FR2938953A1 - Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique. - Google Patents
Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique. Download PDFInfo
- Publication number
- FR2938953A1 FR2938953A1 FR0806563A FR0806563A FR2938953A1 FR 2938953 A1 FR2938953 A1 FR 2938953A1 FR 0806563 A FR0806563 A FR 0806563A FR 0806563 A FR0806563 A FR 0806563A FR 2938953 A1 FR2938953 A1 FR 2938953A1
- Authority
- FR
- France
- Prior art keywords
- integrated circuit
- circuit
- substrate
- detection
- chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/073—Special arrangements for circuits, e.g. for protecting identification code in memory
- G06K19/07309—Means for preventing undesired reading or writing from or onto record carriers
- G06K19/07372—Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L23/00—Details of semiconductor or other solid state devices
- H01L23/57—Protection from inspection, reverse engineering or tampering
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2224/00—Indexing scheme for arrangements for connecting or disconnecting semiconductor or solid-state bodies and methods related thereto as covered by H01L24/00
- H01L2224/01—Means for bonding being attached to, or being formed on, the surface to be connected, e.g. chip-to-package, die-attach, "first-level" interconnects; Manufacturing methods related thereto
- H01L2224/42—Wire connectors; Manufacturing methods related thereto
- H01L2224/47—Structure, shape, material or disposition of the wire connectors after the connecting process
- H01L2224/49—Structure, shape, material or disposition of the wire connectors after the connecting process of a plurality of wire connectors
- H01L2224/491—Disposition
- H01L2224/4912—Layout
- H01L2224/49171—Fan-out arrangements
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L24/00—Arrangements for connecting or disconnecting semiconductor or solid-state bodies; Methods or apparatus related thereto
- H01L24/01—Means for bonding being attached to, or being formed on, the surface to be connected, e.g. chip-to-package, die-attach, "first-level" interconnects; Manufacturing methods related thereto
- H01L24/42—Wire connectors; Manufacturing methods related thereto
- H01L24/47—Structure, shape, material or disposition of the wire connectors after the connecting process
- H01L24/49—Structure, shape, material or disposition of the wire connectors after the connecting process of a plurality of wire connectors
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2924/00—Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
- H01L2924/0001—Technical content checked by a classifier
- H01L2924/00014—Technical content checked by a classifier the subject-matter covered by the group, the symbol of which is combined with the symbol of this group, being disclosed without further technical details
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2924/00—Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
- H01L2924/01—Chemical elements
- H01L2924/01079—Gold [Au]
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2924/00—Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
- H01L2924/01—Chemical elements
- H01L2924/01087—Francium [Fr]
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2924/00—Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
- H01L2924/10—Details of semiconductor or other solid state devices to be connected
- H01L2924/102—Material of the semiconductor or solid state bodies
- H01L2924/1025—Semiconducting materials
- H01L2924/10251—Elemental semiconductors, i.e. Group IV
- H01L2924/10253—Silicon [Si]
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2924/00—Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
- H01L2924/10—Details of semiconductor or other solid state devices to be connected
- H01L2924/11—Device type
- H01L2924/14—Integrated circuits
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2924/00—Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
- H01L2924/15—Details of package parts other than the semiconductor or other solid state devices to be connected
- H01L2924/151—Die mounting substrate
- H01L2924/153—Connection portion
- H01L2924/1531—Connection portion the connection portion being formed only on the surface of the substrate opposite to the die mounting surface
- H01L2924/15311—Connection portion the connection portion being formed only on the surface of the substrate opposite to the die mounting surface being a ball array, e.g. BGA
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Condensed Matter Physics & Semiconductors (AREA)
- Power Engineering (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Semiconductor Integrated Circuits (AREA)
- Storage Device Security (AREA)
Abstract
L'invention concerne un circuit intégré électronique comportant une puce électronique (1) fixée sur un substrat (3), l'ensemble étant protégé par un boitier, la puce électronique étant pourvue de plots d'entrée/sortie (2) connectés à des patins de liaison (6) disposés sur le substrat, ce circuit étant caractérisé en ce qu'il est pourvu en outre d'au moins un moyen de détection d'intrusion (9,10) apte à détecter une intrusion mécanique et/ou chimique à l'intérieur du boitier et/ou une tentative d'accès à une zone sensible du circuit intégré.
Description
Dispositif de protection d'un boitier de circuit intégré électronique contre les intrusions par voie physique ou chimique
L'invention concerne la réalisation d'un boîtier pour circuit intégré permettant de détecter l'intrusion physique dans ledit boitier. L'invention a notamment pour application la protection des secrets éventuellement contenus dans ledit circuit intégré, en cas d'attaque physique, par exemple en détruisant les secrets contenus dans un circuit intégré en cas d'intrusion dans son boîtier.
Définitions : A titre de vocabulaire, la puce désigne le circuit intégré proprement dit, provenant du découpage d'une plaquette de silicium, appelée wafer en terminologie anglo-saxonne. Le substrat désigne un mini PCB ( Printed Circuit Board en terminologie anglo-saxonne, ou circuit imprimé), permettant la liaison entre les connections ou plots externes et la puce elle-même. Le composant désigne l'ensemble du substrat, de la puce et du boitier recouvrant le tout. Le circuit imprimé PCB désigne la carte électronique sur laquelle vient 20 se poser le composant. La puce est habituellement déposée sur le substrat (hormis pour la technologie dite flip-chip ), lors de l'opération dite de die attach en terminologie anglo-saxonne, et collée grâce à une colle époxy conductrice. La connexion spécifiquement entre le substrat et la puce se fait de 25 multiples façons, selon les technologies choisies. Par exemple, dans le cadre classique, on réalise une interconnexion à base filaire consistant à relier par des fils conducteurs le substrat à la puce, les fils conducteurs reposant sur des patins côté substrat et sur des plots côté puce. Pour la technologie dite flipchip , la connexion électrique entre la puce et le substrat se fait par des billes 30 conductrices soudées sous le composant et sur le substrat.
