FR2938953A1 - Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique. - Google Patents

Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique. Download PDF

Info

Publication number
FR2938953A1
FR2938953A1 FR0806563A FR0806563A FR2938953A1 FR 2938953 A1 FR2938953 A1 FR 2938953A1 FR 0806563 A FR0806563 A FR 0806563A FR 0806563 A FR0806563 A FR 0806563A FR 2938953 A1 FR2938953 A1 FR 2938953A1
Authority
FR
France
Prior art keywords
integrated circuit
circuit
substrate
detection
chip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0806563A
Other languages
English (en)
Other versions
FR2938953B1 (fr
Inventor
Yann Loisel
Renaud Guigue
Christophe Tremlet
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Innova Card SARL
Original Assignee
Innova Card SARL
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Innova Card SARL filed Critical Innova Card SARL
Priority to FR0806563A priority Critical patent/FR2938953B1/fr
Priority to CN200980146866.0A priority patent/CN102257516B/zh
Priority to PCT/FR2009/001307 priority patent/WO2010058094A1/fr
Priority to JP2011536917A priority patent/JP5933266B2/ja
Priority to US13/130,534 priority patent/US8581251B2/en
Publication of FR2938953A1 publication Critical patent/FR2938953A1/fr
Application granted granted Critical
Publication of FR2938953B1 publication Critical patent/FR2938953B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07372Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/57Protection from inspection, reverse engineering or tampering
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2224/00Indexing scheme for arrangements for connecting or disconnecting semiconductor or solid-state bodies and methods related thereto as covered by H01L24/00
    • H01L2224/01Means for bonding being attached to, or being formed on, the surface to be connected, e.g. chip-to-package, die-attach, "first-level" interconnects; Manufacturing methods related thereto
    • H01L2224/42Wire connectors; Manufacturing methods related thereto
    • H01L2224/47Structure, shape, material or disposition of the wire connectors after the connecting process
    • H01L2224/49Structure, shape, material or disposition of the wire connectors after the connecting process of a plurality of wire connectors
    • H01L2224/491Disposition
    • H01L2224/4912Layout
    • H01L2224/49171Fan-out arrangements
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L24/00Arrangements for connecting or disconnecting semiconductor or solid-state bodies; Methods or apparatus related thereto
    • H01L24/01Means for bonding being attached to, or being formed on, the surface to be connected, e.g. chip-to-package, die-attach, "first-level" interconnects; Manufacturing methods related thereto
    • H01L24/42Wire connectors; Manufacturing methods related thereto
    • H01L24/47Structure, shape, material or disposition of the wire connectors after the connecting process
    • H01L24/49Structure, shape, material or disposition of the wire connectors after the connecting process of a plurality of wire connectors
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/0001Technical content checked by a classifier
    • H01L2924/00014Technical content checked by a classifier the subject-matter covered by the group, the symbol of which is combined with the symbol of this group, being disclosed without further technical details
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/01Chemical elements
    • H01L2924/01079Gold [Au]
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/01Chemical elements
    • H01L2924/01087Francium [Fr]
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/10Details of semiconductor or other solid state devices to be connected
    • H01L2924/102Material of the semiconductor or solid state bodies
    • H01L2924/1025Semiconducting materials
    • H01L2924/10251Elemental semiconductors, i.e. Group IV
    • H01L2924/10253Silicon [Si]
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/10Details of semiconductor or other solid state devices to be connected
    • H01L2924/11Device type
    • H01L2924/14Integrated circuits
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/15Details of package parts other than the semiconductor or other solid state devices to be connected
    • H01L2924/151Die mounting substrate
    • H01L2924/153Connection portion
    • H01L2924/1531Connection portion the connection portion being formed only on the surface of the substrate opposite to the die mounting surface
    • H01L2924/15311Connection portion the connection portion being formed only on the surface of the substrate opposite to the die mounting surface being a ball array, e.g. BGA

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Condensed Matter Physics & Semiconductors (AREA)
  • Power Engineering (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne un circuit intégré électronique comportant une puce électronique (1) fixée sur un substrat (3), l'ensemble étant protégé par un boitier, la puce électronique étant pourvue de plots d'entrée/sortie (2) connectés à des patins de liaison (6) disposés sur le substrat, ce circuit étant caractérisé en ce qu'il est pourvu en outre d'au moins un moyen de détection d'intrusion (9,10) apte à détecter une intrusion mécanique et/ou chimique à l'intérieur du boitier et/ou une tentative d'accès à une zone sensible du circuit intégré.

Description

Dispositif de protection d'un boitier de circuit intégré électronique contre les intrusions par voie physique ou chimique
L'invention concerne la réalisation d'un boîtier pour circuit intégré permettant de détecter l'intrusion physique dans ledit boitier. L'invention a notamment pour application la protection des secrets éventuellement contenus dans ledit circuit intégré, en cas d'attaque physique, par exemple en détruisant les secrets contenus dans un circuit intégré en cas d'intrusion dans son boîtier.
Définitions : A titre de vocabulaire, la puce désigne le circuit intégré proprement dit, provenant du découpage d'une plaquette de silicium, appelée wafer en terminologie anglo-saxonne. Le substrat désigne un mini PCB ( Printed Circuit Board en terminologie anglo-saxonne, ou circuit imprimé), permettant la liaison entre les connections ou plots externes et la puce elle-même. Le composant désigne l'ensemble du substrat, de la puce et du boitier recouvrant le tout. Le circuit imprimé PCB désigne la carte électronique sur laquelle vient 20 se poser le composant. La puce est habituellement déposée sur le substrat (hormis pour la technologie dite flip-chip ), lors de l'opération dite de die attach en terminologie anglo-saxonne, et collée grâce à une colle époxy conductrice. La connexion spécifiquement entre le substrat et la puce se fait de 25 multiples façons, selon les technologies choisies. Par exemple, dans le cadre classique, on réalise une interconnexion à base filaire consistant à relier par des fils conducteurs le substrat à la puce, les fils conducteurs reposant sur des patins côté substrat et sur des plots côté puce. Pour la technologie dite flipchip , la connexion électrique entre la puce et le substrat se fait par des billes 30 conductrices soudées sous le composant et sur le substrat.
La connexion électrique entre le composant et le circuit imprimé PCB se fait de multiple façons selon les technologies choisies, par exemple par l'intermédiaire de billes conductrices sur un conditionnement dit BGA, qui est un acronyme pour Bali Grid Array en terminologie anglo-saxonne.
Ainsi, considérant une puce BGA non flip-chip, tout signal, en particulier un signal sensible, en provenance du circuit imprimé PCB, va passer par les billes, puis à travers le substrat, via les patins, sur les fils d'interconnexion, puis les patins, pour finalement être acheminé dans la puce.
Etat de la technique : Il existe plusieurs types de circuits intégrés dédiés à la sécurité de l'information, et il est aujourd'hui courant de faire reposer la sécurité d'un système électronique ou informatique sur un circuit intégré assurant les fonctions de sécurité.
Un exemple bien connu est celui de la carte à puce, qui est pourvue d'un circuit intégré qui a pour fonction de protéger des informations sensibles, telles que des clés. Ces clés sécurisent par exemple des transactions bancaires, la facturation téléphonique, ou des transactions d'achat à distance. Or les circuits intégrés pour cartes à puce n'ont qu'une seule broche d'entrée/sortie. Il est donc aisé de chiffrer les données circulant sur cette broche, de sorte qu'il n'est pas utile de sécuriser le boîtier en tant que tel. Un autre exemple de circuit dédié à la sécurité est le TPM (acronyme pour Trusted Platform Module en terminologie anglo-saxonne) qui, à l'initiative des géants de l'informatique, se trouve aujourd'hui présent sur quasiment tous les ordinateurs portables professionnels, et ces TPM équiperont probablement demain l'ensemble des ordinateurs personnels vendus dans le monde. Les circuits sécurisés complexes, en particulier les circuits TPM, ont un bien plus grand nombre d'entrées/sorties qu'un circuit pour carte à puce (28 broches pour le TPM). Ainsi, la sécurisation du composant requière la protection des informations sensibles circulant sur cette multitude d'entrées/sorties, de sorte qu'un attaquant ne puisse en obtenir des informations ni les forcer aux valeurs qu'il souhaite. On voit dès lors que la solution du cryptage adaptée dans le cas des circuits pour cartes à puce, n'est plus adaptée dans le cas des circuits sécurisés complexes, puisque la puissance de calcul nécessaire pour crypter et décrypter en temps réel une vingtaine de signaux, voire davantage, serait rédhibitoire en termes de performances nécessaires, et de coût. Dès lors, une nouvelle solution est nécessaire pour sécuriser des circuits complexes pourvus d'une multitude d'entrées/sorties.
Par ailleurs, on constate que les dispositifs d'analyse physique et électrique de circuits intégrés progressent rapidement. Parmi ces dispositifs, on trouve notamment le microscope électronique à balayage, les dispositifs à faisceau d'ions focalisés (désignés par FIB pour Focalized Ion Beam en terminologie anglo-saxonne), ou encore les dispositifs d'analyse d'émission de photons par les jonctions (encore appelés Emiscope ). Ces équipements, destinés à la base à la mise au point des circuits intégrés, peuvent aussi être utilisés par certains comme de redoutables moyens d'attaque dirigés contre la sécurité des circuits. Néanmoins, dans ce contexte, il est important de noter que pour tous ces dispositifs, l'ouverture du boîtier est le préalable à la mise en oeuvre de l'attaque. Une façon de répondre à la problématique consisterait donc en principe à protéger l'ensemble du circuit, en protégeant le boitier du circuit contre les intrusions physiques.
La protection du boitier peut être relativement simple dans certains cas, par exemple en déposant un revêtement en résine par-dessus le circuit intégré, pour des conditionnements de type Chip on Board ou lorsque les composants sécurisés sont des micromodules de cartes à puces.
Mais une telle protection est inefficace, puisqu'une simple attaque chimique permet d'enlever le revêtement en résine déposé à la pose du circuit sur son support, et d'accéder au circuit (la puce) intégré proprement dit. La protection du boitier contre les intrusions physiques est plus complexe sur d'autres implémentations, si l'intégrateur a prévu des protections supplémentaires lors du montage final du circuit intégré sur son support. Par exemple, il est connu de recouvrir le circuit par un dépôt, un capot ou un couvercle de type variable (dépôt de résine, capot métallique). Ce dernier peut être très simple, assurant ainsi une protection mécanique minimale car uniquement passive. On connaît également des protections externes plus élaborées, sous la forme de circuits conducteurs dans lesquels transite un signal électrique destiné à détecter toute intrusion dans le couvercle par un contrôle de ce signal par les mécanismes de sécurité, les circuits conducteurs étant disposés généralement dans un matériau empêchant leur accès (résine, gel, ...). Un exemple très représentatif d'un tel revêtement fournissant un haut niveau de sécurité est le produit appelé tamper-respondent security enclosure de WL Gore & Associates. Néanmoins, cette option de protection externe présente de gros inconvénients pour l'intégrateur du circuit dans le produit final. En effet : - l'intégration du composant ainsi protégé est par définition plus compliquée à réaliser, car elle nécessite des éléments supplémentaires, comme par exemple un capot, de l'outillage supplémentaire pour la pose du capot, du temps supplémentaire pour le montage du capot et le séchage de la résine ; - le coût de fabrication est plus élevé, du fait du matériel supplémentaire requis et des étapes de fabrication supplémentaires ; - le rendement sur la fabrication du produit final est impacté négativement ; - le risque est plus élevé d'un point sécurité car des modifications fonctionnelles sur le produit final peuvent impliquer de repenser cette protection ; - la protection externe doit être validée par des laboratoires de certification.
Buts de l'invention : Un but général de l'invention est de proposer un dispositif et un procédé de protection d'un boitier de circuit intégré, qui soit apte à remédier aux inconvénients des systèmes de protection connus dans l'état de la technique. Un autre but plus spécifique de l'invention est de proposer un dispositif de protection simple et efficace des boitiers de circuits intégrés, permettant de détecter toute ouverture éventuelle du boitier pour accéder à une zone sensible du circuit intégré. Un autre but de l'invention est de proposer un dispositif de protection qui soit peu coûteux à réaliser.
Résumé de l'invention : Le principe de l'invention consiste à disposer, suivant un certain motif, un élément fragile contenant un matériau conducteur, l'élément fragile étant introduit dans la continuité d'un circuit de détection d'intrusion.
Ainsi, ce circuit de détection conduit un signal qui permet de vérifier la continuité électrique du circuit de détection. Le signal utilisé peut avoir de multiples formes, statique ou dynamique (i.e. changeant en permanence de formes). La vérification de la continuité électrique du circuit de détection se fait par exemple par comparaison de l'entrée dudit circuit de détection et de la sortie. La politique de sécurité décide des suites à donner à cette vérification et à la détection potentielle d'une tentative d'intrusion, une suite possible étant par exemple l'effacement des clés stockées dans le circuit intégré. Pour mettre en oeuvre ce principe, l'invention a pour objet un circuit intégré électronique comportant une puce électronique fixée sur un substrat, l'ensemble étant protégé par un boitier, la puce électronique étant pourvue de plots d'entrée/sortie connectés à des patins de liaison disposés sur le substrat, ce circuit étant caractérisé en ce qu'il est pourvu en outre d'au moins un moyen de détection d'intrusion apte à détecter une intrusion mécanique et/ou chimique à l'intérieur du boitier et/ou une tentative d'accès à une zone sensible du circuit intégré. Selon l'invention, ledit moyen de détection d'intrusion comporte un circuit de détection enfoui dans le substrat ou déposé sur le substrat, ce circuit de détection étant aménagé de manière à passer au voisinage immédiat de certaines zones sensibles du circuit intégré, de manière que toute tentative d'accès à l'une quelconque desdites zones sensibles entraine une modification de l'état électrique (fermé/ouvert) du circuit de détection. A cet effet, le circuit de détection comporte des zones fragilisées, aménagées au voisinage immédiat desdites zones sensibles de telle manière qu'un accès physique ou chimique au voisinage d'une zone sensible entraine la destruction de la zone fragilisée adjacente et la détection de l'intrusion dans le circuit. Avantageusement, les zones fragilisées sont réalisées sous la forme de gouttelettes de résine conductrice, aménagées au voisinage desdites zones sensibles.
De préférence, les gouttelettes de résine conductrice ont une taille inférieure à environ 1000 micromètres, et sont espacées des zones sensibles à protéger par un espace de l'ordre de 50 micromètres. Selon un mode de réalisation de l'invention, les zones fragilisées du circuit de détection sont réparties de façon aléatoire dans ou sur le substrat du circuit intégré. En variante de réalisation, les zones fragilisées du circuit de diffusion sont réparties selon un motif de diffusion conducteur du substrat, notamment en forme de grille. Certains points de jonction du motif de diffusion qui sont proches des zones sensibles sont alors remontés à la surface du substrat par l'intermédiaire de traversées conductrices et pourvus d'une zone fragilisée.
Selon un mode de réalisation de l'invention, le circuit de détection d'intrusion est aménagé directement sur la puce au lieu du substrat ou en complément du substrat, la connexion du circuit de détection d'intrusion étant effectuée sur les plots d'entrée/sortie de la puce.
Avantageusement, le circuit de détection est réalisé sous la forme d'un circuit électriquement ouvert au voisinage des zones sensibles, de façon qu'une attaque chimique par un liquide conducteur provoque la fermeture du circuit au voisinage des zones sensibles et par conséquent la détection de l'attaque chimique.
En variante, le circuit de détection est réalisé sous la forme d'un circuit électriquement fermé au voisinage des zones sensibles, de façon qu'une attaque chimique par un liquide conducteur provoque l'ouverture du circuit au voisinage des zones sensibles et par conséquent la détection de l'attaque chimique.
L'invention sera mieux comprise à la lecture de la description détaillée qui s'ensuit, et des figures, dans lesquelles : - la Figure 1 représente en élévation et en coupe la structure schématique classique d'un boitier de circuit intégré monté sur substrat connecté à un support ; - la Figure 2 représente une vue plus détaillée en élévation et en coupe d'une puce montée sur un substrat avec connexion filaire entre la puce et le substrat au moyen d'interconnexions et de patins de liaison ; - la Figure 3 représente le dispositif de la Figure 2 en vue en plan ; - la Figure 4 représente une vue en élévation et en coupe similaire à celle de la Figure 2, mais incluant un circuit de détection d'intrusion selon l'invention ; - la Figure 5 représente le dispositif de la Figure 4, en vue en plan. On se réfère à la Figure 1. On a représenté dans cette figure une puce 1 unitaire issue du découpage d'une tranche de silicium, et comportant des plots ou bornes électriques 2 pour la connexion électrique à l'environnement de la puce. La puce est fixée sur un substrat 3 (tout type de matériau isolant) lui-même soudé sur un circuit imprimé 4 au moyen d'une matrice de billes BGA 5. Le circuit imprimé 4 comporte des plages d'accueil d'un diamètre adéquat (non représentées). Le pas entre les billes est en général de l'ordre du mm. Les billes de brasage 5 réalisent la jonction électrique entre les plots 2 de la puce 1, et les pistes conductrices du circuit imprimé 4. Comme représenté plus en détail sur les Figures 2 et 3, les plots 2 de la puce 1 sont connectés à des patins 6 du substrat 3 par l'intermédiaire de fils conducteurs 7, typiquement en or ou en aluminium. En outre, les patins 6 sont chacun reliés à une bille 5 par l'intermédiaire d'un circuit 8 intégré au substrat 3. Ainsi, un signal conduit vers le patin 6 de liaison est ensuite acheminé vers la bille 5 correspondante du BGA par le circuit 8 présent dans le substrat. On se réfère à la Figure 4 qui représente une vue en élévation et en coupe similaire à celle de la Figure 2, mais incluant un circuit 9 de détection d'intrusion pourvu selon l'invention de zones fragiles. Le circuit de détection 9 est enfoui dans le substrat 3 ou déposé sur lui, ou en partie enfoui et en partie déposé sur le substrat. Ce circuit de détection 9, et en particulier la partie correspondant à l'élément fragile, a pour finalité de garantir l'intégrité et la protection d'éléments sensibles sur le composant. Ces éléments sensibles sont notamment des mémoires contenant des données sensibles, ou d'autres puces ou circuits transportant des signaux sensibles. Le circuit de détection 9 remonte vers des éléments fragiles, notamment réalisés sous la forme de gouttelettes de détection 10, mais bien entendu d'autres modes de réalisation d'éléments fragiles sont à la portée de l'homme de métier. Les gouttelettes sont déposées sur la surface du substrat 3, à proximité de ceux des patins de liaison 6 qui sont considérés comme sensibles, de sorte que toute atteinte physique ou chimique à une zone sensible, se traduirait par une destruction de l'élément fragile le plus proche, ce qui activerait une alarme connectée au circuit de détection.
Comme représenté sur la figure 5, le circuit de détection 9 relie les gouttelettes de détection entre elles, de sorte que toute atteinte au circuit ou à l'une des gouttelettes de détection, interrompt le circuit 9, ce qui génère une alerte exploitable pour, par exemple, détruire les secrets stockés dans la mémoire de la puce 1. De préférence, le circuit de détection 9 est enfoui dans des couches internes du substrat 3 et est donc considéré comme inaccessible. Ce circuit remonte alors à la surface du substrat 3 par l'intermédiaire de traversées conductrices (non représentées). Une gouttelette assure donc la liaison entre 2 traversées et l'ensemble des gouttelettes ferme ainsi le circuit de détection. Il est clair que pour assurer une bonne efficacité de la détection des intrusions vers des zones sensibles, les gouttelettes 10 et les patins de liaison 6, ainsi que leurs interconnexions, doivent être de la dimension la plus réduite possible, compte tenu des impératifs de coût de fabrication.
Ainsi, avec les technologies actuelles de réalisation de circuits, les dimensions aisément atteignables sont de l'ordre de 500pm de diamètre pour les gouttelettes 10, de 200pm pour les patins de liaison 6, et de 35pm pour les interconnexions du circuit de détection 9 à base filaire. En outre, la précision du dépôt des gouttelettes est d'environ 25pm, et la distance entre une gouttelette 10 et le patin de liaison 6 le plus proche qu'elle protège, est de l'ordre de 50pm. Il est à noter que le produit utilisé pour le collage de la puce 1 sur le substrat 3 est en général déposé sur la surface du substrat au moyen d'une seringue par gouttelettes ou motifs. Ce produit est par exemple une résine conductrice connue sous la référence commerciale: ablestik ablebond époxy 8290 . Ce procédé de dépôt de gouttelettes et cet outillage peuvent donc être utilisés également pour le dépôt des gouttelettes 10 de résine conductrice sur le substrat 3. Comme on l'a indiqué précédemment, les zones les plus sensibles d'un composant comportant une puce disposée sur un substrat, sont protégées par 30 la proximité d'éléments fragiles qui sont par exemple réalisés sous la forme de gouttelettes 10 en matériau électriquement conducteur. On va maintenant indiquer quelques façons d'obtenir la fragilité recherchée, notamment en cas d'attaque mécanique et/ou chimique du composant. Le principe de protection promu par l'idée est qu'un attaquant essayant d'accéder à la puce ou à un signal présent sur le substrat du boîtier doit pour cela d'abord enlever chimiquement et/ou mécaniquement une couche inerte (typiquement la résine de moulage). C'est cette action d'élimination de cette couche inerte qui l'exposera à la corruption d'au moins un élément fragile, déclenchant ainsi une détection de l'attaque.
En ce qui concerne l'introduction d'une fragilité mécanique, elle est inhérente au dépôt de zones fragiles de petite taille, comme c'est le cas lors du dépôt de fines gouttelettes 10. En effet, la petitesse de la gouttelette rend celle-ci très sensible à toute approche d'usinage (par exemple par fraisage, perçage ou autre) pour accéder à un élément sensible et toute approche de cet élément sensible impliquera le fort probable arrachement de la gouttelette. En ce qui concerne l'introduction d'une fragilité chimique, on peut imaginer par exemple, que la composition chimique d'un élément fragile, typiquement la gouttelette 10, est proche de celle du boitier, ce qui la rendrait sensible aux attaques chimiques consistant à détruire le boitier du composant, ce boitier (non représenté dans les figures) incorporant et protégeant la puce et son substrat. Ainsi, attaquer chimiquement le boitier aura des conséquences sur l'élément fragile, le détruisant ou le dégradant en même temps voire avant la dissolution du boitier. Cela aura pour conséquence une réaction du circuit de détection et une détection de l'attaque. Une autre solution, dans le cas où la composition chimique du boitier n'est pas proche de celle de l'élément fragile, consiste à mélanger une version conductrice de l'élément fragile avec une version isolante. Un exemple de ce genre d'implémentation consistera à utiliser une résine époxy conductrice et une résine époxy isolante. Ainsi essayer d'éliminer la résine époxy isolante aura pour conséquence d'éliminer également la résine époxy conductrice. L'utilisation de résine époxy est une solution très intéressante car les outils de dépôt de résine (par des aiguilles) sont des outils déjà présents et disponibles sur les chaines d'encapsulation de circuits intégrés.
Un dernier moyen pour rendre une attaque chimique difficile est de contraindre l'agresseur sur le choix du produit attaquant l'élément fragile et/ou le boitier. En effet, lorsque la composition chimique du boitier inclut beaucoup de silice, les solvants organiques sont inefficaces. Ainsi dans ces conditions, seuls des produits tels que l'acide nitrique fumant couramment utilisé pour détruire des résines et ainsi attaquer des circuits intégrés pourront être utilisés. Considérant l'acide nitrique, ou tout autre acide suffisamment concentré pour assurer une conductivité électrique, ou toute solution conductrice, il suffit de prévoir dans le boitier un mécanisme de détection basé sur un circuit non fermé a priori. Ainsi, l'épandage de la solution conductrice aurait pour effet, du fait de la fluidité et de la conductivité de la solution d'attaque, de fermer le circuit de détection, ce qui signifierait une attaque. Le dépôt des éléments fragiles se fait sur une surface électriquement isolée, hormis au niveau des points de connexion réservés aux éléments fragiles.
La localisation et/ou la loi de diffusion de l'élément fragile sont très variables, dépendant des niveaux de sécurité à définir au cas par cas, et des choix technologiques les plus adaptés à chaque cas. Par exemple, chaque élément fragile 10 peut être localisé prés d'une zone sensible afin de la protéger par proximité. Pour les cas d'utilisation d'une interconnexion à base filaire, il est nécessaire de protéger les patins de liaison qui sont les points d'attache sur le substrat des fils de connexion avec la puce. Ainsi, le dépôt de l'élément fragile se fait au plus près de ces patins de liaison. Idéalement, l'élément fragile est en contact avec le patin de liaison. Essayer d'approcher sans détection les patins de liaison pour les attaquer est donc très difficile pour un attaquant éventuel.
Un motif de diffusion des éléments fragiles peut donc être un motif usuellement appelé mesh en terminologie anglo-saxonne. Il s'agit d'une sorte de réseau plus ou moins serré, diffusé sur tout ou partie du substrat. Cela permet de protéger les signaux acheminés dans le substrat. Le circuit ainsi formé permet de détecter toute intrusion par une modification du signal conduit dans ledit circuit. Un autre motif de diffusion des éléments fragiles consiste à diffuser des petits points d'éléments fragiles répartis sur le substrat. Par exemple, la répartition peut être faite sur tout le substrat, de façon aléatoire, ou sur une partie seulement, si celle-ci est particulièrement sensible et à protéger. Pour ce motif, la plus grande partie du circuit de détection sera enfouie dans le substrat et seuls quelques points seront externes, consistant en les points de dépôt des éléments fragiles tel que des gouttelettes conductrices. Le circuit ainsi formé permet de détecter toute intrusion par une modification du signal conduit dans le circuit de détection. Un troisième exemple de réalisation consiste à protéger non plus le substrat mais directement la puce. Cette dernière est habituellement recouverte d'une couche de passivation isolante. Cela permet de déposer l'élément fragile conducteur sur sa surface. La connexion du circuit de détection se fait alors sur les plots 2 de la puce. Une implémentation très simple consiste en la liaison entre deux plots consécutifs. Ainsi, un tel circuit de détection est à même de protéger un troisième plot sensible, situé à proximité de ces deux plots. L'avantage de ce mode de fabrication est que la connexion des deux plots par dépôt de l'élément fragile est aisée à réaliser. Il est également possible de réaliser des ouvertures de passivation à tout endroit de la surface de la puce, permettant un dépôt de gouttelette. Un quatrième exemple de réalisation du circuit de détection consiste à protéger directement la puce en exploitant la conductivité du liquide attaquant (par exemple, l'acide nitrique fumant) par analogie avec la solution décrite précédemment sur la présence d'un circuit ouvert à priori et qui serait fermé par fluidité et conductivité du liquide attaquant. La réalisation se présente sous la forme de plots disséminés sur la surface de la puce, constituant un ou plusieurs circuits ouverts. Ces circuits ouverts se fermeront par épandage du liquide attaquant, grâce à sa fluidité et sa conductivité. La densité de plots sur la surface est variable, pouvant atteindre une valeur élevée, empêchant ainsi totalement une attaque chimique liquide. L'intérêt de cette dernière solution est double: le premier intérêt est que la puce étant plus haute que le substrat dans le boitier, une attaque du boitier serait donc a priori détectée plus tôt par les capteurs situés sur la surface de la puce. Le deuxième intérêt est que ce mécanisme procure également une protection contre l'intrusion physique dans la puce. Elle peut idéalement venir en complément d'autres mécanismes, tels que des treillis, aujourd'hui couramment utilisés.
Avantages de l'invention : Le procédé de protection de circuits intégrés et les circuits intégrés obtenus selon l'invention répondent aux buts fixés. La solution proposée utilisant des éléments fragiles à proximité des zones sensibles permet de contrer pratiquement toutes les attaques invasives sur les circuits intégrés, quelles que soient les technologies utilisées pour ces circuits intégrés. En outre, elle permet de renforcer la protection au niveau du boîtier du circuit intégré, pour avoir une sécurité disponible sur étagère et garantie. De plus, dans certains cas, par exemple lorsque les éléments fragiles sont réalisés en résine époxy, les outils de dépôt de résine sont déjà disponibles et bien maitrisés, de sorte que leur utilisation pour une autre fonction, à savoir le dépôt de gouttelettes conductrices pour créer et fermer un circuit de détection contre l'intrusion, peut être envisagée avec un moindre coût et un rendement de fabrication élevé.30 Applications de l'invention : Compte tenu de ses multiples avantages, la solution décrite peut être appliquée à des circuits intégrés destinés à des applications très diverses, comme par exemple les composants sensibles pour des applications telles que la téléphonie basé sur la voix sur IP, la transmission de données confidentielles sur les réseaux (techniques de VPN, d'authentification), les jetons d'authentification sécurisé ( clef USB sécurisée ), les composants dédiés à la sécurité, les composants pour le calcul cryptographique.

Claims (10)

  1. REVENDICATIONS1. Circuit intégré électronique comportant une puce électronique (1) fixée sur un substrat (3), l'ensemble étant protégé par un boitier, la puce électronique étant pourvue de plots d'entrée/sortie (2) connectés à des patins de liaison (6) disposés sur le substrat, ce circuit étant caractérisé en ce qu'il est pourvu en outre d'au moins un moyen de détection d'intrusion (9,10) apte à détecter une intrusion mécanique et/ou chimique à l'intérieur du boitier et/ou une tentative d'accès à une zone sensible du circuit intégré.
  2. 2. Circuit intégré selon la revendication 1, caractérisé en ce que ledit moyen de détection d'intrusion (9,10) comporte un circuit de détection (9) enfoui dans et/ou déposé sur le substrat (3), ce circuit de détection (9) étant aménagé de manière à passer au voisinage immédiat de certaines zones sensibles du circuit intégré, de manière que toute tentative d'accès à l'une quelconque desdites zones sensibles entraine une modification de l'état électrique (fermé/ouvert) du circuit de détection.
  3. 3. Circuit intégré selon la revendication 2, caractérisé en ce que ledit circuit de détection comporte des zones fragilisées (10), aménagées au voisinage immédiat desdites zones sensibles, de telle manière qu'un accès physique ou chimique au voisinage d'une zone sensible entraine la destruction de la zone fragilisée (10) adjacente et la détection de l'intrusion dans le circuit.
  4. 4. Circuit intégré selon la revendication 3, caractérisé en ce que lesdites zones fragilisées sont réalisées sous la forme de gouttelettes (10) de résine conductrice, aménagées au voisinage desdites zones sensibles.
  5. 5. Circuit intégré selon la revendication 4, caractérisé en ce que les gouttelettes (10) de résine conductrice ont une taille inférieure à environ 1000 micromètres, et sont espacées des zones sensibles à protéger par un espace de l'ordre de 50 micromètres.
  6. 6. Circuit intégré selon l'une quelconque des revendications 2 à 5, caractérisé en ce que les zones fragilisées (10) du circuit de détection (9) sont réparties de façon aléatoire dans le substrat (3) du circuit intégré.
  7. 7. Circuit intégré selon l'une quelconque des revendications 2 à 5, caractérisé en ce que le substrat (3) comporte un motif de diffusion conducteur, notamment en forme de grille, certains points de jonction du motif de diffusion qui sont proches des zones sensibles étant remontés à la surface du substrat par l'intermédiaire de traversées conductrices et pourvus d'une zone fragilisée (10).
  8. 8. Circuit intégré selon l'une quelconque des revendications précédentes, caractérisé en ce que le circuit de détection d'intrusion est aménagé directement sur la puce (2) au lieu du substrat (3) ou en complément de celui-ci, la connexion du circuit de détection d'intrusion étant effectuée sur les plots d'entrée/sortie (2) de la puce.
  9. 9. Circuit intégré selon l'une quelconque des revendications 2 à 8, caractérisé en ce que le circuit de détection est réalisé sous la forme d'un circuit électriquement ouvert au voisinage des zones sensibles, de façon qu'une attaque chimique par un liquide conducteur provoque la fermeture du circuit au voisinage des zones sensibles et par conséquent la détection de l'attaque chimique.
  10. 10. Circuit intégré selon l'une quelconque des revendications 2 à 8, caractérisé en ce que le circuit de détection est réalisé sous la forme d'un circuit électriquement fermé au voisinage des zones sensibles, de façon qu'une attaque chimique par un liquide conducteur provoque l'ouverture du circuit au voisinage des zones sensibles et par conséquent la détection de l'attaque chimique.
FR0806563A 2008-11-21 2008-11-21 Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique. Active FR2938953B1 (fr)

Priority Applications (5)

Application Number Priority Date Filing Date Title
FR0806563A FR2938953B1 (fr) 2008-11-21 2008-11-21 Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique.
CN200980146866.0A CN102257516B (zh) 2008-11-21 2009-11-14 用于使电子集成电路外壳免受物理或化学侵入的设备
PCT/FR2009/001307 WO2010058094A1 (fr) 2008-11-21 2009-11-14 Dispositif de protection d'un boitier de circuit intégré électronique contre les intrusions par voie physique ou chimique
JP2011536917A JP5933266B2 (ja) 2008-11-21 2009-11-14 物理的または化学的な侵入に対して電子集積回路ハウジングを保護する装置
US13/130,534 US8581251B2 (en) 2008-11-21 2009-11-14 Device for protecting an electronic integrated circuit housing against physical or chemical ingression

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0806563A FR2938953B1 (fr) 2008-11-21 2008-11-21 Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique.

Publications (2)

Publication Number Publication Date
FR2938953A1 true FR2938953A1 (fr) 2010-05-28
FR2938953B1 FR2938953B1 (fr) 2011-03-11

Family

ID=40752530

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0806563A Active FR2938953B1 (fr) 2008-11-21 2008-11-21 Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique.

Country Status (5)

Country Link
US (1) US8581251B2 (fr)
JP (1) JP5933266B2 (fr)
CN (1) CN102257516B (fr)
FR (1) FR2938953B1 (fr)
WO (1) WO2010058094A1 (fr)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10886240B2 (en) 2018-07-25 2021-01-05 Stmicroelectronics (Rousset) Sas Method for protecting an integrated circuit, and corresponding device
EP3770789A1 (fr) * 2019-07-24 2021-01-27 STMicroelectronics (Rousset) SAS Procédé de protection de données stockées dans une mémoire, et circuit intégré correspondant
US10943876B2 (en) 2018-07-30 2021-03-09 Stmicroelectronics (Rousset) Sas Method for detecting an attack by means of a beam of electrically charged particles on an integrated circuit, and corresponding integrated circuit
US11367720B2 (en) 2018-07-25 2022-06-21 Stmicroelectronics (Rousset) Sas Method for protecting an integrated circuit module using an antifuse, and corresponding device

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014034981A1 (fr) * 2012-08-31 2014-03-06 주식회사 블루버드 Terminal mobile
CN102858082B (zh) * 2012-09-26 2015-06-10 深圳市九思泰达技术有限公司 核心模块安全区防护结构
US10651135B2 (en) * 2016-06-28 2020-05-12 Marvell Asia Pte, Ltd. Tamper detection for a chip package
EP3340114B1 (fr) * 2016-12-22 2020-09-30 EM Microelectronic-Marin SA Circuit rfid a deux frequences de communication muni d'une boucle d'inviolabilite
US11454010B2 (en) 2017-03-09 2022-09-27 Charles James SPOFFORD Appliance with shim compatible geometry
CN107133535A (zh) * 2017-04-13 2017-09-05 上海汇尔通信息技术有限公司 数据保护结构及移动终端设备
US11289443B2 (en) * 2017-04-20 2022-03-29 Palo Alto Research Center Incorporated Microspring structure for hardware trusted platform module
WO2022027535A1 (fr) * 2020-08-07 2022-02-10 深圳市汇顶科技股份有限公司 Puce de sécurité et dispositif électronique

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2801999A1 (fr) * 1999-12-01 2001-06-08 Gemplus Card Int Procede de protection physique de puces electroniques et dispositifs electroniques ainsi proteges
GB2363233A (en) * 2000-05-11 2001-12-12 Ibm Tamper resistant card enclosure with intrusion detection circuit
FR2864667A1 (fr) * 2003-12-29 2005-07-01 Commissariat Energie Atomique Protection d'une puce de circuit integre contenant des donnees confidentielles
FR2872610A1 (fr) * 2004-07-02 2006-01-06 Commissariat Energie Atomique Dispositif de securisation de composants
FR2888975A1 (fr) * 2005-07-21 2007-01-26 Atmel Corp Procede de securisation pour la protection de donnees

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4593384A (en) * 1984-12-21 1986-06-03 Ncr Corporation Security device for the secure storage of sensitive data
US5027397A (en) * 1989-09-12 1991-06-25 International Business Machines Corporation Data protection by detection of intrusion into electronic assemblies
US6708274B2 (en) 1998-04-30 2004-03-16 Intel Corporation Cryptographically protected paging subsystem
US5861662A (en) * 1997-02-24 1999-01-19 General Instrument Corporation Anti-tamper bond wire shield for an integrated circuit
DE10044837C1 (de) * 2000-09-11 2001-09-13 Infineon Technologies Ag Schaltungsanordnung und Verfahren zum Detektieren eines unerwünschten Angriffs auf eine integrierte Schaltung
US7490250B2 (en) * 2001-10-26 2009-02-10 Lenovo (Singapore) Pte Ltd. Method and system for detecting a tamper event in a trusted computing environment
US7266842B2 (en) 2002-04-18 2007-09-04 International Business Machines Corporation Control function implementing selective transparent data authentication within an integrated system
GB2412996B (en) * 2004-04-08 2008-11-12 Gore & Ass Tamper respondent covering
US7979721B2 (en) * 2004-11-15 2011-07-12 Microsoft Corporation Enhanced packaging for PC security
EP1897425A1 (fr) * 2005-06-30 2008-03-12 Siemens Aktiengesellschaft Systeme pour proteger du materiel contre les manipulations externes, destine a des modules de donnees electroniques sensibles
DE102005042790B4 (de) * 2005-09-08 2010-11-18 Infineon Technologies Ag Integrierte Schaltungsanordnung und Verfahren zum Betrieb einer solchen
US8522051B2 (en) * 2007-05-07 2013-08-27 Infineon Technologies Ag Protection for circuit boards
EP2026470A1 (fr) 2007-08-17 2009-02-18 Panasonic Corporation Vérification de redondance cyclique de fonctionnement sur des segments de codage
JP5041980B2 (ja) * 2007-11-16 2012-10-03 ルネサスエレクトロニクス株式会社 データ処理回路及び通信携帯端末装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2801999A1 (fr) * 1999-12-01 2001-06-08 Gemplus Card Int Procede de protection physique de puces electroniques et dispositifs electroniques ainsi proteges
GB2363233A (en) * 2000-05-11 2001-12-12 Ibm Tamper resistant card enclosure with intrusion detection circuit
FR2864667A1 (fr) * 2003-12-29 2005-07-01 Commissariat Energie Atomique Protection d'une puce de circuit integre contenant des donnees confidentielles
FR2872610A1 (fr) * 2004-07-02 2006-01-06 Commissariat Energie Atomique Dispositif de securisation de composants
FR2888975A1 (fr) * 2005-07-21 2007-01-26 Atmel Corp Procede de securisation pour la protection de donnees

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10886240B2 (en) 2018-07-25 2021-01-05 Stmicroelectronics (Rousset) Sas Method for protecting an integrated circuit, and corresponding device
US11329011B2 (en) 2018-07-25 2022-05-10 Stmicroelectronics (Rousset) Sas Method for protecting an integrated circuit, and corresponding device
US11367720B2 (en) 2018-07-25 2022-06-21 Stmicroelectronics (Rousset) Sas Method for protecting an integrated circuit module using an antifuse, and corresponding device
US10943876B2 (en) 2018-07-30 2021-03-09 Stmicroelectronics (Rousset) Sas Method for detecting an attack by means of a beam of electrically charged particles on an integrated circuit, and corresponding integrated circuit
EP3770789A1 (fr) * 2019-07-24 2021-01-27 STMicroelectronics (Rousset) SAS Procédé de protection de données stockées dans une mémoire, et circuit intégré correspondant
FR3099259A1 (fr) * 2019-07-24 2021-01-29 Stmicroelectronics (Rousset) Sas Procédé de protection de données stockées dans une mémoire, et circuit intégré correspondant
US11715705B2 (en) 2019-07-24 2023-08-01 Stmicroelectronics (Rousset) Sas Method for protecting data stored in a memory, and corresponding integrated circuit

Also Published As

Publication number Publication date
CN102257516A (zh) 2011-11-23
US8581251B2 (en) 2013-11-12
CN102257516B (zh) 2015-10-07
FR2938953B1 (fr) 2011-03-11
JP5933266B2 (ja) 2016-06-08
JP2012509585A (ja) 2012-04-19
WO2010058094A1 (fr) 2010-05-27
US20110260162A1 (en) 2011-10-27

Similar Documents

Publication Publication Date Title
FR2938953A1 (fr) Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique.
US11610846B2 (en) Protective elements for bonded structures including an obstructive element
US20230036441A1 (en) Protective semiconductor elements for bonded structures
KR20240036032A (ko) 접합된 구조물의 광학적 차단 보호 요소
US8198641B2 (en) Semiconductor device with backside tamper protection
CN101772775B (zh) 抗篡改半导体器件以及制造该抗篡改半导体器件的方法
EP0792497B1 (fr) Dispositif de securite actif a memoire electronique
EP0800209B1 (fr) Dipositif de sécurité d'une pastille semi-conductrice
EP2608641B1 (fr) Dispositif de protection d'un circuit imprimé électronique.
CA3003618C (fr) Corps de lecteur de carte a memoire a treillis de protection recto-verso
EP2241997B1 (fr) Lecteur de carte mémoire
FR2792440A1 (fr) Dispositif a circuit integre securise contre des attaques procedant par destruction controlee d'une couche complementaire
FR2801999A1 (fr) Procede de protection physique de puces electroniques et dispositifs electroniques ainsi proteges
EP1127376A1 (fr) Puce a circuits integres securisee contre l'action de rayonnements electromagnetiques
FR2727226A1 (fr) Dispositif de securite actif a memoire electronique
EP1021833A1 (fr) Dispositif a circuit integre securise et procede de fabrication
FR3096175A1 (fr) Procédé de détection d’une atteinte éventuelle à l’intégrité d’un substrat semi-conducteur d’un circuit intégré depuis sa face arrière, et circuit intégré correspondant
FR2892544A1 (fr) Detection de tentative d'effraction sur une puce a travers sa structure support

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13

PLFP Fee payment

Year of fee payment: 14

PLFP Fee payment

Year of fee payment: 15

PLFP Fee payment

Year of fee payment: 16