DE10326089B3 - Manipulationsüberwachung für eine Schaltung - Google Patents

Manipulationsüberwachung für eine Schaltung Download PDF

Info

Publication number
DE10326089B3
DE10326089B3 DE2003126089 DE10326089A DE10326089B3 DE 10326089 B3 DE10326089 B3 DE 10326089B3 DE 2003126089 DE2003126089 DE 2003126089 DE 10326089 A DE10326089 A DE 10326089A DE 10326089 B3 DE10326089 B3 DE 10326089B3
Authority
DE
Germany
Prior art keywords
manipulation
circuit
electrical component
output signal
electrical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE2003126089
Other languages
English (en)
Inventor
Markus Dr.rer.nat. Eigner
Michael Smola
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Priority to DE2003126089 priority Critical patent/DE10326089B3/de
Application granted granted Critical
Publication of DE10326089B3 publication Critical patent/DE10326089B3/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07372Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0833Card having specific functional components
    • G07F7/084Additional components relating to data transfer and storing, e.g. error detection, self-diagnosis

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Software Systems (AREA)
  • Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

Der Kerngedanke der vorliegenden Erfindung besteht darin, dass durch Verwendung zweier elektronischer Bauelemente bzw. zweier Erfassungsstrukturen (12a, b), die ohne eine zu erfassende Manipulation auf ein Eingangssignal (18a, b) hin Ausgangssignale (20a, b) ausgeben, die zueinander in einer vorbestimmten Beziehung stehen, eine Manipulationsüberwachung für eine Schaltung (10) erzielt werden kann, die trotz zeitlicher Veränderungen (32) des elektrischen Zustands dieser elektrischen Bauelemente (12a, b), wie z. B. ihres Ladezustands durch Entladevorgänge, oder trotz zeitlicher Veränderungen ihrer elektrischen Eigenschaften, wie z. B. ihrer Leitfähigkeit aufgrund von Alterungserscheinungen, auch auf vergleichsweise lange Sicht, wie z. B. in der Größenordnung der Halbwertszeit der Ausgangssignaländerung, nicht zu ständigen Fehlalarmen führt und trotz fehlender Anpassungen von Minimal- und Maximalschwellwerten eine dauerhaft hohe Sicherheit gewährleistet, wenn anstelle der einfach parallelen Überprüfung beider Ausgangssignale (20a, b) der elektrischen Bauelemente (12a, b) eine Überprüfung beider Ausgangssignale dahingehend stattfindet, ob das erste und das zweite Ausgangssignal (20a, b) immer noch die vorbestimmte Beziehung zueinander aufweisen. Eine Manipulation (24a, b) wird erfasst, wenn die beiden Ausgangssignale nicht mehr die vorbestimmte Beziehung voneinander aufweisen, da dann angenommen wird, dass die ungleichmäßige Veränderung der Ausgangssignale auf eine ...