La connexion électrique entre le composant et le circuit imprimé PCB se fait de multiple façons selon les technologies choisies, par exemple par l'intermédiaire de billes conductrices sur un conditionnement dit BGA, qui est un acronyme pour Bali Grid Array en terminologie anglo-saxonne.
Ainsi, considérant une puce BGA non flip-chip, tout signal, en particulier un signal sensible, en provenance du circuit imprimé PCB, va passer par les billes, puis à travers le substrat, via les patins, sur les fils d'interconnexion, puis les patins, pour finalement être acheminé dans la puce.
Etat de la technique : Il existe plusieurs types de circuits intégrés dédiés à la sécurité de l'information, et il est aujourd'hui courant de faire reposer la sécurité d'un système électronique ou informatique sur un circuit intégré assurant les fonctions de sécurité.
Un exemple bien connu est celui de la carte à puce, qui est pourvue d'un circuit intégré qui a pour fonction de protéger des informations sensibles, telles que des clés. Ces clés sécurisent par exemple des transactions bancaires, la facturation téléphonique, ou des transactions d'achat à distance. Or les circuits intégrés pour cartes à puce n'ont qu'une seule broche d'entrée/sortie. Il est donc aisé de chiffrer les données circulant sur cette broche, de sorte qu'il n'est pas utile de sécuriser le boîtier en tant que tel. Un autre exemple de circuit dédié à la sécurité est le TPM (acronyme pour Trusted Platform Module en terminologie anglo-saxonne) qui, à l'initiative des géants de l'informatique, se trouve aujourd'hui présent sur quasiment tous les ordinateurs portables professionnels, et ces TPM équiperont probablement demain l'ensemble des ordinateurs personnels vendus dans le monde. Les circuits sécurisés complexes, en particulier les circuits TPM, ont un bien plus grand nombre d'entrées/sorties qu'un circuit pour carte à puce (28 broches pour le TPM). Ainsi, la sécurisation du composant requière la protection des informations sensibles circulant sur cette multitude d'entrées/sorties, de sorte qu'un attaquant ne puisse en obtenir des informations ni les forcer aux valeurs qu'il souhaite. On voit dès lors que la solution du cryptage adaptée dans le cas des circuits pour cartes à puce, n'est plus adaptée dans le cas des circuits sécurisés complexes, puisque la puissance de calcul nécessaire pour crypter et décrypter en temps réel une vingtaine de signaux, voire davantage, serait rédhibitoire en termes de performances nécessaires, et de coût. Dès lors, une nouvelle solution est nécessaire pour sécuriser des circuits complexes pourvus d'une multitude d'entrées/sorties.
Par ailleurs, on constate que les dispositifs d'analyse physique et électrique de circuits intégrés progressent rapidement. Parmi ces dispositifs, on trouve notamment le microscope électronique à balayage, les dispositifs à faisceau d'ions focalisés (désignés par FIB pour Focalized Ion Beam en terminologie anglo-saxonne), ou encore les dispositifs d'analyse d'émission de photons par les jonctions (encore appelés Emiscope ). Ces équipements, destinés à la base à la mise au point des circuits intégrés, peuvent aussi être utilisés par certains comme de redoutables moyens d'attaque dirigés contre la sécurité des circuits. Néanmoins, dans ce contexte, il est important de noter que pour tous ces dispositifs, l'ouverture du boîtier est le préalable à la mise en oeuvre de l'attaque. Une façon de répondre à la problématique consisterait donc en principe à protéger l'ensemble du circuit, en protégeant le boitier du circuit contre les intrusions physiques.
La protection du boitier peut être relativement simple dans certains cas, par exemple en déposant un revêtement en résine par-dessus le circuit intégré, pour des conditionnements de type Chip on Board ou lorsque les composants sécurisés sont des micromodules de cartes à puces.
Mais une telle protection est inefficace, puisqu'une simple attaque chimique permet d'enlever le revêtement en résine déposé à la pose du circuit sur son support, et d'accéder au circuit (la puce) intégré proprement dit. La protection du boitier contre les intrusions physiques est plus complexe sur d'autres implémentations, si l'intégrateur a prévu des protections supplémentaires lors du montage final du circuit intégré sur son support. Par exemple, il est connu de recouvrir le circuit par un dépôt, un capot ou un couvercle de type variable (dépôt de résine, capot métallique). Ce dernier peut être très simple, assurant ainsi une protection mécanique minimale car uniquement passive. On connaît également des protections externes plus élaborées, sous la forme de circuits conducteurs dans lesquels transite un signal électrique destiné à détecter toute intrusion dans le couvercle par un contrôle de ce signal par les mécanismes de sécurité, les circuits conducteurs étant disposés généralement dans un matériau empêchant leur accès (résine, gel, ...). Un exemple très représentatif d'un tel revêtement fournissant un haut niveau de sécurité est le produit appelé tamper-respondent security enclosure de WL Gore & Associates. Néanmoins, cette option de protection externe présente de gros inconvénients pour l'intégrateur du circuit dans le produit final. En effet : - l'intégration du composant ainsi protégé est par définition plus compliquée à réaliser, car elle nécessite des éléments supplémentaires, comme par exemple un capot, de l'outillage supplémentaire pour la pose du capot, du temps supplémentaire pour le montage du capot et le séchage de la résine ; - le coût de fabrication est plus élevé, du fait du matériel supplémentaire requis et des étapes de fabrication supplémentaires ; - le rendement sur la fabrication du produit final est impacté négativement ; - le risque est plus élevé d'un point sécurité car des modifications fonctionnelles sur le produit final peuvent impliquer de repenser cette protection ; - la protection externe doit être validée par des laboratoires de certification.
Buts de l'invention : Un but général de l'invention est de proposer un dispositif et un procédé de protection d'un boitier de circuit intégré, qui soit apte à remédier aux inconvénients des systèmes de protection connus dans l'état de la technique. Un autre but plus spécifique de l'invention est de proposer un dispositif de protection simple et efficace des boitiers de circuits intégrés, permettant de détecter toute ouverture éventuelle du boitier pour accéder à une zone sensible du circuit intégré. Un autre but de l'invention est de proposer un dispositif de protection qui soit peu coûteux à réaliser.
Résumé de l'invention : Le principe de l'invention consiste à disposer, suivant un certain motif, un élément fragile contenant un matériau conducteur, l'élément fragile étant introduit dans la continuité d'un circuit de détection d'intrusion.
Ainsi, ce circuit de détection conduit un signal qui permet de vérifier la continuité électrique du circuit de détection. Le signal utilisé peut avoir de multiples formes, statique ou dynamique (i.e. changeant en permanence de formes). La vérification de la continuité électrique du circuit de détection se fait par exemple par comparaison de l'entrée dudit circuit de détection et de la sortie. La politique de sécurité décide des suites à donner à cette vérification et à la détection potentielle d'une tentative d'intrusion, une suite possible étant par exemple l'effacement des clés stockées dans le circuit intégré. Pour mettre en oeuvre ce principe, l'invention a pour objet un circuit intégré électronique comportant une puce électronique fixée sur un substrat, l'ensemble étant protégé par un boitier, la puce électronique étant pourvue de plots d'entrée/sortie connectés à des patins de liaison disposés sur le substrat, ce circuit étant caractérisé en ce qu'il est pourvu en outre d'au moins un moyen de détection d'intrusion apte à détecter une intrusion mécanique et/ou chimique à l'intérieur du boitier et/ou une tentative d'accès à une zone sensible du circuit intégré. Selon l'invention, ledit moyen de détection d'intrusion comporte un circuit de détection enfoui dans le substrat ou déposé sur le substrat, ce circuit de détection étant aménagé de manière à passer au voisinage immédiat de certaines zones sensibles du circuit intégré, de manière que toute tentative d'accès à l'une quelconque desdites zones sensibles entraine une modification de l'état électrique (fermé/ouvert) du circuit de détection. A cet effet, le circuit de détection comporte des zones fragilisées, aménagées au voisinage immédiat desdites zones sensibles de telle manière qu'un accès physique ou chimique au voisinage d'une zone sensible entraine la destruction de la zone fragilisée adjacente et la détection de l'intrusion dans le circuit. Avantageusement, les zones fragilisées sont réalisées sous la forme de gouttelettes de résine conductrice, aménagées au voisinage desdites zones sensibles.
De préférence, les gouttelettes de résine conductrice ont une taille inférieure à environ 1000 micromètres, et sont espacées des zones sensibles à protéger par un espace de l'ordre de 50 micromètres. Selon un mode de réalisation de l'invention, les zones fragilisées du circuit de détection sont réparties de façon aléatoire dans ou sur le substrat du circuit intégré. En variante de réalisation, les zones fragilisées du circuit de diffusion sont réparties selon un motif de diffusion conducteur du substrat, notamment en forme de grille. Certains points de jonction du motif de diffusion qui sont proches des zones sensibles sont alors remontés à la surface du substrat par l'intermédiaire de traversées conductrices et pourvus d'une zone fragilisée.
Selon un mode de réalisation de l'invention, le circuit de détection d'intrusion est aménagé directement sur la puce au lieu du substrat ou en complément du substrat, la connexion du circuit de détection d'intrusion étant effectuée sur les plots d'entrée/sortie de la puce.
Avantageusement, le circuit de détection est réalisé sous la forme d'un circuit électriquement ouvert au voisinage des zones sensibles, de façon qu'une attaque chimique par un liquide conducteur provoque la fermeture du circuit au voisinage des zones sensibles et par conséquent la détection de l'attaque chimique.
En variante, le circuit de détection est réalisé sous la forme d'un circuit électriquement fermé au voisinage des zones sensibles, de façon qu'une attaque chimique par un liquide conducteur provoque l'ouverture du circuit au voisinage des zones sensibles et par conséquent la détection de l'attaque chimique.
L'invention sera mieux comprise à la lecture de la description détaillée qui s'ensuit, et des figures, dans lesquelles : - la Figure 1 représente en élévation et en coupe la structure schématique classique d'un boitier de circuit intégré monté sur substrat connecté à un support ; - la Figure 2 représente une vue plus détaillée en élévation et en coupe d'une puce montée sur un substrat avec connexion filaire entre la puce et le substrat au moyen d'interconnexions et de patins de liaison ; - la Figure 3 représente le dispositif de la Figure 2 en vue en plan ; - la Figure 4 représente une vue en élévation et en coupe similaire à celle de la Figure 2, mais incluant un circuit de détection d'intrusion selon l'invention ; - la Figure 5 représente le dispositif de la Figure 4, en vue en plan. On se réfère à la Figure 1. On a représenté dans cette figure une puce 1 unitaire issue du découpage d'une tranche de silicium, et comportant des plots ou bornes électriques 2 pour la connexion électrique à l'environnement de la puce. La puce est fixée sur un substrat 3 (tout type de matériau isolant) lui-même soudé sur un circuit imprimé 4 au moyen d'une matrice de billes BGA 5. Le circuit imprimé 4 comporte des plages d'accueil d'un diamètre adéquat (non représentées). Le pas entre les billes est en général de l'ordre du mm. Les billes de brasage 5 réalisent la jonction électrique entre les plots 2 de la puce 1, et les pistes conductrices du circuit imprimé 4. Comme représenté plus en détail sur les Figures 2 et 3, les plots 2 de la puce 1 sont connectés à des patins 6 du substrat 3 par l'intermédiaire de fils conducteurs 7, typiquement en or ou en aluminium. En outre, les patins 6 sont chacun reliés à une bille 5 par l'intermédiaire d'un circuit 8 intégré au substrat 3. Ainsi, un signal conduit vers le patin 6 de liaison est ensuite acheminé vers la bille 5 correspondante du BGA par le circuit 8 présent dans le substrat. On se réfère à la Figure 4 qui représente une vue en élévation et en coupe similaire à celle de la Figure 2, mais incluant un circuit 9 de détection d'intrusion pourvu selon l'invention de zones fragiles. Le circuit de détection 9 est enfoui dans le substrat 3 ou déposé sur lui, ou en partie enfoui et en partie déposé sur le substrat. Ce circuit de détection 9, et en particulier la partie correspondant à l'élément fragile, a pour finalité de garantir l'intégrité et la protection d'éléments sensibles sur le composant. Ces éléments sensibles sont notamment des mémoires contenant des données sensibles, ou d'autres puces ou circuits transportant des signaux sensibles. Le circuit de détection 9 remonte vers des éléments fragiles, notamment réalisés sous la forme de gouttelettes de détection 10, mais bien entendu d'autres modes de réalisation d'éléments fragiles sont à la portée de l'homme de métier. Les gouttelettes sont déposées sur la surface du substrat 3, à proximité de ceux des patins de liaison 6 qui sont considérés comme sensibles, de sorte que toute atteinte physique ou chimique à une zone sensible, se traduirait par une destruction de l'élément fragile le plus proche, ce qui activerait une alarme connectée au circuit de détection.
Comme représenté sur la figure 5, le circuit de détection 9 relie les gouttelettes de détection entre elles, de sorte que toute atteinte au circuit ou à l'une des gouttelettes de détection, interrompt le circuit 9, ce qui génère une alerte exploitable pour, par exemple, détruire les secrets stockés dans la mémoire de la puce 1. De préférence, le circuit de détection 9 est enfoui dans des couches internes du substrat 3 et est donc considéré comme inaccessible. Ce circuit remonte alors à la surface du substrat 3 par l'intermédiaire de traversées conductrices (non représentées). Une gouttelette assure donc la liaison entre 2 traversées et l'ensemble des gouttelettes ferme ainsi le circuit de détection. Il est clair que pour assurer une bonne efficacité de la détection des intrusions vers des zones sensibles, les gouttelettes 10 et les patins de liaison 6, ainsi que leurs interconnexions, doivent être de la dimension la plus réduite possible, compte tenu des impératifs de coût de fabrication.
Ainsi, avec les technologies actuelles de réalisation de circuits, les dimensions aisément atteignables sont de l'ordre de 500pm de diamètre pour les gouttelettes 10, de 200pm pour les patins de liaison 6, et de 35pm pour les interconnexions du circuit de détection 9 à base filaire. En outre, la précision du dépôt des gouttelettes est d'environ 25pm, et la distance entre une gouttelette 10 et le patin de liaison 6 le plus proche qu'elle protège, est de l'ordre de 50pm. Il est à noter que le produit utilisé pour le collage de la puce 1 sur le substrat 3 est en général déposé sur la surface du substrat au moyen d'une seringue par gouttelettes ou motifs. Ce produit est par exemple une résine conductrice connue sous la référence commerciale: ablestik ablebond époxy 8290 . Ce procédé de dépôt de gouttelettes et cet outillage peuvent donc être utilisés également pour le dépôt des gouttelettes 10 de résine conductrice sur le substrat 3. Comme on l'a indiqué précédemment, les zones les plus sensibles d'un composant comportant une puce disposée sur un substrat, sont protégées par 30 la proximité d'éléments fragiles qui sont par exemple réalisés sous la forme de gouttelettes 10 en matériau électriquement conducteur. On va maintenant indiquer quelques façons d'obtenir la fragilité recherchée, notamment en cas d'attaque mécanique et/ou chimique du composant. Le principe de protection promu par l'idée est qu'un attaquant essayant d'accéder à la puce ou à un signal présent sur le substrat du boîtier doit pour cela d'abord enlever chimiquement et/ou mécaniquement une couche inerte (typiquement la résine de moulage). C'est cette action d'élimination de cette couche inerte qui l'exposera à la corruption d'au moins un élément fragile, déclenchant ainsi une détection de l'attaque.
En ce qui concerne l'introduction d'une fragilité mécanique, elle est inhérente au dépôt de zones fragiles de petite taille, comme c'est le cas lors du dépôt de fines gouttelettes 10. En effet, la petitesse de la gouttelette rend celle-ci très sensible à toute approche d'usinage (par exemple par fraisage, perçage ou autre) pour accéder à un élément sensible et toute approche de cet élément sensible impliquera le fort probable arrachement de la gouttelette. En ce qui concerne l'introduction d'une fragilité chimique, on peut imaginer par exemple, que la composition chimique d'un élément fragile, typiquement la gouttelette 10, est proche de celle du boitier, ce qui la rendrait sensible aux attaques chimiques consistant à détruire le boitier du composant, ce boitier (non représenté dans les figures) incorporant et protégeant la puce et son substrat. Ainsi, attaquer chimiquement le boitier aura des conséquences sur l'élément fragile, le détruisant ou le dégradant en même temps voire avant la dissolution du boitier. Cela aura pour conséquence une réaction du circuit de détection et une détection de l'attaque. Une autre solution, dans le cas où la composition chimique du boitier n'est pas proche de celle de l'élément fragile, consiste à mélanger une version conductrice de l'élément fragile avec une version isolante. Un exemple de ce genre d'implémentation consistera à utiliser une résine époxy conductrice et une résine époxy isolante. Ainsi essayer d'éliminer la résine époxy isolante aura pour conséquence d'éliminer également la résine époxy conductrice. L'utilisation de résine époxy est une solution très intéressante car les outils de dépôt de résine (par des aiguilles) sont des outils déjà présents et disponibles sur les chaines d'encapsulation de circuits intégrés.
Un dernier moyen pour rendre une attaque chimique difficile est de contraindre l'agresseur sur le choix du produit attaquant l'élément fragile et/ou le boitier. En effet, lorsque la composition chimique du boitier inclut beaucoup de silice, les solvants organiques sont inefficaces. Ainsi dans ces conditions, seuls des produits tels que l'acide nitrique fumant couramment utilisé pour détruire des résines et ainsi attaquer des circuits intégrés pourront être utilisés. Considérant l'acide nitrique, ou tout autre acide suffisamment concentré pour assurer une conductivité électrique, ou toute solution conductrice, il suffit de prévoir dans le boitier un mécanisme de détection basé sur un circuit non fermé a priori. Ainsi, l'épandage de la solution conductrice aurait pour effet, du fait de la fluidité et de la conductivité de la solution d'attaque, de fermer le circuit de détection, ce qui signifierait une attaque. Le dépôt des éléments fragiles se fait sur une surface électriquement isolée, hormis au niveau des points de connexion réservés aux éléments fragiles.
La localisation et/ou la loi de diffusion de l'élément fragile sont très variables, dépendant des niveaux de sécurité à définir au cas par cas, et des choix technologiques les plus adaptés à chaque cas. Par exemple, chaque élément fragile 10 peut être localisé prés d'une zone sensible afin de la protéger par proximité. Pour les cas d'utilisation d'une interconnexion à base filaire, il est nécessaire de protéger les patins de liaison qui sont les points d'attache sur le substrat des fils de connexion avec la puce. Ainsi, le dépôt de l'élément fragile se fait au plus près de ces patins de liaison. Idéalement, l'élément fragile est en contact avec le patin de liaison. Essayer d'approcher sans détection les patins de liaison pour les attaquer est donc très difficile pour un attaquant éventuel.
Un motif de diffusion des éléments fragiles peut donc être un motif usuellement appelé mesh en terminologie anglo-saxonne. Il s'agit d'une sorte de réseau plus ou moins serré, diffusé sur tout ou partie du substrat. Cela permet de protéger les signaux acheminés dans le substrat. Le circuit ainsi formé permet de détecter toute intrusion par une modification du signal conduit dans ledit circuit. Un autre motif de diffusion des éléments fragiles consiste à diffuser des petits points d'éléments fragiles répartis sur le substrat. Par exemple, la répartition peut être faite sur tout le substrat, de façon aléatoire, ou sur une partie seulement, si celle-ci est particulièrement sensible et à protéger. Pour ce motif, la plus grande partie du circuit de détection sera enfouie dans le substrat et seuls quelques points seront externes, consistant en les points de dépôt des éléments fragiles tel que des gouttelettes conductrices. Le circuit ainsi formé permet de détecter toute intrusion par une modification du signal conduit dans le circuit de détection. Un troisième exemple de réalisation consiste à protéger non plus le substrat mais directement la puce. Cette dernière est habituellement recouverte d'une couche de passivation isolante. Cela permet de déposer l'élément fragile conducteur sur sa surface. La connexion du circuit de détection se fait alors sur les plots 2 de la puce. Une implémentation très simple consiste en la liaison entre deux plots consécutifs. Ainsi, un tel circuit de détection est à même de protéger un troisième plot sensible, situé à proximité de ces deux plots. L'avantage de ce mode de fabrication est que la connexion des deux plots par dépôt de l'élément fragile est aisée à réaliser. Il est également possible de réaliser des ouvertures de passivation à tout endroit de la surface de la puce, permettant un dépôt de gouttelette. Un quatrième exemple de réalisation du circuit de détection consiste à protéger directement la puce en exploitant la conductivité du liquide attaquant (par exemple, l'acide nitrique fumant) par analogie avec la solution décrite précédemment sur la présence d'un circuit ouvert à priori et qui serait fermé par fluidité et conductivité du liquide attaquant. La réalisation se présente sous la forme de plots disséminés sur la surface de la puce, constituant un ou plusieurs circuits ouverts. Ces circuits ouverts se fermeront par épandage du liquide attaquant, grâce à sa fluidité et sa conductivité. La densité de plots sur la surface est variable, pouvant atteindre une valeur élevée, empêchant ainsi totalement une attaque chimique liquide. L'intérêt de cette dernière solution est double: le premier intérêt est que la puce étant plus haute que le substrat dans le boitier, une attaque du boitier serait donc a priori détectée plus tôt par les capteurs situés sur la surface de la puce. Le deuxième intérêt est que ce mécanisme procure également une protection contre l'intrusion physique dans la puce. Elle peut idéalement venir en complément d'autres mécanismes, tels que des treillis, aujourd'hui couramment utilisés.
