DE10247485A1 - Chip mit Angriffsschutz - Google Patents

Chip mit Angriffsschutz Download PDF

Info

Publication number
DE10247485A1
DE10247485A1 DE10247485A DE10247485A DE10247485A1 DE 10247485 A1 DE10247485 A1 DE 10247485A1 DE 10247485 A DE10247485 A DE 10247485A DE 10247485 A DE10247485 A DE 10247485A DE 10247485 A1 DE10247485 A1 DE 10247485A1
Authority
DE
Germany
Prior art keywords
chip
data
protective layer
handling
backup data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10247485A
Other languages
English (en)
Inventor
Harald Hewel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Priority to DE10247485A priority Critical patent/DE10247485A1/de
Priority to AU2003278065A priority patent/AU2003278065A1/en
Priority to PCT/EP2003/011213 priority patent/WO2004036649A1/de
Priority to TW092128349A priority patent/TW200409040A/zh
Publication of DE10247485A1 publication Critical patent/DE10247485A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/57Protection from inspection, reverse engineering or tampering
    • H01L23/576Protection from inspection, reverse engineering or tampering using active circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07372Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/0001Technical content checked by a classifier
    • H01L2924/0002Not covered by any one of groups H01L24/00, H01L24/00 and H01L2224/00
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/30Technical effects
    • H01L2924/301Electrical effects
    • H01L2924/3011Impedance

Abstract

Beschrieben wird ein Chip mit einer Schutzschicht (14), die eine Struktur (20) zur Erfassung von äußeren Angriffen aufweist, einer Verarbeitungsschicht (18), die eine Verarbeitungsstruktur (22) aufweist, und einem zwischen der Schutzschicht (14) und der Verarbeitungsschicht angeordneten Sicherungsdatenträgerbereich (16), der Teilbereiche (24) mit unterschiedlichen physikalischen Materialeigenschaften aufweist. Die Verarbeitungsstruktur (22) implementiert folgende Einrichtungen: eine Einrichtung zum Handhaben von Daten, eine Einrichtung zum Erfassen der unterschiedlichen physikalischen Eigenschaften der Teilbereiche des Sicherungsdatenträgerbereichs, zum Herleiten von Sicherungsdaten aus den erfaßten unterschiedlichen physikalischen Materialeigenschaften und zum Liefern der Sicherungsdaten an die Einrichtung zum Handhaben, und eine Einrichtung zum Überwachen der Struktur (20) zur Erfassung von äußeren Angriffen der ersten Schutzschicht (14) und zum Unterbinden oder Abbrechen der Herleitung, Lieferung oder Handhabung der Sicherungsdaten, falls ein äußerer Angriff vorliegt.

Description

  • Die vorliegende Erfindung bezieht sich auf Chips im allgemeinen und insbesondere auf die Angriffssicherung von Chips, wie sie beispielsweise in Chipkarten eingesetzt werden, vor einem Zugriff auf vertrauliche Daten des Chips durch äußere Attakken, wie z.B. DFA- (DFA = Differential Fault Attack = Differenzfehlerattacke) Angriffe oder Reengineering-Angriffe.
  • Aktiver Zugriffsschutz für vertrauliche Daten, insbesondere wenn global gültige kryptographische Schlüssel, gelegentlich auch als Master Key bezeichnet, beteiligt sind, ist eine zentrale Anforderung aus den Evaluierungskriterien für Zahlungssysteme, wie z.B. Chipkarten. Chipkarten umfassen zumindest einen Chip sowie einen Chipkartenträger, an welchem der Chip befestigt ist. Auf dem Chip sind vertrauliche Daten gespeichert, wie z.B. die Kontonummer, das Guthaben und die PIN (personal identification number = persönliche Identifikationsnummer) des Chipkartenbesitzers, aber auch kryptographische Schlüssel, wie der oben erwähnte Master Key des Kartenherausgebers oder ein individueller Chipkartenschlüssel. Die auf der Chipkarte gespeicherten kryptographischen Schlüssel dienen beispielsweise der Entschlüsselung von auf der Chipkarte in verschlüsselter Form gespeicherten vertraulichen Daten oder der Authentifikation gegenüber dem Kommunikationspartner der Chipkarte bzw. dem Terminal, wie z.B. einem Bankautomaten oder einem POS (Point of Sales).
  • Aufgrund der großen Bedeutung der kryptographischen Schlüssel für das Zahlungssystem besteht ein hohes Bedürfnis, diese kryptographischen Schlüssel vor Angreifern zu schützen, und damit auch gleichzeitig die in verschlüsselter Form auf der Chipkarte gespeicherten weiteren Daten. Das Problem hierbei besteht darin, daß die Chipkarten im freien Umlauf sind und daher unkontrolliert den Angriffen potentieller Angreifer ausgesetzt sind. Die Angriffe können grob in vier Gruppen eingeteilt werden. Gemäß sogenannter Brute-Force-Angriffe wird anhand der Kombination aus in den Chip eingegebenen, beispielsweise zu verschlüsselnden, und von dem Chip ausgegebenen, beispielsweise verschlüsselten, Daten unter Kenntnis des Verschlüsselungsalgorithmus durch Probieren versucht, den richtigen kryptographischen Schlüssel zu ermitteln. Diesen Angriffen wird durch eine genügend hohe Schlüssellänge begegnet. Gemäß DPA- (DPA = Differential Power Analyses = Differenzleistungsanalyse) Angriffen wird anhand des Leistungsverbrauchprofils des Chips während der Verwendung des Schlüssels zur Verschlüsselung verschiedener Eingangsdaten auf den kryptographischen Schlüssel rückgeschlossen. Maßnahmen gegen diese Angriffe bestehen beispielsweise in der Verwendung einer speziellen Logik, wie z.B. einer asynchronen Logik, oder der Durchführung von Dummy-Berechnungen, die lediglich der Überlagerung des zur Handhabung des kryptographischen Schlüssels notwendigen Leistung dient.
  • Neben den vorgenannten Angriffen, die den Chip als solchen unbeeinflußt lassen, existieren Angriffe, die durch äußere Angriffe bzw. durch Manipulation oder Beeinflussung des Chips von außen versuchen, denselben aus normalen Betriebsbedingungen in Betriebsbedingungen zu versetzen, bei denen der Chip fehlerhaft arbeitet und fehlerhafte Daten ausgibt. Gemäß diesen sogenannten DFA-Angriffen wird beispielsweise der Chip in einem Zustand bzw. einer Umgebung erhöhter Temperatur, erhöhten Strahlungseinfalls, erhöhter Taktung oder eines Betriebs mit höherer oder niedrigerer Versorgungsspannung als der vorgesehenen Sollspannung betrieben und somit zu einer fehlerhaften Funktionsweise veranlaßt, wobei aus den fehlerhaften ausgegebenen Daten des Chips versucht wird, auf den kryptographischen Schlüssel der Chipkarte rückzuschließen. Mögliche Zugriffsschutzmechanismen gegen diese DFA-Angriffe sehen in dem Chip neben einem Datenspeicher, in dem die kryptographische Basis der schätzenswerten Daten oder die zu schützenden Daten selbst dauerhaft gespeichert sind, eine Sensorik zur Detektion einer Beeinflussung des Chips sowie einen Energiespeicher, wie z.B. eine Batterie, einen Kondensator oder dergleichen, zur Versorgung des Chips auch während der Phasen, in denen die Chipkarte nicht in Betrieb bzw. am Terminal eingesetzt ist, vor. Die Sensorik erfaßt beispielsweise äußere Angriffe durch Erfassung eines Eindringens in den Chip, der Unter- oder Überschreitung einer zulässigen Toleranz für die Spannung, der Temperatur oder der Frequenz von einfallender Röntgenstrahlung oder dergleichen. Die Batterie oder vergleichbare Energiespeicher versorgen die Sensorik mindestens während der Power-Down-Phasen der Schaltung mit Energie. Wird nun ein Angriff auf den Schutzbereich detektiert, zerstört die aktive Schutzlogik die kryptographische Basis oder die geschützten Daten, so daß sie dem Angreifer nicht mehr zur Verfügung stehen. Die kryptographische Basis ist beispielsweise ein zufällig generierter und nur innerhalb des durch den Schutzmechanismus bzw. die Sensorik geschützten Schutzbereichs bekannter symmetrischer Schlüssel, mit dem wiederum zu schützende, verschlüsselte Daten kryptongraphisch gesichert, wie z.B. verschlüsselt oder integritätsgesichert, sind.
  • Nachteilhaft an der vorbeschriebenen möglichen Gegenmaßnahme gegen DFA-Angriffe ist der hohe strukturelle Aufwand und insbesondere das Vorsehen eines Energiespeichers. Das Vorsehen eines Energiespeichers erhöht den Platzbedarf, die Herstellungs- und Entwicklungskosten und begrenzt entweder die Lebensdauer der Chipkarte oder macht zusätzlich Vorkehrungen zur Wiederaufladbarkeit des Energiespeichers notwendig.
  • Eine weitere Form von Angriffen durch einen äußeren Angriff auf den Chip bilden sogenannte Reengineering-Angriffe. Durch wiederholtes Abschleifen und Ablichten bzw. Anschauen des Chips kombiniert mit der Analyse des Chips durch Kontaktieren freigelegter Durchkontaktierungen oder optisches Analysieren der abgeschliffenen Chipebenen wird versucht, den Aufbau des Chips und damit den implementierten Kryptoalgorithmus sowie die gespeicherten Informationen zu ermitteln. Gegenmaßnahmen hierfür sehen beispielsweise den Aufbau des Chips aus speziellen Transistoren vor, die durch Abschleifen nur schwer zu analysieren sind.
  • Nachteilhaft an den vorbeschriebenen Möglichkeiten zur Begegnung von kryptographischen Attacken basierend auf äußeren Angriffen ist, daß die einzelnen Maßnahmen lediglich gegen eine Art von Angriff gerichtet sind, und daß im Hinblick auf DFA-Angriffe der Schutzaufwand hoch ist.
  • Die Aufgabe der vorliegenden Erfindung besteht darin, einen Chip zu schaffen, der ein höheres Maß an Schutz vor äußeren Angriffen ermöglicht.
  • Diese Aufgabe wird durch einen Chip gemäß Anspruch 1 gelöst.
