EP2847707A1 - Verwenden einer (digitalen) puf zum realisieren einer physikalischen degradations-/tampererkennung eines digitalen ics - Google Patents

Verwenden einer (digitalen) puf zum realisieren einer physikalischen degradations-/tampererkennung eines digitalen ics

Info

Publication number
EP2847707A1
EP2847707A1 EP13729639.8A EP13729639A EP2847707A1 EP 2847707 A1 EP2847707 A1 EP 2847707A1 EP 13729639 A EP13729639 A EP 13729639A EP 2847707 A1 EP2847707 A1 EP 2847707A1
Authority
EP
European Patent Office
Prior art keywords
integrated circuit
degradation
puf
test unit
vorange
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP13729639.8A
Other languages
English (en)
French (fr)
Inventor
Rainer Falk
Andreas Mucha
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP2847707A1 publication Critical patent/EP2847707A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/2851Testing of integrated circuits [IC]
    • G01R31/2855Environmental, reliability or burn-in testing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K19/00Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits
    • H03K19/003Modifications for increasing the reliability for protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry

Definitions

  • the present invention relates to the technical Ge ⁇ area of the physical Degradations- / Tampererkennung an integrated circuit (IC). definitions:
  • Condition monitoring or condition monitoring of a machine is used to measure the machine condition by sensors (vibrations, temperatures, position / approximation, etc.). This allows for demand-oriented maintenance (predictive maintenance) or a safety switch-off takes place (see eg htt: // en.wikipedia.org/wiki/Condition- Monitoring).
  • Structural Health Monitoring is used to determine, for example, the mechanical stability of wind turbines or structures, cf.
  • a Physical Unclonable Function is also referred to as a Physically Unclonable Function, as a hardware one-way function, or as a hardware fingerprint function or device fingerprint function. Physical Unclonable Functions are known to identify objects reli ⁇ casual basis of their intrinsic, per copy or per type individual physical characteristics. A physical property of an object (such as a semiconductor IC) is used here as an individual "fingers gerabtik”.
  • PUF Physical unclonable functions
  • Special PUFs e.g. ICs can be deposited on the IC (Coating PUF, Optical PUF) to create a layer above the IC that prevents access to internal (underlying) structures and is destroyed when removed.
  • This has the disadvantage that special manufacturing processes are needed. Also, attacks that do not damage the protective layer may not be detected (e.g., those from the opposite side or from the side).
  • the PUF raw data (response) must i.A. may be post-processed to compensate for statistical variations in the PUF response (e.g., by forward error correction or by feature extraction, as in conventional fingerprint authentication).
  • PUFs are also applicable when a block does not have memory to permanently a cryptographic key to spei ⁇ manuals (this requires either special manufacturing processes, eg for flash memory, or a battery backup for SRAM memory cells).
  • deakti ⁇ four (fail silent) or at least certain functionality, or inform service personnel by an alarm indication or warning.
  • log data may optionally be written to an error log, or it can critical data such as sensitive program code configura ⁇ tion parameters or cryptographic keys Erased ⁇ .
  • a self-test of the crypto-methods must be carried out before use.
  • Components are generally subject to an aging process, which causes a failure ⁇ who can. This also applies to integrated circuits (IC), eg memory chips, ASICs, FPGAs, system on chips (SoC), CPUs, etc.
  • Integrated circuits are also called integrated circuits, or ICs for integrated circuits Requirements for reliability and service life.
  • an integrated circuit comprises an integrity sensor and a test unit.
  • the integrity sensor is based on a physical unclonable function.
  • the integrity sensor is designed to receive a challenge signal and to send a response signal generated with the aid of the physical unclonable function to the test unit on the basis of the charge signal.
  • the test unit is designed to receive the response signal and to use the response signal to determine information about a degradation of the integrated circuit. According to a preferred embodiment, the test unit is configured to send the challenge signal to the integrity sensor.
  • the integrated circuit comprises a separate signal generation unit which forms ⁇ out to generate the challenge signal and to send to both the integrity of the sensor as well as the test unit.
  • the test unit is designed to distinguish on the basis of the time course of the degradation information whether a determined degradation of the integrated circuit is due to a physical Manipu ⁇ lation or an aging process.
  • the test unit is preferably designed to store a history of determined information on the degradation of the integrated circuit and to distinguish abrupt ⁇ nde ⁇ approximations in the history of continuous changes. Sudden changes are attributed to damage or tampering while con- tinuous changes to a degradation attributed to ⁇ .
  • the integrated circuit comprises a plurality of integrity sensors, which are distributed in front ⁇ preferably on the surface of the integrated circuit. This on the one hand the security increases from tampering, as increases the risk of damage or physical change of integrity sensors themselves for a vorsichti ⁇ gen attacker.
  • the test unit is designed to compare response signals from different Integri ⁇ tuschssensoren and / or to distinguish a strong correlation of the response signals of a weak correlation.
  • the partial information can be compared.
  • the degradation of different integrity sensors should be similar; they differ more in physical manipulation.
  • an IC integrity sensor on a digital IC based on intrinsic semiconductor properties.
  • a realized on the IC PUF is verified by the IC itself.
  • the PUF sensor ICs is a ver ⁇ uses to determine information about the degradation of ICs (eg, due to aging, thermal stress, radiation exposure, damage, deliberate manipulation / tampering). If sufficient degradation is expected with a failure or a manipulation of the IC or the Likelihood of equipment failure increases.
  • the same technical measure in the form of a PUF integrity sensor with associated evaluation device can be used with different objectives, the detection of aging processes as well as the detection of physical manipulations.
  • the PUF is a ⁇ to more complete input / output behavior as the new, undamaged IC. A degradation or manipulation of the IC is thus recognizable.
  • the information about the degradation by the integrated circuit can be used differently:
  • Activate a restricted operating mode eg reduced clock frequency, reduced functionality, adaption voltage regulation, eg raising the minimum voltage level
  • the IC provides corresponding information externally be ⁇ riding, so that an IC external clock generation or clamping ⁇ voltage monitoring can respond.
  • the information will be provided about ⁇ riding a diagnostic interface, for example, imagine ⁇ via a data communication interface. This information can be written, for example, in an internal error memory, which is readable via a diagnostic interface.
  • a device monitoring eg, remote condition monitoring
  • the PUF integrity sensor verifies the physical Un ⁇ infirmity of the digital chip and the digital logic. If the chip is physically manipulated, the PUF behavior changes. For testing, a PUF is authenticated, ie charged with challenge values. Based on the response values, a change can be detected by comparison with stored reference data. If a physical manipulation has been carried out, for example contacting by means of test probes, or manipulations were carried out on the chip structure (eg bridging or severing of lines), then the PUF behavior changes. Here, the PUF is not used to authenticate the IC to an outsider or to derive a cryptographic key.
  • a digitally implemented PUF eg a delay PUF / Arbiter PUF, SRAM PUF, Ring Oscillator PUF, Bistable Ring PUF, Flip Flop PUF, Glitch PUF, Cellular Non-linear Network PUF, or Butterfly PUF is used to an on-chip tamper sensor to realize.
  • the PUF is manufactured in the regular semiconductor structure in the production technology intended for this purpose, in contrast to coating -PUFs is therefore not a special manufacturing process or a separate production step necessary.
  • Unlike analo ⁇ gen sensors described PUF sensor can be implemented in regular digital production methods of the other ICs.
  • the PUF sensor is checked by the digital logic of the IC itself.
  • the review at the start (after a re- set), when activating a certain functionality (eg Encryption Engine), to an external trigger signal, or repeatedly during operation (built-in test seif) SUC ⁇ gen.
  • a certain functionality eg Encryption Engine
  • a plurality of PUF tamper sensors are arranged distributed on the chip surface. They can be placed according to different design criteria: they can be placed according to a regular structure, eg a grid structure, in the vicinity of critical areas (eg in the chip areas, how cryptographic parameters are stored or cryptographic operations are performed), or in case of curity fuses (eg for deactivating a JTAG interface). In a variant randomized Posi ⁇ tions are determined. For example, with programmable logic devices (FPGA), the test positions per chip or per batch can be selected differently. In an ASIC with multiple ICs on a wafer, different positions of the ICs present on a wafer can also be realized.
  • FPGA programmable logic devices
  • a plurality of PUF sensors can be realized in different layers of the chip.
  • the realization of a PUF sensor can comprise several layers.
  • the IC is reconfigurable or has reconfigurable components.
  • a tamper sensor PUF can also use regular components, in particular data paths (data bus, address bus).
  • the chip is then ⁇ configured to in a verification mode, in which individual system components are connected as a PUF or be interconnected with a PUF so that they influence the PUF output behavior.
  • the IC or its reconfigurable components are configured according to an operating configuration. This has the advantage that a particularly high level of protection of the components connected to the PUF is achieved.
  • a security fuse is integrated by a PUF rea ⁇ larra or in a PUF.
  • a Security Fuse can be burned, for example, only to be able to test the IC during production (eg JTAG Interface) or to prevent read-out of stored data.
  • Today's security fuses are burned so they are physically destroyed. However, they have a relatively large physical structure and therefore may be bridged with an open IC who ⁇ . If a security fuse is now integrated into a PUF calculation or into the realization of a PUF, the PUF structure is destroyed (eg melted) during a firing process, or at least modified. Subsequent manipulation, eg by bridging, does not give the original PUF behavior. As a result, the physical immunity of a security fuse can be verified tamper-proof within an IC.
  • Verification cables are relocated. These are modified with a certain probability during a physical manipulation of the signal lines, so that, for example, a con- Clocking the signal lines is recognizable. This is then a review during regular use possible.
  • PUF sensors for detecting a manipulation of the digital chip are easy to manufacture and can be implemented, for example, as a design IP as a building block of a design library, even with programmable logic devices (FPGA, ASIC). There are no special mixed-signal design and manufacturing information model.
  • FIG. 1 shows an integrated circuit according to an embodiment of the invention
  • FIG. 2 shows an integrated circuit according to an embodiment of the invention
  • FIG. 3 shows the course of the process for a challenge-response method
  • FIG. 4 shows a method, which represents the sequence of a test of an IC, for an embodiment of the invention
  • FIG. 5 shows a further variant of the invention in which DegVer and DegPUF are implemented internally in the IC.
  • FIG. 1 shows an embodiment of the invention, namely an integrated circuit 1, also referred to below as an IC, chip or semiconductor, eg an FPGA or an ASIC, with a test unit 3, also referred to below as TVU or Tamper Verification Unit.
  • a test unit 3 also referred to below as TVU or Tamper Verification Unit.
  • contacts 2 also referred to below as pins or interfaces, are indicated, with which the integrated circuit 1 designed as a component, for example, can be soldered onto a printed circuit board.
  • the TVU 3 tampering a tampering of the ICs 1 by evaluating an Integ ⁇ ritysensors 4, hereinafter also called PUF-based tamper sensor, PUF tamper sensor, or called PTS.
  • an enable signal E is provided.
  • a "Main Function” Block 5 to unlock functionality of the IC 1 or block.
  • This particular functionality or ge ⁇ entire IC 1 can be disabled, for example, in a variant eini ⁇ ge or all.
  • the external interfaces 2 of the IC 1 are switched to a "fail safe state".
  • a SafeForUse signal is provided by the IC 1 in order to provide a fail-safe signal to further external components in the case of a manipulated chip 1 or, in the case of a negative self-test.
  • the integrated circuit 1 comprises the integrity sensor 4 and the test unit 3.
  • the integrity sensor 4 is based on a physical unclonable function 24.
  • the test unit 3 is designed to send a challenge signal C to the integrity sensor 4 and to the integrity detector 4 on the basis of this Function 24 generated and sent by the integrity sensor 4 to the test unit 3 response signal R to determine a In ⁇ formation via a degradation of the integrated circuit IC.
  • the test unit 3 is designed to use the information ei ⁇ ne further information to determine the aging caused by degradation of the integrated circuit 1.
  • the test unit 3 is designed also to determine physical damage or manipulation of the integrated circuit 1 on the basis of Informa ⁇ tion about the degradation.
  • the test unit 3 is designed to distinguish whether a determined degradation of the integrated circuit 1 is due to a physical manipulation or an aging process. According to a preferred variant, the test unit is designed to this distinction based on the time course of the information about the degradation make.
  • the test unit comprises a memory element 9 in which a history of determined information about the degradation of the integrated circuit 1 can be stored.
  • the test unit is designed to distinguish sudden changes in the history of slowly progressive changes and to attribute sudden changes to damage and to attribute slowly progressive changes to degradation.
  • the integrated circuit 9 in which a history of determined information about the degradation of the integrated circuit 1 can be stored.
  • the test unit is designed to distinguish sudden changes in the history of slowly progressive changes and to attribute sudden changes to damage and to attribute slowly progressive changes to degradation.
  • the integrated circuit According to the preferred embodiment, the integrated circuit
  • Circuit 1 digital, in particular a Field Programmable Gate Array (FPGA) or an application-specific integrated circuit (ASIC).
  • FPGA Field Programmable Gate Array
  • ASIC application-specific integrated circuit
  • the Physical Unclonable Func ⁇ tion 24 is realized digitally.
  • FIG. 2 shows an embodiment of an integrated circuit 11, also referred to below as IC, chip or semiconductor, in which a plurality of integrity sensors 4, also referred to below as PUF tamper sensors or PTS, are provided on the IC 11.
  • the integrity sensors 4 may be placed irregularly (as in the illustrated example) or regularly (e.g., in a grid array).
  • the test unit TVU and the main function block are not shown in the figure.
  • the integrated circuit 11 comprises a plurality of integrity sensors 4, which are preferably arranged distributed on the surface of the integrated Druckkrei ⁇ ses 11.
  • the test unit 3 is ⁇ forms to compare response signals R of different integrity ⁇ sensors 4 and / or differ a strong correlation of the response signals of R a weak correlation to un-.
  • the integrated circuit 1, 11 is reconfigurable and / or comprises reconfigurable components.
  • the integrity sensors 4 comprise regular components of a main function 5 of the integrated circuit 1, 11, such as data paths or clock paths.
  • the physical unclonable function 24 preferably comprises at least one security fuse.
  • the physical unclonable function comprises lines which run parallel or close to signal lines, in particular data paths or clock paths, which are not encompassed by the physical unclonable function.
  • the degradation of the integrated circuit IC by the integrity sensor 4 can be determined by the response signal R is compared with a reference response.
  • 11 is removable ⁇ det, in the case of a detected degradation exceeding a threshold value, perform at least one of the following measures:
  • Disable (permanently or temporarily) a partial functionality affected (more integrity sensors via Chipflä ⁇ che distributed; it may be the affected area determined advertising the; it then has only the functionality of the affected Be ⁇ Empire deactivated)
  • Activate a restricted mode of operation e.g., reduced clock frequency, reduced functionality, adjustment of voltage regulation, e.g., raising the minimum voltage level
  • a PTS 4 may, in a variant, be implemented "spatially" on the IC 10.
  • the delay lines may sweep long distances of the IC.
  • a PTS is a circuit for measuring the capacitance or impedance of individual signal connections (data / address paths) on the chip, either individually relative to the chip mass or between selected pairs of lines.
  • a differential measurement may be performed in which the measured values Various ⁇ ner lines or line pairs are compared with each other. The lines to be compared are determined by the challenge value sent to the PUF.
  • a concrete circuit implementation of the impedance measurement can be provided by an oscillator (ring oscillator, relaxation oscillator), the frequency of which is influenced by the line capacitance, and a downstream counter.
  • the TVU can also be present several times on the IC.
  • a TVU makes more sense, in each case in the vicinity of a sensitive circuit blocks ⁇ (eg cryptographic function key store), or even interleaved or intertwined so placed ⁇ the wherein the circuit block, a dedicated local Enable signal received by the TVU. Since, in general, several ⁇ re sensitive circuit blocks for the function of Intelsys ⁇ tems are necessary, the difficulty of progressivelyrei ⁇ chen attack is further increased.
  • eg cryptographic function key store
  • Figure 3 shows on a challenge-response method the flow of communication between TVU 3 and PTS 4.
  • the TVU 3 selected in the step 6, a Challenge signal C, respectively ei ⁇ NEN Challenge value and sends it, respectively, the same to the PTS. 4 the PTS 4 supplies to the gesende ⁇ te by the TVU 3 challenge signal C, respectively, the gesende by the TVU ⁇ th challenge value, a response signal R, respectively, a response value.
  • the response value respectively Res ⁇ ponse signal R is determined in the PTS 4 in step 7 by a PUF.
  • the provided response R is checked by the TVU 3 in method step 8.
  • conventional methods can be used, eg a similarity comparison with stored reference values. If successful, the TVU 3 provides an enable signal E. It can SUC ⁇ gen for several Challenge values a test.
  • Degradation detection Even unintentional manipulations can be detected with a PUF integrity sensor 3 according to the invention, but those which are caused by aging, temperature stress or radiation.
  • FIG. 4 shows a possible sequence of the test:
  • the degradation PUF 24, also referred to below as DegPuf, is to change its behavior in the event of a degradation of the IC.
  • a degradation verification unit 23, also referred to below as DegVer 23, selects a challenge value in method step 26 and sends it in a challenge message C to the Deg-PUF.
  • the DegPUF determines a response value in method step 27 and sends it in a response message R to the DegVer 23, which in method step 28 passes through DegPuf 24 provided response message R, respekti ⁇ ve whose response value checks. For this purpose, it performs a similar ⁇ keits model the obtained response message R to a reference response, respectively, a similarity comparing the obtained response value with a response value by reference. If there is sufficient deviation (measured eg in number of different bits, ie Hamming distance), a degradation is detected. The result can be provided in an output signal A as a Boolean value (true, false).
  • a multi-level confidence value can be provided (eg green, yellow, red, 0..255). Several measurements can be made. Different and / or identical challenge values C can be used.
  • the DegPUF 24 is implemented on the IC to be monitored. The examination (DegVer) or determination of the information about the degradation can take place on the monitored IC itself or outside the monitored IC. DegVer 23 can be implemented in hardware or software. For example, the reference response was initially captured and stored during production or when the IC was being assembled.
  • FIG. 5 shows a variant in which DegVer 23 and DegPUF 24 are implemented internally in the IC.
  • a main function (Main Functi- on) 5 of the IC 21 is a corresponding status signal N be ⁇ riding asked (NoDegeneration).
  • the NoDegen Signal provided externally to a signal pin of the IC.
  • only DegPUF is implemented on an integrated circuit and the interface to DegPUF is externally provided ⁇ provided (for example via I2C, JTAG interface).
  • the functionality DegVer can be realized on another IC or on another computer.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Semiconductor Integrated Circuits (AREA)

Abstract

Um eine Fehlfunktion eines IC zuverlässig zu detektieren umfasst ein integrierter Schaltkreis (IC) einen Integritätssensor (4) und eine Prüfeinheit (3). Der Integritätssensor (4) basiert auf einer Physical Unclonable Function (24). Die Prüfeinheit (3) ist ausgebildet, dem Integritätssensor (4) ein Challenge-Signal (C) zu senden und anhand eines darauf durch die Physical Unclonable Function (24) erzeugten und durch den Integritätssensor (4) an die Prüfeinheit (3) gesendeten Response-Signales (R) eine Information über eine Degradation des integrierten Schaltkreises (IC) zu ermitteln.

Description

Beschreibung
Verwenden einer (digitalen) PUF zum Realisieren einer physikalischen Degradations-/Tampererkennung eines digitalen ICs
Die vorliegende Erfindung bezieht sich auf das technische Ge¬ biet der physikalischen Degradations-/Tampererkennung eines integrierten Schaltkreises (IC). Definitionen:
Begriffe wie z.B. „IC", „Chip", „integrierter Halbleiterbau¬ stein", „Halbleiter-IC", „integrierte Schaltung", „ Digital- IC", „digitaler Chip", und „Halbleiter" werden im Rahmen dieser Anmeldung synonym für den Begriff „integrierter
Schaltkreis" verwendet.
Begriffe wie z.B. „Tamper Verification Unit", „TVU", „Deg- Ver", werden im Rahmen dieser Anmeldung synonym für den Beg- riff „Prüfeinheit" verwendet.
Begriffe wie z.B. „IC-Integritäts-Sensor", „PUF-Sensor" , „Tamper-Sensor" , „On-Chip Tamper Sensor", „PUF-Tamper- Sensor", „PTS" werden im Rahmen dieser Anmeldung synonym für den Begriff „Integritätssensor" verwendet.
Begriffe wie z.B. „PUF", „Degradations PUF", „DegPUF", „Phy- sically Unclonabel Function", „physikalische Einwegfunktion", „Tamper-Sensor-PUF" werden im Rahmen dieser Anmeldung syn- onym für den Begriff „Physical Unclonable Function" verwendet .
Condition Monitoring: Unter Condition-Monitoring bzw. Zustandsüberwachung einer Maschine wird verstanden, durch Sensorik (Schwingungen, Temperaturen, Lage/Näherung etc.) den Maschinenzustand zu messen. Dadurch kann eine bedarfsorientierte Wartung (predictive maintenance) realisiert werden bzw. eine Safety-Abschaltung erfolgen (siehe z.B. htt : //de . wikipedia . org/wiki/Condition- Monitoring ) . Bei statischen Bautei len wird der Begri ff „Structural Health Monitoring" verwendet, um z.B. die mecha- nische Stabilität von Windrädern oder Bauwerken zu ermitteln, vgl
httpi / /de.wikipedia.org/wiki/Structural Health Monitoring . Physical Unclonable Functions (PUF) :
Einen Überblick über Physical Unclonable Functions (PUF) ge¬ ben die Vorlesungsunterlagen „Vorlesung Sicher Mobile Systeme, SS10, C. Eckert, Kapitel 6: RFID & PUFs"
http : //www . sec . in . tum. de/assets/lehre/ssl 0 /sms/sms-kap6-r id- tei!2.pdf) . Eine Physical Unclonable Function wird auch a1 s Physically Unclonable Function, als Hardware-Einwegfunktion, oder als Hardware-Fingerprint-Funktion oder Geräte- Fingerprint-Funktion bezeichnet. Physical Unclonable Functions sind bekannt, um Objekte zuver¬ lässig anhand ihrer intrinsischen, je Exemplar oder auch je Typ individuellen physikalischen Eigenschaften zu identifizieren. Eine physikalische Eigenschaft eines Gegenstandes (z.B. ein Halbleiter-IC) wird dabei als individueller „Fin- gerabdruck" verwendet. Die Authentisierung eines Objekts ba¬ siert darauf, dass abhängig von einem Challenge-Wert durch eine durch physikalische Eigenschaften definierte bzw. para- metrierte PUF-Funktion ein zugehöriger Response-Wert zurückgeliefert wird. Physical Unclonable Functions (PUF) bieten eine flächensparende und damit kostengünstige Möglichkeit, ein physikalisches Objekt anhand seiner intrinsischen physi¬ kalischen Eigenschaften zu authentisieren . Dazu wird zu einem vorgegebenen Challenge-Wert durch die PUF abhängig von objektspezifischen physikalischen Eigenschaften des Objekts ein zugehöriger Response-Wert ermittelt. Ein Prüfer, der ein Ob¬ jekt authentisieren möchte, kann bei bekannten Challenge- Response-Paaren durch einen Ähnlichkeitsvergleich der vorlie- genden und der vom authentisierten Objekt bereitgestellten Response-Werten das Objekt als Originalobjekt identifizieren.
Weitere Anwendungen einer PUF sind bekannt, insbesondere die Chip-interne Bestimmung eines kryptographischen Schlüssels mittels einer PUF.
Spezielle PUFs z.B. bei ICs können auf dem IC aufgebracht werden (Coating PUF, Optical PUF) und dadurch eine Schicht oberhalb des ICs realisieren, die zum einen den Zugriff auf interne (darunterliegende) Strukturen verhindert, und die bei Entfernen zerstört wird. Dies hat jedoch den Nachteil, dass spezielle Fertigungsverfahren benötigt werden. Auch werden ggf. Angriffe, die die Schutzschicht nicht beschädigen, nicht erkannt (z.B. die von der gegenüberliegenden Seite oder seitlich erfolgen) .
Die PUF-Rohdaten (Response) müssen i.A. noch nachbearbeitet werden, um statistische Schwankungen der PUF-Response zu kom- pensieren (z.B. durch eine Vorwärtsfehlerkorrektur oder durch eine Merkmalsextraktion entsprechend wie bei einer herkömmlichen Fingerabdrucks-Authentisierung) .
Von Yousra M. Alkabani, Farinaz Koushanfar: Active Hardware Metering for Intellectual Property Protection and Security, 16th USENIX Security Symposium, 2007,
http : / / www .usenix.org/event/sec07 /tech/füll papers /alkabani/a Ikabani . pdf ist bekannt, mittels einer PUF ein „Overbuilding" von Halbleiter-ICs zu verhindern. Dazu wird der für die Funk- tion des ICs benötigte Zustandsautomat modifiziert, sodass er eine große Anzahl von für die gewünschte Funktion unnötigen Zuständen enthält. Der Startzustand wird mittels einer PUF ermittelt, d.h. das IC startet die Ausführung in einem von zufälligen, Exemplar-spezifischen Eigenschaften abhängigen Startzustand . Nur der Designer des ICs, der die Design- Spezifikation des Zustandsautomaten kennt, kann für ein bestimmtes IC praktikabel einen Pfad ausgehend von dem zufälli¬ gen Anfangszustand zu einem für die Nutzung der Funktionali- tat erforderlichen Startzustand ermitteln und damit ein ge¬ fertigtes IC programmieren.
Ein Vorteil von PUFs besteht darin, dass eine PUF-Struktur bei einer physikalischen Manipulation verändert wird und dadurch ein Tamper-Schutz erreichbar ist. Außerdem sind PUFs auch anwendbar, wenn ein Baustein nicht über Speicher verfügt, um dauerhaft einen kryptographischen Schlüssel zu spei¬ chern (dies benötigt entweder spezielle Fertigungsverfahren, z.B. für Flash-Speicher, oder eine Backup-Batterie für SRAM- Speicherzellen) .
Unterschiedliche physikalische Realisierungen einer Physical Unclonable Function sind bekannt. Viele PUFs lassen sich auf einem IC (digital oder analog) einfach und platzsparend rea- lisieren. Es ist kein dauerhafter Schlüsselspeicher erforderlich und keine Realisierung kryptographischer Algorithmen.
Es ist bekannt, die Stabilität einer PUF zu untersuchen, z.B. bzgl . Alterung, Temperatureinfluss . Das Ziel ist dabei, eine stabile, zuverlässige PUF zu realisieren, siehe z.B. Potkon- jak et al . : Differential Public Physically Unclonable Functi¬ ons: Architecture and Applications", DAC 2011, June 5-10, 2011, San Diego, California, USA
(http://www.cs.ucla.edu/-miodrag/papers/Potko jak DAC 2011. pd f) .
Von "Meguerdichian, S . ; Potkonjak, M. : Device aging-based physically unclonable functions", Design Automation Conferen¬ ce (DAC), pp. 288-289, June 2011,
h.11J3 » / / 1GGGXj 103-ΓG · 1GGG · O TCJ / X 1 / f TGGclt S cl11 · S ? cl J_TΓΊ1_1ITlt G-C 59819
47 /
ist bekannt, eine dynamische PUF zu realisieren, die sich durch Alterung verändern soll. Unter Alterung wird hierbei nicht eine natürliche Alterung verstanden, sondern der Anwen- der einer PUF kann die PUF unter seiner Kontrolle modifizieren, d.h. eine Änderung des PUF-Verhalten auslösen. Dadurch soll Reverse Engineering erschwert werden. Statt durch intrinsische physikalischen Variationen eines ICs wird die PUF dabei unter Nutzerkontrolle individualisiert. Beschrieben wird weiterhin, die Stabilität der vorgeschlagenen PUF dadurch sicherzustellen, dass bei der Bestimmung des Response- Wertes nur Verzögerungsunterschiede oberhalb eines Schwell- wertes wirksam werden.
Viele Geräte führen beim Start oder während des laufenden Be¬ triebs regelmäßig oder auf Anforderung einen Selbsttest durch. Falls das Gerät nicht ordnungsgemäß funktioniert, kann es Gegenmaßnahmen einleiten, z.B. den Betrieb einstellen
(fail silent) oder zumindest bestimmte Funktionalität deakti¬ vieren, oder Wartungspersonal durch eine Warnanzeige oder Warnmeldung informieren. Auch können gegebenenfalls Logdaten in ein Fehlerprotokoll geschrieben werden, oder es können kritische Daten wie z.B. sensitiver Programmcode, Konfigura¬ tionsparameter oder kryptographische Schlüssel gelöscht wer¬ den. Insbesondere bei kryptographischen Sicherheitsverfahren ist bekannt, dass vor der Benutzung ein Selbsttest der Kryp- toverfahren erfolgen muss. Komponenten unterliegen allgemein einem Alterungsprozess , durch den ein Ausfall verursacht wer¬ den kann. Dies betrifft auch integrierte Schaltkreise (IC), z.B. Speicherbausteine, ASICs, FPGAs, System on Chips (SoC) , CPUs etc. Integrierte Schaltkreise werden auch integrierte Schaltungen, oder IC für englisch „integrated circuit" ge- nannt . In typischen Industrieumgebungen bestehen hohe Anforderungen an die Zuverlässigkeit und an die Lebensdauer.
Daher besteht ein Bedarf, eine Information über die Alterung und Ausfallwahrscheinlichkeit einer integrierten Schaltung zu ermitteln. Es besteht Bedarf an einer robusten Selbsttestfunktion, die bei Alterung oder auch bei absichtlich vorgenommenen Manipulationen eine Fehlfunktion zuverlässig detek- tiert . Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, eine Fehlfunktion eines IC zuverlässig zu detektieren. Diese Aufgabe wird durch einen integrierten Schaltkreis gemäß dem unabhängigen Anspruch gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind in weiteren Ansprüchen angegeben.
Die Grundidee der Erfindung basiert darauf, dass ein integ- rierter Schaltkreis einen Integritätssensor und eine Prüfeinheit umfasst. Der Integritätssensor basiert auf einer Physi- cal Unclonable Function. Der Integritätssensor ist ausgebildet, ein Challenge-Signal zu empfangen und anhand des Chal- lenge-Signals ein mit Hilfe der Physical Unclonable Function erzeugtes Response-Signal an die Prüfeinheit zu senden. Die Prüfeinheit ist ausgebildet, das Response-Signal zu empfangen und anhand des Response-Signales eine Information über eine Degradation des integrierten Schaltkreises zu ermitteln. Gemäß einer bevorzugten Ausführungsformen ist die Prüfeinheit ausgebildet, das Challenge-Signal an den Integritätssensor zu senden .
Gemäß einer weiteren Ausführungsform umfasst die integrierte Schaltung eine separate Signalerzeugungseinheit welche ausge¬ bildet ist, das Challenge Signal zu erzeugen und sowohl an den Integritätssensor wie auch die Prüfeinheit zu senden.
Gemäß einer bevorzugten Ausführungsform ist die Prüfeinheit ausgebildet, anhand des zeitlichen Verlaufs der Degradations- Information zu unterscheiden, ob eine ermittelte Degradation des integrierten Schaltkreises auf eine physikalische Manipu¬ lation oder einen Alterungsprozess zurückzuführen ist. Vorzugsweise ist dabei die Prüfeinheit ausgebildet, eine Histo- rie von ermittelten Informationen über die Degradation des integrierten Schaltkreises zu speichern und sprunghafte Ände¬ rungen in der Historie von kontinuierlichen Änderungen zu unterscheiden. Sprunghafte Änderungen werden dann auf eine Beschädigung oder Manipulation zurückgeführt, während kontinu- ierliche Änderungen auf eine Degradation zurückgeführt wer¬ den . Mit andern Worten: Wenn die Degradation „plötzlich" (sprunghaft) ansteigt, wird eher auf eine Beschädigung/Manipulation zu schließen sein. Eine zeitliche Alterung wird sich im Allgemeinen langsam (über Monate/Jahre) hinziehen. Der Degrada- tionswert steigt kontinuierlich. Dazu muss nicht notwendiger¬ weise eine Zeitinformation vorliegen, sondern es könnte auch eine Information zur Degradation der letzten Überprüfungen gespeichert werden (Historie der letzten 3 oder 10 Prüfungen) und der aktuelle Wert damit verglichen werden.
Gemäß einer bevorzugten Ausführungsform umfasst der integrierte Schaltkreis mehrere Integritätssensoren, welche vor¬ zugsweise auf der Oberfläche des integrierten Schaltkreises verteilt angeordnet sind. Dadurch erhöht sich einerseits die Sicherheit vor Manipulationen, da selbst für einen vorsichti¬ gen Angreifer sich das Risiko einer Beschädigung oder physikalischen Veränderung von Integritätssensoren erhöht.
Gemäß einer bevorzugten Ausführungsform ist die Prüfeinheit ausgebildet, Response-Signale von unterschiedlichen Integri¬ tätssensoren zu vergleichen und/oder eine starke Korrelation der Response-Signale von einer schwachen Korrelation zu unterscheiden. Bei mehreren Integritätssensoren können die Teilinformationen verglichen werden. Bei einer alterungsbe- dingten Degradation sollte die Degradation von unterschiedlichen Integritätssensoren ähnlich sein, bei einer physikalischen Manipulation unterscheiden sie sich stärker.
Gemäß einer bevorzugten Ausführungsform der Erfindung wird vorgeschlagen, basierend auf intrinsischen Halbleitereigenschaften einen IC-Integritäts-Sensor auf einem Digital-IC zu realisieren. Dazu wird eine auf dem IC realisierte PUF durch das IC selbst verifiziert. Der PUF-Sensor eines ICs wird ver¬ wendet, um eine Information über die Degradation eines ICs (z.B. durch Alterung, thermische Belastung, Strahlungsbelastung, Beschädigung, absichtliche Manipulation / Tampering) zu ermitteln. Bei hinreichender Degradation ist mit einem Ausfall bzw. einer Manipulation des ICs zu rechnen bzw. die Wahrscheinlichkeit eines Geräteausfalls nimmt zu. Dieselbe technische Maßnahme in Form eines PUF-Integritätssensors mit zugeordneter Auswertevorrichtung kann mit unterschiedlicher Zielsetzung eingesetzt werden, dem Erkennen von Alterungspro- zessen sowie dem Erkennen von physikalischen Manipulationen.
Falls das IC physikalisch degradiert bzw. manipuliert ist, so wird dadurch die PUF modifiziert. D.h. die PUF zeigt ein an¬ deres Ein-/Ausgabeverhalten als beim neuen, unversehrten IC. Eine Degradation bzw. Manipulation des ICs ist somit erkennbar .
Gemäß bevorzugten Ausführungsformen kann die Information über die Degradation durch den integrierten Schaltkreis unter- schiedlich verwendet werden:
• Bereitstellen einer Degradationsinformation (über Signal an externen Pin, intern für andere Baugruppen des ICs, über Diagnoseschnittstelle) ;
• temporäres Deaktivieren des ICs (solange Degradation
vorliegt) ;
• dauerhaftes Deaktivieren des ICs;
• Deaktivieren (dauerhaft oder temporär) einer betroffenen Teilfunktionalität (mehrere Integritätssensoren über Chipfläche verteilt; es kann der betroffene Bereich er¬ mittelt werden; es muss dann nur die Funktionalität des betroffenen Bereichs deaktiviert werden) Der IC deakti¬ viert sich bzw. wechselt in einen eingeschränkten Betriebsmodus (z.B. eingeschränkte Funktionalität, redu¬ zierte Taktfrequenz, engere Toleranzen er Betriebsspannungsüberwachung) . Dadurch ist ggf. ein zuverlässiger Betrieb bei reduzierter Performance noch möglich;
• Aktivieren eines eingeschränkten Betriebsmodus (z.B. reduzierte Taktfrequenz, reduzierte Funktionalität, Anpas- sung der Spannungsregelung, z.B. Anhebung des minimalen Spannungspegels) ;
• Löschen von gespeicherten Daten (insbesondere kryp- tographisches Schlüsselmaterial) .
• Das IC stellt eine entsprechende Information extern be¬ reit, sodass eine IC-externe Takterzeugung bzw. Span¬ nungsüberwachung darauf reagieren kann.
• Die Information wird über eine Diagnoseschnittstelle be¬ reitgestellt, z.B. über eine Datenkommunikationsschnitt¬ stelle. Diese Information kann z.B. in einen internen Fehlerspeicher geschrieben werden, der über eine Diagnoseschnittstelle auslesbar ist. Eine Geräteüberwachung (z.B. Remote Condition Monitoring) kann daraus z.B. eine Information ableiten, dass das betroffene Gerät auszu¬ tauschen ist.
Der PUF-Integritätssensor verifiziert die physikalische Un¬ versehrtheit des digitalen Chips bzw. dessen Digitallogik. Wenn der Chip physikalisch manipuliert wird, so ändert sich das PUF-Verhalten . Zur Prüfung wird eine PUF authentisiert , d.h. mit Challenge-Werten beaufschlagt. Anhand der Response- Werte kann durch einen Vergleich mit gespeicherten Referenzdaten eine Veränderung detektiert werden. Wenn eine physikalische Manipulation vorgenommen ist, z.B. Kontaktieren mittels Prüfspitzen, oder Manipulationen an der Chipstruktur vorgenommen wurden (z.B. Überbrücken oder Durchtrennen von Leitungen), so ändert sich das PUF-Verhalten. Hier dient die PUF also nicht zur Authentisierung des ICs gegenüber einem Außenstehenden oder zur Ableitung eines kryptographischen Schlüssels .
Eine digital realisierte PUF, z.B. eine Delay-PUF / Arbiter- PUF, SRAM-PUF, Ring-Oscillator PUF, Bistable Ring PUF, Flip- Flop-PUF, Glitch PUF, Cellular Non-linear Network PUF, oder Butterfly-PUF wird verwendet, um einen On-Chip Tamper-Sensor zu realisieren. Dies hat den Vorteil, dass der Tamper-Sensor „digital" entworfen und gefertigt werden kann, dass also kei¬ ne Mixed-Signal-Verfahren benötigt werden. Die PUF wird in die reguläre Halbleiterstruktur in der dafür vorgesehenen Fertigungstechnologie gefertigt. Im Gegensatz zu Coating-PUFs ist somit nicht ein spezielles Fertigungsverfahren bzw. ein separater Fertigungsschritt notwendig. Im Gegensatz zu analo¬ gen Sensoren kann der beschrieben PUF-Sensor im regulären digitalen Fertigungsverfahren des sonstigen ICs realisiert sein.
Der PUF-Sensor wird durch die Digitallogik des ICs selbst überprüft. Die Überprüfung kann beim Start (nach einem Re- set) , bei Aktivieren einer bestimmten Funktionalität (z.B. Encryption Engine) , auf ein externes Trigger-Signal, oder wiederholt im laufenden Betrieb (built-in seif test) erfol¬ gen .
Vorzugsweise werden mehrere PUF-Tamper-Sensoren verteilt auf der Chipfläche angeordnet. Sie können gemäß unterschiedlicher Designkriterien platziert werden: So können sie gemäß einer regelmäßigen Struktur, z.B. einer Gitterstruktur, platziert werden, in der Nähe kritischer Bereiche (z.B. in den Chipflächen, wie kryptographische Parameter gespeichert sind oder kryptographische Operationen ausgeführt werden) , oder bei Se- curity Fuses (z.B. zum Deaktivieren einer JTAG- Schnittstelle) . In einer Variante werden randomisierte Posi¬ tionen bestimmt. Sie können z.B. bei programmierbaren Logikbausteinen (FPGA) die PrüfPositionen je Chip oder je Charge unterschiedlich gewählt sein. Bei einem ASIC mit mehreren ICs auf einem Wafer können ebenfalls unterschiedliche Positionen der auf einem Wafer vorhandenen ICs realisiert sein.
Bei mehrlagigen Chips bzw. bei Chip-Modulen können mehrere PUF-Sensoren in verschiedenen Lagen des Chips realisiert sein. Die Realisierung eines PUF-Sensors kann mehrere Lagen umfassen. Dadurch ist eine Alterung oder Beschädigung nur einzelner Lagen eines ICs detektierbar . In einer Variante ist das IC rekonfigurierbar bzw. es weist rekonfigurierbare Komponenten auf. Eine Tamper-Sensor-PUF kann insbesondere auch reguläre Komponenten mit nutzen, ins- besondere Datenpfade (Datenbus, Adressbus) . Der Chip wird da¬ zu in einen Verifikationsmodus konfiguriert, bei dem einzelne Systemkomponenten als PUF verschaltet werden bzw. mit einer PUF so verschaltet werden, dass sie das PUF-Ausgabeverhalten beeinflussen. Nach erfolgreicher Prüfung wird das IC bzw. seine rekonfigurierbaren Komponenten entsprechend einer Betriebskonfiguration konfiguriert. Dies hat den Vorteil, dass ein besonders hoher Schutz der zur PUF verschalteten Komponenten erreicht wird.
In einer Variante wird eine Security-Fuse durch eine PUF rea¬ lisiert bzw. in eine PUF integriert. Eine Security Fuse kann gebrannt werden, um z.B. nur während der Fertigung den IC prüfen zu können (z.B. JTAG Interface) oder um ein Auslesen von gespeicherten Daten zu verhindern. Heutige Security Fuses werden gebrannt, sodass sie physikalisch zerstört sind. Sie weisen jedoch eine relativ große physikalische Struktur auf und können daher ggf. bei einem geöffneten IC überbrückt wer¬ den. Wenn nun eine Security-Fuse in eine PUF-Berechnung bzw. in die Realisierung einer PUF integriert wird, so wird bei einem Brennen die PUF-Struktur zerstört (z.B. geschmolzen) oder zumindest modifiziert. Eine spätere Manipulation, z.B. durch Überbrücken, ergibt jedoch nicht das ursprüngliche PUF- Verhalten. Dadurch kann innerhalb eines ICs die physikalische Unmanipuliertheit einer Security Fuse manipulationsgeschützt verifiziert werden.
Anstatt die für den regulären Betrieb verwendete Chip- Verdrahtung als PUF zu nutzen während einer Prüfphase und re¬ gulär zu nutzen im Normalbetrieb können auch PUF-Leitungen parallel bzw. nahe den Signalleitungen als PUF-
Verifikationsleitungen verlegt werden. Diese werden bei einer physikalischen Manipulation der Signalleitungen mit einer gewissen Wahrscheinlichkeit modifiziert, sodass z.B. ein Kon- taktieren der Signalleitungen erkennbar ist. Damit ist dann auch eine Überprüfung während der regulären Nutzung möglich.
PUF-Sensoren zum Erkennen einer Manipulation des digitalen Chips sind einfach fertigbar und können z.B. als Design-IP als Baustein einer Entwurfs-Bibliothek auch bei programmierbaren Logikbausteinen (FPGA, ASIC) realisiert werden. Es werden keine speziellen Mixed-Signal-Entwurfs- und Fertigungs¬ verfahren benötigt.
Die Erfindung wird nachfolgend anhand der Figuren beispiels¬ weise näher erläutert. Dabei zeigen:
Figur 1 einen integrierten Schaltkreis gemäß einer Ausführungsform der Erfindung;
Figur 2 einen integrierten Schaltkreis gemäß einer Ausführungsform der Erfindung; Figur 3 für ein Challenge-Response-Verfahren den Ablauf der
Kommunikation zwischen TVU und PTS für eine Ausführungsform der Erfindung;
Figur 4 ein Verfahren, welches den Ablauf einer Prüfung ei- nes IC darstellt, für eine Ausführungsform der Erfindung;
Figur 5 eine weitere Variante der Erfindung, bei der DegVer und DegPUF IC-intern realisiert sind.
Figur 1 zeigt eine Ausführungsform der Erfindung, nämlich einen integrierten Schaltkreises 1, im Folgenden auch IC, Chip oder Halbleiter genannt, z.B. ein FPGA oder ein ASIC, mit einer Prüfeinheit 3, im Folgenden auch TVU oder Tamper Verifi- cation Unit genannt. Seitlich sind Kontakte 2, im Folgenden auch Pins oder Schnittstellen genannt, angedeutet, mit denen der als Baustein ausgebildete integrierte Schaltkreis 1, z.B. auf einer Leiterplatte aufgelötet werden kann. Die TVU 3 de- tektiert ein Tampering des ICs 1 durch Auswerten eines Integ¬ ritätssensors 4, im Folgenden auch PUF-basierter Tamper- Sensors, PUF Tamper Sensor, oder PTS genannt. Abhängig vom Prüfergebnis wird ein Enable-Signal E bereitgestellt. Dieses wird z.B. von einer „Main Function" Block 5 ausgewertet, um eine Funktionalität des ICs 1 freizuschalten bzw. zu sperren. Dadurch kann z.B. eine bestimmte Funktionalität oder das ge¬ samte IC 1 deaktiviert werden. In einer Variante können eini¬ ge oder alle der externen Schnittstellen 2 des ICs 1 in einen „Fail Safe Zustand" geschaltet werden. In einer Variante wird ein SafeForUse-Signal durch das IC 1 bereitgestellt, um bei manipuliertem Chip 1 bzw. bei negativem Selbsttest ein Fail- Safe-Signal weiteren externen Bausteinen bereitzustellen. Der integrierter Schaltkreis 1 umfasst den Integritätssensor 4 und die Prüfeinheit 3. Der Integritätssensor 4 basiert auf einer Physical Unclonable Function 24. Die Prüfeinheit 3 ist ausgebildet, dem Integritätssensor 4 ein Challenge-Signal C zu senden und anhand eines darauf durch die Physical Unclo- nable Function 24 erzeugten und durch den Integritätssensor 4 an die Prüfeinheit 3 gesendeten Response-Signales R eine In¬ formation über eine Degradation des integrierten Schaltkreises IC zu ermitteln. Die Prüfeinheit 3 ist ausgebildet, anhand der Information ei¬ ne weitere Information zur durch Alterungsprozesse verursachte Degradation des integrierten Schaltkreises 1 zu ermitteln. Die Prüfeinheit 3 ist zudem ausgebildet, anhand der Informa¬ tion über die Degradation eine physikalische Beschädigung oder Manipulation des integrierten Schaltkreises 1 zu ermitteln .
Die Prüfeinheit 3 ist ausgebildet zu unterscheiden, ob eine ermittelte Degradation des integrierten Schaltkreises 1 auf eine physikalische Manipulation oder einen Alterungsprozess zurückzuführen ist. Gemäß einer bevorzugten Variante ist die Prüfeinheit ausgebildet, diese Unterscheidung anhand des zeitlichen Verlaufs der Information über die Degradation zu vorzunehmen. Dazu umfasst die Prüfeinheit ein Speicherelement 9, in welchem eine Historie von ermittelten Informationen über die Degradation des integrierten Schaltkreises 1 speicherbar ist. Die Prüfeinheit ist ausgebildet, sprunghafte Än- derungen in der Historie von langsam fortschreitenden Änderungen zu unterscheiden und sprunghafte Änderungen auf eine Beschädigung zurückzuführen und langsam fortschreitende Änderungen auf eine Degradation zurückzuführen. Gemäß der bevorzugten Ausführungsform ist die integrierte
Schaltung 1 digital, insbesondere ein Field Programmable Gate Array (FPGA) oder eine anwendungsspezifische integrierte Schaltung (ASIC) . Bevorzugt ist die Physical Unclonable Func¬ tion 24 digital realisiert.
Figur 2 zeigt eine Ausführungsform eines integrierten Schaltkreises 11, im Folgenden auch IC, Chip oder Halbleiter genannt, bei welchem mehrere Integritätssensoren 4, im Folgenden auch PUF-Tamper-Sensoren oder PTS genannt, auf dem IC 11 vorgesehen sind. Die Integritätssensoren 4 können unregelmäßig (wie im dargestellten Beispiel) oder regelmäßig (z.B. in einer Gitteranordnung) platziert sein. Die Prüfeinheit TVU und der Main Function Block sind in der Figur nicht dargestellt .
Mit andern Worten, gemäß der in Figur 2 dargestellten Ausführungsform, welche mit den Varianten der in Figur 1 dargestellten Ausführungsform kombinierbar ist, umfasst der integrierte Schaltkreis 11 mehrere Integritätssensoren 4, welche vorzugsweise auf der Oberfläche des integrierten Schaltkrei¬ ses 11 verteilt angeordnet sind. Die Prüfeinheit 3 ist ausge¬ bildet, Response-Signale R von unterschiedlichen Integritäts¬ sensoren 4 zu vergleichen und/oder eine starke Korrelation der Response-Signale R von einer schwachen Korrelation zu un- terscheiden. Gemäß weiteren bevorzugten Ausführungsformen ist der integrierte Schaltkreis 1, 11 rekonfigurierbar und/oder umfasst rekonfigurierbare Komponenten. Vorzugsweise umfassen die Integritätssensoren 4 reguläre Komponenten einer Hauptfunktion 5 des integrierten Schaltkreises 1, 11, wie z.B. Datenpfade oder Clock-Pfade.
Bevorzugt umfasst die Physical Unclonable Function 24 zumin- dest eine Security-Fuse .
Gemäß einer weiteren bevorzugten Ausführungsform umfasst die Physical Unclonable Function Leitungen, welche parallel oder nahe zu Signalleitungen, insbesondere Datenpfaden oder Clock- Pfaden, verlaufen welche nicht durch die Physical Unclonable Function umfasst werden.
Bevorzugt ist die Degradation des integrierten Schaltkreises IC durch den Integritätssensor 4 ermittelbar, indem das Res- ponse-Signal R mit einer Referenz-Response verglichen wird.
Bevorzugt ist der der integrierte Schaltkreis 1, 11 ausgebil¬ det ist, im Falle einer erkannten Degradation welche einen Schwellwert übersteigt, mindestens eine der folgenden Maßnah- men vorzunehmen:
Bereitstellen einer Degradationsinformation (über Signal an externen Pin, intern für andere Baugruppen des ICs, über Diagnoseschnittstelle) temporäres Deaktivieren des ICs (solange Degradation vorliegt) dauerhaftes Deaktivieren des ICs
Deaktivieren (dauerhaft oder temporär) eines betroffenen Teilfunktionalität (mehrere Integritätssensoren über Chipflä¬ che verteilt; es kann der betroffene Bereich ermittelt wer- den; es muss dann nur die Funktionalität des betroffenen Be¬ reichs deaktiviert werden)
Aktivieren eines eingeschränkten Betriebsmodus (z.B. re- duzierte Taktfrequenz, reduzierte Funktionalität, Anpassung der Spannungsregelung, z.B. Anhebung des minimalen Spannungspegels)
Löschen von gespeicherten Daten (insbesondere Schlüsselmaterial)
Ein PTS 4 kann in einer Variante „räumlich" auf dem IC ausgedehnt realisiert sein. Bei einer Delay-basierten PUF können z.B. die Delay-Leitungen weite Strecken des ICs überstreichen .
Eine mögliche Ausführung eines PTS besteht in einer Schaltung zur Messung der Kapazität bzw. Impedanz einzelner Signalverbindungen (Daten-/Adresspfade) auf dem Chip, entweder einzeln gegenüber der Chipmasse oder zwischen ausgewählten Leitungs- paaren. Alternativ kann auch eine differenzielle Messung durchgeführt werden, bei der die gemessenen Werte verschiede¬ ner Leitungen bzw. Leitungspaare miteinander verglichen werden. Die zu vergleichenden Leitungen werden dabei durch den an die PUF gesendeten Challenge-Wert bestimmt. Eine konkrete schaltungstechnische Realisierung der Impedanzmessung kann dabei durch einen Oszillator (Ringoszillator, Relaxationsoszillator) , dessen Frequenz durch die Leitungskapazität beein- flusst wird, und einen nachgeschalteten Zähler gegeben sein. In einer weiteren Ausführungsvariante kann auch die TVU mehrfach auf dem IC vorhanden sein. Dadurch wird das Vorhandensein eines einzelnen Angriffspunktes (globales Enable-Signal ) vermieden, an dem ein Angreifer ansetzen könnte, um den Tam- perschutz außer Funktion zu setzen. Dabei kann eine TVU sinn- vollerweise jeweils in der Nähe eines sensitiven Schaltungs¬ blocks (z.B. kryptographische Funktion, Schlüsselspeicher) oder sogar verschachtelt bzw. verwoben damit platziert wer¬ den, wobei der Schaltungsblock ein dediziertes lokales Enable-Signal durch die TVU erhält. Da im Allgemeinen, mehre¬ re sensitive Schaltungsblöcke für die Funktion des Gesamtsys¬ tems notwendig sind, wird die Schwierigkeit eines erfolgrei¬ chen Angriffs noch weiter erhöht.
Figur 3 zeigt für ein Challenge-Response-Verfahren den Ablauf der Kommunikation zwischen TVU 3 und PTS 4. Die TVU 3 wählt im Verfahrensschritt 6 ein Challenge Signal C, respektive ei¬ nen Challenge Wert und sendet dieses, respektive diesen an die PTS 4. Die PTS 4 liefert auf das durch die TVU 3 gesende¬ te Challenge Signal C, respektive den durch die TVU gesende¬ ten Challenge-Wert , ein Response-Signal R, respektive einen Response Wert zurück. Der Response-Wert , respektive das Res¬ ponse-Signal R wird dabei in der PTS 4 im Verfahrensschritt 7 mittels einer PUF bestimmt. Die bereitgestellte Response R wird durch die TVU 3 im Verfahrensschritt 8 geprüft. Dazu können übliche Verfahren eingesetzt werden, z.B. ein Ähnlichkeitsvergleich mit gespeicherten Referenzwerten. Bei erfolgreicher Prüfung stellt die TVU 3 ein Enable-Signal E bereit. Es kann auch für mehrere Challenge-Werte eine Prüfung erfol¬ gen .
Degradationserkennung : Auch nicht absichtliche Manipulationen lassen sich mit einem erfindungsgemäßen PUF-Integritätssensor 3 erkennen, sondern solche, die durch Alterung, Temperaturbelastung oder Strahlung verursacht sind. Figur 4 zeigt einen möglichen Ablauf der Prüfung: Die Degra- dations-PUF 24, im Folgenden auch DegPuf genannt, soll bei einer Degradation des ICs ihr Verhalten ändern. Eine Degrada- tions-Verifikationseinheit 23, im Folgenden auch DegVer 23 genannt, wählt im Verfahrensschritt 26 einen Challenge-Wert und sendet diesen in einer Challenge-Nachricht C an die Deg- PUF. Die DegPUF bestimmt darauf im Verfahrensschritt 27 einen Response Wert und sendet diesen in einer Response-Nachricht R an die DegVer 23, welche im Verfahrensschritt 28 die durch die DegPuf 24 bereitgestellte Response-Nachricht R, respekti¬ ve deren Response-Wert prüft. Dazu führt sie einen Ähnlich¬ keitsvergleich der erhaltenen Response-Nachricht R mit einer Referenz-Response, respektive einen Ähnlichkeitsvergleich des erhaltenen Response-Wertes mit einem Referenzresponsewert durch. Bei hinreichender Abweichung (gemessen z.B. in Anzahl der unterschiedlichen Bits, d.h. Hamming-Distanz ) wird eine Degradation erkannt. Das Ergebnis kann in einem Ausgabesignal A als Boole-scher Wert (true, false) bereitgestellt werden. Alternativ kann ein mehrstufiger Konfidenzwert bereitgestellt werden (z.B. green, yellow, red; 0..255). Es können mehrere Messungen erfolgen. Dabei können unterschiedliche und/oder identische Challenge-Werte C verwendet werden. Die DegPUF 24 ist auf dem zu überwachenden IC realisiert. Die Prüfung (DegVer) , respektive Ermittlung der Information über die Degradation kann auf dem überwachten IC selbst oder außerhalb des überwachten ICs erfolgen. DegVer 23 kann in Hardware oder Software realisiert sein. Die Referenz-Response wurde z.B. initial bei der Herstellung oder beim Bestücken des ICs erfasst und gespeichert.
Figur 5 zeigt eine Variante, bei der DegVer 23 und DegPUF 24 IC-intern realisiert sind. Einer Hauptfunktion (Main Functi- on) 5 des ICs 21 wird ein entsprechendes Status-Signal N be¬ reitgestellt (NoDegeneration) .
In anderen Varianten (nicht dargestellt) wird das NoDegen. Signal extern an einem Signal-Pin des ICs bereitgestellt. In einer weiteren Variante ist lediglich DegPUF auf einem IC realisiert und die Schnittstelle zu DegPUF wird extern bereit¬ gestellt (z.B. über I2C, JTAG-Interface) . Die Funktionalität DegVer kann auf einem anderen IC oder auf einem anderen Computer realisiert sein.

Claims

Patentansprüche
1. Integrierter Schaltkreis (1, 11) umfassend einen Integri¬ tätssensor (4) und eine Prüfeinheit (3), wobei:
- der Integritätssensor (4) auf einer Physical Unclonable Function (24) basiert und ausgebildet ist, ein Challenge- Signal (C) zu empfangen und anhand des Challenge-Signals (C) ein mit Hilfe der Physical Unclonable Function (24) erzeugtes Response-Signal (R) an die Prüfeinheit (3) zu senden; und - die Prüfeinheit (3) ausgebildet ist, das Response-Signal (R) zu empfangen und anhand des Response-Signales (R) eine Information über eine Degradation des integrierten Schaltkreises (1, 11) zu ermitteln.
2. Integrierter Schaltkreis (1, 11) gemäß Anspruch 1, wobei die Prüfeinheit (3) ausgebildet ist, anhand der Information eine weitere Information zur durch Alterungsprozesse verur¬ sachte Degradation des integrierten Schaltkreises (1, 11) zu ermitteln .
3. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Prüfeinheit (3) ausgebildet ist, anhand der Information über die Degradation eine physikalische Beschädigung oder Manipulation des integrierten Schalt- kreises (1, 11) zu ermitteln.
4. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Prüfeinheit (3) ausgebildet ist zu unterscheiden, ob eine ermittelte Degradation des integ- rierten Schaltkreises (1, 11) auf eine physikalische Manipu¬ lation oder einen Alterungsprozess zurückzuführen ist.
5. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Prüfeinheit (3) ausgebildet ist, anhand des zeitlichen Verlaufs der Information über die Degradation zu unterscheiden, ob eine ermittelte Degradation des integrierten Schaltkreises (1, 11) auf eine physikalische Manipulation oder einen Alterungsprozess zurückzuführen ist.
6. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Prüfeinheit (3) ausgebildet ist, eine Historie von ermittelten Informationen über die Degrada- tion des integrierten Schaltkreises (1, 11) zu speichern und sprunghafte Änderungen in der Historie von langsam fortschreitenden Änderungen zu unterscheiden.
7. Integrierter Schaltkreis (1, 11) gemäß einem der vorange- henden Ansprüche, wobei die Prüfeinheit (3) ausgebildet ist, sprunghafte Änderungen auf eine Beschädigung zurückzuführen und langsam fortschreitende Änderungen auf eine Degradation zurückzuführen .
8. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die integrierte Schaltung (1, 11) di¬ gital , insbesondere ein Field Programmable Gate Array (FPGA) oder eine anwendungsspezifische integrierte Schaltung (ASIC) ist .
9. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Physical Unclonable Function (24) digital realisiert ist.
10. Integrierter Schaltkreis (11) gemäß einem der vorangehen¬ den Ansprüche, wobei der integrierte Schaltkreis (11) mehrere Integritätssensoren (4) umfasst, welche vorzugsweise auf der Oberfläche des integrierten Schaltkreises (11) verteilt ange¬ ordnet sind.
11. Integrierter Schaltkreis (11) gemäß Anspruch 10, wobei die Prüfeinheit (3) ausgebildet ist, Response-Signale (R) von unterschiedlichen Integritätssensoren (4) zu vergleichen und/oder eine starke Korrelation der Response-Signale (R) von einer schwachen Korrelation zu unterscheiden.
12. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei der integrierte Schaltkreis (1, 11) rekonfigurierbar ist und/oder rekonfigurierbare Komponenten aufweist .
13. Integrierter Schaltkreis (1, 11) gemäß einem der vorange- henden Ansprüche, wobei der Integritätssensor (4) reguläre Komponenten einer Hauptfunktion (5) des integrierten Schaltkreises (1, 11), wie z.B. Datenpfade oder Clock-Pfade, mit¬ nutzt .
14. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Physical Unclonable Function (24) zumindest eine Security-Fuse umfasst.
15. Integrierter Schaltkreis (1, 11) gemäß einem der vorange- henden Ansprüche, wobei die Physical Unclonable Function Lei¬ tungen umfasst, welche parallel oder nahe zu Signalleitungen, insbesondere Datenpfaden oder Clock-Pfaden, verlaufen welche nicht durch die Physical Unclonable Function umfasst werden.
16. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Degradation des integrierten Schaltkreises (1, 11) durch den Integritätssensor (4) ermittelbar ist, indem das Response-Signal (R) mit einer Referenz- Response verglichen wird.
17. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei der integrierte Schaltkreis (1, 11) ausgebildet ist, im Falle einer erkannten Degradation welche einen Schwellwert übersteigt, mindestens eine der folgenden Massnahmen vorzunehmen:
Bereitstellen der Information über die Degradation;
temporäres Deaktivieren des integrierten Schaltkreises
(1, 11);
dauerhaftes Deaktivieren des integrierten Schaltkreises (1, 11);
Deaktivieren einer betroffenen Teilfunktionalität des integrierten Schaltkreises (1, 11); Aktivieren eines eingeschränkten Betriebsmodus des integrierten Schaltkreises (1, 11);
Löschen von gespeicherten Daten.
EP13729639.8A 2012-07-17 2013-06-05 Verwenden einer (digitalen) puf zum realisieren einer physikalischen degradations-/tampererkennung eines digitalen ics Withdrawn EP2847707A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102012212471A DE102012212471B3 (de) 2012-07-17 2012-07-17 Vorrichtung zum Realisieren einer physikalischen Degradations-/Tampererkennung eines digitalen ICs mittels einer (digitalen) PUF und Unterscheiden zwischen einer Degradation aufgrund von physikalischer Manipulation und aufgrund von Alterungsprozessen
PCT/EP2013/061586 WO2014012701A1 (de) 2012-07-17 2013-06-05 Verwenden einer (digitalen) puf zum realisieren einer physikalischen degradations-/tampererkennung eines digitalen ics

Publications (1)

Publication Number Publication Date
EP2847707A1 true EP2847707A1 (de) 2015-03-18

Family

ID=48652004

Family Applications (1)

Application Number Title Priority Date Filing Date
EP13729639.8A Withdrawn EP2847707A1 (de) 2012-07-17 2013-06-05 Verwenden einer (digitalen) puf zum realisieren einer physikalischen degradations-/tampererkennung eines digitalen ics

Country Status (5)

Country Link
US (1) US20150192637A1 (de)
EP (1) EP2847707A1 (de)
CN (1) CN104471583A (de)
DE (1) DE102012212471B3 (de)
WO (1) WO2014012701A1 (de)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9279856B2 (en) * 2012-10-22 2016-03-08 Infineon Technologies Ag Die, chip, method for driving a die or a chip and method for manufacturing a die or a chip
JP6129654B2 (ja) * 2013-06-13 2017-05-17 株式会社東芝 認証装置、認証方法およびプログラム
US9992031B2 (en) * 2013-09-27 2018-06-05 Intel Corporation Dark bits to reduce physically unclonable function error rates
US9806884B2 (en) * 2014-01-10 2017-10-31 Robert Bosch Gmbh System and method for cryptographic key identification
DE102014208210A1 (de) * 2014-04-30 2015-11-19 Siemens Aktiengesellschaft Ableiten eines gerätespezifischen Wertes
US10432409B2 (en) 2014-05-05 2019-10-01 Analog Devices, Inc. Authentication system and device including physical unclonable function and threshold cryptography
US9501664B1 (en) * 2014-12-15 2016-11-22 Sandia Corporation Method, apparatus and system to compensate for drift by physically unclonable function circuitry
CN108474812A (zh) * 2015-10-29 2018-08-31 加利福尼亚大学董事会 老化传感器及假冒集成电路检测
US9607952B1 (en) 2015-10-30 2017-03-28 International Business Machines Corporation High-z oxide nanoparticles embedded in semiconductor package
EP3377977A4 (de) * 2015-11-16 2019-08-21 Arizona Board Of Regents Acting For And On Behalf Of Northern Arizona University Mehrstufige unklonbare funktionen und zugehörige systeme
US10445531B2 (en) 2016-05-26 2019-10-15 Raytheon Company Authentication system and method
US10452872B2 (en) 2016-05-26 2019-10-22 Raytheon Company Detection system for detecting changes to circuitry and method of using the same
CN106020170B (zh) 2016-07-07 2019-03-15 工业和信息化部电子第五研究所 SoC健康监测的方法、装置及系统
US10469083B2 (en) 2016-07-10 2019-11-05 Imec Vzw Breakdown-based physical unclonable function
CN106546908B (zh) * 2016-10-27 2019-05-21 电子科技大学 集成电路芯片
US10425235B2 (en) 2017-06-02 2019-09-24 Analog Devices, Inc. Device and system with global tamper resistance
US10958452B2 (en) 2017-06-06 2021-03-23 Analog Devices, Inc. System and device including reconfigurable physical unclonable functions and threshold cryptography
US10938580B2 (en) * 2017-06-06 2021-03-02 Analog Devices, Inc. System and device employing physical unclonable functions for tamper penalties
DE102017214057A1 (de) * 2017-08-11 2019-02-14 Siemens Aktiengesellschaft Verfahren zum Prüfen der Integrität von Systemkomponenten eines Systems und Anordnung zur Durchführung des Verfahrens
US20190140851A1 (en) * 2017-11-09 2019-05-09 iMQ Technology Inc. Secure logic system with physically unclonable function
CN107689872A (zh) * 2017-11-24 2018-02-13 北京中电华大电子设计有限责任公司 一种实现物理不可克隆功能的电路结构
EP3506548A1 (de) * 2017-12-27 2019-07-03 Secure-IC SAS Quantitativer digitaler sensor
US11151290B2 (en) 2018-09-17 2021-10-19 Analog Devices, Inc. Tamper-resistant component networks
CN109542068B (zh) * 2018-12-10 2022-04-19 武汉中原电子集团有限公司 一种高温带电老化及控制系统
DE102018132996A1 (de) * 2018-12-19 2020-06-25 Uniscon Universal Identity Control Gmbh Verfahren zum Überwachen der Integrität eines physischen Objekts
US11269999B2 (en) * 2019-07-01 2022-03-08 At&T Intellectual Property I, L.P. Protecting computing devices from malicious tampering
US11106832B1 (en) * 2019-12-31 2021-08-31 Management Services Group, Inc. Secure compute device housing with sensors, and methods and systems for the same
DE102020109446A1 (de) * 2020-04-03 2021-10-07 Bundesdruckerei Gmbh Prüfobjekt mit zeitfensterbezogener Antwortfunktion
US11784835B2 (en) 2021-02-24 2023-10-10 Nvidia Corp. Detection and mitigation of unstable cells in unclonable cell array
US11750192B2 (en) * 2021-02-24 2023-09-05 Nvidia Corp. Stability of bit generating cells through aging
US20230237201A1 (en) * 2022-01-21 2023-07-27 Nvidia Corporation Selective communication interfaces for programmable parts

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7840803B2 (en) * 2002-04-16 2010-11-23 Massachusetts Institute Of Technology Authentication of integrated circuits
JP2007511810A (ja) * 2003-05-16 2007-05-10 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 乱数関数を利用した実行証明
WO2008152577A1 (en) * 2007-06-14 2008-12-18 Intrinsic Id Bv Method and device for providing digital security
JP2011526113A (ja) * 2008-06-27 2011-09-29 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ アイテムの真正性、完全性、及び/又は物理的状態を検証するための装置、システム、及び方法
US7761714B2 (en) * 2008-10-02 2010-07-20 Infineon Technologies Ag Integrated circuit and method for preventing an unauthorized access to a digital value
EP2465069B1 (de) * 2009-08-14 2018-02-21 Intrinsic ID B.V. Physikalisch unklonbare funktion mit manipulationschutz und anti-aging-system
KR101727130B1 (ko) * 2010-01-20 2017-04-14 인트린직 아이디 비브이 암호화 키를 획득하기 위한 디바이스 및 방법
US20130147511A1 (en) * 2011-12-07 2013-06-13 Patrick Koeberl Offline Device Authentication and Anti-Counterfeiting Using Physically Unclonable Functions
US20140041040A1 (en) * 2012-08-01 2014-02-06 The Regents Of The University Of California Creating secure multiparty communication primitives using transistor delay quantization in public physically unclonable functions

Also Published As

Publication number Publication date
CN104471583A (zh) 2015-03-25
US20150192637A1 (en) 2015-07-09
DE102012212471B3 (de) 2013-11-21
WO2014012701A1 (de) 2014-01-23

Similar Documents

Publication Publication Date Title
DE102012212471B3 (de) Vorrichtung zum Realisieren einer physikalischen Degradations-/Tampererkennung eines digitalen ICs mittels einer (digitalen) PUF und Unterscheiden zwischen einer Degradation aufgrund von physikalischer Manipulation und aufgrund von Alterungsprozessen
EP1053518B1 (de) Schutzschaltung für eine integrierte schaltung
WO2014048631A1 (de) Selbst-test einer physical unclonable function
DE102011002706B4 (de) Vorrichtung und Verfahren zum Schutz eines Sicherheitsmoduls gegen Manipulationsversuche in einem Feldgerät
DE102012109665A1 (de) Manipulationserkennungsmaßnahmen zum Abschecken physischer Angriffe auf ein Sicherheits-ASIC
EP2795601B1 (de) Verfahren und vorrichtung zum erkennen einer manipulation an einer elektrischen leitung
US20200395315A1 (en) On-chip security circuit for detecting and protecting against invasive attacks
DE102012107619A1 (de) Systeme und Verfahren zum Erkennen und Vereiteln ungenehmigten Zugriffs und feindlicher Angriffe auf gesicherte Systeme
DE102014208838A1 (de) Verfahren zum Betreiben eines Steuergeräts
DE102014208855A1 (de) Verfahren zum Durchführen einer Kommunikation zwischen Steuergeräten
EP3332528B1 (de) Überwachen einer integrität eines testdatensatzes
DE102005056940B4 (de) Vorrichtung und Verfahren zum nicht-flüchtigen Speichern eines Statuswertes
DE102013204274A1 (de) Verfahren zum Erkennen einer Korrelation
EP2889797A2 (de) Überwachungsvorrichtung zur Überwachung eines Schaltkreises
CN101221610B (zh) 集成电路及其防仿冒方法
DE102018120328A1 (de) Sicherheitseinrichtung mit erweiterter Zuverlässigkeit
DE102020114099A1 (de) Funktionale sicherheit über verfolgung-und-fehlerbeseitigung
EP2666117B1 (de) Verfahren zum prüfen eines tamperschutzes eines feldgeräts sowie feldgerät mit tamperschutz
EP2689373B1 (de) Detektieren von angriffen auf einen portablen datenträger
EP3136268B1 (de) Verfahren zur sicherheitsanalyse einer logischen schaltung
DE102017214057A1 (de) Verfahren zum Prüfen der Integrität von Systemkomponenten eines Systems und Anordnung zur Durchführung des Verfahrens
EP3869367A1 (de) Computergestütztes verfahren zum speichern eines integritätsstatus, integritätsstatusvorrichtung und computerprogrammprodukt
EP2983103A1 (de) Integrierte Schaltung mit verteilten Taktmanipulationsdetektoren
DE102013223234A1 (de) Zugriff auf einen Speicher
DE10258178B4 (de) Schaltung mit Sicherheitsmaßnahmen gegen Ausspionieren der Schaltung

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20141118

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAX Request for extension of the european patent (deleted)
RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: SIEMENS AKTIENGESELLSCHAFT

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20180103