密碼芯片的物理攻擊與防護(hù)對(duì)策

1、微電子學(xué)研究所微電子與納電子學(xué)系X Tsinghua University微電子學(xué)研究所微電子與納電子學(xué)系微電子學(xué)研究所微電子與納電子學(xué)系密碼 芯片的物理攻擊與防護(hù) 對(duì)策微電子學(xué)研究所微電子與納電子學(xué)系微電子學(xué)研究所微電子與納電子學(xué)系淸華大學(xué)微電子學(xué)研究所許軍2012年8戸27日內(nèi)客提要密碼 芯片面臨的 安全性挑戰(zhàn) 各種常見的物理攻擊技術(shù)分析 針對(duì)不同 物理攻擊手段的 防護(hù) 對(duì)策 總結(jié)與展望微電子學(xué)研究所微電子與納電子學(xué)系微電子學(xué)研究所微電子與納電子學(xué)系微電子學(xué)研究所微電子與納電子學(xué)系闖容提要密碼 芯片面臨的 安全性挑戰(zhàn)微電子學(xué)研究所微電子與納電子學(xué)系微電子學(xué)研究所微電子與納電子學(xué)系(Eave

2、sdropping )竊聽攻擊方法近年來，涉及信息安全的密碼芯片面臨著越來 越嚴(yán)重的安全性挑戰(zhàn)，已經(jīng)出現(xiàn)了各種不同層次、 不同水平的攻擊手段，概括起來主要可以劃分為以 下幾種：(1)(2)軟件攻擊方法(Software Attacks )A非被壞 性攻擊(3)故障生成方法(Fault Generation) (4)微區(qū)探測(cè)方法(Microprobing )破壞性 攻擊W茲丿場(chǎng)微電子學(xué)研究所切g(shù)U金矗微電子與納電子學(xué)系I 一T(1)斕聽攻擊方法VddPFETDVinS這種攻擊方法既不需打開芯片的封裝，也不需 耍操縱芯片的工作過程，只需通過檢測(cè)、分析密碼 芯片正常工作時(shí)泄漏出來的各種電磁輻射估號(hào)的

3、組 成、電源供電電流的起伏漲落、各種借號(hào)線上的泄 漏電流以及各種通訊協(xié)議的時(shí)序等，就可以分析破 解獲訝密碼芯片中的相關(guān)加密信息。 有時(shí)也稱之為“旁路攻擊方法 例如：功耗分析方法 包括：簡(jiǎn)草功耗分析 差分功耗分析 (一階、髙階)CMOS電路結(jié)構(gòu) NFET(2) 軟件攻擊方法這種攻擊方法圭耍是利用 密碼芯片的通訊協(xié)議、 密碼算法及其電路實(shí)現(xiàn)過程中存在的各種安全性漏 洞，采用正常的標(biāo)準(zhǔn)通訊接口對(duì)密碼芯片進(jìn)行攻擊, 從而獲取芯片中相關(guān)的加 WtfrMo 例如：軟件審舉搜索法等(3) 故障生成方法這種 攻擊方法通過使密碼 芯片工作在特殊的 外 部環(huán)境應(yīng)力條件下(例如髙低遍、電源電壓拉佈和 峰值沖擊、時(shí)鐘

4、相位跳變、電離輻射、違反通訊協(xié) 議以及強(qiáng)制局部電路復(fù)位等), 來誘發(fā)關(guān)鍵器件的 失效行為，擾亂電路中的加密系綻，從而激發(fā)芯片 的內(nèi)部故障，最終獲取芯片的相關(guān)加密估息。微電子學(xué)研究所微電子與納電子學(xué)系(4)微區(qū)探測(cè)方法這種攻擊方法需要打開密碼芯片的封裝，然后 利用微探針探測(cè)芯片內(nèi) 部的關(guān)鍵數(shù)據(jù)通道等相關(guān)結(jié)構(gòu)，從而截獲芯片的相關(guān)加密信息。這是一種破壞性的物理攻擊方法，如果它與芯片的光學(xué)反向工程技術(shù)相配合,甚至最終可以憲成蓬個(gè)密碼電路芯片的版置構(gòu)O矍物卩了/ f微電子與納電子學(xué)系淀人2 Tsinghua Universityo,最終完成密碼感鄉(xiāng)卩Pu乂 f微電子與納電子學(xué)系0將歹 Tsinghua

5、University(6)對(duì)于傳統(tǒng)的ROM存儲(chǔ)陣列，在去除各種覆蓋 層之后，根據(jù)其場(chǎng)裟邊界和擴(kuò)散 區(qū)形狀及分布情況, 即可確定和獲取ROM 存儲(chǔ)陣列 中的編碼借息;it0bijIhokhh)1)1)N(j(0b)blol0(5l 微電子學(xué)研究所微電子與納電子學(xué)系微電子學(xué)研究所微電子與納電子學(xué)系000同拒邛麗詬甌1工上門仃心【微電子學(xué)研究所微電子與納電子學(xué)系晶硅和金屬后的擴(kuò)散區(qū)形，右側(cè)中綠色為多晶硅示為一個(gè)16 X 10的ROM存儲(chǔ)陣列，左側(cè)為去除多字線，藍(lán)色為金屬數(shù)據(jù)線，無色為接地線。Tsinghua University(7)對(duì)于釆用離子注入方法改變MOS器件閾值電壓進(jìn)行ROM編碼的存儲(chǔ)陣列

6、,其編碼估息無法通過擴(kuò)微電子學(xué)研究所微電子與納電子學(xué)系微電子學(xué)研究所微電子與納電子學(xué)系散區(qū)的形狀及分布情況獲爲(wèi)，但是還可以采用去除多晶 硅字線之后對(duì)器件有源 區(qū)表面進(jìn)行晶體染色的 方法來顯示，這種晶體染色的方法利用不同濃度摻雜區(qū)域具有不同的腐蝕速卒,來區(qū)別具*不同閾值電壓的瑟髓 N嫁丿微電子學(xué)研究所I 一T內(nèi)（大（金屬薄膜或絕（8）對(duì)于EEPROM和Flash等不揮發(fā)存儲(chǔ)器，可以通 過對(duì)普通的SEM進(jìn)行增強(qiáng)改造，增加電壓襯度函 數(shù)，利用初始電子（例如：25kV, 5nA）轟擊芯片 中 相應(yīng)的 目 標(biāo)位Jt產(chǎn)生二次電子，再借助維/儀和探 測(cè)器記錄二次電子的數(shù)愛及其能量，就可以顯示出芯 片中不同位

7、置處電場(chǎng)及電勢(shì)的區(qū)別，由此就可以確定 EEPROM或Flash存儲(chǔ)單元中存儲(chǔ)的估息;部修正與更改。緣層），從而實(shí)現(xiàn)對(duì)密碼芯片內(nèi)部電路連接關(guān)系的局（9）釆用 聚集離子束技術(shù)還可以在微區(qū)范 約在幾十納米）去除或淀積某些材料矍物卩了/ f微電子與納電子學(xué)系淀人2 Tsinghua University常見的物理攻擊技術(shù)分析:從上面介紹的物理攻擊步驟中我們可以看到，攻 擊者對(duì)于密碼芯片 中相關(guān)加密估恵的物理攻擊手段基 本上可以分為 以下三個(gè)層次:(1) 焊盤宜接訪問：充分利用 電路芯片中原有的封 裝Pad和內(nèi)部預(yù)留的測(cè)試Pad, 宜接訪問CPU或存儲(chǔ) 器的數(shù)據(jù)總線，獲訝相關(guān)的符儲(chǔ)信息；(2) 微睦探測(cè)

8、截獲：在無法宜接訪問的儕況下，可 以利用澈光局部切割和微區(qū)探針檢測(cè)的方法，對(duì)芯片 中的關(guān)鍵數(shù)據(jù)通道進(jìn)行探測(cè)和估息截獲；間接分析獲得：通過芯片的反向解剖工程，進(jìn) 行電路版圖鷲構(gòu)，同時(shí)借助各種輔助分析手段間揍獲 得芯片中 存儲(chǔ)的估息。W茲丿場(chǎng)微電子學(xué)研究所切g(shù)U金矗微電子與納電子學(xué)系I 一T澤卅屮心券卅屮卡沽5朗常廉單聲尊矗畀*%訊g 堆4UFW茲丿場(chǎng)微電子學(xué)研究所切g(shù)U金矗微電子與納電子學(xué)系I 一TW茲丿場(chǎng)微電子學(xué)研究所切g(shù)U金矗微電子與納電子學(xué)系I 一T針對(duì)上述三個(gè)層次的物理攻擊手段，我們可以分 別采取不同的應(yīng)對(duì)防護(hù)措施。前從電路設(shè)計(jì):審度采(1) 針對(duì)“焊盤宜接訪問”的防護(hù)措施： 這種攻擊手

9、段最為低劣， 取的諸多隔離和加密措施 已經(jīng)可以疽效地防范和 抵御, 但是在電路設(shè)計(jì)中仍需注意: 在密碼芯片的設(shè)計(jì)中盡畳不要保留(戒少保留) 內(nèi)部測(cè)試用的Pad;尤其是芯片內(nèi)部各類數(shù)據(jù)總線上提供給片上測(cè)試 用的并行/串行轉(zhuǎn)換器電路等測(cè)試結(jié)構(gòu)在憲成測(cè)試 功能后也必須他底毀壞；還可以盡畳將這些內(nèi)部測(cè)試用Pad以及輔助測(cè)試 電路結(jié)構(gòu)安排在相鄰芯片之間的切割道中。W茲丿場(chǎng)微電子學(xué)研究所切g(shù)U金矗微電子與納電子學(xué)系I 一T瑟髓 N嫁丿微電子學(xué)研究所矍物卩了/ f微電子與納電子學(xué)系淀人2 Tsinghua University(2) 針對(duì)“微眩探測(cè)截獲”的防護(hù)措施：這種微實(shí)探測(cè)截獲手段具有校強(qiáng)的攻擊性，針對(duì)

10、 這種攻擊，電路設(shè)計(jì)師在電路設(shè)計(jì)中除了采取傳統(tǒng)的 防護(hù)措施之外，還應(yīng)特別注意： 盡采用 高端的 先進(jìn)工藝技術(shù)來制 造芯片； 盡畳將相關(guān)的數(shù)據(jù)總線、控制總線等關(guān)鍵數(shù)據(jù)通 道設(shè)計(jì)在多層金屬互連布線的底層；在各類關(guān)鍵數(shù)據(jù)通道布線的上方盡可能設(shè)計(jì)多層 必要的 電源、地線和時(shí)鐘估號(hào)線網(wǎng) 絡(luò)；在上述底層關(guān)鍵數(shù)據(jù)通道布線的頂層或中間層設(shè) 計(jì)密集的金屬傳感器網(wǎng)絡(luò),在電路毎次啟動(dòng)的過 程中首先檢測(cè)傳感器網(wǎng)絡(luò)否發(fā)生斷路或短路， 從而觸發(fā)內(nèi)部電路報(bào)警(例如終止處理器的運(yùn)行 或完成Flash存儲(chǔ)估息的他底擦除等)o微電子學(xué)研究所微電子與納電子學(xué)系所示為在多層金屬布線的頂層戒中間層設(shè)計(jì)(SENSEOGNDSENSE的密

11、集金屬傳感器網(wǎng)絡(luò)，用于檢測(cè)是否出現(xiàn)微區(qū)局部 切割等物理攻擊。VCCO亙左圖為出現(xiàn)物理攻擊時(shí)的情形，傳感網(wǎng)絡(luò)將觸發(fā)電路報(bào)警并釆取抵御措施。亙(3) 針對(duì)“反向解剖工程”的防護(hù)措施:這種反向 解剖 分析手段對(duì)于密碼芯片具有最大的威脅性，針對(duì)這種攻擊，電路設(shè)計(jì)師在電路設(shè)計(jì)中可 釆取的應(yīng)對(duì)措施包括： 盡采用 高端的 先進(jìn)工藝技術(shù)來制 造芯片； 芯片中固化的ROM 存儲(chǔ)陣列盡可能釆用 兩種反型的離子注入摻雜來調(diào)itMOS晶體管的開啟電壓； 電路中用到的不揮發(fā)存儲(chǔ)器盡可能選用SONOS等 結(jié)構(gòu)的電荷俘獲型存儲(chǔ)器，進(jìn)免使用傳統(tǒng)的浮柵 型不揮發(fā)存儲(chǔ)器； 在多層金屬布線的頂層和中間層設(shè)計(jì)大査的冗余 金屬防護(hù)結(jié)構(gòu)

12、； 盡采用 不逑明且不易被各種酸堿腐蝕液去除的 表面鈍化保護(hù)材料。瑟髓 N嫁丿微電子學(xué)研究所矍物卩了/ f微電子與納電子學(xué)系淀人2 Tsinghua University關(guān)于芯片表面物理防護(hù)的等級(jí): 普通的鈍化保護(hù)：通常為二氧化硅. 氮化硅等絕緣 介質(zhì)或聚酰亞臉等高分子聚合物材料，其特點(diǎn)是工 藝技術(shù)兼容性好、寄生效應(yīng)小、物理化學(xué)性質(zhì)穩(wěn)定, 存在問題是材料本身透明、易于腐蝕去除； 中等的物理防護(hù)：我面可以選用合適的難熔金屬薄 膜等不逑明材料，能夠抵御各種可見光、X射線、 紅外線、紫外線的穿透，存在問題是可能會(huì)帶來校 大的寄生效應(yīng)，對(duì)于FIB刻蝕也是無能為力的；. 不透明材料，負(fù)豈夠耐受各先進(jìn)的物

13、理防護(hù):堅(jiān)種酸、械溶液腐蝕且難以去除(或者在去除的同時(shí) 將弓I起芯片內(nèi)部器件或電路結(jié)構(gòu)的破壞), 工藝放 術(shù)兼容性好、寄生效應(yīng)小(? ? ? ) o微電子學(xué)研究所微電子與納電子學(xué)系彳虧鄉(xiāng)卩Pu乂 f微電子與納電子學(xué)系淀人2 Tsinghua Universityi針對(duì)以上分析的各種常見的密碼芯片物理解剖 攻擊方法，我們提出了一種“在頂層互連a孔處及 其附近進(jìn)行下層 電路結(jié)構(gòu)與金屬布線的加 密處理并 同 時(shí)覆蓋大面積頂層金屬陣列和傳感網(wǎng) 絡(luò)交錯(cuò)結(jié)構(gòu)” 的抗物理解剖技術(shù)，該技術(shù)的基本思想就是利用前集成 電路制 造工藝中業(yè) 已成煎的多層金屬 布線工 藝技術(shù)，達(dá)到如下幾點(diǎn)抗物理攻擊的目的： 利用芯片表

14、面大面積的頂層金屬陣列覆蓋，可以 阻擋各種宜接的顯微照相技術(shù)的實(shí)施，包括普通 顯微照相技術(shù)、紅外顯微照相技術(shù)、x射線顯微 照相技術(shù)等，阻止攻擊者對(duì)密碼芯片基體結(jié)構(gòu)、 電路功竟邑分塊、焊盤弓I腳定義的直觀判 斷；當(dāng)攻擊者試?yán)肍IB或激光切 割技術(shù)局部去除表面金屬層從而探測(cè)芯片內(nèi) 部關(guān)鍵數(shù)據(jù)通道時(shí)，金 屬傳感網(wǎng) 絡(luò)將觸發(fā)電路報(bào)警并采取相應(yīng)的終止處 理器運(yùn)行或擦除Flash存儲(chǔ)信息等抵卿措施； 在大面積頂層金屬陣列的下方可設(shè)置大量的互連通孔，當(dāng)攻擊者試圖通過化學(xué)腐蝕或干法刻蝕等 多種薄膜剝離技術(shù)對(duì)頂層金屬進(jìn)行逐層剝離時(shí)， 將會(huì)使通孔處及其附近的下層電路結(jié)構(gòu)和金屬布 碼芯片電路的完推恢復(fù)和版圖證構(gòu)；

15、 利用頂層金屬陣列的覆蓋，對(duì)通孔處及其附近的 下層金屬布線和電路結(jié)構(gòu)可進(jìn)行必耍的加密處理, 從而進(jìn)一步提高密碼芯片抗物理攻擊的強(qiáng)度。線受到 不同 程度的侵蝕和破壞，從而難以實(shí)現(xiàn)密微電子學(xué)研究所微電子與納電子學(xué)系Tsinghua University微電子學(xué)研究所微電子與納電子學(xué)系微電子學(xué)研究所微電子與納電子學(xué)系內(nèi)容提要微電子學(xué)研究所微電子與納電子學(xué)系微電子學(xué)研究所微電子與納電子學(xué)系總結(jié)與展望微電子學(xué)研究所微電子與納電子學(xué)系微電子學(xué)研究所微電子與納電子學(xué)系微電子學(xué)研究所微電子與納電子學(xué)系頂層設(shè)置網(wǎng) 狀金屬傳感器和加密金屬陣列可能是近期 密碼芯片物理防護(hù)的一個(gè)有效措施。攻擊與防御是密碼芯片研究領(lǐng)域

16、 中的 兩個(gè)永恒 的主題，任何一種防護(hù)對(duì)策都有可維4艮快面臨衙的 攻擊技術(shù)的挑戰(zhàn)。從物理防護(hù)的升度來看，未來戒許可以利用SIP技術(shù)進(jìn)一步實(shí)現(xiàn)密碼芯片的攻擊觸發(fā)自毀功能。微電子學(xué)研究所微電子與納電子學(xué)系參考文獻(xiàn)：S. Blythe, et al,u Layout Reconstruction of Complex Silicon Chips J IEEE Journal of Solid-State Circuits, 28(2)，pp.l38145, February 1993.FIPS PUB 140-1, u Security Requirements for Cryptographic Modules/5 National Institute of Standards and Technology, U.S. Department of Commerce，11 January 1994.Oliver Komme