RTL modeling of laser attacks for early evaluation of secure ICs and countermeasure design

Abstract

Many aspects of our current life rely on the exchange of data through electronic media. Powerful encryption algorithms guarantee the security, privacy and authentication of these exchanges. Nevertheless, those algorithms are implemented in electronic devices that may be the target of attacks despite their proven robustness. Several means of attacking integrated circuits are reported in the literature (for instance analysis of the correlation between the processed data and power consumption). Among them, laser illumination of the device has been reported to be one important and effective mean to perform attacks. The principle is to illuminate the circuit by mean of a laser and then to induce an erroneous behavior.For instance, in so-called Differential Fault Analysis (DFA), an attacker can deduce the secret key used in the crypto-algorithms by comparing the faulty result and the correct one. Other types of attacks exist, also based on fault injection but not requiring a differential analysis; the safe error attacks or clocks attacks are such examples. The main goal of the PhD thesis was to provide efficient CAD tools to secure circuit designers in order to evaluate counter-measures against such laser attacks early in the design process. This thesis has been driven by two Grenoble INP laboratories: LCIS and TIMA. The work has been carried out in the frame of the collaborative ANR project LIESSE involving several other partners, including STMicroelectronics. A RT level model of laser effects has been developed, capable of emulating laser attacks. The fault model was used in order to evaluate several different secure cryptographic implementations through FPGA emulated fault injection campaigns. The injection campaigns were performed in collaboration with TIMA laboratory and they allowed to compare the results with other state of the art fault models. Furthermore, the approach was validated versus the layout of several circuits. The layout based validation allowed to quantify the effectiveness of the fault model to predict localized faults. Additionally, in collaboration with CMP (Centre Microélectronique de Provence) experimental laser fault injections has been performed on a state of the art STMicroelectronics IC and the results have been used for further validation of the fault model. Finally the validated fault model led to the development of an RTL (Register Transfer Level) countermeasure against laser attacks. The countermeasure was implemented and evaluated by fault injection campaigns according to the developed fault model, other state of the art fault models and versus layout information.

Πολλές πτυχές της τρέχουσας ζωής μας βασίζονται στην ανταλλαγή δεδομένων μέσω ηλεκτρονικών μέσων. Ισχυροί αλγόριθμοι κρυπτογράφησης εγγυώνται την ασφάλεια, το απόρρητο και την αυθεντικοποίηση αυτών των ανταλλαγών. Παρ' όλα αυτά, αυτοί οι αλγόριθμοι εφαρμόζονται σε ηλεκτρονικές συσκευές που μπορεί να αποτελέσουν στόχο επιθέσεων, παρά την αποδεδειγμένη ανθεκτικότητά τους. Στη βιβλιογραφία αναφέρονται διάφορα μέσα επίθεσης σε ολοκληρωμένα κυκλώματα (για παράδειγμα, ανάλυση της συσχέτισης μεταξύ των επεξεργασμένων δεδομένων και της κατανάλωσης ενέργειας). Μεταξύ αυτών, η ακτινοβολία της συσκευής με λέιζερ έχει αναφερθεί ως ένα σημαντικό και αποτελεσματικό μέσο για την εκτέλεση επιθέσεων. Η αρχή είναι να φωτίζεται το κύκλωμα μέσω ενός λέιζερ και στη συνέχεια να προκαλείται μια εσφαλμένη συμπεριφορά. Για παράδειγμα, στην αποκαλούμενη Διαφορική Ανάλυση Σφάλματος (DFA), ένας εισβολέας μπορεί να συμπεράνει το μυστικό κλειδί που χρησιμοποιείται στους κρυπτοαλγόριθμους συγκρίνοντας το λανθασμένο αποτέλεσμα με το σωστό. Υπάρχουν και άλλοι τύποι επιθέσεων, που βασίζονται επίσης στην εισαγωγή σφάλματος, αλλά δεν απαιτούν διαφορική ανάλυση. Οι ασφαλείς επιθέσεις σφάλματος (safe error attacks) ή οι επιθέσεις ρολογιού είναι τέτοια παραδείγματα. Ο κύριος στόχος της διδακτορικής διατριβής ήταν να παρέχει αποτελεσματικά εργαλεία ηλεκτρονικού αυτοματισμού CAD στους σχεδιαστές ασφαλών κυκλωμάτων, προκειμένου να αξιολογούν τα αντίμετρα έναντι τέτοιων επιθέσεων λέιζερ σε πρώιμα επίπεδα σχεδιασμού. Αυτή η διατριβή έχει υλοποιηθεί από δύο εργαστήρια Grenoble INP: το LCIS και το TIMA. Η εργασία πραγματοποιήθηκε στο πλαίσιο του συνεργατικού έργου ANR LIESSE με τη συμμετοχή αρκετών άλλων εταίρων, συμπεριλαμβανομένης της STMicroelectronics. Έχει αναπτυχθεί ένα μοντέλο επιπέδου μεταφοράς καταχωρητών (Register Transfer) των φαινομένων λέιζερ, ικανό να μιμείται επιθέσεις λέιζερ. Το μοντέλο σφάλματος χρησιμοποιήθηκε για την αξιολόγηση αρκετών διαφορετικών ασφαλών κρυπτογραφικών υλοποιήσεων μέσω πειραμάτων εισαγωγής σφαλμάτων εξομοίωσης FPGA. Τα πειράματα εισαγωγής πραγματοποιήθηκαν σε συνεργασία με το εργαστήριο TIMA και επέτρεψαν τη σύγκριση των αποτελεσμάτων με άλλα μοντέλα σφαλμάτων τελευταίας τεχνολογίας. Επιπλέον, η προσέγγιση επικυρώθηκε σε σχέση με τη διάταξη διαφόρων κυκλωμάτων. Η επικύρωση βάσει διάταξης επέτρεψε την ποσοτικοποίηση της αποτελεσματικότητας του μοντέλου σφαλμάτων στην πρόβλεψη τοπικών σφαλμάτων. Επιπλέον, σε συνεργασία με το CMP (Centre Microélectronique de Provence), πραγματοποιήθηκαν πειραματικές εισαγωγές σφαλμάτων λέιζερ σε ένα ολοκληρωμένο κύκλωμα τελευταίας τεχνολογίας της STMicroelectronics και τα αποτελέσματα χρησιμοποιήθηκαν για περαιτέρω επικύρωση του μοντέλου σφαλμάτων. Τέλος, το επικυρωμένο μοντέλο σφαλμάτων οδήγησε στην ανάπτυξη ενός αντιμέτρου RTL (Register Transfer Level - Επίπεδο Μεταφοράς Καταχωρητή) κατά των επιθέσεων λέιζερ. Το αντίμετρο εφαρμόστηκε και αξιολογήθηκε μέσω πειραμάτων εισαγωγής σφαλμάτων σύμφωνα με το ανεπτυγμένο μοντέλο σφαλμάτων, άλλα μοντέλα σφαλμάτων τελευταίας τεχνολογίας και πληροφορίες σχετικά με τη διάταξη.

