Cryptanalyse physique de circuits cryptographiques à l’aide de sources LASER / Physical cryptanalysis of security chip using LASER sources

Roscian, Cyril

08 October 2013

Les circuits cryptographiques, parce qu'ils contiennent des informations confidentielles, font l'objet de manipulations frauduleuses, appelées communément attaques, de la part de personnes mal intentionnées. Plusieurs attaques ont été répertoriées et analysées. L'une des plus efficaces actuellement, appelée cryptanalyse DFA (Differential Fault Analysis), exploite la présence de fautes, injectées volontairement par l’attaquant par exemple à l’aide d’un laser, dans les calculs. Cependant, les modèles de fautes utilisés dans ces attaques sont parfois très restrictifs et conditionnent leur efficacité. Il est donc important de bien connaître quel modèle de faute est pertinent ou réalisable en fonction du circuit cible et du moyen d'injection (dans notre cas le laser). Un première étude portant sur le type de fautes (Bit-set, Bit-reset ou Bit-flip) injectées sur des points mémoires SRAM a mis en évidence la forte dépendance des fautes injectées vis à vis des données manipulées et la quasi inexistence de fautes de type Bit-flip. Ce dernier résultat favorise grandement les attaques de type Safe Error et engendre donc un réel problème de sécurité. La mise en évidence de tels résultats a été possible grâce à des cartographies de sensibilité au laser réalisées sur une cellule SRAM isolée puis sur la mémoire RAM d'un micro-contrôleur 8 bits. Pour confirmer ces résultats expérimentaux, des simulations SPICE d'injection de fautes laser ont été réalisées à partir d'un modèle développé dans l’équipe. Ce modèle prend en compte la topologie de la cible. Des tests ont ensuite été réalisés sur un circuit ASIC implémentant l'algorithme AES. L'analyse des fautes a montré la présence des trois types de fautes mais aussi un faible taux d'injection. En revanche, le taux de répétabilité des fautes était particulièrement élevé. Cela nous a permis d'améliorer une attaque existante et d'obtenir au final une attaque plus efficace que les attaques classiques, nécessitant moins de chiffrements fautés et une analyse des résultats réduite pour retrouver la clef secrète. Enfin, une évaluation des contre-mesures embarquées dans ce circuit a montré leurs inefficacités vis à vis des attaques en fautes par laser. Des pistes d'amélioration ont ensuite été proposées. / Cryptographic circuits, because they contain confidential informations, are subject to fraud from malicious users, commonly known as attacks. Several attacks have been published and analysed. One of the most effective attack, called Differential Fault Analysis (DFA), uses some fault, voluntary injected by the attacker during the computations, for example with a laser. However, fault models used by these attacks can be restrictive and determine the effectiveness of the attack. Thus, it is important to know which fault model is useful or feasible according to the targeted device or injection means (in our case the laser).A first study about the injected fault types (Bit-set, Bit-reset or Bit-flip) on SRAM memory cells highlighted the strong data dependency of the injected faults and the irrelevance of the Bit-flip fault type. This last result allows to mount Safe Error attacks and creates a real security issue. These results were obtain thanks to sensitivity laser map performed on an isolated SRAM cell and on an 8-bits micro-controller RAM memory. To confirm these experimental results, SPICE simulations have been made with a model developed in the department. This model takes into account the topology of the target.Tests were then carried out on an ASIC implementing the AES algorithm. The fault analysis showed the presence of the three types of faults but also a low injection rates. In contrast, the error repeatability was particularly high. This allowed us to simplify an existing attack and to obtain an attack more effective than conventional attacks, requiring fewer faulted cipher text and reducing the complexity of the analysis to find the secret key. Finally, an assessment of the countermeasure of this circuit showed their ineffectiveness with respect to fault laser attacks. Areas for improvement were then proposed.

LASER

Injections de fautes

DFA

Modèles de fautes

AES

SRAM

Laser

Fault injection

DFA

Fault models

AES

SRAM

Cryptanalyse physique de circuits cryptographiques à l'aide de sources LASER

Roscian, Cyril

08 October 2013

Les circuits cryptographiques, parce qu'ils contiennent des informations confidentielles, font l'objet de manipulations frauduleuses, appelées communément attaques, de la part de personnes mal intentionnées. Plusieurs attaques ont été répertoriées et analysées. L'une des plus efficaces actuellement, appelée cryptanalyse DFA (Differential Fault Analysis), exploite la présence de fautes, injectées volontairement par l'attaquant par exemple à l'aide d'un laser, dans les calculs. Cependant, les modèles de fautes utilisés dans ces attaques sont parfois très restrictifs et conditionnent leur efficacité. Il est donc important de bien connaître quel modèle de faute est pertinent ou réalisable en fonction du circuit cible et du moyen d'injection (dans notre cas le laser). Un première étude portant sur le type de fautes (Bit-set, Bit-reset ou Bit-flip) injectées sur des points mémoires SRAM a mis en évidence la forte dépendance des fautes injectées vis à vis des données manipulées et la quasi inexistence de fautes de type Bit-flip. Ce dernier résultat favorise grandement les attaques de type Safe Error et engendre donc un réel problème de sécurité. La mise en évidence de tels résultats a été possible grâce à des cartographies de sensibilité au laser réalisées sur une cellule SRAM isolée puis sur la mémoire RAM d'un micro-contrôleur 8 bits. Pour confirmer ces résultats expérimentaux, des simulations SPICE d'injection de fautes laser ont été réalisées à partir d'un modèle développé dans l'équipe. Ce modèle prend en compte la topologie de la cible. Des tests ont ensuite été réalisés sur un circuit ASIC implémentant l'algorithme AES. L'analyse des fautes a montré la présence des trois types de fautes mais aussi un faible taux d'injection. En revanche, le taux de répétabilité des fautes était particulièrement élevé. Cela nous a permis d'améliorer une attaque existante et d'obtenir au final une attaque plus efficace que les attaques classiques, nécessitant moins de chiffrements fautés et une analyse des résultats réduite pour retrouver la clef secrète. Enfin, une évaluation des contre-mesures embarquées dans ce circuit a montré leurs inefficacités vis à vis des attaques en fautes par laser. Des pistes d'amélioration ont ensuite été proposées.

[SPI:OTHER] Engineering Sciences/Other

LASER

Injections de fautes

DFA

Modèles de fautes

AES

SRAM

Diagnostic de pannes électriques dans les systèmes logiques / Diagnosis of Electrical Failures in Logic Systems

Ben Abboud, Youssef

30 April 2010

Les dernières technologies comme la 65nm, 45nm et la nouvelle technologie 32nm qui sera disponible à la fin de 2010, permettent la production de circuits de plus en plus complexes avec des performances très élevées. Ces nouvelles technologies imposent donc de nouveaux challenges pour la conception de circuits, mais également pour les méthodologies de test de fabrication et de diagnostic. De ce point de vue, les défaillances observées dans ces technologies ne peuvent pas être modélisées par des fautes classiques de collage. Les fautes de délai, de court-circuit, de circuit ouvert, etc. doivent également être prises en compte. Dans ce contexte, l'objectif de cette thèse a été de développer une méthode de diagnostic logique capable à la fois de traiter un ensemble complet de modèles de fautes et de fournir une localisation fiable et précise des défaillances dans un système sur puce. Ce manuscrit est organisé comme suit. Dans la première partie, les modèles de faute existants sont analysés afin de montrer les conditions de sensibilisation de chacun d'eux. La deuxième partie présente une méthode de diagnostic logique basée sur une approche « Effet-à-Cause». La dernière partie propose une nouvelle technique de diagnostic basée sur une approche « Cause-à-Effet » et permettant de traiter les circuits séquentiels. Les deux approches de diagnostic proposées exploitent les conditions de sensibilisations afin de cibler un ensemble élargi de modèles de fautes durant le processus de diagnostic. Les deux techniques sont validées sur un ensemble important de circuits benchmark et sur des systèmes sur puce fournis par la société STMicroelectronics. / Latest technologies like 65nm, 45nm and the next 32nm technology available at the end of 2010, allow the production of more and more complex and vey high performance circuits. These technologies lead to face with new challenges related to design, test and diagnosis. From this perspective, failures observed in these recent technologies can no longer be modeled by the classical stuck-at fault model. Delay faults, short-circuits, opens, etc. have also to be considered. In this context, the purpose of this thesis has been to develop a logic diagnosis approach able to deal with many types of faults as well as providing an accurate and reliable localization of failures in a system on chip. This manuscript is organized as follows. In the first part, existing fault models are analyzed in order to show the sensitization conditions related to each of them. The second part presents a logic diagnosis method based on the 'Effect-Cause' paradigm. The last part proposes another diagnosis technique based on the 'Cause-Effect' paradigm to deal with sequential circuits. The two proposed diagnosis approaches exploit the sensitization conditions in order to be able to consider a large set of fault models during the diagnosis process. Both techniques have been validated on a large set of benchmark circuits and on System-On-Chips provided by STMicroelectronics.

Diagnostic

modèles de fautes

simulation de faute

Cause-à-Effet

Effet-à-Cause

Système sur puce

Diagnosis

fault models

fault simulation

Cause-Effect

Effect-Cause

System-On-Chip

Rétro-conception matérielle partielle appliquée à l'injection ciblée de fautes laser et à la détection efficace de Chevaux de Troie Matériels / Partial hardware reverse engineering applied to fine grained laser fault injection and efficient hardware trojans detection

Courbon, Franck

03 September 2015

Le travail décrit dans cette thèse porte sur une nouvelle méthodologie de caractérisation des circuits sécurisés basée sur une rétro-conception matérielle partielle : d’une part afin d’améliorer l’injection de fautes laser, d’autre part afin de détecter la présence de Chevaux de Troie Matériels (CTMs). Notre approche est dite partielle car elle est basée sur une seule couche matérielle du composant et car elle ne vise pas à recréer une description schématique ou fonctionnelle de l’ensemble du circuit.Une méthodologie invasive de rétro-conception partielle bas coût, rapide et efficace est proposée. Elle permet d’obtenir une image globale du circuit où seule l’implémentation des caissons des transistors est visible. La mise en œuvre de cette méthodologie est appliquée sur différents circuits sécurisés. L’image obtenue selon la méthodologie déclinée précédemment est traitée afin de localiser spatialement les portes sensibles, voire critiques en matière de sécurité. Une fois ces portes sensibles identifiées, nous caractérisons l’effet du laser sur différentes parties de ces cellules de bases et nous montrons qu’il est possible de contrôler à l’aide d’injections de fautes laser la valeur contenue dans ces portes. Cette technique est inédite car elle valide le modèle de fautes sur une porte complexe en technologie 90 nm. Pour finir une méthode de détection de CTMs est proposée avec le traitement de l’image issue de la rétro-conception partielle. Nous mettons en évidence l’ajout de portes non répertoriées avec l’application sur un couple de circuits. La méthode permet donc de détecter, à moindre coût, de manière rapide et efficace la présence de CTMs. / The work described in this thesis covers an integrated circuit characterization methodology based on a partial hardware reverse engineering. On one hand in order to improve integrated circuit security characterization, on the other hand in order to detect the presence of Hardware Trojans. Our approach is said partial as it is only based on a single hardware layer of the component and also because it does not aim to recreate a schematic or functional description of the whole circuit. A low cost, fast and efficient reverse engineering methodology is proposed. The latter enables to get a global image of the circuit where only transistor's active regions are visible. It thus allows localizing every standard cell. The implementation of this methodology is applied over different secure devices. The obtained image according to the methodology declined earlier is processed in order to spatially localize sensible standard cells, nay critical in terms of security. Once these cells identified, we characterize the laser effect over different location of these standard cells and we show the possibility with the help of laser fault injection the value they contain. The technique is novel as it validates the fault model over a complex gate in 90nm technology node.Finally, a Hardware Trojan detection method is proposed using the partial reverse engineering output. We highlight the addition of few non listed cells with the application on a couple of circuits. The method implementation therefore permits to detect, without full reverse-engineering (and so cheaply), quickly and efficiently the presence of Hardware Trojans.

Sécurité Matérielle

Rétro-conception partielle

Localisation de portes

Injection laser

Modèles de fautes

Chevaux de troie matériels

Hardware security

Partial reverse engineering

Cells localization

Laser injection

Fault model

Hardware Trojans