Modélisation et simulation d'attaque laser sur des circuits sécuritaires

par Stephan De Castro

Thèse de doctorat en Systèmes automatiques et micro-électroniques

Sous la direction de Bruno Rouzeyre.

Le président du jury était Lionel Torres.

Le jury était composé de Bruno Rouzeyre, Lionel Torres, Lorena Anghel, Guy Gogniat, Jean-Max Dutertre.

Les rapporteurs étaient Lorena Anghel, Guy Gogniat.


  • Résumé

    De nos jours, de plus en plus de circuits électroniques sont utilisés pour des usages critiques, tels le paiement ou l’identification. Ces circuits peuvent ainsi susciter l’intérêt de personnes malveillantes. Parmi toutes les méthodes permettant d’obtenir les clés de chiffrement, l’illumination du circuit à l'aide d'un laser est une des méthodes particulièrement efficace. Il est donc important de pouvoir prémunir les circuits sécurisés de ces attaques. Cependant, afin de tester la résistance du circuit face à l’injection laser, il est nécessaire de réaliser des injections sur celui-ci. Si le circuit ne correspond pas aux exigences sécuritaires, il est donc nécessaire de le modifier, ce qui induit un coût important en termes de temps de conception et de coût de fabrication. Afin de prédire l’effet de l’illumination laser et donc éviter ce surcoût, des simulateurs et des modèles électriques modélisant l’effet d’une illumination laser ont été développé.Dans un premier temps, nous décrivons le phénomène physique lié à l’injection laser (effet photoélectrique) qui conduit à la génération de faute dans le circuit. Puis nous donnons une description des premiers modèles électriques de simulation d’injection laser, utilisant des sources de courant afin de représenter l’effet de l’illumination dans le silicium.Ensuite, nous présentons une mise en pratique d’attaques sur un crypto processeur implémentant un AES 128. Cette expérience a permis de comparer les deux méthodes d’injections possibles avec un laser, l’injection par la face avant et par la face arrière. Il ressort de cette comparaison que la cible et le matériel d’injection à disposition sont un élément important dans le choix de la méthode d’injection. En effet, il est possible pour certains circuit d’obtenir plus de fautes exploitables (mono-bit ou mono-octet) en injectant par la face avant avec un faisceau large que par la face arrière avec un faisceau aussi large. Cet effet s’explique par un filtrage des lignes de métaux, présentes au-dessus du silicium, qui ont pour effet de réduire la zone de silicium illuminée.Nous nous intéressons ensuite à la validité des modèles électriques d’injection laser pour les technologies les plus récentes. Nous avons donc développé des nouveaux modèles sur les technologies bulk et CMOS Fully Depleted Silicon On Insulator (FDSOI). De par sa structure, le transistor CMOS FDSOI semble à priori plus résistant à l’injection laser que le transistor CMOS bulk. Cette observation est validée par l’expérience.Finalement, nous réalisons des injections sur un élément de mémorisation (chaîne de bascules DFF). Ces expériences ont montré que malgré la plus grande résistance d’une technologie CMOS FDSOI très récentes, il est possible d’injecter des fautes dans les bascules. Avec un faisceau laser d’un micromètre, pour cette bascule, il est même possible suivant la zone d’injection de choisir le type de faute injectée. Malgré le fait que l’injection soit toujours possible pour ces technologies, la technologie CMOS FDSOI est plus résistante car la différence entre le seuil énergétique d’injection de faute et de casse est plus faible et aussi par l’effet d’une « casse » lors de plusieurs injections successives.En conclusion, les travaux précédents ont permis de mettre à jour et de développer de nouveaux modèles électriques d’injection laser pour des technologies CMOS bulk et FDSOI très récentes et de comparer ces deux technologies face à l’injection laser. Il en ressort que malgré une injection de faute encore possible pour ces deux technologies, l’injection est plus difficile lorsque le circuit est implanté en technologie CMOS FDSOI.

  • Titre traduit

    Modeling and simulation of laser attack against secure circuits


  • Résumé

    Nowadays, more and more microelectronic circuits are used for critical purposes, such as payment or identification. Then those circuit sparked interest form attackers. Among the different ways to retrieve the cipher key, laser illumination is a very efficient one. Thereby, the protection of the circuit against these attacks becomes an important point for designers. However, to determine the resistance of a circuit against laser injection, laser illumination has to be performed. If the circuit do not match the security requirement, it has to be changed, which represent a large cost in terms of design time and fabrication cost. In order to predict the effect of a laser injection, electrical model and simulator have been developed.First, a description of the physical phenomenon (photoelectric effect), which leads to the fault injection in the circuit, is given. Then a description of the first electrical model developed using current sources to model the illumination effect.Then, a practical attack is performed on a crypto processor implanting the AES algorithm. This experimentation allows us to compare the two ways of laser injections, injection from the front side or the back side of the circuit. It comes out that the best way of injection depends on the circuit aimed and the laser bench at disposal of the attacker. Indeed, on the studied circuit, better exploitable fault can be injected, from the front side injection with a large laser spot than from the back side with the same laser spot size. This result can be explained by the effect of the metal lines above the circuit, which reduce the area of illuminated silicon.We discuss then about the validity of the electrical model for more recent technology nodes. Thus a new electrical model is developed for more recent CMOS bulk and Fully Depleted Silicon On Insulator (FDSOI) technologies. From its transistor structure, the CMOS FDSOI technology seems to be more resistant to laser injection than the CMOS bulk technology. This observation is confirmed by experimentation.Finally, we perform laser injection on a memory element (here a flip-flop chain). These experimentations show that even if the CMOS FDSOI technology seems to be more resistant, fault can be injected. With a one micro meter laser spot, the attacker can inject the wanted fault type in the flip-flop (bit set or bit reset) on 28nm CMOS bulk and FDSOI technologies. Even if, the fault injection is still possible, from the attacker point of view, fault injection is more difficult in a circuit using the CMOS 28nm FDSOI technology than the CMOS 28nm bulk one. Indeed, the gap between the fault injection threshold and the breaking threshold is narrower for the FDSOI than the bulk. Moreover, a breaking phenomenon has been observed in the FDSOI technology when multiple laser shot are performed in the same place.To conclude, the previous work allows updating and developed a new electrical model for the recent CMOS bulk and FDSOI technology under illumination, to compare those technologies against laser illumination. It comes out, that even if fault injection is possible for both technologies, the practical attack is more difficult to achieve on a CMOS FDSOI circuit.


Il est disponible au sein de la bibliothèque de l'établissement de soutenance.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse ?