Vous êtes ici : Accueil > DESCRIPTION TECHNIQUE DU PROJET

DESCRIPTION TECHNIQUE DU PROJET

Publié le 18 janvier 2021

Dans les domaines du numérique, de l'économie et de l'identité, la prévention de la fraude est primordiale. C'est pourquoi les composants électroniques doivent assurer des fonctions de chiffrement et d'authentification et bénéficier de protections contre des tentatives de hacking. Afin d'évaluer le niveau de sécurité de ces composants utilisés dans les cartes à puce ou les passeports en conservant toujours leur avance sur les fraudeurs, les ingénieurs et chercheurs sont en recherche constante de nouvelles techniques d'attaques. Dans le domaine de la sécurité, les moyens d'attaques [1] tels que les perturbations par illumination laser [2] – [5], par génération de courtes impulsions électriques sur l'alimentation ou l'horloge (glitchs) ou par faisceau ionique focalise (Focused Ion Beam - FIB) sont maintenant des menaces bien connues. Leurs effets physiques et électroniques sont bien compris et maitrises et la littérature des contre-mesures associées est conséquente [6]. Il est connu dans le domaine spatial que d'autres rayonnements, et en particulier les rayons X, peuvent endommager les circuits en modifiant le contenu des cellules mémoires de manière macroscopique [7] – [10]. Récemment, les chercheurs du CESTI-LETI, opère par le CEA, ont mené une nouvelle approche pour perturber des circuits électroniques avec un faisceau de rayons X. Les expériences conduites avec un faisceau nano-focalise sur le synchrotron Européen (European Synchrotron Radiation Facility, ESRF, Grenoble) ont montré qu'il est possible d'effacer l'information contenue dans une cellule mémoire unique de type Flash ou SRAM [11]. L'effet de ce type de perturbation est semi permanent, c'est-à-dire qu'il persiste après l'arrêt de celle-ci, mais qu'il est réversible (par recuit dans le cas de la Flash ou par réécriture dans les SRAM). Comparée a une perturbation induite par un faisceau laser, limitée en résolution par la longueur d'onde de celui-ci, la modification engendrée par un faisceau de rayons X permet de modifier l'état d'un transistor unique. Les mécanismes de détection et les contre-mesures sécuritaires peuvent ainsi être désactives. De plus, la profondeur de pénétration des rayons X peut être mise à profit : l'attaque peut être effectuée directement au travers de la grille de protection des circuits intègres voire à travers un boitier plastique ou céramique. Cette absence de modification visible, et le caractère réversible de la perturbation, permettent de mener cette attaque sans laisser aucune trace physique. Ces travaux préliminaires prometteurs ont cependant plusieurs limitations [11], [12] :

- Leur spécificité : les perturbations de circuits ont été uniquement démontrées sur des mémoires et sur des

composants dont la finesse de gravure (entre 0.35 µm et 45 nm) n'est pas représentative des technologies actuelles les plus avancées.

- Leur cout : ces attaques requièrent un synchrotron a faisceau nano-focalise (ici l'ESRF), moyen que l'on peut présumer être durablement hors de portée d'attaquants classiques.

- Les mécanismes physiques de ces attaques ne sont pas encore bien compris, il est donc difficile de déterminer quelles protections mettre en œuvre face à ce type d'attaques.

Au regard de ces limites, l'objectif général de ce projet est de démontrer la pertinence des attaques par rayons X de circuits intégrés sécurisés, et donc de proposer et valider des contre-mesures adéquates. Cette idée générale se décline en plusieurs sous-objectifs qui adressent les limitations citées :

1. Le 1er objectif sera de mener des attaques et modifications à l'aide des rayons X sur la Flash, la RAM et la Glue logique pour modifier le fonctionnement d'un processeur et de s'attaquer à des technologies plus avancées (WP1/WP2).

2. Le 2eme objectif est d'investiguer la faisabilité de ces attaques avec des moyens plus accessibles, constitues par des sources de rayons X de laboratoire et des équipements plus largement répandus tels que la sonde FIB (WP2).

3. Le 3eme objectif est de développer des modèles et flots de simulation qui seront utilisés pour déterminer et

comprendre les attaques menées en WP1, WP2 et WP3 (WP4).

4. Le 4eme objectif consiste à développer et valider des contre-mesures pour contrer ces attaques (WP3).

WP.png

Positionnement par rapport à l'état de l'art

Attaque RX sur circuit : Le faisceau de rayons X faiblement focalisé sur les équipements de laboratoire permet d'effacer des cellules mémoires Flash et EEPROM ainsi que de diminuer la tension de seuil des transistors N de manière non désirée et non contrôlée afin d'étudier le comportement des circuits dans l'espace sous l'effet d'une irradiation naturelle aux rayons X comme par exemple les composants qui peuvent se trouver dans les satellites[7], [10]. L'attaque des circuits peut se faire par différentes techniques [12] et parmi les plus étudiées, on peut noter les attaques par faisceau laser développées depuis 2002 [2]. Récemment, cette technique a été utilisée sur des technologies plus récentes (28 nm), mais se limite à des fautes non semi permanentes [13]. Les rayons X ont été utilisés par plusieurs équipes notamment pour faire de la rétroconception sur un PCB à moyenne résolution 50 µm [14] à très haute résolution (14 nm) par ptychographie [15]. La résolution de 14 nm permet non seulement la segmentation des détails les plus fins de la couche active, mais aussi la mesure des dimensions critiques de la technologie mise en œuvre et la visualisation des transistors réels et de leurs interconnexions. D'autres études par exemple se sont intéressées aux effets de la réalisation d'une illumination X sur appareil de laboratoire (Zeiss Vers 510) sur les circuits [16] . Ils ont examiné les mémoires Flash des technologies 400 nm et 150 nm et des FPGA de technologies plus récentes de 90 nm et 45 nm sous tomographie de longue durée. L'une des principales conclusions est que la tomographie augmente le temps d'effacement de la mémoire Flash des technologies anciennes. En revanche, les Flashs des FPGA de nouvelles technologies semblent beaucoup moins sensibles à la tomographie, car seules des dégradations mineures sont observées. Cependant ces études ne sont pas des attaques focalisées sur un transistor et les rayons X sont soit utilisés comme moyen d'inspection ou rétro-conception soit pour étudier les effets nocifs de l'irradiation [17]. A notre connaissance, seules les expériences menées par le CESTI à l'ESRF [11] ont porté sur des attaques focalisées à l'échelle du transistor. C'est d'ailleurs la raison pour laquelle cet article a été désigné « best paper » de l'International Conference on Cryptographic Hardware and Embedded Systems (CHES 2017). L'utilisation d'autres sources X que le synchrotron pour faire des attaques focalisées n'a pour le moment pas encore été exploitée.

Développement de contre-mesures : Pour ce qui concerne les contre-mesures aux fautes transitoires et permanentes, plusieurs méthodes de test en ligne et détection ont été proposées au niveau architectural pour détecter les erreurs dans les données traitées par un dispositif intégrant des informations secrètes. La détection d'erreurs exploite dans ce cas différentes formes de redondance, à savoir les redondances temporelles, matérielles et d'informations. La redondance temporelle vise à protéger principalement les étapes d'élaboration et consiste à calculer soit deux fois (au moins) la même fonction, soit la fonction suivie de son inverse [18]. La redondance temporelle affecte principalement la latence de détection d'erreurs (> 100 %), mais peut fournir un taux de détection d'erreurs très élevé pour les fautes transitoires ; elle n'est pourtant pas adaptée dans le cas de fautes permanentes. Des solutions visant à réduire l'impact sur la latence existent [19]. Il est important de remarquer comme cette solution a été aussi étendue [20] afin de permettre la détection de fautes rémanentes ou semi-permanentes (dans le cas spécifique, des fautes laser sur FPGA à mémoire SRAM), ce qui rend cette solution potentiellement intéressante dans le contexte des attaques RX. La redondance matérielle est principalement fondée sur la réplication des composants : elle peut fournir aussi un taux de détection très élevé, avec l'inconvénient évident d'un coût très élevé ; en plus, cette approche fait augmenter considérablement les fuites par canaux auxiliaires, rendant plus faciles ces types d'attaques. Il faut aussi prendre en considération le fait que certaines techniques d'attaque (par exemple, fautes de délai par sous-alimentation ou glitch d'horloge, fautes doubles par injection laser [21]) peuvent être utilisées pour contourner la protection. Cependant, il s'agit souvent de la solution adoptée quand seulement les perturbations naturelles sont prises en compte. Enfin, la redondance d'information (comme les codes de détection d'erreurs) consiste à vérifier une éventuelle incompatibilité entre un code prévu pour une sortie de l'entrée actuelle et le code de la sortie réelle du processus. Plusieurs solutions ont été proposées dans la littérature, très souvent par rapport aux implantations matérielles de l'AES [22]-[23]. En général, l'efficacité des codes est affectée par le niveau de redondance, mais surtout par la multiplicité des erreurs, qui peuvent être donc masquées. Dans [6], un modèle niveau RTL des fautes induites par les injections laser a été exploité avec pour résultat de proposer une méthodologie de génération de code de parité prenant en compte la distribution spatiale et des cellules et des erreurs, afin de maximiser le taux de couverture. Au niveau plus bas, des contraintes de placement et routage peuvent être prises en compte [11] afin de forcer la proximité de portes logiques appartenant à différentes entités, dans le but de maximiser la diffusion de l'erreur et donc rendre la détection plus probable. Enfin, des solutions récemment proposées prennent en compte à la fois les fautes et les fuites (de type side-channel) [24]. Elles consistent en l'utilisation de tags d'intégrité associés aux données qui dépendent d'une clé secrète et sont donc plus robustes aux fautes que les codes détecteurs d'erreurs. Par contre, ils ne permettent pas la correction. L'association tag et données peut aussi être masquée pour éviter les attaques side-channel. Des calculs à relativement bas coût sur les tags d'intégrité peuvent être effectués pour s'assurer de la validité des calculs dans l'ALU [25]. Il faut donc conclure que l'état de l'art est riche en solutions visant à contrer les attaques par fautes. Cependant, la granularité et spécificité des attaques RX posent de nombreuses questions sur l'applicabilité des contre-mesures connues : il est donc nécessaire de comprendre (à l'aide d'expériences, de modèles et de simulations) comment ces solutions peuvent se comporter et être adaptées afin de maximiser le niveau de protection.

Modélisation des attaques par injections X : Les méthodologies visant à simuler les attaques de manière quantitative impliquent de considérer successivement les niveaux physiques, topologiques et architectures. Ce champ thématique est par nature multi-échelles, c'est-à-dire qu'il intègre la description physique de la contrainte (laser ou X dans le cas des attaques) ainsi que ses conséquences aux niveaux du transistor, de la cellule puis de l'architecture. La description de l'attaque (nature de la contrainte, énergie, focalisation, dynamique, etc.) constitue le premier niveau physique. Dans le cas de l'interaction des rayons X, plusieurs phénoménologies sont en œuvre, générant différents types d'effets. En premier lieu, des électrons secondaires sont produits le long de la trajectoire du photon X, générant des porteurs/charges dans les matériaux semi-conducteurs qui peuvent être collectées aux électrodes du circuit via des mécanismes de transport/collection. Lorsque ces mêmes photons X interagissent dans les matériaux isolants (oxydes de grille, Shallow Trench Isolation – STI [26]), des défauts profonds vont y être créés induisant des effets de charges d'interfaces pouvant modifier la fonctionnalité du transistor. Dans le même temps, les photons interagissent avec des matériaux de numéro atomique élevé dans les superpositions d'interconnexions métalliques, ce qui peut conduire à la génération d'électrons secondaires. Plusieurs types technologiques peuvent être perturbés, de manière transitoire ou permanente. Les mémoires Flash seront dégradées en raison de l'apparition de pièges profonds dans les oxydes, alors que les technologies MOS le seront aux phénomènes transitoires de type SET pouvant conduire à l'occurrence d'aléas logiques dans les bascules, mémoires, etc. Les outils permettant de considérer physiquement une attaque sont généralement issus du champ thématique des « Effets Singuliers » (SEE). De nombreuses approches expérimentales ou par simulation ont été proposées dans la littérature pour évaluer le risque SEE dans les circuits. Sur le plan international, la première approche multi-physique a été développée par IBM (SEMM-2) et présentée en 1996 [27]. L'Université Vanderbilt a développé MRED et RADSAFE [28]. En France, des approches similaires ont été développées au début des années 2000 (PHISco [29], MC-DASIE [30], TIARA [31]). Parallèlement, des outils commerciaux ont été développés, on peut par exemple citer les sociétés Robust Chip Inc. [32] et Iroc  Tech [33]. Outre le fait que l'environnement et la physique relative aux interactions sont fortement approximés, ces outils sont basés sur des modèles comportementaux dont la calibration exige de connaitre très finement la technologie. La plateforme MUSCA SEP3 [34], développée depuis 2007 à l'ONERA, repose sur une approche Monte-Carlo couplée avec des modèles ou bases de données physiques. Un modèle physique calculant le ou les courants transitoires induits par la particule a été intégré dès 2010 pour permettre l'étude des propagations des SET au niveau des cellules élémentaires ou des circuits [35]. Ces modèles ont été validés jusqu'à des nœuds d'intégration 14 nm [36] pour les technologies planar bulk, FDSOI et FinFET.

Ce projet est fortement novateur dans la mesure où les attaques et modifications par rayons X de circuits intégrés de technologie récente pour perturber le fonctionnement du processeur en utilisant le synchrotron n'ont pas encore été réalisées par d'autres équipes dans le monde. La possibilité de s'affranchir du synchrotron en utilisant une source de laboratoire, dont la preuve de concept a déjà été obtenue, constitue un pas en avant important dans le domaine de la sécurité : la capacité à utiliser un appareil courant pour mener des attaques et modifications non invasives au niveau de la mémoire Flash, de la RAM ou des portes logiques constituerait là encore une première mondiale. Enfin, un nouveau type d'attaque, comme ici avec les RX, signifie la nécessité de simuler et de développer de nouvelles contre-mesures: là encore, le projet innove puisque nous développerons ces contre-mesures, les simulerons et les testerons en simulations et par le biais d'implémentations FPGA.



[1] I. Verbauwhede, D. Karaklajic, et J.-M. Schmidt, « The Fault Attack Jungle - A Classification Model to Guide You », sept. 2011,
p. 38, doi: 10.1109/FDTC.2011.13.
[2] S. P. Skorobogatov et R. J. Anderson, « Optical Fault Induction Attacks », in CHES 2002, doi: 10.1007/3-540-36400-5_2.
[3] D. H. Habing, « The Use of Lasers to Simulate Radiation-Induced Transients in Semiconductor Devices and Circuits », IEEE
Trans. Nucl. Sci., vol. 12, no 5, p. 91100, oct. 1965, doi: 10.1109/TNS.1965.4323904.
[4] F. J. Henley, « Logic Failure Analysis of CMOS VLSI using a Laser Probe », in 22nd International Reliability Physics Symposium,
avr. 1984, p. 6975, doi: 10.1109/IRPS.1984.362022.
[5] D. J. Burns, et al, « Reliability/Design Assessment by Internal-Node Timing-Margin Analysis using Laser Photocurrent-
Injection », in 22nd International Reliability Physics Symposium, avr. 1984, p. 7682, doi: 10.1109/IRPS.1984.362023.
[6] C. Ananiadis, A. Papadimitriou, D. Hély, V. Beroulle, P. Maistri, et R. Leveugle, « On the development of a new
countermeasure based on a laser attack RTL fault model », in 2016 DATE, mars 2016, p. 445450.
[7] R. Micheloni, L. Crippa, et A. Marelli, Inside NAND Flash Memories. Springer Science & Business Media, 2010.
[8] T. R. Oldham et F. B. McLean, « Total ionizing dose effects in MOS oxides and devices », IEEE Trans. Nucl. Sci., vol. 50, no 3,
p. 483499, juin 2003, doi: 10.1109/TNS.2003.812927.
[9] T. R. Oldham, Ionizing Radiation Effects in MOS Oxides. World Scientific, 1999.
[10] S. Gerardin et al., « Radiation Effects in Flash Memories », IEEE Trans. Nucl. Sci., 2013, doi: 10.1109/TNS.2013.2254497.
[11] S. Anceau, P. Bleuet, J. Clédière, L. Maingault, J. Rainard, et R. Tucoulou, « Nanofocused X-Ray Beam to Reprogram Secure
Circuits », in CHES 2017, September 25-28, 2017, Proceedings, 2017, p. 175188.
[12] J. Breier et X. Hou, « Introduction to Fault Analysis in Cryptography », in Automated Methods in Cryptographic Fault Analysis,
J. Breier, X. Hou, et S. Bhasin, Éd. Cham: Springer International Publishing, 2019, p. 110.

[13] J. Dutertre et al., « Laser Fault Injection at the CMOS 28 nm Technology Node: an Analysis of the Fault Model », in 2018 Workshop on Fault Diagnosis and Tolerance in Cryptography (FDTC), sept. 2018, p. 1‑6, doi: 10.1109/FDTC.2018.00009.

[14] N. Asadizanjani, M. Tehranipoor, et D. Forte, « PCB Reverse Engineering Using Nondestructive X-ray Tomography and Advanced Image Processing », IEEE Trans. Compon. Packag. Manuf. Technol., 2017, doi: 10.1109/TCPMT.2016.2642824.

[15] M. Holler et al., « High-resolution non-destructive three-dimensional imaging of integrated circuits », Nature, vol. 543, no 7645, p. 402‑406, mars 2017, doi: 10.1038/nature21698.

[16] M. Alam, H. Shen, N. Asadizanjani, M. Tehranipoor, et D. Forte, « Impact of X-Ray Tomography on the Reliability of Integrated Circuits », IEEE Trans. Device Mater. Reliab., vol. 17, no 1, p. 59‑68, mars 2017, doi: 10.1109/TDMR.2017.2656839.

[17] M. T. Rahman et al., « Physical Inspection Attacks: New Frontier in Hardware Security », in 2018 IEEE 3rd International Verification and Security Workshop (IVSW), juill. 2018, p. 93‑102, doi: 10.1109/IVSW.2018.8494856.

[18] R. Karri et al, « Concurrent error detection schemes for fault-based side-channel cryptanalysis of symmetric block ciphers », IEEE Trans. Comput.-Aided Des. Integr. Circuits Syst., déc. 2002, doi: 10.1109/TCAD.2002.804378.

[19] P. Maistri, P. Vanhauwaert, et R. Leveugle, « A Novel Double-Data-Rate AES Architecture Resistant against Fault Injection », in Workshop on Fault Diagnosis and Tolerance in Cryptography (FDTC 2007), sept. 2007, p. 54‑61, doi: 10.1109/FDTC.2007.8.

[20] G. Canivet, P. Maistri, R. Leveugle, J. Clédière, F. Valette, et M. Renaudin, « Glitch and Laser Fault Attacks onto a Secure AES Implementation on a SRAM-Based FPGA », J. Cryptol., vol. 24, no 2, p. 247‑268, avr. 2011, doi: 10.1007/s00145-010-9083-9.

[21] B. Selmke, J. Heyszl, et G. Sigl, « Attack on a DFA Protected AES by Simultaneous Laser Fault Injections », in 2016 Workshop on Fault Diagnosis and Tolerance in Cryptography (FDTC), août 2016, p. 36‑46, doi: 10.1109/FDTC.2016.16.

[22] K. Wu, Ramesh Karri, G. Kuznetsov, et M. Goessel, « Low cost concurrent error detection for the advanced encryption standard », in 2004 International Conferce on Test, oct. 2004, p. 1242‑1248, doi: 10.1109/TEST.2004.1387397.

[23] R. Leveugle et al., « Laser-induced fault effects in security-dedicated circuits », in 2014 22nd International Conference on Very Large Scale Integration (VLSI-SoC), oct. 2014, p. 1‑6, doi: 10.1109/VLSI-SoC.2014.7004184.

[24] T. Schneider, A. Moradi, et T. Güneysu, « ParTI – Towards Combined Hardware Countermeasures Against Side-Channel and Fault-Injection Attacks », in CRYPTO 2016, août 2016, p. 302‑332, doi: 10.1007/978-3-662-53008-5_11.

[25] L. D. Meyer, V. Arribas, S. Nikova, V. Nikov, et V. Rijmen, « M&M: Masks and Macs against Physical Attacks », IACR Trans. Cryptogr. Hardw. Embed. Syst., p. 25‑50, 2019, doi: 10.13154/tches.v2019.i1.25-50.

[26] F. Faccio et al., « Total ionizing dose effects in shallow trench isolation oxides », Microelectron. Reliab., vol. 48, no 7, p. 1000‑1007, juill. 2008, doi: 10.1016/j.microrel.2008.04.004.

[27] H. H. K. Tang, « SEMM-2: A new generation of single-event-effect modeling tools », IBM J. Res. Dev., vol. 52, no 3, p. 233‑244, mai 2008, doi: 10.1147/rd.523.0233.

[28] B. D. Sierawski et al., « Impact of Low-Energy Proton Induced Upsets on Test Methods and Rate Predictions », IEEE Trans. Nucl. Sci., vol. 56, no 6, p. 3085‑3092, déc. 2009, doi: 10.1109/TNS.2009.2032545.

[29] V. Correas, Thèse de l'Université de Monpellier, 2008.

[30] G. Hubert et al., « A review of DASIE code family: contribution to SEU/MBU understanding », in 11th IEEE International On-Line Testing Symposium, juill. 2005, p. 87‑94, doi: 10.1109/IOLTS.2005.12.

[31] S. Uznanski et al, « Single Event Upset and Multiple Cell Upset Modeling in Commercial Bulk 65-nm CMOS SRAMs and Flip-Flops », IEEE Trans. Nucl. Sci., vol. 57, no 4, p. 1876‑1883, août 2010, doi: 10.1109/TNS.2010.2051039.

[32] www.robustchip.com

[33] www.iroctech.com

[34] P. Peronnard, R. Velazco, et G. Hubert, « Real-Life SEU Experiments on 90 nm SRAMs in Atmospheric Environment: Measures Versus Predictions Done by Means of  MUSCA SEP3 Platform », IEEE Trans. Nucl. Sci, 2009, doi 10.1109/TNS.2009.2033362.

[35] G. Hubert et L. Artola, « Single-Event Transient Modeling in a 65-nm Bulk CMOS Technology Based on Multi-Physical Approach and Electrical Simulations », IEEE Trans. Nucl. Sci., déc. 2013, doi: 10.1109/TNS.2013.2287299.

[36] N. Rostand, et al, « Single Event Transient Compact Model for FDSOI MOSFETs Taking Bipolar Amplification and Circuit Level Arbitrary Generation Into Account », in 2019 SISPAD, sept. 2019, p. 1‑4, doi: 10.1109/SISPAD.2019.8870520.





Haut de page