DE60309304T2 - Gesicherte elektronische vorrichtung - Google Patents

Gesicherte elektronische vorrichtung Download PDF

Info

Publication number
DE60309304T2
DE60309304T2 DE60309304T DE60309304T DE60309304T2 DE 60309304 T2 DE60309304 T2 DE 60309304T2 DE 60309304 T DE60309304 T DE 60309304T DE 60309304 T DE60309304 T DE 60309304T DE 60309304 T2 DE60309304 T2 DE 60309304T2
Authority
DE
Germany
Prior art keywords
circuit
sensor
energy source
microloads
detonators
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60309304T
Other languages
English (en)
Other versions
DE60309304D1 (de
Inventor
Francois Vacherand
Gilles Delapierre
Didier Bloch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Commissariat a lEnergie Atomique et aux Energies Alternatives CEA
Original Assignee
Commissariat a lEnergie Atomique CEA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Commissariat a lEnergie Atomique CEA filed Critical Commissariat a lEnergie Atomique CEA
Publication of DE60309304D1 publication Critical patent/DE60309304D1/de
Application granted granted Critical
Publication of DE60309304T2 publication Critical patent/DE60309304T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/0716Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips at least one of the integrated circuit chips comprising a sensor or an interface to a sensor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07372Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07372Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
    • G06K19/07381Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit with deactivation or otherwise incapacitation of at least a part of the circuit upon detected tampering
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/57Protection from inspection, reverse engineering or tampering
    • H01L23/576Protection from inspection, reverse engineering or tampering using active circuits
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/0001Technical content checked by a classifier
    • H01L2924/0002Not covered by any one of groups H01L24/00, H01L24/00 and H01L2224/00

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Condensed Matter Physics & Semiconductors (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Credit Cards Or The Like (AREA)
  • Sink And Installation For Waste Water (AREA)
  • Air Bags (AREA)
  • Thermistors And Varistors (AREA)
  • Vending Machines For Individual Products (AREA)
  • Power Sources (AREA)
  • Emergency Protection Circuit Devices (AREA)
  • Control Of Motors That Do Not Use Commutators (AREA)

