密码芯片的物理攻击与防护对策

微电子学研究所微电子与纳电子学系密码芯片的物理攻击与防护对策清华大学微电子学研究所许军2012年8月27日微电子学研究所微电子与纳电子学系内容提要密码芯片面临的安全性挑战各种常见的物理攻击技术分析针对不同物理攻击手段的防护对策总结与展望微电子学研究所微电子与纳电子学系内容提要密码芯片面临的安全性挑战各种常见的物理攻击技术分析针对不同物理攻击手段的防护对策总结与展望微电子学研究所微电子与纳电子学系近年来，涉及信息安全的密码芯片面临着越来越严重的安全性挑战，已经出现了各种不同层次、不同水平的攻击手段，概括起来主要可以划分为以下几种：（1）窃听攻击方法（Eavesdropping）（2）软件攻击方法（SoftwareAttacks）（3）故障生成方法（FaultGeneration）（4）微区探测方法（Microprobing）非破坏性攻击破坏性攻击微电子学研究所微电子与纳电子学系（1）窃听攻击方法这种攻击方法既不需打开芯片的封装，也不需要操纵芯片的工作过程，只需通过检测、分析密码芯片正常工作时泄漏出来的各种电磁辐射信号的组成、电源供电电流的起伏涨落、各种信号线上的泄漏电流以及各种通讯协议的时序等，就可以分析破解获得密码芯片中的相关加密信息。有时也称之为“旁路攻击方法”例如：功耗分析方法包括：简单功耗分析差分功耗分析（一阶、高阶）CMOS电路结构微电子学研究所微电子与纳电子学系（2）软件攻击方法这种攻击方法主要是利用密码芯片的通讯协议、密码算法及其电路实现过程中存在的各种安全性漏洞，采用正常的标准通讯接口对密码芯片进行攻击，从而获取芯片中相关的加密信息。例如：软件穷举搜索法等（3）故障生成方法这种攻击方法通过使密码芯片工作在特殊的外部环境应力条件下（例如高低温、电源电压拉偏和峰值冲击、时钟相位跳变、电离辐射、违反通讯协议以及强制局部电路复位等），来诱发关键器件的失效行为，扰乱电路中的加密系统，从而激发芯片的内部故障，最终获取芯片的相关加密信息。微电子学研究所微电子与纳电子学系（4）微区探测方法这种攻击方法需要打开密码芯片的封装，然后利用微探针探测芯片内部的关键数据通道等相关结构，从而截获芯片的相关加密信息。这是一种破坏性的物理攻击方法，如果它与芯片的光学反向工程技术相配合，甚至最终可以完成整个密码电路芯片的版图重构。微电子学研究所微电子与纳电子学系在上述几种攻击方法中，第一、第二种方法属于非破坏性的攻击方法，第三种方法则介于破坏性与非破坏性之间，它们共同的特点是攻击方法便捷、攻击过程快速，攻击成本也比较低，同时具有较强的隐蔽性和欺骗性，不易引起被攻击者的警觉。但是这几种攻击方法也容易受到各种抗攻击技术措施的抵御。目前针对这几种非破坏性的攻击方法，从加密算法和电路设计层面已经发展出了多种有效的抵御攻击措施，包括：掩码技术，功耗平衡技术，利用真随机数发生器实现的时钟扰乱技术等。最后一种攻击方法属于破坏性的攻击方法，也就是我们下面将要讨论的物理攻击手段，它的攻击技术比较复杂，攻击成本也比较高，但是其给信息安全芯片带来的危害性也最大。微电子学研究所微电子与纳电子学系内容提要密码芯片面临的安全性挑战各种常见的物理攻击技术分析针对不同物理攻击手段的防护对策总结与展望微电子学研究所微电子与纳电子学系物理攻击手段所需的主要设备条件：进行密码芯片的物理攻击必须具备一定的硬件设备条件，主要包括：化学腐蚀工作台、微区探针测试台、超声压焊机、光学共焦显微镜、扫描电子显微镜（SEM）、聚焦离子束（FIB）设备、激光微区切割设备、微区精密定位装置（微动工作台）、CCD摄像机、多通道示波器、时钟信号发生器、图形发生器、逻辑分析仪、直流稳压电源，以及一台用于各种信号采集和数据处理的高性能计算机。微电子学研究所微电子与纳电子学系物理攻击手段的主要步骤：（1）获取相关的密码电路芯片，这是对其实施各种物理攻击的必要前提；（2）利用机械切割或化学腐蚀手段，打开芯片的封装结构，再辅以聚焦离子束等微区刻蚀技术，对其关键引出端口（例如电源、时钟信号，各种控制、地址与数据信号总线以及芯片内部预留的测试焊盘等）重新进行超声键合；（3）给密码电路芯片重新加载，必要时可以采用外部的时钟和地址信号发生器，首先对密码芯片内部的各类不挥发存储器直接进行访问和扫描读出，获得其相关的存储信息；微电子学研究所微电子与纳电子学系（4）对于那些没有预留测试焊盘、无法进行超声键合的关键路径，则首先需要利用FIB或激光微区切割手段去除芯片局部区域的钝化保护层，然后采用微区精密定位装置操纵微探针来探测芯片内部的关键数据通道，从而截获芯片的相关加密信息；右图所示为利用激光微区切割技术去除局部钝化层后可进行微探针测试的八条金属数据总线。微电子学研究所微电子与纳电子学系（5）利用光学共焦显微镜或SEM，配合逐层化学腐蚀方法，读出芯片的不同层次结构，从而进一步识别、还原出各电路元件的连接关系，最终完成密码电路芯片的光学反向工程；微电子学研究所微电子与纳电子学系（6）对于传统的ROM存储阵列，在去除各种覆盖层之后，根据其场区边界和扩散区形状及分布情况，即可确定和获取ROM存储阵列中的编码信息；图示为一个16×10的ROM存储阵列，左侧为去除多晶硅和金属后的扩散区图形，右侧图中绿色为多晶硅字线，蓝色为金属数据线，黑色为接地线。微电子学研究所微电子与纳电子学系（7）对于采用离子注入方法改变MOS器件阈值电压进行ROM编码的存储阵列，其编码信息无法通过扩散区的形状及分布情况获得，但是还可以采用去除多晶硅字线之后对器件有源区表面进行晶体染色的方法来显示，这种晶体染色的方法利用不同浓度掺杂区域具有不同的腐蚀速率，来区别具有不同阈值电压的MOS晶体管；微电子学研究所微电子与纳电子学系（8）对于EEPROM和Flash等不挥发存储器，可以通过对普通的SEM进行增强改造，增加一个电压衬度函数，利用初始电子（例如：2.5kV，5nA）轰击芯片中相应的目标位置产生二次电子，再借助能谱仪和探测器记录二次电子的数量及其能量，就可以显示出芯片中不同位置处电场及电势的区别，由此就可以确定EEPROM或Flash存储单元中存储的信息；（9）采用聚集离子束技术还可以在微区范围内（大约在几十纳米）去除或淀积某些材料（金属薄膜或绝缘层），从而实现对密码芯片内部电路连接关系的局部修正与更改。微电子学研究所微电子与纳电子学系常见的物理攻击技术分析：从上面介绍的物理攻击步骤中我们可以看到，攻击者对于密码芯片中相关加密信息的物理攻击手段基本上可以分为以下三个层次：（1）焊盘直接访问：充分利用电路芯片中原有的封装Pad和内部预留的测试Pad，直接访问CPU或存储器的数据总线，获得相关的存储信息；（2）微区探测截获：在无法直接访问的情况下，可以利用激光局部切割和微区探针检测的方法，对芯片中的关键数据通道进行探测和信息截获；（3）间接分析获得：通过芯片的反向解剖工程，进行电路版图重构，同时借助各种辅助分析手段间接获得芯片中存储的信息。微电子学研究所微电子与纳电子学系内容提要密码芯片面临的安全性挑战各种常见的物理攻击技术分析针对不同物理攻击手段的防护对策总结与展望微电子学研究所微电子与纳电子学系针对上述三个层次的物理攻击手段，我们可以分别采取不同的应对防护措施。（1）针对“焊盘直接访问”的防护措施：这种攻击手段最为低劣，目前从电路设计角度采取的诸多隔离和加密措施已经可以有效地防范和抵御，但是在电路设计中仍需注意：•在密码芯片的设计中尽量不要保留（或少保留）内部测试用的Pad；•尤其是芯片内部各类数据总线上提供给片上测试用的并行/串行转换器电路等测试结构在完成测试功能后也必须彻底毁坏；•还可以尽量将这些内部测试用Pad以及辅助测试电路结构安排在相邻芯片之间的切割道中。微电子学研究所微电子与纳电子学系（2）针对“微区探测截获”的防护措施：这种微区探测截获手段具有较强的攻击性，针对这种攻击，电路设计师在电路设计中除了采取传统的防护措施之外，还应特别注意：•尽量采用高端的先进工艺技术来制造芯片；•尽量将相关的数据总线、控制总线等关键数据通道设计在多层金属互连布线的最底层；•在各类关键数据通道布线的上方尽可能设计多层必要的电源、地线和时钟信号线网络；•在上述底层关键数据通道布线的顶层或中间层设计密集的金属传感器网络，在电路每次启动的过程中首先检测传感器网络是否发生断路或短路，从而触发内部电路报警（例如终止处理器的运行或完成Flash存储信息的彻底擦除等）。微电子学研究所微电子与纳电子学系下图所示为在多层金属布线的顶层或中间层设计的密集金属传感器网络，用于检测是否出现微区局部切割等物理攻击。左图为出现物理攻击时的情形，传感网络将触发电路报警并采取抵御措施。微电子学研究所微电子与纳电子学系（3）针对“反向解剖工程”的防护措施：这种反向解剖分析手段对于密码芯片具有最大的威胁性，针对这种攻击，电路设计师在电路设计中可采取的应对措施包括：•尽量采用高端的先进工艺技术来制造芯片；•芯片中固化的ROM存储阵列尽可能采用两种反型的离子注入掺杂来调整MOS晶体管的开启电压；•电路中用到的不挥发存储器尽可能选用SONOS等结构的电荷俘获型存储器，避免使用传统的浮栅型不挥发存储器；•在多层金属布线的顶层和中间层设计大量的冗余金属防护结构；•尽量采用不透明且不易被各种酸碱腐蚀液去除的表面钝化保护材料。微电子学研究所微电子与纳电子学系关于芯片表面物理防护的等级：•普通的钝化保护：通常为二氧化硅、氮化硅等绝缘介质或聚酰亚胺等高分子聚合物材料，其特点是工艺技术兼容性好、寄生效应小、物理化学性质稳定，存在问题是材料本身透明、易于腐蚀去除；•中等的物理防护：表面可以选用合适的难熔金属薄膜等不透明材料，能够抵御各种可见光、X射线、红外线、紫外线的穿透，存在问题是可能会带来较大的寄生效应，对于FIB刻蚀也是无能为力的；•先进的物理防护：坚固、不透明材料，能够耐受各种酸、碱溶液腐蚀且难以去除（或者在去除的同时将引起芯片内部器件或电路结构的破坏），工艺技术兼容性好、寄生效应小（？？？）。微电子学研究所微电子与纳电子学系针对以上分析的各种常见的密码芯片物理解剖攻击方法，我们提出了一种“在顶层互连通孔处及其附近进行下层电路结构与金属布线的加密处理并同时覆盖大面积顶层金属阵列和传感网络交错结构”的抗物理解剖技术，该技术的基本思想就是利用目前集成电路制造工艺中业已成熟的多层金属布线工艺技术，达到如下几点抗物理攻击的目的：•利用芯片表面大面积的顶层金属阵列覆盖，可以阻挡各种直接的显微照相技术的实施，包括普通显微照相技术、红外显微照相技术、X射线显微照相技术等，阻止攻击者对密码芯片整体结构、电路功能分块、焊盘引脚定义的直观判断；微电子学研究所微电子与纳电子学系•当攻击者试图利用FIB或激光切割技术局部去除表面金属层从而探测芯片内部关键数据通道时，金属传感网络将触发电路报警并采取相应的终止处理器运行或擦除Flash存储信息等抵御措施；•在大面积顶层金属阵列的下方可设置大量的互连通孔，当攻击者试图通过化学腐蚀或干法刻蚀等多种薄膜剥离技术对顶层金属进行逐层剥离时，将会使通孔处及其附近的下层电路结构和金属布线受到不同程度的侵蚀和破坏，从而难以实现密码芯片电路的完整恢复和版图重构；•利用顶层金属阵列的覆盖，对通孔处及其附近的下层金属布线和电路结构可进行必要的加密处理，从而进一步提高密码芯片抗物理攻击的强度。微电子学研究所微电子与纳电子学系内容提要密码芯片面临的安全性挑战各种常见的物理攻击技术分析针对不同物理攻击手段的防护对策总结与展望微电子学研究所微电子与纳电子学系顶层设置网状金属传感器和加密金属阵列可能是近期密码芯片物理防护的一个有效措施。攻击与防御是密码芯片研究领域中的两个永恒的主题，任何一种防护对策都有可能很快面临新的攻击技术的挑战。从物理防护的角度来看，未来或许可以利用SIP技术进一步实现密码芯片的攻击触发自毁功能。微电子学研究所微电子与纳电子学系参考文献：S.Blythe,etal.,“LayoutReconst