EP2847707A1 - Use of a (digital) puf for carrying out physical degradation / tamper recognition of a digital ics - Google Patents

Use of a (digital) puf for carrying out physical degradation / tamper recognition of a digital ics

Info

Publication number
EP2847707A1
EP2847707A1 EP13729639.8A EP13729639A EP2847707A1 EP 2847707 A1 EP2847707 A1 EP 2847707A1 EP 13729639 A EP13729639 A EP 13729639A EP 2847707 A1 EP2847707 A1 EP 2847707A1
Authority
EP
European Patent Office
Prior art keywords
integrated circuit
degradation
puf
test unit
vorange
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP13729639.8A
Other languages
German (de)
French (fr)
Inventor
Rainer Falk
Andreas Mucha
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP2847707A1 publication Critical patent/EP2847707A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/2851Testing of integrated circuits [IC]
    • G01R31/2855Environmental, reliability or burn-in testing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K19/00Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits
    • H03K19/003Modifications for increasing the reliability for protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry

Definitions

  • the present invention relates to the technical Ge ⁇ area of the physical Degradations- / Tampererkennung an integrated circuit (IC). definitions:
  • Condition monitoring or condition monitoring of a machine is used to measure the machine condition by sensors (vibrations, temperatures, position / approximation, etc.). This allows for demand-oriented maintenance (predictive maintenance) or a safety switch-off takes place (see eg htt: // en.wikipedia.org/wiki/Condition- Monitoring).
  • Structural Health Monitoring is used to determine, for example, the mechanical stability of wind turbines or structures, cf.
  • a Physical Unclonable Function is also referred to as a Physically Unclonable Function, as a hardware one-way function, or as a hardware fingerprint function or device fingerprint function. Physical Unclonable Functions are known to identify objects reli ⁇ casual basis of their intrinsic, per copy or per type individual physical characteristics. A physical property of an object (such as a semiconductor IC) is used here as an individual "fingers gerabtik”.
  • PUF Physical unclonable functions
  • Special PUFs e.g. ICs can be deposited on the IC (Coating PUF, Optical PUF) to create a layer above the IC that prevents access to internal (underlying) structures and is destroyed when removed.
  • This has the disadvantage that special manufacturing processes are needed. Also, attacks that do not damage the protective layer may not be detected (e.g., those from the opposite side or from the side).
  • the PUF raw data (response) must i.A. may be post-processed to compensate for statistical variations in the PUF response (e.g., by forward error correction or by feature extraction, as in conventional fingerprint authentication).
  • PUFs are also applicable when a block does not have memory to permanently a cryptographic key to spei ⁇ manuals (this requires either special manufacturing processes, eg for flash memory, or a battery backup for SRAM memory cells).
  • deakti ⁇ four (fail silent) or at least certain functionality, or inform service personnel by an alarm indication or warning.
  • log data may optionally be written to an error log, or it can critical data such as sensitive program code configura ⁇ tion parameters or cryptographic keys Erased ⁇ .
  • a self-test of the crypto-methods must be carried out before use.
  • Components are generally subject to an aging process, which causes a failure ⁇ who can. This also applies to integrated circuits (IC), eg memory chips, ASICs, FPGAs, system on chips (SoC), CPUs, etc.
  • Integrated circuits are also called integrated circuits, or ICs for integrated circuits Requirements for reliability and service life.
  • an integrated circuit comprises an integrity sensor and a test unit.
  • the integrity sensor is based on a physical unclonable function.
  • the integrity sensor is designed to receive a challenge signal and to send a response signal generated with the aid of the physical unclonable function to the test unit on the basis of the charge signal.
  • the test unit is designed to receive the response signal and to use the response signal to determine information about a degradation of the integrated circuit. According to a preferred embodiment, the test unit is configured to send the challenge signal to the integrity sensor.
  • the integrated circuit comprises a separate signal generation unit which forms ⁇ out to generate the challenge signal and to send to both the integrity of the sensor as well as the test unit.
  • the test unit is designed to distinguish on the basis of the time course of the degradation information whether a determined degradation of the integrated circuit is due to a physical Manipu ⁇ lation or an aging process.
  • the test unit is preferably designed to store a history of determined information on the degradation of the integrated circuit and to distinguish abrupt ⁇ nde ⁇ approximations in the history of continuous changes. Sudden changes are attributed to damage or tampering while con- tinuous changes to a degradation attributed to ⁇ .
  • the integrated circuit comprises a plurality of integrity sensors, which are distributed in front ⁇ preferably on the surface of the integrated circuit. This on the one hand the security increases from tampering, as increases the risk of damage or physical change of integrity sensors themselves for a vorsichti ⁇ gen attacker.
  • the test unit is designed to compare response signals from different Integri ⁇ tuschssensoren and / or to distinguish a strong correlation of the response signals of a weak correlation.
  • the partial information can be compared.
  • the degradation of different integrity sensors should be similar; they differ more in physical manipulation.
  • an IC integrity sensor on a digital IC based on intrinsic semiconductor properties.
  • a realized on the IC PUF is verified by the IC itself.
  • the PUF sensor ICs is a ver ⁇ uses to determine information about the degradation of ICs (eg, due to aging, thermal stress, radiation exposure, damage, deliberate manipulation / tampering). If sufficient degradation is expected with a failure or a manipulation of the IC or the Likelihood of equipment failure increases.
  • the same technical measure in the form of a PUF integrity sensor with associated evaluation device can be used with different objectives, the detection of aging processes as well as the detection of physical manipulations.
  • the PUF is a ⁇ to more complete input / output behavior as the new, undamaged IC. A degradation or manipulation of the IC is thus recognizable.
  • the information about the degradation by the integrated circuit can be used differently:
  • Activate a restricted operating mode eg reduced clock frequency, reduced functionality, adaption voltage regulation, eg raising the minimum voltage level
  • the IC provides corresponding information externally be ⁇ riding, so that an IC external clock generation or clamping ⁇ voltage monitoring can respond.
  • the information will be provided about ⁇ riding a diagnostic interface, for example, imagine ⁇ via a data communication interface. This information can be written, for example, in an internal error memory, which is readable via a diagnostic interface.
  • a device monitoring eg, remote condition monitoring
  • the PUF integrity sensor verifies the physical Un ⁇ infirmity of the digital chip and the digital logic. If the chip is physically manipulated, the PUF behavior changes. For testing, a PUF is authenticated, ie charged with challenge values. Based on the response values, a change can be detected by comparison with stored reference data. If a physical manipulation has been carried out, for example contacting by means of test probes, or manipulations were carried out on the chip structure (eg bridging or severing of lines), then the PUF behavior changes. Here, the PUF is not used to authenticate the IC to an outsider or to derive a cryptographic key.
  • a digitally implemented PUF eg a delay PUF / Arbiter PUF, SRAM PUF, Ring Oscillator PUF, Bistable Ring PUF, Flip Flop PUF, Glitch PUF, Cellular Non-linear Network PUF, or Butterfly PUF is used to an on-chip tamper sensor to realize.
  • the PUF is manufactured in the regular semiconductor structure in the production technology intended for this purpose, in contrast to coating -PUFs is therefore not a special manufacturing process or a separate production step necessary.
  • Unlike analo ⁇ gen sensors described PUF sensor can be implemented in regular digital production methods of the other ICs.
  • the PUF sensor is checked by the digital logic of the IC itself.
  • the review at the start (after a re- set), when activating a certain functionality (eg Encryption Engine), to an external trigger signal, or repeatedly during operation (built-in test seif) SUC ⁇ gen.
  • a certain functionality eg Encryption Engine
  • a plurality of PUF tamper sensors are arranged distributed on the chip surface. They can be placed according to different design criteria: they can be placed according to a regular structure, eg a grid structure, in the vicinity of critical areas (eg in the chip areas, how cryptographic parameters are stored or cryptographic operations are performed), or in case of curity fuses (eg for deactivating a JTAG interface). In a variant randomized Posi ⁇ tions are determined. For example, with programmable logic devices (FPGA), the test positions per chip or per batch can be selected differently. In an ASIC with multiple ICs on a wafer, different positions of the ICs present on a wafer can also be realized.
  • FPGA programmable logic devices
  • a plurality of PUF sensors can be realized in different layers of the chip.
  • the realization of a PUF sensor can comprise several layers.
  • the IC is reconfigurable or has reconfigurable components.
  • a tamper sensor PUF can also use regular components, in particular data paths (data bus, address bus).
  • the chip is then ⁇ configured to in a verification mode, in which individual system components are connected as a PUF or be interconnected with a PUF so that they influence the PUF output behavior.
  • the IC or its reconfigurable components are configured according to an operating configuration. This has the advantage that a particularly high level of protection of the components connected to the PUF is achieved.
  • a security fuse is integrated by a PUF rea ⁇ larra or in a PUF.
  • a Security Fuse can be burned, for example, only to be able to test the IC during production (eg JTAG Interface) or to prevent read-out of stored data.
  • Today's security fuses are burned so they are physically destroyed. However, they have a relatively large physical structure and therefore may be bridged with an open IC who ⁇ . If a security fuse is now integrated into a PUF calculation or into the realization of a PUF, the PUF structure is destroyed (eg melted) during a firing process, or at least modified. Subsequent manipulation, eg by bridging, does not give the original PUF behavior. As a result, the physical immunity of a security fuse can be verified tamper-proof within an IC.
  • Verification cables are relocated. These are modified with a certain probability during a physical manipulation of the signal lines, so that, for example, a con- Clocking the signal lines is recognizable. This is then a review during regular use possible.
  • PUF sensors for detecting a manipulation of the digital chip are easy to manufacture and can be implemented, for example, as a design IP as a building block of a design library, even with programmable logic devices (FPGA, ASIC). There are no special mixed-signal design and manufacturing information model.
  • FIG. 1 shows an integrated circuit according to an embodiment of the invention
  • FIG. 2 shows an integrated circuit according to an embodiment of the invention
  • FIG. 3 shows the course of the process for a challenge-response method
  • FIG. 4 shows a method, which represents the sequence of a test of an IC, for an embodiment of the invention
  • FIG. 5 shows a further variant of the invention in which DegVer and DegPUF are implemented internally in the IC.
  • FIG. 1 shows an embodiment of the invention, namely an integrated circuit 1, also referred to below as an IC, chip or semiconductor, eg an FPGA or an ASIC, with a test unit 3, also referred to below as TVU or Tamper Verification Unit.
  • a test unit 3 also referred to below as TVU or Tamper Verification Unit.
  • contacts 2 also referred to below as pins or interfaces, are indicated, with which the integrated circuit 1 designed as a component, for example, can be soldered onto a printed circuit board.
  • the TVU 3 tampering a tampering of the ICs 1 by evaluating an Integ ⁇ ritysensors 4, hereinafter also called PUF-based tamper sensor, PUF tamper sensor, or called PTS.
  • an enable signal E is provided.
  • a "Main Function” Block 5 to unlock functionality of the IC 1 or block.
  • This particular functionality or ge ⁇ entire IC 1 can be disabled, for example, in a variant eini ⁇ ge or all.
  • the external interfaces 2 of the IC 1 are switched to a "fail safe state".
  • a SafeForUse signal is provided by the IC 1 in order to provide a fail-safe signal to further external components in the case of a manipulated chip 1 or, in the case of a negative self-test.
  • the integrated circuit 1 comprises the integrity sensor 4 and the test unit 3.
  • the integrity sensor 4 is based on a physical unclonable function 24.
  • the test unit 3 is designed to send a challenge signal C to the integrity sensor 4 and to the integrity detector 4 on the basis of this Function 24 generated and sent by the integrity sensor 4 to the test unit 3 response signal R to determine a In ⁇ formation via a degradation of the integrated circuit IC.
  • the test unit 3 is designed to use the information ei ⁇ ne further information to determine the aging caused by degradation of the integrated circuit 1.
  • the test unit 3 is designed also to determine physical damage or manipulation of the integrated circuit 1 on the basis of Informa ⁇ tion about the degradation.
  • the test unit 3 is designed to distinguish whether a determined degradation of the integrated circuit 1 is due to a physical manipulation or an aging process. According to a preferred variant, the test unit is designed to this distinction based on the time course of the information about the degradation make.
  • the test unit comprises a memory element 9 in which a history of determined information about the degradation of the integrated circuit 1 can be stored.
  • the test unit is designed to distinguish sudden changes in the history of slowly progressive changes and to attribute sudden changes to damage and to attribute slowly progressive changes to degradation.
  • the integrated circuit 9 in which a history of determined information about the degradation of the integrated circuit 1 can be stored.
  • the test unit is designed to distinguish sudden changes in the history of slowly progressive changes and to attribute sudden changes to damage and to attribute slowly progressive changes to degradation.
  • the integrated circuit According to the preferred embodiment, the integrated circuit
  • Circuit 1 digital, in particular a Field Programmable Gate Array (FPGA) or an application-specific integrated circuit (ASIC).
  • FPGA Field Programmable Gate Array
  • ASIC application-specific integrated circuit
  • the Physical Unclonable Func ⁇ tion 24 is realized digitally.
  • FIG. 2 shows an embodiment of an integrated circuit 11, also referred to below as IC, chip or semiconductor, in which a plurality of integrity sensors 4, also referred to below as PUF tamper sensors or PTS, are provided on the IC 11.
  • the integrity sensors 4 may be placed irregularly (as in the illustrated example) or regularly (e.g., in a grid array).
  • the test unit TVU and the main function block are not shown in the figure.
  • the integrated circuit 11 comprises a plurality of integrity sensors 4, which are preferably arranged distributed on the surface of the integrated Druckkrei ⁇ ses 11.
  • the test unit 3 is ⁇ forms to compare response signals R of different integrity ⁇ sensors 4 and / or differ a strong correlation of the response signals of R a weak correlation to un-.
  • the integrated circuit 1, 11 is reconfigurable and / or comprises reconfigurable components.
  • the integrity sensors 4 comprise regular components of a main function 5 of the integrated circuit 1, 11, such as data paths or clock paths.
  • the physical unclonable function 24 preferably comprises at least one security fuse.
  • the physical unclonable function comprises lines which run parallel or close to signal lines, in particular data paths or clock paths, which are not encompassed by the physical unclonable function.
  • the degradation of the integrated circuit IC by the integrity sensor 4 can be determined by the response signal R is compared with a reference response.
  • 11 is removable ⁇ det, in the case of a detected degradation exceeding a threshold value, perform at least one of the following measures:
  • Disable (permanently or temporarily) a partial functionality affected (more integrity sensors via Chipflä ⁇ che distributed; it may be the affected area determined advertising the; it then has only the functionality of the affected Be ⁇ Empire deactivated)
  • Activate a restricted mode of operation e.g., reduced clock frequency, reduced functionality, adjustment of voltage regulation, e.g., raising the minimum voltage level
  • a PTS 4 may, in a variant, be implemented "spatially" on the IC 10.
  • the delay lines may sweep long distances of the IC.
  • a PTS is a circuit for measuring the capacitance or impedance of individual signal connections (data / address paths) on the chip, either individually relative to the chip mass or between selected pairs of lines.
  • a differential measurement may be performed in which the measured values Various ⁇ ner lines or line pairs are compared with each other. The lines to be compared are determined by the challenge value sent to the PUF.
  • a concrete circuit implementation of the impedance measurement can be provided by an oscillator (ring oscillator, relaxation oscillator), the frequency of which is influenced by the line capacitance, and a downstream counter.
  • the TVU can also be present several times on the IC.
  • a TVU makes more sense, in each case in the vicinity of a sensitive circuit blocks ⁇ (eg cryptographic function key store), or even interleaved or intertwined so placed ⁇ the wherein the circuit block, a dedicated local Enable signal received by the TVU. Since, in general, several ⁇ re sensitive circuit blocks for the function of Intelsys ⁇ tems are necessary, the difficulty of progressivelyrei ⁇ chen attack is further increased.
  • eg cryptographic function key store
  • Figure 3 shows on a challenge-response method the flow of communication between TVU 3 and PTS 4.
  • the TVU 3 selected in the step 6, a Challenge signal C, respectively ei ⁇ NEN Challenge value and sends it, respectively, the same to the PTS. 4 the PTS 4 supplies to the gesende ⁇ te by the TVU 3 challenge signal C, respectively, the gesende by the TVU ⁇ th challenge value, a response signal R, respectively, a response value.
  • the response value respectively Res ⁇ ponse signal R is determined in the PTS 4 in step 7 by a PUF.
  • the provided response R is checked by the TVU 3 in method step 8.
  • conventional methods can be used, eg a similarity comparison with stored reference values. If successful, the TVU 3 provides an enable signal E. It can SUC ⁇ gen for several Challenge values a test.
  • Degradation detection Even unintentional manipulations can be detected with a PUF integrity sensor 3 according to the invention, but those which are caused by aging, temperature stress or radiation.
  • FIG. 4 shows a possible sequence of the test:
  • the degradation PUF 24, also referred to below as DegPuf, is to change its behavior in the event of a degradation of the IC.
  • a degradation verification unit 23, also referred to below as DegVer 23, selects a challenge value in method step 26 and sends it in a challenge message C to the Deg-PUF.
  • the DegPUF determines a response value in method step 27 and sends it in a response message R to the DegVer 23, which in method step 28 passes through DegPuf 24 provided response message R, respekti ⁇ ve whose response value checks. For this purpose, it performs a similar ⁇ keits model the obtained response message R to a reference response, respectively, a similarity comparing the obtained response value with a response value by reference. If there is sufficient deviation (measured eg in number of different bits, ie Hamming distance), a degradation is detected. The result can be provided in an output signal A as a Boolean value (true, false).
  • a multi-level confidence value can be provided (eg green, yellow, red, 0..255). Several measurements can be made. Different and / or identical challenge values C can be used.
  • the DegPUF 24 is implemented on the IC to be monitored. The examination (DegVer) or determination of the information about the degradation can take place on the monitored IC itself or outside the monitored IC. DegVer 23 can be implemented in hardware or software. For example, the reference response was initially captured and stored during production or when the IC was being assembled.
  • FIG. 5 shows a variant in which DegVer 23 and DegPUF 24 are implemented internally in the IC.
  • a main function (Main Functi- on) 5 of the IC 21 is a corresponding status signal N be ⁇ riding asked (NoDegeneration).
  • the NoDegen Signal provided externally to a signal pin of the IC.
  • only DegPUF is implemented on an integrated circuit and the interface to DegPUF is externally provided ⁇ provided (for example via I2C, JTAG interface).
  • the functionality DegVer can be realized on another IC or on another computer.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Semiconductor Integrated Circuits (AREA)

Abstract

In order to reliably detect a malfunction of an IC, an integrated circuit (IC) comprises an integrity sensor (4) and a test unit (3). The integrity sensor (4) is based on a physical unclonable function (PUF) (24). The test unit (3) is designed to send a challenge signal (C) to the integrity sensor (4) and to determine a piece of information about a degradation of the integrated circuit (IC) on the basis of a response signal (R) subsequently generated by the physical unclonable function (24) and sent by the integrity sensor (4) to the test unit (3).

Description

Beschreibung description
Verwenden einer (digitalen) PUF zum Realisieren einer physikalischen Degradations-/Tampererkennung eines digitalen ICs Use a (digital) PUF to realize a physical degradation / tamper detection of a digital IC
Die vorliegende Erfindung bezieht sich auf das technische Ge¬ biet der physikalischen Degradations-/Tampererkennung eines integrierten Schaltkreises (IC). Definitionen: The present invention relates to the technical Ge ¬ area of the physical Degradations- / Tampererkennung an integrated circuit (IC). definitions:
Begriffe wie z.B. „IC", „Chip", „integrierter Halbleiterbau¬ stein", „Halbleiter-IC", „integrierte Schaltung", „ Digital- IC", „digitaler Chip", und „Halbleiter" werden im Rahmen dieser Anmeldung synonym für den Begriff „integrierter Terms such as "IC", "chip", "integrated semiconductor assembly ¬ stone", "semiconductor integrated circuit", "integrated circuit", "digital IC", "digital chip" and "semiconductors" are used synonymously in this application for the term "integrated
Schaltkreis" verwendet. Circuit "used.
Begriffe wie z.B. „Tamper Verification Unit", „TVU", „Deg- Ver", werden im Rahmen dieser Anmeldung synonym für den Beg- riff „Prüfeinheit" verwendet. Terms such as e.g. "Tamper Verification Unit", "TVU", "Deg-Ver" are used interchangeably in the context of this application for the term "test unit".
Begriffe wie z.B. „IC-Integritäts-Sensor", „PUF-Sensor" , „Tamper-Sensor" , „On-Chip Tamper Sensor", „PUF-Tamper- Sensor", „PTS" werden im Rahmen dieser Anmeldung synonym für den Begriff „Integritätssensor" verwendet. Terms such as e.g. "IC Integrity Sensor", "PUF Sensor", "Tamper Sensor", "On-Chip Tamper Sensor", "PUF Tamper Sensor", "PTS" are synonymous with the term "Integrity Sensor "used.
Begriffe wie z.B. „PUF", „Degradations PUF", „DegPUF", „Phy- sically Unclonabel Function", „physikalische Einwegfunktion", „Tamper-Sensor-PUF" werden im Rahmen dieser Anmeldung syn- onym für den Begriff „Physical Unclonable Function" verwendet . Terms such as e.g. "PUF", "Degradations PUF", "DegPUF", "Physically Unclonabel Function", "One-Way Physical Function", "Tamper Sensor PUF" are used in the context of this application synonymously for the term "Physical Unclonable Function" ,
Condition Monitoring: Unter Condition-Monitoring bzw. Zustandsüberwachung einer Maschine wird verstanden, durch Sensorik (Schwingungen, Temperaturen, Lage/Näherung etc.) den Maschinenzustand zu messen. Dadurch kann eine bedarfsorientierte Wartung (predictive maintenance) realisiert werden bzw. eine Safety-Abschaltung erfolgen (siehe z.B. htt : //de . wikipedia . org/wiki/Condition- Monitoring ) . Bei statischen Bautei len wird der Begri ff „Structural Health Monitoring" verwendet, um z.B. die mecha- nische Stabilität von Windrädern oder Bauwerken zu ermitteln, vgl Condition monitoring: Condition monitoring or condition monitoring of a machine is used to measure the machine condition by sensors (vibrations, temperatures, position / approximation, etc.). This allows for demand-oriented maintenance (predictive maintenance) or a safety switch-off takes place (see eg htt: // en.wikipedia.org/wiki/Condition- Monitoring). For static components, the term "Structural Health Monitoring" is used to determine, for example, the mechanical stability of wind turbines or structures, cf.
httpi / /de.wikipedia.org/wiki/Structural Health Monitoring . Physical Unclonable Functions (PUF) : http://en.wikipedia.org/wiki/Structural Health Monitoring. Physical Unclonable Functions (PUF):
Einen Überblick über Physical Unclonable Functions (PUF) ge¬ ben die Vorlesungsunterlagen „Vorlesung Sicher Mobile Systeme, SS10, C. Eckert, Kapitel 6: RFID & PUFs" An overview of Physical Unclonable Functions (PUF) ge ¬ ben the lecture notes "lecture Safe Mobile Systems, SS10, C. Eckert, Chapter 6: RFID &PUFs"
http : //www . sec . in . tum. de/assets/lehre/ssl 0 /sms/sms-kap6-r id- tei!2.pdf) . Eine Physical Unclonable Function wird auch a1 s Physically Unclonable Function, als Hardware-Einwegfunktion, oder als Hardware-Fingerprint-Funktion oder Geräte- Fingerprint-Funktion bezeichnet. Physical Unclonable Functions sind bekannt, um Objekte zuver¬ lässig anhand ihrer intrinsischen, je Exemplar oder auch je Typ individuellen physikalischen Eigenschaften zu identifizieren. Eine physikalische Eigenschaft eines Gegenstandes (z.B. ein Halbleiter-IC) wird dabei als individueller „Fin- gerabdruck" verwendet. Die Authentisierung eines Objekts ba¬ siert darauf, dass abhängig von einem Challenge-Wert durch eine durch physikalische Eigenschaften definierte bzw. para- metrierte PUF-Funktion ein zugehöriger Response-Wert zurückgeliefert wird. Physical Unclonable Functions (PUF) bieten eine flächensparende und damit kostengünstige Möglichkeit, ein physikalisches Objekt anhand seiner intrinsischen physi¬ kalischen Eigenschaften zu authentisieren . Dazu wird zu einem vorgegebenen Challenge-Wert durch die PUF abhängig von objektspezifischen physikalischen Eigenschaften des Objekts ein zugehöriger Response-Wert ermittelt. Ein Prüfer, der ein Ob¬ jekt authentisieren möchte, kann bei bekannten Challenge- Response-Paaren durch einen Ähnlichkeitsvergleich der vorlie- genden und der vom authentisierten Objekt bereitgestellten Response-Werten das Objekt als Originalobjekt identifizieren. http: // www. sec. in . tum. de / assets / teaching / ssl 0 / sms / sms-kap6-r id-tei! 2.pdf). A Physical Unclonable Function is also referred to as a Physically Unclonable Function, as a hardware one-way function, or as a hardware fingerprint function or device fingerprint function. Physical Unclonable Functions are known to identify objects reli ¬ casual basis of their intrinsic, per copy or per type individual physical characteristics. A physical property of an object (such as a semiconductor IC) is used here as an individual "fingers gerabdruck". The authentication of an object ba ¬ Siert that depending defined by a challenge value by a physical properties or parameterised PUF function, an associated response value is returned. Physical unclonable functions (PUF) provide a space-saving and thus cost-effective way, a physical object based on its intrinsic physi ¬-earth properties to authenticate. to this end, depending to a given challenge value by the PUF determined by the object-specific physical properties of the object, an associated response value. an inspector who wants to authenticate whether a ¬ ject can in known challenge-response pairs by a similarity comparison of the vorlie- and the response values provided by the authenticated object identify the object as the original object.
Weitere Anwendungen einer PUF sind bekannt, insbesondere die Chip-interne Bestimmung eines kryptographischen Schlüssels mittels einer PUF. Further applications of a PUF are known, in particular the chip-internal determination of a cryptographic key by means of a PUF.
Spezielle PUFs z.B. bei ICs können auf dem IC aufgebracht werden (Coating PUF, Optical PUF) und dadurch eine Schicht oberhalb des ICs realisieren, die zum einen den Zugriff auf interne (darunterliegende) Strukturen verhindert, und die bei Entfernen zerstört wird. Dies hat jedoch den Nachteil, dass spezielle Fertigungsverfahren benötigt werden. Auch werden ggf. Angriffe, die die Schutzschicht nicht beschädigen, nicht erkannt (z.B. die von der gegenüberliegenden Seite oder seitlich erfolgen) . Special PUFs e.g. ICs can be deposited on the IC (Coating PUF, Optical PUF) to create a layer above the IC that prevents access to internal (underlying) structures and is destroyed when removed. However, this has the disadvantage that special manufacturing processes are needed. Also, attacks that do not damage the protective layer may not be detected (e.g., those from the opposite side or from the side).
Die PUF-Rohdaten (Response) müssen i.A. noch nachbearbeitet werden, um statistische Schwankungen der PUF-Response zu kom- pensieren (z.B. durch eine Vorwärtsfehlerkorrektur oder durch eine Merkmalsextraktion entsprechend wie bei einer herkömmlichen Fingerabdrucks-Authentisierung) . The PUF raw data (response) must i.A. may be post-processed to compensate for statistical variations in the PUF response (e.g., by forward error correction or by feature extraction, as in conventional fingerprint authentication).
Von Yousra M. Alkabani, Farinaz Koushanfar: Active Hardware Metering for Intellectual Property Protection and Security, 16th USENIX Security Symposium, 2007, By Yousra M. Alkabani, Farinaz Koushanfar: Active Hardware Metering for Intellectual Property Protection and Security, 16th USENIX Security Symposium, 2007,
http : / / www .usenix.org/event/sec07 /tech/füll papers /alkabani/a Ikabani . pdf ist bekannt, mittels einer PUF ein „Overbuilding" von Halbleiter-ICs zu verhindern. Dazu wird der für die Funk- tion des ICs benötigte Zustandsautomat modifiziert, sodass er eine große Anzahl von für die gewünschte Funktion unnötigen Zuständen enthält. Der Startzustand wird mittels einer PUF ermittelt, d.h. das IC startet die Ausführung in einem von zufälligen, Exemplar-spezifischen Eigenschaften abhängigen Startzustand . Nur der Designer des ICs, der die Design- Spezifikation des Zustandsautomaten kennt, kann für ein bestimmtes IC praktikabel einen Pfad ausgehend von dem zufälli¬ gen Anfangszustand zu einem für die Nutzung der Funktionali- tat erforderlichen Startzustand ermitteln und damit ein ge¬ fertigtes IC programmieren. http://www.usenix.org/event/sec07/tech/fullpapers/alkabani/a Ikabani. pdf is known to prevent the "overbuilding" of semiconductor ICs by means of a PUF by modifying the state machine needed for the function of the IC so that it contains a large number of states that are unnecessary for the desired function a PUF determined, ie, the IC starts to run in a dependent random, copy-specific properties start state. Only the designer of the IC, who knows the design specification of the state machine, can be used for a specific IC practicable a path starting from the zufälli ¬ initial state to one for the use of the functional did identify and program a ge ¬ Customized IC start state required.
Ein Vorteil von PUFs besteht darin, dass eine PUF-Struktur bei einer physikalischen Manipulation verändert wird und dadurch ein Tamper-Schutz erreichbar ist. Außerdem sind PUFs auch anwendbar, wenn ein Baustein nicht über Speicher verfügt, um dauerhaft einen kryptographischen Schlüssel zu spei¬ chern (dies benötigt entweder spezielle Fertigungsverfahren, z.B. für Flash-Speicher, oder eine Backup-Batterie für SRAM- Speicherzellen) . An advantage of PUFs is that a PUF structure is changed during a physical manipulation and thus tamper protection is achievable. Moreover PUFs are also applicable when a block does not have memory to permanently a cryptographic key to spei ¬ manuals (this requires either special manufacturing processes, eg for flash memory, or a battery backup for SRAM memory cells).
Unterschiedliche physikalische Realisierungen einer Physical Unclonable Function sind bekannt. Viele PUFs lassen sich auf einem IC (digital oder analog) einfach und platzsparend rea- lisieren. Es ist kein dauerhafter Schlüsselspeicher erforderlich und keine Realisierung kryptographischer Algorithmen.  Different physical implementations of a Physical Unclonable Function are known. Many PUFs can be implemented easily and space-saving on an IC (digital or analog). There is no need for a permanent keystore and no implementation of cryptographic algorithms.
Es ist bekannt, die Stabilität einer PUF zu untersuchen, z.B. bzgl . Alterung, Temperatureinfluss . Das Ziel ist dabei, eine stabile, zuverlässige PUF zu realisieren, siehe z.B. Potkon- jak et al . : Differential Public Physically Unclonable Functi¬ ons: Architecture and Applications", DAC 2011, June 5-10, 2011, San Diego, California, USA It is known to investigate the stability of a PUF, for example. Aging, temperature influence. The goal is to realize a stable, reliable PUF, see eg Potkonjak et al. Differential Public Physically Unclonable functi ¬ ons: Architecture and Applications ", DAC 2011, June 5-10, 2011, San Diego, California, USA
(http://www.cs.ucla.edu/-miodrag/papers/Potko jak DAC 2011. pd f) .  (http://www.cs.ucla.edu/-miodrag/papers/Potko jak DAC 2011. pd f).
Von "Meguerdichian, S . ; Potkonjak, M. : Device aging-based physically unclonable functions", Design Automation Conferen¬ ce (DAC), pp. 288-289, June 2011, From "Meguerdichian, S; Potkonjak, M.:. Device aging-based physically unclonable functions", Design Automation Conferen ce ¬ (DAC), pp. 288-289, June 2011,
h.11J3 » / / 1GGGXj 103-ΓG · 1GGG · O TCJ / X 1 / f TGGclt S cl11 · S ? cl J_TΓΊ1_1ITlt G-C 59819h.11J3 »/ / 1GGGXj 103-·G · 1GGG · O TCJ / X 1 / f TGGclt S cl11 · S? cl J_TΓΊ1_1ITlt G-C 59819
47 / 47 /
ist bekannt, eine dynamische PUF zu realisieren, die sich durch Alterung verändern soll. Unter Alterung wird hierbei nicht eine natürliche Alterung verstanden, sondern der Anwen- der einer PUF kann die PUF unter seiner Kontrolle modifizieren, d.h. eine Änderung des PUF-Verhalten auslösen. Dadurch soll Reverse Engineering erschwert werden. Statt durch intrinsische physikalischen Variationen eines ICs wird die PUF dabei unter Nutzerkontrolle individualisiert. Beschrieben wird weiterhin, die Stabilität der vorgeschlagenen PUF dadurch sicherzustellen, dass bei der Bestimmung des Response- Wertes nur Verzögerungsunterschiede oberhalb eines Schwell- wertes wirksam werden. It is known to realize a dynamic PUF that is supposed to change due to aging. Aging does not mean natural aging, but the user of a PUF can modify the PUF under his control, ie trigger a change in the PUF behavior. This should make reverse engineering more difficult. Instead of intrinsic physical variations of an IC, the PUF thereby individualized under user control. It is also described to ensure the stability of the proposed PUF by virtue of the fact that only delay differences above a threshold value take effect when determining the response value.
Viele Geräte führen beim Start oder während des laufenden Be¬ triebs regelmäßig oder auf Anforderung einen Selbsttest durch. Falls das Gerät nicht ordnungsgemäß funktioniert, kann es Gegenmaßnahmen einleiten, z.B. den Betrieb einstellenMany devices run at startup or during continuous loading ¬ drive regularly or on demand a self-test. If the device does not work properly, it can take countermeasures, eg stop the operation
(fail silent) oder zumindest bestimmte Funktionalität deakti¬ vieren, oder Wartungspersonal durch eine Warnanzeige oder Warnmeldung informieren. Auch können gegebenenfalls Logdaten in ein Fehlerprotokoll geschrieben werden, oder es können kritische Daten wie z.B. sensitiver Programmcode, Konfigura¬ tionsparameter oder kryptographische Schlüssel gelöscht wer¬ den. Insbesondere bei kryptographischen Sicherheitsverfahren ist bekannt, dass vor der Benutzung ein Selbsttest der Kryp- toverfahren erfolgen muss. Komponenten unterliegen allgemein einem Alterungsprozess , durch den ein Ausfall verursacht wer¬ den kann. Dies betrifft auch integrierte Schaltkreise (IC), z.B. Speicherbausteine, ASICs, FPGAs, System on Chips (SoC) , CPUs etc. Integrierte Schaltkreise werden auch integrierte Schaltungen, oder IC für englisch „integrated circuit" ge- nannt . In typischen Industrieumgebungen bestehen hohe Anforderungen an die Zuverlässigkeit und an die Lebensdauer. deakti ¬ four (fail silent) or at least certain functionality, or inform service personnel by an alarm indication or warning. Also log data may optionally be written to an error log, or it can critical data such as sensitive program code configura ¬ tion parameters or cryptographic keys Erased ¬. In particular, in the case of cryptographic security methods, it is known that a self-test of the crypto-methods must be carried out before use. Components are generally subject to an aging process, which causes a failure ¬ who can. This also applies to integrated circuits (IC), eg memory chips, ASICs, FPGAs, system on chips (SoC), CPUs, etc. Integrated circuits are also called integrated circuits, or ICs for integrated circuits Requirements for reliability and service life.
Daher besteht ein Bedarf, eine Information über die Alterung und Ausfallwahrscheinlichkeit einer integrierten Schaltung zu ermitteln. Es besteht Bedarf an einer robusten Selbsttestfunktion, die bei Alterung oder auch bei absichtlich vorgenommenen Manipulationen eine Fehlfunktion zuverlässig detek- tiert . Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, eine Fehlfunktion eines IC zuverlässig zu detektieren. Diese Aufgabe wird durch einen integrierten Schaltkreis gemäß dem unabhängigen Anspruch gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind in weiteren Ansprüchen angegeben. Therefore, there is a need to determine information about the aging and failure probability of an integrated circuit. There is a need for a robust self-test function that reliably detects a malfunction in the event of aging or intentional manipulation. The present invention is therefore based on the object to reliably detect a malfunction of an IC. This object is achieved by an integrated circuit according to the independent claim solved. Advantageous embodiments of the invention are specified in further claims.
Die Grundidee der Erfindung basiert darauf, dass ein integ- rierter Schaltkreis einen Integritätssensor und eine Prüfeinheit umfasst. Der Integritätssensor basiert auf einer Physi- cal Unclonable Function. Der Integritätssensor ist ausgebildet, ein Challenge-Signal zu empfangen und anhand des Chal- lenge-Signals ein mit Hilfe der Physical Unclonable Function erzeugtes Response-Signal an die Prüfeinheit zu senden. Die Prüfeinheit ist ausgebildet, das Response-Signal zu empfangen und anhand des Response-Signales eine Information über eine Degradation des integrierten Schaltkreises zu ermitteln. Gemäß einer bevorzugten Ausführungsformen ist die Prüfeinheit ausgebildet, das Challenge-Signal an den Integritätssensor zu senden . The basic idea of the invention is based on the fact that an integrated circuit comprises an integrity sensor and a test unit. The integrity sensor is based on a physical unclonable function. The integrity sensor is designed to receive a challenge signal and to send a response signal generated with the aid of the physical unclonable function to the test unit on the basis of the charge signal. The test unit is designed to receive the response signal and to use the response signal to determine information about a degradation of the integrated circuit. According to a preferred embodiment, the test unit is configured to send the challenge signal to the integrity sensor.
Gemäß einer weiteren Ausführungsform umfasst die integrierte Schaltung eine separate Signalerzeugungseinheit welche ausge¬ bildet ist, das Challenge Signal zu erzeugen und sowohl an den Integritätssensor wie auch die Prüfeinheit zu senden. According to a further embodiment the integrated circuit comprises a separate signal generation unit which forms ¬ out to generate the challenge signal and to send to both the integrity of the sensor as well as the test unit.
Gemäß einer bevorzugten Ausführungsform ist die Prüfeinheit ausgebildet, anhand des zeitlichen Verlaufs der Degradations- Information zu unterscheiden, ob eine ermittelte Degradation des integrierten Schaltkreises auf eine physikalische Manipu¬ lation oder einen Alterungsprozess zurückzuführen ist. Vorzugsweise ist dabei die Prüfeinheit ausgebildet, eine Histo- rie von ermittelten Informationen über die Degradation des integrierten Schaltkreises zu speichern und sprunghafte Ände¬ rungen in der Historie von kontinuierlichen Änderungen zu unterscheiden. Sprunghafte Änderungen werden dann auf eine Beschädigung oder Manipulation zurückgeführt, während kontinu- ierliche Änderungen auf eine Degradation zurückgeführt wer¬ den . Mit andern Worten: Wenn die Degradation „plötzlich" (sprunghaft) ansteigt, wird eher auf eine Beschädigung/Manipulation zu schließen sein. Eine zeitliche Alterung wird sich im Allgemeinen langsam (über Monate/Jahre) hinziehen. Der Degrada- tionswert steigt kontinuierlich. Dazu muss nicht notwendiger¬ weise eine Zeitinformation vorliegen, sondern es könnte auch eine Information zur Degradation der letzten Überprüfungen gespeichert werden (Historie der letzten 3 oder 10 Prüfungen) und der aktuelle Wert damit verglichen werden. According to a preferred embodiment, the test unit is designed to distinguish on the basis of the time course of the degradation information whether a determined degradation of the integrated circuit is due to a physical Manipu ¬ lation or an aging process. The test unit is preferably designed to store a history of determined information on the degradation of the integrated circuit and to distinguish abrupt Ände ¬ approximations in the history of continuous changes. Sudden changes are attributed to damage or tampering while con- tinuous changes to a degradation attributed to ¬. In other words, if degradation "suddenly" increases, it will be more likely to be damaged / tampered with.A temporal aging will generally be slow (over months / years), and the degradation level will increase steadily need not necessarily ¬ as time information available, but it could (history of the last 3 or 10 tests) and the current value are also stored information to the degradation of the last checks are compared.
Gemäß einer bevorzugten Ausführungsform umfasst der integrierte Schaltkreis mehrere Integritätssensoren, welche vor¬ zugsweise auf der Oberfläche des integrierten Schaltkreises verteilt angeordnet sind. Dadurch erhöht sich einerseits die Sicherheit vor Manipulationen, da selbst für einen vorsichti¬ gen Angreifer sich das Risiko einer Beschädigung oder physikalischen Veränderung von Integritätssensoren erhöht. According to a preferred embodiment, the integrated circuit comprises a plurality of integrity sensors, which are distributed in front ¬ preferably on the surface of the integrated circuit. This on the one hand the security increases from tampering, as increases the risk of damage or physical change of integrity sensors themselves for a vorsichti ¬ gen attacker.
Gemäß einer bevorzugten Ausführungsform ist die Prüfeinheit ausgebildet, Response-Signale von unterschiedlichen Integri¬ tätssensoren zu vergleichen und/oder eine starke Korrelation der Response-Signale von einer schwachen Korrelation zu unterscheiden. Bei mehreren Integritätssensoren können die Teilinformationen verglichen werden. Bei einer alterungsbe- dingten Degradation sollte die Degradation von unterschiedlichen Integritätssensoren ähnlich sein, bei einer physikalischen Manipulation unterscheiden sie sich stärker. According to a preferred embodiment, the test unit is designed to compare response signals from different Integri ¬ tätssensoren and / or to distinguish a strong correlation of the response signals of a weak correlation. With multiple integrity sensors, the partial information can be compared. In the case of age-related degradation, the degradation of different integrity sensors should be similar; they differ more in physical manipulation.
Gemäß einer bevorzugten Ausführungsform der Erfindung wird vorgeschlagen, basierend auf intrinsischen Halbleitereigenschaften einen IC-Integritäts-Sensor auf einem Digital-IC zu realisieren. Dazu wird eine auf dem IC realisierte PUF durch das IC selbst verifiziert. Der PUF-Sensor eines ICs wird ver¬ wendet, um eine Information über die Degradation eines ICs (z.B. durch Alterung, thermische Belastung, Strahlungsbelastung, Beschädigung, absichtliche Manipulation / Tampering) zu ermitteln. Bei hinreichender Degradation ist mit einem Ausfall bzw. einer Manipulation des ICs zu rechnen bzw. die Wahrscheinlichkeit eines Geräteausfalls nimmt zu. Dieselbe technische Maßnahme in Form eines PUF-Integritätssensors mit zugeordneter Auswertevorrichtung kann mit unterschiedlicher Zielsetzung eingesetzt werden, dem Erkennen von Alterungspro- zessen sowie dem Erkennen von physikalischen Manipulationen. According to a preferred embodiment of the invention, it is proposed to realize an IC integrity sensor on a digital IC based on intrinsic semiconductor properties. For this purpose, a realized on the IC PUF is verified by the IC itself. The PUF sensor ICs is a ver ¬ uses to determine information about the degradation of ICs (eg, due to aging, thermal stress, radiation exposure, damage, deliberate manipulation / tampering). If sufficient degradation is expected with a failure or a manipulation of the IC or the Likelihood of equipment failure increases. The same technical measure in the form of a PUF integrity sensor with associated evaluation device can be used with different objectives, the detection of aging processes as well as the detection of physical manipulations.
Falls das IC physikalisch degradiert bzw. manipuliert ist, so wird dadurch die PUF modifiziert. D.h. die PUF zeigt ein an¬ deres Ein-/Ausgabeverhalten als beim neuen, unversehrten IC. Eine Degradation bzw. Manipulation des ICs ist somit erkennbar . If the IC is physically degraded or manipulated, this will modify the PUF. This means that the PUF is a ¬ to more complete input / output behavior as the new, undamaged IC. A degradation or manipulation of the IC is thus recognizable.
Gemäß bevorzugten Ausführungsformen kann die Information über die Degradation durch den integrierten Schaltkreis unter- schiedlich verwendet werden: According to preferred embodiments, the information about the degradation by the integrated circuit can be used differently:
• Bereitstellen einer Degradationsinformation (über Signal an externen Pin, intern für andere Baugruppen des ICs, über Diagnoseschnittstelle) ; • Provide degradation information (via signal to external pin, internal to other components of the IC, via diagnostic interface);
• temporäres Deaktivieren des ICs (solange Degradation • Temporary deactivation of the IC (as long as degradation
vorliegt) ;  present);
• dauerhaftes Deaktivieren des ICs; • permanent deactivation of the IC;
• Deaktivieren (dauerhaft oder temporär) einer betroffenen Teilfunktionalität (mehrere Integritätssensoren über Chipfläche verteilt; es kann der betroffene Bereich er¬ mittelt werden; es muss dann nur die Funktionalität des betroffenen Bereichs deaktiviert werden) Der IC deakti¬ viert sich bzw. wechselt in einen eingeschränkten Betriebsmodus (z.B. eingeschränkte Funktionalität, redu¬ zierte Taktfrequenz, engere Toleranzen er Betriebsspannungsüberwachung) . Dadurch ist ggf. ein zuverlässiger Betrieb bei reduzierter Performance noch möglich; • disabling (either permanently or temporarily) of a part of functionality concerned (several integrity sensors on chip area distributed, it can be he ¬ averages the affected area, and it must then be turned off only the functionality of the affected area) The IC deakti ¬ fourth to or enters a restricted mode (for example, limited functionality, redu ¬ ed clock frequency, tighter tolerances he operating voltage monitoring). This may still allow reliable operation with reduced performance;
• Aktivieren eines eingeschränkten Betriebsmodus (z.B. reduzierte Taktfrequenz, reduzierte Funktionalität, Anpas- sung der Spannungsregelung, z.B. Anhebung des minimalen Spannungspegels) ; • Activate a restricted operating mode (eg reduced clock frequency, reduced functionality, adaption voltage regulation, eg raising the minimum voltage level);
• Löschen von gespeicherten Daten (insbesondere kryp- tographisches Schlüsselmaterial) . • Deleting stored data (in particular cryptographic key material).
• Das IC stellt eine entsprechende Information extern be¬ reit, sodass eine IC-externe Takterzeugung bzw. Span¬ nungsüberwachung darauf reagieren kann. • The IC provides corresponding information externally be ¬ riding, so that an IC external clock generation or clamping ¬ voltage monitoring can respond.
• Die Information wird über eine Diagnoseschnittstelle be¬ reitgestellt, z.B. über eine Datenkommunikationsschnitt¬ stelle. Diese Information kann z.B. in einen internen Fehlerspeicher geschrieben werden, der über eine Diagnoseschnittstelle auslesbar ist. Eine Geräteüberwachung (z.B. Remote Condition Monitoring) kann daraus z.B. eine Information ableiten, dass das betroffene Gerät auszu¬ tauschen ist. • The information will be provided about ¬ riding a diagnostic interface, for example, imagine ¬ via a data communication interface. This information can be written, for example, in an internal error memory, which is readable via a diagnostic interface. A device monitoring (eg, remote condition monitoring) can be derived, for example, information from the fact that the unit in question for For ¬ is replaced.
Der PUF-Integritätssensor verifiziert die physikalische Un¬ versehrtheit des digitalen Chips bzw. dessen Digitallogik. Wenn der Chip physikalisch manipuliert wird, so ändert sich das PUF-Verhalten . Zur Prüfung wird eine PUF authentisiert , d.h. mit Challenge-Werten beaufschlagt. Anhand der Response- Werte kann durch einen Vergleich mit gespeicherten Referenzdaten eine Veränderung detektiert werden. Wenn eine physikalische Manipulation vorgenommen ist, z.B. Kontaktieren mittels Prüfspitzen, oder Manipulationen an der Chipstruktur vorgenommen wurden (z.B. Überbrücken oder Durchtrennen von Leitungen), so ändert sich das PUF-Verhalten. Hier dient die PUF also nicht zur Authentisierung des ICs gegenüber einem Außenstehenden oder zur Ableitung eines kryptographischen Schlüssels . The PUF integrity sensor verifies the physical Un ¬ infirmity of the digital chip and the digital logic. If the chip is physically manipulated, the PUF behavior changes. For testing, a PUF is authenticated, ie charged with challenge values. Based on the response values, a change can be detected by comparison with stored reference data. If a physical manipulation has been carried out, for example contacting by means of test probes, or manipulations were carried out on the chip structure (eg bridging or severing of lines), then the PUF behavior changes. Here, the PUF is not used to authenticate the IC to an outsider or to derive a cryptographic key.
Eine digital realisierte PUF, z.B. eine Delay-PUF / Arbiter- PUF, SRAM-PUF, Ring-Oscillator PUF, Bistable Ring PUF, Flip- Flop-PUF, Glitch PUF, Cellular Non-linear Network PUF, oder Butterfly-PUF wird verwendet, um einen On-Chip Tamper-Sensor zu realisieren. Dies hat den Vorteil, dass der Tamper-Sensor „digital" entworfen und gefertigt werden kann, dass also kei¬ ne Mixed-Signal-Verfahren benötigt werden. Die PUF wird in die reguläre Halbleiterstruktur in der dafür vorgesehenen Fertigungstechnologie gefertigt. Im Gegensatz zu Coating-PUFs ist somit nicht ein spezielles Fertigungsverfahren bzw. ein separater Fertigungsschritt notwendig. Im Gegensatz zu analo¬ gen Sensoren kann der beschrieben PUF-Sensor im regulären digitalen Fertigungsverfahren des sonstigen ICs realisiert sein. A digitally implemented PUF, eg a delay PUF / Arbiter PUF, SRAM PUF, Ring Oscillator PUF, Bistable Ring PUF, Flip Flop PUF, Glitch PUF, Cellular Non-linear Network PUF, or Butterfly PUF is used to an on-chip tamper sensor to realize. This has the advantage that the tamper sensor can be "digitally" designed and manufactured, meaning that no mixed-signal method is required.The PUF is manufactured in the regular semiconductor structure in the production technology intended for this purpose, in contrast to coating -PUFs is therefore not a special manufacturing process or a separate production step necessary. Unlike analo ¬ gen sensors described PUF sensor can be implemented in regular digital production methods of the other ICs.
Der PUF-Sensor wird durch die Digitallogik des ICs selbst überprüft. Die Überprüfung kann beim Start (nach einem Re- set) , bei Aktivieren einer bestimmten Funktionalität (z.B. Encryption Engine) , auf ein externes Trigger-Signal, oder wiederholt im laufenden Betrieb (built-in seif test) erfol¬ gen . The PUF sensor is checked by the digital logic of the IC itself. The review, at the start (after a re- set), when activating a certain functionality (eg Encryption Engine), to an external trigger signal, or repeatedly during operation (built-in test seif) SUC ¬ gen.
Vorzugsweise werden mehrere PUF-Tamper-Sensoren verteilt auf der Chipfläche angeordnet. Sie können gemäß unterschiedlicher Designkriterien platziert werden: So können sie gemäß einer regelmäßigen Struktur, z.B. einer Gitterstruktur, platziert werden, in der Nähe kritischer Bereiche (z.B. in den Chipflächen, wie kryptographische Parameter gespeichert sind oder kryptographische Operationen ausgeführt werden) , oder bei Se- curity Fuses (z.B. zum Deaktivieren einer JTAG- Schnittstelle) . In einer Variante werden randomisierte Posi¬ tionen bestimmt. Sie können z.B. bei programmierbaren Logikbausteinen (FPGA) die PrüfPositionen je Chip oder je Charge unterschiedlich gewählt sein. Bei einem ASIC mit mehreren ICs auf einem Wafer können ebenfalls unterschiedliche Positionen der auf einem Wafer vorhandenen ICs realisiert sein. Preferably, a plurality of PUF tamper sensors are arranged distributed on the chip surface. They can be placed according to different design criteria: they can be placed according to a regular structure, eg a grid structure, in the vicinity of critical areas (eg in the chip areas, how cryptographic parameters are stored or cryptographic operations are performed), or in case of curity fuses (eg for deactivating a JTAG interface). In a variant randomized Posi ¬ tions are determined. For example, with programmable logic devices (FPGA), the test positions per chip or per batch can be selected differently. In an ASIC with multiple ICs on a wafer, different positions of the ICs present on a wafer can also be realized.
Bei mehrlagigen Chips bzw. bei Chip-Modulen können mehrere PUF-Sensoren in verschiedenen Lagen des Chips realisiert sein. Die Realisierung eines PUF-Sensors kann mehrere Lagen umfassen. Dadurch ist eine Alterung oder Beschädigung nur einzelner Lagen eines ICs detektierbar . In einer Variante ist das IC rekonfigurierbar bzw. es weist rekonfigurierbare Komponenten auf. Eine Tamper-Sensor-PUF kann insbesondere auch reguläre Komponenten mit nutzen, ins- besondere Datenpfade (Datenbus, Adressbus) . Der Chip wird da¬ zu in einen Verifikationsmodus konfiguriert, bei dem einzelne Systemkomponenten als PUF verschaltet werden bzw. mit einer PUF so verschaltet werden, dass sie das PUF-Ausgabeverhalten beeinflussen. Nach erfolgreicher Prüfung wird das IC bzw. seine rekonfigurierbaren Komponenten entsprechend einer Betriebskonfiguration konfiguriert. Dies hat den Vorteil, dass ein besonders hoher Schutz der zur PUF verschalteten Komponenten erreicht wird. In the case of multilayer chips or chip modules, a plurality of PUF sensors can be realized in different layers of the chip. The realization of a PUF sensor can comprise several layers. As a result, aging or damage of only individual layers of an IC can be detected. In one variant, the IC is reconfigurable or has reconfigurable components. In particular, a tamper sensor PUF can also use regular components, in particular data paths (data bus, address bus). The chip is then ¬ configured to in a verification mode, in which individual system components are connected as a PUF or be interconnected with a PUF so that they influence the PUF output behavior. After successful testing, the IC or its reconfigurable components are configured according to an operating configuration. This has the advantage that a particularly high level of protection of the components connected to the PUF is achieved.
In einer Variante wird eine Security-Fuse durch eine PUF rea¬ lisiert bzw. in eine PUF integriert. Eine Security Fuse kann gebrannt werden, um z.B. nur während der Fertigung den IC prüfen zu können (z.B. JTAG Interface) oder um ein Auslesen von gespeicherten Daten zu verhindern. Heutige Security Fuses werden gebrannt, sodass sie physikalisch zerstört sind. Sie weisen jedoch eine relativ große physikalische Struktur auf und können daher ggf. bei einem geöffneten IC überbrückt wer¬ den. Wenn nun eine Security-Fuse in eine PUF-Berechnung bzw. in die Realisierung einer PUF integriert wird, so wird bei einem Brennen die PUF-Struktur zerstört (z.B. geschmolzen) oder zumindest modifiziert. Eine spätere Manipulation, z.B. durch Überbrücken, ergibt jedoch nicht das ursprüngliche PUF- Verhalten. Dadurch kann innerhalb eines ICs die physikalische Unmanipuliertheit einer Security Fuse manipulationsgeschützt verifiziert werden. In a variant, a security fuse is integrated by a PUF rea ¬ lisiert or in a PUF. A Security Fuse can be burned, for example, only to be able to test the IC during production (eg JTAG Interface) or to prevent read-out of stored data. Today's security fuses are burned so they are physically destroyed. However, they have a relatively large physical structure and therefore may be bridged with an open IC who ¬ . If a security fuse is now integrated into a PUF calculation or into the realization of a PUF, the PUF structure is destroyed (eg melted) during a firing process, or at least modified. Subsequent manipulation, eg by bridging, does not give the original PUF behavior. As a result, the physical immunity of a security fuse can be verified tamper-proof within an IC.
Anstatt die für den regulären Betrieb verwendete Chip- Verdrahtung als PUF zu nutzen während einer Prüfphase und re¬ gulär zu nutzen im Normalbetrieb können auch PUF-Leitungen parallel bzw. nahe den Signalleitungen als PUF-Instead of using the chip wiring used for the regular operation as a PUF during a test phase and re ¬ gular use in normal operation and PUF lines can parallel or near the signal lines as PUF
Verifikationsleitungen verlegt werden. Diese werden bei einer physikalischen Manipulation der Signalleitungen mit einer gewissen Wahrscheinlichkeit modifiziert, sodass z.B. ein Kon- taktieren der Signalleitungen erkennbar ist. Damit ist dann auch eine Überprüfung während der regulären Nutzung möglich. Verification cables are relocated. These are modified with a certain probability during a physical manipulation of the signal lines, so that, for example, a con- Clocking the signal lines is recognizable. This is then a review during regular use possible.
PUF-Sensoren zum Erkennen einer Manipulation des digitalen Chips sind einfach fertigbar und können z.B. als Design-IP als Baustein einer Entwurfs-Bibliothek auch bei programmierbaren Logikbausteinen (FPGA, ASIC) realisiert werden. Es werden keine speziellen Mixed-Signal-Entwurfs- und Fertigungs¬ verfahren benötigt. PUF sensors for detecting a manipulation of the digital chip are easy to manufacture and can be implemented, for example, as a design IP as a building block of a design library, even with programmable logic devices (FPGA, ASIC). There are no special mixed-signal design and manufacturing information model.
Die Erfindung wird nachfolgend anhand der Figuren beispiels¬ weise näher erläutert. Dabei zeigen: The invention will be explained in more detail by way of example with reference to the figures ¬ example. Showing:
Figur 1 einen integrierten Schaltkreis gemäß einer Ausführungsform der Erfindung; 1 shows an integrated circuit according to an embodiment of the invention;
Figur 2 einen integrierten Schaltkreis gemäß einer Ausführungsform der Erfindung; Figur 3 für ein Challenge-Response-Verfahren den Ablauf der FIG. 2 shows an integrated circuit according to an embodiment of the invention; FIG. 3 shows the course of the process for a challenge-response method
Kommunikation zwischen TVU und PTS für eine Ausführungsform der Erfindung;  Communication between TVU and PTS for an embodiment of the invention;
Figur 4 ein Verfahren, welches den Ablauf einer Prüfung ei- nes IC darstellt, für eine Ausführungsform der Erfindung; FIG. 4 shows a method, which represents the sequence of a test of an IC, for an embodiment of the invention;
Figur 5 eine weitere Variante der Erfindung, bei der DegVer und DegPUF IC-intern realisiert sind. FIG. 5 shows a further variant of the invention in which DegVer and DegPUF are implemented internally in the IC.
Figur 1 zeigt eine Ausführungsform der Erfindung, nämlich einen integrierten Schaltkreises 1, im Folgenden auch IC, Chip oder Halbleiter genannt, z.B. ein FPGA oder ein ASIC, mit einer Prüfeinheit 3, im Folgenden auch TVU oder Tamper Verifi- cation Unit genannt. Seitlich sind Kontakte 2, im Folgenden auch Pins oder Schnittstellen genannt, angedeutet, mit denen der als Baustein ausgebildete integrierte Schaltkreis 1, z.B. auf einer Leiterplatte aufgelötet werden kann. Die TVU 3 de- tektiert ein Tampering des ICs 1 durch Auswerten eines Integ¬ ritätssensors 4, im Folgenden auch PUF-basierter Tamper- Sensors, PUF Tamper Sensor, oder PTS genannt. Abhängig vom Prüfergebnis wird ein Enable-Signal E bereitgestellt. Dieses wird z.B. von einer „Main Function" Block 5 ausgewertet, um eine Funktionalität des ICs 1 freizuschalten bzw. zu sperren. Dadurch kann z.B. eine bestimmte Funktionalität oder das ge¬ samte IC 1 deaktiviert werden. In einer Variante können eini¬ ge oder alle der externen Schnittstellen 2 des ICs 1 in einen „Fail Safe Zustand" geschaltet werden. In einer Variante wird ein SafeForUse-Signal durch das IC 1 bereitgestellt, um bei manipuliertem Chip 1 bzw. bei negativem Selbsttest ein Fail- Safe-Signal weiteren externen Bausteinen bereitzustellen. Der integrierter Schaltkreis 1 umfasst den Integritätssensor 4 und die Prüfeinheit 3. Der Integritätssensor 4 basiert auf einer Physical Unclonable Function 24. Die Prüfeinheit 3 ist ausgebildet, dem Integritätssensor 4 ein Challenge-Signal C zu senden und anhand eines darauf durch die Physical Unclo- nable Function 24 erzeugten und durch den Integritätssensor 4 an die Prüfeinheit 3 gesendeten Response-Signales R eine In¬ formation über eine Degradation des integrierten Schaltkreises IC zu ermitteln. Die Prüfeinheit 3 ist ausgebildet, anhand der Information ei¬ ne weitere Information zur durch Alterungsprozesse verursachte Degradation des integrierten Schaltkreises 1 zu ermitteln. Die Prüfeinheit 3 ist zudem ausgebildet, anhand der Informa¬ tion über die Degradation eine physikalische Beschädigung oder Manipulation des integrierten Schaltkreises 1 zu ermitteln . FIG. 1 shows an embodiment of the invention, namely an integrated circuit 1, also referred to below as an IC, chip or semiconductor, eg an FPGA or an ASIC, with a test unit 3, also referred to below as TVU or Tamper Verification Unit. Laterally, contacts 2, also referred to below as pins or interfaces, are indicated, with which the integrated circuit 1 designed as a component, for example, can be soldered onto a printed circuit board. The TVU 3 tampering a tampering of the ICs 1 by evaluating an Integ ¬ ritysensors 4, hereinafter also called PUF-based tamper sensor, PUF tamper sensor, or called PTS. Depending on the test result, an enable signal E is provided. This is for example evaluated by a "Main Function" Block 5 to unlock functionality of the IC 1 or block. This particular functionality or ge ¬ entire IC 1 can be disabled, for example, in a variant eini ¬ ge or all. the external interfaces 2 of the IC 1 are switched to a "fail safe state". In a variant, a SafeForUse signal is provided by the IC 1 in order to provide a fail-safe signal to further external components in the case of a manipulated chip 1 or, in the case of a negative self-test. The integrated circuit 1 comprises the integrity sensor 4 and the test unit 3. The integrity sensor 4 is based on a physical unclonable function 24. The test unit 3 is designed to send a challenge signal C to the integrity sensor 4 and to the integrity detector 4 on the basis of this Function 24 generated and sent by the integrity sensor 4 to the test unit 3 response signal R to determine a In ¬ formation via a degradation of the integrated circuit IC. The test unit 3 is designed to use the information ei ¬ ne further information to determine the aging caused by degradation of the integrated circuit 1. The test unit 3 is designed also to determine physical damage or manipulation of the integrated circuit 1 on the basis of Informa ¬ tion about the degradation.
Die Prüfeinheit 3 ist ausgebildet zu unterscheiden, ob eine ermittelte Degradation des integrierten Schaltkreises 1 auf eine physikalische Manipulation oder einen Alterungsprozess zurückzuführen ist. Gemäß einer bevorzugten Variante ist die Prüfeinheit ausgebildet, diese Unterscheidung anhand des zeitlichen Verlaufs der Information über die Degradation zu vorzunehmen. Dazu umfasst die Prüfeinheit ein Speicherelement 9, in welchem eine Historie von ermittelten Informationen über die Degradation des integrierten Schaltkreises 1 speicherbar ist. Die Prüfeinheit ist ausgebildet, sprunghafte Än- derungen in der Historie von langsam fortschreitenden Änderungen zu unterscheiden und sprunghafte Änderungen auf eine Beschädigung zurückzuführen und langsam fortschreitende Änderungen auf eine Degradation zurückzuführen. Gemäß der bevorzugten Ausführungsform ist die integrierteThe test unit 3 is designed to distinguish whether a determined degradation of the integrated circuit 1 is due to a physical manipulation or an aging process. According to a preferred variant, the test unit is designed to this distinction based on the time course of the information about the degradation make. For this purpose, the test unit comprises a memory element 9 in which a history of determined information about the degradation of the integrated circuit 1 can be stored. The test unit is designed to distinguish sudden changes in the history of slowly progressive changes and to attribute sudden changes to damage and to attribute slowly progressive changes to degradation. According to the preferred embodiment, the integrated
Schaltung 1 digital, insbesondere ein Field Programmable Gate Array (FPGA) oder eine anwendungsspezifische integrierte Schaltung (ASIC) . Bevorzugt ist die Physical Unclonable Func¬ tion 24 digital realisiert. Circuit 1 digital, in particular a Field Programmable Gate Array (FPGA) or an application-specific integrated circuit (ASIC). Preferably, the Physical Unclonable Func ¬ tion 24 is realized digitally.
Figur 2 zeigt eine Ausführungsform eines integrierten Schaltkreises 11, im Folgenden auch IC, Chip oder Halbleiter genannt, bei welchem mehrere Integritätssensoren 4, im Folgenden auch PUF-Tamper-Sensoren oder PTS genannt, auf dem IC 11 vorgesehen sind. Die Integritätssensoren 4 können unregelmäßig (wie im dargestellten Beispiel) oder regelmäßig (z.B. in einer Gitteranordnung) platziert sein. Die Prüfeinheit TVU und der Main Function Block sind in der Figur nicht dargestellt . FIG. 2 shows an embodiment of an integrated circuit 11, also referred to below as IC, chip or semiconductor, in which a plurality of integrity sensors 4, also referred to below as PUF tamper sensors or PTS, are provided on the IC 11. The integrity sensors 4 may be placed irregularly (as in the illustrated example) or regularly (e.g., in a grid array). The test unit TVU and the main function block are not shown in the figure.
Mit andern Worten, gemäß der in Figur 2 dargestellten Ausführungsform, welche mit den Varianten der in Figur 1 dargestellten Ausführungsform kombinierbar ist, umfasst der integrierte Schaltkreis 11 mehrere Integritätssensoren 4, welche vorzugsweise auf der Oberfläche des integrierten Schaltkrei¬ ses 11 verteilt angeordnet sind. Die Prüfeinheit 3 ist ausge¬ bildet, Response-Signale R von unterschiedlichen Integritäts¬ sensoren 4 zu vergleichen und/oder eine starke Korrelation der Response-Signale R von einer schwachen Korrelation zu un- terscheiden. Gemäß weiteren bevorzugten Ausführungsformen ist der integrierte Schaltkreis 1, 11 rekonfigurierbar und/oder umfasst rekonfigurierbare Komponenten. Vorzugsweise umfassen die Integritätssensoren 4 reguläre Komponenten einer Hauptfunktion 5 des integrierten Schaltkreises 1, 11, wie z.B. Datenpfade oder Clock-Pfade. In other words, according to the embodiment shown in Figure 2, which can be combined with the variants of the embodiment shown in Figure 1, the integrated circuit 11 comprises a plurality of integrity sensors 4, which are preferably arranged distributed on the surface of the integrated Schaltkrei ¬ ses 11. The test unit 3 is ¬ forms to compare response signals R of different integrity ¬ sensors 4 and / or differ a strong correlation of the response signals of R a weak correlation to un-. According to further preferred embodiments, the integrated circuit 1, 11 is reconfigurable and / or comprises reconfigurable components. Preferably, the integrity sensors 4 comprise regular components of a main function 5 of the integrated circuit 1, 11, such as data paths or clock paths.
Bevorzugt umfasst die Physical Unclonable Function 24 zumin- dest eine Security-Fuse . The physical unclonable function 24 preferably comprises at least one security fuse.
Gemäß einer weiteren bevorzugten Ausführungsform umfasst die Physical Unclonable Function Leitungen, welche parallel oder nahe zu Signalleitungen, insbesondere Datenpfaden oder Clock- Pfaden, verlaufen welche nicht durch die Physical Unclonable Function umfasst werden. According to a further preferred embodiment, the physical unclonable function comprises lines which run parallel or close to signal lines, in particular data paths or clock paths, which are not encompassed by the physical unclonable function.
Bevorzugt ist die Degradation des integrierten Schaltkreises IC durch den Integritätssensor 4 ermittelbar, indem das Res- ponse-Signal R mit einer Referenz-Response verglichen wird. Preferably, the degradation of the integrated circuit IC by the integrity sensor 4 can be determined by the response signal R is compared with a reference response.
Bevorzugt ist der der integrierte Schaltkreis 1, 11 ausgebil¬ det ist, im Falle einer erkannten Degradation welche einen Schwellwert übersteigt, mindestens eine der folgenden Maßnah- men vorzunehmen: Of the integrated circuit 1 is preferably, 11 is ausgebil ¬ det, in the case of a detected degradation exceeding a threshold value, perform at least one of the following measures:
Bereitstellen einer Degradationsinformation (über Signal an externen Pin, intern für andere Baugruppen des ICs, über Diagnoseschnittstelle) temporäres Deaktivieren des ICs (solange Degradation vorliegt) dauerhaftes Deaktivieren des ICs Provide degradation information (via signal to external pin, internal to other components of the IC, via diagnostic interface) Temporary deactivation of the IC (as long as degradation exists) permanent deactivation of the IC
Deaktivieren (dauerhaft oder temporär) eines betroffenen Teilfunktionalität (mehrere Integritätssensoren über Chipflä¬ che verteilt; es kann der betroffene Bereich ermittelt wer- den; es muss dann nur die Funktionalität des betroffenen Be¬ reichs deaktiviert werden) Disable (permanently or temporarily) a partial functionality affected (more integrity sensors via Chipflä ¬ che distributed; it may be the affected area determined advertising the; it then has only the functionality of the affected Be ¬ Empire deactivated)
Aktivieren eines eingeschränkten Betriebsmodus (z.B. re- duzierte Taktfrequenz, reduzierte Funktionalität, Anpassung der Spannungsregelung, z.B. Anhebung des minimalen Spannungspegels) Activate a restricted mode of operation (e.g., reduced clock frequency, reduced functionality, adjustment of voltage regulation, e.g., raising the minimum voltage level)
Löschen von gespeicherten Daten (insbesondere Schlüsselmaterial)  Deleting stored data (especially key material)
Ein PTS 4 kann in einer Variante „räumlich" auf dem IC ausgedehnt realisiert sein. Bei einer Delay-basierten PUF können z.B. die Delay-Leitungen weite Strecken des ICs überstreichen . A PTS 4 may, in a variant, be implemented "spatially" on the IC 10. For example, in a delay-based PUF, the delay lines may sweep long distances of the IC.
Eine mögliche Ausführung eines PTS besteht in einer Schaltung zur Messung der Kapazität bzw. Impedanz einzelner Signalverbindungen (Daten-/Adresspfade) auf dem Chip, entweder einzeln gegenüber der Chipmasse oder zwischen ausgewählten Leitungs- paaren. Alternativ kann auch eine differenzielle Messung durchgeführt werden, bei der die gemessenen Werte verschiede¬ ner Leitungen bzw. Leitungspaare miteinander verglichen werden. Die zu vergleichenden Leitungen werden dabei durch den an die PUF gesendeten Challenge-Wert bestimmt. Eine konkrete schaltungstechnische Realisierung der Impedanzmessung kann dabei durch einen Oszillator (Ringoszillator, Relaxationsoszillator) , dessen Frequenz durch die Leitungskapazität beein- flusst wird, und einen nachgeschalteten Zähler gegeben sein. In einer weiteren Ausführungsvariante kann auch die TVU mehrfach auf dem IC vorhanden sein. Dadurch wird das Vorhandensein eines einzelnen Angriffspunktes (globales Enable-Signal ) vermieden, an dem ein Angreifer ansetzen könnte, um den Tam- perschutz außer Funktion zu setzen. Dabei kann eine TVU sinn- vollerweise jeweils in der Nähe eines sensitiven Schaltungs¬ blocks (z.B. kryptographische Funktion, Schlüsselspeicher) oder sogar verschachtelt bzw. verwoben damit platziert wer¬ den, wobei der Schaltungsblock ein dediziertes lokales Enable-Signal durch die TVU erhält. Da im Allgemeinen, mehre¬ re sensitive Schaltungsblöcke für die Funktion des Gesamtsys¬ tems notwendig sind, wird die Schwierigkeit eines erfolgrei¬ chen Angriffs noch weiter erhöht. One possible implementation of a PTS is a circuit for measuring the capacitance or impedance of individual signal connections (data / address paths) on the chip, either individually relative to the chip mass or between selected pairs of lines. Alternatively, a differential measurement may be performed in which the measured values Various ¬ ner lines or line pairs are compared with each other. The lines to be compared are determined by the challenge value sent to the PUF. A concrete circuit implementation of the impedance measurement can be provided by an oscillator (ring oscillator, relaxation oscillator), the frequency of which is influenced by the line capacitance, and a downstream counter. In a further embodiment variant, the TVU can also be present several times on the IC. This avoids the presence of a single attack point (global enable signal) that an attacker could use to disable tamper protection. Here, a TVU makes more sense, in each case in the vicinity of a sensitive circuit blocks ¬ (eg cryptographic function key store), or even interleaved or intertwined so placed ¬ the wherein the circuit block, a dedicated local Enable signal received by the TVU. Since, in general, several ¬ re sensitive circuit blocks for the function of Gesamtsys ¬ tems are necessary, the difficulty of erfolgrei ¬ chen attack is further increased.
Figur 3 zeigt für ein Challenge-Response-Verfahren den Ablauf der Kommunikation zwischen TVU 3 und PTS 4. Die TVU 3 wählt im Verfahrensschritt 6 ein Challenge Signal C, respektive ei¬ nen Challenge Wert und sendet dieses, respektive diesen an die PTS 4. Die PTS 4 liefert auf das durch die TVU 3 gesende¬ te Challenge Signal C, respektive den durch die TVU gesende¬ ten Challenge-Wert , ein Response-Signal R, respektive einen Response Wert zurück. Der Response-Wert , respektive das Res¬ ponse-Signal R wird dabei in der PTS 4 im Verfahrensschritt 7 mittels einer PUF bestimmt. Die bereitgestellte Response R wird durch die TVU 3 im Verfahrensschritt 8 geprüft. Dazu können übliche Verfahren eingesetzt werden, z.B. ein Ähnlichkeitsvergleich mit gespeicherten Referenzwerten. Bei erfolgreicher Prüfung stellt die TVU 3 ein Enable-Signal E bereit. Es kann auch für mehrere Challenge-Werte eine Prüfung erfol¬ gen . Figure 3 shows on a challenge-response method the flow of communication between TVU 3 and PTS 4. The TVU 3 selected in the step 6, a Challenge signal C, respectively ei ¬ NEN Challenge value and sends it, respectively, the same to the PTS. 4 the PTS 4 supplies to the gesende ¬ te by the TVU 3 challenge signal C, respectively, the gesende by the TVU ¬ th challenge value, a response signal R, respectively, a response value. The response value, respectively Res ¬ ponse signal R is determined in the PTS 4 in step 7 by a PUF. The provided response R is checked by the TVU 3 in method step 8. For this purpose, conventional methods can be used, eg a similarity comparison with stored reference values. If successful, the TVU 3 provides an enable signal E. It can SUC ¬ gen for several Challenge values a test.
Degradationserkennung : Auch nicht absichtliche Manipulationen lassen sich mit einem erfindungsgemäßen PUF-Integritätssensor 3 erkennen, sondern solche, die durch Alterung, Temperaturbelastung oder Strahlung verursacht sind. Figur 4 zeigt einen möglichen Ablauf der Prüfung: Die Degra- dations-PUF 24, im Folgenden auch DegPuf genannt, soll bei einer Degradation des ICs ihr Verhalten ändern. Eine Degrada- tions-Verifikationseinheit 23, im Folgenden auch DegVer 23 genannt, wählt im Verfahrensschritt 26 einen Challenge-Wert und sendet diesen in einer Challenge-Nachricht C an die Deg- PUF. Die DegPUF bestimmt darauf im Verfahrensschritt 27 einen Response Wert und sendet diesen in einer Response-Nachricht R an die DegVer 23, welche im Verfahrensschritt 28 die durch die DegPuf 24 bereitgestellte Response-Nachricht R, respekti¬ ve deren Response-Wert prüft. Dazu führt sie einen Ähnlich¬ keitsvergleich der erhaltenen Response-Nachricht R mit einer Referenz-Response, respektive einen Ähnlichkeitsvergleich des erhaltenen Response-Wertes mit einem Referenzresponsewert durch. Bei hinreichender Abweichung (gemessen z.B. in Anzahl der unterschiedlichen Bits, d.h. Hamming-Distanz ) wird eine Degradation erkannt. Das Ergebnis kann in einem Ausgabesignal A als Boole-scher Wert (true, false) bereitgestellt werden. Alternativ kann ein mehrstufiger Konfidenzwert bereitgestellt werden (z.B. green, yellow, red; 0..255). Es können mehrere Messungen erfolgen. Dabei können unterschiedliche und/oder identische Challenge-Werte C verwendet werden. Die DegPUF 24 ist auf dem zu überwachenden IC realisiert. Die Prüfung (DegVer) , respektive Ermittlung der Information über die Degradation kann auf dem überwachten IC selbst oder außerhalb des überwachten ICs erfolgen. DegVer 23 kann in Hardware oder Software realisiert sein. Die Referenz-Response wurde z.B. initial bei der Herstellung oder beim Bestücken des ICs erfasst und gespeichert. Degradation detection: Even unintentional manipulations can be detected with a PUF integrity sensor 3 according to the invention, but those which are caused by aging, temperature stress or radiation. FIG. 4 shows a possible sequence of the test: The degradation PUF 24, also referred to below as DegPuf, is to change its behavior in the event of a degradation of the IC. A degradation verification unit 23, also referred to below as DegVer 23, selects a challenge value in method step 26 and sends it in a challenge message C to the Deg-PUF. The DegPUF thereupon determines a response value in method step 27 and sends it in a response message R to the DegVer 23, which in method step 28 passes through DegPuf 24 provided response message R, respekti ¬ ve whose response value checks. For this purpose, it performs a similar ¬ keitsvergleich the obtained response message R to a reference response, respectively, a similarity comparing the obtained response value with a response value by reference. If there is sufficient deviation (measured eg in number of different bits, ie Hamming distance), a degradation is detected. The result can be provided in an output signal A as a Boolean value (true, false). Alternatively, a multi-level confidence value can be provided (eg green, yellow, red, 0..255). Several measurements can be made. Different and / or identical challenge values C can be used. The DegPUF 24 is implemented on the IC to be monitored. The examination (DegVer) or determination of the information about the degradation can take place on the monitored IC itself or outside the monitored IC. DegVer 23 can be implemented in hardware or software. For example, the reference response was initially captured and stored during production or when the IC was being assembled.
Figur 5 zeigt eine Variante, bei der DegVer 23 und DegPUF 24 IC-intern realisiert sind. Einer Hauptfunktion (Main Functi- on) 5 des ICs 21 wird ein entsprechendes Status-Signal N be¬ reitgestellt (NoDegeneration) . FIG. 5 shows a variant in which DegVer 23 and DegPUF 24 are implemented internally in the IC. A main function (Main Functi- on) 5 of the IC 21 is a corresponding status signal N be ¬ riding asked (NoDegeneration).
In anderen Varianten (nicht dargestellt) wird das NoDegen. Signal extern an einem Signal-Pin des ICs bereitgestellt. In einer weiteren Variante ist lediglich DegPUF auf einem IC realisiert und die Schnittstelle zu DegPUF wird extern bereit¬ gestellt (z.B. über I2C, JTAG-Interface) . Die Funktionalität DegVer kann auf einem anderen IC oder auf einem anderen Computer realisiert sein. In other variants (not shown), the NoDegen. Signal provided externally to a signal pin of the IC. In another variant, only DegPUF is implemented on an integrated circuit and the interface to DegPUF is externally provided ¬ provided (for example via I2C, JTAG interface). The functionality DegVer can be realized on another IC or on another computer.

Claims

Patentansprüche claims
1. Integrierter Schaltkreis (1, 11) umfassend einen Integri¬ tätssensor (4) und eine Prüfeinheit (3), wobei: 1. An integrated circuit (1, 11) comprising a Integri ¬ tätssensor (4) and a test unit (3), wherein:
- der Integritätssensor (4) auf einer Physical Unclonable Function (24) basiert und ausgebildet ist, ein Challenge- Signal (C) zu empfangen und anhand des Challenge-Signals (C) ein mit Hilfe der Physical Unclonable Function (24) erzeugtes Response-Signal (R) an die Prüfeinheit (3) zu senden; und - die Prüfeinheit (3) ausgebildet ist, das Response-Signal (R) zu empfangen und anhand des Response-Signales (R) eine Information über eine Degradation des integrierten Schaltkreises (1, 11) zu ermitteln. - the integrity sensor (4) is based on a physical unclonable function (24) and is designed to receive a challenge signal (C) and, based on the challenge signal (C), to generate a response generated by means of the physical unclonable function (24). Send signal (R) to the test unit (3); and - the test unit (3) is designed to receive the response signal (R) and to determine information about a degradation of the integrated circuit (1, 11) on the basis of the response signal (R).
2. Integrierter Schaltkreis (1, 11) gemäß Anspruch 1, wobei die Prüfeinheit (3) ausgebildet ist, anhand der Information eine weitere Information zur durch Alterungsprozesse verur¬ sachte Degradation des integrierten Schaltkreises (1, 11) zu ermitteln . 2. Integrated circuit (1, 11) according to claim 1, wherein the test unit (3) is designed to determine based on the information of a further information on the aging process erur ¬ gentle degradation of the integrated circuit (1, 11).
3. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Prüfeinheit (3) ausgebildet ist, anhand der Information über die Degradation eine physikalische Beschädigung oder Manipulation des integrierten Schalt- kreises (1, 11) zu ermitteln. 3. An integrated circuit (1, 11) according to any of vorange ¬ Henden claims, wherein the test unit (3) is formed, based on the information about the degradation to detect a physical damage or tampering of the integrated switching circuit (11 1).
4. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Prüfeinheit (3) ausgebildet ist zu unterscheiden, ob eine ermittelte Degradation des integ- rierten Schaltkreises (1, 11) auf eine physikalische Manipu¬ lation oder einen Alterungsprozess zurückzuführen ist. 4. An integrated circuit (1, 11) according to any of vorange ¬ Henden claims, wherein the test unit (3) is configured to distinguish whether a detected degradation of the inte- tured circuit (1, 11) to a physical Manipu ¬ lation or Aging process is due.
5. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Prüfeinheit (3) ausgebildet ist, anhand des zeitlichen Verlaufs der Information über die Degradation zu unterscheiden, ob eine ermittelte Degradation des integrierten Schaltkreises (1, 11) auf eine physikalische Manipulation oder einen Alterungsprozess zurückzuführen ist. 5. An integrated circuit (1, 11) according to any of vorange ¬ Henden claims, wherein the test unit (3) is designed to distinguish on the basis of the time profile of the information about the degradation of whether a detected degradation of the integrated circuit (1, 11) is due to a physical manipulation or an aging process.
6. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Prüfeinheit (3) ausgebildet ist, eine Historie von ermittelten Informationen über die Degrada- tion des integrierten Schaltkreises (1, 11) zu speichern und sprunghafte Änderungen in der Historie von langsam fortschreitenden Änderungen zu unterscheiden. 6. Integrated circuit (1, 11) according to any of vorange ¬ Henden claims, wherein the test unit (3) is formed, a history of determined information on the Degrada- tion of the integrated circuit (1, 11) to store and abrupt changes in to distinguish the history from slowly progressing changes.
7. Integrierter Schaltkreis (1, 11) gemäß einem der vorange- henden Ansprüche, wobei die Prüfeinheit (3) ausgebildet ist, sprunghafte Änderungen auf eine Beschädigung zurückzuführen und langsam fortschreitende Änderungen auf eine Degradation zurückzuführen . 7. An integrated circuit (1, 11) according to one of the preceding claims, wherein the test unit (3) is designed to return sudden changes to damage and to attribute gradual changes to degradation.
8. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die integrierte Schaltung (1, 11) di¬ gital , insbesondere ein Field Programmable Gate Array (FPGA) oder eine anwendungsspezifische integrierte Schaltung (ASIC) ist . 8. An integrated circuit (1, 11) according to any of vorange ¬ Henden claims, wherein the integrated circuit (1, 11) di ¬ gital, in particular a field-programmable gate array (FPGA) or an application specific integrated circuit (ASIC).
9. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Physical Unclonable Function (24) digital realisiert ist. 9. An integrated circuit (1, 11) according to any of vorange ¬ Henden claims, wherein the physical unclonable function (24) is implemented digitally.
10. Integrierter Schaltkreis (11) gemäß einem der vorangehen¬ den Ansprüche, wobei der integrierte Schaltkreis (11) mehrere Integritätssensoren (4) umfasst, welche vorzugsweise auf der Oberfläche des integrierten Schaltkreises (11) verteilt ange¬ ordnet sind. 10. An integrated circuit (11) according to any one of the preceding ¬ claims, wherein the integrated circuit (11) comprises a plurality of integrity sensors (4), which is preferably on the surface of the integrated circuit (11) distributed are ¬ arranged.
11. Integrierter Schaltkreis (11) gemäß Anspruch 10, wobei die Prüfeinheit (3) ausgebildet ist, Response-Signale (R) von unterschiedlichen Integritätssensoren (4) zu vergleichen und/oder eine starke Korrelation der Response-Signale (R) von einer schwachen Korrelation zu unterscheiden. 11. Integrated circuit (11) according to claim 10, wherein the test unit (3) is adapted to compare response signals (R) of different integrity sensors (4) and / or a strong correlation of the response signals (R) from a weak one To distinguish correlation.
12. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei der integrierte Schaltkreis (1, 11) rekonfigurierbar ist und/oder rekonfigurierbare Komponenten aufweist . 12. An integrated circuit (1, 11) according to any of vorange ¬ Henden claims, wherein the integrated circuit (1, 11) is reconfigurable and / or has reconfigurable components.
13. Integrierter Schaltkreis (1, 11) gemäß einem der vorange- henden Ansprüche, wobei der Integritätssensor (4) reguläre Komponenten einer Hauptfunktion (5) des integrierten Schaltkreises (1, 11), wie z.B. Datenpfade oder Clock-Pfade, mit¬ nutzt . 13. Integrated circuit (1, 11) according to one of the preceding claims, wherein the integrity sensor (4) uses regular components of a main function (5) of the integrated circuit (1, 11), such as data paths or clock paths ¬ ,
14. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Physical Unclonable Function (24) zumindest eine Security-Fuse umfasst. 14. An integrated circuit (1, 11) according to any of vorange ¬ Henden claims, wherein the physical unclonable function (24) comprises at least one security fuse.
15. Integrierter Schaltkreis (1, 11) gemäß einem der vorange- henden Ansprüche, wobei die Physical Unclonable Function Lei¬ tungen umfasst, welche parallel oder nahe zu Signalleitungen, insbesondere Datenpfaden oder Clock-Pfaden, verlaufen welche nicht durch die Physical Unclonable Function umfasst werden. 15. Integrated circuit (1, 11) according to one of the preceding claims, wherein the Physical Unclonable Function Lei ¬ lines includes, which parallel or close to signal lines, in particular data paths or clock paths, which does not include by the Physical Unclonable Function become.
16. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei die Degradation des integrierten Schaltkreises (1, 11) durch den Integritätssensor (4) ermittelbar ist, indem das Response-Signal (R) mit einer Referenz- Response verglichen wird. 16. An integrated circuit (1, 11) according to any of vorange ¬ Henden claims, wherein the degradation of the integrated circuit (1, 11) through the integrity sensor (4) is determined by the response signal (R) with a reference Response is compared.
17. Integrierter Schaltkreis (1, 11) gemäß einem der vorange¬ henden Ansprüche, wobei der integrierte Schaltkreis (1, 11) ausgebildet ist, im Falle einer erkannten Degradation welche einen Schwellwert übersteigt, mindestens eine der folgenden Massnahmen vorzunehmen: 17. An integrated circuit (1, 11) according to any of vorange ¬ Henden claims, wherein the integrated circuit (1, 11) is designed, in the event of a detected degradation exceeding a threshold value, perform at least one of the following measures:
Bereitstellen der Information über die Degradation;  Providing the information about the degradation;
temporäres Deaktivieren des integrierten Schaltkreises Temporarily disable the integrated circuit
(1, 11); (1, 11);
dauerhaftes Deaktivieren des integrierten Schaltkreises (1, 11);  permanently deactivating the integrated circuit (1, 11);
Deaktivieren einer betroffenen Teilfunktionalität des integrierten Schaltkreises (1, 11); Aktivieren eines eingeschränkten Betriebsmodus des integrierten Schaltkreises (1, 11); Deactivating an affected sub-functionality of the integrated circuit (1, 11); Activating a restricted mode of operation of the integrated circuit (1, 11);
Löschen von gespeicherten Daten. Delete stored data.
EP13729639.8A 2012-07-17 2013-06-05 Use of a (digital) puf for carrying out physical degradation / tamper recognition of a digital ics Withdrawn EP2847707A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102012212471A DE102012212471B3 (en) 2012-07-17 2012-07-17 Apparatus for realizing physical degradation / tamper detection of a digital IC by means of a (digital) PUF and distinguishing between a degradation due to physical manipulation and aging processes
PCT/EP2013/061586 WO2014012701A1 (en) 2012-07-17 2013-06-05 Use of a (digital) puf for carrying out physical degradation / tamper recognition of a digital ics

Publications (1)

Publication Number Publication Date
EP2847707A1 true EP2847707A1 (en) 2015-03-18

Family

ID=48652004

Family Applications (1)

Application Number Title Priority Date Filing Date
EP13729639.8A Withdrawn EP2847707A1 (en) 2012-07-17 2013-06-05 Use of a (digital) puf for carrying out physical degradation / tamper recognition of a digital ics

Country Status (5)

Country Link
US (1) US20150192637A1 (en)
EP (1) EP2847707A1 (en)
CN (1) CN104471583A (en)
DE (1) DE102012212471B3 (en)
WO (1) WO2014012701A1 (en)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9279856B2 (en) * 2012-10-22 2016-03-08 Infineon Technologies Ag Die, chip, method for driving a die or a chip and method for manufacturing a die or a chip
JP6129654B2 (en) * 2013-06-13 2017-05-17 株式会社東芝 Authentication apparatus, authentication method, and program
US9992031B2 (en) * 2013-09-27 2018-06-05 Intel Corporation Dark bits to reduce physically unclonable function error rates
US9806884B2 (en) * 2014-01-10 2017-10-31 Robert Bosch Gmbh System and method for cryptographic key identification
DE102014208210A1 (en) * 2014-04-30 2015-11-19 Siemens Aktiengesellschaft Derive a device-specific value
US10432409B2 (en) 2014-05-05 2019-10-01 Analog Devices, Inc. Authentication system and device including physical unclonable function and threshold cryptography
US9501664B1 (en) * 2014-12-15 2016-11-22 Sandia Corporation Method, apparatus and system to compensate for drift by physically unclonable function circuitry
CN108474812A (en) * 2015-10-29 2018-08-31 加利福尼亚大学董事会 Aging sensor and personation integrated circuit detection
US9607952B1 (en) 2015-10-30 2017-03-28 International Business Machines Corporation High-z oxide nanoparticles embedded in semiconductor package
WO2017087238A1 (en) * 2015-11-16 2017-05-26 Arizona Board Of Regents Acting For And On Behalf Of Northern Arizona University Multi-state unclonable functions and related systems
US10445531B2 (en) 2016-05-26 2019-10-15 Raytheon Company Authentication system and method
US10452872B2 (en) 2016-05-26 2019-10-22 Raytheon Company Detection system for detecting changes to circuitry and method of using the same
CN106020170B (en) * 2016-07-07 2019-03-15 工业和信息化部电子第五研究所 The method, apparatus and system of SoC health monitoring
US10469083B2 (en) 2016-07-10 2019-11-05 Imec Vzw Breakdown-based physical unclonable function
CN106546908B (en) * 2016-10-27 2019-05-21 电子科技大学 IC chip
US10425235B2 (en) 2017-06-02 2019-09-24 Analog Devices, Inc. Device and system with global tamper resistance
US10958452B2 (en) 2017-06-06 2021-03-23 Analog Devices, Inc. System and device including reconfigurable physical unclonable functions and threshold cryptography
US10938580B2 (en) * 2017-06-06 2021-03-02 Analog Devices, Inc. System and device employing physical unclonable functions for tamper penalties
DE102017214057A1 (en) * 2017-08-11 2019-02-14 Siemens Aktiengesellschaft Method for checking the integrity of system components of a system and arrangement for carrying out the method
US20190140851A1 (en) * 2017-11-09 2019-05-09 iMQ Technology Inc. Secure logic system with physically unclonable function
CN107689872A (en) * 2017-11-24 2018-02-13 北京中电华大电子设计有限责任公司 A kind of circuit structure for realizing the unclonable function of physics
EP3506548A1 (en) * 2017-12-27 2019-07-03 Secure-IC SAS Quantitative digital sensor
US11151290B2 (en) 2018-09-17 2021-10-19 Analog Devices, Inc. Tamper-resistant component networks
CN109542068B (en) * 2018-12-10 2022-04-19 武汉中原电子集团有限公司 High-temperature electrified aging and control system
DE102018132996A1 (en) * 2018-12-19 2020-06-25 Uniscon Universal Identity Control Gmbh Procedure for monitoring the integrity of a physical object
US11269999B2 (en) * 2019-07-01 2022-03-08 At&T Intellectual Property I, L.P. Protecting computing devices from malicious tampering
US11106832B1 (en) * 2019-12-31 2021-08-31 Management Services Group, Inc. Secure compute device housing with sensors, and methods and systems for the same
DE102020109446A1 (en) * 2020-04-03 2021-10-07 Bundesdruckerei Gmbh Test object with time window-related response function
US11784835B2 (en) 2021-02-24 2023-10-10 Nvidia Corp. Detection and mitigation of unstable cells in unclonable cell array
US11750192B2 (en) * 2021-02-24 2023-09-05 Nvidia Corp. Stability of bit generating cells through aging
US20230237201A1 (en) * 2022-01-21 2023-07-27 Nvidia Corporation Selective communication interfaces for programmable parts
US12131800B2 (en) 2022-11-16 2024-10-29 Nvidia Corp. Physically unclonable cell using dual-interlocking and error correction techniques

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7840803B2 (en) * 2002-04-16 2010-11-23 Massachusetts Institute Of Technology Authentication of integrated circuits
JP2007511810A (en) * 2003-05-16 2007-05-10 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ Proof of execution using random number functions
ES2632958T3 (en) * 2007-06-14 2017-09-18 Intrinsic Id B.V. Method and device to provide digital security
JP2011526113A (en) * 2008-06-27 2011-09-29 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ Apparatus, system, and method for verifying authenticity, integrity, and / or physical state of an item
US7761714B2 (en) * 2008-10-02 2010-07-20 Infineon Technologies Ag Integrated circuit and method for preventing an unauthorized access to a digital value
EP2465069B1 (en) * 2009-08-14 2018-02-21 Intrinsic ID B.V. Physically unclonable function with tamper prevention and anti-aging system
KR101727130B1 (en) * 2010-01-20 2017-04-14 인트린직 아이디 비브이 Device and method for obtaining a cryptographic key
US20130147511A1 (en) * 2011-12-07 2013-06-13 Patrick Koeberl Offline Device Authentication and Anti-Counterfeiting Using Physically Unclonable Functions
US20140041040A1 (en) * 2012-08-01 2014-02-06 The Regents Of The University Of California Creating secure multiparty communication primitives using transistor delay quantization in public physically unclonable functions

Also Published As

Publication number Publication date
DE102012212471B3 (en) 2013-11-21
US20150192637A1 (en) 2015-07-09
CN104471583A (en) 2015-03-25
WO2014012701A1 (en) 2014-01-23

Similar Documents

Publication Publication Date Title
DE102012212471B3 (en) Apparatus for realizing physical degradation / tamper detection of a digital IC by means of a (digital) PUF and distinguishing between a degradation due to physical manipulation and aging processes
EP1053518B1 (en) Protection circuit for an integrated circuit
WO2014048631A1 (en) Self-test of a physical unclonable function
DE102011002706B4 (en) Device and method for protecting a security module against manipulation attempts in a field device
DE102012109665A1 (en) Tamper Detection Measures to Abandon Physical Attacks on a Security ASIC
EP2795601B1 (en) Method and device for recognizing a manipulation on an electrical line
US20200395315A1 (en) On-chip security circuit for detecting and protecting against invasive attacks
DE102014208838A1 (en) Method for operating a control device
DE102014208855A1 (en) Method for carrying out communication between control units
EP3332528B1 (en) Monitoring an integrity of a test dataset
DE102013227165A1 (en) Monitoring device for monitoring a circuit
DE102018120328A1 (en) Safety device with extended reliability
DE102005056940B4 (en) Apparatus and method for non-volatile storage of a status value
DE102013204274A1 (en) Method for detecting a correlation
EP2689373B1 (en) Detecting attacks on a portable data carrier
CN101221610B (en) Integrated circuit and its anti-counterfeiting method
DE102020114099A1 (en) FUNCTIONAL SAFETY VIA TRACK-AND-ERROR
EP2666117B1 (en) Method for testing tamper protection of a field device and field device having tamper protection
EP3136268B1 (en) Method for analyzing the security of a logic circuit
WO2015071002A1 (en) Access to a memory
DE102017214057A1 (en) Method for checking the integrity of system components of a system and arrangement for carrying out the method
EP3869367A1 (en) Integrity status device, computer program and productcomputer based method for storing an integrity status,
EP2983103A1 (en) Integrated circuit with distributed clock tampering detectors
WO2020088908A1 (en) Apparatus and method of operation for checking operating data of a secured starting operating phase of a device usable in particular in an industrial plant environment
DE10258178B4 (en) Circuit with security measures against spying on the circuit

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20141118

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAX Request for extension of the european patent (deleted)
RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: SIEMENS AKTIENGESELLSCHAFT

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20180103