  • Ein erfindungsgemäßer Chip umfaßt eine erste Schutzschicht, die eine Struktur zur Erfassung von äußeren Angriffen aufweist, eine Verarbeitungsschicht, die eine Verarbeitungsstruktur aufweist, und einen zwischen der ersten Schutzschicht und der Verarbeitungsschicht angeordneten Sicherungsdatenträgerbereich, der Teilbereiche mit unterschiedlichen physikalischen Eigenschaften aufweist. Die Verarbeitungsstruktur ist derart ausgebildet, daß dieselbe eine Einrichtung zum Handhaben von Daten, eine Einrichtung zum Erfassen der unterschiedlichen physikalischen Eigenschaften der Teilbereiche des Sicherungsdatenträgerbereichs, zum Herleiten von Sicherungsdaten aus den erfaßten unterschiedlichen physikalischen Eigenschaften und zum Liefern der Sicherungsdaten an die Einrichtung zum Handhaben und eine Einrichtung zum Überwachen der Struktur zur Erfassung von äußeren Angriffen der ersten Schutzschicht und zum Unterbinden oder Abbrechen der Herleitung, Lieferung oder Handhabung der Sicherungsdaten, falls ein äußerer Angriff vorliegt, implementiert.
  • Die Erkenntnis der vorliegenden Erfindung besteht darin, daß durch die Speicherung von sicherheitskritischen Sicherungsdaten in Form einer speziellen Wahl der physikalischen Eigenschaften von Teilbereichen eines Sicherungsdatenträgerbereichs und gleichzeitige Sicherstellung, daß während aktiven Phasen des Chips kein Ablesen und Handhaben der Sicherungsdaten stattfindet, sowie durch Vorsehen des Sicherungsdatenträgerbereichs zwischen der Schutzschicht und der eigentlichen Verarbeitungsschicht, ein erhöhtes Maß an Sicherheit gegen sowohl DFA- als auch Reengineering-Angriffe ermöglicht wird. Bei Reengineering-Angriffen sorgt die Folge von Schutzschicht, Datenträgerbereich und Verarbeitungsschicht dafür, daß die Teilbereiche mit unterschiedlichen physikalischen Eigenschaften abgeschliffen sind, bevor deren Lage dem Angreifer bekannt ist. Während der aktiven Phasen des Chips sorgt die Schutzschicht dafür, daß die Sicherungsdaten im Chip nicht in elektronischer Form vorhanden sind und verwendet werden, so daß eine wirksame Vorkehrung gegen DFA-Angriffe geliefert ist.
  • Anders ausgedrückt besteht der Schutz aus mehreren, sich ergänzenden Schutzmechanismen, die in mehreren Schichten angeordnet sind. Die äußere Schutzschicht schützt die Verarbeitungsschicht und den Datenträgerbereich gegen Analyseangriffe, während der Chip aktiv ist. Insbesondere übernimmt sie den Schutz vor Angriffen während der Extraktion der Materialeigenschaften der innere Schutzschicht. Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist hierzu eine Leiterbahn in der äußeren Schutzschicht gebildet, an der physikalische Werte, wie beispielsweise die Impedanz, eine Signallaufzeit, eine Kapazität oder eine Grenzfrequenz, ständig auf eine signifikante Veränderung hin überwacht werden, um bei signifikanter Veränderung einen internen Alarm auszulösen. Die Funktion der Verarbeitungsschicht wird bei Alarm sofort deaktiviert oder erst gar nicht aktiviert. Hat die äußere Schutzschicht keinen Angriff erkannt, reproduziert eine in der Verarbeitungsschicht gebildete Ausleseeinrichtung aus den unterschiedlichen physikalischen Eigenschaften einer weiter innen liegenden inneren Schutzschicht bzw. des Sicherungsdatenträgerbereichs Sicherungsdaten bzw. einen individuellen Referenzwert. Letztere können anschließend innerhalb der Verarbeitungsschicht auf ihre Korrektheit hin überprüft werden. Liefert die Überprüfung der Korrektheit der aktuell ermittelten Sicherungsdaten kein positives Ergebnis, wird keine Handhabung der Sicherungsdaten durchgeführt, wie beispielsweise die Rekonstruktion von zu schützenden Daten, die wiederum beispielsweise in der Entschlüsselung derselben besteht. Informationen, die Hinweise auf die Sicherungsdaten ergeben könnten, ergeben sich für den Angreifer folglich nicht.
  • Ein Vorteil der vorliegenden Erfindung besteht folglich darin, daß im Vergleich zu der in der Beschreibungseinleitung beschriebenen Möglichkeit der Implementierung eines aktiven Zugriffsschutzes mittels einer Kombination aus Energiespeicher und einer von demselben zumindest in Power-Down-Phasen betriebenen Sensorik auf einen Energiespeicher verzichtet werden kann, da der Angreifer weder mittels Reengineering in Power-Down-Phasen noch mittels DFA in aktiven Phasen an die Sicherungsdaten herankommt. Abschleifen von der äußeren Schutzschicht aus zerstört die die Sicherungsdaten anzeigenden Teilbereiche mit unterschiedlichen physikalischen Eigenschaften, bevor der Angreifer dieselben lokalisieren kann. Im Betrieb des Chips wird jeglicher Zugriff auf die physikalischen Eigenschaften der Teilbereiche des Sicherungsdatenträgerbereichs eingestellt, so daß keine „abhörbare" Version der Sicherungsdaten in dem Chip vorhanden ist und zu Ausgaben des Chips führt, die durch den Angreifer verwendet werden könnten, um auf die Sicherungsdaten, wie z.B. einen Master-Key, rückzuschließen.
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
  • 1 eine Explosionsansicht einer Schichtfolge eines Chips gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; und
  • 2 eine schematische Zeichnung, aus welcher die Funktionalitäten der Schichten des Chips von 1 hervorgehen.
  • Im folgenden wird anhand von 1 und 2 ein Ausführungsbeispiel der vorliegenden Erfindung beschrieben, wie er beispielsweise in auf einen Chipkartenträger aufgebrachter Form bei einer Chipkarte eingesetzt werden kann, die batterielos ist und während der Sitzungen entweder über Kontakte oder kontaktlos von dem jeweiligen Terminal mit Energie versorgt wird. Verwendungen der vorliegenden Erfindung im Rahmen anderer Sicherungsmodule sind jedoch ebenfalls denkbar, wie beispielsweise die Anwendung des Chips im Rahmen einer Smartcard oder als fest integrierter Chip in einem elektronischen Gerät, wie z.B. als Dongle bzw. Kopierschutzschaltung.
  • Der Chip, der in 1 allgemein mit 10 angezeigt ist, bzw. die integrierte Schaltungsanordnung umfaßt eine auf einem Halbleitersubstrat 12 angeordnete Schichtfolge aus einer äußeren Schutzschicht 14, einer Sicherungsdatenträgerschicht oder, wie sie im folgenden genannt wird, innere Schutzschicht 16 und einer geschützten Verarbeitungsschicht 18. Die Folge von Schichten 14, 16 und 18 und Substrat 12 ist derart, daß die Verarbeitungsschicht 18 zwischen dem Halbleitersubstrat 12 auf der einen und den Schutzschichten 14 und 16 auf der anderen Seite angeordnet ist, und daß die innere Schutzschicht 16 wiederum zwischen der äußeren Schutzschicht 14 und der Verarbeitungsschicht 18 angeordnet ist.
  • Die einzelnen Schichten 14, 16 und 18 sind geeignet strukturiert und aufgebaut, um verschiedene Funktionen zu erfüllen. So ist, wie es in 2 gezeigt ist, in der mit gestrichel ten Linien die Schichten 14, 16 und 18 angezeigt sind, in der äußeren Schutzschicht 14 eine Erfassungsstruktur gebildet, die zur Erfassung äußerer Angriffe dienen soll, wie sie beispielsweise bei DFA-Angriffen durchgeführt werden. In der Verarbeitungsschicht ist eine Verarbeitungseinrichtung 22 gebildet, die mit Erfassungsstruktur 20 der äußeren Schutzschicht 14 und Teilbereichen 24 der inneren Schutzschicht 16 aus Gründen, die im folgenden dargelegt sind, verbunden ist.
  • Die Erfassungsstruktur 20 ist beispielsweise eine mäanderförmige Leiterbahn, die in einem Isolatormaterial eingebettet ist. Mittels einer mäanderförmigen Leiterbahn erfaßbare äußere Angriffe umfassen beispielsweise das Eindringen in den Chip durch beispielsweise Bohren, das Aussetzen des Chips 10 einer über- oder unterhalb des Normbereichs liegenden Temperatur oder das Aussetzen des Chips einer erhöhten elektromagnetischen Strahlung, wie z.B. Röntgenstrahlung. Weitere oder alternative Erfassungsstrukturen könnten vorgesehen sein, um gemeinhin bestimmte Maßnahmen bzw. Beeinflussungen des Chips von außen erfaßbar zu machen, die geeignet sind, um den Chip zu einer fehlerhaften Funktionsweise zu provozieren. Nicht alle Erfassungsstrukturen müßten in der äußeren Schutzschicht 14 angeordnet sein.
  • In dem Fall der mäanderförmigen Leiterbahn als Erfassungsstruktur 20 werden äußere Angriffe dadurch erfaßbar, daß sich je nach Intensität der äußeren Angriffe physikalische Eigenschaften derselben bzw. Meßwerte, die an der Leiterbahn intermittierend abgegriffen werden, von Mal zu Mal ändern. Um die Änderungen dieser physikalischen Eigenschaften der Erfassungsstruktur 20 zu überwachen bzw. zu messen, ist die Erfassungsstruktur 20 mit der Verarbeitungseinrichtung 22 verbunden, wie z.B. einer CPU, die in der Verarbeitungsschicht 18 gebildet bzw. strukturiert ist. Die Verarbeitungseinrichtung 22 erfaßt und überwacht beispielsweise die Impedanz, eine Signallaufzeit über die mäanderförmige Leiterbahn, eine Kapazität bezüglich der Leiterbahn oder eine Grenzfrequenz bezüglich der Leiterbahn. So läßt beispielsweise eine Änderung des spezifischen Widerstands auf eine Temperaturänderung, eine Unterbrechung des Stroms durch die Leiterbahn auf ein Eindringen in den Chip 10 und eine Änderung der Kapazität zwischen der mäanderförmigen Leiterbahn und einer weiteren Elektrode beispielsweise auf eine Verformung des Chips 10 rückschließen. Bei Überschreitung eines Referenzwertes von entweder dem Grad an Änderung bzw. der zeitlichen Ableitung der erfaßten Meßwerte oder des Betrags dieser Meßwerte nimmt die Verarbeitungseinrichtung 22 geeignete Maßnahmen vor, wie sie im folgenden noch beschrieben werden.
  • Die eigentlich geschützten Sicherungsdaten des Chips 10 befinden sich in der inneren Schutzschicht 16 bzw. können aus derselben abgeleitet werden, indem den Teilbereichen 24 der inneren Schutzschicht 16 ein spezieller Satz von unterschiedlichen Materialeigenschaften zugeordnet ist, der wiederum über eine Abbildungsvorschrift den Sicherungsdaten zugewiesen ist. Die Sicherungsdaten stellen beispielsweise einen Master-Key oder einen chipindividuellen Schlüssel dar. Über eine vorbestimmte Abbildung ist jedem möglichen Wert für die Sicherungsdaten eine Kombination von unterschiedlichen Materialeigenschaften zugeordnet. Die Teilbereiche 24 unterscheiden sich hinsichtlich ihrer physikalischen Materialeigenschaften beispielsweise im Hinblick auf ihre Leitfähigkeit. Bevorzugterweise besteht die innere Schutzschicht 16 aus SiLK (eingetragenes Warenzeichen) (SiLK = Silicon Less Low-K), wie es von der Firma Dow Chemical Company vertrieben wird, ein Material, welches die Eigenschaft hat, seine Leitfähigkeit aufgrund von Dotierung stark zu variieren, was wiederum einen drastischen Anstieg der Leitfähigkeit ergibt. Teilbereiche mit den den Sicherungsdaten zugeordneten unterschiedlichen Leitfähigkeiten unter Zuhilfenahme von SiLK werden erzielt, indem die aus SiLK bestehende innere Schutzschicht 16 ein lateral variierendes Dotierungsprofil aufweist. An bestimmten, lateral verteilten Kontaktpunkten ist die innere Schicht 16 mit der Verarbeitungseinrichtung 22 verbunden, wodurch aufgrund des lateralen Dotierungsprofils zwischen den Kontaktpunkten Teilbereiche mit unterschiedlichen mittleren Leitfähigkeiten definiert werden, die wiederum dem den Sicherungsdaten zugewiesenen Leitfähigkeitssatz entsprechen.
  • Die Verarbeitungseinrichtung 22 ist in der Lage, die Leitfähigkeiten der Teilbereiche der inneren Schutzschicht 16 zu erfassen und aus den erfaßten Leitfähigkeiten die Sicherungsdaten herzuleiten, beispielsweise durch Quantisieren der erfaßten analogen Werte für die Leitfähigkeiten und geeignetes Verknüpfen der quantisierten Werte. Wie es im folgenden noch beschrieben wird, nimmt die Verarbeitungseinrichtung 22 das Auslesen der Sicherungsdaten aus den unterschiedlichen Leitfähigkeiten der Teilbereiche der inneren Schutzschicht 16 jedoch nur dann vor, wenn keine äußeren Angriffe über die Erfassungsstruktur 20 detektiert worden sind.
  • In der Verarbeitungsschicht 18 befindet sich ferner ein Speicher, wie z.B. ein nichtflüchtiger Speicher (NVM; NVM = Non Volatile Memory) oder ein Flash-Speicher, in welchen weitere Daten, wie z.B. ein Guthaben oder dergleichen, geladen, gespeichert und verändert werden können, wozu der Speicher 26 mit der Verarbeitungseinrichtung 22 verbunden ist.
  • Nachdem im vorhergehenden der grobe Aufbau des Chips 10 beschrieben sowie einzelne Funktionalitäten der Verarbeitungseinrichtung 22 im Hinblick auf die Überwachung von äußeren Angriffen über die Erfassungsstruktur 20 und des Auslesens der Sicherungsdaten aus den Materialeigenschaften 24 der inneren Schutzschicht 16 beschrieben worden sind, wird im folgenden die gesamte Funktionsweise des Chips 10 insoweit beschrieben, wie es erforderlich ist, um die Effizienz des Chips 10 gegenüber kryptographischen Angriffen Dritter nachvollziehen zu können.
  • Wie im vorhergehenden erwähnt, sind auf dem Chip 10 Daten gespeichert, die vor Angreifern geschützt werden sollen.
  • Unter anderem sind dies die Sicherungsdaten, die sich auf dem Chip 10 in Form eines speziellen Satzes von unterschiedlichen Leitfähigkeiten in Teilbereichen der inneren Schutzschicht 16 manifestieren. Darüber hinaus befinden sich in dem Speicher 26 weitere zu schützende Daten. Um die in dem Speicher 26 gespeicherten Daten vor Angreifern zu schützen, sind dieselben mit einem Schlüssel verschlüsselt, der sich nur aus den Sicherungsdaten 24 ergibt. Folglich ist es für den Angreifer notwendig, die Sicherungsdaten 24 zu erhalten, was jedoch, wie es im nachfolgenden erörtert wird, äußerst erschwert oder nur unter extremen Bedingungen möglich ist.
  • Der Chip 10 umfaßt selbst keinen Energiespeicher und ist somit in Power-Down-Phasen, da derselbe von außen nicht mit Energie versorgt wird, deaktiviert, wie z.B. in dem Anwendungsfall einer Chipkarte, wenn der Chip also in einer Chipkarte ohne Energiespeicher eingebaut ist, während der Nichtsitzungsphasen. In diesen Power-Down-Phasen sind die Sicherungsdaten 24 für den Angreifer folglich nur dadurch eruierbar, daß derselbe in Kenntnis der unterschiedlichen Materialeigenschaften der Teilbereiche der inneren Schutzschicht 16 gelangt. Ein Reengineering durch Abschleifen des Chips 10 von dem Halbleitersubstrat 12 aus ist mühsam und zerstört zudem die die Verarbeitungseinrichtung 22 bildenden Strukturen. Bei Abschleifen des Chips 10 von oben aus, d.h. der Angriffsrichtung, wie sie in 1 mit einem Pfeil 28 angezeigt ist, schleift der Angreifer die Teilbereiche 24 mit den unterschiedlichen Materialeigenschaften ab, bevor er die Lage der Teilbereiche an den Kontaktierungen zu der Verarbeitungseinrichtung 22 erkennt. Um Reengineering-Angriffe auf die Sicherungsdaten in der inneren Schutzschicht 16 zusätzlich zu erschweren, ist es bevorzugt, daß die Dotierung der inneren Schutzschicht 16 individuell pro Chip und zudem mit möglichst großer und zufälliger Varianz erfolgt.
  • Erst im Betrieb, d.h. wenn der Chip 10 von außen mit Energie versorgt wird, wie z.B. in dem Chipkartenanwendungsfall durch das Terminal während der Transaktionen, reagiert der Chip 10 auf Eingangsdaten von außen und nimmt Verarbeitungen der in dem Speicher 26 gespeicherten Daten vor usw. Unter anderem benutzt die Verarbeitungseinrichtung 22 die Sicherungsdaten in den Teilbereichen 24 dazu, die Daten in dem Speicher 26 zu entschlüsseln oder eine Authentifikation gegenüber dem Kommunikationspartner durchzuführen. Um zu vermeiden, daß ein Angreifer durch äußere Angriffe bzw. eine mechanische oder sonst wie geartete Beeinflussung des Chips von außen den Chip 10 zu einer fehlerhaften Handhabung der Sicherungsdaten 24 und somit über beispielsweise einen DFA-Angriff Rückschlüsse auf die Sicherungsdaten ziehen kann, stoppt die Verarbeitungseinrichtung 22 jegliches Auslesen der Materialeigenschaften der Teilbereiche 24 und jede weitere Handhabung der Sicherungsdaten, wie z.B. eine weitere Entschlüsselung der Daten in dem Speicher 26, sobald die Verarbeitungseinrichtung 22 mittels der Erfassungsstruktur 20 einen Angriff erfaßt.
  • Wird der Chip 10 beispielsweise einer mechanischen Verformung ausgesetzt, erfaßt die Verarbeitungseinrichtung 22 in dem Fall einer mäanderartigen Leiterbahn als der Erfassungsstruktur 20 durch beispielsweise Änderung der Signallaufzeit durch die Leiterbahn und stoppt jegliche Ausgabe des Chips 10 und daraufhin auch jegliche weiteren Verarbeitungen mittels der Sicherungsdaten.
  • Es kann vorgesehen sein, daß die Verarbeitungseinrichtung 22 zusätzlich die Funktionalität aufweist, daß dieselbe bei Auslesen der Sicherungsdaten aus den Materialeigenschaften der Teilbereiche 24 dieselben auf ihre Korrektheit hin überprüft. Die Überprüfung der Sicherungsdaten könnte beispielsweise durchgeführt werden, indem die Sicherungsdaten durch einen Einwegalgorithmus, wie z.B. eine Hash-Berechnung, auf einen Wert abgebildet werden, der mit einem beispielsweise in dem Speicher 26 permanent gespeicherten Prüfwert verglichen wird. Da die reellen Rahmenbedingungen eventuell eine Drift der meßbaren physikalischen Eigenschaften der Teilbereiche 24 hervorrufen, wird bei der Überprüfung der Sicherungsdaten eine fehlertolerante Methode bevorzugt. In dem Fall, daß die Verarbeitungseinrichtung 22 bei der Überprüfung der Korrektheit der ausgelesenen Sicherungsdaten zu keinem positiven Ergebnis kommt, stoppt die Verarbeitungseinrichtung 22 jegliche weitere Handhabung der Sicherungsdaten, wie z.B. die Rekonstruktion der zu schützenden Daten in dem Speicher 26 bzw. die Entschlüsselung derselben. Auch auf diese Weise wird eine fehlerhafte Ausgabe des Chips 10 vermieden.
  • Die vorhergehende Erörterung hat folglich einen Chip beschrieben, bei dem aus Materialeigenschaften einer Schutzschicht, die ihrerseits von einer weiteren Schutzschicht gegen Angriffe während der Extraktion der Eigenschaften geschützt ist, Referenzwerte ableitbar sind, die wiederum zur Freigabe der Funktionalität eines durch beide Schutzschichten geschützten Bereichs, nämlich der Verarbeitungsschicht bzw. eines Sicherungsbereichs, verwendet werden. Als Ergebnis des erfolgreichen Freigabeprozesses wurde als ein Beispiel die Ableitung eines Schlüssels beschrieben, der zur Ver- oder Entschlüsselung von besonders sensitiven Daten in dem Speicher 26 verwendet wird. Die Angriffsdetektion und die Reproduktion der Referenzwerte bzw. Sicherungsdaten bei Freigabe der Funktionalität aus den Materialeigenschaften der inneren Schutzschicht wird von der Verarbeitungseinrichtung innerhalb des Schutzbereichs 18 bzw. der Verarbeitungsschicht übernommen, an die die innere und die äußere Schutzschicht 14, 16 angeschlossen sind. Der beschriebene Chip bietet folglich Vorteile bezüglich Kosten, neuen Formfaktoren für „Tamper Resistant Systems" bzw. manipulationssicheren Systeme, wie z.B. System-on-Chip- bzw. SOC-Systeme, bezüglich Lebensdauer und Ausfallsicherheit.
  • Obwohl im Vorhergehenden als Beispiel für die Erfassungsstruktur in der äußeren Schutzschicht lediglich eine mäanderförmige Leiterbahn beschrieben wurde, ist es ferner möglich, daß andere Sensoren eingesetzt werden, wie z.B. Druck- bzw.
  • Kraftsensoren mit einer dünnen Halbleitermembran, piezoelektrische Sensoren oder dergleichen. Ferner können die im Vorhergehenden erwähnten Schichten, d.h. die äußere, innere Schutzschicht und die Verarbeitungsschicht, auch jeweils aus mehreren Schichten bestehen. Insbesondere die innere Schutzschicht kann aus mehreren Teilschichten bestehen, die jeweils für sich genommen einheitlich, untereinander aber unterschiedlich dotiert sind, so daß sich für die innere Schutzschicht ein variierendes Dotierungsprofil in der Dickrichtung ergibt. Ferner können Isolationsschichten oder Schichten anderer Funktionalität zwischen diesen Schichten bzw. Teilschichten vorgesehen sein. Zudem muß ein Chip, bei dem die vorliegende Erfindung implementierbar ist, auch keinen Speicher zum Speichern von Daten aufweisen, die mittels der Sicherungsdaten verschlüsselt sind und folglich beim Speichern in den Speicher mit den Sicherungsdaten verschlüsselt und beim Lesen aus dem Speicher mittels der Sicherungsdaten entschlüsselt werden. Vielmehr ist es möglich, daß die Sicherungsdaten lediglich zum Vergleich mit einem in den Chip eingegebenen Wert verwendet werden, wie z.B. im Rahmen eines PIN-Vergleichs. In diesem Fall bestünde folglich die Handhabung der Sicherungsdaten lediglich in dem Vergleich der Sicherungsdaten mit dem von außen eingegebenen Wert und nicht in der Entschlüsselung von in dem Speicher gespeicherten Daten.
    • 10
    Chip
    12
    Halbleitersubstrat
    14
    äußere Schutzschicht
    16
    innere Schutzschicht
    18
    Verarbeitungsschicht
    20
    Erfassungsstruktur
    22
    Verarbeitungseinrichtung
    24
    Bereiche unterschiedlicher Materialeigenschaften
    26
    Speicher
    28
    Angriffsrichtung

Claims (10)

  1. Chip mit einer Schutzschicht (14), die eine Struktur (20) zur Erfassung von äußeren Angriffen aufweist; einer Verarbeitungsschicht (18), die eine Verarbeitungsstruktur aufweist; einem zwischen der Schutzschicht (14) und der Verarbeitungsschicht angeordneten Sicherungsdatenträgerbereich (16), der Teilbereiche mit unterschiedlichen physikalischen Materialeigenschaften aufweist; wobei die Verarbeitungsstruktur folgende Einrichtungen implementiert: eine Einrichtung (22) zum Handhaben von Daten; eine Einrichtung (22) zum Erfassen der unterschiedlichen physikalischen Eigenschaften der Teilbereiche (24) des Sicherungsdatenträgerbereichs, zum Herleiten von Sicherungsdaten aus den erfaßten unterschiedlichen physikalischen Materialeigenschaften und zum Liefern der Sicherungsdaten an die Einrichtung (22) zum Handhaben; und eine Einrichtung (22) zum Überwachen der Struktur (20) zur Erfassung von äußeren Angriffen der ersten Schutzschicht (14) und zum Unterbinden oder Abbrechen der Herleitung, Lieferung oder Handhabung der Sicherungsdaten, falls ein äußerer Angriff vorliegt.
  2. Chip gemäß Anspruch 1, der ferner einen Speicher zum Speichern verschlüsselter Daten aufweist und bei dem die Sicherungsdaten einen Entschlüsselungsschlüssel umfassen, und die Einrichtung zum Handhaben einer Einrichtung zum Ent schlüsseln der verschlüsselten Daten mittels des Entschlüsselungsschlüssels aufweist.
  3. Chip gemäß Anspruch 1 oder 2, bei dem die Folge aus Schutzschicht (14), Sicherungsdatenträgerbereich (16) und Verarbeitungsschicht (18) auf einem Halbleitersubstrat (12) angeordnet ist, so daß die Verarbeitungsschicht (18) zwischen Sicherungsdatenträgerbereich (16) und Halbleitersubstrat (12) angeordnet ist.
  4. Chip gemäß einem der Ansprüche 1 bis 3, bei dem die Struktur zur Erfassung von äußeren Angriffen eine mäanderförmige Leiterbahn aufweist.
  5. Chip gemäß Anspruch 3, bei dem die Einrichtung zum Überwachen einer Einrichtung zur Erfassung einer Impedanz, einer Signallaufzeit, einer Kapazität oder einer Grenzfrequenz bezüglich der mäanderförmigen Leiterbahn, um einen Erfassungswert zu erhalten, und zum Überwachen, ob ein Grad an Änderung des Erfassungswerts oder ein Betrag des Erfassungswert einen Vergleichswert überschreitet, um festzustellen, daß ein äußerer Angriff vorliegt.
  6. Chip gemäß einem der vorhergehenden Ansprüche, bei dem die Einrichtung zum Erfassen, Herleiten und Liefern angeordnet ist, um die Sicherungsdaten mittels eines Algorithmus auf ihre Korrektheit hin zu überprüfen, und in dem Fall, daß keine Korrektheit vorliegt, die Herleitung, Lieferung oder Handhabung der Sicherungsdaten zu unterbinden und abzubrechen.
  7. Chip gemäß Anspruch 6, bei dem der Algorithmus eine Hash-Wertberechnung umfaßt.
  8. Chip gemäß einem der vorhergehenden Ansprüche, bei dem die unterschiedlichen physikalischen Materialeigenschaften eine Leitfähigkeit aufweisen.
  9. Chip gemäß Anspruch 8, bei dem der Sicherungsdatenträgerbereich eine SiLK-Schicht umfaßt.
  10. Sicherheitsmodul mit einem Chip gemäß einem der vorhergehenden Ansprüche, das ausgebildet ist, um ausschließlich über einen Versorgungsanschluß von außen mit Energie für den Chip versorgt zu werden.
DE10247485A 2002-10-11 2002-10-11 Chip mit Angriffsschutz Withdrawn DE10247485A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE10247485A DE10247485A1 (de) 2002-10-11 2002-10-11 Chip mit Angriffsschutz
AU2003278065A AU2003278065A1 (en) 2002-10-11 2003-10-09 Attack protected chip
PCT/EP2003/011213 WO2004036649A1 (de) 2002-10-11 2003-10-09 Chip mit angriffsschutz
TW092128349A TW200409040A (en) 2002-10-11 2003-10-13 Chip having attack protection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10247485A DE10247485A1 (de) 2002-10-11 2002-10-11 Chip mit Angriffsschutz

Publications (1)

Publication Number Publication Date
DE10247485A1 true DE10247485A1 (de) 2004-04-22

Family

ID=32038521

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10247485A Withdrawn DE10247485A1 (de) 2002-10-11 2002-10-11 Chip mit Angriffsschutz

Country Status (4)

Country Link
AU (1) AU2003278065A1 (de)
DE (1) DE10247485A1 (de)
TW (1) TW200409040A (de)
WO (1) WO2004036649A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006043185A1 (en) * 2004-10-18 2006-04-27 Koninklijke Philips Electronics N.V. Secure sensor chip
US7710255B2 (en) 2006-10-17 2010-05-04 Infineon Technologies Ag Circuit arrangement and method for preventing circuit operation
DE102009043617A1 (de) * 2009-09-29 2011-03-31 Giesecke & Devrient Gmbh Chipmodul und tragbarer Datenträger mit einem Chipmodul
DE102010020460A1 (de) * 2010-05-11 2011-11-17 Bundesdruckerei Gmbh Sicherheits- oder Wertdokument, Verfahren zu dessen Herstellung und zu dessen Verifikation

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110391187B (zh) * 2019-08-12 2024-03-08 兆讯恒达科技股份有限公司 一种芯片的防攻击保护结构

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE68921057T2 (de) * 1988-12-20 1995-06-22 Bull Sa Schutzvorrichtung für eine elektronische Karte und Verwendung zum Schutz eines Abtastterminals für eine Magnet- und/oder Mikroprozessor-Karte.
WO1998018102A1 (de) * 1996-10-22 1998-04-30 Reinhard Posch Verfahren und anordnung zum schutz von elektronischen recheneinheiten, insbesondere von chipkarten
DE19738990A1 (de) * 1997-09-05 1999-03-11 Siemens Ag Einrichtung zum Schutz gegen Mißbrauch einer Chipkarte
DE19748666C2 (de) * 1997-11-04 2002-08-29 Fraunhofer Ges Forschung Verdrahtungsverfahren für mikroelektronische Systeme zur Verhinderung von Produktpiraterie und Produktmanipulation, durch das Verfahren hergestelltes mikroelektronisches System und Verwendung des mikroelektronischen Systems in einer Chipkarte

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2738971B1 (fr) * 1995-09-19 1997-10-10 Schlumberger Ind Sa Procede de determination d'une cle de cryptage associee a un circuit integre
KR100710936B1 (ko) * 1998-11-05 2007-04-24 인피니언 테크놀로지스 아게 집적 회로용 보호 회로
US7005733B2 (en) * 1999-12-30 2006-02-28 Koemmerling Oliver Anti tamper encapsulation for an integrated circuit
DE10040188A1 (de) * 2000-08-17 2002-02-28 Infineon Technologies Ag Siegel zur Authentifizierung von versiegelten Objekten und Verfahren zur Herstellung und Prüfung der Siegel
DE10101330A1 (de) * 2001-01-13 2002-07-18 Philips Corp Intellectual Pty Elektrische oder elektronische Schaltungsanordnung und Verfahren zum Schützen der selben von Manipulation und/oder Missbrauch

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE68921057T2 (de) * 1988-12-20 1995-06-22 Bull Sa Schutzvorrichtung für eine elektronische Karte und Verwendung zum Schutz eines Abtastterminals für eine Magnet- und/oder Mikroprozessor-Karte.
WO1998018102A1 (de) * 1996-10-22 1998-04-30 Reinhard Posch Verfahren und anordnung zum schutz von elektronischen recheneinheiten, insbesondere von chipkarten
DE19738990A1 (de) * 1997-09-05 1999-03-11 Siemens Ag Einrichtung zum Schutz gegen Mißbrauch einer Chipkarte
DE19748666C2 (de) * 1997-11-04 2002-08-29 Fraunhofer Ges Forschung Verdrahtungsverfahren für mikroelektronische Systeme zur Verhinderung von Produktpiraterie und Produktmanipulation, durch das Verfahren hergestelltes mikroelektronisches System und Verwendung des mikroelektronischen Systems in einer Chipkarte

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006043185A1 (en) * 2004-10-18 2006-04-27 Koninklijke Philips Electronics N.V. Secure sensor chip
US7710255B2 (en) 2006-10-17 2010-05-04 Infineon Technologies Ag Circuit arrangement and method for preventing circuit operation
DE102006048969B4 (de) 2006-10-17 2018-08-16 Infineon Technologies Ag Schaltungsanordnung und Verfahren zum Unterbinden eines Schaltungsbetriebs
DE102009043617A1 (de) * 2009-09-29 2011-03-31 Giesecke & Devrient Gmbh Chipmodul und tragbarer Datenträger mit einem Chipmodul
DE102010020460A1 (de) * 2010-05-11 2011-11-17 Bundesdruckerei Gmbh Sicherheits- oder Wertdokument, Verfahren zu dessen Herstellung und zu dessen Verifikation
DE102010020460B4 (de) 2010-05-11 2023-12-21 Bundesdruckerei Gmbh Sicherheits- oder Wertdokument, Verfahren zu dessen Herstellung und zu dessen Verifikation

Also Published As

Publication number Publication date
WO2004036649A1 (de) 2004-04-29
TW200409040A (en) 2004-06-01
AU2003278065A1 (en) 2004-05-04

Similar Documents

Publication Publication Date Title
DE112007002037B4 (de) Erkennen von auf Strahlung basierenden Angriffen
DE10305587B4 (de) Integrierte Sicherheitshalbleiterschaltung und Halbleiterschaltungskarte und zugehöriges Überwachungsverfahren
DE3041109C2 (de)
EP1234239B1 (de) Mikroprozessoranordnung mit verschlüsselung
DE102009024179B4 (de) Schaltung mit einer Mehrzahl von Funktionsweisen
DE102010016922A1 (de) Phasenänderungsspeicher-Sicherheitsanordnung
DE60312704T2 (de) Elektronische Datenverarbeitungseinrichtung
DE102005056940B4 (de) Vorrichtung und Verfahren zum nicht-flüchtigen Speichern eines Statuswertes
DE102005061367A1 (de) IC-Chipkarte und Verfahren zur Detektion von Datenmanipulation
DE69535642T2 (de) Gesicherte tastatureinrichtung
DE10247485A1 (de) Chip mit Angriffsschutz
WO2007129265A1 (de) Sensor mit einer schaltungs anordnung
DE10326089B3 (de) Manipulationsüberwachung für eine Schaltung
EP1222621B1 (de) Integrierter schaltkreis und schaltungsanordnung zur stromversorgung eines integrierten schaltkreises
DE102013014587B4 (de) Verfahren zum IT-Schutz sicherheitsrelevanter Daten und ihrer Verarbeitung
DE10164419A1 (de) Verfahren und Anordnung zum Schutz von digitalen Schaltungsteilen
EP2428918B1 (de) Portabler Datenträger
EP1355269B1 (de) Datenverarbeitungsvorrichtung und Verfahren zum Betreiben eines Datenverarbeitungsmoduls
DE102004016342B4 (de) Verfahren und Vorrichtung zum Erfassen eines manipulativen Angriffs auf eine elektrische Schaltung
EP2060988B1 (de) Sicherheitsmodul
DE10258178B4 (de) Schaltung mit Sicherheitsmaßnahmen gegen Ausspionieren der Schaltung
DE10140045A1 (de) IC-Chip mit Schutzstruktur
DE102005058878B4 (de) Datentransfervorrichtung und Verfahren zum Senden von Daten
EP3371733A1 (de) Verschlüsseln des speicherinhalts eines speichers in einem eingebetteten system
EP1904980A1 (de) Verfahren zum betreiben eines tragbaren datenträgers

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8130 Withdrawal