DE60309304T2 - Gesicherte elektronische vorrichtung - Google Patents
Gesicherte elektronische vorrichtung Download PDFInfo
- Publication number
- DE60309304T2 DE60309304T2 DE60309304T DE60309304T DE60309304T2 DE 60309304 T2 DE60309304 T2 DE 60309304T2 DE 60309304 T DE60309304 T DE 60309304T DE 60309304 T DE60309304 T DE 60309304T DE 60309304 T2 DE60309304 T2 DE 60309304T2
- Authority
- DE
- Germany
- Prior art keywords
- circuit
- sensor
- energy source
- microloads
- detonators
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/0716—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips at least one of the integrated circuit chips comprising a sensor or an interface to a sensor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/073—Special arrangements for circuits, e.g. for protecting identification code in memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/073—Special arrangements for circuits, e.g. for protecting identification code in memory
- G06K19/07309—Means for preventing undesired reading or writing from or onto record carriers
- G06K19/07372—Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/073—Special arrangements for circuits, e.g. for protecting identification code in memory
- G06K19/07309—Means for preventing undesired reading or writing from or onto record carriers
- G06K19/07372—Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
- G06K19/07381—Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit with deactivation or otherwise incapacitation of at least a part of the circuit upon detected tampering
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L23/00—Details of semiconductor or other solid state devices
- H01L23/57—Protection from inspection, reverse engineering or tampering
- H01L23/576—Protection from inspection, reverse engineering or tampering using active circuits
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2924/00—Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
- H01L2924/0001—Technical content checked by a classifier
- H01L2924/0002—Not covered by any one of groups H01L24/00, H01L24/00 and H01L2224/00
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Condensed Matter Physics & Semiconductors (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Semiconductor Integrated Circuits (AREA)
- Credit Cards Or The Like (AREA)
- Sink And Installation For Waste Water (AREA)
- Air Bags (AREA)
- Thermistors And Varistors (AREA)
- Vending Machines For Individual Products (AREA)
- Power Sources (AREA)
- Emergency Protection Circuit Devices (AREA)
- Control Of Motors That Do Not Use Commutators (AREA)
Description
- Technisches Gebiet
- Die vorliegende Erfindung betrifft eine gesicherte elektronische Vorrichtung, zum Beispiel eine Chipkartenschaltung.
- Stand der Technik
- Die Versorgung der Chipkarten nach dem Stand der Technik erfolgt bei deren Einführung in ein Lesegerät. Ein aktiver Schutz dieser Chipkarten kann nur in diesem Moment stattfinden. Diese Karten haben nämlich keine Einrichtung, um einen invasiven Angriff zu detektieren, wenn sie nicht versorgt werden. Ein Angriff des "Retrotechnik-" oder "reverse engineering"-Typs, der einer betrügerischen Person ermöglicht, vertrauliche Informationen zu sammeln, die in dieser Karte gespeichert sind, zum Beispiel die Verschlüsselungsschlüssel und der persönliche Identifizierungscode, hat also alle Chancen, zu gelingen.
- Die Ankündigung von Mikroenergiequellen macht andere Schutzszenarios möglich, bei denen die elektronische Schaltung der Chipkarte eine minimale aktive Überwachungsfunktion gewährleistet. Je nach Resultat dieser Überwachung kann die Schaltung dann reagieren und dank ihrer eigen Energie Gegenmaßnahmen auslösen.
- Um jede unerwünschte oder sogar betrügerische Intrusion in die Chipkarte zu detektieren, kann man zum Beispiel, wie beschrieben in dem Referenzdokument [1] am Ende der Beschreibung, diese Schaltung mit einer Netzwerk aus elektrischen Leitern umgeben, die ermöglicht, eine Öffnung in der so ausgebildeten Umhüllung zu detektieren. Aber eine solche Detektion kann nur bei einer versorgten Schaltung erfolgen.
- Wie in dem Referenzdokument [2] beschrieben, beschränken sich die Gegenmaßnahmen bis jetzt darauf, die Speicher zu löschen, in denen die vertraulichen Informationen wie etwa die Schlüssel abgespeichert sind. Jedoch bedeutet das Löschen der Schlüssel noch nicht, dass alle vertraulichen Informationen zerstört sind.
- Das Dokument
US 5 998 858 offenbart den Oberbegriff des Anspruchs 1. - Die Aufgabe der Erfindung besteht darin, dieses Schutzproblem zu lösen, indem für den Fall eines intrusiven Angriffs auf eine gesicherte elektronische Vorrichtung, wie etwa einen Chipkarten-IC, eine aktive Gegenmaßnahme erfolgt, wobei diese Gegenmaßnahme darauf abzielt, alle oder einen Teil der elektronischen Blöcke zu zerstören, die die sensiblen Funktionen der Schaltung realisieren.
- Darstellung der Erfindung
- Die vorliegende Erfindung betrifft eine gesicherte elektronische Vorrichtung nach Anspruch 1, die eine elektronische Schaltung umfasst, die zu schützende Informationen bzw. Daten enthält.
- Vorteilhafterweise sind die Zündungseinrichtungen zum Beispiel ein elektrischer Zünder oder eine Zündschnur (mêche).
- Die erfindungsgemäße Vorrichtung kann ganz bedeckt sein mit einer pyrotechnischen Mikroladungen, oder eine Mikroladung und ein Zünder können mit verschiedenen Elementen der Schaltung verbunden sein.
- Vorteilhafterweise umfasst die erfindungsgemäße Schaltung einen Chip, und die Mikroladungen und Zünder befinden sich in dem Substrat dieses Chips, zum Beispiel indem sie in Mikrokarten auf der Rückseite des Chips oder in der Implantationsschicht der Transistoren oder in einer Metallschicht des Chips angeordnet sind.
- Wenigstens ein Mikroladung/Zünder-Satz kann mit einer Sicherung verbunden sein. Die erfindungsgemäße Vorrichtung kann auch wenigstens eine Mikrospule umfassen, die ferngekoppelt ist mit einer in eine Mikroladung integrierten Mikrospule einer Resonanzschaltung.
- Die Energiequelle kann in die elektronische Schaltung integriert sein. Sie kann auch ein Akkumulator sein.
- Wenigstens ein Sensor kann in die elektronische Schaltung integriert sein. Die ganze Vorrichtung kann auch in die elektrische Schaltung integriert sein.
- Wenigstens ein Sensor kann ein Sensor sein, der fähig ist, eine physikalische Größe zu messen, die charakteristisch ist für die Schaltung oder die Umgebung der Schaltung, oder einen Sensor, der fähig ist, eine physikalische Größe zu messen, die charakteristisch ist für die Eingangs- und Ausgangskommunikation der genannten Vorrichtung, oder einen Sensor, der fähig ist, den Energiepegel der Energiequelle zu messen, um ein Signal zur Mitteilung einer Wiederaufladungsanforderung oder einer Schutzeinrichtungsaktivierung auszusenden, oder einen Sensor, der fähig ist, eine physikalische Größe zu messen, die charakteristisch ist für die elektrische Verbindung zwischen der Energiequelle und der logischen Entscheidungseinrichtung.
- Eine solche Vorrichtung, die eine Chipkartenschaltung sein kann, ermöglicht, eine aktive Überwachung einzurichten, das heißt, permanent physikalische Parameter zu messen, die charakteristisch sind für einen Normalbetrieb, und dann, wenn es sich als notwendig erweist, alle oder einen Teil der elektronischen Blöcke zu zerstören, die die sensiblen Funktionen der Schaltung ausführen.
- Kurzbeschreibung der Zeichnungen
- Die
1 zeigt die Vorrichtung nach der Erfindung. - Die
2 zeigt eine besondere Realisierungsart der Vorrichtung nach der Erfindung. - Die
3 zeigt verschiedene Typen von Ladung/Zünder-Zuordnungen, die in der erfindungsgemäßen Vorrichtung verwendet werden können. - Die
4 bis10 zeigen verschiedene Ausführungsbeispiele der erfindungsgemäßen Vorrichtung. - Detaillierte Darstellung von Realisierungsarten
- Wie dargestellt in der
1 , umfasst die erfindungsgemäße Vorrichtung 9: - – eine
Mikroenergiequelle
11 , - – eine
integrierte elektronische Schaltung
10 , die zum Beispiel einen logischen Prozessor und einen nichtlöschenden Speicher mit zu schützenden Daten enthält, - – wenigstens
einen Sensor, fähig
eine bestimmte physikalische Größe zu messen
und einen für
diese Größe repräsentativen
Wert zu liefern, wobei diese Sensoren drei an der Zahl sind:
12 ,13 und14 , - – Einrichtungen
zum Vergleichen jedes gemessenen Werts mit einem vorher festgelegten
Schwellenwert, hier gebildet durch drei Komparatoren
15 ,16 ,17 , von denen jeder auf jeweils einem seiner zwei Eingänge ein Signal ref1, ref2, ref3 und auf dem anderen Eingang den Ausgang des entsprechenden Sensors12 ,13 oder15 empfängt, - – eine
Schutzeinrichtung
20 der in der Schaltung10 enthaltenen Daten, deren Ausgang zum Beispiel verbunden ist mit einem Eingang ACT (Aktivierung von lokaler oder globaler Zerstörung) der integrierten Schaltung10 , fähig die Schaltung9 mit Hilfe der pyrotechnischen Einrichtungen27 teilweise oder ganz zu zerstören, - – eine
logische Entscheidungseinrichtung
21 , fähig die Schutzeinrchtung20 zu aktivieren, die die Ausgangssignale der Komparatoren15 ,16 und17 empfängt. - Diese gesicherte elektronische Vorrichtung nach der Erfindung wendet also zwei aktive Funktionen an:
- – eine Intrusionsdetektionsfunktion,
- – eine Zündungseinrichtung, die ermöglicht, eine lokale oder globale Mikroladung mit Hilfe von elektrischer Energie zu zünden, die in einer Mikrobatterie gespeichert ist,
- In der Folge wird jedes dieser Elemente der erfindungsgemäßen Vorrichtung näher betrachtet.
- Was geschützt werden muss, sind die sensiblen Informationen, die in Form von Daten in einem elektronischen Speicher abgespeichert sind (Verschlüsselungsschlüssel, Passwort, ...), oder sogar die Architektur der elektronischen Schaltung.
- Die diese Informationen enthaltende Schaltung
10 entspricht der üblicherweise in einer Chipkarte enthaltenen. Sie enthält zum Beispiel die folgenden Funktionen: - – eine Zentraleinheit (CPU),
- – einen Festwertspeicher (ROM),
- – einen Direktzugriffsspeicher (RAM),
- – einen Speicher des Typs EEPROM,
- – ein Kommunikationsinterface mit oder ohne Kontakt, das liefert: • die Versorgung der Schaltung (extern), • einen bidirektionalen Kommunikationskanal, • eventuell einen Taktgeber, • eventuell ein Signal zur Nullstellung des Prozessors.
- Sie kann auch andere Funktionen enthalten, zum Beispiel diejenigen der Sensoren, der Komparatoren, der Logik, der Kommunikation.
- Die Energiequelle
11 kann eine Mikro- oder Minibatterie sein: Knopfbatterie, ultraflache Batterie, integrierte Batterie ... Sie muss die Energieversorgung der erfindungsgemäßen Schaltung zur Anwendung der beiden Funktionen ermöglichen, nämlich der aktiven Intrusionsdetektionsfunktion und der Aktivierungsfunktion des aktiven Schutzes durch Zünden von einer oder mehreren Mikroladungen. - Diese Energiequelle
11 kann auch realisiert werden, indem man von der Mikroelektronik abgeleitete Verfahren anwendet, zum Beispiel indem man mehrere technologische Niveaus über denen hinzufügt, die klassischerweise zur Realisierung der integrierten Schaltung10 bestimmt sind: diese Niveaus ermöglichen, die Energiequelle11 , die Anschlüsse und das Elektrolyt im festen Zustand auf kollektive Weise herzustellen. - Die Energiequelle
11 kann sich auch außerhalb des IC10 befinden. - Die Sensoren
12 ,13 und14 können sein: - • Umgebungsüberwachungssensoren:
solche Sensoren müssen
verifizieren, ob die nominalen Bedingungen bei Benutzung (Schaltung
wird durch den Kommunikationskanal versorgt) und im Ruhezustand
der Schaltung sich auch bestätigen. Eine
detektierte Abweichung von einem Bezugswert kann dann bedeuten,
dass ein Intrusionsversuch stattfindet. Diese Sensoren können insbesondere
sein:
– ein
Temperatursensor, der ermöglicht,
die Energiequelle
11 zu schützen, – ein UV-Strahlensensor, der zum Beispiel ermöglicht, einen Angriff auf den EEPROM-Speicher zu detektieren, – einen Röntgenstrahlensensor, der ermöglicht, einen Angriff des Radiographie-Typs auf die Schaltung10 zu detektieren, – ein Schutznetzwerk, das ermöglicht, einen "Reverse Engineering"-Versuch zu detektieren, – einen Sensor eines elektrisches oder magnetisches Felds: Antenne, usw... - • Überwachungssensoren
der Kommunikationsverbindung
26 der Schaltung9 nach außen. Solche Sensoren realisieren eine elektronische Überwachung von allem, was in der Kommunikationsverbindung26 passiert. Unter anderem kann man nennen: – die Überwachung der Versorgungsspannung, – die Überwachung des Taktsignals. - Es sind auch andere Funktionen möglich:
- • eine
Wiederaufladung der Energiequelle
11 , wenn diese ein Akkumulator ist, durch die Kommunikationsverbindung. Man kann im Innern der erfindungsgemäßen Schaltung eine Wiederaufladungsfunktion dieses Akkumulators integrieren, egal ob die Kommunikation mit oder ohne Kontakt erfolgt. - • eine Aktivierung/Deaktivierung der erfindungsgemäßen Schaltung. Bei bestimmten Anwendungen kann es vorteilhaft sein, die Benutzung der Energiequelle zu steuern. Es steht dann eine Einschalt-Ausschalt-Fernbedienung über die Kommunikationsverbindung zur Verfügung.
- • ein
zusätzlicher
Schutz durch eine Stufe vor dem Zünder der pyrotechnischen Einrichtungen
27 , die eine Sicherungsposition zum Beispiel für den Transport bilden, die ermöglicht, die Zündung temporär zu verriegeln. - • eine zusätzliche Speicherung, die ermöglicht, nach der Zerstörung Informationen abzuspeichern, die zum Beispiel von den Sensoren stammen und ermöglichen, die Umstände der Zerstörung zu erklären: zum Beispiel Datum, gestörter Parameter ...
- In der
1 sind der erste und der zweite Sensor12 und13 zum Beispiel UV- und Röntgenstrahlensensoren, und der dritte Sensor14 kann ein Sensor sein, der das Messen der Impedanz der galvanischen Verbindung15 zwischen der Quelle11 und der Verarbeitungseinheit10 ermöglicht. - Die Vergleichseinrichtungen haben die Aufgabe, die von den verschiedenen Sensoren
12 ,13 und14 stammenden Parameter regelmäßig zu inspizieren und mit verschiedenen Bezugswerten ref1, ref2 und ref3 zu vergleichen. - Die Komparatoren
15 ,16 und17 sind zum Beispiel Operationsverstärker; die Bezugswerte ref1, ref2 und ref3 sind entweder intern oder von außen oder durch den Mikroprozessor vorgeschrieben. - Die Vergleichseinrichtungen können außerdem realisieren:
- – einerseits eine Detektion eines niedrigen Energiepegel (erster Schwellenwert), um einen Alarm für einen Wartungseingriff auszulösen. Falls die Energiequelle eine wieder aufladbare Batterie ist, geht es darum, den Ladungspegel zu detektieren, unter dem ein Wiederaufladungs-Mahnungssignal gesendet werden muss,
- – andererseits eine Detektion eines kritischen Energiepegels (zweiter Schwellenwert), um einen Alarm auszulösen und eventuell den Schutz anzuwenden. Die unter diesem zweiten Schwellenwert verbleibende Energie reicht gerade noch aus, um den Schutz zu aktivieren, wobei es darum geht, ihn auszulösen, um die Sicherheit zu garantieren.
- Diese verschiedenen Elemente können eine sogenannte Schutzzone bilden, bei der unterstellt wird, dass sie durch eine unteilbare bzw. unzerstörbare (unsécable) Montage gebildet wird. Die Verbindungen zwischen den verschiedenen Funktionen (Chip, Energiequelle, Sensoren) sind dann permanent funktionsfähig (valid) und können nicht Gegenstand eines Angriffs oder einer Modifikation sein. Aber es ist auch möglich:
- – entweder
die Abschaltung eines Sensors
12 ,13 oder14 zu detektieren, indem man verifiziert, dass die direkte Messung falsch ist, oder indem Eicheinrichtungen realisiert, - – oder
die Abschaltung der Energiequelle
11 zu beheben bzw. wettzumachen, indem man die Energie auf andere Weise überträgt, zumindest momentan. - Die Aufgabe der Schutzschaltung
20 besteht darin, alle vertraulichen Informationen zu schützen. Sie wendet im Falle eines Intrusionsangriffs eine aktive Gegenmaßnahme an. Diese Gegenmaßnahme zielt darauf ab, diejenigen elektronischen Blöcke teilweise oder ganz zu zerstören, die die sensiblen Funktionen der Schaltung9 anwenden. Die Energiequelle11 , die sich in der elektronischen Schaltung9 befindet, gewährleistet also eine kontinuierliche aktive Überwachung und die gesicherte Auslösung der Gegenmaßnahmen. - Diese Zerstörung wird sichergestellt durch eine Mikroexplosion, welche die zu schützende(n) Funktion(en) zerstäubt. Es handelt sich also um mindestens eine Mikroladung, ausgelöst durch eine im Chip gespeicherte Energie, zum Beispiel in einer Mikrobatterie. Nach einer solchen Zerstörung ist ein "Reverse engineering"-Angriff nicht mehr möglich.
- Diese Mikroladung kann global oder lokal sein. Im ersten Fall ist die gesamte Schaltung
9 mit einer pyrotechnischen Mikroladung bedeckt, so dass bei einer Explosion die ganze Schaltung zerstört wird. Im zweiten Fall sind die Mikroladungen in verschiedenen sensiblen Punkten lokalisiert, wie dargestellt in der2 . - In dieser
2 sind eine Mikroladung30 und ein Zünder (elektrische Zündung)31 verschiedenen Elementen der erfindungsgemäßen Schaltung zugeordnet, nämlich: - – den
Eingangs-Ausgangskontakten
32 , - – der
Sicherheitslogik
33 , - – dem
Schlüsselspeicher
34 , - – dem Verschlüsselungsprozessor,
- – den
Antiintrusions-Sensoren
36 . - In dieser
2 sind auch ein Spurenspeicher (mémoire de trace)37 , eine Mikroenergiequelle38 und das Zündungssignal39 dargestellt. - In diesem zweiten Fall erfolgt die Auslösung der Zünder
31 entweder durch ein elektrisches Signal oder durch eine integrierte Mikrozündschnur, welche die verschiedenen pyrotechnischen Mikroladungen30 verbindet. - In der
3 sind verschiedene Typen von Mikroladung/Zünder-Sätzen30 /31 dargestellt. - Verschiedene Ausführungsbeispiele
- Die Aufbringung der pyrotechnischen Materialien erfolgt im Wesentlichen durch Siebdruck oder Tropfen für Tropfen. Man kann die Mikroladungen
30 und die Zünder31 potentiell in mehreren Niveaus des der erfindungsgemäßen Schaltung9 entsprechenden Chips realisieren. In der Folge werden die verschiedenen Ausführungsmöglichkeiten beschrieben. - a) Sogenannte "above IC"-Ausführung
- Das pyrotechnische Material wird auf der Schaltung abgeschieden und es ist zum Beispiel die Temperaturerhöhung, die die Schaltung zerstört.
- b) Sogenannte "inside IC"-Ausführung
- Bei einer ersten Variante befinden sich die pyrotechnischen Mikroladungen
30 und Zünder31 in dem Substrat40 , wie dargestellt in der4 ; die beiden anderen dargestellten Schichten sind das Dotiemiveau41 und das Metallniveau42 . Man kann dann auf der Rückseite vorhandene Mikrohohlräume43 benutzen, um die Mikroladungen30 und die Zünder31 zu platzieren oder um die mechanische Kraft im Moment der Explosion in einem genauen Punkt zu konzentrieren. Die5 zeigt dann ein Ausführungsbeispiel der erfindungsgemäßen Vorrichtung mit zu schützenden Zonen50 und einem Mikrohohlraum43 , der durch einen Kanal mit zwei anderen Mikrohohlräumen44 verbunden ist. Die kleinen vordefinierten Flächen52 und53 dieser Mikrohohlräume44 ermöglichen, die mechanische Kraft im Moment der Explosion in Richtung dieser Zonen50 zu konzentrieren. So erhält man ein großes - Bei einer zweiten Variante befinden sich die pyrotechnischen Mikroladungen
30 und die Zünder31 auf dem Niveau der Transistoren in der Schicht41 , wie dargestellt in der6 . - Bei einer dritten Variante befinden sich die pyrotechnischen Mikroladungen
30 und die Zünder31 in dem Niveau42 der Metallschichten, wie dargestellt in der7 . - c) Sogenannte Mikrosicherungs- bzw. Mikroschmelzsicherungsausführung
- Bei diesem Ausführungsbeispiel sind Mikrosicherungs- beziehungsweise Mikroschmelzsicherungsfunktionen integriert. Ein Beispiel einer pyrotechnischen Mikrosicherung bzw. Mikroschmelzsicherung
45 ist in der8 dargestellt, wobei die beiden dargestellten Schichten das Metallniveau42 und das Substrat40 sind. - d) Sogenannte "outside IC"-Ausführung
- Im Falle einer in klassischer Technik realisierten Schaltung
9 und um das Herstellungsverfahren der genannten Schaltung nicht modifizieren zu müssen, kann man vorsehen, die explosive Ladung30 ,31 außerhalb anzuordnen und fernzuzünden, zum Beispiel durch eine kontaktlose Einrichtung mittels induktiver Kopplung. In diesem Fall, wie dargestellt in der9 , wird die explosive Ladung durch eine Mikroladung30 und einen Zünder31 gebildet, verbunden mit einer Resonanzschaltung, die u.a. aus einer Mikrospule47 besteht. Eine in der Schicht42 befindliche Mikrospule von äquivalenter Größe, realisiert mit der oder den letzten Metallschichten, ermöglicht eine Auslösung der Zündung. - Wie in der
10 als Draufsicht dargestellt, kann man dann in die pyrotechnische Mikroladung30 eine Resonanzschaltung integrieren, die gebildet wird durch die Mikrospule47 , einen Abstimmungskondensator48 und einen Heizwiderstand49 zur Auslösung des Zünders31 . - REFERENZEN
-
- [1] "Design principles für tamper-resistent smartcard processors" von Oliver Kömmerling und Markus G. Kuhn (Proceedings of the USENIX Workshop on smartcard technology, Chicago, Illinois, USA, 10.-11. Mai 1999, Seiten 1 bis 12)
- [2] "Tamper resistance-a cautionary note" von Ross Anderson und Markus Kuhn (Second USENIX Workshop on Electronic Commerce Proceedings, Oakland, California, 18.-21-November 1996, Seiten 1 bis 11).
Claims (19)
- Gesicherte elektronische Vorrichtung mit wenigstens einer zu schützende Daten enthaltenden elektronischen Schaltung, umfassend: – eine Energiequelle (
11 ), – wenigstens einen Sensor (12 ,13 ,14 ), fähig eine bestimmte physikalische Größe zu messen und einen repräsentativen Wert dieser Größe zu liefern, – Einrichtungen (15 ,16 ,17 ) zum Vergleichen jedes Werts mit wenigstens einer vorher definierten Schwelle (ref1, ref2, ref3), die Resultat-Signale liefern, – eine Vorrichtung (20 ) zum Schutz der Daten, Einrichtungen zur Zerstörungssteuerung wenigstens eines Teils der Schaltung umfassend, – eine logische Vorrichtung (21 ) zur Intrusionsdetektion, fähig bei Resultat-Signalen die Schutzeinrichtung zu aktivieren, dadurch gekennzeichnet, dass die Schutzeinrichtung Zündungseinrichtungen (31 ) umfasst, die ermöglichen, mit Hilfe der in der Energiequelle permanent gespeicherten elektrischen Energie eine lokale oder globale pyrotechnische Mikroladung (30 ) zu zünden. - Vorrichtung nach Anspruch 1, bei der die Zündungseinrichtungen einen elektrischen Zünder (
31 ) oder eine Zündschnur bzw. ein ihr entsprechendes Mittel umfassen. - Vorrichtung nach Anspruch 2, die ganz von einer pyrotechnischen Mikroladung bedeckt ist.
- Vorrichtung nach Anspruch 2, bei der wenigstens eine Mikroladung (
30 ) und wenigstens ein Zünder (31 ) wenigstens einem Element der Schaltung zugeordnet sind. - Vorrichtung nach Anspruch 2, bei der die Schaltung einen Chip bildet, bei dem die Mikroladungen (
30 ) und Zünder (31 ) sich im Substrat dieses Chips befinden. - Vorrichtung nach Anspruch 5, bei dem die Mikroladungen (
30 ) und Zünder (31 ) sich in Mikrohohlräumen auf der Rückseite des Substrats befinden. - Vorrichtung nach Anspruch 2, bei der die Schaltung einen Chip bildet, bei dem die Mikroladungen (
30 ) und Zünder (31 ) sich in der Implantationsschicht der Transistoren befinden. - Vorrichtung nach Anspruch 2, bei der die Schaltung einen Chip bildet, bei dem die Mikroladungen (
30 ) und Zünder (31 ) sich in einer Metallschicht von diesem befinden. - Vorrichtung nach Anspruch 2, bei dem wenigstens eine aus Mikroladung (
30 ) und Zünder (31 ) bestehende Einheit einer Mikrosicherung (45 ) zugeordnet ist. - Vorrichtung nach Anspruch 2 mit wenigstens einer Mikrospule (
46 ), distanzgekoppelt mit einer Mikrospule (47 ) eines in eine Mikroladung (30 ) integrierten Resonanzkreises. - Vorrichtung nach Anspruch 1, bei der die Energiequelle (
11 ) in die elektronischen Schaltung integriert ist. - Vorrichtung nach Anspruch 1, bei der die Energiequelle (
11 ) ein Akkumulator ist. - Vorrichtung nach Anspruch 1, bei der wenigstens ein Sensor in die elektronische Schaltung integriert ist.
- Vorrichtung nach Anspruch 1, bei der die gesamte Vorrichtung in die elektronische Schaltung integriert ist.
- Vorrichtung nach Anspruch 1, bei der wenigstens ein Sensor (
12 ,13 ,14 ) fähig ist, eine physikalische Größe zu messen, die die Schaltung oder die Umgebung der Schaltung charakterisiert. - Vorrichtung nach Anspruch 1, bei der wenigstens ein Sensor (
12 ,13 ,14 ) fähig ist, eine physikalische Größe zu messen, die die Eingangs- und Ausgangskommunikation der Vorrichtung charakterisiert. - Vorrichtung nach Anspruch 1, bei der wenigstens ein Sensor (
12 ,13 ,14 ) fähig ist, den Energiepegel der Energiequelle zu messen, um ein Signal zur Mitteilung von Aufladungsbedarf oder zur Aktivierung der Schutzvorrichtung auszusenden. - Vorrichtung nach Anspruch 1, bei der wenigstens ein Sensor (
12 ,13 ,14 ) fähig ist, eine physikalische Größe zu messen, die die elektrische Verbindung zwischen der Energiequelle (11 ) und der logischen Entscheidungsvorrichtung charakterisiert. - Nutzanwendung der Vorrichtung nach einem der vorangehenden Ansprüche in einer Chipkarte.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0203102A FR2837304B1 (fr) | 2002-03-13 | 2002-03-13 | Dispositif electronique securise |
PCT/FR2003/000778 WO2003077194A2 (fr) | 2002-03-13 | 2003-03-11 | Dispositif electronique securise |
FR0303102 | 2003-03-13 |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60309304D1 DE60309304D1 (de) | 2006-12-07 |
DE60309304T2 true DE60309304T2 (de) | 2007-05-10 |
Family
ID=27772073
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60309304T Expired - Lifetime DE60309304T2 (de) | 2002-03-13 | 2003-03-11 | Gesicherte elektronische vorrichtung |
Country Status (7)
Country | Link |
---|---|
US (1) | US6926204B2 (de) |
EP (1) | EP1493126B1 (de) |
JP (1) | JP2005532609A (de) |
AT (1) | ATE343824T1 (de) |
DE (1) | DE60309304T2 (de) |
FR (1) | FR2837304B1 (de) |
WO (1) | WO2003077194A2 (de) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2003231894A1 (en) * | 2002-06-04 | 2003-12-19 | Nds Limited | Prevention of tampering in electronic devices |
JP2005327104A (ja) * | 2004-05-14 | 2005-11-24 | Oki Electric Ind Co Ltd | 非接触データキャリア、質問器、非接触データキャリアシステム、非接触データキャリアのデータ取得方法、及び、非接触データキャリアのデータ取得用プログラム |
US7896988B2 (en) * | 2007-06-15 | 2011-03-01 | Spectre Enterprises, Inc. | Charge system for destroying chips on a circuit board and method for destroying chips on a circuit board |
US9704817B2 (en) * | 2007-09-06 | 2017-07-11 | Qortek, Inc. | Integrated laser auto-destruct system for electronic components |
AU2011281245B2 (en) | 2010-07-18 | 2014-05-08 | Graeme John Freedman | Anti-tamper device for integrated circuits |
US9323958B2 (en) * | 2013-07-22 | 2016-04-26 | Enterprise Sciences, Inc. | Method and apparatus for prevention of tampering and unauthorized use, and unauthorized extraction of information from secured devices |
US9842812B2 (en) | 2014-03-24 | 2017-12-12 | Honeywell International Inc. | Self-destructing chip |
EP3186585B1 (de) * | 2014-08-26 | 2020-04-22 | Pahmet LLC | System und verfahren zur autonomen oder ferngesteuerten zerstörung von gespeicherter information oder komponenten |
US9431354B2 (en) | 2014-11-06 | 2016-08-30 | International Business Machines Corporation | Activating reactions in integrated circuits through electrical discharge |
US9859227B1 (en) | 2016-06-30 | 2018-01-02 | International Business Machines Corporation | Damaging integrated circuit components |
US10026579B2 (en) * | 2016-07-26 | 2018-07-17 | Palo Alto Research Center Incorporated | Self-limiting electrical triggering for initiating fracture of frangible glass |
US10969205B2 (en) * | 2019-05-03 | 2021-04-06 | Palo Alto Research Center Incorporated | Electrically-activated pressure vessels for fracturing frangible structures |
US11904986B2 (en) | 2020-12-21 | 2024-02-20 | Xerox Corporation | Mechanical triggers and triggering methods for self-destructing frangible structures and sealed vessels |
US12013043B2 (en) | 2020-12-21 | 2024-06-18 | Xerox Corporation | Triggerable mechanisms and fragment containment arrangements for self-destructing frangible structures and sealed vessels |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3725671A (en) * | 1970-11-02 | 1973-04-03 | Us Navy | Pyrotechnic eradication of microcircuits |
US3882323A (en) * | 1973-12-17 | 1975-05-06 | Us Navy | Method and apparatus for protecting sensitive information contained in thin-film microelectonic circuitry |
US4926480A (en) * | 1983-08-22 | 1990-05-15 | David Chaum | Card-computer moderated systems |
US5319301A (en) * | 1984-08-15 | 1994-06-07 | Michael Callahan | Inductorless controlled transition and other light dimmers |
US5629607A (en) * | 1984-08-15 | 1997-05-13 | Callahan; Michael | Initializing controlled transition light dimmers |
DE3920957A1 (de) * | 1989-06-27 | 1991-01-10 | Bodenseewerk Geraetetech | Verwendung einer piezoelektrischen folie |
FR2649817B1 (fr) * | 1989-07-13 | 1993-12-24 | Gemplus Card International | Carte a microcircuit protegee contre l'intrusion |
US5220250A (en) * | 1989-12-11 | 1993-06-15 | North American Philips Corp. | Fluorescent lamp lighting arrangement for "smart" buildings |
EP0513405A1 (de) * | 1991-05-11 | 1992-11-19 | Intermacom A.G. | Verfahren und Vorrichtung zur Stromunterbrechung in elektrisch betriebenen Geräten und -Ausrüstungen |
US5585787A (en) * | 1991-12-09 | 1996-12-17 | Wallerstein; Robert S. | Programmable credit card |
US5412192A (en) * | 1993-07-20 | 1995-05-02 | American Express Company | Radio frequency activated charge card |
US5397881A (en) * | 1993-11-22 | 1995-03-14 | Mannik; Kallis H. | Third millenium credit card with magnetically onto it written multiple validity dates, from which is one single day as the credit card's validity day selected day after day by the legitimate card owner |
JPH08115267A (ja) * | 1994-10-19 | 1996-05-07 | Tech Res & Dev Inst Of Japan Def Agency | 情報秘匿機構 |
JPH08136628A (ja) * | 1994-11-11 | 1996-05-31 | Fujitsu Ltd | 電池容量監視装置 |
US5883429A (en) * | 1995-04-25 | 1999-03-16 | Siemens Aktiengesellschaft | Chip cover |
US5850450A (en) * | 1995-07-20 | 1998-12-15 | Dallas Semiconductor Corporation | Method and apparatus for encryption key creation |
FR2747245B1 (fr) * | 1996-04-04 | 1998-05-15 | Gec Alsthom T & D Sa | Systeme de protection d'un transformateur de distribution triphase a isolation dans un dielectrique liquide |
JP3440763B2 (ja) * | 1996-10-25 | 2003-08-25 | 富士ゼロックス株式会社 | 暗号化装置、復号装置、機密データ処理装置、及び情報処理装置 |
JPH10222426A (ja) * | 1997-02-04 | 1998-08-21 | Yokogawa Denshi Kiki Kk | 電子情報の保護装置 |
DE19947574A1 (de) * | 1999-10-01 | 2001-04-12 | Giesecke & Devrient Gmbh | Verfahren zur Sicherung eines Datenspeichers |
FR2805116A1 (fr) * | 2000-02-16 | 2001-08-17 | Frederic Francois Margerard | Dispositif pour detruire a distance un telephone portable a partir d'un telephone quelconque |
JP3641182B2 (ja) * | 2000-03-14 | 2005-04-20 | 日本電信電話株式会社 | 自己破壊型半導体装置 |
-
2002
- 2002-03-13 FR FR0203102A patent/FR2837304B1/fr not_active Expired - Fee Related
-
2003
- 2003-03-11 DE DE60309304T patent/DE60309304T2/de not_active Expired - Lifetime
- 2003-03-11 AT AT03727581T patent/ATE343824T1/de not_active IP Right Cessation
- 2003-03-11 EP EP03727581A patent/EP1493126B1/de not_active Expired - Lifetime
- 2003-03-11 US US10/477,640 patent/US6926204B2/en not_active Expired - Fee Related
- 2003-03-11 WO PCT/FR2003/000778 patent/WO2003077194A2/fr active IP Right Grant
- 2003-03-11 JP JP2003575336A patent/JP2005532609A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2003077194A3 (fr) | 2004-03-11 |
ATE343824T1 (de) | 2006-11-15 |
US6926204B2 (en) | 2005-08-09 |
FR2837304A1 (fr) | 2003-09-19 |
US20040134993A1 (en) | 2004-07-15 |
FR2837304B1 (fr) | 2004-05-28 |
EP1493126B1 (de) | 2006-10-25 |
EP1493126A2 (de) | 2005-01-05 |
DE60309304D1 (de) | 2006-12-07 |
JP2005532609A (ja) | 2005-10-27 |
WO2003077194A2 (fr) | 2003-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60309304T2 (de) | Gesicherte elektronische vorrichtung | |
DE3041109C2 (de) | ||
DE10305587B4 (de) | Integrierte Sicherheitshalbleiterschaltung und Halbleiterschaltungskarte und zugehöriges Überwachungsverfahren | |
EP0151714B1 (de) | Vorrichtung zur Sicherung geheimer Informationen | |
DE3889017T2 (de) | Datenkartenschaltungen. | |
EP3259793B1 (de) | Batteriezelle für eine batterie eines kraftfahrzeugs, batterie, kraftfahrzeug und verfahren zum betreiben einer batteriezelle | |
EP1761964B1 (de) | Chip mit versorgungseinrichtung | |
DE69715282T2 (de) | Schutzanordnung für ein Halbleiterplättchen | |
DE60008544T9 (de) | Gegen angriffe über den strom geschützter mikrokontroller | |
WO1989004022A1 (en) | Process for verifying the authenticity of a data medium with integrated circuit | |
DE60312704T2 (de) | Elektronische Datenverarbeitungseinrichtung | |
DE102005056940B4 (de) | Vorrichtung und Verfahren zum nicht-flüchtigen Speichern eines Statuswertes | |
EP2019996A1 (de) | Sensor mit einer schaltungs anordnung | |
DE60318481T2 (de) | Elektronische gesicherte einrichtung mit verwaltung der lebensdauer eines objekts | |
EP1368834A2 (de) | Schaltung für fib-sensor | |
DE10326089B3 (de) | Manipulationsüberwachung für eine Schaltung | |
DE102010022514B4 (de) | Verfahren und Vorrichtung zum Zerstören eines Halbleiterchips eines tragbaren Datenträgers | |
DE60223703T2 (de) | Authentisierungsprotokoll mit speicherintegritaetsverifikation | |
WO2004036649A1 (de) | Chip mit angriffsschutz | |
DE60114007T2 (de) | Verwendungserkennungsschaltung | |
DE19809574A1 (de) | Verfahren zur Sicherung der Nämlichkeit von Objekten sowie Vorrichtung zur Durchführung des Verfahrens | |
DE10065339B4 (de) | Kapazitiver Sensor als Schutzvorrichtung gegen Angriffe auf einen Sicherheitschip | |
EP2428918B1 (de) | Portabler Datenträger | |
DE10360998B4 (de) | Schutz von Chips gegen Attacken | |
WO2018172037A1 (de) | Sensoreinrichtung und überwachungsverfahren |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition |