© 2009. Tous droits réservés. Toute reproduction totale ou partielle sur quelque support que ce...

© 2009. Tous droits réservés. Toute reproduction totale ou partielle sur quelque support que ce soit ou utilisation du contenu de ce document est interdite sans l’autorisation écrite préalable

All rights reserved. Any reproduction in whole or in part on any medium or use of the information contained herein is prohibited without the prior written consent

Attaques par fautes sur plates-formes reconfigurables

Gaëtan CANIVETCEA-LETI/CESTI

Laboratoire TIMA



Plan de la présentation

• Introduction• Les circuits sécurisés• Les différents types d’attaques• Les conditions expérimentales• Les résultats d’attaques laser sur la configuration• Conclusion



Introduction

• Les circuits sécurisés sont omniprésents • ASICs: limités aux forts volumes de production• Circuits programmables sont une des solutions

– Coût

– Flexibilité

• MAIS ils sont plus sensibles aux perturbations à cause de leur mémoire de configuration

• Nécessaire de caractériser les effets des attaques



Les circuits sécurisés

• Beaucoup d’applications utilisent ce type de circuits:– Identification, contrôle d’accès…

– Banque, paiement électronique…

– Téléphones portables (SIM)

– Vidéos à la demande

– …

• Circuits contiennent des informations confidentielles (e.g. User ID, Clef secrète cryptographique….)

• But du pirate: Découvrir le secret pour cloner le circuit ou utiliser des privilèges non autorisés



Les différents types d’attaques

• Invasives:– Sondage– Ingénierie inverse

• Non-invasives:– Temps d’exécution– Consommation– Rayonnement EM– Perturbations environnementales T° et Glitches

• Semi-invasives:– Ouverture du boîtier + induction optique



Le circuit étudié

• FPGA Virtex-II (XC2V1000)0,15 µm CMOS 8-layer metal process896-pin flip-chip fine-pitch package

• Dimensions:– Largeur = 10,6 mm

– Longueur = 9,7 mm

– Epaisseur = 790 µm



Le laser et la méthodologie d’attaque (1/2)

• Caractéristiques du laser– Longueur d’onde proche de 900 nm

– Puissance quelques Watts

– Tailles de spot 100 µm, 40 µm, 20 µm et 8 µm

– Attaque en face arrière

• Comment analyser les effets des attaques???– Relecture de la configuration

– Utilisation du bus JTAG



Le laser et la méthodologie d’attaque (2/2)

• Etude d’une zone grâce une table XYZ

• Chaque expérience est divisée en 6 phases– Mise sous tension du composant

– Configuration du composant

– Injection de la faute

– Relecture de la configuration

– Comparaison de relecture avec une référence

– Mise hors tension du composant



L’outil d’analyse: Sefea-ProD

• Utilisation de Classes JAVA– Fournies par Xilinx– JBits 3.0 SDK

• Etude des différentes tuiles (CLB, BRAM, IOS...)• Comparaison d’une relecture fautée avec une référence

– Rapports détaillés des différences– Localisation des erreurs– Analyse détaillée des modifications dans la logique et les

interconnexions– Indentification des effets des modifications sur les connexions



Attaque laser: Circuit non-amincis

• Circuit non-amincis @ 790 µm ≈ 900 nm

– P ≈ qq Watts = 100 µm, 40 µm et 8 µm

Pas de modifications Amincissement du circuit nécessaire



Amincissement du substrat du circuit

• Le substrat est amincis par un procédé mécanique

• Epaisseur Résiduelle de 30 µm ± 1 µm



Répartition des fautes dans les tuiles CLBs (1/2)

• 3 Catégories d’éléments:• Logique (LUTs, Mémoires, Multiplexeurs)

• Interconnexions• Inconnues (Inaccessibles par JBits)



Répartition des fautes dans les tuiles CLBs (2/2)

• Nombre moyen de bits modifiés par tir laser:• 8 µm 4,8 bits• 40 µm 9,3 bits

• Eléments les plus sensibles:

0%10%20%30%40%50%60%70%80%90%100%

8 40Laser spot size (µm)

Perc

enta

ge

UnknownIntercoLogic



Multiplicité des fautes dans les CLBs

Nombre de bits modifiés dans la logique après un tir laser



Multiplicité des fautes dans les CLBs

Nombre de bits modifiés dans les interco. après un tir laser



Répartition des fautes dans la logique

• 4 types d’éléments:• LUTs (Configuration et Contenu)

• Multiplexeurs internes

• Mémoires (Configuration et Contenu)

• Autres ressources



Répartition des fautes dans les interconnexions

• 2 types d’éléments:• Slices : Entrées et Sorties

• Connexions : Double, Hex, Long

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

8 40Taille du spot Laser (µm)

Pour

cent

age

LongHexDoubleSortiesEntrées



Motifs de modification dans les interconnexions

M odifica tion Suppression A jout Aucun e ffe t

E ta t In itia l E ta t In itia l

In terconnexion R essource ou Source

C réationAucun e ffe t

• Dépend de l’état initial de la connexion



Pas de connexion initiale Connexion initiale

Motifs de modification dans les interconnexions



Cas spécial: Fautes uniques

• Grande multiplicité de fautes pour des tirs laser

• MAIS il est possible d’obtenir des fautes uniques=> cibler des attaques sur des fonctions précises

Fautes uniques dans des éléments de logique

Fautes uniques dans des éléments d’interconnexion



Surface effective de sensibilité

• Surface où un tir laser modifie un bit de configuration donné– Nombre de positions de tir Surface

– Surface “Diamètre effectif du spot laser”

• Grande dispersion des diamètres

• Valeurs très différentes selon la valeur initiale du bit Le diamètre effectif équivalent n’est pas le diamètre du faisceau laser pour

des bits à ‘0’

• Pas de différence significative selon la fonctionnalité du bit



Surface effective de sensibilité - Dispersion

0

1

2

3

4

5

0 10 20 30 40 50 60 70 80 90 100 110 120 130 140 150 160 170 180

Effective sensitive area (in number of points)

Nu

mb

er o

f co

nfi

gura

tion

bit

s

CLB1 zone

CLB2 zone

6th order polynomial fitting (CLB1 zone)


0

2

4

6

8

10

12

14

0 10 20 30 40 50 60 70 80 90 100 110 120 130 140 150 160 170 180

Effective sensitive area (in number of points)

Nu

mb

er o

f co

nfi

gura

tion

bit

s

CLB1 zone

CLB2 zone

6th order polynomial fiiting (CLB1 zone)


Bits initialement à

0

1

Spot laser de 20 µm

Tuiles CLB



• La forme de la zone de effective de sensibilité dépend de la valeur du bit

• Probablement dû à la dissymétrie de la conception du point mémoire

Bit à 1 Bit à 0

Surface effective de sensibilité - Formes



Conclusions (1/2)

• Nécessité d’amincir le circuit• Laser est une source efficace de perturbations• Possibilité de générer des fautes multiples ainsi que des

fautes uniques• Pas nécessaire d’avoir un laser sophistiqué pour avoir des

fautes uniques• Les éléments les plus sensibles sont:

– Interconnexions• Entrées des slices

• Connexions de type Hex

– Logique• Contenu des LUTs

• Multiplexeurs internes



Conclusions (2/2)

• Effets sur les connexions dépend de l’état initial– Connexion initiale ajout ou suppression de la connexions– Pas de connexions pas d’effet

• Bits à ‘1’ sont plus sensibles à prendre en compte pour :– Optimisation des circuits– Evaluation des conséquences d’attaques potentielles

• Difficile de déterminer précisément un modèle de faute• Choix des ressources à utiliser en priorité



Publications

• Journée Nationale du Réseau Doctoral en Micro-électronique (JNRDM’08)

• Mai 2008 à Bordeaux (France) Poster

• Injection de fautes sur composant Virtex-II XC2V1000

• International On-Line Testing Symposium (IOLTS’08)• Juillet 2008 à Rhodes (Grèce) Présentation orale

• Detailed Analyses of Single Laser Shot Effects in the Configuration of a Virtex-II FPGA

• VLSI Test Symposium (VTS’09)• Mai 2009 à Santa Cruz (Californie - USA) Présentation orale

• Characterization of Effective Laser Spots during Attacks in the Configuration of a Virtex-II FPGA



Merci pour votre attention…

Questions ????

© 2009. Tous droits réservés. Toute reproduction totale ou partielle sur quelque support que ce...

Documents

Transcript of © 2009. Tous droits réservés. Toute reproduction totale ou partielle sur quelque support que ce...