Methods for protecting intellectual property of IP cores designers / Méthodes pour la protection de la propriété intellectuelle des concepteurs de composants virtuels

Colombier, Brice

19 October 2017

La conception de circuits intégrés est aujourd'hui une tâche extrêmement complexe. Cela pousse les concepteurs à adopter une approche modulaire, où chaque bloc fonctionnel est décrit de manière indépendante. Ces blocs fonctionnels, appelés composants virtuels, sont vendus par leurs concepteurs à des intégrateurs système qui les utilisent dans des projets complexes. Cette division a pour conséquence une hausse inquiétante des cas de copie illégale des composants virtuels. Afin de lutter contre cette menace sur la propriété intellectuelle des concepteurs, l'objectif de cette thèse était de mettre au point un système complet d'activation à distance de composants virtuels, permettant au concepteur de savoir exactement combien de composants virtuels sont effectivement utilisés. Pour cela, les deux premières contributions de cette thèse portent sur la modification de la logique combinatoire d'un composant virtuel afin de le rendre activable. La première méthode permet de forcer les sorties à une valeur fixe de manière contrôlée. La seconde est une technique efficace de sélection de nœuds à altérer, encore une fois de manière contrôlée, afin de rendre le composant virtuel temporairement inutilisable. La troisième contribution de cette thèse est une méthode légère de correction d'erreurs à appliquer aux réponses issues des fonctions physiques non-clonables, qui constituent un identifiant intrinsèque des instances du composant virtuel. Réutilisant un protocole de correction d'erreurs issu de l'échange quantique de dés, cette méthode est beaucoup plus légère que les codes correcteurs d'erreurs classiquement utilisés pour cette application / Designing integrated circuits is now an extremely complex task. This is why designers adopt a modular approach, where each functional block is described independently. These functional blocks, called intellectual property (IP) cores, are sold by their designers to system integrators who use them in complex projects. This division led to the rise of cases of illegal copying of IP cores. In order to fight this threat against intellectual property of lP core designers, the objective of this PhD thesis was to develop a secure remote activation scheme for IP cores, allowing the designer to know exactly how many IP cores are currently used. To achieve this, the first two contributions of thesis thesis deal with the modification of combinational logic of an IP core to make it activable. The first method allows to controllably force the outputs to a fixed logic value. The second is an efficient technique to select the nodes to controllably alter, so that the IP core is temporarily unusable. The third contribution of this thesis is a lightweight method of error correction to use with PUF (Physical Undonable Functions) responses, which are an intrinsic identifier of instances of the lP core. Reusing an error-correction protocol used in quantum key ex.change, this method is much more lightweight than error-correcting

Sécurité matérielle

Électronique numérique

Marquage logique

Protocoles de réconciliation

Fonctions physiques non-clonables

Verrouillage logique

Material security

Protection of intellectual property

Digital electronic

Logic mark

Protocols of reconciliation

Physical unclonable functions

Logic locking

Caractérisation et modélisation de générateurs de nombres aléatoires dans les circuits intégrés logiques / Characterization and modeling of random number generators for cryptographic application in logic devices

Haddad, Patrick

17 June 2015

Les générateurs de nombres aléatoires sont des blocs destinés à produire des quantités numériques qui doivent être indépendantes et uniformément distribuées. Ces RNG sont utilisés dans des contextes sécuritaires où l'utilisation de nombres aléatoires est requise (génération de clefs cryptographiques, nonces des protocoles cryptographiques, marqueurs anti-rejeu, contre-mesures face aux attaques par canaux cachés) et où leur qualité est primordiale. Tous les composants électroniques ayant une fonction sécuritaire, comme par exemple les cartes à puces, incluent un ou plusieurs générateurs aléatoires (basés sur des principes physiques). En conséquence, le RNG est une brique centrale des applications sécuritaires et sa défaillance, totale ou partielle met donc en péril la fonctionnalité dans son ensemble. Ce travail de thèse porte sur l'étude des RNG physiques (PTRNG) et la modélisation de l'aléa à partir des caractérisations électroniques et mathématiques du circuit. Cette étude se place essentiellement dans le contexte de la norme AIS 31 du BSI* qui fait référence dans de nombreux pays européens. Cette norme est l‘une des rares qui impose des caractérisations sur les PTRNG, incluant notamment un modèle stochastique de ce dernier. Dans ce contexte, il est crucial de pouvoir valider la méthodologie d'évaluation proposée par ces normes et c'est sur ce point que j'ai focalisé mon travail de thèse.*Bundesamt für Sicherheit in der Informationstechnik, agence fédérale allemande chargée de la sécurité des technologies de l'information / Random number generators (RNG) are primitives that produce independent and uniformly distributed digital values, RNG are used in secure environments where the use of random numbers is required (generation of cryptographic keys, nonces in cryptographic protocols, padding values, countermeasures against side-channel attacks) and where the quality of the randomness is essential. All electronic components with a security function, such as smart cards, include one or more random generators (based on physical principles). Consequently, the RNG is an essential primitive for security applications. A flaw in security of the random number generation process directly impacts the security of the cryptographic system. This thesis focuses on the study of physical RNG (PTRNG), the modeling of its randomness and an electronic characterizations of the circuit. This study is in the context of the AIS-31 standard which is published by the BSI* and followed by many European countries. This standard is one of the few that require a characterizations of the PTRNG and a stochastic model. In this context, it is crucial to validate the evaluation methodology proposed by these standards and l focused on them during my thesis.*Bundesamt fiir Sicherheit in der Informationstechnik, federal agency German responsible for the security of information technology

Sécurité matérielle

Générateurs de nombres aléatoires

Aléa

Modélisation stochastique

Entropie

AIS-31

Bruit thermique

Bruit de scintillement

Material security

Random number generators

Random

Stochastic model

Entropy

AIS-31

Thermal noise

Flicker noise

Securing a trusted hardware environment (Trusted Execution Environment) / Sécurisation d'un environnement matériel de confiance (Trusted Execution Environement)

Da Silva, Mathieu

26 November 2018

Ce travail de thèse a pour cadre le projet Trusted Environment Execution eVAluation (TEEVA) (projet français FUI n°20 de Janvier 2016 à Décembre 2018) qui vise à évaluer deux solutions alternatives de sécurisation des plateformes mobiles, l’une est purement logicielle, la Whitebox Crypto, alors que l’autre intègre des éléments logiciels et matériels, le Trusted Environment Execution (TEE). Le TEE s’appuie sur la technologie TrustZone d’ARM disponible sur de nombreux chipsets du marché tels que des smartphones et tablettes Android. Cette thèse se concentre sur l’architecture TEE, l’objectif étant d’analyser les menaces potentielles liées aux infrastructures de test/debug classiquement intégrées dans les circuits pour contrôler la conformité fonctionnelle après fabrication.Le test est une étape indispensable dans la production d’un circuit intégré afin d’assurer fiabilité et qualité du produit final. En raison de l’extrême complexité des circuits intégrés actuels, les procédures de test ne peuvent pas reposer sur un simple contrôle des entrées primaires avec des patterns de test, puis sur l’observation des réponses de test produites sur les sorties primaires. Les infrastructures de test doivent être intégrées dans le matériel au moment du design, implémentant les techniques de Design-for-Testability (DfT). La technique DfT la plus commune est l’insertion de chaînes de scan. Les registres sont connectés en une ou plusieurs chaîne(s), appelé chaîne(s) de scan. Ainsi, un testeur peut contrôler et observer les états internes du circuit à travers les broches dédiées. Malheureusement, cette infrastructure de test peut aussi être utilisée pour extraire des informations sensibles stockées ou traitées dans le circuit, comme par exemple des données fortement corrélées à une clé secrète. Une attaque par scan consiste à récupérer la clé secrète d’un crypto-processeur grâce à l’observation de résultats partiellement encryptés.Des expérimentations ont été conduites sur la carte électronique de démonstration avec le TEE afin d’analyser sa sécurité contre une attaque par scan. Dans la carte électronique de démonstration, une contremesure est implémentée afin de protéger les données sensibles traitées et sauvegardées dans le TEE. Les accès de test sont déconnectés, protégeant contre les attaques exploitant les infrastructures de test, au dépend des possibilités de test, diagnostic et debug après mise en service du circuit. Les résultats d’expérience ont montré que les circuits intégrés basés sur la technologie TrustZone ont besoin d’implanter une contremesure qui protège les données extraites des chaînes de scan. Outre cette simple contremesure consistant à éviter l’accès aux chaînes de scan, des contremesures plus avancées ont été développées dans la littérature pour assurer la sécurité tout en préservant l’accès au test et au debug. Nous avons analysé un état de l’art des contremesures contre les attaques par scan. De cette étude, nous avons proposé une nouvelle contremesure qui préserve l’accès aux chaînes de scan tout en les protégeant, qui s’intègre facilement dans un système, et qui ne nécessite aucun redesign du circuit après insertion des chaînes de scan tout en préservant la testabilité du circuit. Notre solution est basée sur l’encryption du canal de test, elle assure la confidentialité des communications entre le circuit et le testeur tout en empêchant son utilisation par des utilisateurs non autorisés. Plusieurs architectures ont été étudiées, ce document rapporte également les avantages et les inconvénients des solutions envisagées en terme de sécurité et de performance. / This work is part of the Trusted Environment Execution eVAluation (TEEVA) project (French project FUI n°20 from January 2016 to December 2018) that aims to evaluate two alternative solutions for secure mobile platforms: a purely software one, the Whitebox Crypto, and a TEE solution, which integrates software and hardware components. The TEE relies on the ARM TrustZone technology available on many of the chipsets for the Android smartphones and tablets market. This thesis focuses on the TEE architecture. The goal is to analyze potential threats linked to the test/debug infrastructures classically embedded in hardware systems for functional conformity checking after manufacturing.Testing is a mandatory step in the integrated circuit production because it ensures the required quality and reliability of the devices. Because of the extreme complexity of nowadays integrated circuits, test procedures cannot rely on a simple control of primary inputs with test patterns, then observation of produced test responses on primary outputs. Test facilities must be embedded in the hardware at design time, implementing the so-called Design-for-Testability (DfT) techniques. The most popular DfT technique is the scan design. Thanks to this test-driven synthesis, registers are connected in one or several chain(s), the so-called scan chain(s). A tester can then control and observe the internal states of the circuit through dedicated scan pins and components. Unfortunately, this test infrastructure can also be used to extract sensitive information stored or processed in the chip, data strongly correlated to a secret key for instance. A scan attack consists in retrieving the secret key of a crypto-processor thanks to the observation of partially encrypted results.Experiments have been conducted during the project on the demonstrator board with the target TEE in order to analyze its security against a scan-based attack. In the demonstrator board, a countermeasure is implemented to ensure the security of the assets processed and saved in the TEE. The test accesses are disconnected preventing attacks exploiting test infrastructures but disabling the test interfaces for testing, diagnosis and debug purposes. The experimental results have shown that chips based on TrustZone technology need to implement a countermeasure to protect the data extracted from the scan chains. Besides the simple countermeasure consisting to avoid scan accesses, further countermeasures have been developed in the literature to ensure security while preserving test and debug facilities. State-of-the-art countermeasures against scan-based attacks have been analyzed. From this study, we investigate a new proposal in order to preserve the scan chain access while preventing attacks, and to provide a plug-and-play countermeasure that does not require any redesign of the scanned circuit while maintaining its testability. Our solution is based on the encryption of the test communication, it provides confidentiality of the communication between the circuit and the tester and prevents usage from unauthorized users. Several architectures have been investigated, this document also reports pros and cons of envisaged solutions in terms of security and performance.

Test et Sécurité

Sécurité matérielle

Contremesures contre les attaques scan

Encryption du canal de test

TEE (Trusted Environment Execution)

Test and Security

Hardware Security

Scan Attacks Countermeasures

Scan Encryption

TEE (Trusted Environment Execution)