Description

  • Die vorliegende Erfindung bezieht sich auf Schaltungen bzw. elektronische Schaltungen und insbesondere auf den Schutz solcher Schaltungen gegen Manipulationen, wie sie beispielsweise zum Ausspionieren von Geheimnissen einer Chipkarte verwendet werden.
  • Sicherheits- und Chipkarten-ICs werden heutzutage in einer Vielzahl von Anwendungsbereichen zur sicheren Authentifizierung, zum sicheren bargeldlosen Zahlungsverkehr oder dergleichen verwendet, wie z.B. im Bereich des öffentlichen Nahverkehrs, als Geldkarte oder dergleichen. Auf der IC bzw. der integrierten Schaltung sind dabei sicherheitskritische Informationen gespeichert, wie z.B. ein Geldbetrag, eine Kontonummer, eine PIN bzw. persönliche Identifikationsnummer des Kartenbesitzers, aber auch Informationen, wie z.B. ein Kryptoschlüssel des Geldinstitutes oder der Chipkarte.
  • Der Chipkartenhersteller ist daran interessiert, den Chipkartenherausgebern möglichst sichere Chipkarten zu einem möglichst günstigen Preis anbieten zu können, die darüber hinaus eine hohe Benutzerfreundlichkeit besitzen sollen, um mit den Chipkartensystemen anderer Chipkartenhersteller konkurrieren zu können. Hierbei bedeutet eine Erhöhung des Maßes an gewährleisteter Sicherheit zumeist eine Erhöhung der Herstellungskosten oder einer Verringerung der Bedienerfreundlichkeit. Die Erhöhung der Sicherheit vor Angriffen durch beispielsweise Verwendung längerer Schlüssel bzw. Operanden bei den zugrundeliegenden kryptographischen Algorithmen erhöht zum Beispiel entweder die Verarbeitungszeitdauer bzw. die Terminalzeitdauer und reduziert damit die Benutzerfreundlichkeit oder erhöht die Chipfläche zur Ermöglichung der erhöhten Parallelität bei der Verarbeitung der größeren Operanden zur Beibehaltung der Verarbeitungszeitdauer trotz längerer Operanden.
  • Die Art und Weisen der Angriffe auf Sicherheits- bzw. Chipkarten-ICs sind vielfältig, können aber grob in zwei Gruppen unterteilt werden. Bei der ersten Gruppe von Angriffen wird rein auf Grund der unverschlüsselten Eingangsdaten und der verschlüsselten Ausgangsdaten oder rein auf der Grundlage der verschlüsselten Ausgangsdaten unter Zuhilfenahme von Kenntnissen über den zugrundeliegenden, auf der IC implementierten Algorithmus auf die sicherheitsrelevanten Informationen auf der IC rückgeschlossen. Die Funktion der IC bei der Verschlüsselung der sicherheitsrelevanten Daten wird nicht gestört und die IC nicht manipuliert oder sonst wie physisch verändert. Lediglich aus der Korrelation zwischen Eingangs- und Ausgangsdaten wird auf beispielsweise den zugrundeliegenden Kryptoschlüssel rückgeschlossen. Anstatt der Korrelation zwischen Eingangs- und Ausgangsdaten werden bei DPA- (differential power analysis) Angriffen Korrelationen zwischen beispielsweise den bekannten Eingangsdaten und dem Leistungsverbrauchsprofil der IC bei der Verarbeitung dieser Daten verwendet, um auf die sicherheitskritischen Informationen rückzuschließen.
  • Während bei der soeben beschriebenen Gruppe von Angriffen die Schaltung ohne Manipulation arbeitet, wird bei der zweiten Gruppe von Angriffen die Schaltung physisch angegriffen bzw. einer physischen Manipulation unterzogen. Reengineering-Angriffe sehen beispielsweise das abwechselnde Abschleifen der Schaltung und selektive Kontaktieren freigelegter leitfähiger Bereiche vor, um sicherheitskritische Informationen über die Schaltung oder darauf gespeicherte Informationen zu erhalten. Faultattacks bzw. Fehlerangriffe versuchen durch Manipulationen, wie z.B. mechanische Spannungen, Bestrahlung, Variieren der Versorgungsspannung oder dergleichen, die integrierte Schaltung in einen Zustand zu versetzen, bei der dieselbe fehlerhaft arbeitet, um aus den Ausgangsdaten, die die Schaltung in diesem Zustand auf Eingangsdaten hin abgibt, Rückschlüsse auf die sicherheitskritischen Informationen ziehen zu können.
  • Im Bereich der Sicherheits- und Chipkarten-IC's besteht insbesondere im Hinblick auf die letztgenannte Gruppe von Angriffen aber auch in Hinblick auf die Abwehr von DPA-Angriffen im Zusammenhang mit Probing ein hoher Bedarf an physikalischer Sicherheit gegen Ausspähung bzw. Manipulationen elektronischer Schaltungen, welche Manipulationen beispielsweise die vorübergehende Kontaktierung auf leitfähige Oberflächen einer integrierten Schaltung umfassen. Gegen diese Angriffe waren bisher passive und aktive Abwehrmaßnahmen bekannt (passive and active shielding). Als passive Abwehrmaßnahme wurden beispielsweise die der integrierten Schaltung zugrundeliegenden Bauelemente, wie z.B. Transistoren, strukturell derart aufgebaut, dass die Verschaltung dieser Bauelemente beim Abschleifen während beispielsweise des Reengineering unerkannt blieb. Als aktive Abwehrmaßnahme finden im Chipkartenbereich verschiedene Ansätze zur Abdeckung eines Schaltkreises mit leitfähigem Material unterschiedlicher Strukturierung Einsatz. Diese Abschirmungen sind im aktiven Fall mit einer Stimulierungsstruktur, wie z.B. einer mäanderförmigen Leiterbahn, und einer Auswertelogik versehen, so dass eine Manipulation im obigen Sinne per Signaländerung erkannt werden kann, wie z.B. weil sich aufgrund einer manipulativen Temperaturänderung ein Widerstandswert erhöht. Daraufhin können entsprechende Gegenmaßnahmen eingeleitet werden, wie z.B. das Löschen der sicherheitskritischen Daten von der IC oder das Ausschalten der IC oder dergleichen.
  • Nachteilhaft an den letztgenannten aktiven Shields ist, dass die Signale, die die aktiven Shields ohne das Vorliegen einer Manipulation ausgeben, also die Sollwerte, altersbedingt oder aufgrund von Entladungsvorgängen oder dergleichen zeitlichen Änderungen der elektronischen Eigenschaften der Stimulie rungsstruktur unterworfen sind. Eine auf mit einer bestimmten Ladungsmenge aufgeladene Kapazität verliert beispielsweise mit der Zeit Ladung und ändert damit auch ohne physischen Eingriff, d.h. ohne Änderung der Kapazität, von außen ihre sich ergebende Spannung. Deshalb ist es notwendig maximale oder minimale Schwellenwerte, die zur Erfassung einer anomalen Situation bzw. eines manipulativen Angriffs verwendet werden, entweder ausreichend großzügig auszulegen, um nicht zu ständigen Fehlalarmen zu führen, oder es müssen iterativ in mehr oder weniger großen zeitlichen Abständen Korrekturmaßnahmen getroffen werde, die entweder den Energieverbrauch erhöhen und/oder wertvolle Chipfläche einnehmen.
  • Die DE 101111027 C1 offenbart eine Schaltung zur Detektion eines Angriffs durch FIB, d. h. einen fokussierten Ionenstrahl-Angriff, zur Analyse einer elektronischen Schaltung, bei der eine Speicherzelle mit einer Ansteuerschaltung und eine mit der Speicherzelle verbundene Antenne zur Detektion des Angriffs vorhanden sind, wobei zwischen der Speicherzelle und der Ansteuerschaltung eine Kapazität geschaltet ist, die die Ansteuerschaltung von der Antenne trennt, so dass im Fall der Detektion eines Angriffs über die Antenne durch die Kapazität ein Abschließen der Ladung verhindert wird, so dass die erzeugte Spannung auf die Speicherzelle wirkt, die dadurch eine detektierbare Veränderung Ihres Ladungszustands erfährt, z.B. entsprechend umprogrammiert wird. Gemäß einem Ausführungsbeispiel wird die Speicherzelle um eine weitere Speicherzelle ergänzt, wobei die eine Speicherzelle positive Ladungen detektiert bzw. sammelt, und die Speicherzelle negative Ladungen detektiert, bzw. umgekehrt. Dies habe den Vorteil, dass Ladungen beiden Vorzeichens detektiert werden und nicht durch besondere Maßnahmen kompensiert werden könnten. Beide Speicherzellen sind mit ihren Steuerstrecken in Serie geschaltet, so dass durch Messen des Durchflusses durch die Serienschaltung erfasst werden könnte, ob aufgrund positiver Ladungen eine der Speicherzellen sperrt oder aufgrund negativer Ladungen die andere Speicherzelle sperrt.
    •
  • Es wäre deshalb wünschenswert, ein Manipulationsüberwachungsprinzip für Schaltungen zu besitzen, welches auch bei sich ändernden elektrischen Zuständen bzw. Eigenschaften ohne zusätzlichen Aufwand für eine zuverlässige Gewährleistung der Sicherheit gegen Angriffe liefert.
  • Diese Aufgabe wird durch eine Schaltung gemäß Anspruch 1 und ein Verfahren zur Steuerung der Schaltung gemäß Anspruch 12 gelöst.
  • Der Kerngedanke der vorliegenden Erfindung besteht darin, dass durch Verwendung zweier elektronischer Bauelemente bzw. zweier Erfassungsstrukturen, die ohne eine zu erfassende Manipulation auf ein Eingangssignal hin Ausgangssignale ausgeben, die zueinander in einer vorbestimmten Beziehung stehen, eine Manipulationsüberwachung für eine Schaltung erzielt werden kann, die trotz zeitlicher Veränderungen des elektrischen Zustands dieser elektrischen Bauelemente, wie z.B. ihres Ladezustands durch Entladevorgänge, oder trotz zeitlicher Veränderungen ihrer elektrischen Eigenschaften, wie z.B. ihrer Leitfähigkeit aufgrund von Alterungserscheinungen, auch auf vergleichsweise lange Sicht, wie z.B. in der Größenordnung der Halbwertszeit der Ausgangssignaländerung, nicht zu ständigen Fehlalarmen führt und trotz fehlender Anpassungen von Minimal- und Maximalschwellwerten eine dauerhaft hohe Sicherheit gewährleistet, wenn anstelle der einfach parallelen Überprüfung beider Ausgangssignale der elektrischen Bauelemente eine Überprüfung beider Ausgangssignale dahingehend stattfindet, ob das erste und das zweite Ausgangssignal immer noch die vorbestimmte Beziehung zueinander aufweisen. Eine Manipulation wird erfasst, wenn die beiden Ausgangssignale nicht mehr die vorbestimmte Beziehung voneinander aufweisen, da dann angenommen wird, dass die ungleichmäßige Veränderung der Ausgangssignale auf eine Manipulation zurückzuführen sein muss.
  • Ein Ausführungsbeispiel der vorliegenden Erfindung sieht strukturell und funktionell gleiche Bauelemente vor, die derart aufgebaut sind, dass ein Zusammenhang zwischen Eingangssignal und Ausgangssignal beider elektrischer Bauelemente zueinander identisch und gleichen zeitlichen Veränderungen entworfen ist. Auf diese Weise ist sichergestellt, dass die Ausgangssignale beider elektrischer Bauelemente bei Anlegen gleicher Eingangssignale an das eine bzw. das andere elektrische Bauelement bei Nichtvorliegen einer Manipulation identisch sind und auch bleiben, da sich zeitlich auswirkende Effekte, wie z.B. die Materialalterung oder Entladevorgänge, für beide Elemente gleichermaßen auf das Ausgangssignal auswirken. Genauer ausgedrückt ändert sich beispielsweise durch Entladung eine elektrisch messbarer Zustand, wie z.B. der Ladezustand, der elektrischen Bauelemente, was sich dann wiederum dadurch, dass der elektrische Zustand den Zusammenhang zwischen Eingangssignal und Ausgangssignal dieser Bauelemente bestimmt, in einer entsprechenden Änderung der Ausgangssignale dieser Bauelemente manifestiert, wie z.B. die Verringerung der Ladungsmenge auf einem Kondensator als elektronischem Bauelement in einer Verringerung der Spannung über denselben.
  • Ein Vorteil der vorliegenden Erfindung besteht darin, dass es aufgrund gleicher zeitlicher Änderungen der elektrischen Eigenschaften und/oder der elektrischen Zustände der Erfassungsstrukturen möglich ist, bei Bestimmung einer maximalen oder minimalen Abweichung, die die Ausgangssignale beider Bauelemente haben dürfen, ohne zu einer Erfassung eines Angriffs bzw. einem Alarmzustand zu führen, keine Rücksicht auf die zeitlichen Veränderungen der Ausgangssignale genommen werden muss, da ja die Änderungen bei gleichem Aufbau und ähnlichen Vorkehrungen im wesentlichen identisch sind. Auf diese Weise ist es möglich, auf Anpassschaltungen, die die Schwellwerte von Zeit zu Zeit an die Alterungsbedingungen anpassen, oder Anpassschaltungen, die in kurzen Abständen die elektrischen Zustände der Erfassungsstrukturen wieder aneinander angleichen, zu verzichten, was Chipfläche und/oder Energie einspart.
  • Auch ohne Zusatzaufwand wird es vermieden, den Spielraum für den erlaubten Normalbereich der Ausgangssignale im vorhinein erhöhen zu müssen, um den zeitlichen Änderungen der Ausgangssignale und damit einer ständigen falsch positiv Fehlerfassung einer Manipulation, nämlich Alarmauslösung ohne Vorliegen einer Manipulation, und somit einer effektiven Fehlfunktion der Schaltung zuvor zu kommen. Durch die näher aneinanderliegenden Schwellwerte bzw. die bessere Anpassung derselben an den Sollwert des Ausgangssignalvergleichsergebnisses wird die Sicherheit erhöht. Demnach ist die vorliegende Erfindung insbesondere bei Angriffen vorlteilhaft, die nur zu einer geringen Änderung zu messender Parameter in Erfassungsstrukturen führt.
  • Eine differentielle Auswertung einer erfindungsgemäßen Schutzschaltung ermöglicht demnach vorteilhafterweise nicht nur zeitliche Effekte zu detektieren sondern auch Manipulationen zu erfassen, die mit herkömmlichen Schutzstrukturen (shield) nicht zu detektieren sind, da diese Strukturen im allgemeinen zu unsensibel sind.
  • Ein ständiges Aufladen von Erfassungskondensatorstrukturen, um den Auswirkungen von Entladevorgängen auf die Ausgangssignale derselben entgegenzuwirken, entfällt bei erfindungsgemäßem Abhängigmachen der Erfassung einer Manipulation davon, ob sich die vorbestimmte Beziehung der Ausgangssignale zueinander verändert hat, oder ist zumindest weniger oft notwendig, so dass Energie eingespart werden kann.
    •
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen näher läutert. Es zeigen:
  • 1 eine schematische Darstellung einer Schaltung mit einer Manipulationsüberwachung gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; und
  • 2a zwei Leiterbahnen als ein Ausführungsbeispiel für und 2b die elektrischen Bauelemente der Schaltung von 1 in einem Zustand ohne Manipulation bzw. einem Zustand nach erfolgter Manipulation.
  • Bevor bezugnehmend auf die beiliegenden Zeichnungen die vorliegende Erfindung näher erläutert wird, wird darauf hingewiesen, dass identische oder ähnlich Elmente in denselben mit identischen oder ähnlichen Bezugszeichen versehen sind, und dass eine wiederholte Beschreibung derselben weggelassen wird.
  • 1 zeigt allgemein mit 10 eine Schaltung, auf der sicherheitskritische Informationen gespeichert sind, wie z.B. eine Chipkarten- oder Sicherheits-IC (integrierte Schaltung). Die Schaltung 10 enthält übliche Komponenten zur Verarbeitung der sicherheitsrelevanten Informationen, die in 1 nicht gezeigt sind, wie z.B. eine CPU, Coprozessoren zur Durchführung von kryptographischen Algorithmen, eine MMU (memory management unit) bzw. Speicherverwaltungseinheit, eine universelle asynchrone Sende-/Empfangsschaltung (UART) sowie verschiedene Speicher, wie z.B. einen flüchtigen Speicher, wie einen RAM, einen nichtflüchtigen Speicher, wie einen EPROM oder ein ROM, und dergleichen.
  • Um zu verhindern, dass ein Angreifer durch physische Manipulationen an sicherheitskritische Informationen über die Schaltung 10 oder an in der Schaltung 10 gespeicherte sicherheitskritische Informationen gelangt, sind in der Schaltung 10 zwei elektrische Bauelemente 12a und 12b, eine Manipulationsüberwachungseinrichtung 14 und eine Abwehrmaßnahmeeinrichtung 16 vorgesehen. Die Manipulationsüberwachungseinrichtung 14 ist mit dem ersten und dem zweiten elektrischen Bauelement 12a bzw. 12b verbunden, um ein erstes Eingangssignal 18a an das erste elektrische Bauelement 12a und ein zweites Eingangssignal 18b an das zweite elektrische Bauelement 12b anlegen zu können, und ansprechend hierauf ein erstes Ausgangssignal 20a von dem ersten elektrischen Bauelement 12a und ein zweites Ausgangssignal 20b von dem zweiten elektrischen Bauelement 12b zu erhalten. Die Manipulationsüberwachungseinrichtung 14 ist ausgebildet, um die Ausgangssignale 20a, 20b des ersten und des zweiten elektrischen Bauelements 12a, 12b daraufhin zu überprüfen, ob die beiden Ausgangssignale 12a und 12b eine vorbestimmte Beziehung zueinander aufweisen, wie es im folgenden detaillierter erörtert wird.
  • Auf der Grundlage dieser Überprüfung bzw. dieses Vergleichs entscheidet die Manipulationsüberwachungseinrichtung 14, ob mit hoher Wahrscheinlichkeit eine Manipulation bzw. ein manipulativer Angriff auf die Schaltung 10 vorliegt. Um in dem Fall der Erfassung eines manipulativen Angriffs den Erfolg des mit hoher Wahrscheinlichkeit vermuteten Angriffs zu vereiteln, ist die Manipulationsüberwachungseinrichtung 14 mit der Abwehrmaßnahmeeinrichtung 16 verbunden, um dieselbe durch ein Alarmsignal 22 über das Vorliegen des vermuteten Angriffs zu informieren bzw. zu alarmieren. Die Abwehrmaßnahmeeinrichtung 16 ist mit geeigneten Komponenten der Schaltung 10 verbunden, die in 1 nicht gezeigt sind, wie z.B. mit der CPU, dem UART oder dem EEPROM, um beispielsweise die Löschung von auf der Schaltung 10 gespeicherten sicherheitskritischen Informationen zu veranlassen oder jegliche weitere Verarbeitung der sicherheitskritischen Informationen durch die Schaltung 10 zu unterbinden.
  • Nachdem im vorhergehenden Bezug nehmend auf 1 eher allgemein der Aufbau desjenigen Teils der Schaltung 10 beschrieben worden ist, der für die Manipulationsüberwachung zuständig ist, wird im folgenden dessen Funktionsweise genauer beschrieben, wobei hierzu ferner auf 2a und 2b Bezug genommen wird, die das Ausführungsbeispiel von 1 hinsichtlich der beiden elektrischen Bauelemente 12a und 12b auf struktur- bzw. formgleiche Leiterbahnen konkretisieren.
  • 2a zeigt eine auf eine vorbestimmte Weise geführte Leiterbahn 18a' einer vorbestimmten Länge als das erste elektrische Bauelement 12a und eine zweite Leiterbahn 12b' als das zweite elektrische Bauelement 12b, wobei die zweite Leiterbahn 12b' zu der ersten die gleiche Länge aufweist. Die weiteren in 1 gezeigten Komponenten der Schaltung 10 sind in 2a der Übersichtlichkeit halber nicht gezeigt. Beide Leiterbahnen 12a' und 12b' sind mit der Manipulationsüberwachungseinrichtung 14 verbunden. Zur Veranschaulichung der Wechselwirkung mit der Manipulationsüberwachungseinrichtung 14 sind mit drei Ecken 18a' und 18b' und 20a' und 20b' die Eingangs- bzw. Ausgangssignale zu bzw. von der Manipulationsüberwachungseinrichtung 14 versinnbildlicht.
  • 2a soll einen Zustand darstellen, bei dem noch kein manipulativer Angriff auf die Schaltung 10 stattgefunden hat. In diesem Zustand weisen die Leiterbahnen 12a' und 12b' aufgrund ihrer identischen Länge und bei ansonsten gleichem Aufbau, wie z.B. gleichem Querschnitt und dem gleichen Leiterbahnmaterial, den gleichen Widerstandswert zwischen dem einen und dem anderen Ende auf. Diese elektrische Eigenschaft dieser Leiterbahnen 12a' und 12b' bestimmt den Zusammenhang zwischen abfallender Spannung über die Leiterbahnen 12a' bzw. 12b' und dem Strom durch dieselben. Deshalb erhält die Manipulationsüberwachungseinrichtung 14 bei Anlegen desselben Eingangssignals an die beiden Leiterbahnen 12a' und 12b', wie z.B. Stroms derselben Stromstärke oder Spannung derselben Höhe, Ausgangssignale von in etwa gleicher Höhe, nämlich denselben Spannungswert bzw. denselben Stromwert. Die Manipulationsüberwachungseinrichtung 14 vergleicht die beiden Ausgangssignale 20a' bzw. 20b' miteinander, ob dieselben abgesehen von einer zulässigen maximalen Abweichung identisch zueinander sind. Ist dies nicht der Fall, führt die Manipulationsüberwachungseinrichtung 14 diese Abweichung auf einen manipulativen Angriff zurück. Dem liegt die Annahme zugrunde, dass diese Abweichung nur von einem manipulativen Angriff herrühren kann, da jede Manipulation mit hoher Wahrscheinlichkeit sich unterschiedlich auf die elektrische Eigenschaft des einen und des anderen Bauelements 12a bzw. 12b auswirkt. Die Auswirkungen eines Angriffs auf die einzelnen Bauelemente bzw. Leiterbahnen 12a bzw. 12b sind in 1 mit Pfeilen 24a und 24b angezeigt, wobei ihr unterschiedliches Ausmaß dadurch veranschaulicht wird, dass der eine Pfeil 24a schraffiert ist und der andere nicht.
  • 2b zeigt einen Zustand nach einer exemplarischen Manipulation an der Schaltung 10. Es wird angenommen, die Leiterbahnen 12a' und 12b' waren beispielsweise als abschirmende Struktur um den Rest der Schaltung geführt, wie z.B. als mäanderförmige Leiterbahnen in einer oberen Schicht, zwischen der und einem Substrat der integrierten Schaltung 10 sich die restlichen Komponenten der Schaltung 10 befinden, so dass die Leiterbahnen den Rest der integrierten Schaltung gegen außen schützen. Auf alternative Möglichkeiten wird am Schluss der Beschreibung hingewiesen.
  • Um die sensiblen Informationen aus der Schaltung bzw. dem Chip 10 herauszubekommen, hat der Angreifer nach 2b einen Teil der abschirmenden Struktur aus den Leiterbahnen 12a' und 12b' entfernt, wie es mit einem Pfeil 26 angezeigt ist. Dazu hat der Angreifer übliche Techniken benutzt, wie z.B. Ätzen, Schleifen, Laserablation oder dergleichen. Wie es zu sehen ist, betreffen die entfernten Stellen lediglich die Leiterbahn 12b'. Die Leiterbahn 12a' ist von dem Eingriff des Angreifers nicht betroffen worden.
  • Die Auswirkungen 24a und 24b des manipulativen Angriffs auf die Bauelemente sind folglich unterschiedlich. Durch eine geeignete Umverdrahtung 28 sind Signalein- bzw. Ausgang bzw. die beiden Enden der Leiterbahn 12b' kurzgeschlossen worden, so dass größere Bereiche der Leiterbahn 12b', die mit 30 angezeigt sind, von der Manipulationsüberwachungseinrichtung 14 physisch abgetrennt bzw. entkoppelt sind. Die Umverdrahtung 28 kann beispielsweise mittels FIB- (FIB = Focused Ion Beam) Technologie durchgeführt worden sein. Insbesondere liefert die Umverdrahtung 28 trotz der Entfernungen 26 eine elektrische Kontinuität zwischen Signalein- und Ausgang der Leiterbahn 12b', so dass allein anhand einer Kontinuitätsprüfung an der Leiterbahn 12b' die Unterbrechung 26 nicht erkannt werden würde. Die Umverdrahtung 28 führt jedoch zu Unterschieden der Leiterbahnen 12a' und 12b' im Hinblick auf Leitungslänge, Signallaufzeit oder andere elektrische Eigenschaften. Anhand dieser Änderungen der elektrischen Eigenschaften der Leiterbahn 12b', und um im vorliegenden Beispiel zu bleiben, anhand der sich durch die Manipulation ergebenden Änderung des Gesamtwiderstandswerts zwischen den beiden Enden der manipulierten Leiterbahn 12b', kann die Manipulationsüberwachungseinrichtung 14 aufgrund des sich dementsprechend geänderten Ausgangssignals 20b' den manipulativen Angriff erfassen und die Abwehrmaßnahmeeinrichtung 16 hierüber alarmieren. Genauer ausgedrückt alarmiert die Manipulationsüberwachungseinrichtung 14 die Abwehrmaßnahmeeinrichtung 16 dann, wenn die resultierende Abweichung des Ausgangssignals 20b' von dem Ausgangssignal 20a', die von demjenigen der unversehrten Leiterbahn 12a' erhalten wird, um mehr als einen vorbestimmten Betrag abweicht.
  • Obwohl 2b nur den Fall darstellt, dass die Manipulation nur an einer Leiterbahn, nämlich 12b', durchgeführt wird, ist die Manipulationsüberwachungseinrichtung 14 auch dazu geeignet, manipulative Angriffe zu detektieren, die beide Leiterbahnen 12a' und 12b' auf dieselbe Weise manipulieren, da es unwahrscheinlich ist, dass die sich hierdurch ergebenden Änderungen in den Ausgangssignalen der beiden Leiterbahnen 12a' und 12b' derart gleichen, dass ein Unterschied der beiden Ausgangssignale den vorbestimmten Grenzschwellenwert der Manipulationsüberwachungseinrichtung 14 nicht überschreitet.
  • Die Maßnahmen, die die Abwehrmaßnahmeeinrichtung 16 auf die Alarmierung durch die Manipulationsüberwachungseinrichtung 14 hin einleitet, können beispielsweise darin bestehen, die Schaltung 10 vollständig auszuschalten, sicherheitsrelevante Daten, die in Speichern der Schaltung 10 gespeichert sind, zu löschen, jegliche weitere Ausgabe der Schaltung 10 zu verhindern, einen Betrieb der Schaltung 10 für eine vorbestimmte Zeitdauer zu unterbinden und nach Ablauf der Zeitdauer eine erneute Manipulationsüberwachungsprüfung vorzunehmen oder dergleichen.
  • Die vorhergehende Beschreibung bezog sich vornehmlich auf die Funktionsweise der Schaltung 10 im Hinblick auf die Erfassung von manipulativen Angriffen. Es wurde deutlich, dass die Schaltung 10 in der Lage ist, manipulative Angriffe zuverlässig festzustellen.
  • Im folgenden wird der Fall beschrieben, dass die Schaltung 10 über einen längeren Zeitraum hinweg keinem manipulativen Angriff unterworfen wird, wobei in folgenden noch näher auf den Begriff länger eingegangen wird. Wiederum wird davon ausgegangen, dass es sich bei den Erfassungsstrukturen um die mäanderförmigen Leiterbahnen handelt. Angenommen wird zusätzlich, dass die Versorgungsspannung der IC von einer Span nungsquelle mit variabler Spannung stammt, wie z.B. von einer Batterie oder kontaktlos von einem Terminal. Die variable Spannungsversorgung habe die Auswirkung, dass sich die Eingangssignale 18a,b zu den Leiterbahnen mit der Zeit ändere, da beispielsweise eine schaltungstechnischen Vorkehrung für einen festen Spannungswert dieser Signale eingespart wurde, und zwar mit einer Geschwindigkeit, die sich durch eine Halbwertszeit angeben ließe. Diese Änderung des Eingangssignals hat nun jedoch Einfluss auf das Ausgangssignal der elektrischen Bauelemente 12a und 12b, wobei der Einfluss in 1 durch den Pfeil 32 veranschaulicht ist. Der sich symmetrisch abzweigende Pfeil 32 soll veranschaulichen, dass der Einfluss des Versorgungsspannungsänderung auf die Änderung der Ausgangssignale dieser Bauelemente 12a und 12b gleichermaßen eintritt. Dass dies so ist, wird dadurch gewährleistet, dass die elektrischen Bauelemente 12a und 12b funktionsgleiche Bauelemente sind, die derartige strukturelle Gemeinsamkeiten aufweisen bzw. derart formgleich aufgebaut sind, dass sich bei ihnen die Abhängigkeit des Ausgangssignals vom Eingangssignal in etwa gleicht. Darüber hinaus wirken sich durch den übereinstimmenden Aufbau auch andere zeitliche Änderungen, wie z.B. Änderungen der elektrischen Eigenschaften oder Änderungen elektrischer Zustände derselben, auch bei gleichbleibenden Eingangssignal für die beiden Bauelemente 12a,b gleichermaßen auf das jeweilige Ausgangssignal aus. Solche strukturellen Übereinstimmungen umfassen beispielsweise in dem Fall von 2a, nämlich dem Fall von Leiterbahnen als den elektrischen Bauelementen, gleiche Leiterbahnlängen, gleiches leitfähiges Material, gleichen Leiterbahnquerschnitt, gleichverlaufende, d.h. durch Parallelverschiebung, Drehung und/oder Spiegelung ineinander überführbare, Leiterbahnstreckenführungen oder dergleichen.
  • Da sich nun die Versorgungsspannungsänderung durch den gleichen Eingangs/Ausgangssignal-Zusammenhang der beiden Bauelemente 12a,b gleichermaßen auf die Ausgangssignale der Bauelemente 12a und 12b auswirkt, geben dieselben auf identische Eingangssignale 18a und 18b hin stets Ausgangssignale aus, deren Differenz in etwa Null ist. Aufgrund dieser Tatsache können die minimalen und/oder maximalen Schwellwerte, bei deren Über- bzw. Unterschreitung durch die Differenz der Ausgangssignale 20a und 20b die Manipulationsüberwachungseinrichtung 14 die Abwehrmaßnahmeeinrichtung 16 über einen vermuteten Angriff alarmiert, auch dann möglichst klein gehalten werden, wenn die Schaltung 10 für einen vergleichsweise lagen Zeitraum ausgelegt ist, d.h. einen Zeitraum in oder größer der Größenordnung der Halbwertszeit der Ausgangssignaländerung augrund des Einflusses 32.
  • Dadurch, dass die Schwellwerte bzw. der erlaubte, d.h. nicht zu einem Alarm führende, Schwankungsbereich für die Differenz der Ausgangssignale 20a und 20b gering gehalten werden kann, wird es einem Angreifer zusätzlich erschwert, Manipulationen an den Bauelementen 12a und 12b unbemerkt durchführen zu können, da schon geringste Abweichungen ihrer elektrischen Eigenschaften zueinander durch die Manipulationsüberwachungseinrichtung 14 erfasst werden.
  • Im vorhergehenden wurde die vorliegende Erfindung basierend auf einem konkreten Ausführungsbeispiel beschrieben, bei dem die Manipulationsüberwachung auf zwei identisch aufgebauten elektrischen Bauelementen, nämlich zwei Leiterbahnen, basierte, deren Ausgangssignale auf identische Eingangssignale hin auf ihre Identität hin überprüft wurden, wobei in dem Fall, dass die Abweichung derselben einen gewissen Schwellenwert überschritt, eine Abwehrmaßnahmeeinrichtung 16 alarmiert wurde. Von diesem konkreten Ausführungsbeispiel kann in vielerlei Hinsicht abgewichen werden. Die Strukturen der elektrischen Bauelemente müssen nicht zwangsläufig nur leitfähig sein. Als elektrische Bauelemente im Sinne der Erfindung könnten beispielsweise auch Kondensatoren verwendet werden, wobei als Eingangssignal für dieselben das Laden einer bestimmten Ladungsmenge auf eine Kondensatorfläche derselben und als Ausgangssignal derselben die sich ergebende Spannung verwendet wird. Ferner können als die elektrischen Bauelemente Paare zweier parallel zueinander liegender Leitungen verwendet werden, deren Kapazität gemessen wird. Nicht nur eine Manipulation der leitfähigen Teile der Kapazität würden zu einer Alarmerfassung führen sondern auch eine Änderung der effektiven Dielektrizitätskonstante des dazwischenliegenden Dielektrikums. Ferner kann, anstatt die elektrischen Widerstände zweier sehr langer Leitungen miteinander zu vergleichen, die Signallaufzeit zweier Leiterbahnen miteinander verglichen werden.
  • Im vorhergehenden wurde jeweils eine Abweichung der entsprechenden Messgröße auf einer der zu beobachtenden Strukturen von der Messgröße der anderen Struktur als Indiz für einen manipulativen Angriff interpretiert. Vorteilhaft war hier, dass eine gleichmäßige Veränderung von elektrischen Eigenschaften über die Zeit dieser beiden Strukturen bzw. Bauelemente zu einem gleichbleibenden Differenzwert nahe Null führte, solange keine Manipulation vorlag. In dem Fall zweier Kondensatoren, die strukturell gleich aufgebaut sind, so dass ihr Entladungsverhalten gleich ist, ist beispielsweise eine gleichmäßige Entladung über einen großen Zeitraum hinweg entsprechend nicht schädlich für das Verfahren. Die Ansprechschwelle für Angriffe konnte dementsprechend sehr präzise justiert und an die Erfordernisse angepasst werden. Ähnliche oder zumindest einige der Effekte können jedoch auch erzielt werden, wenn abweichend von den vorhergehenden Ausführungsbeispielen die zur Erfassung verwendeten Bauelemente bzw. Strukturen absichtlich mit strukturellen Unterschieden versehen werden, die dazu führen, dass sich auf gleiche Eingangssignale hin zwei unterschiedliche Ausgangssignale ergeben, diese aber immer in einem vorbestimmten Verhältnis stehen, wie z.B. ein Verhältnis von 1:2. Um im Beispiel der beiden Leiterbahnen zu bleiben, kann beispielsweise die eine Leiterbahn doppelt so lang wie die andere sein, so dass bei Nichtvorliegen eines Angriffs, d.h. im Normalzustand, bei gleichem Spannungsabfall das Verhältnis der sich ergebenden Stromstär ke 1:2 wäre und erst bei Abweichung von diesem Verhältnis auf einen manipulativen Angriff geschlossen wird.
  • Bezug nehmend auf 2b wurde als manipulativer Eingriff, der durch die vorliegende Erfindung erfassbar ist, die FIB-Technik beschrieben. Freilich lassen sich durch die vorliegende Erfindung auch andere manipulative Eingriffe erfassen, durch die durch Manipulationstechniken, wie Laser-Cutting bzw. -Schneiden, Schleifen, Ätzen oder dergleichen, bewirkten Auswirkungen auf die Erfassungsstrukturen bzw. Bauelemente für die Manipulationsüberwachung verschleiert werden sollen. Bezug nehmend auf die Figuren wurde im vorhergehenden kurz erwähnt, dass es möglich ist, die elektrischen Bauelemente bzw. Erfassungsstrukturen derart anzuordnen, dass sie den Rest der Schaltung 10 schützend umhüllen und somit als Shield-Strukturen dienen. Die entsprechenden Erfassungsstrukturen könnten beispielsweise in einer obersten Schicht angeordnet sein, wobei der Rest der Schaltung zwischen dieser Schicht und einem darunter liegenden Substrat angeordnet ist. Ferner könnte es vorgesehen sein, dass eine der Erfassungsstrukturen über der anderen angeordnet ist, so dass die eine Erfassungsstruktur die andere abschirmt und somit allein durch die von außen betrachtet hintereinanderliegende Anordnung gewährleistet ist, dass zumindest für kurze Zeit die Auswirkung einer Manipulation auf die Erfassungsstrukturen ungleichmäßig ist.
  • Neben den soeben beschriebenen Möglichkeiten zur Variation der differentiellen Shield-Einheit ist es ferner möglich, die Betriebsweise der Manipulationsüberwachungseinrichtung 14 in verschiedener Hinsicht zu variieren. So kann der durch sie durchgeführte Vergleich der Ausgangssignale bzw. Parameter der Bauelemente im aktiven Chipzustand entweder kontinuierlich oder periodisch erfolgen, wobei hier zwischen möglichst großer Sicherheit auf der einen und einem möglichst geringen Energieverbrauch auf der anderen Seite abzuwägen ist.
  • Neben der Möglichkeit, die Erfassungsstrukturen bzw. Bauelemente als abschirmende Strukturen vorzusehen, ist es möglich, Teile der Schaltung 10 als Erfassungsstrukturen zu verwenden, die gleichzeitig an der Durchführung der eigentlichen Funktion der zu schützenden Schaltung teilhaben. Anstelle des Vorsehens eigener Shield-Leiterbahnen, wie es Bezug nehmend auf 2a und 2b beschrieben wurde, können beispielsweise parallel verlaufende Busleitungen oder dergleichen der Schaltung 10 verwendet werden, solange ihre elektrisch auswertbaren Messgrößen vergleichbar sind.
  • Ferner wird Bezug nehmend auf die vorhergehende Beschreibung darauf hingewiesen, dass es freilich möglich ist, mehr als nur zwei Erfassungsstrukturen bzw. elektrische Bauelemente zu verwenden, deren elektrische Eigenschaften miteinander auf die vorbeschriebene Weise vergleichbar sind.
  • Die vorbeschriebenen Vorkehrungen in den Ausführungsbeispielen, nämlich die Erfassungsstrukturen strukturell gleich aufzubauen, sorgt auch bei alterungsbedingten zeitlichen Veränderungen der elektrischen Eigenschaften derselben für eine zeitliche Invarianz der Differenz der beiden Ausgangssignale dieser Strukturen. Vorbeschriebene Vorkehrungen sind garantieren folglich die Invarianz für den Fall einer Vielzahl zeitlicher Veränderungen, die durch eine Vielzahl von Gegebenheiten bzw. ein Vielzahl normaler physikalischer Einflüsse und Vorgänge bedingt sein können, wie z.B. die Änderung der Spannung eines Kondensators nach Aufladung auf eine vorbestimmte Ladungsmenge, oder dergleichen. Dies sorgt wiederum dafür, dass die Implementierung der Angriffsüberwachung vereinfacht werden kann, da beispielsweise in dem Fall der Kondensatoren die Periode zwischen den initialisierenden Aufladevorgängen auf eine vorbestimmte Ladungsmenge vergrößert werden kann, wodurch sich ferner auch der Energieverbrauch verringert.
    • 10
    Schaltung
    12a
    elektrisches Erfassungsbauelement
    12b
    elektrisches Erfassungsbauelement
    14
    Manipulationsüberwachungseinrichtung
    16
    Abwehrmaßnahmeeinrichtung
    18a
    Eingangssignal
    18b
    Eingangssignal
    20a
    Ausgangssignal
    20b
    Ausgangssignal
    22
    Alarmsignal
    24a
    Angriffseinfluß
    24b
    Angriffseinfluß
    26
    Leiterbahnunterbrechung
    28
    Umverdrahtung
    30
    abgetrennter Teil
    32
    normale äußere Einflüsse

Claims (12)

  1. Schaltung mit einem ersten und einem zweiten elektrischen Bauelement (12a, 12b), wobei das erste und das zweite Bauelement (12a, 12b) ohne eine zu erfassende Manipulation (24a, 24b) auf ein Eingangssignal (18a, 18b) hin Ausgangssignale (20a, 20b) ausgeben, die zueinander in einer vorbestimmten Beziehung stehen; einer Manipulationsüberwachungseinrichtung (14) zum Anlegen eines Eingangssignals (18a, 18b) an das erste und an das zweite elektrische Bauelement (12a, 12b) und zum Vergleichen der Ausgangssignale (20a, 20b) des ersten und des zweiten elektrischen Bauelements (12a, 12b), um eine Manipulation (24a, 24b) zu erfassen, wenn das erste Ausgangssignal (20a) und das zweite Ausgangssignal (20b) nicht die vorbestimmte Beziehung zueinander aufweisen; und einer Einrichtung (16) zum Einleiten einer Maßnahme auf eine Erfassung hin, dass das erste Ausgangssignal (18a) und das zweite Ausgangssignal (18b) nicht die vorbestimmte Beziehung zueinander aufweisen.
  2. Schaltung gemäß Anspruch 1, bei der die vorbestimmte Beziehung darin besteht, dass die Ausgangssignale (20a, 20b) des ersten und des zweiten elektrischen Bauelements (12a, 12b) in etwa gleich sind.
  3. Schaltung gemäß Anspruch 1 oder 2, bei der das erste und das zweite elektrische Bauelement (12a, 12b) jeweils eine Leiterbahn (12a', 12b') umfassen, wobei ein Zusammenhang zwischen Eingangssignal (18a, 18b) und Ausgangssignal (20a, 20b) beider elektrischer Bauelemente (12a, 12b) von dem elektrischen Widerstand der jeweiligen Leiterbahn (12a', 12b') abhängt.
  4. Schaltung gemäß Anspruch 1 oder 2, bei der das erste und das zweite elektrische Bauelement (12a, 12b) jeweils eine Leiterbahn umfassen, wobei das Ausgangssignal, das von jeweils dem ersten und dem zweiten elektrischen Bauelement (12a, 12b) auf das Eingangssignal (18a, 18b) ausgegeben wird, von der Signallaufzeit der jeweiligen Leiterbahn abhängt.
  5. Schaltung gemäß Anspruch 3 oder 4, bei der die Leiterbahnen gleich lang sind.
  6. Schaltung gemäß Anspruch 1 oder 2, bei der das erste und das zweite elektrische Bauelement (12a, 12b) jeweils einen Kondensator umfasst, wobei ein Zusammenhang zwischen Eingangssignal und Ausgangssignal beider elektrischer Bauelemente von der Kapazität des jeweiligen Kondensators abhängt.
  7. Schaltung gemäß einem der Ansprüche 1 bis 6, bei der das erste und das zweite elektrische Bauelement (12a, 12b) formgleich aufgebaut sind.
  8. Schaltung gemäß einem der Ansprüche 1 bis 7, bei der das erste und das zweite elektrische Bauelement (12a, 12b) aus gleichem Material aufgebaut sind.
  9. Schaltung gemäß einem der vorhergehenden Ansprüche, wobei die Schaltung eine integrierte Schaltung ist und zumindest eines der beiden elektrischen Bauelemente so angeordnet ist, dass es einen Funktionsteil der integrierten Schaltung gegen außen abschirmt.
  10. Schaltung gemäß einem der vorhergehenden Ansprüche, bei der das erste und das zweite elektrische Bauelement (12a, 12b) derart aufgebaut sind, dass ein Zusammenhang zwischen Eingangssignal und Ausgangssignal beider elektrischen Bauelemente zueinander identisch und bei Abwesenheit einer Manipu lation durch physikalische Vorgänge gleichen zeitlichen Veränderungen unterworfen sind.
  11. Schaltung gemäß einem der Ansprüche 1 bis 10, bei der die Manipulationsüberwachungseinrichtung (14) ausgebildet ist, um an das erste und das zweite elektrische Bauelement gleiche Eingangssignale anzulegen.
  12. Verfahren zur Steuerung einer Schaltung mit einem ersten und einem zweiten elektrischen Bauelement, wobei das erste und das zweite Bauelement ohne eine zu erfassende Manipulation auf ein Eingangssignal hin Ausgangssignale ausgeben, die zueinander in einer vorbestimmten Beziehung stehen, mit folgenden Schritten: Anlegen eines Eingangssignals an das erste und an das zweite elektrische Bauelement; Vergleichen der Ausgangssignale des ersten und des zweiten elektrischen Bauelements, um eine Manipulation zu erfassen, wenn das erste Ausgangssignal und das zweite Ausgangssignal nicht die vorbestimmte Beziehung zueinander aufweisen; und Einleiten einer Maßnahme auf eine Erfassung hin, dass das erste Ausgangssignal und das zweite Ausgangssignal nicht die vorbestimmte Beziehung zueinander aufweisen.
DE2003126089 2003-06-10 2003-06-10 Manipulationsüberwachung für eine Schaltung Expired - Fee Related DE10326089B3 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2003126089 DE10326089B3 (de) 2003-06-10 2003-06-10 Manipulationsüberwachung für eine Schaltung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2003126089 DE10326089B3 (de) 2003-06-10 2003-06-10 Manipulationsüberwachung für eine Schaltung

Publications (1)

Publication Number Publication Date
DE10326089B3 true DE10326089B3 (de) 2004-11-18

Family

ID=33305228

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2003126089 Expired - Fee Related DE10326089B3 (de) 2003-06-10 2003-06-10 Manipulationsüberwachung für eine Schaltung

Country Status (1)

Country Link
DE (1) DE10326089B3 (de)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005042790A1 (de) * 2005-09-08 2007-03-22 Infineon Technologies Ag Integrierte Schaltungsanordnung und Verfahren zum Betrieb einer solchen
FR2892544A1 (fr) * 2005-10-25 2007-04-27 Gemplus Sa Detection de tentative d'effraction sur une puce a travers sa structure support
GB2452732A (en) * 2007-09-12 2009-03-18 Seiko Epson Corp Smart-card chip with organic conductive surface layer for detecting invasive attack
FR2947360A1 (fr) * 2009-06-29 2010-12-31 Oberthur Technologies Dispositif et procede de protection d'un composant electronique contre des attaques basees sur l'analyse de la consommation du composant
DE102009043617A1 (de) * 2009-09-29 2011-03-31 Giesecke & Devrient Gmbh Chipmodul und tragbarer Datenträger mit einem Chipmodul
EP2849158A1 (de) * 2013-09-13 2015-03-18 Siemens Schweiz AG e-Ticket mit Manipulationsschutz
EP2573716A3 (de) * 2011-09-20 2015-10-28 Nxp B.V. Sicherungsschaltung für Sicherheitsvorrichtung

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10111027C1 (de) * 2001-03-07 2002-08-08 Infineon Technologies Ag Schaltung für FIB-Sensor

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10111027C1 (de) * 2001-03-07 2002-08-08 Infineon Technologies Ag Schaltung für FIB-Sensor

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005042790A1 (de) * 2005-09-08 2007-03-22 Infineon Technologies Ag Integrierte Schaltungsanordnung und Verfahren zum Betrieb einer solchen
US7529999B2 (en) 2005-09-08 2009-05-05 Infineon Technologies Ag Integrated circuit arrangement and method
DE102005042790B4 (de) * 2005-09-08 2010-11-18 Infineon Technologies Ag Integrierte Schaltungsanordnung und Verfahren zum Betrieb einer solchen
FR2892544A1 (fr) * 2005-10-25 2007-04-27 Gemplus Sa Detection de tentative d'effraction sur une puce a travers sa structure support
WO2007048701A1 (fr) * 2005-10-25 2007-05-03 Gemplus Detection de tentative d'effraction sur une puce a travers sa structure support
GB2452732A (en) * 2007-09-12 2009-03-18 Seiko Epson Corp Smart-card chip with organic conductive surface layer for detecting invasive attack
FR2947360A1 (fr) * 2009-06-29 2010-12-31 Oberthur Technologies Dispositif et procede de protection d'un composant electronique contre des attaques basees sur l'analyse de la consommation du composant
DE102009043617A1 (de) * 2009-09-29 2011-03-31 Giesecke & Devrient Gmbh Chipmodul und tragbarer Datenträger mit einem Chipmodul
WO2011039168A1 (de) * 2009-09-29 2011-04-07 Giesecke & Devrient Gmbh Chipmodul und tragbarer datenträger mit einem chipmodul
EP2573716A3 (de) * 2011-09-20 2015-10-28 Nxp B.V. Sicherungsschaltung für Sicherheitsvorrichtung
EP2849158A1 (de) * 2013-09-13 2015-03-18 Siemens Schweiz AG e-Ticket mit Manipulationsschutz

Similar Documents

Publication Publication Date Title
EP0891601B1 (de) Chipkarte
EP1053518B1 (de) Schutzschaltung für eine integrierte schaltung
DE3881596T2 (de) Anordnung zur Detektion der Ablösung der Passivierungsschicht einer integrierten Schaltung.
DE69715282T2 (de) Schutzanordnung für ein Halbleiterplättchen
DE3041109C2 (de)
DE3818960C2 (de)
DE69531556T2 (de) Verfahren und einrichtung zur sicherung von in halbleiterspeicherzellen gespeicherten daten
DE102012109665A1 (de) Manipulationserkennungsmaßnahmen zum Abschecken physischer Angriffe auf ein Sicherheits-ASIC
EP1182702B1 (de) Vorrichtung zum Schutz einer integrierten Schaltung
AT408925B (de) Anordnung zum schutz von elektronischen recheneinheiten, insbesondere von chipkarten
DE3347483A1 (de) Vorrichtung zur sicherung geheimer informationen
DE60008544T2 (de) Gegen angriffe über den strom geschützter mikrokontroller
DE102006005053A1 (de) Vorichtung zum Erfassen eines Angriffs auf eine elektrische Schaltung
DE60312704T2 (de) Elektronische Datenverarbeitungseinrichtung
DE10326089B3 (de) Manipulationsüberwachung für eine Schaltung
DE102005056940B4 (de) Vorrichtung und Verfahren zum nicht-flüchtigen Speichern eines Statuswertes
EP1114460B1 (de) Halbleiterchip mit oberflächenabdeckung
EP2019996A1 (de) Sensor mit einer schaltungs anordnung
DE102005057104A1 (de) Smartcard und Steuerverfahren hierfür
EP2056346B1 (de) Halbleiterchip mit einer Schutzschicht
DE102004016342B4 (de) Verfahren und Vorrichtung zum Erfassen eines manipulativen Angriffs auf eine elektrische Schaltung
DE102015115172A1 (de) Verfahren und Vorrichtung zur Bestimmung der Integrität einer Kartenleseeinrichtung und ein damit ausgestattetes Selbstbedienungsterminal
DE102006048969B4 (de) Schaltungsanordnung und Verfahren zum Unterbinden eines Schaltungsbetriebs
DE10217291B4 (de) Datenverarbeitungsvorrichtung und Verfahren zum Betreiben eines Datenverarbeitungsmoduls
EP1326203A2 (de) Verfahren und Anordnung zum Schutz von digitalen Schaltungsteilen

Legal Events

Date Code Title Description
8100 Publication of the examined application without publication of unexamined application
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee