JP2023533547A - 悪意のある攻撃に対する保護を有する集積回路デバイス - Google Patents

悪意のある攻撃に対する保護を有する集積回路デバイス Download PDF

Info

Publication number
JP2023533547A
JP2023533547A JP2023501255A JP2023501255A JP2023533547A JP 2023533547 A JP2023533547 A JP 2023533547A JP 2023501255 A JP2023501255 A JP 2023501255A JP 2023501255 A JP2023501255 A JP 2023501255A JP 2023533547 A JP2023533547 A JP 2023533547A
Authority
JP
Japan
Prior art keywords
protective layers
integrated circuit
layers
detection circuit
circuit device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023501255A
Other languages
English (en)
Other versions
JPWO2022008692A5 (ja
Inventor
ペリシエ,シルヴァン
オーブリー,パスカル
Original Assignee
ナグラビジョン ソシエテ ア レスポンサビリテ リミテ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ナグラビジョン ソシエテ ア レスポンサビリテ リミテ filed Critical ナグラビジョン ソシエテ ア レスポンサビリテ リミテ
Publication of JP2023533547A publication Critical patent/JP2023533547A/ja
Publication of JPWO2022008692A5 publication Critical patent/JPWO2022008692A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/75Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/75Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
    • G06F21/755Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation with measures against power attack
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • G06F21/87Secure or tamper-resistant housings by means of encapsulation, e.g. for integrated circuits
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/003Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/004Countermeasures against attacks on cryptographic mechanisms for fault attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Storage Device Security (AREA)

Abstract

悪意のある攻撃に対する保護を有する集積回路デバイス。集積回路デバイス(100)は、半導体基板層(10)と、電子部品を含み、当該半導体基板層(10)によって支持される少なくとも1つの活性層(20)とを備える。半導体基板層(10)及び少なくとも1つの活性層(20)は、放射線の通過を妨げるための物理的障害物として作用する2つの保護層(30A、30B)の間に挟まれる。更に、2つの保護層(30A、30B)は、保護層(30A、30B)の電気情報を監視し、監視された電気情報に基づいて2つの保護層(30A、30B)のうちの少なくとも1つの物理的攻撃を検出することができる検出回路(40)に電気的に接続される。

Description

本開示は、サイドチャネル攻撃及び障害攻撃のような悪意のある攻撃に対する集積回路保護の分野に関する。
コンピュータセキュリティにおいて、セキュリティは、典型的には、数学的に破ることが極めて困難であるように設計された暗号アルゴリズムによって提供される。攻撃者は入出力メッセージを利用できるが、秘密情報(例えば、暗号化アルゴリズムの秘密鍵)は利用できない。よく研究されたアルゴリズムの場合、攻撃者は、秘密情報を得るために実用的でない量の計算能力を必要とする暗号解析を実行しなければならない。
しかしながら、暗号アルゴリズム又はプロトコルのハードウェア実装及びソフトウェア実装は、そのような複雑な暗号解析を必要としないサイドチャネル攻撃及び障害攻撃に対して脆弱であることが示されている。両方の技術を使用して、1つ以上の暗号アルゴリズムを実装する集積回路などの埋め込みデバイスに記憶された秘密情報(例えば、1つ以上の秘密鍵)を得ることができる。
サイドチャネル攻撃は、秘密情報がサイドチャネルを介して漏洩し得るという原理に基づく。これは、実装されたアルゴリズム自体の弱点ではなく、コンピュータシステムの実装から得られる情報に基づく任意の攻撃として定義することができる。サイドチャネルとは、例えば、暗号化を実行するのに必要な時間、暗号化アルゴリズムを実行するためにハードウェア実装に消費される電力、暗号化又は復号化を実行する回路から発される電磁放射線、或いは音などの物理的な情報漏洩である。サイドチャネル攻撃は、効果的であり、低コスト及び/又は実験回数の低減を必要とすることが証明されている。
障害攻撃は、暗号アルゴリズムにおける計算上の障害を意図的にトリガして、秘密情報を得ることを可能にする障害出力又は障害挙動を得ることにある。例えばレーザ源又は電磁源を使用する障害注入は、暗号デバイスの挙動を変更し、障害環境下での情報漏洩を発生させるために使用される。例えば、ボディバイアス注入(BBI)は、高電圧パルスを回路基板に印加して障害を誘発することからなる障害注入方法である。
国際公開第96/16378(A1)号は、秘密情報を記憶するメモリ領域を有する第1の集積回路と、第1の集積回路の上に配置され、メモリ領域(及び任意の他の感知回路)を覆って障害物を形成し、メモリ領域へのアクセスを妨げる第2の集積回路とを含むセキュリティデバイスを開示している。2つの集積回路は、接着層を介して互いに接合され、互いに通信するために接続される。動作中、相互認証手順を実行するために、2つの集積回路の間で周期的通信が確立される。2つの集積回路のうちの1つが認証に失敗した場合、秘密情報はメモリ領域から消去される。メモリ領域にアクセスするために、攻撃者は第2の集積回路を除去する必要があり、結果として、2つの集積回路間の接続が遮断される。
米国特許第5,881,155号は、第2の半導体チップ(保護チップ)を備える半導体チップ(被保護チップ)に記憶された秘密情報へのアクセスを妨げるためのセキュリティデバイスを開示している。2つのチップは、通信端子によって互いに結合される。不均一な抵抗率を有する半導体樹脂が、被保護チップと保護チップとの間に挟まれている。保護チップは、樹脂を介して複数の抵抗を測定する手段と、測定された抵抗を処理することによって暗号鍵(「抵抗鍵」)を決定する手段とを有する。セキュリティデバイスが初期
化されると、測定手段は半導体樹脂を介して一定数の抵抗を測定する。次に、測定された抵抗値は、情報を暗号化及び復号化するために通信端子を介して保護された船舶に通信される抵抗鍵を決定するために処理される。この構成では、被保護チップに対する物理的攻撃は、秘密情報(抵抗鍵)へのアクセスを提供しない。更に、これは、チップの活性表面へのアクセス、したがって半導体層の破壊を前提とし、抵抗鍵の再構成を恒久的に妨げる。
国際公開第99/12204(A1)号は、中間封止層を介して互いに接合された活性層及び相補層を備えるセキュリティ集積回路を開示している。「活性」層は、半導体材料内の基板副層と、基板副層の上に、電子回路を集積しメモリを有する活性副層とを含む。この活性層を薄膜化する。相補層は半導体材料で作られる。中間封止層は、電気絶縁材料で作られる。攻撃者が集積回路にアクセスすることを望むとすると、攻撃者は、牽引力を印加することによって相補層を活性層から分離する必要がある。活性層が薄膜化し、したがって弱まると、そのような牽引力は必然的に活性層を破り、秘密情報を抽出することを不可能にする。
従来技術のセキュリティデバイスは、実装及び設計が複雑である。更に、それらは、チップの一方の側からのみの物理的攻撃に対する保護を提供する。しかしながら、チップの両側からの攻撃が可能であることが最近示された。更に、従来技術のセキュリティデバイスは、メモリから秘密情報を読み出すことを妨げるように設計されているが、サイドチャネル攻撃、電磁障害攻撃、又はボディバイアス注入攻撃に対する効率的な保護を提供しない。
状況を改善する必要がある。
本開示は、半導体基板層と、電子部品を含み、当該半導体基板層によって支持される少なくとも1つの活性層とを備える集積回路デバイスにおいて、半導体基板層及び少なくとも1つの活性層が、放射線の通過を妨げる物理的障害物として作用する2つの保護層の間に挟まれ、少なくとも1つの活性層を悪意のある攻撃に対して保護するために、保護層の電気情報を監視し、監視された電気情報に基づいて2つの保護層のうちの少なくとも1つの物理的攻撃を検出する検出回路に電気的に接続されることを特徴とする集積回路デバイスに関する。
本開示によれば、集積回路デバイスは、チップ(集積回路)の両側に保護層又はシールド層を使用する。2つの保護層は、内部放射線及び/又は外部放射線の通過を妨げる物理的障害物として作用する。そのような構成は、「ファラデーケージ」効果と比較することができる保護を作り出す。それは、チップの両側から来る放射線、例えばレーザビーム又は電磁グリッチを使用する侵入攻撃を妨げる。それはまた、1つ以上の活性層から発される電磁放射線の検出に基づくサイドチャネル攻撃を妨げる。
更に、攻撃者が保護層のうちの1つの、全部又は一部を除去しようとする場合、検出回路は、保護層の監視された電気情報に基づいて攻撃を検出し、保護の電子的対策、例えばメモリワイプをトリガする。
したがって、本開示では、保護層は、放射線を使用する攻撃に対して1つ以上の集積回路を保護するための物理的シールドとして作用し、集積回路デバイスが保護層を掘ることによって物理的に攻撃された場合に保護の電子的対策を起動するためのトリガとしても使用される。したがって、本開示は、物理的保護と保護の電子的対策とを組み合わせ、両方とも、悪意のある攻撃に対して活性層を保護することを可能にする。物理的保護は、電子
的対策を実行するトリガとして実際に使用される。
有利には、検出回路は、少なくとも1つの活性層内に集積される。
集積回路デバイスは、検出回路によって物理的攻撃が検出されると、電子的保護対策を実行するための信号を生成するように構成される電子保護回路を更に備えることができる。
有利には、電子保護回路は、少なくとも1つの活性層内に集積される。
2つの保護層は、レーザ放射線、少なくとも1つの活性層からの電磁放射線、外部源(すなわち、集積回路デバイスの外部)によって生成される電磁放射線を含む群の内部放射線及び外部放射線の通過を妨げるように構成することができる。
2つの保護層は、金属、金属合金、又は半導体材料で作られ得る。
第1の実施形態では、集積回路デバイスはワイヤボンディング用に設計される。
第2の実施形態では、集積回路デバイスはフリップチップシステムである。
2つの保護層のうちの1つ、又は2つの保護層の各々は、フルプレートであり得る。
第1の変形形態では、2つの保護層のうちの1つ又は2つの保護層の各々は、平行線を形成する屈曲連続ワイヤで作られる。任意選択的に、この屈曲連続ワイヤは、プリント回路基板によって支持することができる。
別の実施形態では、保護層は、検出回路に電気的に接続される基本プレートのモザイクを備える。
検出回路は、2つの保護層のそれぞれの電気的値の間の相対的な値を測定するように構成することができる。
第1の例では、検出回路は、2つの保護層の当該電気情報として、2つの保護層間の静電容量を測定するように構成される。
第2の例では、検出回路は、2つの保護層の当該電気情報として、2つの保護層間の電気抵抗の差を測定するように構成される。
検出回路は、許容範囲外の、基準値からの監視された電気情報の偏差を検出するように構成される。
任意選択的に、2つの保護層は、電気絶縁体として機能する2つのそれぞれの接合層を介して、半導体基板層及び少なくとも1つの活性層に接合される。
本開示はまた、集積回路デバイスを含む製品に関する。
本開示の他の特徴、目的、及び利点は、添付の図面を参照してなされた非限定的な実施形態の詳細な記述を読むことによってより明確になるであろう。
第1の実施形態による集積回路デバイスを示す。 第2の実施形態による集積回路デバイスを示す。 集積回路デバイスに電子的保護を提供する電子回路を示す。 第1の実施形態による集積回路デバイスの第1の変形形態を示す。 第1の実施形態による集積回路デバイスの第1の変形形態を示す。 第1の実施形態による集積回路デバイスの第2の変形形態を示す。 集積回路デバイスの第3の実施形態を示す。 第1の実施形態による集積回路デバイスの動作を示す構成図である。
本開示は、悪意のある攻撃、特にサイドチャネル攻撃及び障害攻撃に対する保護を提供するように設計された集積回路デバイスに関する。
集積回路デバイスは、暗号アルゴリズム及び/又はプロトコルを実行するように設計され得るハードウェア実装及びソフトウェア実装の混合である。これらのハードウェア実装及びソフトウェア実装は、サイドチャネル攻撃及び障害攻撃(例えば、レーザビームによる障害攻撃又はグリッチ電磁攻撃)に対して脆弱である。そのような攻撃は、集積回路デバイスに障害を注入してその挙動を変更するための放射線の使用、又は1つ以上の回路から発される放射線の検出に基づくことができる。本開示は、1つ以上の回路に向けられた1つ以上の外部放射源(例えば、レーザ又は電磁グリッチ)を使用する攻撃、及び1つ以上の回路から発される放射線の検出に基づく攻撃に対する保護を提供することを目的とする。
当業者によく知られているように、集積回路デバイス100は、半導体基板層10と少なくとも1つの活性層20とを含む複数の重なり合う層を備える。半導体基板層10は、半導体材料で作られる。1つ以上の活性層20は、半導体部品などの電子部品を含む。それらはまた、1つ以上の導体トラックを含む。1つ以上の電子回路又はデバイスは、これらの1つ以上の活性層に集積され得る。
本開示では、半導体基板層10及び1つ以上の活性層20は、内部放射線及び外部放射線の通過を妨げるための物理的障害物として作用する2つの保護層又は「シールド」層30A、30Bの間に挟まれる。保護層は、層10、20のスタックの両側(図1又は図2の上部及び底部)に配置される。それらは、追加の重なり合う層を構成する。これらの保護層は、レーザ放射線及び電磁放射線などの放射線の通過を妨げるように設計されている。それらは、集積回路デバイス100(特に、1つ以上の活性層)を保護するための「ファラデーケージ」効果と比較し得る効果をもたらす。例えば、外部源(すなわち、集積回路デバイスの外部)によって放射され、集積回路デバイスに向けられたレーザビームは、保護層うちの1つに当たり、この保護層によって遮断される。集積回路デバイスの一方の側での電磁障害注入の場合、電磁場は、この側に配置された保護層に当たり、1つ以上の活性層を破壊することなく、ファラデーケージのように保護層にわたって分布する。更に、保護層は、1つ以上の回路からの電磁放射線などの1つ以上の回路から来る放射線を吸収する。結果として、サイドチャネル攻撃によって秘密情報を得ることは非常に困難であるか、不可能でさえある。
各保護層30A、30Bの厚さは、効率的な保護を提供するように適合させることができる。その値は、保護層の材料及び集積回路デバイスに必要なサイズなどの1つ以上のパラメータに依存し、実験的に決定することができる。例えば、この厚さは、良好な保護及びサイズの低減を提供するために、保護層の所与の材料について50pmと200pmとの間に含まれ得る。しかしながら、別の材料の場合、より薄い厚さ(例えば、30pm)も効率的であり得る。集積回路デバイスのサイズに対する要件がない場合には、200pmよりも厚い厚さを適用することもできる。例えば、各保護層の厚さは、500pmに等
しくなり得る。
保護層30A、30Bは、金属、例えば銅、アルミニウム、金又は白金で作られ得る。或いは、それらは、ステンレス鋼(例えば、300グレードのステンレス鋼)などの金属合金、又は半導体材料で作られる。
保護層30A、30Bは、サイドチャネル攻撃、レーザ攻撃、及び電磁障害攻撃やボディバイアス注入攻撃などの電磁攻撃に対して強力な受動保護を提供する。実際、これらのシールド層30A、30Bは、集積回路デバイス100の両側の電磁放射線の全部ではないにしても大部分を保持し、サイドチャネルデータを取得することを非常に困難にする。それらはまた、1つ以上の活性層に向けられた任意のレーザビーム、及び1つ以上の活性層に向けられた電磁信号又はニードルの大部分を保持し、集積回路動作を妨げることを非常に困難にする。
保護層の接着を容易にするために、接合層又は界面層31A、31Bを、それぞれ保護層30A、30Bと層10、20との間に挿入することができる。これらの接合層31A、31Bは、保護層30Aと1つ以上の活性層20とを接合し、保護層30Bと半導体基板層10とを接合する機能を有する。それらは、当業者によく知られている特定の接着剤で作られ得る。接合層の材料は、当業者によく知られているように、電気絶縁材料とすることができる。保護層30A、30Bは、別の方法で層10、20に接合することができる。
保護層30A、30Bは、図3に概略的に示されるように、検出回路40に電気的に接続される。この検出回路又は検出デバイス40は、保護層30A、30Bの電気情報を監視し、監視された電気情報に基づいて2つの保護層30A、30Bのうちの少なくとも1つの物理的攻撃を検出する機能を有する。検出回路40は、集積回路デバイス100の1つ以上の活性層20に集積される。各保護層30A、30Bは、1つ以上のTSV(シリコン貫通電極)を介して検出回路40に接続される。
より正確には、検出回路40は、2つの保護層30A、30B間の相対的な電気的値を監視するように構成することができる。そのような相対的な値は、経時的に一定又はほぼ一定のままであると予想される。特に、集積回路デバイス100の温度の変化は、この相対的な値に影響を与えるべきではない。
相対的な電気的値は、2つの保護層30A、30B間の静電容量であり得る。或いは、相対的な電気的値は、2つの保護層間の電気抵抗の差であり得る。
検出回路40は、物理的攻撃を検出するために、2つの保護層30A、30B間のこの相対的な電気的値を測定し、それが経時的に一定又はほぼ一定のままであるか否かを判定することによってそれを監視するように構成される。このために、基準値を含む許容範囲が、検出回路40によって使用され得る。この許容範囲内の監視された相対的な電気的値の変動は受け入れることができ、許容範囲外の監視された相対的な電気的値の変動は、検出回路40によって物理的攻撃として検出することができる。言い換えれば、測定された相対的な電気的値がこの許容範囲内にある場合、それは一定(又はほぼ一定)のままであると見なされ、物理的攻撃は検出されない。しかし、測定された相対的な電気的値が許容範囲外である場合、それは一定のままではないと見なされ、物理的攻撃が検出される。許容範囲は、攻撃の効率的な検出を可能にし、誤検出を回避するために、実験によって特徴付けることができる。例えば(あくまでも)、基準値と比較して±10%の変動が許容され得る(「ほぼ一定」と見なされる)。しかしながら、この±10%の値は一例に過ぎない。別の許容範囲、例えば、基準値と比較して±5%若しくは±30%、又は攻撃の効率
的な検出及び誤検出の回避に実験的に適切であると判定された任意の他の値を適宜判定することができる。
集積回路デバイス100は、図3に示されるように、電子保護回路50を更に備える。この保護回路50は、検出回路40に接続される。動作中、集積回路デバイスが、保護層30うちの1つを掘ることによって物理的に攻撃されると、この物理的攻撃は、検出回路40によって検出され、保護回路50に信号が送られる。これにより、保護回路50は、電子的保護対策を実行するための制御信号を生成する。例えば、制御信号は、1つ以上のメモリを消去する、又は集積回路デバイスの動作(機能)を遮断するためのコマンド、又は集積回路デバイス100の秘密情報又は機密情報を保護することを目的とした任意の他の対策である。
検出回路40及び保護回路50のおかげで、保護層30A、30Bは、集積回路(チップ)に入るレーザ又は電磁信号又はチップ外部の電磁放射線を遮断するための受動保護として使用されるだけでなく、集積回路デバイス100が物理的攻撃を受け、攻撃者が保護層30A、30Bのうちの1つの、全部又は一部を除去しようとすると、能動的対策をトリガする構成要素としても使用される。
集積回路デバイス100はまた、1組の重なり合う層10、20、30A、30B、31A、31Bを覆うモールドキャップ60を備え得る。
集積回路デバイス100は、キャリア200によって支持され得る。このキャリア200は、集積回路デバイス100の1つ以上の回路が接続される導体トラックを支持することができる。そのような構成は、集積回路デバイス100の他の電子デバイスへの接続を容易にするために、導体トラックの再分布を可能にする。このキャリア200は、他の電子部品又は電子デバイスを支持する別のより大きなキャリア(不図示)によって支持することができる。キャリア200とより大きなキャリアとの間の電気的接続は、図1及び図2に示すように、はんだボール端子を使用することができる。
第1の実施形態
図1は、ワイヤボンディング用に設計された集積回路デバイス100の第1の実施形態を示す。集積回路デバイス100は、ワイヤボンドパッケージである。この実施形態は、上記の開示に準拠する。次に、この第1の実施形態に特有の特徴を図1を参照して説明する。
集積回路デバイス100の第1の実施形態はワイヤボンディング用に設計されているので、当業者によく知られているように、例えば金(Au)の複数の接続ワイヤ21が、活性層20の1つ以上の回路を、接続の再分布のためにキャリア200によって支持された導体トラックに接続する。集積回路デバイス100の層は、キャリア200からモールドキャップ60に向かって(すなわち、図1の底部から上部に向かって)、保護層30B、接合層31B、半導体基板層10、活性層20、接合層31A、及び保護層30Aの順で互いに重なり合う。
第1の実施形態によれば、保護層30A、30Bは、2つのプレート、有利には2つのフルプレートである。
次に、集積回路デバイス100(例えば、図1に示されるデバイス)の動作について、図7を参照して説明する。
2つの保護層30A、30Bは、放射線の通過を妨げる物理的障害物として作用する。
それらは、レーザビーム又は電磁放射線などの放射線の通過を妨げる。攻撃者が、外部レーザ源からレーザビームを1つ以上の活性層に向けることによって集積回路デバイス100を攻撃する場合、このレーザビームは、保護層30A、30Bのうちの1つによって止められる。集積回路デバイス100の一方の側からのグリッチ電磁攻撃の場合、この側に配置された保護層30の近傍で生成される電磁場は、この保護層によって遮断され、1つ以上の活性層20を妨げない。更に、サイドチャネル攻撃の場合、保護層30A、30Bは、攻撃者が秘密情報を得るためにこれらの電磁放射線を捕捉することができないように、動作中の1つ以上の回路によって生成される電磁放射線を止める。
検出回路40は、ステップS1において、2つの保護層30A、30B間の相対的な電気的値を測定する。そのような監視は、集積回路デバイス100が電力供給されていると、集積回路デバイス100の寿命にわたって行うことができる。例えば、2つの保護層30A、30Bを2つのコンデンサと見なし、2つの保護層30A、30B間のそれぞれの静電容量値の差Cを測定する。測定された電気的値は、2つの保護層間の「相対的」な値であるので、経時的に一定(又はほぼ一定)であることが予想される。温度が上昇しても、両方のコンデンサは同様に影響を受けるので、温度の変化によって変更されるべきではない。しかしながら、小さな変動は、基準値に対する許容範囲内(例えば、基準値に対して±10%)で許容され得る。監視ステップS2において、2つの保護層30A、30B間の測定された相対的な電気的値(例えば、静電容量Cの差)が、「Co」として参照される基準値から許容範囲外に逸脱しているか否かを判定するために監視される。検出回路40は、測定された相対的な電気的値Cが基準値Coと比較して一定のままであるか否か、又は所定の許容範囲内にあるか否かを判定する。そうである(図7の分岐Yの)場合、検出デバイス40は、ステップS1及びステップS2を繰り返す。物理的攻撃は検出されない。
集積回路デバイス100の物理的攻撃の場合、攻撃者は、1つ以上の活性層にアクセスする前に、2つの保護層のうちの少なくとも1つに侵入しなければならない。その場合、検出回路40は、ステップS2(図7の分岐N)において、測定された相対的な電気的値Cが変化し、基準値から許容範囲外に逸脱することを検出する。結果として、ステップS3において、検出回路40は警報信号を生成し、ステップS4において、それを電子保護回路50に送信する。例えば(あくまでも)、監視された相対的な電気的値が基準値と比較して10%を超えて増加又は減少すると、検出回路40によって警報信号が生成される。
電子保護回路50は、警報信号を受信すると、ステップS5において、集積回路デバイス100を保護するための電子的対策の実行を制御する。対策は、集積回路デバイス100の1つ又は複数のメモリを消去すること、集積回路デバイス100の動作を遮断すること、又は当業者に知られている任意の他の電子的対策のうちの1つ以上の動作であり得る。
静電容量の代わりに、2つの保護層30A、30Bのそれぞれの抵抗値の間の差を測定し、監視することができる。或いは、温度が変化した場合であっても、経時的に一定又はほぼ一定のままであると予想される2つの保護層30A、30Bの任意の他の電気的特性を、検出回路40によって測定及び監視することができる。
前述したように、保護層30A、30Bは、サイドチャネル攻撃及び障害攻撃のような攻撃に対する物理的及び受動保護を提供する。結果として、攻撃者は、2つの保護層30A、30Bのうちの少なくとも1つの、全部又は一部を除去する必要がある。保護層30のうちの1つに穴を開けること、又は保護層30のうちの1つを一体的に除去することは、メモリワイプのような対策を実行するセキュリティメカニズムをトリガする効果を有す
る。セキュリティメカニズムは任意の種類のものであってもよく、本開示はいくつかの特定の対策に限定されない。
第1の実施形態の変形形態1
第1の実施形態の変形形態では、2つの保護層30A、30Bのうちの少なくとも1つ(すなわち、保護層の一方又は両方のいずれか)は、平行線を形成するために屈曲された単一の連続ワイヤ32で作られ得る。
図4A及び図4Bは、第1の実施形態のこの第1の変形形態の一例を示す。この例では、集積回路デバイス100の構造は、第1の実施形態の構造と同様であるが、1つの屈曲連続ワイヤ32A、32Bが、各保護プレートを置き換えるために使用され、保護層又はシールド層30A、30Bとして作用する。屈曲連続ワイヤ32、32Bは、第1の実施形態で前述したように、接合(界面)層31A、31Bを介して1つ以上の活性層又は半導体基板層に接合することができる。したがって、各屈曲ワイヤ32A、32Bは、対応する接合層31A、31Bにわたって延在している。
図4Aは、集積回路デバイス100の重なり合う層30A、31A、20、10、31B、30Bの上面図である。これは、単一の屈曲ワイヤ32Aによって形成された保護層30Aを示している。図4Bは、重なり合う層30A、31A、20、10、31B、30Bの側面図を示す。
各保護層30A、30Bにおいて、ワイヤの平行線は互いに非常に近接している。2つの隣接する線の間の空間は、非常に小さく、例えば数ミクロンであり得る。
各屈曲ワイヤ32A(32B)は、フルプレートと同様に、攻撃に対して集積回路デバイスを保護するシールドを形成する。更に、シールドが単一のワイヤによって提供されるという事実は、シールドの攻撃の場合の検出を容易にする。実際、ワイヤが切断されたか否かを検出することは非常に容易である。
第1の実施形態の変形形態2
第1の実施形態の第2の変形形態は、上述の実施形態の第1の変形形態と同様であるが、各屈曲連続ワイヤ32A(32B)がプリント回路基板(PCB)33(集積回路デバイスの一方の側を33A、他方の側を33Bと呼ぶ)によって支持されている点のみが異なる。プリント回路基板33A(33B)は、保護層30A(30B)と接合層31A(31B)との間の中間層を形成する。ワイヤ32A(32B)は、対応するPCB 33A(33B)上にプリントされる。これは、物理的保護を改善することを可能にする。そのような構成によって提供される異なる攻撃に対する保護は、フルプレートによって提供される保護に非常に近い。
屈曲連続ワイヤを担持するプリント回路基板は、集積回路デバイスの一方の側又は両側に備えることができる。
保護層の第1の変形形態及び第2の変形形態は、第1の実施形態による集積回路デバイスにおいて使用することができるが、この種類の1つ以上の保護層 を受け入れるのに適した外部回路への相互接続のための別のインターフェースを備える集積回路デバイスにおいても使用することができる。
第2の実施形態
集積回路デバイスの第2の実施形態は、第1の実施形態と同様であるが、図2に示すように、フリップチップシステムである点でこの第1の実施形態とは異なる。
はんだボール端子70は、1つ以上の活性層の接続端子の再分布のために、キャリア200によって支持される導体トラックに1つ以上の活性層20の1つ以上の回路を接続する。重なり合う層は、キャリア200からモールドキャップ60に向かって(図2の底部から上部に向かって)、保護層30A、接合層30A、活性層20、半導体基板層10、接合層31B、及び保護層31Bの順に配置される。当業者によく知られているように、図2には示されていない円筒形の(例えば、銅で作られた)導体ポストが、はんだボール端子70と1つ以上の活性層20の接続端子との間に挿入され、保護層30Aに備えられ穴を通して配置される。
第2の実施形態による集積回路デバイスの動作は、第1の実施形態による集積回路デバイスの動作と同様である。
第3の実施形態
第3の実施形態では、各保護層30は、図6に示す基本プレート34Aのような基本プレートのモザイクを備える。各基本プレート34Aは、例えばTSVによって、検出回路40に電気的に接続される。2つの保護層30A、30Bは同一である。これは、第1の保護層30Aの各基本プレート34Aが、第2の保護層30Bの対応する基本プレート34Bに面することを意味する。互いに対向する2つの対応する基本プレート34A、34Bは結合される。
動作中、検出回路40は、基本プレート34A、34Bの各対について、2つの結合された基本プレート間の相対的な電気的値を測定する。例えば、検出回路40は、2つの結合された基本プレート間の静電容量、又は2つの結合された基本プレートのそれぞれの抵抗間の差を測定するように構成される。
保護層のそのような構成は、ワイヤボンドパッケージ(第1の実施形態)、フリップチップシステム(第2の実施形態)、又は外部回路への相互接続のための別の種類のインターフェースを備える集積回路デバイスの別のパッケージの集積回路デバイスにおいて使用することができる。
変形形態では、基本プレート34A(34B)は、前述したように、プリント回路基板によって支持され得る。
集積回路デバイス100は、製品に集積され得る。本開示はまた、そのような製品に関する。

Claims (15)

  1. 半導体基板層(10)と、電子部品を含み、前記半導体基板層(10)によって支持される少なくとも1つの活性層(20)とを備える集積回路デバイス(100)において、前記半導体基板層(10)及び前記少なくとも1つの活性層(20)が、放射線の通過を妨げる物理的障害物として作用する2つの保護層(30A、30B)の間に挟まれ、前記保護層(30A、30B)の電気情報を監視し、前記監視された電気情報に基づいて前記2つの保護層(30A、30B)のうちの少なくとも1つの物理的攻撃を検出する検出回路(40)に電気的に接続されていることを特徴とする集積回路デバイス。
  2. 前記検出回路(40)が、前記少なくとも1つの活性層(20)内に集積されることを特徴とする、請求項1に記載のデバイス。
  3. 前記検出回路(40)によって物理的攻撃が検出されると、電子的保護対策を実行するための信号を生成するように構成される電子保護回路(50)を更に備える、請求項1又は2に記載のデバイス。
  4. 前記電子保護回路(50)が、前記少なくとも1つの活性層(20)内に集積されることを特徴とする、請求項3に記載のデバイス。
  5. 前記2つの保護層(30A、30B)は、レーザ放射線、前記少なくとも1つの活性層からの電磁放射線、外部源によって生成される電磁放射線を含む群の放射線の通過を妨げるように構成されることを特徴とする、請求項1から4のいずれか一項に記載のデバイス。
  6. 前記2つの保護層が、金属、金属合金、又は半導体材料で作られていることを特徴とする、請求項1から5のいずれか一項に記載のデバイス。
  7. 前記保護層(30A、30B)のうちの少なくとも1つがフルプレートであることを特徴とする、請求項1から6のいずれか一項に記載のデバイス。
  8. 前記保護層(30A、30B)のうちの前記少なくとも1つが、平行線を形成する屈曲連続ワイヤで作られることを特徴とする、請求項1から7のいずれか一項に記載のデバイス。
  9. 前記2つの保護層(30A、30B)の各々が、前記検出回路(40)に電気的に接続される基本プレートのモザイクを備えることを特徴とする、請求項1から8のいずれか一項に記載のデバイス。
  10. 前記検出回路(40)が、前記2つの保護層(30A、30B)のそれぞれの電気的値の間の相対的な値を測定するように構成されることを特徴とする、請求項1から9のいずれか一項に記載のデバイス。
  11. 前記検出回路(40)が、前記2つの保護層(30A、30B)の前記電気情報として、前記2つの保護層(30A、30B)間の静電容量を測定するように構成されることを特徴とする、請求項1から10のいずれか一項に記載のデバイス。
  12. 前記検出回路(40)が、前記2つの保護層(30A、30B)の前記電気情報として、前記2つの保護層(30A、30B)間の電気抵抗の差を測定するように構成されることを特徴とする、請求項1から10のいずれか一項に記載のデバイス。
  13. 前記検出回路(40)が、許容範囲外の、基準値からの前記監視された電気情報の偏差を検出するように構成されることを特徴とする、請求項1から12のいずれか一項に記載のデバイス。
  14. 前記2つの保護層(30A、30B)が、電気絶縁体として機能する2つのそれぞれの接合層(31A、31B)を介して、前記半導体基板層(10)及び前記少なくとも1つの活性層(20)に接合されることを特徴とする、請求項1から13のいずれか一項に記載のデバイス。
  15. 請求項1から14のいずれか一項に記載の集積回路デバイスを含む製品。
JP2023501255A 2020-07-10 2021-07-08 悪意のある攻撃に対する保護を有する集積回路デバイス Pending JP2023533547A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP20185298.5 2020-07-10
EP20185298.5A EP3937055A1 (en) 2020-07-10 2020-07-10 Integrated circuit device with protection against malicious attacks
PCT/EP2021/069077 WO2022008692A1 (en) 2020-07-10 2021-07-08 Integrated circuit device with protection against malicious attacks

Publications (2)

Publication Number Publication Date
JP2023533547A true JP2023533547A (ja) 2023-08-03
JPWO2022008692A5 JPWO2022008692A5 (ja) 2024-05-22

Family

ID=71575207

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023501255A Pending JP2023533547A (ja) 2020-07-10 2021-07-08 悪意のある攻撃に対する保護を有する集積回路デバイス

Country Status (6)

Country Link
US (1) US20230222251A1 (ja)
EP (2) EP3937055A1 (ja)
JP (1) JP2023533547A (ja)
KR (1) KR20230036108A (ja)
CN (1) CN115989495A (ja)
WO (1) WO2022008692A1 (ja)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2727227B1 (fr) 1994-11-17 1996-12-20 Schlumberger Ind Sa Dispositif de securite actif a memoire electronique
FR2746962B1 (fr) 1996-04-01 1998-04-30 Schlumberger Ind Sa Dispositif de securite d'une pastille semi-conductrice
FR2767966B1 (fr) 1997-08-28 1999-12-03 Schlumberger Ind Sa Dispositif a circuit integre securise et procede de fabrication
WO2007086046A2 (en) * 2006-01-24 2007-08-02 Nds Limited Chip attack protection
JP2007227498A (ja) * 2006-02-22 2007-09-06 Matsushita Electric Ind Co Ltd 半導体集積回路装置、及びその製造方法
FR3035267B1 (fr) * 2015-04-20 2018-05-25 Commissariat A L'energie Atomique Et Aux Energies Alternatives Puce electronique comportant une face arriere protegee
FR3055471B1 (fr) * 2016-08-31 2018-09-14 Stmicroelectronics (Crolles 2) Sas Puce protegee contre les attaques face arriere
US10249579B2 (en) * 2017-04-25 2019-04-02 Nuvoton Technology Corporation Active shield for protecting a device from backside attacks
EP3682471B1 (en) * 2017-09-15 2023-11-08 Cryptography Research, Inc. Packaging techniques for backside mesh connectivity

Also Published As

Publication number Publication date
EP3937055A1 (en) 2022-01-12
KR20230036108A (ko) 2023-03-14
EP4179446A1 (en) 2023-05-17
US20230222251A1 (en) 2023-07-13
CN115989495A (zh) 2023-04-18
WO2022008692A1 (en) 2022-01-13

Similar Documents

Publication Publication Date Title
US20230036441A1 (en) Protective semiconductor elements for bonded structures
US5389738A (en) Tamperproof arrangement for an integrated circuit device
KR101083445B1 (ko) 임베디드 패키지 보안 템퍼 메쉬
US7952478B2 (en) Capacitance-based microchip exploitation detection
JP5933266B2 (ja) 物理的または化学的な侵入に対して電子集積回路ハウジングを保護する装置
US5353350A (en) Electro-active cradle circuits for the detection of access or penetration
US6414884B1 (en) Method and apparatus for securing electronic circuits
US7054162B2 (en) Security module system, apparatus and process
US7880248B1 (en) Destructor integrated circuit chip, interposer electronic device and methods
CN101393907B (zh) 用于电路板的保护
US20120256305A1 (en) Integrated Circuit Package Security Fence
US7489013B1 (en) Destructor integrated circuit chip, interposer electronic device and methods
US9003559B2 (en) Continuity check monitoring for microchip exploitation detection
US8332659B2 (en) Signal quality monitoring to defeat microchip exploitation
JP2023533547A (ja) 悪意のある攻撃に対する保護を有する集積回路デバイス
JP2007035729A (ja) 半導体集積回路装置
US11894315B2 (en) Electronic system in package comprising protected side faces
JP4836995B2 (ja) 集積回路モジュール
US20210358837A1 (en) Protection of wire-bond ball grid array packaged integrated circuit chips
JP4181068B2 (ja) 集積回路モジュール

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240510

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240510