• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    本発明は、暗号回路を試験する方法に関する。本発明はまた、被試験可能な安全暗号回路に関する。レジスタと論理ゲート(211、212、213、214)とを含む暗号回路について、本発明による試験は回路のレジスタ上で微分電力解析(DPA)を行う。暗号回路は、安全であり、相補論理で動作する第2の半回路(212、213)に関連づけられた第1の半回路(211、214)を含み、第1の半回路の電源(Vdd1、23、25)を第2の半回路の電源(Vdd2、24)から分離し、微分電力解析を各半回路上で並行して行い、2つの電源を試験後に同一の電源に結合する。
    公开号:JP2011514046A
    申请号:JP2010547153
    申请日:2009-02-11
    公开日:2011-04-28
    发明作者:ギレイ、シルヴァン;ダンジェ、ジャン−リュク
    申请人:インスティテュート テレコム−テレコム パリ テック;
    IPC主号:H04L9-10
    专利说明:

    [0001] 本発明は、暗号回路を試験する方法に関する。本発明はまた、被試験可能な安全暗号回路に関する。]
    背景技術

    [0002] 大抵の電子回路のような暗号回路は、使用前に試験を受ける必要がある。従って、暗号回路試験は、ある特定の具体的な機能を有する、電子回路の試験の一般的な事項の一部を形成する。]
    [0003] 試験は、製造の後に意図された機能を回路が正しく果たすことを確認するのに使用される。詳細には、特に、
    −性能の低下を引き起こす使用化学物質の均一性の欠如、
    −例えば回路の局所破壊を引き起こす塵埃などの不純物の付着、
    −回路の誤動作を引き起こす製造工程の抜け、
    −製造マスクの使用中の混同
    から生じる幾つかの製造欠陥を回路は含むことがある。]
    [0004] これらの欠陥の中で、最も予測不可能な問題は、
    −短絡、即ち2つの等電位即ち「ノード」の意図せぬ接続、
    −または、切断、即ち2つの等電位を生じさせるノードの切断
    を引き起こす可能性がある塵埃の付着から生じる。]
    [0005] 製造後の試験段階では、電圧で回路に電力を供給し、その回路の入力の一部、非常に特殊な入力は、試験信号を受信する。これらの試験信号に応じて、試験装置は、動作確認を行うことができる。試験可能な回路の場合、その回路は、次の2つの条件を満たす必要がある。
    −1つの条件は、回路が制御可能でなければならない、即ち回路を既知の状態にすることができることである。
    −もう1つの条件は、回路が観測可能でなければならない、即ちその既知の状態における回路の特性を、例えばシミュレーションにより得られる理論的基準特性と比較することができることである。]
    [0006] これらの2つの条件を満たすと、試験装置は、回路上で実行すべき多くの異なる確認である試験ベクトルのセットを形成できる。試験の第1の主要パラメータは、カバレッジである。カバレッジは、有効に確認される論理ノードの比を表す。回路を確実に動作可能にするために、100%に近いカバレッジが望ましいが、実際にはめったに実現されない。]
    [0007] 試験の第2の主要パラメータは、次の2つの要因に特に左右されるコストである。
    −1つの要因は、試験ベクトルの数であり、この数量を最小限に減らす必要がある。なぜなら、回路との相互作用の継続時間の条件であり、この継続時間にコストが比例し、特に試験速度が回路製造流速よりも速いことが重要であり、そうでなければ製造を制限する要因は試験自体になるからである。それが、特にカバレッジが決して100%でない理由の1つである。
    −もう1つの要因は、現状で回路を試験できるのはまれなことなので、機能試験を呼び出すのに同意するかどうかに応じた試験設備の挿入であり、試験すべき回路の可制御性または可観測性を可能にするために追加設備を追加しなければならないことが多く、この設備には、ソフトウェア解決策に対してハードウェア解決策の魅力を減らすという損失がある。]
    [0008] 幾つかの試験技法が知られている。機能試験の場合、追加される設備はない。使用者は単に、試験すべき回路の出力がこの同一回路の入力の明確に決定された順序と完全に合致していることを確認するだけである。この試験方法では、残念なことに、非常に多くの入力ベクトルが必要であるとともに、カバレッジが狭い。従って、実際には適用できない。]
    [0009] 連鎖試験の場合、2つの役割、即ち1つには機能性と、もう1つには一般にDまたはDFFフリップフロップである回路の全逐次素子をリンクするオフセットレジスタの製造とを果たすことができるように回路を修正する。従って、追加コストは回路のフリップフロップの数にリンクしており、ハッカーは、2つの入力、「試験入力」と呼ばれる第1の入力と「試験可能」と呼ばれる第2の入力とを必要とし、これにより回路の表面積が増す。さらに、フリップフロップ間の経路設定に機能的経路設定を追加して、相互接続により制約される回路内の重要な性質である経路設定の可能性を減らす。最後に、連鎖試験では、同一の論理値に結合されたノードを試験することができることに留意すべきである。この誤りテンプレートは、短絡および切断である本当の誤りと厳密には等しくない。]
    [0010] IDDQと呼ばれるアナログ試験方法では、試験すべき回路を、ある状態に置いてから、電流計を用いて、回路により消費される電流を調べる。この方法では、特に消費電流の値に応じて短絡を検出できる。その方法は、可観測性に必要な装置を必要としない。しかし、IDDQ方法は遅い。また、短絡のみの検出が可能なので、その方法は不十分である。]
    [0011] 「内蔵自己試験」、略してBISTと呼ばれる方法では、試験すべき部分の外のモジュールを追加する。特に、その役割は、試験すべき回路を制御し、その試験を動的に行うことである。この方法は、例えば、書かれている内容を使用者が正確に読み取る、メモリなどのありふれた機能性を有する単純なユニットに適用される。その方法は、暗号型の複雑な回路に適していない。]
    [0012] その複雑さに加えて、暗号回路は、その試験に関して矛盾する制約を有する。詳細には、機能性におけるたった1つの誤りが秘密の完全性を損なう場合があるので、総合的試験が必要である一方、内部の可観測性を可能にする試験設備を追加すると、回路の機密保護が損なわれる。特に、ハッカーがアクセスできる暗号アルゴリズムの中間変数のたった1ビットにより、ハッカーが、暗号分析を介して秘密にまで進むことができる場合がある。従って、安全回路を試験する必要があるが、納得のゆく既存の試験方法はない。100%のカバレッジは暗号回路に不可欠であるけれども、機能試験は十分なカバレッジを可能にしない。ハッカーはさらに論理的に暗号化プロセッサの状態、より正確にはその鍵またはその中間値を何とか読み取ることができるので、DFFフリップフロップを連鎖することによる試験では脆弱性が明らかになる。この種のハッキングに対処するために、連鎖構造をランダムにするという1つの解決策が提案されている。それにもかかわらず、この方法は、実施の複雑さおよび機密性においてではなく縮小された大きさの鍵において機密保護の集中を課すキルヒホッフの法則に反する。一方、IDDQ試験はあまりにも高価で断片化しており、BIST試験は暗号計算に適していない。]
    発明が解決しようとする課題

    [0013] 本発明の目的の1つは、特に、上述の矛盾する制約、より一般的には先行方法の欠点を克服しながら暗号回路の試験を可能にすることにある。従って、本発明の主題は、ノードのセットにより相互接続された論理ゲートとレジスタとを含む暗号回路を試験する方法であり、この方法は、
    回路の入力における試験信号ベクトルに応じて、ノードで電力消費トレースの測定値を取得する段階と、
    電力消費トレースの測定値に基づいてノードの活動率を解析する段階であって、その活動を予測する予測テンプレートにその活動率が適合する場合にノードが正しく動作しているとみなされる段階と、
    を含む微分電力解析(DPA)を行う。]
    [0014] 暗号回路が安全でない場合、あたかも要件が暗号秘密を見つけるためにハッキングを実行すべきであるかのように、試験の目的でDPAによる微分解析を行う。従って、各ノードの活動の活動予測子への適合により、その完全性を確立することができる。しかし、予測子が未知の暗号秘密に左右され、多数(数千個程度)の電力消費トレースを必要とするので、DPAは依然として長い。暗号回路が秘密をカスタマイズする機構を有する場合、必要な微分電力解析がより少ないので、DPAによる試験がより短くなるように「既知の」暗号秘密を入れることができる。この場合、暗号保護を確実なものにするために試験後に秘密をカスタマイズする。]
    [0015] 相補論理で第2の半回路に関連づけられた第1の半回路の周りに構造化された微分論理によって暗号回路が安全である場合、回路の総活動はバランスがとれ、微分電力解析は動作できない。本発明によれば、第1の半回路の電源Vdd1を第2の半回路の電源Vdd2から分離し、微分電力解析は各半回路上で活動を測定することによって可能になる。解析を各半回路上で並行して行い、2つの電源を試験後に同一の電源に結合する。]
    [0016] 例えば、電源線を介して第1の半回路の構成要素を第1の電圧源Vdd1に接続し、電源線を介して第2の半回路の構成要素に第2の電圧源Vdd2を供給し、2つの電圧源は異なっており、電源線を試験後に接続する。]
    [0017] 別の実施形態では、例えば、接地線を介して第1の半回路の構成要素を第1の基準電位Gnd1に接続し、接地線を介して第2の半回路の構成要素に第2の基準電位Gnd2を供給し、2つの基準電位は分離しており、接地線を試験後に接続する。]
    [0018] 好都合なことに、電源Vdd1、Vdd2を取得段階の終わりに結合することができる。]
    [0019] 微分解析による試験を、これらのレジスタ間の論理ゲートのノードの完全性を推測できる回路のレジスタのノードに限定することができる。]
    [0020] 電源に配線する方法は、安全論理のための上述の試験方法に関連づけられる。他方の半回路と並行して微分電力解析(DPA)によって各半回路を試験できるように、第1の半回路は第1の電源経路を有し、第2の電源経路を第2の半回路に割り当て、2つの電源経路を短絡させることができる。]
    [0021] 特定の典型的な実施形態では、
    −第1の電源経路は、第1の電圧源Vdd1に接続されることができ、第1の半回路の構成要素の電源線に電気的に接続される第1の周辺導電性リングを含み、
    −第2の電源経路は、第2の電圧源Vdd2に接続されることができ、第2の半回路の構成要素の電源線に電気的に接続される第2の周辺導電性リングを含み、
    2つのリングを短絡させることができる。]
    [0022] 別の典型的な実施形態では、
    −第1の電源経路は、第1の接地電位Gnd1に接続されることができ、第1の半回路の構成要素の接地線に電気的に接続される第1の周辺導電性リングを含み、
    −第2の電源経路は、第2の接地電位Gnd2に接続されることができ、第2の半回路の構成要素の接地線に電気的に接続される第2の周辺導電性リングを含み、
    2つのリングを短絡させることができる。]
    [0023] これらの2つの実施形態では、2つのリングが、例えばアンチヒューズによって一緒に接続されており、2つのリング間の短絡をアンチヒューズの溶解によって引き起こす。]
    [0024] 2つのリングを回路のケーシングで短絡させることもできる。]
    [0025] 本発明の他の主題は、相補論理で動作する第2の半回路に関連づけられた第1の半回路を含む安全暗号回路の電源に配線する方法であり、他方の半回路とは無関係に微分電力解析(DPA)によって各半回路を試験できるように、第1の電源経路を第1の半回路に割り当て、第2の電源経路を第2の半回路に割り当て、2つの電源経路を短絡させることができる。]
    [0026] 本発明の他の特徴と利点は、添付図面を参照して行われる下記の説明を用いて明瞭になろう。]
    図面の簡単な説明

    [0027] 回路内の暗号アルゴリズムの組合せデータ経路の例示である。
    本発明による方法によって使用される微分電力解析の段階の提示である。
    安全暗号回路の構造の例示である。
    2つの分離電源を備えた安全回路の2つの半分上で取得された電力消費トレースの例である。
    本発明による回路および本発明による回路で予め分離された電源経路を短絡させる方法の例示的な実施形態である。]
    実施例

    [0028] 図1は、レジスタの2つのフリップフロップDFF1、2間の、回路内の暗号アルゴリズムの組合せデータ経路を例示する。組合せ論理10は、2つのフリップフロップDFF1、2を接続する。従って、回路の全フリップフロップを接続する。経路は、特にDES(データ暗号化規格)の暗号規格のように、妥当な大きさ、例えば8ビット未満の論理コーン20に分割する。図1は、6ビットからなる入力スライス11と4ビットからなる出力スライス12とをコーン20が有するDES状況を例示する。] 図1
    [0029] レジスタ1、2を接続するこの組合せ論理10は、論理ゲートからなる。]
    [0030] 本発明では、暗号回路に侵入する、またはそれらの機密保護レベルを特徴づけるのに通常使用される、暗号集積回路の正しい動作を試験するのに微分電力解析を使用する。]
    [0031] 微分電力解析、即ちDPAでは、瞬時電力消費量など、回路が放出する物理量の測定値を、例えばその活動の一部と相互に関連づけることができる。DPA技法は、CRYPTO’99の議事録(LNCSの1666巻、388〜397頁、Springer−Verlag)における「微分電力解析:漏洩秘密(Differential Power Analysis:Leaking Secrets)」、P.Kocher、J.JaffeおよびB.Junによる論文に記載のような暗号回路に侵入する、またはそれらの機密保護レベルにアクセスするのに通常使用される。BFCA−http://www.liafa.jussieu.fr/bfca/(1〜25頁、2007年5月2〜4日、パリ(Paris))における「置換箱特性の利用によるサイドチャネル攻撃の改良(Improving Side−Channel Attacks by Exploiting Substitution Boxes Properties)」、S.Guilley、Ph.Hoogvorst、R.PacaletおよびJ.Schmidtによる論文に特に示すように、回路におけるブール変数の活動を予測するのにDPAを使用できることが理論的かつ実験的に特に実証されている。0.13μmのCMOS技術では、DES暗号化アルゴリズムを実行する、例えば保護されていない、ASICなどの有線ユニットのDPA解析を行うのに必要な消費量トレースと呼ばれる測定数は、1000個未満である。この数を、6鍵ビットを見つけるのに解析すべきトレースの最小数の詳細を与える下記の表に示す。各回に、DESアルゴリズムでは、「sbox」と呼ばれる置換箱に入る8×6=48鍵ビットを使用する。]
    [0032] ]
    [0033] 6鍵ビットの8ワードを見つけるのに同一の1000個の電力消費トレースを使用することに留意すべきである。このような理由で、表では、合計ではなく「sbox」当たりの最大トレース数によって必要なトレース数を要約している。鍵が既知の場合、「平文」と呼ばれるアルゴリズムの既知の入力を選択することにより、解析を速めることができる。手順の1つの方法は、Ecole Normale Superieure(ENS)からの技術報告書(フランス(France)、2005年11月、http://www.di.ens.fr/−piret/pub/power.pdf)の「電力解析攻撃における平文選択に関する注釈(A note on the Plaintext Choice in Power Analysis Attacks)」、G.Perretによる論文に記載されている。実験結果を、上記の表の2行目に示す。]
    [0034] 前述のように、本発明では、DPAを使用して暗号回路を試験する。暗号回路では、機密データ、例えば特に鍵や細菌などの秘密を取り扱う。]
    [0035] 2種類の暗号回路、非安全回路および安全回路がある。後者は、回路の実行への侵入から自衛する対抗手段を含み、これらの対抗手段は可能なハッカーを排除するように設計されている。本発明は、非安全回路および安全回路に適用される。]
    [0036] 非安全暗号回路の試験は、回路の全ノード上で、より詳細にはレジスタの各ノードでDPAによって行われる。暗号回路は、数千のノードを含んでもよい。基本的に以下の2種類のノードがある。
    −メモリまたはレジスタの出力等電位と
    −論理ゲートの出力等電位。]
    [0037] 組合せノードの状態を推測し、従って秘密を見つけるために、レジスタ上のみでDPAを実行することができる。]
    [0038] 可制御性は、アルゴリズムの暗号の性質によって保証される。詳細には、回路を正しく製造すると、計算の本質は、回路の各ノードが1/2に近い活動率を有することを意味する。DPAは、(予測子または選択機能に従って)ノードに対する活動があるトレースおよび活動がないトレースの間で微分することである。予測子とこのノードとの間のリンクがないので、この差は、任意のノードに対してゼロであり、試験済みノードに対してゼロでない。従って、顕著な活動が予測活動と相互に関連づけられる場合、ノードは正しく動作しているとみなされる。適切な選択機能を用いて、可観測性をレジスタごとに実行できる。そのような機能は、上述のS.Guilleyらによる論文に特に記載されている。全ゲートの総活動を電力消費トレースで一緒に追加するので、試験のカバレッジは100%である。試験ベクトルの数は、上述の表に示すようにわずか数百である。さらに、特に、プロセスの速度を落とし、試験の測定値が同時に起こる必要があるIDDQ試験と比べて、DPAによる試験は、2つのタスクに分割可能である。わずか数百の測定値を必要とする「オンライン」部分の取得は、その後実行可能な「オフライン」部分の解析が続くことができる。従って、大量の計算能力を必要とすることがある後者の工程は、臨界経路上にはない。]
    [0039] そこで、図2は、本発明による試験に適用される微分電力解析DPAの2つの段階を例示する。] 図2
    [0040] 第1段階11では、試験すべき回路の入力試験信号ベクトルのセットからの電力消費トレースの測定値の取得を行う。使用される試験ベクトルは、従来のDPA解析に使用される試験ベクトルであってもよい。]
    [0041] 第2段階12では、取得工程で得られた測定値に基づいて活動率を解析する。]
    [0042] 暗号回路では、広いことが多いデータ経路をより限定された大きさの論理コーンに実際に分割するので、ビット単位の抽出が実現可能である。例えば、DES暗号化では、データ経路は、幅が64ビットであり、図1に例示するように6ビットのスライスに分割されている。] 図1
    [0043] 上述のように、安全回路は、ハッキング、特に上述のDPAタイプのハッキングを防止する対抗手段を含む。その結果、この場合、試験性能はDPAによるハッキング性能を含意するので、上述の試験方法は適用できない。従って、安全回路の試験の場合、非安全回路の場合のように直接電力解析を介して中間値を試験することができない。]
    [0044] 安全回路の保護では通常、DPL(プリチャージ論理付きデュアルレール)型の論理を使用する。以下の2種類:
    −WDDL(波動力学差動論理)などの定電力消費論理と
    −MDLP(マスクDLP)などの平均的定電力消費論理
    が知られている。]
    [0045] これらの2つの場合、設計キットで製造業者により販売される標準セルを用いてこれらの論理を実施できる。より正確には、相補信号を処理するゲートは、各々がデュアルゲートに関連づけられる基本ゲートの二重レールゲートを形成する相補論理構造の2つの半分、即ち2つのネットワークに分離できる。「真」と呼ばれることがある第1の半分はペイロード信号の連鎖を搬送し、「偽」と呼ばれることがある他方の半分は相補信号を搬送する。相補論理信号を搬送するこれらの二重レールゲートは、DPAにより実行される電力消費解析を妨げる。詳細には、ゲートが論理状態に切り換わると、デュアルゲートは同じ状態またその逆のままであるので、消費の点で、電気活動は一定であり論理データと無関係である。従って、DPA解析による相関関係のどんな試みも、失敗する運命にある。]
    [0046] 図3は、安全暗号回路のそのような構造を例示する。この図は、相補信号を搬送する2つの半分に分離可能な2つの二重レールゲート21、22を例として示す。第1の二重レールゲート21は、「論理和」ゲート(211、212)である。第1の半分の基本「論理和」ゲート211は、非相補信号を受信する一方、第2の半分のデュアル「論理積」ゲート212は相補信号を受信する。各基本論理ゲートに関して、ノードが切り換わると、そのデュアルゲート212の対応するノードは切り換わらず、2つの半分は互いにマスクする。] 図3
    [0047] この第1の二重レールゲート21と並列に、相補性で同様に動作する第2の二重レール「論理積」ゲート22(213、214)を示す。]
    [0048] 電圧を、電源線23、24、25によってこれらの論理ゲート211、212、213、214に供給する。さらに、電源用のゼロ基準電位を伝える接地線26、27にゲートを接続する。接地電位である場合もある基準電位に接地線26、27を一緒に接続する。例えば、130nm技術で1.2ボルトの電圧レベルを有する電源線23、24、25を、電源に一緒に接続する。]
    [0049] 二重レールの2つの半分の動作の相互マスキングは、DPA解析を妨げ、従って上述のような動作試験も妨げる。]
    [0050] 本発明による回路では、二重レール21、22の電源線を製造中に分離する。即ち、「論理和」ゲート211で表す二重レール21の第1の半分に電力を供給する電源線23を、「論理積」ゲート212で表す第2の半分に電力を供給する電源線24から物理的に分離する。従って、第1の電源線23を第1の電圧源Vdd1に接続し、第2の電源線Vdd2を第1の電圧源とは異なる第2の電圧源Vdd2に接続する。同じことが、他方の二重レールゲート22の電源線24、25に当てはまる。]
    [0051] 暗号回路をDPAによって試験可能にするために、本発明では、ゲートの動作に必要な電圧レベルを各々がさらに送出する、異なる電源電圧源Vdd1、Vdd2によって2つの半分211、212に電力を供給することを提案している。従って、試験モードでは、2つの電源Vdd1およびVdd2が分離されており、並行して2つの半分上でDPAを実行することができる。相補入力を受信する半分と非相補入力を受信する半分との間で交差するワイヤによって反転されるので、結び付け可能な信号を2つの半分は受信する。]
    [0052] 図5は、2つの半分の2つの出力ノードに対応する二重レール信号の種々の値に対する電源電圧Vdd1およびVdd2からそれぞれ生じる電流ldd1およびldd2のタイミングチャートを2つの曲線41、42で例示する。論理値が1に切り換わると、ピーク電流43を消費する。] 図5
    [0053] 従って、二重レール信号を含む2つのノードを、2つの電力消費トレースの同時取得によって別々に試験できる。2つの電源電圧を一緒に接続すると、電流は、ノードの値に関係なく常に同一形状を有する合計ldd1+ldd2になる。]
    [0054] 図3で部分的に例示するような集積回路では、論理ゲート211、212、213、214およびそれらの関連接続ノード、電源線および接地線は、レールを形成し、レールの各ゲートを電源線と接地線との間で接続する。特に、DPAによるハッキングに対して保護するために、ゲートの二重性により、主要レールに連結された第2のレールを生成し、図3で例示され上述のような二重レール21を形成する。一方のレールは「真」の半分を形成し、他方のレールは「偽」の半分を形成する。二重レールは、例えば並列に配置される。従って、図3は、前述の二重レール21に並列な第2の二重レール22を示す。この場合、上述のような電圧源Vdd1およびVdd2への接続を分離するために、2つのうち一方の電源線23、25を、例えば第1の源Vdd1に接続し、間に嵌入された他方の線を、例えば第2の電圧源Vdd2に接続する。] 図3
    [0055] 上述のような一方の半回路は「真」レールのセットからなり、他方の半回路は「偽」レールのセットからなり、Vdd1およびVdd2によってそれぞれレールに電力を供給する。これらの半回路は、図3の例示的な実施形態に例示するように巻き込み可能であるが、巻き込まれなくてもよい。] 図3
    [0056] 接地線26、27を分離することを予想することもできることに留意すべきである。この場合、2つのうち一方の接地線を第1の基準電位Gnd1に接続し、間に嵌入された他方の接地線を第2の基準電位Gnd2に接続する。]
    [0057] 図5は、本発明による安全回路の例示的な実施形態を例示する。図5はまた、試験段階の後に電源Vdd1およびVdd2を短絡させる可能な方法を示す。従って、その図は、電源線または接地線のみを示し、例えばシリコン製の集積回路で組み立てが行われている。] 図5
    [0058] 暗号回路を安全にするために、特にDPAによる悪意のある解析に対して堅牢にするために、試験後に電源Vdd1およびVdd2を短絡させる必要がある。そこで、安全回路の動作に従って、同一の電圧源によって第1の半回路のゲートおよび第2の半回路のデュアルゲートに電力を供給する。]
    [0059] 図5は、分離された電源Vdd1およびVdd2、接地線26、27がすべて同一の接地または基準電位に接続されている状況を例示する。その図は、トラックで生成された電源線23、25および接地線26、27を示す。接地線26、27を、例えば第1の等電位リング31に接続する。例えば回路の周囲上に配置されたこの第1のリング自体を、接地または基準電位に接続する。このリング31への接地線の接続を、接点30で例示する。電源線23、25を、例えば回路の周囲上に位置している二重リング32、33に接続する。第1の半回路の電源線23に電気的に接続された第1のリング32は、第1の電力供給源に接続可能な第1の電源経路を形成する。第2の半回路の電源線25に電気的に接続された第2のリング33は、第2の電力供給源に接続可能な第2の電源経路を形成する。従って、第1のリング32は、例えば電圧源Vdd1に接続され、第2のリング33は電圧源Vdd2に接続され、接点30によって接続が行われる。一方の電源線23は、第1のリング32を介して電源Vdd1に接続され、次の電源線25は、第2のリングを介して電源Vdd2に接続される。一般に、偶数の電源線は、例えば第1のリング32を介してVdd1に接続され、奇数の電源線は、例えば第2のリング33を介してVdd2に接続される。] 図5
    [0060] 二重電源リングの2つのリング32、33を、アンチヒューズ34によって一緒に接続する。試験段階後に2つのリング32、33を短絡させる、従って2つの半回路の電源経路を接続するために、アンチヒューズを制御する。従って、適切な経路設定によって集積回路のパッケージで、または図5に例示するようにアンチヒューズによってシリコンで、2つの電源経路間の短絡を行うことができる。決められた状態で回路を封止するための多くの解決策が知られている。] 図5
    [0061] リング31、32、33を含む電源線を、例えば回路の最上層で経路設定する。アンチヒューズは、回路の正しい動作に必要な全電流を伝えるのに十分大きくなければならない。図5は、小さいアンチヒューズ34の分布を示し、アンチヒューズが同量の電流を移動できるという条件で、たった1つのアンチヒューズを設けることもできる。ある技術により、アンチヒューズが燃焼された後、アンチヒューズ34に対して約500オームの接点を得ることができる。燃焼後の接点が80オーム程度である他の技術もある。比較として、オン状態の接点30の抵抗は1オーム程度である。従って、電源リング32、33間の良好な接続は、接点30よりも多くのアンチヒューズ34を必要とする。図4に例示するように下部でまたは上部で、および同時に両面でさえ、接続を行うことができる。] 図4 図5
    [0062] 本発明による安全暗号回路は、例えば追加の電源リングを含む。その時、幅の増加は、幅が約1mmである暗号ユニットの周りのこのリングの追加、即ち約10μmに対応する。従って、もたらされる増加は、わずか1%程度である。]
    [0063] 既存の回路設計ストリームへのVdd1での偶数線およびVdd2での奇数線の電源の分離の統合は、ささいなことである。詳細には、2つのリングを生成する代わりに、3つのリングを生成する。この動作は通常、たった1行のコードで専門のCADツールで実行される。]
    [0064] 別の実施形態では、接地線26、27を分離することもできる。従って、第1の電源経路は、第1の接地電位Gnd1に接続されることができ、第1の半回路の構成要素211、214の接地線26に電気的に接続される第1の周辺導電性リングを含み、第2の電源経路は、第2の接地電位Gnd2に接続されることができ、第2の半回路の構成要素212、213の接地線27に電気的に接続される第2の周辺導電性リングを含む。先の場合のように、2つのリングを短絡させることができる。]
    [0065] 本発明による試験方法を適用するのは容易である。DPA解析用の製造を残す場合、回路上の電力消費トレース測定値では、例えば、
    −装着され、試験下で回路を駆動するコンピュータ、
    −通常数ギガヘルツの大きい帯域幅を有する取得カード
    などの標準的な装置を必要とするだけである。]
    [0066] 好都合なことに、安全暗号回路の製造業者、特に、
    −とりわけTPMアプリケーション、SIM、電子パスポート、ラベル、RFID、認証トークン用のスマートカードと、
    −遠隔通信アプリケーション用のオンチップシステムと
    の製造業者によって本発明を使用することができる。]
    权利要求:

    請求項1
    秘密を内蔵し、ノードのセットにより相互接続された論理ゲート(10、211、212、213、214)とレジスタ(1、2)とを含む暗号回路を試験する方法であって、前記回路の入力における試験信号ベクトルに応じて、前記ノードで電力消費トレース(11)の測定値を取得する段階と、前記電力消費トレースの前記測定値に基づいて前記ノード(12)の活動率を解析する段階であって、その活動が活動予測テンプレートに適合する場合にノードが正しく動作しているとみなされる段階と、を含む微分電力解析(DPA)を行うことを特徴とする方法。
    請求項2
    前記暗号回路の前記秘密をカスタマイズできるので、前記微分電力解析(11、12)を既知の秘密で行ってから、試験後に前記秘密をカスタマイズすることを特徴とする、請求項1に記載の方法。
    請求項3
    相補論理で動作する第2の半回路(212、213)に関連づけられた第1の半回路(211、214)を含む前記暗号回路は安全であるので、前記第1の半回路の電源(Vdd1、23、25)を前記第2の半回路の電源(Vdd2、24)から分離し、前記微分電力解析を各半回路上で並行して行い、前記2つの電源を試験後に同一の電源に結合することを特徴とする、請求項1に記載の方法。
    請求項4
    電源線(23、25)を介して前記第1の半回路の構成要素(211、214)を第1の電圧源(Vdd1)に接続し、電源線(24)を介して前記第2の半回路の構成要素(212、213)に第2の電圧源(Vdd2)を供給し、前記2つの電圧源は異なっており、前記電源線(23、24、25)を試験後に接続することを特徴とする、請求項2に記載の方法。
    請求項5
    接地線(26)を介して前記第1の半回路の構成要素(211、214)を第1の基準電位(Gnd1)に接続し、接地線(27)を介して前記第2の半回路の構成要素(212、213)に第2の基準電位(Gnd2)を供給し、前記2つの基準電位は分離しており、前記接地線(26、27)を試験後に接続することを特徴とする、請求項3または4に記載の方法。
    請求項6
    前記電源(Vdd1、Vdd2)を前記取得段階後に結合することを特徴とする、請求項3〜5のいずれか一項に記載の方法。
    請求項7
    電力消費トレースの前記測定値を前記レジスタ(1、2)上のみで取得することを特徴とする、請求項1〜6のいずれか一項に記載の方法。
    請求項8
    相補論理で動作する第2の半回路(212、213)に関連づけられた第1の半回路(211、214)を含む安全暗号回路であって、他方の半回路とは無関係に微分電力解析(DPA)によって各半回路を試験できるように、前記第1の半回路に割り当てられた第1の電源経路(23、25、Vdd1)と前記第2の半回路に割り当てられた第2の電源経路(24、Vdd2)とを含み、前記2つの電源経路を短絡させることができることを特徴とする回路。
    請求項9
    −前記第1の電源経路は、第1の電圧源(Vdd1)に接続されることができ、前記第1の半回路の構成要素(211、214)の電源線(23、25)に電気的に接続される第1の周辺導電性リング(32)を含み、−前記第2の電源経路は、第2の電圧源(Vdd2)に接続されることができ、前記第2の半回路の構成要素(212、213)の電源線(24)に電気的に接続される第2の周辺導電性リング(33)を含み、前記2つのリングを短絡させることができることを特徴とする、請求項8に記載の回路。
    請求項10
    −前記第1の電源経路は、第1の接地電位(Gnd1)に接続されることができ、前記第1の半回路の構成要素(211、214)の接地線(26)に電気的に接続される第1の周辺導電性リングを含み、−前記第2の電源経路は、第2の接地電位(Gnd2)に接続されることができ、前記第2の半回路の構成要素(212、213)の接地線(27)に電気的に接続される第2の周辺導電性リングを含み、前記2つのリングを短絡させることができることを特徴とする、請求項8または9に記載の回路。
    請求項11
    溶解後に不可逆的に絶縁状態から導電状態への遷移を可能にするアンチヒューズ技術と呼ばれる技術によって前記電源経路が一緒に接続されていることを特徴とする、請求項8〜10のいずれか一項に記載の回路。
    請求項12
    前記リング(26、27、32、33)がアンチヒューズによって一緒に接続されており、前記2つのリング間の短絡を前記アンチヒューズ(34)の溶解によって引き起こすことを特徴とする、請求項9〜11のいずれか一項に記載の回路。
    請求項13
    相補論理で動作する第2の半回路(212、213)に関連づけられた第1の半回路(211、214)を含む安全暗号回路の電源に配線する方法であって、他方の半回路とは無関係に微分電力解析(DPA)によって各半回路を試験できるように、第1の電源経路(23、25、Vdd1)を前記第1の半回路に割り当て、第2の電源経路(24、Vdd2)を前記第2の半回路に割り当て、前記2つの電源経路を短絡させることができることを特徴とする方法。
    类似技术:
    公开号 | 公开日 | 专利标题
    Zhang et al.2015|VeriTrust: Verification for hardware trust
    Shakya et al.2017|Benchmarking of hardware trojans and maliciously affected circuits
    Li et al.2017|Provably secure camouflaging strategy for IC protection
    Dupuis et al.2014|A novel hardware logic encryption technique for thwarting illegal overproduction and hardware trojans
    Xiao et al.2013|BISA: Built-in self-authentication for preventing hardware Trojan insertion
    Bhunia et al.2014|Hardware Trojan attacks: Threat analysis and countermeasures
    Saha et al.2015|Improved test pattern generation for hardware trojan detection using genetic algorithm and boolean satisfiability
    Rosenfeld et al.2010|Attacks and Defenses for JTAG
    Narasimhan et al.2011|TeSR: A robust temporal self-referencing approach for hardware Trojan detection
    Narasimhan et al.2012|Hardware Trojan detection by multiple-parameter side-channel analysis
    US9030226B2|2015-05-12|System and methods for generating unclonable security keys in integrated circuits
    Yang et al.2006|Secure scan: A design-for-test architecture for crypto chips
    Huang et al.2016|MERS: statistical test generation for side-channel analysis based Trojan detection
    Jin et al.2009|Experiences in hardware Trojan design and implementation
    Aarestad et al.2010|Detecting Trojans Through Leakage Current Analysis Using Multiple Supply Pad ${I} _ {rm DDQ} $ s
    Rajendran et al.2010|Towards a comprehensive and systematic classification of hardware trojans
    Becker et al.2013|Stealthy dopant-level hardware trojans
    Subramanyan et al.2015|Evaluating the security of logic encryption algorithms
    Jagasivamani et al.2014|Split-fabrication obfuscation: Metrics and techniques
    Rajendran et al.2014|Regaining trust in VLSI design: Design-for-trust techniques
    Xiao et al.2014|A novel built-in self-authentication technique to prevent inserting hardware trojans
    Xiao et al.2013|A clock sweeping technique for detecting hardware trojans impacting circuits delay
    Wu et al.2015|TPAD: Hardware Trojan prevention and detection for trusted integrated circuits
    Vijayakumar et al.2016|Physical design obfuscation of hardware: A comprehensive investigation of device and logic-level techniques
    Du et al.2010|Self-referencing: A scalable side-channel approach for hardware Trojan detection
    同族专利:
    公开号 | 公开日
    KR101577847B1|2015-12-15|
    FR2928060A1|2009-08-28|
    KR20110015511A|2011-02-16|
    EP2248061A1|2010-11-10|
    CN101971183B|2016-08-03|
    US20110261953A1|2011-10-27|
    FR2928060B1|2010-07-30|
    CN101971183A|2011-02-09|
    US9494645B2|2016-11-15|
    SG188811A1|2013-04-30|
    CA2716143A1|2009-09-03|
    CA2716143C|2018-08-07|
    WO2009106428A1|2009-09-03|
    EP2248061B1|2019-03-27|
    JP5433904B2|2014-03-05|
    ES2731591T3|2019-11-18|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    JPH09171056A|1995-12-20|1997-06-30|Hitachi Ltd|テスト設計方法とその装置、並びにテスト方法とその装置|
    JP2001141791A|1999-09-03|2001-05-25|Sony Corp|スキャンパス回路を有する半導体回路|
    JP2004347975A|2003-05-23|2004-12-09|Toshiba Corp|データ処理装置及び論理演算装置|JP2013042406A|2011-08-18|2013-02-28|Meijo University|情報処理装置,情報処理方法及びそのプログラム|US5349248A|1992-09-03|1994-09-20|Xilinx, Inc.|Adaptive programming method for antifuse technology|
    US5521513A|1994-10-25|1996-05-28|Teradyne Inc|Manufacturing defect analyzer|
    US5917250A|1997-10-07|1999-06-29|Lucent Technologies Inc.|Isolation circuit and verification controller for a power supply and power plant employing the same|
    US7587044B2|1998-01-02|2009-09-08|Cryptography Research, Inc.|Differential power analysis method and apparatus|
    US6043672A|1998-05-13|2000-03-28|Lsi Logic Corporation|Selectable power supply lines for isolating defects in integrated circuits|
    WO2000002342A2|1998-07-02|2000-01-13|Cryptography Research, Inc.|Leak-resistant cryptographic indexed key update|
    US6560737B1|2000-02-16|2003-05-06|Hewlett-Packard Development Company, L.P.|Method for adding scan controllability and observability to domino CMOS with low area and delay overhead|
    CA2298990A1|2000-02-18|2001-08-18|Cloakware Corporation|Method and system for resistance to power analysis|
    JP3720271B2|2001-03-22|2005-11-24|株式会社ルネサステクノロジ|半導体集積回路装置|
    US7205681B2|2004-02-06|2007-04-17|Honeywell International Inc.|Generation and distribution of a dual-redundant logic supply voltage for an electrical system|
    WO2005081085A2|2004-02-13|2005-09-01|The Regents Of The University Of California|Logic system for dpa and/or side channel attack resistance|
    DE102004009144B4|2004-02-25|2011-03-17|Infineon Technologies Ag|Logikzelle und Verfahren zum Durchführen einer Dual-Rail-Logikoperation und Speichermedium|
    DE102004020576B4|2004-04-27|2007-03-15|Infineon Technologies Ag|Datenverarbeitungsvorrichtung mit schaltbarer Ladungsneutralität und Verfahren zum Betreiben einer Dual-Rail-Schaltungskomponente|
    KR100725169B1|2005-01-27|2007-06-04|삼성전자주식회사|전력 분석 공격에 안전한 논리 연산 장치 및 방법|
    US7610628B2|2005-03-01|2009-10-27|Infineon Technologies Ag|Apparatus and method for calculating a representation of a result operand|
    US7232711B2|2005-05-24|2007-06-19|International Business Machines Corporation|Method and structure to prevent circuit network charging during fabrication of integrated circuits|
    JP2007233793A|2006-03-02|2007-09-13|Nec Corp|ディスクエンクロージャ装置|
    FR2928060B1|2008-02-25|2010-07-30|Groupe Ecoles Telecomm|Procede de test de circuits de cryptographie, circuit de cryptographie securise apte a etre teste, et procede de cablage d'un tel circuit.|
    ITMI20082364A1|2008-12-31|2010-07-01|Incard Sa|Metodo per proteggere un dispositivo crittografico contro attacchi spa, dpa e temporali|FR2928060B1|2008-02-25|2010-07-30|Groupe Ecoles Telecomm|Procede de test de circuits de cryptographie, circuit de cryptographie securise apte a etre teste, et procede de cablage d'un tel circuit.|
    CN102325021B|2011-05-17|2014-04-02|武汉大学|一种dpa安全性评测与对抗方法及其装置|
    DE102011052230B4|2011-07-28|2018-05-09|Infineon Technologies Ag|Verfahren und Apparat zur Erzeugung von Zufalls-Wartezuständen|
    CN104601165B|2013-10-31|2018-01-09|上海复旦微电子集团股份有限公司|数据的防攻击方法和装置|
    KR20170031707A|2014-07-08|2017-03-21|차오로직스, 아이엔씨.|보안 로직 애플리케이션을 위한 연속적으로 충전되는 격리된 공급장치 네트워크|
    US10776484B2|2015-01-13|2020-09-15|National University Corporation Kobe University|On-chip monitor circuit and semiconductor chip|
    CN106021815A|2016-06-14|2016-10-12|泰利美信(苏州)医疗科技有限公司|一种功耗平衡的集成电路设计方法及系统|
    法律状态:
    2012-02-11| A621| Written request for application examination|Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120210 |
    2013-04-19| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130418 |
    2013-07-09| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130620 |
    2013-07-24| A072| Dismissal of procedure|Free format text: JAPANESE INTERMEDIATE CODE: A072 Effective date: 20130723 |
    2013-08-08| TRDD| Decision of grant or rejection written|
    2013-08-22| A01| Written decision to grant a patent or to grant a registration (utility model)|Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130821 |
    2013-09-26| A61| First payment of annual fees (during grant procedure)|Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130918 |
    2013-12-12| A61| First payment of annual fees (during grant procedure)|Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131121 |
    2013-12-20| R150| Certificate of patent or registration of utility model|Ref document number: 5433904 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
    2016-12-06| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2017-12-26| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2018-12-04| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2019-12-03| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2020-12-08| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    优先权:
    申请号 | 申请日 | 专利标题
    [返回顶部]