Thumbnail Image
🆕 Date Issued:
2019
🗄 In DepositOnce:2019-12-05
Accepted Version

Please use this identifier to cite or link to this item:

Laser-based attacks on secure integrated circuits

extracting and protecting sensitive information

Lohrke, Heiko

To defend against attackers, knowledge about their approach is helpful. This work evaluates attacks on integrated circuits (ICs) using laser scanning microscopes (LSMs) in combination with semiconductor failure analysis (FA) techniques. It identifies likely attack paths, develops suitable setups, and tests attack feasibility. All attacks are performed through the silicon backside. Three main attack approaches are evaluated: automated laser fault injection location profiling, memory readout by laser stimulation, and reverse engineering as well as data extraction using optical contactless probing. Using these approaches, commercial application-specific integrated circuits (ASICs) down to 20 nm technology size are successfully attacked using an optical resolution of about 1 µm. Additionally, the use of visible light (VIS) and solid immersion lenses (SILs) for resolution improvement as well as low-cost approaches to VIS LSMs are assessed. Furthermore, concrete countermeasures are implemented and evaluated. Further mitigation approaches are also presented and discussed. The lack of backside protection is identified as a key factor in all attacks. Flip-chip devices are found to worsen this situation by removing the need for any preparation and giving direct backside access. More specifically, the findings are as follows. Automated laser fault injection profiling is shown to determine suitable attack locations in a time span in the order of minutes. This is demonstrated by analyzing the configuration memory on 180 nm technology size Altera MAX V complex programmable logic devices (CPLDs). Using the profiling information, laser reconfiguration attacks are performed on proof-of-concept (POC) implementations of physically unclonable functions (PUFs). Additionally, an analysis of the underlying fault mechanism is carried out. For laser stimulation, data extraction from static random access memory (SRAM) and battery-backed SRAM (BBRAM) key memory is demonstrated. Readout of the 1 KB SRAM of a 180 nm technology Texas Instruments MSP430 microcontroller is presented with error rates between 0.4% and 5.5%. BBRAM key recovery from the ASIC decryption core of a 20 nm technology Xilinx Kintex UltraScale field-programmable gate array (FPGA) is developed in 7 hours of lab work, with a single 256-bit key ultimately being extracted in 15 minutes. For optical contactless probing, two attacks are presented. The first performs key extraction on a POC implementation of a PUF key storage concept by Xilinx implemented on a 60 nm Altera Cyclone IV FPGA. A contactless characterization of the employed ring oscillator PUF is also performed. The second attack enables reverse-engineering and plaintext extraction on the decryption ASIC of a 28 nm technology Xilinx Kintex 7 FPGA. The plaintext gates are found in less than 10 working days and extraction of decrypted data is demonstrated. For evaluation of resolution improvements, a suitable setup for comparison of visible light (VIS) and infrared (IR) illumination is developed. Additionally, a gallium phosphide solid immersion lens (GaP SIL) is designed, fabricated, incorporated into the setup, and experimentally verified. Application of the SIL improves resolution by 190% and 170% in IR and VIS respectively. Switching the illumination of the SIL from IR to VIS yields an improvement of 60%. Optical contactless probing techniques in VIS are performed by using the setup on 16/14 nm FinFET test devices. Additionally, a low-cost setup for VIS LSMs built from optical drive components is presented. The setup is capable of acquiring reflected light images with sub-micron resolution with a hardware cost of less than $100. In connection with implemented countermeasures, two circuits are presented. The first one is shown to successfully prevent laser stimulation data extraction by injection of a noisy current. The second circuit combines a PUF with an attack detection circuit to prevent optical probing. Sensitivity to both 1.1 µm and 1.3 µm laser radiation is demonstrated while also providing PUF functionality. Further potential attack-specific and general countermeasures are discussed. In conclusion, this work shows that employing LSM-based failure analysis techniques for attack development is a promising approach for attackers and a serious threat to defenders. Especially in the absence of backside protection, a multitude of attacks can be successfully launched. To properly secure integrated circuits in the future, the development of reliable, thorough, and cost-effective backside protection structures is indicated.
Zur Abwehr von Angreifern ist Wissen über ihre Vorgehensweise hilfreich. Diese Arbeit untersucht Angriffe auf integrierte Schaltkreise (ICs) unter Verwendung von Laserscanmikroskopen (LSMs) in Kombination mit Halbleiterfehleranalysetechniken. Sie identifiziert wahrscheinliche Angriffswege, entwickelt geeignete Aufbauten und testet mit diesen die Durchführbarkeit der Angriffe. Alle Angriffe in dieser Arbeit werden über die Siliziumrückseite ausgeführt. Drei Hauptansätze werden evaluiert: automatisiertes Auffinden von geeigneten Positionen zur Laserfehlerinjektion, Speicherauslesen durch Laserstimulation sowie Reverse Engineering und Datenextraktion mittels optischem kontaktlosem Probing. Mit diesen Ansätzen werden kommerzielle anwendungsspezifische integrierte Schaltungen (ASICs) bis zu einer Technologiegröße von 20 nm mit einer optischen Auflösung von etwa 1 µm erfolgreich angegriffen. Darüber hinaus werden die Verwendung von sichtbarem Licht (VIS) und Festkörperimmersionslinsen (SILs) zur Verbesserung der Auflösung sowie kostengünstige Ansätze für VIS LSMs erforscht. Weiterhin werden konkrete Gegenmaßnahmen implementiert und evaluiert. Weitere Möglichkeiten zum Schutz vor Angriffen werden ebenfalls vorgestellt und diskutiert. Der fehlende Rückseitenschutz wird als Schlüsselfaktor für alle Angriffe identifiziert. Flip-Chip-Gehäuse verschlechtern diese Situation, da keine Gehäusebearbeitung mehr erforderlich ist und ein direkter Zugriff auf die Rückseite erfolgen kann. Im Detail werden die folgenden Ergebnisse erzielt. Es wird gezeigt, dass das automatisierte Auffinden von Laserfehlerinjektionspositionen es erlaubt geeignete Angriffsorte innerhalb von Minuten zu bestimmen. Dies wird durch die Analyse des Konfigurationsspeichers von komplexen programmierbaren Logikbausteinen (CPLDs) vom Typ Altera MAX V mit 180 nm Technologie demonstriert. Unter Verwendung der erhaltenen Informationen werden Laserrekonfigurationsangriffe auf proof-of-concept (POC) Implementierungen von physically unclonable functions (PUFs) durchgeführt. Zusätzlich erfolgt eine Analyse des zugrunde liegenden Fehlermechanismus. Bei den Laserstimulationsangriffen wird die Datenextraktion aus static random access memory (SRAM) und sowie aus batteriegepuffertem SRAM Schlüsselspeicher (BBRAM) demonstriert. Das Auslesen von 1 KB SRAM eines 180 nm Technologie Texas Instruments MSP430-Mikrocontrollers mit Fehlerraten zwischen 0,4% und 5,5% wird gezeigt. Die Extraktion des geheimen Schlüssels aus dem BBRAM eines ASIC-Entschlüsselungskerns, der Teil eines 20 nm Technologie FPGAs (Xilinx Kintex UltraScale) ist, wird demonstriert. Der Angriff wird in 7 Stunden Laborarbeit entwickelt, wobei ein einzelner 256-Bit-Schlüssel innerhalb von 15 Minuten extrahiert werden kann. Für das optische kontaktlose Proben werden zwei Angriffe vorgestellt. Der Erste führt eine Schlüsselextraktion an einer POC-Implementierung eines PUF-Schlüsselspeicherkonzepts der Firma Xilinx durch, welches auf einem 60 nm Altera Cyclone IV FPGA realisiert wurde. Eine kontaktlose Charakterisierung der verwendeten Ringoszillator-PUF wird ebenfalls durchgeführt. Der zweite Angriff ermöglicht Reverse Engineering und Klartextextraktion auf dem Entschlüsselungs-ASIC eines 28 nm Technologie Xilinx Kintex 7 FPGA. Die Klartextgatter werden in weniger als 10 Arbeitstagen gefunden und die Extraktion von entschlüsselten Daten wird demonstriert. Im Rahmen der Versuche zu Auflösungsverbesserungen wird ein geeigneter Aufbau zum Vergleich von sichtbarer (VIS) und infraroter (IR) Beleuchtung entwickelt. Zusätzlich wird eine Galliumphosphidfestkörperimmersionslinse (GaP SIL) entworfen, hergestellt, in den Aufbau integriert und experimentell verifiziert. Die Anwendung der SIL verbessert die Auflösung um 190% bzw. 170% im IR und VIS. Das Umschalten der Beleuchtung der SIL von IR auf VIS zeigt eine Verbesserung von 60%. Unter Verwendung des Aufbaus werden optische kontaktlose Probingverfahren im VIS auf 16/14 nm FinFET Testtransistoren durchgeführt. Darüber hinaus wird ein kostengünstiges Setup für VIS LSMs vorgestellt, welches aus den Komponenten optischer Laufwerke aufgebaut wird. Dieses System ist in der Lage optische Bilder mit einer Auflösung von weniger als einem Mikrometer zu erfassen, wobei die Hardwarekosten unter 100 US-Dollar liegen. Im Rahmen der implementierten Gegenmaßnahmen werden zwei Schaltkreise vorgestellt. Der Erste zeigt, dass die Extraktion von Daten durch thermische Laserstimulation mittels Injektion eines Rauschstroms erfolgreich verhindert werden kann. Die zweite Schaltung kombiniert eine PUF mit einer Angriffsdetektionsschaltung, um kontaktlose optische Probingangriffe zu verhindern. Die Empfindlichkeit gegenüber sowohl 1,1 µm als auch 1,3 µm Laserstrahlung wird demonstriert, während gleichzeitig PUF-Funktionalität bereitgestellt wird. Darüber hinaus werden weitere mögliche angriffsspezifische und allgemeine Gegenmaßnahmen diskutiert. Zusammenfassend zeigt diese Arbeit, dass die Anwendung von LSM-basierten Fehleranalysetechniken für die Angriffsentwicklung ein vielversprechender Ansatz für Angreifer und eine ernsthafte Bedrohung für Verteidiger darstellt. Insbesondere wenn kein Rückseitenschutz vorhanden ist, kann eine Vielzahl von Angriffen erfolgreich durchgeführt werden. Um integrierte Schaltungen in Zukunft schützen zu können, ist die Entwicklung von zuverlässigen, umfassenden und kostengünstigen Rückseitenschutzstrukturen angezeigt.
hardware securityintegrated circuitslaser attackslaser scanning microscopyHardwaresicherheitintegrierte SchaltkreiseLaserangriffeLaserscanmikroskopie
Creative Commons Attribution 4.0 (CC BY)Creative Commons Attribution 4.0 (CC BY)
Full item page