半侵入式攻击

1、半侵入式攻击这是一种新的攻击类型，在2002年我们提出光学缺陷注入攻击时引入这个概念。半侵入 式攻击与侵入式一样，需要打开芯片的封装来访问芯片表面。但芯片的钝化层保持完整-半侵入式攻击不需要与金届表面进行电接触，这样对硅就没有机械损伤。随着特征尺寸的缩小和元器件复杂性的增加，对侵入式攻击的要求越来越高，开销也越 大。半侵入式攻击不需要昂贵的工具，且能在较短的时间内得到结果，使之变得越来越有吸 引力。同时，对所有晶体管或部分区域的晶体管进行半侵入式攻击，这对现代小特征尺寸的 芯片比较适合。半侵入式攻击不是全新的。通常对裸芯片最容易进行电磁分析；打开封装后，在紫外线 下曝光老旧的基于EPROM微控

2、制器存储器保护位，这些是很久以前的故事了。半侵入式攻 击用到以下手段：紫外线，X光，激光，电磁场和热量。可以单独用其中一种或几种合用。 半侵入式攻击最早用于失效分析。这包括背面成像和对触发器进行单探针探测，但现代 的深业微米元器件不能只靠这些方法。在后期测试时使用半侵入式方法来分析硬件安全性， 可以避免一些安全问题，并且比侵入式方法节省时间和金钱。使用廉价而简单的设备就可以进行快速而强大的攻击。这些攻击使用计算机控制的工作 站就很容易进行自动操作，可以在几个小时内快速完成，而侵入式则需要数天至数周。1.紫外线攻击(UV attacks )这几乎是最古老的攻击方式，上个世纪七十年代中期就用来攻击

3、微控制器了。在以前被视为侵入式攻击，但它仅仅需要打开芯片的封装，当然届于半侵入式攻击。它对很多OTP日U V EPROMK控制器有效，那些微控制器在设计上只能抵挡廉价的非侵入式攻击。紫外线攻击可以分成两步，找到熔丝，用紫外线复位到未保护状态。通常安全熔丝设计 成比程序存储器擦除得要晚，紫外线不能覆盖整个芯片1-(1)定位安全熔丝安全熔丝可以从物理上与主存储器分开，也可嵌入到存储器阵列。有多种方法可以用来找到熔丝的精确位置。通用的，但耗时耗钱的方法是将整个芯片反 向工程。局部反向工程就能省很多时间。例如，用于存储器编程用的高压一般是由外部引脚 供应的，可以借此跟踪到所有的存储器单元，包括熔丝。在

4、显微镜下很容易跟踪到低至0.8微米技术制造的芯片的熔丝。线宽更低的，尤其是平面工艺制造的，对其进行光学分析是不 可行的，需要反向处理芯片来观察内部结构。另一种是损伤芯片不同部分并观察结果。这样处理需要很长时间和很多样品才能成功。如果熔丝距离存储器很近，或者是嵌入的。对其定位将很困难。同时，用紫外线来擦除 熔丝也一样。测试的顺序很简单，芯片的半个表面用不透光的材料挡住，然后将芯片置于紫 外线下照射一段时间，如果保护被解除了，那熔丝就在未覆盖部分。否则，交换覆盖和未覆 盖区域，对每部分减半后重复进行就可以了。这种攻击可以在约15次反复后，以10-20微米的精确度定位熔丝，通常耗时不超过3小 时。对

5、于熔丝嵌入在主存储器中的情况，需要更高的精确度，要用到紫外线激光或光阻掩模。 但有个更有效更简单的方法是用记号笔将不需要紫外线照射的地方涂抹覆盖。别的半侵入式 攻击也可以用来寻找熔丝。如激光扫描技术可以用来直接读晶体管的状态。扫描同样的芯片 两次，一次是安全位置位，另一次是复位。将扫描结果相比较就可以揭示修改的位置。然后 就可以光学检查该区域来标出熔丝。另一种是用光学缺陷注入来改变芯片内部不同晶体管状态，寻找影响熔丝状态的位置。1-(2)定点攻击(Toothpick attacks )术语“定点攻击”首次出现在赛灵思(Xilinx )的CPLDB皮书上。与我们最近提出的光 学缺陷注入攻击类似，

6、与别的未知的廉价攻击一样，越来越常用。为了达到更高的精确度，我们将定点攻击引入到紫外线攻击中实例如下图：紫外线定点攻击的工具实例如下图：激光切除了所涂抹的一部分以暴露所需的EPROM。500X用普通的记号笔涂抹芯片表面后，用木质牙签刮掉所需的区域。数支不同颜色的记号笔在同一存储器芯片上进行测试。测量干净和涂抹的芯片在擦除时间上的差异。结果在列表中实例如下图：紫外线在不同颜色水笔中的透光率i ype nf marker penColourAttenuatinii nf a Ungje layer 卜3-S pm thick)Scratching with toothpickTransvisiSl

7、iLediier. Luimcnlr.non-purnianent( water soluble>RMI7dBHardTfeui spiiStaediler. I.uniocoJor, pcntitiiientRE14 dBHardTransp;iGreen6 dBHardVerV Iri JBl ueI3dBHardTran spaBl ack24 dBPossiblePaniallyUniversal Office Supplies.ry-Wip MarkerRed10 dBEa好Parti all?piians. DrvWipe MarkerRed5 dBEasyVer tra红色

8、记号笔是最佳的。芯片表面可以看到精确位置，同时提供了适当衰减。擦掉干的印 记对下面的钝化层没有任何损伤。有些笔墨轻微导电，小心使用它们，避免涂到焊线区。处理过程不需要很有经验，可以很快学会，这些窍门有助丁快速找到安全熔丝的位置。油墨在每个擦除/涂抹周期后用溶剂除去。在显微镜下刮擦过的表面几乎不可能达到 10微米以下的定位精度。但对丁那些安全熔丝 远离主存储器的微处理器已经足够了。为了达到更好的效果，涂层可以用激光来切割。紫外 线激光最理想了，绿色激光在黑和红的涂层上也能很好工作。所以，用很廉价的工具装备的破解者也能用紫外线成功攻击芯片上所需的区域。但是当 今的很多微控制器制造商使用了多种保护技

9、术来抵挡紫外线攻击。这些技术包括在芯片上覆 盖一层顶层金届来完全阻挡紫外线，使用不能被紫外线复位的特殊设计单元，以及使用紫外 线传感器来防止芯片暴露在紫外线下工作。1-(3) EEPROM和闪存的问题如EPROMk样，大部分浮栅类型的存储器也对紫外线攻击敏感。同时，设计者有更多的自由来选择不同的保护方式来阻止攻击。EEPROM闪存可以双向改变它们的状态，最简单的是用某个单元的擦除状态来指示报警，一个已编程状态来相应屏蔽掉安全特性。这个做法对 控制逻辑的修改很少。在很多制造商的闪存型微控制器中广泛使用。紫外线有五种可能的方 法来影响浮栅存储单元：把存储器单元从已编程态改为擦除状态，如果擦除状态对

10、应屏蔽安全特性就会影响安 全熔丝。把存储器单元从擦除状态改为已编程态，如果已编程态对应屏蔽安全特性就会影响安全熔丝。把存储器单元从擦除状态或已编程态改为中间态，如果单元控制电路的参考电压在电 源供应电压之上时有可能影响安全特性。使存储器单元的晶体管阈值电压漂移出操作电平的范围，这会锁掉单元。这对防紫外 线攻击有利，但破解者也可用此定位熔丝。存储器单元的晶体管阈值电压没有漂移到改变状态的程度。定位攻击能用此来锁定熔丝位置，即使用紫外线也不能将其复位。除非熔丝上有一层金 届保护或对紫外线不敏感。尽管如此，缺陷注入攻击仍然可以用来改变熔丝状态，或使用侵 入式攻击来永久改变它。2 背面成像技术(Bac

11、kside imaging techniques )半导体分析的第一步就是在显微镜下进行目检。晶体管的特征尺寸每年都在缩小，芯片 表面的结构越来越难观察。使用0.8微米以上的技术，很容易识别出微控制器的主要部分- ROM EEPRQMSRAM CP贝及CPU!勺指令解码器和寄存器。0.5-0.35微米工艺的芯片，就很 难区别ROM SRA耐闪存。低于0.25微米芯片，几乎看不出什么。这不仅仅是特征尺寸小，而且芯片表面有多层金属。另外，平面工艺用来填充金属层和金属焊线区的空白区域，这会 阻止光线通过实例如下图：光的波长与硅的透光率红外灯（左）和普通灯（右）Wa?&iength, pmTr

12、ansm ittance of 400 pim Si wafer种方法是使用红外线，不论反射还是直射，从芯片背面观察。硅几乎对波长大丁1.1微米的光线透明。但是一些现代芯片使用了高掺杂的硅晶圆（1.1019cm-3）,对红外线就 不透明了。需要更强的光源或灵敏度更高的红外摄像头实例如下图：0.35um技术的MSP430F112微控制器的标准光学照片（左）和反射光背面成像照实例如下图：透射光拍照示意图，右侧是MSP430F112的透射照片。51图像用直射光有很好的效果，不需要很强的光源，甚至标准的低成本单色CCD®头就可以用来成像。一块空白的硅晶圆用来滤除正常的光线。反射光有更好的对比

13、度，它不需要通过多层金届。在0.5微米及以下的技术中，可以比正常图片得到更多的信息。需要注意的是从背面获得的图像是正常图像的镜像，实际使用时 可以把芯片水平翻转一下。背面成像的另一个用处就是获取 ROM勺内容。在正面，晶体管被顶层金届所遮蔽，通过背面就可以很活楚地看到。例如无需使用类似化学腐蚀来检查掩模ROMJ容的侵入式攻击，直接观察背面就可以了，而这是种半侵入式技术。这种方法因光学系统的最大解析度而限制 了近红外（对丁硅是1-1.1微米）区域的分辨率低丁 0.6微米。实例如下图：1.0um技术的MC68HC705P6A控制器内掩模ROM勺标准光学照片（左）和透射光背面月KIffWTxKtLi

14、suTtiilwl MM背面成像广泛用丁失效分析中，从定位失效晶体管或F旧后观察内部互联。需要说明的是这样的系统成本极高，只有相关的大公司可能提供。但在简陋的实验室里用近红外显微镜 和红外敏感的镜头也能做到，就像例子中那样。3.主动光探测技术（Active photon probing ）发明半导体晶体管的时候，就发现它对离子辐射比先前使用的电子管（真空管）更敏感。 包括核爆炸，同位素辐射，X光和宇宙射线。在六十年代中期，在脉冲激光实验时，发现连续 光会导致一些类似现象。激光就被用来模拟离子辐射对半导体的各种效应。科技获得了惊人的发展，昂贵的基丁惰性气体的激光和固态激光被低成本的半导体激光 所

15、代替。结果是激光技术走出实验室进入消费电子领域。如果光子的能量超过半导体的能隙带宽（1.1eV或1100nn）,激光就可以将半导体集 成电路的特定区域离子化。波长为1.06微米的激光（光子能量1.17eV）对丁硅有约700微米 的穿透深度并有良好的空间离子化均匀度。但是，因为有几微米的散射，聚焦能力受限，并 且对丁现代半导体元器件来说，不够精确。但是，当从红外移到可见光区域时，光子的吸收 能力显著增加，可使用更为细小的红或绿激光，意味着达到同样离子化能力所需能量更少。在CMO器件中，有个危险是电路被锁定，会导致开路而永久损坏。对CMO谿构使用辐射时必须考虑到这些。在主动光子探测中，一束扫描光子

16、束作用到集成电路上。光子的能量大丁硅的能带，在半导体中产生电子空穴对。低能量的光子能持续作用到PN结，但只发生热效应，那比光电效应弱得多。失效分析时使用到多种激光扫描技术。通常使用激光扫描显微镜。尽管这些显微镜在快速扫描方面是个很大的优势，一秒钟可以扫描一帧。但对丁小型的研发实验室来讲，它太贵了。因此，在实验中，我们使用便宜些但速度也慢些的激光源，样品在XY电动台上移动。激 光器附在探针站显微镜的摄像口上，带芯片的测试座安放在XY电动台上。尽管扫描一个100*100微米的区域需要大约15分钟，这仍然适合做研究。3- (1) 激光扫描技术(Laser scanning techniques )在

17、硬件分析中有两种主要激光扫描技术。一种是光束诱导电流(OBIC: Optical Beam Induced Current )用在没有偏压的芯片上，寻找表面激活的掺杂区域。另一种是光束诱导电压变化(LIVA： light induced voltage alteration )，用丁正在运行中的芯片。在 OBIC中,光电流直接用来产生图像。这样，被分析芯片的电源脚可以连接一个电流放大器。它的值可以通过转接卡纪录到计算机里。对丁LIVA,光束扫描包流供电的集成电路表面，监控电压变化就可以得到图像。实例如下图：PICF84A安全熔丝区域的标准光学照片 (左)和激光扫描照片(右)OBIC技术能被用来

18、附加在标准的光学图像上,就可以定位芯片内的激活区域。 我们用MATLABft件画了个扫描后的结果图像。对照光学图像，激光可以对准芯片正面或背面的有效区 域。从正面扫描，可以用红色点状激光(波长约 650纳米)作光源，扫描芯片内的安全熔丝 区域后的结果。背面扫描用波长为1065纳米的红外激光，从背面扫描芯片的同样区域。从照 片可以看出，与正面扫描相比，背面扫描效果更好，因为没有来阻挡激光束的金届层。激光 图像能用丁掩模ROM勺信息提取上，下图是使用类似的方法获的红外背景图像。实例如下图：PICF84A安全熔丝(寄存器)区域的背面激光成像照片WWW. PP51. COMECA 二233-SE23Z

19、:?1 SC勺二IS："1TdC1335实例如下图：MC68HC705P6A微控制器内掩模ROM的背面激光成像照片3-(2)读出晶体管的逻辑状态在侵入式攻击中，传统的读出半导体存储器中数据的方法是使用机械探针，通常用在处 理器总线上。这样的攻击是使用微探针与内部电路产生直接的电接触。该方法困难多多，从 缩小特征尺寸到使用片上存储器的硬件访问电路都有困难。我们就研究了用半侵入式技术来 非破坏地读出存储器单元状态。以下描述能提取出 CMOS SRAM的内容但无法广泛应用。在显微镜下使用红激光聚焦到芯片表面来分析 SRAM 650nm波长红激光的能量大丁硅的能带，它会将芯片内部的有效区域离

20、子化。如果光子到达 PN结附近的区域，因光电效应而会 产生光电流。当光子进入 P或N区域，会注入自由载流子而降低通道的电阻。这就使得我们可以读出存储器单元的状态，显而易见的，增大电流就可以使通道导通， 几乎可以忽略。将激光束指向合适的晶体管，就能区别两种可能的状态。在第一次试验中，通过测量激光扫描芯片表面产生光电流来建了一份激活区域的示意图。 芯片放在精度0.1微米的电动台上。扫描结果如图。可见激活区域产生的大电流，但大部分 被金届层覆盖，激光不能穿透，所以那些区域不能产生电流。我们用这张图片来比较从已上 电芯片所获得的结果。下一个实验是用正在运行的芯片。芯片已编程，可以载入任意值到RA&qu

21、ot;,然后停止芯片的运行。扫描载入随机数据的存储器单元结果如图。可以看到存储器单元有不同的状态， 内容为1的单元顶层是亮的，内容为0的则是底层亮的。实例如下图：激光扫描未上电（左）和已上电（右）的存储器照片WW.PP51.C0K我们的实验结果类似丁 Sandia Labs发布的结果，但有很大不同。我们从顶层扫描芯片来代替发出通过芯片的包定电流，我们使用包压供电，像标准的功耗分析一样来测量电流。如果重要数据正好在一个时钟周期内在一个位置活楚地出现，那破解者就可以推导出，并冻结这个状态。（可以是物理的，如低温；或用别的方法如停止时钟），那破解者就有可能是用光 学的或电磁探测技术读出数据。技能和设

22、备方面的投入明显要比侵入式攻击少很多。4 缺陷注入攻击（Fault injection attacks ）这是个新的攻击方法。照射目标晶体管来影响它的状态，因此产生一个短暂的错误。这种攻击很实用，不需要昂贵的激光器。使用从摄影店购买的二手闪光灯和激光指示器即可。为说明这种攻击的能力，我们研究了在显微镜下置位或复位任意 SRA假。如果没有反制措施, 光学探测也能在密钥计算或协议里产生错误，并中断处理器的控制流程。它扩展了现有的噪 声和缺陷分析技术。这种攻击会给工业上带来大问题，类似丁上世纪九十年代中期的微探测 攻击和后期的功耗分析攻击。4-（1）改变SRAM勺内容尽管有多种方法使用脉冲激光来模拟

23、离子辐射，我们发现没有公开的信息使用它们来控制或 改变集成电路的功能。我们决定使用强光源作用半导体芯片，来确定是否会改变存储器单元 的状态，以及难易程度实例如下图：单个SRAM单元的结构（左）和版图（右）WWW. PP51. COMVT2T plVT3 Vccf VT5VT1 T第一次试验的目标是SRAM标准的六管SRA噬构，由两对P和N型的晶体管构成一个触 发 器，另外两个N型晶体管用来读它的状态和写入新数据。晶体管 VT1和VT2构成反向器，和 其 它相似部分一起，构成由晶体管 VT3和VT6控制的触发器。如果晶体管VT1能被外部因素短暂开路，那就会导致触发器改变状态。曝光晶体管VT4,单

24、元的状态可以被改到相反状态。主要的困难是将聚焦离子辐射降到几平方微米并选定适当 的强度。使用PIC16F84来做实验，它有68个字节的片上SRAM SRAM$列的位置是在晶粒底 部的中间。如图。实例如下图：PIC16F84的原始照片和打开封装后的照片，右侧为内部 SRAM的照片因为预算有限，并且使用的激光表现不稳定，我们决定使用廉价的闪光灯。尽管闪光灯的发光度比脉冲激光低，但适当放大后可以达到离子化的等级。 将闪光灯固定在视频端口上, 放大倍数为1500X微控制器已被编程，可以上传或下载它的存储器内容。将整个存储器用包定值填充，在 闪光灯下曝光，然后读出结果，就可以检查那个单元的状态改变了。通

25、过带孔的铝箔遮蔽光源，光源的输出功率设在最大，我们只能改变一个单元的状态 单元的最终状态取决丁在闪光时暴露的面积。这几乎可以肯定用廉价的半侵入式攻击可以改 变SRAM勺内容。最大放大倍数时的SRAhM列如图615。聚焦后的光点如白圈所示，能把单元的状态从0改到1,或继续改为0,如果状态是0的话就不会改变。聚焦光点到黑圈，单元的状态能从持状态1实例如下图：1500倍下的SRAM阵列照片实例如下图：SRAM存储器阵列的数据位从图中可知SRA毗列被分成八个相同的块。通过曝光不同块里的单元，发现每个块对应信息平面的一位。位平面图如图 616。通过在闪光灯下曝光每个单元获得了整个存储器的图，左边对应块的

26、底部。可以看出地 址不是连续的，被分成了三组实例如下图：SRAM存储器阵列中每个位块的物理地址30h34 h3Sh3Ch40h44h48h4Chiohi4h1ICh20h24h2Bh3ih35 h39h3Dh41h45 h49h4Dh1111I5h19hioh21 h25h29h32h3Ah3Eh42h46 h4 Ah4Eh12HI6h1 AhlEh22h26h2Ah33h37h3Bh3Fh43h47 n4Bh4Fh1311I7hiBhiFh23h27h2Bh这个实验表明反向工程中使用半侵入式攻击很容易就获得存储器的地址图。唯一的限制 是闪光灯不能产生连续且单色的光，所以很难控制光点将照射的区

27、域。这个问题可以用合适 的激光来解决。良好设计的现代安全微控制器不容易被单色激光攻击，它们的保护状态取决丁物理存储 的多个位。但是，很多设计可以通过修改锁定读保护触发器的状态来破解。设计帅需要确保 单个晶体管的失效也不能破坏芯片的安全规则。对智能卡也可以进行类似的攻击。跳转指令冲突是个强大而通用的攻击点。破解者可以 使用设置智能卡代码的分支条件来引向错误的方向。例如，减少阻塞密码循环的次数到一至 二次，直接恢复密码。现有的高端防攻击技术，如顶层金届遮蔽和总线加密，会使得破解者使用这些技术变得 更复杂，但这还不够。老练的破解者可以用红外线或X光来对付金届层的遮蔽，直接攻击寄存器就可以跳过总线加密

28、。4- (2)修改非易失存储器的内容EPROM, EEPRO帆存单元对缺陷注入攻击更为敏感。这是因为流进浮栅的电流比流进 SRAhM元的要小得多。首先假定芯片内有光传感器来防止打开封装，在我们研究过这个问题之后，可以用光注 入缺陷到EEPROM储器中。安装在探针站显微镜里的20瓦灯泡足以翻转PIC16F84微控制器的安全熔丝状态。光圈部打开，放大倍数设为1500倍时，光线能聚焦到安全熔丝区域而不影响主存储器。不需要修 改现有的设备。将一个已编程，加密的且被打开封装的PIC16F84芯片放在显微镜下的测试座 中，与通用烧写器相连。当通过显微镜的目镜定位到安全熔丝后，光功率切换到最大，就可 以正常

29、读出存储器的内容。从芯片背面进行同样的操作也获得了成功。一方面，从晶粒的背面不容易找到熔丝的位 置。另一方面，可以使用机械方法从背面打开封装，这就避免使用强腐蚀的化学试剂。可以 使用正面光学照片作参考来定位，或使用红外镜头来定位。尽管从卤素灯泡不能得到足够的1到1.1微米区域的红外线来直接从晶粒的背面来离子 化晶体管的有效区域，但从硅衬底发出的大量电子空穴对大部分在互相复合前就落到有效区域 里了。幸运的是，这种攻击不能对付现代低特征尺寸的芯片。 顶层金届防止光线到达有效区域， 平面化减少了氧化层的透明度，并加强了光的散射。高的掺杂浓度减少了光从背面的透射。 更小的晶体管需要更大的辐射来进行开关

30、。紫外线EPROIW储器单元对光攻击不太敏感，因为需要更大的电流来切换。但是，事实 上闪光灯或通常的灯泡也能用来破解安全熔丝，仍然需要小心设计安全保护方法。例如，安 全熔丝不应该放在远离主存储器的地方，这会导致攻击它们很容易。同时，光和辐射传感器 可以用来检测离子辐射，在泄漏敏感信息之前就复位芯片。5 软件模拟攻击(Modelling the attacks )为了研究有效的对策，了解攻击细节是很重要的。在光学缺陷注入和激光扫描攻击中，需要完全理解在硅芯片里发生的过程和原理。模拟这样的攻击受到很多限制。每一步都要解 决复杂系统中的多个因素。要计算一束激光对整个芯片的影响是很困难的。但对丁一小部

31、分 晶体管，是可以模拟的。在TCA啾件中，可以模拟离子辐射对半导体的影响。但这个软件太 复杂，太昂贵了，我们使用另一种工具软件DIODE-2D.5- (1)模拟逻辑状态来读出数据如前面所提到的，使用激光扫描就可以读出晶体管的状态。如预想的那样，激光扫描到存储器中P和N型晶体管的源和漏极产生最大的光电流， 不透明金届线则对应最低的光电流。扫描的结果明显可以看出SRA州元中反向器开关状态的光电流大小。 这个可以用来确定存储 器单元当前的状态。为解释结果并寻找更适合的扫描参数，用DIODE-2D典示激光脉冲加到反向器时的二维数 学模型。实例如下图：型结构的剖面图WWW.PP51.COMn-Slsii

32、b5trat«滞30乾噩37转47轴网酩斜上1I1<|)1"-*沟道的长度假定为1微米，激光辐射的强度为1.104W/cm2别的参数，如掺杂浓度，P 和N阱的深度，使用的是标准的1微米N型衬底CMO技术的参数。我们模拟了反向器在两种状态下，不同波长的激光对不同位置时与电源电流的关系。结果如图。实例如下图：不同波长下电源电流与激光扫描位置的关系11 £寸34 35 37 39 4142 4 46 47 43 SOK.A = 632 nmAn 6&D nm可以看出曝光关态的晶体管的电流比开态的要大很多。打开关态晶体管的通道所增加的 总电流比轻微减少开态通道的电阻还要大。另一个值得注意的是光电流与激光波长的关系。这会导致减少衬底的寄生光电流，短波 长的光子几乎集中在表面。通过计算同一反向器的电源电流与激光波