JP5387144B2 - 誤動作発生攻撃検出回路および集積回路 - Google Patents
誤動作発生攻撃検出回路および集積回路 Download PDFInfo
- Publication number
- JP5387144B2 JP5387144B2 JP2009132544A JP2009132544A JP5387144B2 JP 5387144 B2 JP5387144 B2 JP 5387144B2 JP 2009132544 A JP2009132544 A JP 2009132544A JP 2009132544 A JP2009132544 A JP 2009132544A JP 5387144 B2 JP5387144 B2 JP 5387144B2
- Authority
- JP
- Japan
- Prior art keywords
- circuit
- output
- level
- detection circuit
- signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/073—Special arrangements for circuits, e.g. for protecting identification code in memory
- G06K19/07309—Means for preventing undesired reading or writing from or onto record carriers
- G06K19/07363—Means for preventing undesired reading or writing from or onto record carriers by preventing analysis of the circuit, e.g. dynamic or static power analysis or current analysis
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
- H04L9/004—Countermeasures against attacks on cryptographic mechanisms for fault attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Semiconductor Integrated Circuits (AREA)
- Storage Device Security (AREA)
Description
また、暗号化・復号化の時に使う鍵は、ICカード内のEEPROM等の不揮発性メモリに格納され、暗号化・復号化時にはCPUを介さないで直接ICカード内の暗号エンジンに転送される。
このような制御により、ICカードの所有者やICカードの開発エンジニアすら鍵データを取り出すことが不可能な構成を採ってセキュリティを保持している。
この攻撃は、消費電流波形の統計処理で暗号鍵が取得できるという、非常に強力な攻撃方法で、様々な防御方法が提案されている。
この攻撃方法は、モールドを除去したチップ(Chip)に対して、暗号演算を実行しつつレーザ(Laser)照射等を行って論理回路の出力変化やレジスタ(Register)のビット(bit)反転等を発生させる。
そして、その出力文の誤演算結果を正しい演算結果と比較して解析することにより、鍵データを取得する攻撃方法である。
これは、CPUが命令実行中に、CPUブロック内のプログラムカウンタ(Program Counter)やレジスタおよび論理回路にレーザ照射を行ってこれらの値を変化させる。これにより、誤った命令の実行や誤った処理結果の生成等を引き起こし、これらを用いて機密データを取り出す攻撃である。
現在、半導体で最も多く使われている材料は、シリコン(Si)である。シリコンは、4本の結合手を持ち、隣接する4個のシリコンと共有結合する。
リン原子核の束縛を受けている電子のエネルギー準位は価電子帯( Valence Band )と呼ばれ、何らかのエネルギーを得てリン原子核の束縛から解放されて自由に動きまわれる電子のエネルギー準位は伝導帯( Conduction Band )と呼ばれる。そして、この2つのエネルギーの間は禁制帯と呼ばれ、そのエネルギー差はバンドギャップ(Eg)と呼ばれる。価電子帯の電子に光を照射して伝導帯に遷移させるためには、シリコンのバンドギャップ(約1.1eV)以上のエネルギーの光を照射する必要がある。
これを満たす光の波長λ[m]は、光の周波数をν[Hz]、光速をc[m/s]、プランク定数をh[J・s]とすると、次の(1)式により(2)式のようになる。
Eg<hν=hc/λ ・・(1)
λ<hc/Eg=6.63×10-34×3.0×108/(1.1×1.6×10-19)≒1130×10-9 [m]=1130[nm] ・・(2)
レーザは、位相の揃った光であり、高いエネルギーを持つ。一方で、半導体チップは、たとえば5層のメタル配線層を配置し、その下にトランジスタが配置されている。
メタル配線層の隙間を通過した光は、直進・回折・下層のメタル間で反射をし、最終的に照射光の一部が複雑な経路を経てトランジスタTrに到達して内部光電効果により発生した自由電子で誤動作を発生させる。
設計者は、DFA/FIA攻撃を意識して、各層で信号配線の無い領域には遮光を目的としたダミーのメタルパターンを配置し、トランジスタ層への光の到達を極力防御しているが、完全には防御し切れない。
また、チップの裏面からのレーザ照射では、レーザ光の一定割合は裏面で反射されるが、一部はトランジスタ層へ到達して誤動作を発生させる。このバックサイドからの攻撃に対しては、配線層の工夫では対処できない。
たとえば、図3(a)に示すように、入力レベルがロー(Low)レベル、出力レベルがハイ(High)レベルのインバータ(Inverter)INVに(2)式を満たす光が入射した場合、次のような現象となる。
インバータのNMOSトランジスタNTで内部光電効果により発生した自由電子が出力端に現われ、出力電圧を下げる作用を働く。
一方で、インバータINVの入力レベルはローレベルであるため、PMOSトランジスタPTはONしていて、出力端子の電圧が下がると、電源端子より電流を供給する。この結果、インバータINVの出力は、この2つの作用によって決まる電圧に保持される。この出力電圧は、レーザ光の照射が終わると、内部光電効果による自由電子の供給も止まるため、PMOSトランジスタPTのON電流によりハイレベルに戻る。
すなわち、この回路では誤データが取り込まれて、誤演算結果の出力や間違った制御を実行する。
レジスタは、たとえば図4(a)に示すような構成を有している。このレジスタ回路は、インバータINV1〜INV7、および転送ゲートTM1〜TM4により構成されている。
なお、データ反転の説明は、最も簡単な図4(b)に示すレジスタ回路に関連付けて行う。
インバータINV1の出力がハイレベルのとき、インバータINV2のNMOSトラジスNT2がONして、インバータINV2の出力はローレベルとなり、インバータINV1のゲートに入力される。
そして、インバータINV1ではPMOSトランジスタPT1がONしてインバータINV1はハイレベルを出力する。これにより、インバータINV1の出力はハイレベル、インバータINV2の出力はローレベルを安定的に保持する。
このため、両方のインバータに照射されるか、共にされないかのどちらかになる。そして、レーザ光が照射された場合、両方のNMOSトランジスタNT1,NT2で内部光電効果により自由電子が発生して出力端に供給される。
2個のインバータのうち、入力がローレベルで出力がハイレベルのインバータINV1の出力は、前記論理回路の出力変化で説明したインバータと同じ動作が起こり、その出力は中間電位になって他方のインバータINV2の入力に供給される。
インバータINV2では、入力が中間電位になることにより、両方のトランジスタPT2、NT2がON状態となり、さらにNMOSトランジスタNT2で内部光電効果により自由電子も供給され、これらの作用のバランスする電圧に落ち着く。
そして、この出力の中間電位がインバータINV1の入力に供給され、NMOSトランジスタNT1もONするようになり、貫通電流とNMOSトランジスタNT1の内部光電効果による自由電子の供給のバランスする電圧に落ち着く。
これにより、両方のインバータINV1、INV2の入出力電圧はレーザ照射前の格納データに関係なく共に中間電位になる。
一方で、レーザ光のビーム径の外側でも、散乱や回折によってある程度の領域までレーザ光は届く。
しかし、ビーム径の数倍の領域ではその強度は弱くなり、レジスタ回路を構成するインバータのNMOSトランジスタに到達して、内部光電効果によって自由電子が発生しても、PMOSトランジスタのON電流の方が大きくなる。その結果、インバータの出力端の電圧はローレベルに近い電圧に収束するようになる。この領域では、レーザ光は到達していても、その強度が弱いため、レジスタの格納データの反転は起こらない。
中間の領域では、ビームの中心からの距離の関数として状態は変化していく。
攻撃は、たとえば図5に示す手順で行う。
ステップST2において、チップをたとえばセラミックパッケージにボンディングする。
ステップST3において、レーザ照射装置にチップをセットし、レーザビームが攻撃の開始位置になるようにセットする。
ステップST4において、CPUからチップに信号を与えつつ、レーザの照射位置をスキャンし、出力を取り込む。
そして、誤データの発生する箇所をピックアップする。
ステップST5において、ステップST4で誤動作が発生した箇所を、タイミングも考慮しつつ詳細に攻撃し、出力を取り込む。
そして、攻撃結果から、解析が可能なものを選択して解析する。
Rレジスタの1ビットが反転すると、この誤データがF関数に入力されることにより、誤データのビット数は増加する。そして、この誤データビット数は、ラウンドを重ねる度に増加する。
一方で、DFA攻撃を用いた解析の面からは、エラーのビット数は少ない方が好ましく、攻撃は最後のラウンドで、少数ビットのビット反転が望ましい。
理想的には、図6に示すように、最終ラウンドで、Rレジスタデータのみが反転している状況であれば確実にエラービットに対応するSub Sboxの鍵は特定できる。実際には、攻撃結果がこのようになる可能性は非常に低いが、多数回の攻撃の中で1回でもこの状況が発生した場合には、それから対応する鍵が求まってしまう所がDFA攻撃の脅威である。
この動作は、EEPROM13に格納されている暗号鍵“Key”とRAM14に格納されている平文“Message”をCPU11が内部レジスタRegA,Bを介して暗号回路15内のレジスタにセットして暗号演算を実行する。そして、演算終了後に暗号文を取り出してレジスタRegAを介して外部に出力する。
A006番地の命令は、レジスタRegAの格納データの外部への出力であり、本来は暗号文の出力を想定している。しかし、A001番地の命令実行後にA006番地の命令実行を行う場合、レジスタRegAの格納データは暗号鍵であり、これがA006番地の命令実行によって外部に出力されてしまう。
これは、FIA攻撃を説明するためのプログラム例である。もしこのようなプログラムで上記タイミングでFIA攻撃が成功した場合、攻撃者は暗号鍵を得てしまう。実際には、攻撃を考慮しつつプログラムを記述するので、このようなプログラムは考えられない。しかし、仮にこのプログラムが記述されている場合、この攻撃が起こる確率は極めて低いが、多数回の攻撃の中で一度でもこの攻撃が成功してしまうと鍵が取り出されてしまう点がFIA攻撃の脅威である。
特許文献2に記載された技術では、暗号演算後に復号演算を行って、演算結果を平文と比較して攻撃の有無を検知する。
特許文献3に記載された技術では、暗号演算の中間値を保持し、暗号演算後復号化を途中まで実行し、中間値と比較して攻撃の有無を検知する。
特許文献4に記載された技術では、暗号演算の中間値を保持し、暗号演算後、中間値から再度暗号演算し、結果を比較して攻撃の有無を検知する。
なお、説明は以下の順序で行う。
1.第1の実施形態
2.第2の実施形態
3.第3の実施形態
電源投入時にレジスタを所定の値にセットし、この出力が変化した場合、所定の処理を行う。
ハイレベルを出力するように入力を固定した論理回路の出力を、中間電圧を検出する回路に入力する構成を採る。そして、この出力で中間電圧が検出されたら、所定の処理を行う。
ここで、中間電圧とは、ハイレベルに相当する電圧、たとえば電源電圧と、ローレベルに相当する電圧、たとえば基準電位(たとえばグランド電位)との間の電圧をいう。
ハイレベルを出力するように入力を固定した論理回路の電源部を、抵抗を介して電源端子に接続する構成を採り、その結線部または出力部を、中間電圧を検出する中間電圧検出回路に入力する構成を採る。
そして、この出力で中間電圧が検出されたら、所定の処理を行う。
レジスタの出力を、中間電圧を検出する回路に入力する構成を採り、電源投入時にレジスタを所定の値にセットする。そして、この出力で中間電圧が検出されたら、所定の処理を行う。
レジスタ回路の電源部を抵抗を介して電源端子に接続する構成を採り、その結線部または出力部を、中間電圧を検出する回路に入力する構成を採り、電源投入時にレジスタを所定の値にセットする。そして、この出力で貫通電流による中間電圧が検出されたら、所定の処理を行う。
ダイオードの逆方向リークを考慮し、所定の時間間隔でフォトダイオードのカソードを正の電圧に充電する。
フォトダイオードで構成されるセンサ回路の出力電圧を基準電圧と比較し、低い場合は、攻撃があったものとして所定の処理を行う。
基準電圧は、事前評価において、レジスタとフォトダイオードで構成される光センサ回路にレーザ光を照射して、フォトダイオードで構成される光センサ回路が必ず先に検出する電圧を選択する。
フォトダイオードで構成されるセンサ回路の出力信号をプルダウン(Pull Down)し、この電圧がハイレベルの場合は、攻撃があったものとして所定の処理を行う。
複数のフォトダイオードで構成されるセンサ回路の出力を結線し、同時にプルダウンする。この出力電圧がハイレベルの場合は、攻撃があったものとして所定の処理を行う。
フラグビットには、不揮発性メモリ内の指定されたビットを用いる。
フラグビットには、インフューズを用いる。
FIA検出回路としては、前記のフォトダイオードを用いたセンサ回路を用いる。
図8は、本発明の第1の実施形態に係るFIA検出回路の構成例を示す図である。
図9(a),(b)、および図10は、FIA検出回路のセンサ回路と検出回路の配置例を示す図である。
このように、FIA検出回路100は、センサ回路110と検出回路120を分け、レーザビームの1ショットに両方が同時に含まれないように配置する。
その接続方法は、図9(a),(b)、および図10に示すような方法が採用可能である。
図9(a)の例では、1つの中間電圧検出回路120に1個のセンサ回路110を接続する。
図9(b)の例では、1つの中間電圧検出回路120に2個のセンサ回路110を接続する。
図10の例では、1つの中間電圧検出回路120に3個のセンサ回路110を接続する。
図示していないが、1つの中間電圧検出回路120に4個以上のセンサ回路110を接続する構成も採用することが可能である。
これにより、センサ回路110がレーザ照射により検出レベルに達しているとき、中間電圧検出回路120は誤動作せず、確実にレーザ照射を検出でき、攻撃を受けた場合の所定の処理が実行できる。
インバータ111は論理回路を形成する。また、基準電位VSSは、たとえばグランドGNDである。
PMOSトランジスタPT111およびNMOSトランジスタNT111のゲートは、基準電位であるグランドGNDに接続されている。
これにより、論理回路を形成するインバータ111は、ハイレベルを出力ノードから出力するように構成されている。
また、PMOSトランジスタPT112は、通常のPMOSトランジスタより、チャネル幅(W)が大きく設定されている。
DFF回路121のD入力は電源VCCに接続され、クロック端子がセンサ回路110のPMOSトランジスタPT112のドレイン側に接続されている。
そして、中間電圧検出回路120は、DFF回路121と、プルダウン(Pull Down)抵抗として用いている、たとえばL長の大きいNMOSトランジスタNT121が入力線に接続された構成を採っている。
このIC回路200の基本的な構成および機能は、FIA検出回路100を有する以外は、図7(a)のIC回路と同様である。したがって、その詳細は省略する。
これにより、中間電圧検出回路120の出力信号“SFIA”はローレベルとなる。
一方で、センサ回路110では、インバータ111はハイレベルの信号を出力し、これがゲートに入力されるPMOSトランジスタPT112はOFF状態で、出力はハイインピーダンス(High Impedance)状態である。
中間電圧検出回路120のプルダウンNMOSトランジスタNT121によってDFF回路121へのクロック入力信号“Sig2”はローレベルに保持されている。
この電圧レベルがPMOSトランジスタPT111の閾値をVthpとしたとき、(VCC−Vthp)以下に下がったとき、出力のPMOSトランジスタPT112はONし、クロック入力信号“Sig2”の電圧は上昇する。
そして、DFF回路121のクロック入力の閾値より上昇した場合には、DFF回路121の“D”入力、すなわち電源VCCレベルの信号がDFF回路121に取り込まれる。
その結果、出力信号“SFIA”はハイレベルに変化し、CPU210に対してFIA攻撃の検出を知らせる。
内部光電効果によって発生した自由電子が少なければ、センサ回路110出力のPMOSトランジスタPT112はONしないか、ONしてもそのON電流は小さい。
したがって、クロック入力信号“Sig2”はDFF回路121のクロック入力の閾値以上には上がらず、出力信号“SFIA”はローレベルのまま変化しない。
また、この中間電圧検出回路120は、隣接して別の検出回路につながるセンサ回路110が配置されることを想定している。
このため、ここでのレーザ光の照射は、この中間電圧検出回路120で認識されなくても、隣接して配置されているセンサ回路110につながる中間電圧検出回路120で、攻撃は認識される。
図14は、プルダウントランジスタの静特性を示す図である。
仮にセンサ回路1個の電流は小さくてDFF回路121のクロック入力の閾値を超えないレベルでも、1回の照射で複数個が同時に照射され、これが同じ検出回路に接続されている場合は次のようになる可能性がある。
すなわち、図14に示すように、その合計電流でクロック入力信号“Sig2”の電圧レベルは高くなり、DFF回路121をセットできるようになる可能性がある。
この場合、FIAの感度が向上したのと等価になる。
出力のPMOSトランジスタPT112のゲートは、図15(a)のセンサ回路110Aでは、追加したPMOSトランジスタPT113のドレインとPMOSトランジスタPT111のソースの接続点に接続されている。
図15(b)のセンサ回路110Bでは、出力のPMOSトランジスタPT112のゲートは、PMOSトランジスタPT111のドレインとNMOSトランジスタNT111のドレイン同士の接続点であるインバータ111の出力ノードに接続されている。
通常動作時は、電流は流れないため、各出力ノードは電源VCCレベルになり、信号“Sig1”がゲートに入力されるPMOSトランジスタPT112はOFFし、問題ない。
このセンサ回路110Aにレーザ光が照射された場合、内部光電効果によって発生した自由電子が流れ、信号“Sig1”の電圧レベルは降下する。そして、その電圧がオープンドレインの出力PMOSトランジスタPT112の閾値Vthpより低下した場合、出力PMOSトランジスタPT112はONする。
追加したPMOSトランジスタPT113のL長が十分大きい場合、図16に示すように、信号“Sig1”の電圧は図8の“Sig1”電圧より低くなり、出力のPMOSトランジスタPT112の電流は大きくなる。
この結果、中間電圧検出回路120のNMOSトランジスタNT121のドレイン電圧は図8の場合に比べて高くなり、検出感度は上がったことになる。
図19は、図18の動作タイミングを示す図である。
図18のFIA検出回路100Cは、センサ回路100Cが、論理回路としてインバータ111が、レジスタ(ラッチ)112に置き換えられている。
レジスタ112は、2つのCMOSインバータ111C−1と111C−2の入出力同士を交差結合して構成される。
インバータ111C−1は、電源VCCと基準電位VSSとの間にPMOSトランジスタPT111−1およびNMOSトランジスタNT111−1が直列に接続され、そのドレイン同士の接続点により出力ノードND111が形成されている。
インバータ111C−2は、電源VCCと基準電位VSSとの間にPMOSトランジスタPT111−2およびNMOSトランジスタNT111−2が直列に接続され、そのドレイン同士の接続点により出力ノードND112が形成されている。
インバータ111C−1の出力ノードND111がインバータ111C−2の入力であるPMOSトランジスタPT111−2およびNMOSトランジスタNT111−2のゲート、並びに、出力のPMOSトランジスタPT112のゲートに接続されている。
インバータ111C−2の出力ノードND112がインバータ111C−1の入力であるPMOSトランジスタPT111−1およびNMOSトランジスタNT111−1のゲートに接続されている。
これで、通常使用時は、オープンドレインの出力PMOSトランジスタPT112のゲートにはレジスタ112の出力信号“Sig1”から電源VCCレベルが供給されてOFF状態となる。これにより、中間電圧検出回路120側ではプルダウンのNMOSトランジスタNT121によりDFF回路121のクロック入力はローレベルに保持される。
その結果、出力ノードND111の信号“Sig1”の電圧は降下して中間電圧になる。
出力ノードND111の中間電圧はインバータ111C−2の入力に印加される。
インバータ111C−2では内部光電効果による自由電子の他にPMOSトランジスタPT111−2およびNMOSトランジスタNT111−2がONし、出力ノードND112に中間電圧を発生する。
そして、この中間電圧がインバータ111C−1の入力に印加され、インバータ111C−1においても自由電子の他にPMOSトランジスタPT111−1およびNMOSトランジスタNT111−1の両方がONする。
この状態では、照射前の保持データに関わらず両方の出力はほぼ同じ中間電位になる。
これにより、オープンドレインのPMOSトランジスタPT112の電流は大きくなり、中間電圧検出回路120のNMOSトランジスタNT121のドレイン・ソース間電圧Vdsが大きくなることにより、信号“Sig2”のレベルが高くなる。
そして、信号“Sig2”の電圧がDFF回路121のクロック入力の閾値より大きければ、出力信号“SFIA”はハイレベルになる。
図20のFIAエリア検出回路100Dは、例としてn個のセンサ回路110C−1,110C−2,・・110C−nを有する場合を示している。
したがって、1回のレーザ照射で、個々のセンサ回路に到達する光量は小さくても、DFF回路121のクロック入力の閾値を越えてDFF回路121の出力をハイレベルとすることが可能となり、感度は上がる。
出力PMOSトランジスタPT112のゲートは、図21(a)のセンサ回路110Dでは、追加したPMOSトランジスタPT113CのドレインとPMOSトランジスタPT111−1,PT111−2のソースに接続されている。
図21(b)のセンサ回路110Eでは、出力PMOSトランジスタPT112のゲートは、PMOSトランジスタPT111のドレインとNMOSトランジスタNT111のドレイン同士の接続点である出力ノードND111に接続されている。
通常使用時は、レジスタ112の格納値はCPU210の初期化時にハイレベルにセットするだけで、その後はレジスタ112の値は変化しないため、出力の信号“Sig1”はVCCレベルを出力する。その結果、オープンドレインのPMOSトランジスタPT112はOFF状態で問題ない。
このレジスタ112にレーザ光が照射されると、図18の動作説明の通り、インバータ111C−1,111C−2の両入力は中間電位となって両出力トランジスタで貫通電流が流れ、信号“Sig1”の電圧は降下する。
両方のインバータ111C−1,111C−2の入力が中間電位となって両方の出力に貫通電流が流れる分だけ、図15のインバータ111にPMOSトランジスタ113を付加した構成より電流は多くなり、信号“Sig1”の電圧降下は大きくなる。
その結果、オープンドレインのPMOSトランジスタPT112の電流は多くなり、図15の構成を用いた場合より信号“Sig2” の電圧は高くなってDFF回路121のクロック入力の閾値を超える可能性が高くなる。
同一箇所に弱い照射が複数回実行されても、個々の照射強度が弱ければ検出されることはない。
これを解決する方法を図23〜図28の回路図および動作タイミング図に関連付けて説明する。
まず、図23に関連付けてその原理を説明する。
図24は、図23のFIA検出回路の強いレーザ光照射時の動作タイミングを示す図である。
図25は、図23のFIA検出回路の弱いレーザ光の複数回照射時の動作タイミングを示す図である。
そして、FIA検出回路100Fは、上述した各FIA検出回路およびFIAエリア検出回路と、中間電圧検出回路120Eの構成が異なる。
このセンサ回路110Dは、レジスタ112の格納値がどちらでもよく、電源投入時に格納値をセットする必要が無い。また、ノイズ等によりレジスタ112の 格納値の反転が起こっても、検出結果に影響しない。
DFF回路は取り除かれているが、これは、キャパシタC121がレーザ光の照射情報を保持しているためである。
そして、電源投入時のCPU210の初期化時および所定の間隔で 制御信号“PC”をハイレベルにしてNMOSトランジスタNT122をONし、信号線“Sig”をローレベルに設定する。このとき、出力信号“SFIA”はローレベルとなっている。
ここで、たとえば図24に示すように、強度の強いレーザ光が照射された場合、レジスタ112での貫通電流による電圧降下でセンサ回路の出力のPMOSトランジスタPT112はONし、キャパシタC121を充電する。
そして、キャパシタC121の電位がインバータ122のハイレベル側の回路閾値“VIH”を超えたとき、検出回路120Eの出力端子“TFIA”はハイレベルに遷移し、CPU210に対して所定の処理の実行を要求する。
そして、所定の処理が終了するまで、キャパシタC121の電圧は変化しないため、出力信号“SFIA”からハイレベルの信号を出力し続ける。
しかし、1回の照射でキャパシタの電位がインバータ122の回路閾値の“VIH”を超えない場合、検出回路120Eの出力端子“TFIA”はローレベルのままである。
そして、照射が終わった後もキャパシタC121の電荷は保持され、再び同じセンサ回路110Dに照射された場合、前回の照射直後のキャパシタC121の電位から充電は開始される。
そして、合計の充電電荷によるキャパシタC121の電圧がインバータ122のハイレベル側の回路閾値“VIH”を超えたとき、検出回路120Eの出力端子“TFIA”はハイレベルとなり、CPU210に対して所定の処理の実行を要求する。
このように、弱い照射でも、複数回の照射で出力信号“SFIA”をセットすることが可能となる。
この構成を採れば、個々のセンサ回路110E−1〜110E−nで受けるレーザ光の強度は弱くても、各センサ回路110E−1〜110E−nの出力電流の合計で、出力信号“SFIA”をセットできる。
その他の構成は図23の回路と同様である。
次に、第2の実施形態としてフォトダイオードをセンサ回路に適用したFIA検出回路について説明する。
ドレインが電源線、ソースが出力信号“Sig1”の出力のノードND113に接続されるNMOSトランジスタNT112のゲートにカソード信号が入力されている。
そして、PN接合部115では、電荷が存在しない空乏層116と呼ばれる領域が発生し、この領域がキャパシタC111として電荷を蓄積する。
レーザ光の照射による内部光電効果で発生する自由電子もこの領域に蓄積されて充電電荷を変化させ、NMOSトランジスタNT112を流れる電流値を変化させる。
また、出力信号“Sig1”は、ゲートが電源VCCに接続され、プルダウン抵抗として用いているL長の大きいNMOSトランジスタNT114のドレインに接続されている。そして、これらでセンサ回路110Jが構成されている。
DFF回路125は、CPU210の初期化時に制御信号“/RST”がローレベルとなって初期化され、出力信号“SFIA”はローレベルに設定される。
そして、コンパレータ回路124の出力信号“Sig2”がハイレベルに変化したとき、DFF回路125の出力信号“SFIA”はハイレベルに変化して、レーザ光の照射による攻撃を知らせる。
図31は、図29のFIA検出回路の弱いレーザ光の複数回照射時の動作タイミングを示す図である。
そして、このカソード電圧により、出力電圧は(VCC−2Vth)となってコンパレータ回路124の一方に入力される。
コンパレータ回路124の他方の入力が基準電圧“Vref”の値の設定において、事前にレーザ光照射の評価を行って、IC回路200内で誤動作が発生する時にこのセンサ回路も同時に出力信号“SFIA”が反転する電圧を求める。
基準電圧“Vref”の値は、それより高い電圧に設定しておく。これにより、IC回路内の回路が誤動作を起こす前に所定の処理を実行できる。
一方、光が照射されていない場合、フォトダイオード113の逆方向リークによりカソード電圧“Vca”は降下する。ただし、定期的なプリチャージにより、センサ回路110Jの出力信号“Sig1”は基準電圧“Vref”を下回らず、DFF回路125の出力信号“SFIA”はローレベルのままである。
フォトダイオード113に光が照射された場合、内部光電効果により発生した自由電子によりカソード電圧(ノード)“Vca”の電圧は降下する。これがゲートに入力されるNMOSトランジスタNT112はOFFして動作電流は減少していき、プルダウン抵抗であるNMOSトランジスタNT114によって出力信号“Sig1”の電圧は降下する。
そして、基準電圧“Vref”より下がった場合、コンパレータ回路124の出力信号“Sig2”はハイレベルとなり、出力信号“SFIA”はハイレベルに反転する。
FIA攻撃は、レーザのビーム径程度の距離ずつスキャンし、エラーの発生した箇所をさらに少ない距離ずつスキャンして解析に有用なエラーデータを収集する。
ビーム径から外れているが、回折・内部反射等によりレーザ光が到達する領域では、弱いレーザ光を複数回照射される。
この場合、1回目の照射では弱いながらも内部光電効果による自由電子によりカソード電圧Vcaは降下し、これに伴って出力信号“Sig1”の電圧レベルも降下する。
しかし、この電圧が、比較基準電圧“Vref”より高い場合、コンパレータ回路124の出力信号“Sig2”はローレベルのままで、出力信号“SFIA”もローレベルのままである。
そして、1回の照射が終わった後、カソードに発生した自由電子はそのままキャパシタC111に保持される。
したがって、カソード電圧Vca,信号Sig1の電圧も1回目の照射が終わった直後の電圧を保持する。
そして、2回目の照射で出力信号“Sig1”の電圧レベルが基準電圧“Vref”より降下した場合、信号“Sig1”はハイレベルとなってDFF回路125の出力信号“SFIA”は ハイレベルになる。
複数回の照射で信号“SFIA”がハイレベルに反転するような領域のレーザ光強度は弱く、同じ強度のレーザ光が本来の論理回路やレジスタ回路に照射されても、論理の反転やレジスタの格納値の反転が起こることはない。
図34は、図32のFIA検出回路の弱いレーザ光の複数回照射時の動作タイミングを示す図である。
このとき、オープンドレインの出力PMOSトランジスタPT115はOFF状態で、出力信号“Sig1”は検出回路120Kのプルダウン抵抗のNMOSトランジスタNT121Kによってグランドレベルに保持される。このとき、DFF回路125Kのクロック入力“Sig2”もグランドレベルとなる。
そして、初段のインバータ122Kの閾値を超えると、DFF回路125Kのクロック入力がハイレベルに立上り、DFF回路125Kの出力信号“SFIA”はハイレベルとして出力される。
1回目のレーザ光の照射が終了した後、カソードに蓄積された自由電子はそのまま保持され、2回目の弱いレーザ光の照射時には、蓄積された電荷に、新たに発生した自由電子が加算され、それに伴ってカソード電圧は降下を再開する。
そして、カソード電圧が(VCC−Vthp)より下がると 出力のPMOSトランジスタPT115はONし、出力信号“Sig1”の電圧は徐々に上昇していく。
そして、インバータ122Kの閾値を超えた段階でインバータ122Kの出力は反転し、DFF回路125Kのクロック入力信号“Sig2”は立上り、DFF回路125Kの出力信号“SFIA”はハイレベルとして出力される。
このようにして、弱いレーザ光の光照射でも、この照射によって発生した自由電子はカソードに蓄積されていき、複数回のレーザ光の照射よってその電圧値が(VCC−Vthp)より下がれば出力のPMOSトランジスタPT115はONする。さらに自由電子が蓄積されて、出力信号“Sig1”が 初段のインバータ122Kの閾値を超えた段階でDFF回路125Kの出力信号“SFIA”はハイレベルで出力される。
図36は、プルダウン抵抗の静特性とインバータの閾値との関係を示す図である。
第1の実施形態のように、センサにインバータやレジスタを用いる場合、レーザ光照射が停止するとインバータ の出力は元に戻り、レジスタの出力はほぼ半分の確率で元に戻ってしまうため、最終段にDFF回路を配置して検出結果を保持する構成を採っている。 しかし、フォトダイオード113を用いる場合、内部光電効果によって発生した電荷はフォトダイオードで構成されるキャパシタC111に保持されているため、レーザ光照射が停止した後も検出結果が出力される構成を採る。
したがって、ここではDFF回路を配置しない構成を用いて説明する。そして、リーク補償のためのフォトダイオードのプリチャージ制御を、NAND NAD1,NAD2で検出回路120Lの出力信号“SFIA”との論理を採って行っている。
レーザ光照射を検出して出力信号“SFIA”がハイレベルになっているときはプリチャージを行わず、カソードの電荷が保持される制御を加えている。
そして、このカソード電圧が(VCC−Vthp)以下になったとき、出力PMOSトランジスタPT115はONして電流を流し、この電流よって検出回路120LのNMOSトランジスタNT121Kのドレイン電圧は上昇する。
そして、簡単のために、3個のセンサ回路にほぼ同じ強度のレーザ光が照射され、この照射強度での1個のセンサ回路の出力電流を“I0”とする。
このとき、センサ回路110K−1〜110K−3からは“3I0”の電流が流れ、出力信号“Sig”は、センサからの出力電流に比例した電圧値となる。
これが検出回路120Lのインバータ122Kのハイレベル側の閾値“VIH”を超えるとハイレベルと判定されて、検出回路120Lの出力信号“SFIA”はレーザ光照射を示すハイレベルとして出力される。
このように、同時に複数個のセンサ回路にレーザ光が照射されていて、それらのセンサ回路110K−1〜110K−nの出力が1個の検出回路に入力されている場合、個々のセンサ回路の受けるレーザの照射強度は弱くても、レーザ照射を認識することができる。
図38は、図37の動作タイミングを示す図である。
ここでは、4個のセンサ回路110K−0〜110K−3には各々1個の検出回路120K−0〜120K−3が配置され、続く3個のセンサ回路110K−4〜110K−6はその出力が結線されて1つの検出回路120M−456に接続されている場合を例に説明する。
この例は、検出回路120Kに入力されるセンサ回路110Kの出力が1個の場合と複数個の場合の比較を行うためのものである。
そして、レーザは、このセンサ回路の並びに沿って図の上からスキャンされ、太い破線BL1はレーザのビーム径、細い破線BL2は、回折・反射等により、レーザ光が到達する領域とする。すなわち、センサ回路110Kはレーザの照射のビーム径から外れ、照射される強度は弱いものとする。この時のタイミングを図37に示している。
フォトダイオード113のカソードでは、shot_3 の照射により電圧降下を起こすが、(VCC−Vthp)以下に至らず、出力のPMOSトランジスタPT115はOFF状態を保っている。
Shot_3 の照射が終わった後、フォトダイオード113のカソード電圧は保持され、続く Shot_4 の照射でカソード電圧は Shot_3 の終了電圧から降下を開始する。
そして、(VCC−Vthp)より下がったときにPMOSトランジスタPT115はONし、出力電流によって信号“Sig3”のレベルは上昇する。
しかし、Shot_4 照射の段階でインバータ122Kの閾値を超えないため、出力信号“SFIA3”はローレベルのままである。
まず、Shot_4 でセンサ回路110K−4が照射を受け、カソード電圧“ca4”が降下するが、(VCC−Vthp)以下まで下がらないため、出力のPMOSトランジスタ115はOFF状態である。
センサ回路110K−4ではフォトダイオード113のカソード電圧“ca4”は(VCC−Vthp)以下に降下して出力のPMOSトランジスタPT115はONして電流“I0”が流れ、出力信号“Sig456”の電圧は上昇する。
しかし、インバータ122Kの閾値を超えないため、検出回路120K−456の出力信号“SFIA456”はローレベルのままである。センサ回路110K−5では、カソード電圧“ca5”が降下するが、(VCC−Vhtp)以下まで下がらないため、出力のPMOSトランジスタPT115はOFF状態である。
そして、Shot_6 でセンサ回路110K−5とセンサ回路110K−6が照射を受けるが、このとき、センサ回路110K−4は照射を受けないがこれまでの照射で出力のPMOSトランジスタPT115から電流“I0”が流れている。
そして、センサ回路110K−5では、カソード電圧“ca5”は(VCC−Vthp)以下に降下して出力のPMOSトランジスタPT115はONして電流“I0”が流れる。
そして、センサ回路110K−4の電流と併せて“2I0”の電流が流れるが、出力信号“Sig456”の電圧はインバータ122Kの閾値を超えないため、検出回路120−456の出力信号“SFIA456”はローレベルのままである。
同時に、センサ回路110K−6では、カソード電圧“ca6”が降下するが、(VCC−Vhtp)以下まで下がらないため、出力のPMOSトランジスタPT115はOFF状態である。
そして、センサ回路110K−6では、カソード電圧“ca6”は(VCC−Vthp)以下に降下して出力のPMOSトランジスタPT115はONして電流“I0”が流れ、センサ回路110K−4,110K−5の電流と併せて“3I0”の電流が流れる。
そして、出力信号“Sig456”の電圧はインバータ122Kの閾値を超え、検出回路120K−456の出力信号“SFIA456”はハイレベルに反転する。
センサ回路110K−7では、カソード電圧“ca7”が降下するが、(VCC−Vhtp)以下まで下がらないため、出力のPMOSトランジスタPT115はOFF状態である。
すなわち、複数個のセンサ回路が1個の検出回路に入力される構成を採り、同時に複数のセンサ回路が照射を受けたり、個々のセンサ回路が複数回の照射を受ける場合、レーザ照射を検知して、異常信号を出力することが可能となる。
次に、本発明の第3の実施形態として、FIAが検知されると、ICを以後使用不可にする方法について説明する。
FIA攻撃が可能となるのは、図5に示すように、モールドを除去して半導体表面を露出させている状態の時である。これは、明らかに攻撃を目的とした不正な使い方であるため、レーザ照射による誤動作を検知したら、そのICを以後使用不可の状態にしても問題ない。従来は、たとえばレジスタ回路をセンサ回路とし、この格納値の変化で攻撃を検知していた。
ICで発生される電力は距離の2乗に反比例し、変換電圧が所定の電圧以上である間はIC内の回路に供給され続けている。
ICカードが磁力線発生源に近づけられ、変換電圧が所定の電圧値になるとICは動作を開始し、ICカードが磁力線発生源から遠ざけられて、変換電圧が所定の電圧値以下になるまで電力は回路に供給され続けている。
供給電圧が所定の電圧より若干高い程度の状態で、ノイズ等によりレーザ光のセンサとして用いているレジスタの保持内容が反転するよう場合、これは通常の使用状態であるため、これでICを以後使用不可の状態にするのは問題である。
そして、攻撃の情報が格納されるのは、キャパシタC111を形成しているフォトダイオード113のカソード部分であるため、ノイズに対しては強い。
検出回路は、たとえば図35の構成の場合、ノイズフィルタ用途のキャパシタC121Kにより、検出回路120Lへのノイズはブロックされる。
他の回路はプルダウン抵抗としてのNMOSトランジスタNT121Kと2個のインバータ122K、123K、2個のNAND回路NAD1,NAD2のみであり、検出回路120Lもノイズに対して強い構成となっている。
したがって、ノイズによってFIA検知信号“SFIA”がハイレベルになる可能性はほとんどない。したがって、検知出力信号“SFIA”がハイレベルになった場合、そのICを以後使用不可としても問題ない。
そして、CPU210(図11)は、電源投入時の初期化時にこのFIAフラグビットを読出し、その値がリセット状態であれば通常の初期化動作を行い、セット状態であれば直ちに、または、初期化動作終了後にリセットする仕様とする。
そして、CPU210の初期化動作後、FIAを検知して検知信号“SFIA”がハイレベルになると、FIAフラグビットをセットする仕様とする。これにより、以後、電源を投入しても、FIAフラグビットはセットされているため、通常動作を開始する前にリセットがかかり、事実上使用不可の状態となる。
不揮発性メモリを用いないでフラグセットを行う方法としては、たとえば特開2003−59283号公報に記載されているようなインフューズを用いる方法がある。
図40は、図39の動作タイミングを示す図である。
フューズF301が切断あるいは高抵抗化されていない場合はノード“VF”はハイレベル、切断されている場合はローレベルを出力する。
複数のFIA検出回路からの出力信号“SFIAk”は、NOR回路301でNORされた後、信号“CPU_Init”とNOR回路302でNORされて出力信号“SFIA”となる。
また、この信号“SFIA”は、フューズF301の溶断に必要な時間を発生する遅延回路を通った信号“SFIA_dly”およびフューズF301の出力信号“SVF”と論理を採って、出力信号“/SFIA_Fail”を生成する。
CPU210の初期化終了後、レーザ照射を検知して、入力信号“SFIAk”のうちの1つでもハイレベルに反転すると、NMOSトランジスタNT301の入力信号“SFIA”はハイレベルとなってNMOSトランジスタNT301はONし、フューズ端子であるノード“VF”はグランドレベルとなる。
これにより、フューズF301の両端にVCCが印加され、遅延回路303の遅延時間より短い時間でフューズF301は溶断され、あるいは高抵抗化される。
そして、遅延回路303の遅延時間経過後、出力信号“/SFIA_Fail”はローレベルとなってCPU210に報知される。
フューズF301の溶断後あるいは高抵抗化後は、電源投入後は、ノード“VF”は常にローレベルを示すため、出力信号“/SFIA_Fail”はローレベルとなってリセット要求し、CPU210は通常動作を行えなくなる。
すなわち、電源が不安定状態でも、ノイズ等によって誤ってFIA攻撃と認識する恐れは無い。
したがって、この構成にも、第3の実施形態を適用することが可能となる。
暗号演算回路に関しては、回路規模の増大や演算時間の増大をもたらさない。
センサ回路の感度は高いため、CPU回路や暗号処理回路の論理回路やレジスタ回路が誤動作を起こす前に攻撃を検知して所定の処理を行うことができる。
ICの自己破壊動作により、攻撃に多数のICが必要となり、攻撃の難易度が上がる。
Claims (13)
- 光の照射を検知可能で、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力する少なくとも1つのセンサ回路と、
上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、
上記センサ回路は、
出力ノードからハイレベルの信号を出力するように入力が固定され、光の照射によって上記出力ノードのレベルが変化する論理回路と、
上記論理回路の出力ノードのレベル変化に応じた信号を出力するトランジスタと、を含み、
上記検出回路は、
上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を出力する
誤動作発生攻撃検出回路。 - 上記論理回路は、
電源部が抵抗を介して電源に接続され、当該結線部または上記出力ノードが上記トランジスタの制御端子に接続されている
請求項1記載の誤動作攻撃検出回路。
誤動作発生攻撃検出回路。 - 光の照射を検知可能で、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力する少なくとも1つのセンサ回路と、
上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、
上記センサ回路は、
あらかじめハイレベルの信号がセットされ、光の照射によって上記出力ノードのレベルが変化するレジスタと、
上記レジスタの出力ノードのレベル変化に応じた信号を出力するトランジスタと、を含み、
上記検出回路は、
上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を出力する
誤動作発生攻撃検出回路。 - 上記レジスタは、
電源部が抵抗を介して電源に接続され、当該結線部または上記出力ノードが上記トランジスタの制御端子に接続されている
請求項3記載の誤動作攻撃検出回路。 - 光の照射を検知可能で、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力する少なくとも1つのセンサ回路と、
上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、
上記センサ回路は、
光電変換素子と、
上記光電変換素子の蓄積電荷に応じた信号を出力する出力用トランジスタと、
上記光電変換素子の電荷蓄積のノードをプリチャージするプリチャージ用トランジスタと、を少なくとも含む光センサ部と、
上記出力用トランジスタの出力信号に応じた信号を出力するトランジスタと、を含み、
上記検出回路は、
上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を出力する
誤動作発生攻撃検出回路。 - 上記検出回路は、
上記センサ回路の出力信号電圧と基準電圧とを比較し、当該出力信号電圧が基準電圧により低い場合に上記検出信号を出力する
請求項5記載の誤動作攻撃検出回路。 - 上記検出回路は、
上記センサ回路の出力信号をプルダウンし、当該信号電圧がハイレベルの場合に上記検出信号を出力する
請求項5記載の誤動作攻撃検出回路。 - 複数のセンサ回路を有し、
上記複数のセンサ回路の出力が上記検出回路の入力に共通に接続されている
請求項1から7のいずれか一に記載の誤動作攻撃検出回路。 - 上記検出回路の検出信号を受けて所定の処理を行う制御系を有し、
上記制御系は、
初期化時にフラグがセットされているか否かをチェックし、フラグがセットされていない場合には通常動作を行い、フラグがセットされている場合にはシステムリセットを実行する機能を有し、
上記検出回路による検出信号を受けるとフラグをセットした後に所定の処理を行う
請求項1から7のいずれか一に記載の誤動作攻撃検出回路。 - 光の照射を検知可能で、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力する複数のセンサ回路と、
上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、
上記複数のセンサ回路の出力が上記検出回路の入力に共通に接続され、
上記検出回路は、
上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を出力する
誤動作発生攻撃検出回路。 - 光の照射を検知可能で、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力する少なくとも1つのセンサ回路と、
上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、
上記検出回路の検出信号を受けて所定の処理を行う制御系と、を有し、
上記検出回路は、
上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を出力し、
上記制御系は、
初期化時にフラグがセットされているか否かをチェックし、フラグがセットされていない場合には通常動作を行い、フラグがセットされている場合にはシステムリセットを実行する機能を有し、
上記検出回路による検出信号を受けるとフラグをセットした後に所定の処理を行う
誤動作攻撃検出回路。 - 少なくとも制御系と、
誤動作発生攻撃を検出する誤動作発生攻撃検出回路と、が集積され、
上記誤動作発生攻撃検出回路は、
光の照射を検知可能な少なくとも1つのセンサ回路と、
上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、
上記センサ回路は、
出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力し、
上記検出回路は、
上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を上記制御系に出力し、
上記制御系は、
初期化時にフラグがセットされているか否かをチェックし、フラグがセットされていない場合には通常動作を行い、フラグがセットされている場合にはシステムリセットを実行する機能を有し、
上記検出回路による検出信号を受けるとフラグをセットした後に所定の処理を行う
集積回路。 - 少なくとも制御系と、
誤動作発生攻撃を検出する誤動作発生攻撃検出回路と、が集積され、
上記誤動作発生攻撃検出回路は、
光の照射を検知可能で、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力する少なくとも1つのセンサ回路と、
上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、
上記センサ回路は、
出力ノードからハイレベルの信号を出力するように入力が固定され、光の照射によって上記出力ノードのレベルが変化する論理回路と、
上記論理回路の出力ノードのレベル変化に応じた信号を出力するトランジスタと、を含み、
上記検出回路は、
上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を上記制御系に出力する
集積回路。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009132544A JP5387144B2 (ja) | 2009-06-01 | 2009-06-01 | 誤動作発生攻撃検出回路および集積回路 |
EP10004800A EP2259487B1 (en) | 2009-06-01 | 2010-05-06 | Circuit for detecting malfunction generation attack and integrated circuit using the same |
CN2010101889908A CN101924629B (zh) | 2009-06-01 | 2010-05-25 | 用于检测误动作发生攻击的电路以及使用其的集成电路 |
US12/786,612 US8350574B2 (en) | 2009-06-01 | 2010-05-25 | Circuit for detecting malfunction generation attack and integrated circuit using the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009132544A JP5387144B2 (ja) | 2009-06-01 | 2009-06-01 | 誤動作発生攻撃検出回路および集積回路 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010279003A JP2010279003A (ja) | 2010-12-09 |
JP5387144B2 true JP5387144B2 (ja) | 2014-01-15 |
Family
ID=42671941
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009132544A Expired - Fee Related JP5387144B2 (ja) | 2009-06-01 | 2009-06-01 | 誤動作発生攻撃検出回路および集積回路 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8350574B2 (ja) |
EP (1) | EP2259487B1 (ja) |
JP (1) | JP5387144B2 (ja) |
CN (1) | CN101924629B (ja) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8255702B1 (en) * | 2009-12-03 | 2012-08-28 | Altera Corporation | Programmable logic device with improved security |
JP5519308B2 (ja) * | 2010-02-05 | 2014-06-11 | ルネサスエレクトロニクス株式会社 | 半導体集積回路及びデータ処理システム |
JP5776927B2 (ja) * | 2011-03-28 | 2015-09-09 | ソニー株式会社 | 情報処理装置及び方法、並びにプログラム |
JP5857726B2 (ja) * | 2011-12-20 | 2016-02-10 | 富士通株式会社 | 温度センサ、暗号化装置、暗号化方法、及び個体別情報生成装置 |
US9081929B2 (en) * | 2012-01-06 | 2015-07-14 | New York University | Systems, processes and computer-accessible medium for providing logic encryption utilizing fault analysis |
US9559066B2 (en) * | 2014-06-12 | 2017-01-31 | Broadcom Corporation | Systems and methods for detecting and preventing optical attacks |
US9531384B1 (en) * | 2014-12-01 | 2016-12-27 | University Of South Florida | Adiabatic dynamic differential logic for differential power analysis resistant secure integrated circuits |
WO2016115280A1 (en) | 2015-01-14 | 2016-07-21 | Virta Laboratories, Inc. | Anomaly and malware detection using side channel analysis |
KR102341264B1 (ko) | 2015-02-02 | 2021-12-20 | 삼성전자주식회사 | 래치를 이용한 레이저 검출기 및 이를 포함하는 반도체 장치 |
US10255462B2 (en) * | 2016-06-17 | 2019-04-09 | Arm Limited | Apparatus and method for obfuscating power consumption of a processor |
CN114968651A (zh) * | 2016-06-24 | 2022-08-30 | 国民技术股份有限公司 | 具有攻击防护结构的系统 |
CN108008235B (zh) * | 2017-11-17 | 2021-02-26 | 珠海格力电器股份有限公司 | 直流母线短路检测方法、装置及检测电路 |
US11082202B2 (en) * | 2018-06-01 | 2021-08-03 | Arm Limited | Fault injection attack detection in integrated circuits |
US11145608B2 (en) * | 2019-03-20 | 2021-10-12 | Qualcomm Incorporated | Detection of laser-based security attacks |
CN112098043B (zh) * | 2019-06-17 | 2022-04-15 | 光宝科技新加坡私人有限公司 | 用于检测激光发射器的故障检测电路 |
CZ308895B6 (cs) * | 2020-03-19 | 2021-08-11 | České vysoké učení technické v Praze | Zapojení standardní buňky CMOS se sníženou datovou závislostí statické spotřeby |
CN113711222B (zh) * | 2020-08-07 | 2022-06-10 | 深圳市汇顶科技股份有限公司 | 用于芯片的激光注入攻击检测电路和安全芯片 |
CN114815952B (zh) * | 2021-01-18 | 2024-03-01 | 瑞昱半导体股份有限公司 | 能应用于通过动态电压改变来进行系统保护的集成电路 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10154976A (ja) * | 1996-11-22 | 1998-06-09 | Toshiba Corp | タンパーフリー装置 |
US6108419A (en) * | 1998-01-27 | 2000-08-22 | Motorola, Inc. | Differential fault analysis hardening apparatus and evaluation method |
GB2365153A (en) * | 2000-01-28 | 2002-02-13 | Simon William Moore | Microprocessor resistant to power analysis with an alarm state |
JP2002261751A (ja) | 2001-03-02 | 2002-09-13 | Hitachi Ltd | 暗号処理方法 |
JP3843777B2 (ja) | 2001-08-10 | 2006-11-08 | ソニー株式会社 | 半導体記憶装置 |
FR2829331B1 (fr) | 2001-09-04 | 2004-09-10 | St Microelectronics Sa | Procede de securisation d'une quantite secrete |
FR2838262B1 (fr) | 2002-04-08 | 2004-07-30 | Oberthur Card Syst Sa | Procede de securisation d'une electronique a acces crypte |
US6970386B2 (en) * | 2003-03-03 | 2005-11-29 | Emosyn America, Inc. | Method and apparatus for detecting exposure of a semiconductor circuit to ultra-violet light |
DE10328860B4 (de) * | 2003-06-26 | 2008-08-07 | Infineon Technologies Ag | Vorrichtung und Verfahren zum Verschlüsseln von Daten |
US20080235796A1 (en) * | 2005-08-19 | 2008-09-25 | Nxp B.V. | Circuit Arrangement with Non-Volatile Memory Module and Method for Registering Attacks on Said Non-Volatile Memory Switch |
JP2008021524A (ja) * | 2006-07-12 | 2008-01-31 | Tokai Rika Co Ltd | 非接触スイッチ |
JP2008289086A (ja) * | 2007-05-21 | 2008-11-27 | Panasonic Corp | 半導体装置 |
JP2008293144A (ja) * | 2007-05-23 | 2008-12-04 | Panasonic Corp | 半導体集積回路及びicカード |
US8410583B2 (en) * | 2007-09-04 | 2013-04-02 | Nds Limited | Security chip |
JP5261088B2 (ja) * | 2008-09-09 | 2013-08-14 | 富士通株式会社 | 不正操作検知回路、不正操作検知回路を備えた装置、及び不正操作検知方法 |
-
2009
- 2009-06-01 JP JP2009132544A patent/JP5387144B2/ja not_active Expired - Fee Related
-
2010
- 2010-05-06 EP EP10004800A patent/EP2259487B1/en not_active Not-in-force
- 2010-05-25 US US12/786,612 patent/US8350574B2/en not_active Expired - Fee Related
- 2010-05-25 CN CN2010101889908A patent/CN101924629B/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
EP2259487A1 (en) | 2010-12-08 |
CN101924629B (zh) | 2013-07-24 |
CN101924629A (zh) | 2010-12-22 |
US8350574B2 (en) | 2013-01-08 |
US20100301873A1 (en) | 2010-12-02 |
EP2259487B1 (en) | 2012-08-22 |
JP2010279003A (ja) | 2010-12-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5387144B2 (ja) | 誤動作発生攻撃検出回路および集積回路 | |
US8089285B2 (en) | Implementing tamper resistant integrated circuit chips | |
US10607033B2 (en) | Physical uncloneable function circuit | |
Helfmeier et al. | Breaking and entering through the silicon | |
US7969763B2 (en) | Detector circuit for detecting an external manipulation of an electrical circuit, circuit arrangement comprising a plurality of detector circuits, memory device and method for operating a detector circuit | |
Skorobogatov | Physical attacks and tamper resistance | |
Shahrjerdi et al. | Shielding and securing integrated circuits with sensors | |
AU783858B2 (en) | Anti tamper encapsulation for an integrated circuit | |
US20230352426A1 (en) | Detection of laser-based security attacks | |
US9306573B2 (en) | Apparatus and method for detecting and preventing laser interrogation of an FPGA integrated circuit | |
Jain et al. | Special session: Novel attacks on logic-locking | |
Matsuda et al. | On-chip substrate-bounce monitoring for laser-fault countermeasure | |
JP2008198700A (ja) | 半導体集積回路装置 | |
US7119703B2 (en) | Die anti-tampering sensor | |
Skorobogatov | Fault attacks on secure chips | |
Yamashita et al. | Redshift: Manipulating signal propagation delay via continuous-wave lasers | |
JP2007310640A (ja) | 半導体集積回路およびそれを用いたicカード | |
JP4987584B2 (ja) | 半導体集積回路およびそれを用いたicカード | |
He et al. | Comprehensive laser sensitivity profiling and data register bit-flips for cryptographic fault attacks in 65 nm fpga | |
Roy et al. | Polymorphic Sensor to Detect Laser Logic State Imaging Attack | |
Petryk et al. | Optical Fault Injection Attacks against Radiation-Hard Registers | |
Faour et al. | Implications of Physical Fault Injections on Single Chip Motes | |
EP2541599A1 (en) | Security semiconductor product | |
Zamiri Azar et al. | Multilayer Approach to Logic Locking | |
Weiner et al. | Defeating microprobing attacks using a resource efficient detection circuit |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120223 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130625 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130819 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130910 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130923 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5387144 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |