пн-пт  10:00 - 19:00
г. Москва
+7 (495) 204 13 17
г. Санкт-Петербург
+7 (812) 509 20 91
Москва
Санкт-Петербург
По всей России
Москва
Санкт-Петербург
По всей России

Метод защиты микросхем с обратной стороны

Метод защиты микросхем с обратной стороны

Введение

Мы постоянно используем технику: дома, на работе, на отдыхе. Автомобили поддерживают подключение к удаленным сервисам через интернет, а управление их системами безопасности осуществляется с помощью электронных блоков. Смартфоны хранят в себе огромный объем личных данных, в том числе и данные банковских карт. Офисная техника стала умнее и теперь может быть объединена в единую сеть и простой чайник с уязвимостями во встроенном ПО может стать основой для заражения всей корпоративной сети. 

Поэтому, безопасность интегральных схем (ИС) очень важна как для производителя, так и для конечного пользователя. Несмотря на существование множества контрмер, например, различных датчиков, активных сеток и экранов [1, 2], которые защищают верхнюю часть ИС, в публикациях сообщается о многих успешных физических атаках через обратную сторону микросхемы. Наиболее известные меры противодействия на современных безопасных ИС удалось обойти именно с обратной стороны ИС [3]. 

Атаки через нижнюю часть чипа могут быть успешно выполнены с использованием инструментов анализа отказов, таких как FIB (Focused Ion Beam) [4], микроскопов, которые могут осуществлять оптические методы, и вносить неисправности лазером [5] и фотоэмиссиионные микроскопы [6]. Эта ситуация демонстрирует необходимость защиты обратной стороны ИС, чтобы на выходе производства иметь безопасную продукцию.

Общее описание метода защиты микросхем

В настоящее время существует ряд мер защиты полупроводниковых устройств от атак, проводимых через обратную сторону ИС, например датчики полировки тыльной стороны чипа, которые чувствительны к толщине кремниевого слоя, находящегося под транзисторами [7]. Этот метод защищает устройство только от атак, которые удаляют часть кремния, но не от воздействий, которые проводятся оптическими методами без удаления кремния [8]. 

Существует другая схема защиты, в которой ИС инкапсулирована в светопропускающий материал, содержащий множество случайным образом распределенных частиц, изменяющих его свойства, и покрыта отражающим материалом [9]. Однако эта структура может защитить устройство от оптических атак, но ограничивает область применения ИС, поскольку ИС должна быть окружена такой структурой.

В патенте [10] для обратной стороны ИС предусмотрены меры защиты, представленные в 2012 году. С помощью этого метода элементы ИС сконфигурированы для излучения света внутри ИС на обратную сторону микросхемы и для обнаружения света, отраженного от нее в другую сторону. 

Обратная часть ИС оснащена определенными светоизменяющими структурами, такими как поверхности с некоторой шероховатостью, фокусирующие линзы или вещество, содержащее отражающие частицы, направляющие отраженный свет на обратную сторону, где он будет обнаружен детекторами. 

Светоизменяющие структуры, представленные в этом патенте, не просты в реализации и не могут предотвратить оптические атаки. В статье 2018 года предлагается решение, чтобы улучшить данное решение для достижения надлежащей структуры защиты полупроводниковых устройств.

Принципы защиты

Исследовательская группа из Берлинского технического университета сообщила о схеме защиты обратной стороны чипа, основанной на патенте упомянутом выше [10]. 

Представленное средство противодействия состоит из тонкого оптического активного слоя ITO-Ag-ITO (ITO: оксид индия и олова, Ag: серебра), нанесенного на заднюю поверхность кремния, который способен изменять интенсивность отраженного света в инфракрасном диапазоне в зависимости от угла падения (AOI – «angle of incidence») света [11]. 

Обычные p-n-переходы (сток или исток транзисторов) использовались для направления света внутри ИС к задней стороне кристалла и обнаружения света, отраженного с задней стороны, в сторону схемы ИС. (рис.1).

Поперечное сечение микросхемы
Рис.1 Поперечное сечение микросхемы

Когда кремниевый p-n-переход смещен в прямом направлении, он излучает фотоны с энергией, равной или близкой к ширине запрещенной зоны кремния [12]. Часть созданных фотонов поглощается материалом кремния, в то время как другие частицы с более низкой энергией, которые не могут быть поглощены, проходят через кремний и достигают тыльной поверхности кремния; в зависимости от поверхности, энергия может отражаться, передаваться или поглощаться.

Отраженные от задней поверхности фотоны проходят через материал кремния и достигают той стороны ИС, где расположены другие p-n-переходы, используемые для обратного смещения в качестве фотодетекторов (PD). Из-за того, что сток и исток транзисторов сильно легированы и имеют узкую запрещенную зону, эти фотоны будут поглощаться переходами и создавать ток, который называется фототоком. Этот принцип показан на рис. 1.

В этом методе целостность тыльной поверхности с покрытием проверяется путем измерения фототоков частичных разрядов. Пока соотношение измеренных фототоков подтверждает угловую зависимость неповрежденного покрытия, проверяется целостность покрытия и никакого физического воздействия не происходит. 

Как только зависимость покрытия от конкретного угла больше не может быть воспроизведена, это означает, что покрытие было повреждено, что указывает на физическую атаку с обратной стороны. 

Поскольку этот оптический слой изменяет интенсивность отраженного света, интенсивность детектируемого света, а также фототок также изменятся, в случае удаления и повреждения слоя. 

Следовательно, отношение фототока детекторов не идентично исходному отношению фототока, что приводит к обнаружению атаки. В этом случае обнаружение атаки выполняется с помощью электрических измерений. Этот процесс показан на рис. 2.

Поперечный срез атакуемой микросхемы

Рис.2 Поперечный срез атакуемой микросхемы

Для реализации этого метода в производственном процессе сначала на тыльную сторону ИС наносится защитный слой, а затем измеряется коэффициент фототока и сохраняется как шаблон в одноразовой программируемой памяти. 

Для защиты ИС от любого физического вмешательства с тыльной стороны целостность слоя может постоянно проверяться всякий раз, когда ИС начинает работать, или, если необходимо, несколько раз в течение определенного периода времени, когда ИС находится в работе. Если целостность уровня подтверждена, процесс будет продолжен, в противном случае ИС должна выключиться и стереть все конфиденциальные данные.

В работе исследовательской группы из Берлинского технического университета вводится оптически активный слой TiO2-Ti-TiO2 (TiO2: диоксид титана, Ti: титан), который обеспечивает сильное угловое отражение. 

На рис. 3. сравнивается отражательная способность поверхности кремния с поверхностью кремния, покрытого ITO-Ag-ITO и кремния, покрытого TiO2-Ti-TiO2, на длине волны 1160 нм, где источник света и детектор находятся внутри кремния. Совершенно очевидно, что слой TiO2-Ti-TiO2 имеет более сильное зависящее от угла отражение и может обеспечивать более сильное соотношение фототоков. 

Например, в кремнии, покрытом ITO-Ag-ITO, изменение отражательной способности составляет от 50% до 95% в диапазоне 0–80 °, тогда как в случае TiO2-Ti-TiO2 оно составляет от 11% до 85%.

Отражательная способность кремния

Рис.3. Расчетная отражательная способность кремния (красная линия) и кремния, покрытого ITO-Ag-ITO (синяя линия) и кремния, покрытого TiO2-Ti-TiO2 (черная линия) для длины волны 1160 нм


Вывод

До этого исследования представленная концепция защиты обратной стороны ИС была лишь многообещающей идеей. В настоящее время структура защиты улучшена таким образом, что эта концепция теперь функционирует в реальности. В этой работе используются интегрированные электронные компоненты ИС для защиты обратной стороны ИС от физических атак и представлен оптически активный слой в качестве защитного элемента, обладающего сильной, зависящей от угла, отражательной способностью.

Используемая литература:

[1]       W. Rankl, W. Effing, Smart Card Handbook, Fourth Edition, John Wiley & Sons, Ltd., 2010 ISBN: 978-0-470-74367-6.

[2]       D. Shahrjerdi, et al., Shielding and securing integrated circuits with sensors, Proc. IEEE/ACM Int. Conf. Comput.-Aided Design (ICCAD) (2014) 170–174.

[3]       C. Helfmeier, D. Nedospasov, C. Tarnovsky, J.S. Krissler, C. Boit, J.-P. Seifert, Breaking and entering through the silicon, Proceedings of the 2013 ACM SIGSAC Conference on Computer & Communications Security, ACM, 2013, pp. 733–744.

[4]       C. Boit, C. Helfmeier, U. Kerst, Security Risks Posed by Modern IC Debug and Diagnosis Tools, Proceedings - 10th Workshop on Fault Diagnosis and Tolerance in Cryptography, FDTC, (2013), pp. 3–11.

[5]       G.J. van Woudenberg, Jasper, F. Witteman, Marc, Federico Menarini, Practical optical fault injection on secure microcontrollers, Proceedings - Workshop on Fault Diagnosis and Tolerance in Cryptography, FDTC, 2011, pp. 91–99.

[6]       A. Schlösser, D. Nedospasov, J. Krämer, S. Orlic, J.-P. Seifert, Simple photonic emission analysis of AES, J. Cryptogr. Eng. 3 (2013), http://dx.doi.org/10.1007/ s13389-013-0053-7.

[7]       S. Manich, D. Arumi, R. Rodriguez, J. Mujal, D. Hernandez, Backside polishing detector: a new protection against backside attacks, “DCIS'15 - XXX Conference on Design of Circuits and Integrated Systems”. Estoril, 2015, pp. 1–6.

[8]       S. Tajik, H. Lohrke, J.-P. Seifert, C. Boit, On the Power of Optical Contactless Probing: Attacking Bitstream Encryption of FPGAs, CCS, 2017.

[9]       O. Kömmerling, F. Kömmerling, “Anti Tamper Encapsulation for an Integrated Circuit”, US 7005733 B2, (Feb 2006).

[10]     F. Zachariasse, patent US8198641 B2, (Jun 2012).

[11]     E. Amini, R. Muydinov, B. Szyszka, C. Boit, Backside Protection Structure for Security Sensitive ICs (43rd International Symposium for Testing and Failure Analysis), (2017), pp. 298–303 (Asm, 2017).

[12]     B.E.A. Saleh, John Wiley and Sons, (1991).