Avantages de l'invention : Le procédé de protection de circuits intégrés et les circuits intégrés obtenus selon l'invention répondent aux buts fixés. La solution proposée utilisant des éléments fragiles à proximité des zones sensibles permet de contrer pratiquement toutes les attaques invasives sur les circuits intégrés, quelles que soient les technologies utilisées pour ces circuits intégrés. En outre, elle permet de renforcer la protection au niveau du boîtier du circuit intégré, pour avoir une sécurité disponible sur étagère et garantie. De plus, dans certains cas, par exemple lorsque les éléments fragiles sont réalisés en résine époxy, les outils de dépôt de résine sont déjà disponibles et bien maitrisés, de sorte que leur utilisation pour une autre fonction, à savoir le dépôt de gouttelettes conductrices pour créer et fermer un circuit de détection contre l'intrusion, peut être envisagée avec un moindre coût et un rendement de fabrication élevé.30 Applications de l'invention : Compte tenu de ses multiples avantages, la solution décrite peut être appliquée à des circuits intégrés destinés à des applications très diverses, comme par exemple les composants sensibles pour des applications telles que la téléphonie basé sur la voix sur IP, la transmission de données confidentielles sur les réseaux (techniques de VPN, d'authentification), les jetons d'authentification sécurisé ( clef USB sécurisée ), les composants dédiés à la sécurité, les composants pour le calcul cryptographique.
Claims (10)
- REVENDICATIONS1. Circuit intégré électronique comportant une puce électronique (1) fixée sur un substrat (3), l'ensemble étant protégé par un boitier, la puce électronique étant pourvue de plots d'entrée/sortie (2) connectés à des patins de liaison (6) disposés sur le substrat, ce circuit étant caractérisé en ce qu'il est pourvu en outre d'au moins un moyen de détection d'intrusion (9,10) apte à détecter une intrusion mécanique et/ou chimique à l'intérieur du boitier et/ou une tentative d'accès à une zone sensible du circuit intégré.
- 2. Circuit intégré selon la revendication 1, caractérisé en ce que ledit moyen de détection d'intrusion (9,10) comporte un circuit de détection (9) enfoui dans et/ou déposé sur le substrat (3), ce circuit de détection (9) étant aménagé de manière à passer au voisinage immédiat de certaines zones sensibles du circuit intégré, de manière que toute tentative d'accès à l'une quelconque desdites zones sensibles entraine une modification de l'état électrique (fermé/ouvert) du circuit de détection.
- 3. Circuit intégré selon la revendication 2, caractérisé en ce que ledit circuit de détection comporte des zones fragilisées (10), aménagées au voisinage immédiat desdites zones sensibles, de telle manière qu'un accès physique ou chimique au voisinage d'une zone sensible entraine la destruction de la zone fragilisée (10) adjacente et la détection de l'intrusion dans le circuit.
- 4. Circuit intégré selon la revendication 3, caractérisé en ce que lesdites zones fragilisées sont réalisées sous la forme de gouttelettes (10) de résine conductrice, aménagées au voisinage desdites zones sensibles.
- 5. Circuit intégré selon la revendication 4, caractérisé en ce que les gouttelettes (10) de résine conductrice ont une taille inférieure à environ 1000 micromètres, et sont espacées des zones sensibles à protéger par un espace de l'ordre de 50 micromètres.
- 6. Circuit intégré selon l'une quelconque des revendications 2 à 5, caractérisé en ce que les zones fragilisées (10) du circuit de détection (9) sont réparties de façon aléatoire dans le substrat (3) du circuit intégré.
- 7. Circuit intégré selon l'une quelconque des revendications 2 à 5, caractérisé en ce que le substrat (3) comporte un motif de diffusion conducteur, notamment en forme de grille, certains points de jonction du motif de diffusion qui sont proches des zones sensibles étant remontés à la surface du substrat par l'intermédiaire de traversées conductrices et pourvus d'une zone fragilisée (10).
- 8. Circuit intégré selon l'une quelconque des revendications précédentes, caractérisé en ce que le circuit de détection d'intrusion est aménagé directement sur la puce (2) au lieu du substrat (3) ou en complément de celui-ci, la connexion du circuit de détection d'intrusion étant effectuée sur les plots d'entrée/sortie (2) de la puce.
- 9. Circuit intégré selon l'une quelconque des revendications 2 à 8, caractérisé en ce que le circuit de détection est réalisé sous la forme d'un circuit électriquement ouvert au voisinage des zones sensibles, de façon qu'une attaque chimique par un liquide conducteur provoque la fermeture du circuit au voisinage des zones sensibles et par conséquent la détection de l'attaque chimique.
- 10. Circuit intégré selon l'une quelconque des revendications 2 à 8, caractérisé en ce que le circuit de détection est réalisé sous la forme d'un circuit électriquement fermé au voisinage des zones sensibles, de façon qu'une attaque chimique par un liquide conducteur provoque l'ouverture du circuit au voisinage des zones sensibles et par conséquent la détection de l'attaque chimique.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0806563A FR2938953B1 (fr) | 2008-11-21 | 2008-11-21 | Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique. |
CN200980146866.0A CN102257516B (zh) | 2008-11-21 | 2009-11-14 | 用于使电子集成电路外壳免受物理或化学侵入的设备 |
PCT/FR2009/001307 WO2010058094A1 (fr) | 2008-11-21 | 2009-11-14 | Dispositif de protection d'un boitier de circuit intégré électronique contre les intrusions par voie physique ou chimique |
JP2011536917A JP5933266B2 (ja) | 2008-11-21 | 2009-11-14 | 物理的または化学的な侵入に対して電子集積回路ハウジングを保護する装置 |
US13/130,534 US8581251B2 (en) | 2008-11-21 | 2009-11-14 | Device for protecting an electronic integrated circuit housing against physical or chemical ingression |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0806563A FR2938953B1 (fr) | 2008-11-21 | 2008-11-21 | Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique. |
Publications (2)
Publication Number | Publication Date |
---|---|
FR2938953A1 true FR2938953A1 (fr) | 2010-05-28 |
FR2938953B1 FR2938953B1 (fr) | 2011-03-11 |
Family
ID=40752530
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR0806563A Active FR2938953B1 (fr) | 2008-11-21 | 2008-11-21 | Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique. |
Country Status (5)
Country | Link |
---|---|
US (1) | US8581251B2 (fr) |
JP (1) | JP5933266B2 (fr) |
CN (1) | CN102257516B (fr) |
FR (1) | FR2938953B1 (fr) |
WO (1) | WO2010058094A1 (fr) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10886240B2 (en) | 2018-07-25 | 2021-01-05 | Stmicroelectronics (Rousset) Sas | Method for protecting an integrated circuit, and corresponding device |
EP3770789A1 (fr) * | 2019-07-24 | 2021-01-27 | STMicroelectronics (Rousset) SAS | Procédé de protection de données stockées dans une mémoire, et circuit intégré correspondant |
US10943876B2 (en) | 2018-07-30 | 2021-03-09 | Stmicroelectronics (Rousset) Sas | Method for detecting an attack by means of a beam of electrically charged particles on an integrated circuit, and corresponding integrated circuit |
US11367720B2 (en) | 2018-07-25 | 2022-06-21 | Stmicroelectronics (Rousset) Sas | Method for protecting an integrated circuit module using an antifuse, and corresponding device |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014034981A1 (fr) * | 2012-08-31 | 2014-03-06 | 주식회사 블루버드 | Terminal mobile |
CN102858082B (zh) * | 2012-09-26 | 2015-06-10 | 深圳市九思泰达技术有限公司 | 核心模块安全区防护结构 |
US10651135B2 (en) * | 2016-06-28 | 2020-05-12 | Marvell Asia Pte, Ltd. | Tamper detection for a chip package |
EP3340114B1 (fr) * | 2016-12-22 | 2020-09-30 | EM Microelectronic-Marin SA | Circuit rfid a deux frequences de communication muni d'une boucle d'inviolabilite |
US11454010B2 (en) | 2017-03-09 | 2022-09-27 | Charles James SPOFFORD | Appliance with shim compatible geometry |
CN107133535A (zh) * | 2017-04-13 | 2017-09-05 | 上海汇尔通信息技术有限公司 | 数据保护结构及移动终端设备 |
US11289443B2 (en) * | 2017-04-20 | 2022-03-29 | Palo Alto Research Center Incorporated | Microspring structure for hardware trusted platform module |
WO2022027535A1 (fr) * | 2020-08-07 | 2022-02-10 | 深圳市汇顶科技股份有限公司 | Puce de sécurité et dispositif électronique |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2801999A1 (fr) * | 1999-12-01 | 2001-06-08 | Gemplus Card Int | Procede de protection physique de puces electroniques et dispositifs electroniques ainsi proteges |
GB2363233A (en) * | 2000-05-11 | 2001-12-12 | Ibm | Tamper resistant card enclosure with intrusion detection circuit |
FR2864667A1 (fr) * | 2003-12-29 | 2005-07-01 | Commissariat Energie Atomique | Protection d'une puce de circuit integre contenant des donnees confidentielles |
FR2872610A1 (fr) * | 2004-07-02 | 2006-01-06 | Commissariat Energie Atomique | Dispositif de securisation de composants |
FR2888975A1 (fr) * | 2005-07-21 | 2007-01-26 | Atmel Corp | Procede de securisation pour la protection de donnees |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4593384A (en) * | 1984-12-21 | 1986-06-03 | Ncr Corporation | Security device for the secure storage of sensitive data |
US5027397A (en) * | 1989-09-12 | 1991-06-25 | International Business Machines Corporation | Data protection by detection of intrusion into electronic assemblies |
US6708274B2 (en) | 1998-04-30 | 2004-03-16 | Intel Corporation | Cryptographically protected paging subsystem |
US5861662A (en) * | 1997-02-24 | 1999-01-19 | General Instrument Corporation | Anti-tamper bond wire shield for an integrated circuit |
DE10044837C1 (de) * | 2000-09-11 | 2001-09-13 | Infineon Technologies Ag | Schaltungsanordnung und Verfahren zum Detektieren eines unerwünschten Angriffs auf eine integrierte Schaltung |
US7490250B2 (en) * | 2001-10-26 | 2009-02-10 | Lenovo (Singapore) Pte Ltd. | Method and system for detecting a tamper event in a trusted computing environment |
US7266842B2 (en) | 2002-04-18 | 2007-09-04 | International Business Machines Corporation | Control function implementing selective transparent data authentication within an integrated system |
GB2412996B (en) * | 2004-04-08 | 2008-11-12 | Gore & Ass | Tamper respondent covering |
US7979721B2 (en) * | 2004-11-15 | 2011-07-12 | Microsoft Corporation | Enhanced packaging for PC security |
EP1897425A1 (fr) * | 2005-06-30 | 2008-03-12 | Siemens Aktiengesellschaft | Systeme pour proteger du materiel contre les manipulations externes, destine a des modules de donnees electroniques sensibles |
DE102005042790B4 (de) * | 2005-09-08 | 2010-11-18 | Infineon Technologies Ag | Integrierte Schaltungsanordnung und Verfahren zum Betrieb einer solchen |
US8522051B2 (en) * | 2007-05-07 | 2013-08-27 | Infineon Technologies Ag | Protection for circuit boards |
EP2026470A1 (fr) | 2007-08-17 | 2009-02-18 | Panasonic Corporation | Vérification de redondance cyclique de fonctionnement sur des segments de codage |
JP5041980B2 (ja) * | 2007-11-16 | 2012-10-03 | ルネサスエレクトロニクス株式会社 | データ処理回路及び通信携帯端末装置 |
-
2008
- 2008-11-21 FR FR0806563A patent/FR2938953B1/fr active Active
-
2009
- 2009-11-14 WO PCT/FR2009/001307 patent/WO2010058094A1/fr active Application Filing
- 2009-11-14 CN CN200980146866.0A patent/CN102257516B/zh active Active
- 2009-11-14 JP JP2011536917A patent/JP5933266B2/ja not_active Expired - Fee Related
- 2009-11-14 US US13/130,534 patent/US8581251B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2801999A1 (fr) * | 1999-12-01 | 2001-06-08 | Gemplus Card Int | Procede de protection physique de puces electroniques et dispositifs electroniques ainsi proteges |
GB2363233A (en) * | 2000-05-11 | 2001-12-12 | Ibm | Tamper resistant card enclosure with intrusion detection circuit |
FR2864667A1 (fr) * | 2003-12-29 | 2005-07-01 | Commissariat Energie Atomique | Protection d'une puce de circuit integre contenant des donnees confidentielles |
FR2872610A1 (fr) * | 2004-07-02 | 2006-01-06 | Commissariat Energie Atomique | Dispositif de securisation de composants |
FR2888975A1 (fr) * | 2005-07-21 | 2007-01-26 | Atmel Corp | Procede de securisation pour la protection de donnees |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10886240B2 (en) | 2018-07-25 | 2021-01-05 | Stmicroelectronics (Rousset) Sas | Method for protecting an integrated circuit, and corresponding device |
US11329011B2 (en) | 2018-07-25 | 2022-05-10 | Stmicroelectronics (Rousset) Sas | Method for protecting an integrated circuit, and corresponding device |
US11367720B2 (en) | 2018-07-25 | 2022-06-21 | Stmicroelectronics (Rousset) Sas | Method for protecting an integrated circuit module using an antifuse, and corresponding device |
US10943876B2 (en) | 2018-07-30 | 2021-03-09 | Stmicroelectronics (Rousset) Sas | Method for detecting an attack by means of a beam of electrically charged particles on an integrated circuit, and corresponding integrated circuit |
EP3770789A1 (fr) * | 2019-07-24 | 2021-01-27 | STMicroelectronics (Rousset) SAS | Procédé de protection de données stockées dans une mémoire, et circuit intégré correspondant |
FR3099259A1 (fr) * | 2019-07-24 | 2021-01-29 | Stmicroelectronics (Rousset) Sas | Procédé de protection de données stockées dans une mémoire, et circuit intégré correspondant |
US11715705B2 (en) | 2019-07-24 | 2023-08-01 | Stmicroelectronics (Rousset) Sas | Method for protecting data stored in a memory, and corresponding integrated circuit |
Also Published As
Publication number | Publication date |
---|---|
CN102257516A (zh) | 2011-11-23 |
US8581251B2 (en) | 2013-11-12 |
CN102257516B (zh) | 2015-10-07 |
FR2938953B1 (fr) | 2011-03-11 |
JP5933266B2 (ja) | 2016-06-08 |
JP2012509585A (ja) | 2012-04-19 |
WO2010058094A1 (fr) | 2010-05-27 |
US20110260162A1 (en) | 2011-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
FR2938953A1 (fr) | Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique. | |
US11610846B2 (en) | Protective elements for bonded structures including an obstructive element | |
US20230036441A1 (en) | Protective semiconductor elements for bonded structures | |
KR20240036032A (ko) | 접합된 구조물의 광학적 차단 보호 요소 | |
US8198641B2 (en) | Semiconductor device with backside tamper protection | |
CN101772775B (zh) | 抗篡改半导体器件以及制造该抗篡改半导体器件的方法 | |
EP0792497B1 (fr) | Dispositif de securite actif a memoire electronique | |
EP0800209B1 (fr) | Dipositif de sécurité d'une pastille semi-conductrice | |
EP2608641B1 (fr) | Dispositif de protection d'un circuit imprimé électronique. | |
CA3003618C (fr) | Corps de lecteur de carte a memoire a treillis de protection recto-verso | |
EP2241997B1 (fr) | Lecteur de carte mémoire | |
FR2792440A1 (fr) | Dispositif a circuit integre securise contre des attaques procedant par destruction controlee d'une couche complementaire | |
FR2801999A1 (fr) | Procede de protection physique de puces electroniques et dispositifs electroniques ainsi proteges | |
EP1127376A1 (fr) | Puce a circuits integres securisee contre l'action de rayonnements electromagnetiques | |
FR2727226A1 (fr) | Dispositif de securite actif a memoire electronique | |
EP1021833A1 (fr) | Dispositif a circuit integre securise et procede de fabrication | |
FR3096175A1 (fr) | Procédé de détection d’une atteinte éventuelle à l’intégrité d’un substrat semi-conducteur d’un circuit intégré depuis sa face arrière, et circuit intégré correspondant | |
FR2892544A1 (fr) | Detection de tentative d'effraction sur une puce a travers sa structure support |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PLFP | Fee payment |
Year of fee payment: 8 |
|
PLFP | Fee payment |
Year of fee payment: 9 |
|
PLFP | Fee payment |
Year of fee payment: 10 |
|
PLFP | Fee payment |
Year of fee payment: 12 |
|
PLFP | Fee payment |
Year of fee payment: 13 |
|
PLFP | Fee payment |
Year of fee payment: 14 |
|
PLFP | Fee payment |
Year of fee payment: 15 |
|
PLFP | Fee payment |
Year of fee payment: 16 |