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft eine gesicherte elektronische Vorrichtung, zum Beispiel eine Chipkartenschaltung.
  • Stand der Technik
  • Die Versorgung der Chipkarten nach dem Stand der Technik erfolgt bei deren Einführung in ein Lesegerät. Ein aktiver Schutz dieser Chipkarten kann nur in diesem Moment stattfinden. Diese Karten haben nämlich keine Einrichtung, um einen invasiven Angriff zu detektieren, wenn sie nicht versorgt werden. Ein Angriff des "Retrotechnik-" oder "reverse engineering"-Typs, der einer betrügerischen Person ermöglicht, vertrauliche Informationen zu sammeln, die in dieser Karte gespeichert sind, zum Beispiel die Verschlüsselungsschlüssel und der persönliche Identifizierungscode, hat also alle Chancen, zu gelingen.
  • Die Ankündigung von Mikroenergiequellen macht andere Schutzszenarios möglich, bei denen die elektronische Schaltung der Chipkarte eine minimale aktive Überwachungsfunktion gewährleistet. Je nach Resultat dieser Überwachung kann die Schaltung dann reagieren und dank ihrer eigen Energie Gegenmaßnahmen auslösen.
  • Um jede unerwünschte oder sogar betrügerische Intrusion in die Chipkarte zu detektieren, kann man zum Beispiel, wie beschrieben in dem Referenzdokument [1] am Ende der Beschreibung, diese Schaltung mit einer Netzwerk aus elektrischen Leitern umgeben, die ermöglicht, eine Öffnung in der so ausgebildeten Umhüllung zu detektieren. Aber eine solche Detektion kann nur bei einer versorgten Schaltung erfolgen.
  • Wie in dem Referenzdokument [2] beschrieben, beschränken sich die Gegenmaßnahmen bis jetzt darauf, die Speicher zu löschen, in denen die vertraulichen Informationen wie etwa die Schlüssel abgespeichert sind. Jedoch bedeutet das Löschen der Schlüssel noch nicht, dass alle vertraulichen Informationen zerstört sind.
  • Das Dokument US 5 998 858 offenbart den Oberbegriff des Anspruchs 1.
  • Die Aufgabe der Erfindung besteht darin, dieses Schutzproblem zu lösen, indem für den Fall eines intrusiven Angriffs auf eine gesicherte elektronische Vorrichtung, wie etwa einen Chipkarten-IC, eine aktive Gegenmaßnahme erfolgt, wobei diese Gegenmaßnahme darauf abzielt, alle oder einen Teil der elektronischen Blöcke zu zerstören, die die sensiblen Funktionen der Schaltung realisieren.
  • Darstellung der Erfindung
  • Die vorliegende Erfindung betrifft eine gesicherte elektronische Vorrichtung nach Anspruch 1, die eine elektronische Schaltung umfasst, die zu schützende Informationen bzw. Daten enthält.
  • Vorteilhafterweise sind die Zündungseinrichtungen zum Beispiel ein elektrischer Zünder oder eine Zündschnur (mêche).
  • Die erfindungsgemäße Vorrichtung kann ganz bedeckt sein mit einer pyrotechnischen Mikroladungen, oder eine Mikroladung und ein Zünder können mit verschiedenen Elementen der Schaltung verbunden sein.
  • Vorteilhafterweise umfasst die erfindungsgemäße Schaltung einen Chip, und die Mikroladungen und Zünder befinden sich in dem Substrat dieses Chips, zum Beispiel indem sie in Mikrokarten auf der Rückseite des Chips oder in der Implantationsschicht der Transistoren oder in einer Metallschicht des Chips angeordnet sind.
  • Wenigstens ein Mikroladung/Zünder-Satz kann mit einer Sicherung verbunden sein. Die erfindungsgemäße Vorrichtung kann auch wenigstens eine Mikrospule umfassen, die ferngekoppelt ist mit einer in eine Mikroladung integrierten Mikrospule einer Resonanzschaltung.
  • Die Energiequelle kann in die elektronische Schaltung integriert sein. Sie kann auch ein Akkumulator sein.
  • Wenigstens ein Sensor kann in die elektronische Schaltung integriert sein. Die ganze Vorrichtung kann auch in die elektrische Schaltung integriert sein.
  • Wenigstens ein Sensor kann ein Sensor sein, der fähig ist, eine physikalische Größe zu messen, die charakteristisch ist für die Schaltung oder die Umgebung der Schaltung, oder einen Sensor, der fähig ist, eine physikalische Größe zu messen, die charakteristisch ist für die Eingangs- und Ausgangskommunikation der genannten Vorrichtung, oder einen Sensor, der fähig ist, den Energiepegel der Energiequelle zu messen, um ein Signal zur Mitteilung einer Wiederaufladungsanforderung oder einer Schutzeinrichtungsaktivierung auszusenden, oder einen Sensor, der fähig ist, eine physikalische Größe zu messen, die charakteristisch ist für die elektrische Verbindung zwischen der Energiequelle und der logischen Entscheidungseinrichtung.
  • Eine solche Vorrichtung, die eine Chipkartenschaltung sein kann, ermöglicht, eine aktive Überwachung einzurichten, das heißt, permanent physikalische Parameter zu messen, die charakteristisch sind für einen Normalbetrieb, und dann, wenn es sich als notwendig erweist, alle oder einen Teil der elektronischen Blöcke zu zerstören, die die sensiblen Funktionen der Schaltung ausführen.
  • Kurzbeschreibung der Zeichnungen
  • Die 1 zeigt die Vorrichtung nach der Erfindung.
  • Die 2 zeigt eine besondere Realisierungsart der Vorrichtung nach der Erfindung.
  • Die 3 zeigt verschiedene Typen von Ladung/Zünder-Zuordnungen, die in der erfindungsgemäßen Vorrichtung verwendet werden können.
  • Die 4 bis 10 zeigen verschiedene Ausführungsbeispiele der erfindungsgemäßen Vorrichtung.
  • Detaillierte Darstellung von Realisierungsarten
  • Wie dargestellt in der 1, umfasst die erfindungsgemäße Vorrichtung 9:
    • – eine Mikroenergiequelle 11,
    • – eine integrierte elektronische Schaltung 10, die zum Beispiel einen logischen Prozessor und einen nichtlöschenden Speicher mit zu schützenden Daten enthält,
    • – wenigstens einen Sensor, fähig eine bestimmte physikalische Größe zu messen und einen für diese Größe repräsentativen Wert zu liefern, wobei diese Sensoren drei an der Zahl sind: 12, 13 und 14,
    • – Einrichtungen zum Vergleichen jedes gemessenen Werts mit einem vorher festgelegten Schwellenwert, hier gebildet durch drei Komparatoren 15, 16, 17, von denen jeder auf jeweils einem seiner zwei Eingänge ein Signal ref1, ref2, ref3 und auf dem anderen Eingang den Ausgang des entsprechenden Sensors 12, 13 oder 15 empfängt,
    • – eine Schutzeinrichtung 20 der in der Schaltung 10 enthaltenen Daten, deren Ausgang zum Beispiel verbunden ist mit einem Eingang ACT (Aktivierung von lokaler oder globaler Zerstörung) der integrierten Schaltung 10, fähig die Schaltung 9 mit Hilfe der pyrotechnischen Einrichtungen 27 teilweise oder ganz zu zerstören,
    • – eine logische Entscheidungseinrichtung 21, fähig die Schutzeinrchtung 20 zu aktivieren, die die Ausgangssignale der Komparatoren 15, 16 und 17 empfängt.
  • Diese gesicherte elektronische Vorrichtung nach der Erfindung wendet also zwei aktive Funktionen an:
    • – eine Intrusionsdetektionsfunktion,
    • – eine Zündungseinrichtung, die ermöglicht, eine lokale oder globale Mikroladung mit Hilfe von elektrischer Energie zu zünden, die in einer Mikrobatterie gespeichert ist,
    und dies in permanenter Weise, das heißt unabhängig davon, ob sie in ein Lesegerät eingeführt wird oder nicht.
  • In der Folge wird jedes dieser Elemente der erfindungsgemäßen Vorrichtung näher betrachtet.
  • Was geschützt werden muss, sind die sensiblen Informationen, die in Form von Daten in einem elektronischen Speicher abgespeichert sind (Verschlüsselungsschlüssel, Passwort, ...), oder sogar die Architektur der elektronischen Schaltung.
  • Die diese Informationen enthaltende Schaltung 10 entspricht der üblicherweise in einer Chipkarte enthaltenen. Sie enthält zum Beispiel die folgenden Funktionen:
    • – eine Zentraleinheit (CPU),
    • – einen Festwertspeicher (ROM),
    • – einen Direktzugriffsspeicher (RAM),
    • – einen Speicher des Typs EEPROM,
    • – ein Kommunikationsinterface mit oder ohne Kontakt, das liefert: • die Versorgung der Schaltung (extern), • einen bidirektionalen Kommunikationskanal, • eventuell einen Taktgeber, • eventuell ein Signal zur Nullstellung des Prozessors.
  • Sie kann auch andere Funktionen enthalten, zum Beispiel diejenigen der Sensoren, der Komparatoren, der Logik, der Kommunikation.
  • Die Energiequelle 11 kann eine Mikro- oder Minibatterie sein: Knopfbatterie, ultraflache Batterie, integrierte Batterie ... Sie muss die Energieversorgung der erfindungsgemäßen Schaltung zur Anwendung der beiden Funktionen ermöglichen, nämlich der aktiven Intrusionsdetektionsfunktion und der Aktivierungsfunktion des aktiven Schutzes durch Zünden von einer oder mehreren Mikroladungen.
  • Diese Energiequelle 11 kann auch realisiert werden, indem man von der Mikroelektronik abgeleitete Verfahren anwendet, zum Beispiel indem man mehrere technologische Niveaus über denen hinzufügt, die klassischerweise zur Realisierung der integrierten Schaltung 10 bestimmt sind: diese Niveaus ermöglichen, die Energiequelle 11, die Anschlüsse und das Elektrolyt im festen Zustand auf kollektive Weise herzustellen.
  • Die Energiequelle 11 kann sich auch außerhalb des IC 10 befinden.
  • Die Sensoren 12, 13 und 14 können sein:
    • • Umgebungsüberwachungssensoren: solche Sensoren müssen verifizieren, ob die nominalen Bedingungen bei Benutzung (Schaltung wird durch den Kommunikationskanal versorgt) und im Ruhezustand der Schaltung sich auch bestätigen. Eine detektierte Abweichung von einem Bezugswert kann dann bedeuten, dass ein Intrusionsversuch stattfindet. Diese Sensoren können insbesondere sein: – ein Temperatursensor, der ermöglicht, die Energiequelle 11 zu schützen, – ein UV-Strahlensensor, der zum Beispiel ermöglicht, einen Angriff auf den EEPROM-Speicher zu detektieren, – einen Röntgenstrahlensensor, der ermöglicht, einen Angriff des Radiographie-Typs auf die Schaltung 10 zu detektieren, – ein Schutznetzwerk, das ermöglicht, einen "Reverse Engineering"-Versuch zu detektieren, – einen Sensor eines elektrisches oder magnetisches Felds: Antenne, usw...
    • • Überwachungssensoren der Kommunikationsverbindung 26 der Schaltung 9 nach außen. Solche Sensoren realisieren eine elektronische Überwachung von allem, was in der Kommunikationsverbindung 26 passiert. Unter anderem kann man nennen: – die Überwachung der Versorgungsspannung, – die Überwachung des Taktsignals.
  • Es sind auch andere Funktionen möglich:
    • • eine Wiederaufladung der Energiequelle 11, wenn diese ein Akkumulator ist, durch die Kommunikationsverbindung. Man kann im Innern der erfindungsgemäßen Schaltung eine Wiederaufladungsfunktion dieses Akkumulators integrieren, egal ob die Kommunikation mit oder ohne Kontakt erfolgt.
    • • eine Aktivierung/Deaktivierung der erfindungsgemäßen Schaltung. Bei bestimmten Anwendungen kann es vorteilhaft sein, die Benutzung der Energiequelle zu steuern. Es steht dann eine Einschalt-Ausschalt-Fernbedienung über die Kommunikationsverbindung zur Verfügung.
    • • ein zusätzlicher Schutz durch eine Stufe vor dem Zünder der pyrotechnischen Einrichtungen 27, die eine Sicherungsposition zum Beispiel für den Transport bilden, die ermöglicht, die Zündung temporär zu verriegeln.
    • • eine zusätzliche Speicherung, die ermöglicht, nach der Zerstörung Informationen abzuspeichern, die zum Beispiel von den Sensoren stammen und ermöglichen, die Umstände der Zerstörung zu erklären: zum Beispiel Datum, gestörter Parameter ...
  • In der 1 sind der erste und der zweite Sensor 12 und 13 zum Beispiel UV- und Röntgenstrahlensensoren, und der dritte Sensor 14 kann ein Sensor sein, der das Messen der Impedanz der galvanischen Verbindung 15 zwischen der Quelle 11 und der Verarbeitungseinheit 10 ermöglicht.
  • Die Vergleichseinrichtungen haben die Aufgabe, die von den verschiedenen Sensoren 12, 13 und 14 stammenden Parameter regelmäßig zu inspizieren und mit verschiedenen Bezugswerten ref1, ref2 und ref3 zu vergleichen.
  • Die Komparatoren 15, 16 und 17 sind zum Beispiel Operationsverstärker; die Bezugswerte ref1, ref2 und ref3 sind entweder intern oder von außen oder durch den Mikroprozessor vorgeschrieben.
  • Die Vergleichseinrichtungen können außerdem realisieren:
    • – einerseits eine Detektion eines niedrigen Energiepegel (erster Schwellenwert), um einen Alarm für einen Wartungseingriff auszulösen. Falls die Energiequelle eine wieder aufladbare Batterie ist, geht es darum, den Ladungspegel zu detektieren, unter dem ein Wiederaufladungs-Mahnungssignal gesendet werden muss,
    • – andererseits eine Detektion eines kritischen Energiepegels (zweiter Schwellenwert), um einen Alarm auszulösen und eventuell den Schutz anzuwenden. Die unter diesem zweiten Schwellenwert verbleibende Energie reicht gerade noch aus, um den Schutz zu aktivieren, wobei es darum geht, ihn auszulösen, um die Sicherheit zu garantieren.
  • Diese verschiedenen Elemente können eine sogenannte Schutzzone bilden, bei der unterstellt wird, dass sie durch eine unteilbare bzw. unzerstörbare (unsécable) Montage gebildet wird. Die Verbindungen zwischen den verschiedenen Funktionen (Chip, Energiequelle, Sensoren) sind dann permanent funktionsfähig (valid) und können nicht Gegenstand eines Angriffs oder einer Modifikation sein. Aber es ist auch möglich:
    • – entweder die Abschaltung eines Sensors 12, 13 oder 14 zu detektieren, indem man verifiziert, dass die direkte Messung falsch ist, oder indem Eicheinrichtungen realisiert,
    • – oder die Abschaltung der Energiequelle 11 zu beheben bzw. wettzumachen, indem man die Energie auf andere Weise überträgt, zumindest momentan.
  • Die Aufgabe der Schutzschaltung 20 besteht darin, alle vertraulichen Informationen zu schützen. Sie wendet im Falle eines Intrusionsangriffs eine aktive Gegenmaßnahme an. Diese Gegenmaßnahme zielt darauf ab, diejenigen elektronischen Blöcke teilweise oder ganz zu zerstören, die die sensiblen Funktionen der Schaltung 9 anwenden. Die Energiequelle 11, die sich in der elektronischen Schaltung 9 befindet, gewährleistet also eine kontinuierliche aktive Überwachung und die gesicherte Auslösung der Gegenmaßnahmen.
  • Diese Zerstörung wird sichergestellt durch eine Mikroexplosion, welche die zu schützende(n) Funktion(en) zerstäubt. Es handelt sich also um mindestens eine Mikroladung, ausgelöst durch eine im Chip gespeicherte Energie, zum Beispiel in einer Mikrobatterie. Nach einer solchen Zerstörung ist ein "Reverse engineering"-Angriff nicht mehr möglich.
  • Diese Mikroladung kann global oder lokal sein. Im ersten Fall ist die gesamte Schaltung 9 mit einer pyrotechnischen Mikroladung bedeckt, so dass bei einer Explosion die ganze Schaltung zerstört wird. Im zweiten Fall sind die Mikroladungen in verschiedenen sensiblen Punkten lokalisiert, wie dargestellt in der 2.
  • In dieser 2 sind eine Mikroladung 30 und ein Zünder (elektrische Zündung) 31 verschiedenen Elementen der erfindungsgemäßen Schaltung zugeordnet, nämlich:
    • – den Eingangs-Ausgangskontakten 32,
    • – der Sicherheitslogik 33,
    • – dem Schlüsselspeicher 34,
    • – dem Verschlüsselungsprozessor,
    • – den Antiintrusions-Sensoren 36.
  • In dieser 2 sind auch ein Spurenspeicher (mémoire de trace) 37, eine Mikroenergiequelle 38 und das Zündungssignal 39 dargestellt.
  • In diesem zweiten Fall erfolgt die Auslösung der Zünder 31 entweder durch ein elektrisches Signal oder durch eine integrierte Mikrozündschnur, welche die verschiedenen pyrotechnischen Mikroladungen 30 verbindet.
  • In der 3 sind verschiedene Typen von Mikroladung/Zünder-Sätzen 30/31 dargestellt.
  • Verschiedene Ausführungsbeispiele
  • Die Aufbringung der pyrotechnischen Materialien erfolgt im Wesentlichen durch Siebdruck oder Tropfen für Tropfen. Man kann die Mikroladungen 30 und die Zünder 31 potentiell in mehreren Niveaus des der erfindungsgemäßen Schaltung 9 entsprechenden Chips realisieren. In der Folge werden die verschiedenen Ausführungsmöglichkeiten beschrieben.
  • a) Sogenannte "above IC"-Ausführung
  • Das pyrotechnische Material wird auf der Schaltung abgeschieden und es ist zum Beispiel die Temperaturerhöhung, die die Schaltung zerstört.
  • b) Sogenannte "inside IC"-Ausführung
  • Bei einer ersten Variante befinden sich die pyrotechnischen Mikroladungen 30 und Zünder 31 in dem Substrat 40, wie dargestellt in der 4; die beiden anderen dargestellten Schichten sind das Dotiemiveau 41 und das Metallniveau 42. Man kann dann auf der Rückseite vorhandene Mikrohohlräume 43 benutzen, um die Mikroladungen 30 und die Zünder 31 zu platzieren oder um die mechanische Kraft im Moment der Explosion in einem genauen Punkt zu konzentrieren. Die 5 zeigt dann ein Ausführungsbeispiel der erfindungsgemäßen Vorrichtung mit zu schützenden Zonen 50 und einem Mikrohohlraum 43, der durch einen Kanal mit zwei anderen Mikrohohlräumen 44 verbunden ist. Die kleinen vordefinierten Flächen 52 und 53 dieser Mikrohohlräume 44 ermöglichen, die mechanische Kraft im Moment der Explosion in Richtung dieser Zonen 50 zu konzentrieren. So erhält man ein großes
    Figure 00080001
  • Bei einer zweiten Variante befinden sich die pyrotechnischen Mikroladungen 30 und die Zünder 31 auf dem Niveau der Transistoren in der Schicht 41, wie dargestellt in der 6.
  • Bei einer dritten Variante befinden sich die pyrotechnischen Mikroladungen 30 und die Zünder 31 in dem Niveau 42 der Metallschichten, wie dargestellt in der 7.
  • c) Sogenannte Mikrosicherungs- bzw. Mikroschmelzsicherungsausführung
  • Bei diesem Ausführungsbeispiel sind Mikrosicherungs- beziehungsweise Mikroschmelzsicherungsfunktionen integriert. Ein Beispiel einer pyrotechnischen Mikrosicherung bzw. Mikroschmelzsicherung 45 ist in der 8 dargestellt, wobei die beiden dargestellten Schichten das Metallniveau 42 und das Substrat 40 sind.
  • d) Sogenannte "outside IC"-Ausführung
  • Im Falle einer in klassischer Technik realisierten Schaltung 9 und um das Herstellungsverfahren der genannten Schaltung nicht modifizieren zu müssen, kann man vorsehen, die explosive Ladung 30, 31 außerhalb anzuordnen und fernzuzünden, zum Beispiel durch eine kontaktlose Einrichtung mittels induktiver Kopplung. In diesem Fall, wie dargestellt in der 9, wird die explosive Ladung durch eine Mikroladung 30 und einen Zünder 31 gebildet, verbunden mit einer Resonanzschaltung, die u.a. aus einer Mikrospule 47 besteht. Eine in der Schicht 42 befindliche Mikrospule von äquivalenter Größe, realisiert mit der oder den letzten Metallschichten, ermöglicht eine Auslösung der Zündung.
  • Wie in der 10 als Draufsicht dargestellt, kann man dann in die pyrotechnische Mikroladung 30 eine Resonanzschaltung integrieren, die gebildet wird durch die Mikrospule 47, einen Abstimmungskondensator 48 und einen Heizwiderstand 49 zur Auslösung des Zünders 31.
  • REFERENZEN
    • [1] "Design principles für tamper-resistent smartcard processors" von Oliver Kömmerling und Markus G. Kuhn (Proceedings of the USENIX Workshop on smartcard technology, Chicago, Illinois, USA, 10.-11. Mai 1999, Seiten 1 bis 12)
    • [2] "Tamper resistance-a cautionary note" von Ross Anderson und Markus Kuhn (Second USENIX Workshop on Electronic Commerce Proceedings, Oakland, California, 18.-21-November 1996, Seiten 1 bis 11).

Claims (19)

  1. Gesicherte elektronische Vorrichtung mit wenigstens einer zu schützende Daten enthaltenden elektronischen Schaltung, umfassend: – eine Energiequelle (11), – wenigstens einen Sensor (12, 13, 14), fähig eine bestimmte physikalische Größe zu messen und einen repräsentativen Wert dieser Größe zu liefern, – Einrichtungen (15, 16, 17) zum Vergleichen jedes Werts mit wenigstens einer vorher definierten Schwelle (ref1, ref2, ref3), die Resultat-Signale liefern, – eine Vorrichtung (20) zum Schutz der Daten, Einrichtungen zur Zerstörungssteuerung wenigstens eines Teils der Schaltung umfassend, – eine logische Vorrichtung (21) zur Intrusionsdetektion, fähig bei Resultat-Signalen die Schutzeinrichtung zu aktivieren, dadurch gekennzeichnet, dass die Schutzeinrichtung Zündungseinrichtungen (31) umfasst, die ermöglichen, mit Hilfe der in der Energiequelle permanent gespeicherten elektrischen Energie eine lokale oder globale pyrotechnische Mikroladung (30) zu zünden.
  2. Vorrichtung nach Anspruch 1, bei der die Zündungseinrichtungen einen elektrischen Zünder (31) oder eine Zündschnur bzw. ein ihr entsprechendes Mittel umfassen.
  3. Vorrichtung nach Anspruch 2, die ganz von einer pyrotechnischen Mikroladung bedeckt ist.
  4. Vorrichtung nach Anspruch 2, bei der wenigstens eine Mikroladung (30) und wenigstens ein Zünder (31) wenigstens einem Element der Schaltung zugeordnet sind.
  5. Vorrichtung nach Anspruch 2, bei der die Schaltung einen Chip bildet, bei dem die Mikroladungen (30) und Zünder (31) sich im Substrat dieses Chips befinden.
  6. Vorrichtung nach Anspruch 5, bei dem die Mikroladungen (30) und Zünder (31) sich in Mikrohohlräumen auf der Rückseite des Substrats befinden.
  7. Vorrichtung nach Anspruch 2, bei der die Schaltung einen Chip bildet, bei dem die Mikroladungen (30) und Zünder (31) sich in der Implantationsschicht der Transistoren befinden.
  8. Vorrichtung nach Anspruch 2, bei der die Schaltung einen Chip bildet, bei dem die Mikroladungen (30) und Zünder (31) sich in einer Metallschicht von diesem befinden.
  9. Vorrichtung nach Anspruch 2, bei dem wenigstens eine aus Mikroladung (30) und Zünder (31) bestehende Einheit einer Mikrosicherung (45) zugeordnet ist.
  10. Vorrichtung nach Anspruch 2 mit wenigstens einer Mikrospule (46), distanzgekoppelt mit einer Mikrospule (47) eines in eine Mikroladung (30) integrierten Resonanzkreises.
  11. Vorrichtung nach Anspruch 1, bei der die Energiequelle (11) in die elektronischen Schaltung integriert ist.
  12. Vorrichtung nach Anspruch 1, bei der die Energiequelle (11) ein Akkumulator ist.
  13. Vorrichtung nach Anspruch 1, bei der wenigstens ein Sensor in die elektronische Schaltung integriert ist.
  14. Vorrichtung nach Anspruch 1, bei der die gesamte Vorrichtung in die elektronische Schaltung integriert ist.
  15. Vorrichtung nach Anspruch 1, bei der wenigstens ein Sensor (12, 13, 14) fähig ist, eine physikalische Größe zu messen, die die Schaltung oder die Umgebung der Schaltung charakterisiert.
  16. Vorrichtung nach Anspruch 1, bei der wenigstens ein Sensor (12, 13, 14) fähig ist, eine physikalische Größe zu messen, die die Eingangs- und Ausgangskommunikation der Vorrichtung charakterisiert.
  17. Vorrichtung nach Anspruch 1, bei der wenigstens ein Sensor (12, 13, 14) fähig ist, den Energiepegel der Energiequelle zu messen, um ein Signal zur Mitteilung von Aufladungsbedarf oder zur Aktivierung der Schutzvorrichtung auszusenden.
  18. Vorrichtung nach Anspruch 1, bei der wenigstens ein Sensor (12, 13, 14) fähig ist, eine physikalische Größe zu messen, die die elektrische Verbindung zwischen der Energiequelle (11) und der logischen Entscheidungsvorrichtung charakterisiert.
  19. Nutzanwendung der Vorrichtung nach einem der vorangehenden Ansprüche in einer Chipkarte.
DE60309304T 2002-03-13 2003-03-11 Gesicherte elektronische vorrichtung Expired - Lifetime DE60309304T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0203102A FR2837304B1 (fr) 2002-03-13 2002-03-13 Dispositif electronique securise
PCT/FR2003/000778 WO2003077194A2 (fr) 2002-03-13 2003-03-11 Dispositif electronique securise
FR0303102 2003-03-13

Publications (2)

Publication Number Publication Date
DE60309304D1 DE60309304D1 (de) 2006-12-07
DE60309304T2 true DE60309304T2 (de) 2007-05-10

Family

ID=27772073

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60309304T Expired - Lifetime DE60309304T2 (de) 2002-03-13 2003-03-11 Gesicherte elektronische vorrichtung

Country Status (7)

Country Link
US (1) US6926204B2 (de)
EP (1) EP1493126B1 (de)
JP (1) JP2005532609A (de)
AT (1) ATE343824T1 (de)
DE (1) DE60309304T2 (de)
FR (1) FR2837304B1 (de)
WO (1) WO2003077194A2 (de)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2003231894A1 (en) * 2002-06-04 2003-12-19 Nds Limited Prevention of tampering in electronic devices
JP2005327104A (ja) * 2004-05-14 2005-11-24 Oki Electric Ind Co Ltd 非接触データキャリア、質問器、非接触データキャリアシステム、非接触データキャリアのデータ取得方法、及び、非接触データキャリアのデータ取得用プログラム
US7896988B2 (en) * 2007-06-15 2011-03-01 Spectre Enterprises, Inc. Charge system for destroying chips on a circuit board and method for destroying chips on a circuit board
US9704817B2 (en) * 2007-09-06 2017-07-11 Qortek, Inc. Integrated laser auto-destruct system for electronic components
AU2011281245B2 (en) 2010-07-18 2014-05-08 Graeme John Freedman Anti-tamper device for integrated circuits
US9323958B2 (en) * 2013-07-22 2016-04-26 Enterprise Sciences, Inc. Method and apparatus for prevention of tampering and unauthorized use, and unauthorized extraction of information from secured devices
US9842812B2 (en) 2014-03-24 2017-12-12 Honeywell International Inc. Self-destructing chip
EP3186585B1 (de) * 2014-08-26 2020-04-22 Pahmet LLC System und verfahren zur autonomen oder ferngesteuerten zerstörung von gespeicherter information oder komponenten
US9431354B2 (en) 2014-11-06 2016-08-30 International Business Machines Corporation Activating reactions in integrated circuits through electrical discharge
US9859227B1 (en) 2016-06-30 2018-01-02 International Business Machines Corporation Damaging integrated circuit components
US10026579B2 (en) * 2016-07-26 2018-07-17 Palo Alto Research Center Incorporated Self-limiting electrical triggering for initiating fracture of frangible glass
US10969205B2 (en) * 2019-05-03 2021-04-06 Palo Alto Research Center Incorporated Electrically-activated pressure vessels for fracturing frangible structures
US11904986B2 (en) 2020-12-21 2024-02-20 Xerox Corporation Mechanical triggers and triggering methods for self-destructing frangible structures and sealed vessels
US12013043B2 (en) 2020-12-21 2024-06-18 Xerox Corporation Triggerable mechanisms and fragment containment arrangements for self-destructing frangible structures and sealed vessels

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3725671A (en) * 1970-11-02 1973-04-03 Us Navy Pyrotechnic eradication of microcircuits
US3882323A (en) * 1973-12-17 1975-05-06 Us Navy Method and apparatus for protecting sensitive information contained in thin-film microelectonic circuitry
US4926480A (en) * 1983-08-22 1990-05-15 David Chaum Card-computer moderated systems
US5319301A (en) * 1984-08-15 1994-06-07 Michael Callahan Inductorless controlled transition and other light dimmers
US5629607A (en) * 1984-08-15 1997-05-13 Callahan; Michael Initializing controlled transition light dimmers
DE3920957A1 (de) * 1989-06-27 1991-01-10 Bodenseewerk Geraetetech Verwendung einer piezoelektrischen folie
FR2649817B1 (fr) * 1989-07-13 1993-12-24 Gemplus Card International Carte a microcircuit protegee contre l'intrusion
US5220250A (en) * 1989-12-11 1993-06-15 North American Philips Corp. Fluorescent lamp lighting arrangement for "smart" buildings
EP0513405A1 (de) * 1991-05-11 1992-11-19 Intermacom A.G. Verfahren und Vorrichtung zur Stromunterbrechung in elektrisch betriebenen Geräten und -Ausrüstungen
US5585787A (en) * 1991-12-09 1996-12-17 Wallerstein; Robert S. Programmable credit card
US5412192A (en) * 1993-07-20 1995-05-02 American Express Company Radio frequency activated charge card
US5397881A (en) * 1993-11-22 1995-03-14 Mannik; Kallis H. Third millenium credit card with magnetically onto it written multiple validity dates, from which is one single day as the credit card's validity day selected day after day by the legitimate card owner
JPH08115267A (ja) * 1994-10-19 1996-05-07 Tech Res & Dev Inst Of Japan Def Agency 情報秘匿機構
JPH08136628A (ja) * 1994-11-11 1996-05-31 Fujitsu Ltd 電池容量監視装置
US5883429A (en) * 1995-04-25 1999-03-16 Siemens Aktiengesellschaft Chip cover
US5850450A (en) * 1995-07-20 1998-12-15 Dallas Semiconductor Corporation Method and apparatus for encryption key creation
FR2747245B1 (fr) * 1996-04-04 1998-05-15 Gec Alsthom T & D Sa Systeme de protection d'un transformateur de distribution triphase a isolation dans un dielectrique liquide
JP3440763B2 (ja) * 1996-10-25 2003-08-25 富士ゼロックス株式会社 暗号化装置、復号装置、機密データ処理装置、及び情報処理装置
JPH10222426A (ja) * 1997-02-04 1998-08-21 Yokogawa Denshi Kiki Kk 電子情報の保護装置
DE19947574A1 (de) * 1999-10-01 2001-04-12 Giesecke & Devrient Gmbh Verfahren zur Sicherung eines Datenspeichers
FR2805116A1 (fr) * 2000-02-16 2001-08-17 Frederic Francois Margerard Dispositif pour detruire a distance un telephone portable a partir d'un telephone quelconque
JP3641182B2 (ja) * 2000-03-14 2005-04-20 日本電信電話株式会社 自己破壊型半導体装置

Also Published As

Publication number Publication date
WO2003077194A3 (fr) 2004-03-11
ATE343824T1 (de) 2006-11-15
US6926204B2 (en) 2005-08-09
FR2837304A1 (fr) 2003-09-19
US20040134993A1 (en) 2004-07-15
FR2837304B1 (fr) 2004-05-28
EP1493126B1 (de) 2006-10-25
EP1493126A2 (de) 2005-01-05
DE60309304D1 (de) 2006-12-07
JP2005532609A (ja) 2005-10-27
WO2003077194A2 (fr) 2003-09-18

Similar Documents

Publication Publication Date Title
DE60309304T2 (de) Gesicherte elektronische vorrichtung
DE3041109C2 (de)
DE10305587B4 (de) Integrierte Sicherheitshalbleiterschaltung und Halbleiterschaltungskarte und zugehöriges Überwachungsverfahren
EP0151714B1 (de) Vorrichtung zur Sicherung geheimer Informationen
DE3889017T2 (de) Datenkartenschaltungen.
EP3259793B1 (de) Batteriezelle für eine batterie eines kraftfahrzeugs, batterie, kraftfahrzeug und verfahren zum betreiben einer batteriezelle
EP1761964B1 (de) Chip mit versorgungseinrichtung
DE69715282T2 (de) Schutzanordnung für ein Halbleiterplättchen
DE60008544T9 (de) Gegen angriffe über den strom geschützter mikrokontroller
WO1989004022A1 (en) Process for verifying the authenticity of a data medium with integrated circuit
DE60312704T2 (de) Elektronische Datenverarbeitungseinrichtung
DE102005056940B4 (de) Vorrichtung und Verfahren zum nicht-flüchtigen Speichern eines Statuswertes
EP2019996A1 (de) Sensor mit einer schaltungs anordnung
DE60318481T2 (de) Elektronische gesicherte einrichtung mit verwaltung der lebensdauer eines objekts
EP1368834A2 (de) Schaltung für fib-sensor
DE10326089B3 (de) Manipulationsüberwachung für eine Schaltung
DE102010022514B4 (de) Verfahren und Vorrichtung zum Zerstören eines Halbleiterchips eines tragbaren Datenträgers
DE60223703T2 (de) Authentisierungsprotokoll mit speicherintegritaetsverifikation
WO2004036649A1 (de) Chip mit angriffsschutz
DE60114007T2 (de) Verwendungserkennungsschaltung
DE19809574A1 (de) Verfahren zur Sicherung der Nämlichkeit von Objekten sowie Vorrichtung zur Durchführung des Verfahrens
DE10065339B4 (de) Kapazitiver Sensor als Schutzvorrichtung gegen Angriffe auf einen Sicherheitschip
EP2428918B1 (de) Portabler Datenträger
DE10360998B4 (de) Schutz von Chips gegen Attacken
WO2018172037A1 (de) Sensoreinrichtung und überwachungsverfahren

Legal Events

Date Code Title Description
8364 No opposition during term of opposition