De nombreux aspects de notre vie courante reposent sur l'échange de données grâce à des systèmes de communication électroniques. Des algorithmes de chiffrement puissants garantissent alors la sécurité, la confidentialité et l'authentification de ces échanges. Néanmoins, ces algorithmes sont implémentés dans des équipements qui peuvent être la cible d'attaques. Plusieurs attaques visant les circuits intégrés sont rapportées dans la littérature. Parmi celles-ci, les attaques laser ont été rapportées comme étant très efficace. Le principe consiste alors à illuminer le circuit au moyen d'un faisceau laser afin d'induire un comportement erroné et par analyse différentielle (DFA) afin de déduire des informations secrètes. L'objectif principal de cette thèse est de fournir des outils de CAO efficaces permettant de sécuriser les circuits en évaluant les contre-mesures proposées contre les attaques laser et cela très tôt dans le flot de conception.Cette thèse est effectuée dans le cadre d'une collaboration étroite entre deux laboratoires de Grenoble INP : le LCIS et le TIMA. Ce travail est également réalisé dans le cadre du projet ANR LIESSE impliquant plusieurs autres partenaires, dont notamment STMicroelectronics. Un modèle de faute au niveau RTL a été développé afin d’émuler des attaques laser. Ce modèle de faute a été utilisé pour évaluer différentes architectures cryptographiques sécurisées grâce à des campagnes d'injection de faute émulées sur FPGA.Ces campagnes d'injection ont été réalisées en collaboration avec le laboratoire TIMA et elles ont permis de comparer les résultats obtenus avec d'autres modèles de faute. De plus, l'approche a été validée en utilisant une description au niveau layout de plusieurs circuits. Cette validation a permis de quantifier l'efficacité du modèle de faute pour prévoir des fautes localisées. De plus, en collaboration avec le CMP (Centre de Microélectronique de Provence) des injections de faute laser expérimentales ont été réalisées sur des circuits intégrés récents de STMICROELECTRONICS et les résultats ont été utilisés pour valider le modèle de faute RTL. Finalement, ce modèle de faute RTL mène au développement d'une contremesure RTL contre les attaques laser. Cette contre-mesure a été mise en œuvre et évaluée par des campagnes de simulation de fautes avec le modèle de faute RTL et d'autres modèles de faute classiques.