeitungseinrichtung 22 erfaßt und überwacht
beispielsweise die Impedanz, eine Signallaufzeit über die
mäanderförmige Leiterbahn,
eine Kapazität
bezüglich
der Leiterbahn oder eine Grenzfrequenz bezüglich der Leiterbahn. So läßt beispielsweise
eine Änderung
des spezifischen Widerstands auf eine Temperaturänderung, eine Unterbrechung
des Stroms durch die Leiterbahn auf ein Eindringen in den Chip 10 und
eine Änderung
der Kapazität
zwischen der mäanderförmigen Leiterbahn und
einer weiteren Elektrode beispielsweise auf eine Verformung des
Chips 10 rückschließen. Bei Überschreitung
eines Referenzwertes von entweder dem Grad an Änderung bzw. der zeitlichen
Ableitung der erfaßten
Meßwerte
oder des Betrags dieser Meßwerte
nimmt die Verarbeitungseinrichtung 22 geeignete Maßnahmen
vor, wie sie im folgenden noch beschrieben werden.
-
Die eigentlich geschützten Sicherungsdaten des
Chips 10 befinden sich in der inneren Schutzschicht 16 bzw.
können
aus derselben abgeleitet werden, indem den Teilbereichen 24 der
inneren Schutzschicht 16 ein spezieller Satz von unterschiedlichen Materialeigenschaften
zugeordnet ist, der wiederum über
eine Abbildungsvorschrift den Sicherungsdaten zugewiesen ist. Die
Sicherungsdaten stellen beispielsweise einen Master-Key oder einen chipindividuellen
Schlüssel
dar. Über
eine vorbestimmte Abbildung ist jedem möglichen Wert für die Sicherungsdaten
eine Kombination von unterschiedlichen Materialeigenschaften zugeordnet.
Die Teilbereiche 24 unterscheiden sich hinsichtlich ihrer
physikalischen Materialeigenschaften beispielsweise im Hinblick
auf ihre Leitfähigkeit.
Bevorzugterweise besteht die innere Schutzschicht 16 aus
SiLK (eingetragenes Warenzeichen) (SiLK = Silicon Less Low-K), wie
es von der Firma Dow Chemical Company vertrieben wird, ein Material,
welches die Eigenschaft hat, seine Leitfähigkeit aufgrund von Dotierung
stark zu variieren, was wiederum einen drastischen Anstieg der Leitfähigkeit
ergibt. Teilbereiche mit den den Sicherungsdaten zugeordneten unterschiedlichen
Leitfähigkeiten
unter Zuhilfenahme von SiLK werden erzielt, indem die aus SiLK bestehende
innere Schutzschicht 16 ein lateral variierendes Dotierungsprofil
aufweist. An bestimmten, lateral verteilten Kontaktpunkten ist die
innere Schicht 16 mit der Verarbeitungseinrichtung 22 verbunden,
wodurch aufgrund des lateralen Dotierungsprofils zwischen den Kontaktpunkten
Teilbereiche mit unterschiedlichen mittleren Leitfähigkeiten
definiert werden, die wiederum dem den Sicherungsdaten zugewiesenen
Leitfähigkeitssatz
entsprechen.
-
Die Verarbeitungseinrichtung 22 ist
in der Lage, die Leitfähigkeiten
der Teilbereiche der inneren Schutzschicht 16 zu erfassen
und aus den erfaßten Leitfähigkeiten
die Sicherungsdaten herzuleiten, beispielsweise durch Quantisieren
der erfaßten
analogen Werte für
die Leitfähigkeiten
und geeignetes Verknüpfen
der quantisierten Werte. Wie es im folgenden noch beschrieben wird,
nimmt die Verarbeitungseinrichtung 22 das Auslesen der
Sicherungsdaten aus den unterschiedlichen Leitfähigkeiten der Teilbereiche
der inneren Schutzschicht 16 jedoch nur dann vor, wenn
keine äußeren Angriffe über die
Erfassungsstruktur 20 detektiert worden sind.
-
In der Verarbeitungsschicht 18 befindet
sich ferner ein Speicher, wie z.B. ein nichtflüchtiger Speicher (NVM; NVM
= Non Volatile Memory) oder ein Flash-Speicher, in welchen weitere
Daten, wie z.B. ein Guthaben oder dergleichen, geladen, gespeichert und
verändert
werden können,
wozu der Speicher 26 mit der Verarbeitungseinrichtung 22 verbunden
ist.
-
Nachdem im vorhergehenden der grobe
Aufbau des Chips 10 beschrieben sowie einzelne Funktionalitäten der
Verarbeitungseinrichtung 22 im Hinblick auf die Überwachung
von äußeren Angriffen über die
Erfassungsstruktur 20 und des Auslesens der Sicherungsdaten
aus den Materialeigenschaften 24 der inneren Schutzschicht 16 beschrieben
worden sind, wird im folgenden die gesamte Funktionsweise des Chips 10 insoweit
beschrieben, wie es erforderlich ist, um die Effizienz des Chips 10 gegenüber kryptographischen
Angriffen Dritter nachvollziehen zu können.
-
Wie im vorhergehenden erwähnt, sind
auf dem Chip 10 Daten gespeichert, die vor Angreifern geschützt werden
sollen.
-
Unter anderem sind dies die Sicherungsdaten,
die sich auf dem Chip 10 in Form eines speziellen Satzes
von unterschiedlichen Leitfähigkeiten
in Teilbereichen der inneren Schutzschicht 16 manifestieren.
Darüber
hinaus befinden sich in dem Speicher 26 weitere zu schützende Daten.
Um die in dem Speicher 26 gespeicherten Daten vor Angreifern
zu schützen,
sind dieselben mit einem Schlüssel
verschlüsselt,
der sich nur aus den Sicherungsdaten 24 ergibt. Folglich
ist es für
den Angreifer notwendig, die Sicherungsdaten 24 zu erhalten,
was jedoch, wie es im nachfolgenden erörtert wird, äußerst erschwert oder
nur unter extremen Bedingungen möglich
ist.
-
Der Chip 10 umfaßt selbst
keinen Energiespeicher und ist somit in Power-Down-Phasen, da derselbe
von außen
nicht mit Energie versorgt wird, deaktiviert, wie z.B. in dem Anwendungsfall
einer Chipkarte, wenn der Chip also in einer Chipkarte ohne Energiespeicher
eingebaut ist, während
der Nichtsitzungsphasen. In diesen Power-Down-Phasen sind die Sicherungsdaten 24 für den Angreifer folglich
nur dadurch eruierbar, daß derselbe
in Kenntnis der unterschiedlichen Materialeigenschaften der Teilbereiche
der inneren Schutzschicht 16 gelangt. Ein Reengineering
durch Abschleifen des Chips 10 von dem Halbleitersubstrat 12 aus
ist mühsam
und zerstört
zudem die die Verarbeitungseinrichtung 22 bildenden Strukturen.
Bei Abschleifen des Chips 10 von oben aus, d.h. der Angriffsrichtung,
wie sie in 1 mit einem
Pfeil 28 angezeigt ist, schleift der Angreifer die Teilbereiche 24 mit
den unterschiedlichen Materialeigenschaften ab, bevor er die Lage
der Teilbereiche an den Kontaktierungen zu der Verarbeitungseinrichtung 22 erkennt.
Um Reengineering-Angriffe auf die Sicherungsdaten in der inneren
Schutzschicht 16 zusätzlich
zu erschweren, ist es bevorzugt, daß die Dotierung der inneren
Schutzschicht 16 individuell pro Chip und zudem mit möglichst
großer und
zufälliger
Varianz erfolgt.
-
Erst im Betrieb, d.h. wenn der Chip 10 von außen mit
Energie versorgt wird, wie z.B. in dem Chipkartenanwendungsfall
durch das Terminal während
der Transaktionen, reagiert der Chip 10 auf Eingangsdaten
von außen
und nimmt Verarbeitungen der in dem Speicher 26 gespeicherten
Daten vor usw. Unter anderem benutzt die Verarbeitungseinrichtung 22 die
Sicherungsdaten in den Teilbereichen 24 dazu, die Daten
in dem Speicher 26 zu entschlüsseln oder eine Authentifikation
gegenüber
dem Kommunikationspartner durchzuführen. Um zu vermeiden, daß ein Angreifer
durch äußere Angriffe
bzw. eine mechanische oder sonst wie geartete Beeinflussung des
Chips von außen
den Chip 10 zu einer fehlerhaften Handhabung der Sicherungsdaten 24 und
somit über
beispielsweise einen DFA-Angriff Rückschlüsse auf die Sicherungsdaten
ziehen kann, stoppt die Verarbeitungseinrichtung 22 jegliches
Auslesen der Materialeigenschaften der Teilbereiche 24 und
jede weitere Handhabung der Sicherungsdaten, wie z.B. eine weitere
Entschlüsselung
der Daten in dem Speicher 26, sobald die Verarbeitungseinrichtung 22 mittels der
Erfassungsstruktur 20 einen Angriff erfaßt.
-
Wird der Chip 10 beispielsweise
einer mechanischen Verformung ausgesetzt, erfaßt die Verarbeitungseinrichtung 22 in
dem Fall einer mäanderartigen
Leiterbahn als der Erfassungsstruktur 20 durch beispielsweise Änderung
der Signallaufzeit durch die Leiterbahn und stoppt jegliche Ausgabe
des Chips 10 und daraufhin auch jegliche weiteren Verarbeitungen mittels
der Sicherungsdaten.
-
Es kann vorgesehen sein, daß die Verarbeitungseinrichtung 22 zusätzlich die
Funktionalität
aufweist, daß dieselbe
bei Auslesen der Sicherungsdaten aus den Materialeigenschaften der
Teilbereiche 24 dieselben auf ihre Korrektheit hin überprüft. Die Überprüfung der
Sicherungsdaten könnte
beispielsweise durchgeführt
werden, indem die Sicherungsdaten durch einen Einwegalgorithmus,
wie z.B. eine Hash-Berechnung, auf einen Wert abgebildet werden,
der mit einem beispielsweise in dem Speicher 26 permanent
gespeicherten Prüfwert
verglichen wird. Da die reellen Rahmenbedingungen eventuell eine
Drift der meßbaren
physikalischen Eigenschaften der Teilbereiche 24 hervorrufen,
wird bei der Überprüfung der
Sicherungsdaten eine fehlertolerante Methode bevorzugt. In dem Fall,
daß die
Verarbeitungseinrichtung 22 bei der Überprüfung der Korrektheit der ausgelesenen
Sicherungsdaten zu keinem positiven Ergebnis kommt, stoppt die Verarbeitungseinrichtung 22 jegliche
weitere Handhabung der Sicherungsdaten, wie z.B. die Rekonstruktion
der zu schützenden
Daten in dem Speicher 26 bzw. die Entschlüsselung
derselben. Auch auf diese Weise wird eine fehlerhafte Ausgabe des
Chips 10 vermieden.
-
Die vorhergehende Erörterung
hat folglich einen Chip beschrieben, bei dem aus Materialeigenschaften
einer Schutzschicht, die ihrerseits von einer weiteren Schutzschicht
gegen Angriffe während
der Extraktion der Eigenschaften geschützt ist, Referenzwerte ableitbar
sind, die wiederum zur Freigabe der Funktionalität eines durch beide Schutzschichten
geschützten
Bereichs, nämlich
der Verarbeitungsschicht bzw. eines Sicherungsbereichs, verwendet werden.
Als Ergebnis des erfolgreichen Freigabeprozesses wurde als ein Beispiel
die Ableitung eines Schlüssels
beschrieben, der zur Ver- oder Entschlüsselung von besonders sensitiven
Daten in dem Speicher 26 verwendet wird. Die Angriffsdetektion
und die Reproduktion der Referenzwerte bzw. Sicherungsdaten bei
Freigabe der Funktionalität
aus den Materialeigenschaften der inneren Schutzschicht wird von der
Verarbeitungseinrichtung innerhalb des Schutzbereichs 18 bzw.
der Verarbeitungsschicht übernommen,
an die die innere und die äußere Schutzschicht 14, 16 angeschlossen
sind. Der beschriebene Chip bietet folglich Vorteile bezüglich Kosten,
neuen Formfaktoren für „Tamper
Resistant Systems" bzw.
manipulationssicheren Systeme, wie z.B. System-on-Chip- bzw. SOC-Systeme,
bezüglich
Lebensdauer und Ausfallsicherheit.
-
Obwohl im Vorhergehenden als Beispiel
für die
Erfassungsstruktur in der äußeren Schutzschicht lediglich
eine mäanderförmige Leiterbahn
beschrieben wurde, ist es ferner möglich, daß andere Sensoren eingesetzt
werden, wie z.B. Druck- bzw.
-
Kraftsensoren mit einer dünnen Halbleitermembran,
piezoelektrische Sensoren oder dergleichen. Ferner können die
im Vorhergehenden erwähnten
Schichten, d.h. die äußere, innere
Schutzschicht und die Verarbeitungsschicht, auch jeweils aus mehreren
Schichten bestehen. Insbesondere die innere Schutzschicht kann aus
mehreren Teilschichten bestehen, die jeweils für sich genommen einheitlich,
untereinander aber unterschiedlich dotiert sind, so daß sich für die innere
Schutzschicht ein variierendes Dotierungsprofil in der Dickrichtung
ergibt. Ferner können
Isolationsschichten oder Schichten anderer Funktionalität zwischen
diesen Schichten bzw. Teilschichten vorgesehen sein. Zudem muß ein Chip, bei
dem die vorliegende Erfindung implementierbar ist, auch keinen Speicher
zum Speichern von Daten aufweisen, die mittels der Sicherungsdaten
verschlüsselt
sind und folglich beim Speichern in den Speicher mit den Sicherungsdaten
verschlüsselt
und beim Lesen aus dem Speicher mittels der Sicherungsdaten entschlüsselt werden.
Vielmehr ist es möglich,
daß die
Sicherungsdaten lediglich zum Vergleich mit einem in den Chip eingegebenen
Wert verwendet werden, wie z.B. im Rahmen eines PIN-Vergleichs.
In diesem Fall bestünde
folglich die Handhabung der Sicherungsdaten lediglich in dem Vergleich der
Sicherungsdaten mit dem von außen
eingegebenen Wert und nicht in der Entschlüsselung von in dem Speicher
gespeicherten Daten.
-
- 10
- Chip
- 12
- Halbleitersubstrat
- 14
- äußere Schutzschicht
- 16
- innere
Schutzschicht
- 18
- Verarbeitungsschicht
- 20
- Erfassungsstruktur
- 22
- Verarbeitungseinrichtung
- 24
- Bereiche
unterschiedlicher Materialeigenschaften
- 26
- Speicher
- 28
- Angriffsrichtung