default banner

Anti-falsification

La falsification est la première étape vers l’injection de fautes et la rétro-ingénierie, comme les attaques invasives à canal auxiliaire visant à extraire les paramètres de sécurité sensibles du système. Par conséquent, même les normes mondiales modernes telles que FIPS 140-3 (niveaux de sécurité 3 et 4) exigent que les modules soient équipés de solutions anti-falsification pour les protéger contre les menaces adverses.

 

Chaque dispositif, qu’il soit câblé ou sans fil, est vulnérable à une certaine forme d’attaque. La rétro-ingénierie peut être utilisée par un attaquant pour voler la propriété intellectuelle ou pour découvrir des paramètres cryptographiques secrets câblés. Par exemple, il est possible de faire une copie d’une conception en extrayant la liste d’interconnexion au niveau des portes. Les attaques par défaut tendent à altérer la solution pour tenter de manière invasive d’extraire ou de modifier (attaque par sonde ionique focalisée – FIB, i.e. Focused Ion Beam) certains paramètres afin de contourner la sécurité ou d’obtenir un accès par escalade de privilèges dans les systèmes cyber-physiques. Les attaques contre les circuits numériques peuvent être réalisées en altérant directement la structure interne du dispositif. Ces attaques sont intrusives et incluent des tentatives de sondage ou de manipulation directe des signaux, de suppression, d’ajout ou de modification des caractéristiques de la puce (routage métallique, transistors).

En cryptographie, une attaque peut être réalisée en injectant une ou plusieurs fautes dans un dispositif, perturbant ainsi le comportement fonctionnel du dispositif. Les techniques courantes utilisées pour injecter des fautes consistent à introduire des variations dans la tension de la source (en surveillant la tension du SoC ou du processeur et en provoquant un problème d’alimentation ou une sous-alimentation), la fréquence d’horloge (problème d’horloge ou overclocking), la température, ou en irradiant avec un faisceau laser ou une impulsion électromagnétique (injection laser/EM), etc. Un autre composant extrêmement vulnérable dans un SoC est la mémoire physique qui peut être la cible d’attaques sophistiquées telles que le Row-hammer qui chercher à accéder à l’emplacement de la mémoire pour exploiter les effets physiques de l’interaction dans la mémoire vive dynamique (DRAM) et l’utiliser pour lire des paramètres sensibles ou même procéder à des gains de privilèges.

 

Les protections et contre-mesures d’anti-falsification de Secure-IC

Secure-IC fournit des protections et des contre-mesures anti-falsification sophistiquées pour la protection des IP contre les menaces évoquées ci-dessus, ainsi que des IP de détection intelligentes pour le camouflage des circuits et la sécurité de la mémoire. Ces IP et protections de sécurité peuvent être listées comme ci-dessous :

  • L’IP Active ShieldTM:
    La technologie Active Shield de Secure-IC est conçue pour décourager les attaques intrusives en plaçant un maillage sur les parties sensibles du circuit et en surveillant activement l’intégrité du maillage. Cette contre-mesure protège les caractéristiques du circuit, telles que le câblage métallique et les transistors qui se trouvent sous le maillage, contre tout accès non détecté ou toute modification par le côté face, y compris :

    • Le micro-profilage du fil pour lire ou forcer une équipotentielle,
    • Couper des fils (par exemple, alarmes, déconnexion de la source d’entropie d’un véritable générateur de nombres aléatoires, etc.),
    • Réacheminement de fils,
    • Ouverture de fusibles brûlés,
    • Altération de la mémoire morte.

Plus d’information sur l’IP Active ShieldTM

 

  • L’IP Digital SensorTM (IP de détection d’injection de fautes):
    Contrairement aux capteurs analogiques qui sont dédiés à la détection d’une attaque perturbatrice spécifique, le Digital Sensor, capteur numérique, est conçu pour détecter diverses menaces appartenant à la famille des attaques par injection de fautes (Fault Injection Attacks (FIA)) :

    • Fréquence d’horloge d’entrée (problème d’horloge, surcadençage) : réduction de la période d’horloge pour provoquer une violation du chemin critique,
    • Tension d’entrée (problème d’alimentation, sous-alimentation) : réduction de la tension d’alimentation pour augmenter le délai de propagation de la logique combinatoire,
    • Température (chauffage) : changement de la température pour augmenter le temps de propagation,
    • Radiations (spot laser, spot lumineux, électromagnétique) : provoquer l’activation ou la réinitialisation de bits dans des registres par irradiation.

Le Digital Sensor convertit toutes les contraintes surveillées en une contrainte temporelle qui est ensuite mesurée. Lorsqu’une menace est détectée, elle fournit au système une mesure du niveau de menace et déclenche l’alarme matérielle.

Plus d’information sur l’IP Digital SensorTM

 

  • L’IP Smart MonitorTM (IP de surveillance de la sécurité):
    Le smart monitor fournit une intelligence embarquée utilisant des techniques d’apprentissage automatique et d’intelligence artificielle pour la détection des menaces telles que les activités malveillantes de certains logiciels, en surveillant l’activité des puces ou les injections de fautes, en accumulant l’état d’une flotte de capteurs numériques ou physiques et en effectuant une détection intelligente. Le moniteur intelligent crée une intelligence collective entre les IP et les autres dénonciateurs :

    • Les sources d’information sont diverses, abondantes,
    • Les signaux peuvent provenir de capteurs analogiques intégrés à la puce, de capteurs numériques, de rapports logiciels, etc., de supports opportunistes (signaux faibles) = indice de compromission (IoC) et en tirant parti de la diversité :
      • Sensible aux dysfonctionnements physiques par rapport aux dysfonctionnements logiques,
      • Capable de détecter les problèmes permanents par rapport aux problèmes transitoires,
      • Peut être instancié plusieurs fois.

Plus d’information sur l’IP Smart MonitorTM

 

  • L’IP Camogates (Camouflage de circuit):
    Les Camogates de Secure-IC sont conçus pour protéger un circuit contre la rétro-ingénierie. Cette technologie d’obfuscation matérielle vise à cacher la fonction des portes dans le circuit en clonant et en formant des cellules semblables, ce qui rend plus difficile l’analyse visuelle du comportement des portes et la compréhension des fonctions logiques. 

Plus d’information sur l’IP Camogates

 

  • L’IP Anti-Rowhammer (sécurité de la mémoire):
    L’IP Anti-Rowhammer intervient dans le contrôleur mémoire afin de protéger l’IP mémoire contre les attaques de type rowhammer, notamment sur la mémoire vire. Cette IP est capable de déterminer si le nombre de demandes d’accès à une rangée de mémoire est abusif, ce qui induit une tentative d’attaque de type rowhammer. En intégrant l’IP rowhammer dans le contrôleur mémoire, l’attaque peut être atténuée en forçant le rafraîchissement du contenu de la mémoire.

Plus d’information sur l’IP Anti-Rowhammer

Contact