[go: up one dir, main page]

WO2004036649A1 - Chip mit angriffsschutz - Google Patents

Chip mit angriffsschutz Download PDF

Info

Publication number
WO2004036649A1
WO2004036649A1 PCT/EP2003/011213 EP0311213W WO2004036649A1 WO 2004036649 A1 WO2004036649 A1 WO 2004036649A1 EP 0311213 W EP0311213 W EP 0311213W WO 2004036649 A1 WO2004036649 A1 WO 2004036649A1
Authority
WO
WIPO (PCT)
Prior art keywords
chip
data
backup data
protective layer
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2003/011213
Other languages
English (en)
French (fr)
Inventor
Karl-Harald Hewel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Priority to AU2003278065A priority Critical patent/AU2003278065A1/en
Publication of WO2004036649A1 publication Critical patent/WO2004036649A1/de
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • H10W42/405
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07372Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit

Definitions

  • the present invention relates to chips in general and in particular to the security of chips, such as those used in chip cards, prior to access to confidential data of the chip by external attacks, such as e.g. DFA (Differential Fault Attack) attacks or reengineering attacks.
  • DFA Different Fault Attack
  • the cryptographic keys stored on the chip card are used, for example, to decrypt confidential data stored in encrypted form on the chip card or for authentication to the communication partner of the chip card or the terminal, e.g. an ATM or a POS (Point of Sales).
  • DPA Different Power Analyzes
  • the cryptographic key is inferred based on the power consumption profile of the chip while the key is being used to encrypt various input data. Measures against these attacks consist, for example, in the use of special logic, such as, for example, asynchronous logic, or in the implementation of dummy calculations which merely serve to superimpose the power required to handle the cryptographic key.
  • the active protection logic destroys the cryptographic basis or the protected data, so that they are no longer available to the attacker.
  • the cryptographic basis is, for example, a randomly generated symmetric key that is only known within the protection area protected by the protection mechanism or the sensor system, with which encrypted data, in turn, to be protected, is cryptographically secured, e.g. encrypted or secured with integrity.
  • Countermeasures for this include, for example, the construction of the chip from special transistors that are difficult to analyze by grinding.
  • a disadvantage of the above-described possibilities for encountering cryptographic attacks based on external attacks is that the individual measures are only directed against one type of attack and that the protection effort is high with regard to DFA attacks.
  • the object of the present invention is to provide a chip which enables a higher degree of protection against external attacks.
  • a chip according to the invention comprises a first protective layer which has a structure for detecting external attacks, a processing layer which has a processing structure, and a security data carrier area which is arranged between the first protective layer and the processing layer and has subareas with different physical properties.
  • the processing structure is designed such that it includes a device for handling data, a device for detecting the different physical properties of the subareas of the backup data carrier area, for deriving backup data from the acquired different physical properties and for supplying the backup data to the device for handling and a device for monitoring the structure for detecting external attacks of the first protective layer and for preventing or canceling the derivation, delivery or handling of the security data in the event of an external attack.
  • the knowledge of the present invention is that by storing security-critical backup data in the form of a special choice of the physical properties of sub-areas of a backup data carrier area and at the same time ensuring that the backup data is not read and handled during active phases, and by providing of the backup disk area between the protective layer and the actual processing layer, an increased level of security against both DFA and reengineering attacks is made possible.
  • the sequence of protective layer, data carrier area and processing layer ensures that the subareas are ground down with different physical properties before their position is known to the attacker.
  • the protective layer ensures that the security data in the chip are not present in electronic form and are used, so that an effective precaution against DFA attacks is provided.
  • the protection consists of several complementary protection mechanisms that are arranged in several layers.
  • the outer protective layer protects the processing layer and the data carrier area against analysis attacks while the chip is active. In particular, it provides protection against attacks during the extraction of the material properties of the inner protective layer.
  • a conductor track is formed in the outer protective layer, on which physical values, such as, for example, the impedance, a signal delay, a capacitance or a cutoff frequency, are constantly monitored for a significant change, in the event of a significant change an internal Trigger alarm.
  • the function of the processing layer is deactivated immediately in the event of an alarm or not activated at all. If the outer protective layer has not detected an attack, a readout device formed in the processing layer reproduces backup data or an individual reference value from the different physical properties of an inner protective layer located further inside or the backup data carrier area. The latter can then within
  • L0 in turn consists of decrypting the same, for example.
  • the attacker therefore does not receive any information that could indicate the security data.
  • An advantage of the present invention is consequently that, in comparison to the possibility described in the introduction to the description, of implementing active access protection by means of a combination of energy storage and one of the same, at least in power-down phases
  • Fig. 1 is an exploded view of a layer sequence
  • Fig. 2 is a schematic drawing from which the functionalities of the layers of the chip of Fig. 1 emerge.
  • an embodiment of the present invention is described below, as can be used, for example, in a form applied to a chip card carrier in a chip card that is battery-free and during the sessions either via contacts or without contact from the respective terminal Energy is supplied.
  • uses of the present invention in the context of other security modules are also conceivable, such as the use of the chip in the context of a smart card or as a permanently integrated chip in an electronic device, such as as a dongle or copy protection circuit.
  • the chip which is indicated generally at 10 in FIG. 1, or the integrated circuit arrangement comprises a layer sequence arranged on a semiconductor substrate 12, consisting of an outer protective layer 14, a backup data carrier layer or, as will be called hereinafter, an inner protective layer 16 and a protected one Processing layer 18.
  • the sequence of layers 14, 16 and 18 and substrate 12 is such that the processing layer 18 is arranged between the semiconductor substrate 12 on one side and the protective layers 14 and 16 on the other side, and that the inner protective layer 16 in turn between the outer protective layer 14 and the processing layer 18.
  • the individual layers 14, 16 and 18 are suitably structured and constructed in order to fulfill various functions. So, as shown in Fig. 2, in the dashed ten lines, the layers 14, 16 and 18 are displayed, in the outer protective layer 14 a detection structure is formed which is intended to detect external attacks, such as are carried out, for example, in DFA attacks.
  • a processing device 22 is formed in the processing layer, which is connected to the detection structure 20 of the outer protective layer 14 and partial regions 24 of the inner protective layer 16 for reasons which are set out below.
  • the detection structure 20 is, for example, a meandering conductor track which is embedded in an insulator material.
  • External attacks which can be detected by means of a meandering conductor track include, for example, penetration into the chip by, for example, drilling, exposure of the chip 10 to a temperature above or below the normal range or exposure of the chip to increased electromagnetic radiation, such as e.g. X-rays.
  • Additional or alternative detection structures could be provided in order to make it possible to generally detect certain measures or influences on the chip that are suitable for provoking the chip to malfunction. Not all detection structures would have to be arranged in the outer protective layer 14.
  • the detection structure 20 In the case of the meandering conductor track as the detection structure 20, external attacks can be detected by the fact that, depending on the intensity of the external attacks, physical properties thereof or measured values that are intermittently tapped from the conductor track change from time to time.
  • the detection structure 20 In order to monitor or measure the changes in these physical properties of the detection structure 20, the detection structure 20 is connected to the processing device 22, for example a CPU, which is formed or structured in the processing layer 18.
  • the processing device 22 detects and monitors, for example, the impedance, a signal propagation time over the meandering conductor track, a capacitance with respect to the conductor track or a cut-off frequency regarding the trace. For example, a change in resistivity to a change in temperature, an interruption of the current through the interconnect, penetration into chip 10, and a change in capacitance
  • the actually protected fuse data of the chip 10 are located in the inner protective layer 16 or can be derived from L5 thereof by assigning a partial set of different material properties to the subareas 24 of the inner protective layer 16, which in turn is assigned to the fuse data via a mapping rule.
  • the security data represent, for example, a master key or a chip-specific key.
  • a predetermined mapping associates each possible value for the security data with a combination of different material properties.
  • the subregions 24 differ with regard to their physical material properties, for example with regard to their conductivity.
  • SiLK Silicon Less Low-K
  • the processing device 22 is able to record the conductivities of the partial areas of the inner protective layer 16 and to derive the security data from the acquired conductivities, for example by quantizing the acquired analog values for the conductivities and appropriately combining the quantized values. As will be described in the following, however, the processing device 22 only reads out the security data from the different conductivities of the partial areas of the inner protective layer 16 if no external attacks via the detection structure 20 have been detected.
  • NVM non-volatile memory
  • flash memory in which further data, such as. B. a credit or the like can be loaded, stored and changed, for which purpose the memory 26 is connected to the processing device 22.
  • data are stored on the chip 10 which are to be protected against attackers.
  • these are the security data that are manifested on the chip 10 in the form of a special set of different conductivities in partial areas of the inner protective layer 16.
  • they are encrypted with a key that only results from the security data 24.
  • the chip 10 itself does not include an energy store and is therefore deactivated in power-down phases, since it is not supplied with energy from the outside, such as in the application of a chip card, for example, when the chip is installed in a chip card without an energy store while the non-session phases.
  • the security data 24 can consequently only be ascertained for the attacker by knowing the different material properties of the partial areas of the inner protective layer 16. Reengineering by grinding the chip 10 from the semiconductor substrate 12 is tedious and also destroys the structures forming the processing device 22.
  • the chip 10 is ground from above, ie the direction of attack, as indicated by an arrow 28 in FIG.
  • the attacker grinds off the subareas 24 with the different material properties before the position of the subareas at the contacts for processing is determined - Direction 22 recognizes.
  • the processing device 22 uses, among other things, the security data in the partial areas 24 to decrypt the data in the memory 26 or perform authentication against the communication partner.
  • the system stops Processing device 22 any reading of the material properties of the subareas 24 and any further handling of the security data, such as a further decryption of the
  • the processing device 22 detects in the
  • the processing device 22 in addition has the functionality that the same for reading out the backup data is the same checked for correctness via ⁇ from the material properties of the subregions 24th
  • the backup data could be checked, for example, by mapping the backup data to a value using a one-way algorithm, such as a hash calculation, which is compared with a check value permanently stored in the memory 26, for example. Since the real framework conditions may drift the measurable physical properties of the subareas 24 cause a fault-tolerant method is preferred when checking the backup data.
  • the processing device 22 stops any further handling of the backup data, such as the reconstruction of the data to be protected in the memory 26 or the decryption thereof. A faulty output of the chip 10 is also avoided in this way.
  • Decryption of particularly sensitive data is used in the memory 26.
  • the attack detection and the reproduction of the reference values or security data when the functionality is released from the material properties of the inner protective layer is carried out by the processing device within the protective area 18 or the processing layer to which the inner and outer protective layers 14, 16 are connected.
  • the chip described therefore offers advantages in terms of costs, new form factors for "tamper resistant systems” or tamper-proof systems, such as system-on-chip or SOC systems, in terms of service life and reliability.
  • the layers mentioned above ie the outer, inner protective layer and the processing layer, can also each consist of
  • the inner protective layer can consist of several sub-layers. taken individually, but doped differently from each other, so that there is a varying doping profile in the thickness direction for the inner protective layer
  • L0 results. Furthermore, insulation layers or layers of other functionality can be provided between these layers or sub-layers.
  • a chip in which the present invention can be implemented also does not have to have a memory for storing data which can be stored using the
  • L5 backup data are encrypted and are consequently encrypted with the backup data when stored in the memory and decrypted using the backup data when reading from the memory. Rather, it is possible that the backup data is only in the chip for comparison with one
  • 20 entered value can be used, e.g. as part of a PIN comparison.
  • the handling of the backup data would only consist in comparing the backup data with the value entered from outside and not in decrypting those stored in the memory

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Semiconductor Integrated Circuits (AREA)

Abstract

Beschrieben wird ein Chip mit einer Schutzschicht (14), die eine Struktur (20) zur Erfassung von äusseren Angriffen aufweist, einer Verarbeitungsschicht (18), die eine Verarbeitungsstruktur (22) aufweist, und einem zwischen der Schutzschicht (14) und der Verarbeitungsschicht angeordneten Sicherungsdatenträgerbereich (16), der Teilbereiche (24) mit unterschiedlichen physikalischen Materialeigenschaften aufweist. Die Verarbeitungsstruktur (22) implementiert folgende Einrichtungen: eine Einrichtung zum Handhaben von Daten, eine Einrichtung zum Erfassen der unterschiedlichen physikalischen Eigenschaften der Teilbereiche des Sicherungsdatenträgerbereichs, zum Herleiten von Sicherungsdaten aus den erfassten unterschiedlichen physikalischen Materialeigenschaften und zum Liefern der Sicherungsdaten an die Einrichtung zum Handhaben, und eine Einrichtung zum Überwachen der Struktur (20) zur Erfassung von äusseren Angriffen der ersten Schutzschicht (14) und zum Unterbinden oder Abbrechen der Herleitung, Lieferung oder Handhabung der Sicherungsdaten, falls ein äusserer Angriff vorliegt.

Description

Beschreibung
Chip mit Angriffsschutz
Die vorliegende Erfindung bezieht sich auf Chips im allgemeinen und insbesondere auf die Angriffssicherung von Chips, wie sie beispielsweise in Chipkarten eingesetzt werden, vor einem Zugriff auf vertrauliche Daten des Chips durch äußere Attak- ken, wie z.B. DFA- (DFA = Differential Fault Attack = Diffe- renzfehlerattacke) Angriffe oder Reengineering-Angriffe.
Aktiver Zugriffsschutz für vertrauliche Daten, insbesondere wenn global gültige kryptographische Schlüssel, gelegentlich auch als Master Key bezeichnet, beteiligt sind, ist eine zentrale Anforderung aus den Evaluierungskriterien für Zahlungssysteme, wie z.B. Chipkarten. Chipkarten umfassen zumindest einen Chip sowie einen Chipkartenträger, an welchem der Chip befestigt ist. Auf dem Chip sind vertrauliche Daten gespeichert, wie z.B. die Kontonummer, das Guthaben und die PIN (personal identification number = persönliche Identifikationsnummer) des Chipkartenbesitzers, aber auch kryptographische Schlüssel, wie der oben erwähnte Master Key des Kartenherausgebers oder ein individueller Chipkartenschlüssel. Die auf der Chipkarte gespeicherten kryptographischen Schlüssel dienen beispielsweise der Entschlüsselung von auf der Chipkarte in verschlüsselter Form gespeicherten vertraulichen Daten oder der Authentifikation gegenüber dem Kommunikationspartner der Chipkarte bzw. dem Terminal, wie z.B. einem Bankautomaten oder einem POS (Point of Sales) .
Aufgrund der großen Bedeutung der kryptographischen Schlüssel für das Zahlungssystem besteht ein hohes Bedürfnis, diese kryptographischen Schlüssel vor Angreifern zu schützen, und damit auch gleichzeitig die in verschlüsselter Form auf der Chipkarte gespeicherten weiteren Daten. Das Problem hierbei besteht darin, daß die Chipkarten im freien Umlauf sind und daher unkontrolliert den Angriffen potentieller Angreifer ausgesetzt sind. Die Angriffe können grob in vier Gruppen eingeteilt werden. Gemäß sogenannter Brute-Force-Angriffe wird anhand der Kombination aus in den Chip eingegebenen, beispielsweise zu verschlüsselnden, und von dem Chip ausgege- benen, beispielsweise verschlüsselten, Daten unter Kenntnis des Verschlüsselungsalgorithmus durch Probieren versucht, den richtigen kryptographischen Schlüssel zu ermitteln. Diesen Angriffen wird durch eine genügend hohe Schlüssellänge begegnet. Gemäß DPA- (DPA = Differential Power Analyses = Diffe- renzleistungsanalyse) Angriffen wird anhand des Leistungsverbrauchprofils des Chips während der Verwendung des Schlüssels zur Verschlüsselung verschiedener Eingangsdaten auf den kryptographischen Schlüssel rückgeschlossen. Maßnahmen gegen diese Angriffe bestehen beispielsweise in der Verwendung einer speziellen Logik, wie z.B. einer asynchronen Logik, oder der Durchführung von Dummy-Berechnungen, die lediglich der Überlagerung des zur Handhabung des kryptographischen Schlüssels notwendigen Leistung dient.
Neben den vorgenannten Angriffen, die den Chip als solchen unbeeinflußt lassen, existieren Angriffe, die durch äußere Angriffe bzw. durch Manipulation oder Beeinflussung des Chips von außen versuchen, denselben aus normalen Betriebsbedingungen in Betriebsbedingungen zu versetzen, bei denen der Chip fehlerhaft arbeitet und fehlerhafte Daten ausgibt. Gemäß diesen sogenannten DFA-Angriffen wird beispielsweise der Chip in einem Zustand bzw. einer Umgebung erhöhter Temperatur, erhöhten Strahlungseinfalls, erhöhter Taktung oder eines Betriebs mit höherer oder niedrigerer Versorgungsspannung als der vorgesehenen Sollspannung betrieben und somit zu einer fehlerhaften Funktionsweise veranlaßt, wobei aus den fehlerhaften ausgegebenen Daten des Chips versucht wird, auf den kryptographischen Schlüssel der Chipkarte rückzuschließen. Mögliche Zugriffsschutzmechanismen gegen diese DFA-Angriffe sehen in dem Chip neben einem Datenspeicher, in dem die kryptographische Basis der schützenswerten Daten oder die zu schützenden Daten selbst dauerhaft gespeichert sind, eine Sensorik zur Detektion einer Beeinflussung des Chips sowie einen Energiespeicher, wie z.B. eine Batterie, einen Kondensator oder dergleichen, zur Versorgung des Chips auch während der Phasen, in denen die Chipkarte nicht in Betrieb bzw. am 5 Terminal eingesetzt ist, vor. Die Sensorik erfaßt beispielsweise äußere Angriffe durch Erfassung eines Eindringens in den Chip, der Unter- oder Überschreitung einer zulässigen Toleranz für die Spannung, der Temperatur oder der Frequenz von einfallender Röntgenstrahlung oder dergleichen. Die L0 Batterie oder vergleichbare Energiespeicher versorgen die
Sensorik mindestens während der Power-Down-Phasen der Schaltung mit Energie. Wird nun ein Angriff auf den Schutzbereich detektiert, zerstört die aktive Schutzlogik die kryptographi- sche Basis oder die geschützten Daten, so daß sie dem Angrei- L5 fer nicht mehr zur Verfügung stehen. Die kryptographische Basis ist beispielsweise ein zufällig generierter und nur innerhalb des durch den Schutzmechanismus bzw. die Sensorik geschützten Schutzbereichs bekannter symmetrischer Schlüssel, mit dem wiederum zu schützende, verschlüsselte Daten krypton- 20 graphisch gesichert, wie z.B. verschlüsselt oder integritätsgesichert, sind.
Nachteilhaft an der vorbeschriebenen möglichen Gegenmaßnahme gegen DFA-Angriffe ist der hohe strukturelle Aufwand und
25 insbesondere das Vorsehen eines Energiespeichers. Das Vorsehen eines Energiespeichers erhöht den Platzbedarf, die Her- stellungs- und Entwicklungskosten und begrenzt entweder die Lebensdauer der Chipkarte oder macht zusätzlich Vorkehrungen zur Wiederaufladbarkeit des Energiespeichers notwendig.
30
Eine weitere Form von Angriffen durch einen äußeren Angriff auf den Chip bilden sogenannte Reengineering-Angriffe . Durch wiederholtes Abschleifen und Ablichten bzw. Anschauen des Chips kombiniert mit der Analyse des Chips durch Kontaktieren
35 freigelegter Durchkontaktierungen oder optisches Analysieren der abgeschliffenen Chipebenen wird versucht, den Aufbau des Chips und damit den implementierten Kryptoalgorithmus sowie die gespeicherten Informationen zu ermitteln. Gegenmaßnahmen hierfür sehen beispielsweise den Aufbau des Chips aus speziellen Transistoren vor, die durch Abschleifen nur schwer zu analysieren sind.
Nachteilhaft an den vorbeschriebenen Möglichkeiten zur Begegnung von kryptographischen Attacken basierend auf äußeren Angriffen ist, daß die einzelnen Maßnahmen lediglich gegen eine Art von Angriff gerichtet sind, und daß im Hinblick auf DFA-Angriffe der Schutzaufwand hoch ist.
Die Aufgabe der vorliegenden Erfindung besteht darin, einen Chip zu schaffen, der ein höheres Maß an Schutz vor äußeren Angriffen ermöglicht.
Diese Aufgabe wird durch einen Chip gemäß Anspruch 1 gelöst.
Ein erfindungsgemäßer Chip umfaßt eine erste Schutzschicht, die eine Struktur zur Erfassung von äußeren Angriffen auf- weist, eine Verarbeitungsschicht, die eine Verarbeitungsstruktur aufweist, und einen zwischen der ersten Schutzschicht und der Verarbeitungsschicht angeordneten Sicherungsdatenträgerbereich, der Teilbereiche mit unterschiedlichen physikalischen Eigenschaften aufweist. Die Verarbeitungs- Struktur ist derart ausgebildet, daß dieselbe eine Einrichtung zum Handhaben von Daten, eine Einrichtung zum Erfassen der unterschiedlichen physikalischen Eigenschaften der Teilbereiche des Sicherungsdatenträgerbereichs, zum Herleiten von Sicherungsdaten aus den erfaßten unterschiedlichen physikali- sehen Eigenschaften und zum Liefern der Sicherungsdaten an die Einrichtung zum Handhaben und eine Einrichtung zum Überwachen der Struktur zur Erfassung von äußeren Angriffen der ersten Schutzschicht und zum Unterbinden oder Abbrechen der Herleitung, Lieferung oder Handhabung der Sicherungsdaten, falls ein äußerer Angriff vorliegt, implementiert. Die Erkenntnis der vorliegenden Erfindung besteht darin, daß durch die Speicherung von sicherheitskritischen Sicherungsdaten in Form einer speziellen Wahl der physikalischen Eigenschaften von Teilbereichen eines Sicherungsdatenträgerbe- reichs und gleichzeitige Sicherstellung, daß während aktiven Phasen des Chips kein Ablesen und Handhaben der Sicherungsdaten stattfindet, sowie durch Vorsehen des Sicherungsdatenträgerbereichs zwischen der Schutzschicht und der eigentlichen Verarbeitungsschicht, ein erhöhtes Maß an Sicherheit gegen sowohl DFA- als auch Reengineering-Angriffe ermöglicht wird. Bei Reengineering-Angriffen sorgt die Folge von Schutzschicht, Datenträgerbereich und Verarbeitungsschicht dafür, daß die Teilbereiche mit unterschiedlichen physikalischen Eigenschaften abgeschliffen sind, bevor deren Lage dem An- greifer bekannt ist. Während der aktiven Phasen des Chips sorgt die Schutzschicht dafür, daß die Sicherungsdaten im Chip nicht in elektronischer Form vorhanden sind und verwendet werden, so daß eine wirksame Vorkehrung gegen DFA- Angriffe geliefert ist.
Anders ausgedrückt besteht der Schutz aus mehreren, sich ergänzenden Schutzmechanismen, die in mehreren Schichten angeordnet sind. Die äußere Schutzschicht schützt die Verarbeitungsschicht und den Datenträgerbereich gegen Analysean- griffe, während der Chip aktiv ist. Insbesondere übernimmt sie den Schutz vor Angriffen während der Extraktion der Materialeigenschaften der innere Schutzschicht. Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist hierzu eine Leiterbahn in der äußeren Schutzschicht gebildet, an der physikalische Werte, wie beispielsweise die Impedanz, eine Signallaufzeit, eine Kapazität oder eine Grenzfrequenz, ständig auf eine signifikante Veränderung hin überwacht werden, um bei signifikanter Veränderung einen internen Alarm auszulösen. Die Funktion der Verarbeitungsschicht wird bei Alarm sofort deaktiviert oder erst gar nicht aktiviert. Hat die äußere Schutzschicht keinen Angriff erkannt, reproduziert eine in der Verarbeitungsschicht gebildete Ausleseeinrichtung aus den unterschiedlichen physikalischen Eigenschaften einer weiter innen liegenden inneren Schutzschicht bzw. des Sicherungsdatenträgerbereichs Sicherungsdaten bzw. einen individuellen Referenzwert. Letztere können anschließend innerhalb
5 der Verarbeitungsschicht auf ihre Korrektheit hin überprüft werden. Liefert die Überprüfung der Korrektheit der aktuell ermittelten Sicherungsdaten kein positives Ergebnis, wird keine Handhabung der Sicherungsdaten durchgeführt, wie beispielsweise die Rekonstruktion von zu schützenden Daten, die
L0 wiederum beispielsweise in der Entschlüsselung derselben besteht. Informationen, die Hinweise auf die Sicherungsdaten ergeben könnten, ergeben sich für den Angreifer folglich nicht .
L5 Ein Vorteil der vorliegenden Erfindung besteht folglich darin, daß im Vergleich zu der in der Beschreibungseinleitung beschriebenen Möglichkeit der Implementierung eines aktiven Zugriffsschutzes mittels einer Kombination aus Energiespeicher und einer von demselben zumindest in Power-Down-Phasen
20 betriebenen Sensorik auf einen Energiespeicher verzichtet werden kann, da der Angreifer weder mittels Reengineering in Power-Down-Phasen noch mittels DFA in aktiven Phasen an die Sicherungsdaten herankommt. Abschleifen von der äußeren Schutzschicht aus zerstört die die Sicherungsdaten anzeigen-
25 den Teilbereiche mit unterschiedlichen physikalischen Eigenschaften, bevor der Angreifer dieselben lokalisieren kann. Im Betrieb des Chips wird jeglicher Zugriff auf die physikalischen Eigenschaften der Teilbereiche des Sicherungsdatenträgerbereichs eingestellt, so daß keine „abhörbare" Version der
30 Sicherungsdaten in dem Chip vorhanden ist und zu Ausgaben des Chips führt, die durch den Angreifer verwendet werden könnten, um auf die Sicherungsdaten, wie z.B. einen Master-Key, rückzuschließen.
35 Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen: Fig. 1 eine Explosionsansicht einer Schichtfolge eines
Chips gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; und
Fig. 2 eine schematische Zeichnung, aus welcher die Funktionalitäten der Schichten des Chips von Fig. 1 hervorgehen.
Im folgenden wird anhand von Fig. 1 und 2 ein Ausführungsbeispiel der vorliegenden Erfindung beschrieben, wie er beispielsweise in auf einen Chipkartenträger aufgebrachter Form bei einer Chipkarte eingesetzt werden kann, die batterielos ist und während der Sitzungen entweder über Kontakte oder kontaktlos von dem jeweiligen Terminal mit Energie versorgt wird. Verwendungen der vorliegenden Erfindung im Rahmen anderer Sicherungsmodule sind jedoch ebenfalls denkbar, wie beispielsweise die Anwendung des Chips im Rahmen einer Smartcard oder als fest integrierter Chip in einem elektronischen Gerät, wie z.B. als Dongle bzw. Kopierschutzschaltung.
Der Chip, der in Fig. 1 allgemein mit 10 angezeigt ist, bzw. die integrierte Schaltungsanordnung umfaßt eine auf einem Halbleitersubstrat 12 angeordnete Schichtfolge aus einer äußeren Schutzschicht 14, einer Sicherungsdatenträgerschicht oder, wie sie im folgenden genannt wird, innere Schutzschicht 16 und einer geschützten Verarbeitungsschicht 18. Die Folge von Schichten 14, 16 und 18 und Substrat 12 ist derart, daß die Verarbeitungsschicht 18 zwischen dem Halbleitersubstrat 12 auf der einen und den Schutzschichten 14 und 16 auf der anderen Seite angeordnet ist, und daß die innere Schutzschicht 16 wiederum zwischen der äußeren Schutzschicht 14 und der Verarbeitungsschicht 18 angeordnet ist.
Die einzelnen Schichten 14, 16 und 18 sind geeignet strukturiert und aufgebaut, um verschiedene Funktionen zu erfüllen. So ist, wie es in Fig. 2 gezeigt ist, in der mit gestrichel- ten Linien die Schichten 14, 16 und 18 angezeigt sind, in der äußeren Schutzschicht 14 eine Erfassungsstruktur gebildet, die zur Erfassung äußerer Angriffe dienen soll, wie sie beispielsweise bei DFA-Angriffen durchgeführt werden. In der Verarbeitungsschicht ist eine Verarbeitungseinrichtung 22 gebildet, die mit Erfassungsstruktur 20 der äußeren Schutzschicht 14 und Teilbereichen 24 der inneren Schutzschicht 16 aus Gründen, die im folgenden dargelegt sind, verbunden ist.
Die Erfassungsstruktur 20 ist beispielsweise eine mäanderför- ige Leiterbahn, die in einem Isolatormaterial eingebettet ist. Mittels einer mäanderförmigen Leiterbahn erfaßbare äußere Angriffe umfassen beispielsweise das Eindringen in den Chip durch beispielsweise Bohren, das Aussetzen des Chips 10 einer über- oder unterhalb des Normbereichs liegenden Temperatur oder das Aussetzen des Chips einer erhöhten elektromagnetischen Strahlung, wie z.B. Röntgenstrahlung. Weitere oder alternative Erfassungsstrukturen könnten vorgesehen sein, um gemeinhin bestimmte Maßnahmen bzw. Beeinflussungen des Chips von außen erfaßbar zu machen, die geeignet sind, um den Chip zu einer fehlerhaften Funktionsweise zu provozieren. Nicht alle Erfassungsstrukturen müßten in der äußeren Schutzschicht 14 angeordnet sein.
In dem Fall der mäanderförmigen Leiterbahn als Erfassungsstruktur 20 werden äußere Angriffe dadurch erfaßbar, daß sich je nach Intensität der äußeren Angriffe physikalische Eigenschaften derselben bzw. Meßwerte, die an der Leiterbahn intermittierend abgegriffen werden, von Mal zu Mal ändern. Um die Änderungen dieser physikalischen Eigenschaften der Erfassungsstruktur 20 zu überwachen bzw. zu messen, ist die Erfassungsstruktur 20 mit der Verarbeitungseinrichtung 22 verbunden, wie z.B. einer CPU, die in der Verarbeitungsschicht 18 gebildet bzw. strukturiert ist. Die Verarbeitungseinrichtung 22 erfaßt und überwacht beispielsweise die Impedanz, eine Signallaufzeit über die mäanderförmige Leiterbahn, eine Kapazität bezüglich der Leiterbahn oder eine Grenzfrequenz bezüglich der Leiterbahn. So läßt beispielsweise eine Änderung des spezifischen Widerstands auf eine Temperaturänderung, eine Unterbrechung des Stroms durch die Leiterbahn auf ein Eindringen in den Chip 10 und eine Änderung der Kapazität
5 zwischen der mäanderförmigen Leiterbahn und einer weiteren Elektrode beispielsweise auf eine Verformung des Chips 10 rückschließen. Bei Überschreitung eines Referenzwertes von entweder dem Grad an Änderung bzw. der zeitlichen Ableitung der erfaßten Meßwerte oder des Betrags dieser Meßwerte nimmt
L0 die Verarbeitungseinrichtung 22 geeignete Maßnahmen vor, wie sie im folgenden noch beschrieben werden.
Die eigentlich geschützten Sicherungsdaten des Chips 10 befinden sich in der inneren Schutzschicht 16 bzw. können aus L5 derselben abgeleitet werden, indem den Teilbereichen 24 der inneren Schutzschicht 16 ein spezieller Satz von unterschiedlichen Materialeigenschaften zugeordnet ist, der wiederum über eine Abbildungsvorschrift den Sicherungsdaten zugewiesen ist. Die Sicherungsdaten stellen beispielsweise einen Master- 20 Key oder einen chipindividuellen Schlüssel dar. Über eine vorbestimmte Abbildung ist jedem möglichen Wert für die Sicherungsdaten eine Kombination von unterschiedlichen Materialeigenschaften zugeordnet. Die Teilbereiche 24 unterscheiden sich hinsichtlich ihrer physikalischen Materialeigen- 25 schatten beispielsweise im Hinblick auf ihre Leitfähigkeit.
Bevorzugterweise besteht die innere Schutzschicht 16 aus SiLK (eingetragenes Warenzeichen) (SiLK = Silicon Less Low-K) , wie es von der Firma Dow Chemical Company vertrieben wird, ein Material, welches die Eigenschaft hat, seine Leitfähigkeit 30 aufgrund von Dotierung stark zu variieren, was wiederum einen drastischen Anstieg der Leitfähigkeit ergibt. Teilbereiche mit den den Sicherungsdaten zugeordneten unterschiedlichen Leitfähigkeiten unter Zuhilfenahme von SiLK werden erzielt, indem die aus SiLK bestehende innere Schutzschicht 16 ein 35 lateral variierendes Dotierungsprofil aufweist. An bestimmten, lateral verteilten Kontaktpunkten ist die innere Schicht 16 mit der Verarbeitungseinrichtung 22 verbunden, wodurch aufgrund des lateralen Dotierungsprofils zwischen den Kontaktpunkten Teilbereiche mit unterschiedlichen mittleren Leitfähigkeiten definiert werden, die wiederum dem den Sicherungsdaten zugewiesenen Leitfähigkeitssatz entsprechen .
Die Verarbeitungseinrichtung 22 ist in der Lage, die Leitfähigkeiten der Teilbereiche der inneren Schutzschicht 16 zu erfassen und aus den erfaßten Leitfähigkeiten die Sicherungsdaten herzuleiten, beispielsweise durch Quantisieren der erfaßten analogen Werte für die Leitfähigkeiten und geeignetes Verknüpfen der quantisierten Werte . Wie es im folgenden noch beschrieben wird, nimmt die Verarbeitungseinrichtung 22 das Auslesen der Sicherungsdaten aus den unterschiedlichen Leitfähigkeiten der Teilbereiche der inneren Schutzschicht 16 jedoch nur dann vor, wenn keine äußeren Angriffe über die Erfassungsstruktur 20 detektiert worden sind .
In der Verarbeitungsschicht 18 befindet sich ferner ein Speicher, wie z . B . ein nichtflüchtiger Speicher (NVM; NVM = Non Volatile Memory) oder ein Flash-Speicher, in welchen weitere Daten, wie z . B . ein Guthaben oder dergleichen, geladen, gespeichert und verändert werden können, wozu der Speicher 26 mit der Verarbeitungseinrichtung 22 verbunden ist .
Nachdem im vorhergehenden der grobe Aufbau des Chips 10 beschrieben sowie einzelne Funktionalitäten der Verarbeitungseinrichtung 22 im Hinblick auf die Überwachung von äußeren Angriffen über die Erfassungsstruktur 20 und des Auslesens der Sicherungsdaten aus den Materialeigenschaften 24 der inneren Schutzschicht 16 beschrieben worden sind, wird im folgenden die gesamte Funktionsweise des Chips 10 insoweit beschrieben, wie es erforderlich ist , um die Ef fizienz des Chips 10 gegenüber kryptographischen Angriffen Dritter nach¬ vollziehen zu können .
Wie im vorhergehenden erwähnt , sind auf dem Chip 10 Daten gespeichert , die vor Angreifern geschützt werden sollen . Unter anderem sind dies die Sicherungsdaten, die sich auf dem Chip 10 in Form eines speziellen Satzes von unterschiedlichen Leitfähigkeiten in Teilbereichen der inneren Schutzschicht 16 manifestieren. Darüber hinaus befinden sich in dem Speicher 26 weitere zu schützende Daten. Um die in dem Speicher 26 gespeicherten Daten vor Angreifern zu schützen, sind dieselben mit einem Schlüssel verschlüsselt, der sich nur aus den Sicherungsdaten 24 ergibt. Folglich ist es für den Angreifer notwendig, die Sicherungsdaten 24 zu erhalten, was jedoch, wie es im nachfolgenden erörtert wird, äußerst erschwert oder nur unter extremen Bedingungen möglich ist.
Der Chip 10 umfaßt selbst keinen Energiespeicher und ist somit in Power-Down-Phasen, da derselbe von außen nicht mit Energie versorgt wird, deaktiviert, wie z.B. in dem Anwendungsfall einer Chipkarte, wenn der Chip also in einer Chipkarte ohne Energiespeicher eingebaut ist, während der Nicht- sitzungsphasen. In diesen Power-Down-Phasen sind die Sicherungsdaten 24 für den Angreifer folglich nur dadurch eruier- bar, daß derselbe in Kenntnis der unterschiedlichen Materialeigenschaften der Teilbereiche der inneren Schutzschicht 16 gelangt. Ein Reengineering durch Abschleifen des Chips 10 von dem Halbleitersubstrat 12 aus ist mühsam und zerstört zudem die die Verarbeitungseinrichtung 22 bildenden Strukturen. Bei Abschleifen des Chips 10 von oben aus, d.h. der Angriffsrichtung, wie sie in Fig. 1 mit einem Pfeil 28 angezeigt ist, schleift der Angreifer die Teilbereiche 24 mit den unterschiedlichen Materialeigenschaften ab, bevor er die Lage der Teilbereiche an den Kontaktierungen zu der Verarbeitungsein- richtung 22 erkennt. Um Reengineering-Angriffe auf die Siche¬ rungsdaten in der inneren Schutzschicht 16 zusätzlich zu erschweren, ist es bevorzugt, daß die Dotierung der inneren Schutzschicht 16 individuell pro Chip und zudem mit möglichst großer und zufälliger Varianz erfolgt.
Erst im Betrieb, d.h. wenn der Chip 10 von außen mit Energie versorgt wird, wie z.B. in dem Chipkartenanwendungsfall durch das Terminal während der Transaktionen, reagiert der Chip 10 auf Eingangsdaten von außen und nimmt Verarbeitungen der in dem Speicher 26 gespeicherten Daten vor usw. Unter anderem benutzt die Verarbeitungseinrichtung 22 die Sicherungsdaten in den Teilbereichen 24 dazu, die Daten in dem Speicher 26 zu entschlüsseln oder eine Authentifikation gegenüber dem Kommunikationspartner durchzuführen. Um zu vermeiden, daß ein Angreifer durch äußere Angriffe bzw. eine mechanische oder sonst wie geartete Beeinflussung des Chips von außen den Chip 10 zu einer fehlerhaften Handhabung der Sicherungsdaten 24 und somit über beispielsweise einen DFA-Angriff Rückschlüsse auf die Sicherungsdaten ziehen kann, stoppt die Verarbeitungseinrichtung 22 jegliches Auslesen der Materialeigenschaften der Teilbereiche 24 und jede weitere Handhabung der Sicherungsdaten, wie z.B. eine weitere Entschlüsselung der
Daten in dem Speicher 26, sobald die Verarbeitungseinrichtung 22 mittels der Erfassungsstruktur 20 einen Angriff erfaßt.
Wird der Chip 10 beispielsweise einer mechanischen Verformung ausgesetzt, erfaßt die Verarbeitungseinrichtung 22 in dem
Fall einer mäanderartigen Leiterbahn als der Erfassungsstruktur 20 durch beispielsweise Änderung der Signallaufzeit durch die Leiterbahn und stoppt jegliche Ausgabe des Chips 10 und daraufhin auch jegliche weiteren Verarbeitungen mittels der Sicherungsdaten.
Es kann vorgesehen sein, daß die Verarbeitungseinrichtung 22 zusätzlich die Funktionalität aufweist, daß dieselbe bei Auslesen der Sicherungsdaten aus den Materialeigenschaften der Teilbereiche 24 dieselben auf ihre Korrektheit hin über¬ prüft. Die Überprüfung der Sicherungsdaten könnte beispielsweise durchgeführt werden, indem die Sicherungsdaten durch einen Einwegalgorithmus, wie z.B. eine Hash-Berechnung, auf einen Wert abgebildet werden, der mit einem beispielsweise in dem Speicher 26 permanent gespeicherten Prüfwert verglichen wird. Da die reellen Rahmenbedingungen eventuell eine Drift der meßbaren physikalischen Eigenschaften der Teilbereiche 24 hervorrufen, wird bei der Überprüfung der Sicherungsdaten eine fehlertolerante Methode bevorzugt. In dem Fall, daß die Verarbeitungseinrichtung 22 bei der Überprüfung der Korrektheit der ausgelesenen Sicherungsdaten zu keinem positiven Ergebnis kommt, stoppt die Verarbeitungseinrichtung 22 jegliche weitere Handhabung der Sicherungsdaten, wie z.B. die Rekonstruktion der zu schützenden Daten in dem Speicher 26 bzw. die Entschlüsselung derselben. Auch auf diese Weise wird eine fehlerhafte Ausgabe des Chips 10 vermieden.
Die vorhergehende Erörterung hat folglich einen Chip beschrieben, bei dem aus Materialeigenschaften einer Schutzschicht, die ihrerseits von einer weiteren Schutzschicht gegen Angriffe während der Extraktion der Eigenschaften geschützt ist, Referenzwerte ableitbar sind, die wiederum zur Freigabe der Funktionalität eines durch beide Schutzschichten geschützten Bereichs, nämlich der Verarbeitungsschicht bzw. eines Sicherungsbereichs, verwendet werden. Als Ergebnis des erfolgreichen Freigabeprozesses wurde als ein Beispiel die Ableitung eines Schlüssels beschrieben, der zur Ver- oder
Entschlüsselung von besonders sensitiven Daten in dem Speicher 26 verwendet wird. Die Angriffsdetektion und die Reproduktion der Referenzwerte bzw. Sicherungsdaten bei Freigabe der Funktionalität aus den Materialeigenschaften der inneren Schutzschicht wird von der Verarbeitungseinrichtung innerhalb des Schutzbereichs 18 bzw. der Verarbeitungsschicht übernommen, an die die innere und die äußere Schutzschicht 14, 16 angeschlossen sind. Der beschriebene Chip bietet folglich Vorteile bezüglich Kosten, neuen Formfaktoren für „Tamper Resistant Systems" bzw. manipulationssicheren Systeme, wie z.B. System-on-Chip- bzw. SOC-Systeme, bezüglich Lebensdauer und Ausfallsicherheit.
Obwohl im Vorhergehenden als Beispiel für die Erfassungs- Struktur in der äußeren Schutzschicht lediglich eine mäander- förmige Leiterbahn beschrieben wurde, ist es ferner möglich, daß andere Sensoren eingesetzt werden, wie z.B. Druck- bzw. Kraftsensoren mit einer dünnen Halbleitermembran, piezoelektrische Sensoren oder dergleichen. Ferner können die im Vorhergehenden erwähnten Schichten, d.h. die äußere, innere Schutzschicht und die Verarbeitungsschicht, auch jeweils aus
5 mehreren Schichten bestehen. Insbesondere die innere Schutzschicht kann aus mehreren Teilschichten bestehen, die. jeweils für sich genommen einheitlich, untereinander aber unterschiedlich dotiert sind, so daß sich für die innere Schutzschicht ein variierendes Dotierungsprofil in der Dickrichtung
L0 ergibt. Ferner können Isolationsschichten oder Schichten anderer Funktionalität zwischen diesen Schichten bzw. Teilschichten vorgesehen sein. Zudem muß ein Chip, bei dem die vorliegende Erfindung implementierbar ist, auch keinen Speicher zum Speichern von Daten aufweisen, die mittels der
L5 Sicherungsdaten verschlüsselt sind und folglich beim Speichern in den Speicher mit den Sicherungsdaten verschlüsselt und beim Lesen aus dem Speicher mittels der Sicherungsdaten entschlüsselt werden. Vielmehr ist es möglich, daß die Sicherungsdaten lediglich zum Vergleich mit einem in den Chip
20 eingegebenen Wert verwendet werden, wie z.B. im Rahmen eines PIN-Vergleichs . In diesem Fall bestünde folglich die Handhabung der Sicherungsdaten lediglich in dem Vergleich der Sicherungsdaten mit dem von außen eingegebenen Wert und nicht in der Entschlüsselung von in dem Speicher gespeicherten
25 Daten.
Bezugs zeichenliste
10 Chip
12 Halbleitersubstrat
14 äußere Schutzschicht
16 innere Schutzschicht
18 Verarbeitungsschicht
20 Erfassungsstruktur
22 Verarbeitungseinrichtung
24 Bereiche unterschiedlicher Materialeigenschaften
26 Speicher
28 Angriffsrichtung

Claims

Patentansprüche
1. Chip mit
einer Schutzschicht (14), die eine Struktur (20) zur Erfassung von äußeren Angriffen aufweist;
einer Verarbeitungsschicht (18), die eine Verarbeitungsstruktur aufweist;
einem zwischen der Schutzschicht (14) und der Verarbeitungsschicht angeordneten Sicherungsdatenträgerbereich (16), der Teilbereiche mit unterschiedlichen physikalischen Materialeigenschaften aufweist;
wobei die Verarbeitungsstruktur folgende Einrichtungen implementiert:
eine Einrichtung (22) zum Handhaben von Daten;
eine Einrichtung (22) zum Erfassen der unterschiedlichen physikalischen Eigenschaften der Teilbereiche (24) des Sicherungsdatenträgerbereichs, zum Herleiten von Sicherungsdaten aus den erfaßten unterschiedlichen physikali- sehen Materialeigenschaften und zum Liefern der Sicherungsdaten an die Einrichtung (22) zum Handhaben; und
eine Einrichtung (22) zum Überwachen der Struktur (20) zur Erfassung von äußeren Angriffen der ersten Schutz- schicht (14) und zum Unterbinden oder Abbrechen der Herleitung, Lieferung oder Handhabung der Sicherungsdaten, falls ein äußerer Angriff vorliegt.
2. Chip gemäß Anspruch 1, der ferner einen Speicher zum Speichern verschlüsselter Daten aufweist und bei dem die
Sicherungsdaten einen Entschlüsselungsschlüssel umfassen, und die Einrichtung zum Handhaben einer Einrichtung zum Ent- schlüsseln der verschlüsselten Daten mittels des Entschlüsselungsschlüssels aufweist.
3. Chip gemäß Anspruch 1 oder 2, bei dem die Folge aus Schutzschicht (14), Sicherungsdatenträgerbereich (16) und Verarbeitungsschicht (18) auf einem Halbleitersubstrat (12) angeordnet ist, so daß die Verarbeitungsschicht (18) zwischen Sicherungsdatenträgerbereich (16) und Halbleitersubstrat (12 angeordnet ist.
4. Chip gemäß einem der Ansprüche 1 bis 3, bei dem die Struktur zur Erfassung von äußeren Angriffen eine äanderför- ige Leiterbahn aufweist.
5. Chip gemäß Anspruch 3, bei dem die Einrichtung zum
Überwachen einer Einrichtung zur Erfassung einer Impedanz, einer Signallaufzeit, einer Kapazität oder einer Grenzfrequenz bezüglich der mäanderförmigen Leiterbahn, um einen Erfassungswert zu erhalten, und zum Überwachen, ob ein Grad an Änderung des Erfassungswerts oder ein Betrag des Erfassungswert einen Vergleichswert überschreitet, um festzustellen, daß ein äußerer Angriff vorliegt.
6. Chip gemäß einem der vorhergehenden Ansprüche, bei dem die Einrichtung zum Erfassen, Herleiten und Liefern angeordnet ist, um die Sicherungsdaten mittels eines Algorithmus auf ihre Korrektheit hin zu überprüfen, und in dem Fall, daß keine Korrektheit vorliegt, die Herleitung, Lieferung oder Handhabung der Sicherungsdaten zu unterbinden und abzubre- chen.
7. Chip gemäß Anspruch 6, bei dem der Algorithmus eine Hash-Wertberechnung umfaßt.
8. Chip gemäß einem der vorhergehenden Ansprüche, bei dem die unterschiedlichen physikalischen Materialeigenschaften eine Leitfähigkeit aufweisen.
9. Chip gemäß Anspruch 8, bei dem der Sicherungsdatenträgerbereich eine SiLK-Schicht umfaßt.
10. Sicherheitsmodul mit einem Chip gemäß einem der vorhergehenden Ansprüche, das ausgebildet ist, um ausschließlich über einen Versorgungsanschluß von außen mit Energie für den Chip versorgt zu werden.
PCT/EP2003/011213 2002-10-11 2003-10-09 Chip mit angriffsschutz Ceased WO2004036649A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
AU2003278065A AU2003278065A1 (en) 2002-10-11 2003-10-09 Attack protected chip

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10247485A DE10247485A1 (de) 2002-10-11 2002-10-11 Chip mit Angriffsschutz
DE10247485.0 2002-10-11

Publications (1)

Publication Number Publication Date
WO2004036649A1 true WO2004036649A1 (de) 2004-04-29

Family

ID=32038521

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2003/011213 Ceased WO2004036649A1 (de) 2002-10-11 2003-10-09 Chip mit angriffsschutz

Country Status (4)

Country Link
AU (1) AU2003278065A1 (de)
DE (1) DE10247485A1 (de)
TW (1) TW200409040A (de)
WO (1) WO2004036649A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011039168A1 (de) * 2009-09-29 2011-04-07 Giesecke & Devrient Gmbh Chipmodul und tragbarer datenträger mit einem chipmodul

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008517508A (ja) * 2004-10-18 2008-05-22 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ セキュアセンサチップ
DE102006048969B4 (de) 2006-10-17 2018-08-16 Infineon Technologies Ag Schaltungsanordnung und Verfahren zum Unterbinden eines Schaltungsbetriebs
DE102010020460B4 (de) * 2010-05-11 2023-12-21 Bundesdruckerei Gmbh Sicherheits- oder Wertdokument, Verfahren zu dessen Herstellung und zu dessen Verifikation
CN110391187B (zh) * 2019-08-12 2024-03-08 兆讯恒达科技股份有限公司 一种芯片的防攻击保护结构

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998018102A1 (de) * 1996-10-22 1998-04-30 Reinhard Posch Verfahren und anordnung zum schutz von elektronischen recheneinheiten, insbesondere von chipkarten
US6047068A (en) * 1995-09-19 2000-04-04 Schlumberger Industries Method for determining an encryption key associated with an integrated circuit
WO2000028399A1 (de) * 1998-11-05 2000-05-18 Infineon Technologies Ag Schutzschaltung für eine integrierte schaltung
WO2001050530A1 (en) * 1999-12-30 2001-07-12 Koemmerling Oliver Anti tamper encapsulation for an integrated circuit
DE10040188A1 (de) * 2000-08-17 2002-02-28 Infineon Technologies Ag Siegel zur Authentifizierung von versiegelten Objekten und Verfahren zur Herstellung und Prüfung der Siegel
US20020126792A1 (en) * 2001-01-13 2002-09-12 Johann Fuhrmann Electric or electronic circuit arrangement and method of protecting said circuit arrangement from manipulation and/or abuse

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2640781B1 (fr) * 1988-12-20 1992-04-10 Bull Sa Dispositif de protection d'une carte electronique et utilisation pour proteger un terminal de lecture de carte magnetique et/ou a microprocesseur
DE19738990C2 (de) * 1997-09-05 1999-11-25 Siemens Ag Einrichtung zum Schutz gegen Mißbrauch einer Chipkarte
DE19748666C2 (de) * 1997-11-04 2002-08-29 Fraunhofer Ges Forschung Verdrahtungsverfahren für mikroelektronische Systeme zur Verhinderung von Produktpiraterie und Produktmanipulation, durch das Verfahren hergestelltes mikroelektronisches System und Verwendung des mikroelektronischen Systems in einer Chipkarte

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6047068A (en) * 1995-09-19 2000-04-04 Schlumberger Industries Method for determining an encryption key associated with an integrated circuit
WO1998018102A1 (de) * 1996-10-22 1998-04-30 Reinhard Posch Verfahren und anordnung zum schutz von elektronischen recheneinheiten, insbesondere von chipkarten
WO2000028399A1 (de) * 1998-11-05 2000-05-18 Infineon Technologies Ag Schutzschaltung für eine integrierte schaltung
WO2001050530A1 (en) * 1999-12-30 2001-07-12 Koemmerling Oliver Anti tamper encapsulation for an integrated circuit
DE10040188A1 (de) * 2000-08-17 2002-02-28 Infineon Technologies Ag Siegel zur Authentifizierung von versiegelten Objekten und Verfahren zur Herstellung und Prüfung der Siegel
US20020126792A1 (en) * 2001-01-13 2002-09-12 Johann Fuhrmann Electric or electronic circuit arrangement and method of protecting said circuit arrangement from manipulation and/or abuse

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011039168A1 (de) * 2009-09-29 2011-04-07 Giesecke & Devrient Gmbh Chipmodul und tragbarer datenträger mit einem chipmodul

Also Published As

Publication number Publication date
AU2003278065A1 (en) 2004-05-04
TW200409040A (en) 2004-06-01
DE10247485A1 (de) 2004-04-22

Similar Documents

Publication Publication Date Title
DE69715282T2 (de) Schutzanordnung für ein Halbleiterplättchen
DE69527773T2 (de) Schaltungsanordnung zur Überwachung der Benutzung von Funktionen in einem integrierten Schaltungkreis
DE3041109C2 (de)
DE112007002037B4 (de) Erkennen von auf Strahlung basierenden Angriffen
EP0151714B1 (de) Vorrichtung zur Sicherung geheimer Informationen
DE102012212471B3 (de) Vorrichtung zum Realisieren einer physikalischen Degradations-/Tampererkennung eines digitalen ICs mittels einer (digitalen) PUF und Unterscheiden zwischen einer Degradation aufgrund von physikalischer Manipulation und aufgrund von Alterungsprozessen
DE10305587B4 (de) Integrierte Sicherheitshalbleiterschaltung und Halbleiterschaltungskarte und zugehöriges Überwachungsverfahren
DE102010016922A1 (de) Phasenänderungsspeicher-Sicherheitsanordnung
DE60309304T2 (de) Gesicherte elektronische vorrichtung
EP2689373B1 (de) Detektieren von angriffen auf einen portablen datenträger
WO2004036649A1 (de) Chip mit angriffsschutz
EP2019996A1 (de) Sensor mit einer schaltungs anordnung
DE10326089B3 (de) Manipulationsüberwachung für eine Schaltung
DE102005056940B4 (de) Vorrichtung und Verfahren zum nicht-flüchtigen Speichern eines Statuswertes
DE10164419A1 (de) Verfahren und Anordnung zum Schutz von digitalen Schaltungsteilen
DE102013014587B4 (de) Verfahren zum IT-Schutz sicherheitsrelevanter Daten und ihrer Verarbeitung
DE10140045B4 (de) IC-Chip mit Schutzstruktur
EP2428918B1 (de) Portabler Datenträger
EP2056346B1 (de) Halbleiterchip mit einer Schutzschicht
DE102004016342B4 (de) Verfahren und Vorrichtung zum Erfassen eines manipulativen Angriffs auf eine elektrische Schaltung
EP2060988B1 (de) Sicherheitsmodul
DE10258178B4 (de) Schaltung mit Sicherheitsmaßnahmen gegen Ausspionieren der Schaltung
DE102005058878B4 (de) Datentransfervorrichtung und Verfahren zum Senden von Daten
DE10341593B4 (de) Prozessor und Verfahren zum Ausführen einer Sequenz von Befehlen
WO2006133934A1 (de) Verfahren zum betreiben eines tragbaren datenträgers

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NI NO NZ OM PH PL PT RO RU SC SD SE SG SK SL TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP