DE102017207046B4 - Verfahren zum Herstellen und Auslesen einer kryptografischen Schaltung - Google Patents

Verfahren zum Herstellen und Auslesen einer kryptografischen Schaltung Download PDF

Info

Publication number
DE102017207046B4
DE102017207046B4 DE102017207046.3A DE102017207046A DE102017207046B4 DE 102017207046 B4 DE102017207046 B4 DE 102017207046B4 DE 102017207046 A DE102017207046 A DE 102017207046A DE 102017207046 B4 DE102017207046 B4 DE 102017207046B4
Authority
DE
Germany
Prior art keywords
memory
cryptographic
circuit
data line
semiconductor substrate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102017207046.3A
Other languages
English (en)
Other versions
DE102017207046A1 (de
Inventor
Rainer Kokozinski
Erik VERHEYEN
Pascal Raffelberg
Alexander Stanitzki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Universitaet Duisburg Essen
Original Assignee
Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Universitaet Duisburg Essen
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV, Universitaet Duisburg Essen filed Critical Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Priority to DE102017207046.3A priority Critical patent/DE102017207046B4/de
Publication of DE102017207046A1 publication Critical patent/DE102017207046A1/de
Application granted granted Critical
Publication of DE102017207046B4 publication Critical patent/DE102017207046B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/57Protection from inspection, reverse engineering or tampering
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/58Structural electrical arrangements for semiconductor devices not otherwise provided for, e.g. in combination with batteries
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Condensed Matter Physics & Semiconductors (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Power Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Storage Device Security (AREA)

Abstract

Herstellungsverfahren (200), mit folgenden Schritten:Bereitstellen (202) eines Halbleitersubstrats (102), wobei das Halbleitersubstrat (102) eine kryptographische Schaltung (104) und einen nichtflüchtigen Speicher (106) aufweist;Ermitteln (204) einer kryptographischen Information der kryptographischen Schaltung (104);Speichern (206) der kryptographischen Information auf dem Speicher (106); undAuftrennen (208) des Halbleitersubstrats (102) zwischen der kryptographischen Schaltung (104) und dem Speicher (106), so dass die kryptographische Schaltung (104) und der Speicher (106) auf voneinander vollständig getrennten Teilen des Halbleitersubstrats (102) angeordnet sind;wobei die kryptographische Information der kryptographischen Schaltung (104) auf Halbleiterebene durch Auslesen ermittelt und in dem Speicher gespeichert wird;wobei die kryptographische Information ein Anforderung-Antwort-Paar ist.

Description

  • Ausführungsbeispiele der vorliegenden Erfindung beziehen sich auf ein Herstellungsverfahren der Halbleitertechnologie, und im speziellen auf ein Herstellungsverfahren zum Herstellen und Auslesen einer kryptografischen Schaltung.
  • Für Sicherheitsanwendungen sind PUFs (PUF = physical uncloneable function, dt. physikalisch unklonbare Funktion) eine Möglichkeit eine sichere Authentifizierung zu ermöglichen, wobei für sogenannte starke PUFs (engl. strong PUFs) vorher gewisse an jedem hergestelltem Teil individuell gemessene Wertepaare (Challenge Response Pairs, CRP, dt. Anforderungs-Antwort-Paar) benötigt werden.
  • Aktuell ist es so, dass die PUF Strukturen gefertigt und im Anschluss die CRPs ausgelesen und in einer Datenbank gespeichert werden.
  • Der große Nachteil an diesem Verfahren ist, dass der Hersteller (ggf. Auftragsfertiger) sowie Unbekannte in der gesamten Transportkette theoretisch Zugriff auf die PUFs haben und die CRPs auslesen könnten, was ein hohes Sicherheitsrisiko darstellt. Die Angriffsmöglichkeit besteht, da für den Auslesevorgang Leitungen, Anschlüsse und ggf. Schaltungsteile benötigt werden, welche auch durch den Angreifer verwendet werden können. Es existieren daher Lösungen, bei denen die entsprechenden Schaltungsteile nach der erstmaligen Bestimmung der CRPs durch eine Modifikation unbrauchbar gemacht werden, z.B. mittels Durchbrennen von elektronischen Sicherungen bzw. durch Beschreiben einmalig programmierbarer Speicher (OTP). Diese Lösungen haben zum einen Schwächen hinsichtlich der Langzeitstabilität oder lassen sich durch verhältnismäßig einfache Modifikationen am gefertigten Teil (z.B. mittels focused ion beam, FIB) rückgängig machen oder umgehen. Eine verhältnismäßig große Anzahl bekannter CRPs vorausgesetzt lassen sich durch den Angreifer Vorhersagen über das nächste CRP treffen, weshalb ein Zugriff wie oben beschrieben unbedingt zu verhindern ist.
  • Die US 4 446 475 A zeigt einen integrierten Schaltungschip mit einem digitalen Speicher, wobei ein direkter Zugriff auf zumindest einen Teil des Speichers verhindert wird. Kontaktpads mit Leitungen zum Verbinden der Kontaktpads mit dem Speicherbus sind vorgesehen, wobei ein Sicherheitscode während des Wafer-Tests in einen Teil des Speichers programmiert werden kann, wobei die Kopplungsleitungen zwischen den Kontaktpads und dem Speicherbus zerstört werden, wenn der integrierte Schaltungschip von dem Wafer entfernt wird.
  • Die DE 10 2011 081 421 A1 zeigt ein System zur sicheren Übertragung von Daten mit einer Steuereinrichtung, welche dazu ausgebildet ist, mittels einer physikalisch nicht nachahmbaren Funktion, PUF, einen kryptographischen Schlüssel zu erzeugen, und mit einem Sicherheitsmodul, welches dazu ausgebildet ist, mit der Steuereinrichtung, basierend auf dem erzeugten kryptographischen Schlüssel, verschlüsselt und/oder authentisch zu kommunizieren.
  • Die US 6 365 443 B1 zeigt einen Halbleiterwafer, wobei auf dem Halbleiterwafer Chipbereiche zum Speichern von Speicherbereichen, Ritzbereiche zum Schneiden des Halbleiterwafers, Pads zum Zuführen elektrischer Signale von außen zum Schreiben von Daten in die Speicherbereiche, und Leitungsdrähte zum elektrischen Verbinden der Pads vorgesehen sind. Nachdem Daten in die Speicherbereiche durch die Pads geschrieben worden sind, wird der Halbleiterwafer entlang der Ritzbereiche geschnitten, wodurch Halbleiterchips erhalten werden. Zum Zeitpunkt dieses Schneidens werden die Pads oder die Leitungsdrähte abgeschnitten.
  • Die US 2003 / 0 021 421 A1 zeigt ein Verfahren zum Herstellen einer Entschlüsselungsvorrichtung, die eine kryptographische Vorrichtung und einen Entschlüsselungsschlüssel enthält.
  • Die US 2012 / 0 199 948 A1 zeigt einen Halbleiterchip mit einem Halbleitersubstrat, einen integrierten Schaltungsbereich mit einer integrierten Schaltung und Leiterbahnen, die sich über den integrierten Schaltungsbereich erstrecken. Um den Halbleiterchip gegen einen physikalischen Angriff zu schützen, umfasst der Halbleiterchip eine Anordnung von Schutzkondensatoren, die sich über die Leiterbahnen erstrecken.
  • Die US 2015 / 0 226 785 A1 bezieht sich auf ein Testverfahren zum Testen eines Chips. Es wird ein Halbleiterwafer mit einem Die-Bereich und einem Ritzbereich bereitgestellt, und der Halbleiterwafer enthält einen Die und eine Testschaltung. Der Chip ist auf dem Chipbereich des Halbleiterwafers ausgebildet, und der Chip enthält eine Hauptschaltung. Die Testschaltung ist auf der Anritzfläche des Halbleiterwafers angeordnet und zum Testen der Hauptschaltung elektrisch mit dem Chip verbunden.
  • Der vorliegenden Erfindung liegt somit die Aufgabe zugrunde, die Sicherheit der kryptografischen Schaltung gegen unautorisiertes Auslesen zu verbessern.
  • Diese Aufgabe wird durch die unabhängigen Patentansprüche gelöst.
  • Vorteilhafte Weiterbildungen finden sich in den abhängigen Patentansprüchen.
  • Ausführungsbeispiele schaffen ein Herstellungsverfahren, mit folgenden Schritten:
    • - Bereitstellen eines Halbleitersubstrats, wobei das Halbleitersubstrat eine kryptographische Schaltung und einen nichtflüchtigen Speicher aufweist;
    • - Ermitteln einer kryptographischen Information der kryptographischen Schaltung;
    • - Speichern der kryptographischen Information auf dem Speicher; und
    • - Auftrennen des Halbleitersubstrats zwischen der kryptographischen Schaltung und dem Speicher, so dass die kryptographische Schaltung und der Speicher auf voneinander vollständig getrennten Teilen des Substrats angeordnet sind.
  • Der vorliegenden Erfindung liegt die Idee zugrunde, bei der Herstellung der kryptographischen Schaltung die kryptographische Information der kryptographischen Schaltung auf Halbleiterebene auszulesen und in einem Speicher zu speichern, der auf dem gleichen Halbleitersubstrat angeordnet ist wie die kryptografische Schaltung, und das Halbleitersubstrat im Anschluss an das Auslesen der kryptografischen Information zwischen kryptografischer Schaltung und Speicher aufzutrennen, um die kryptografische Schaltung und den Speicher vollständig, z.B. mechanisch und elektrisch, voneinander zu trennen.
  • Weitere Ausführungsbeispiele schaffen ein Halbleitersubstrat, wobei das Halbleitersubstrat eine kryptografische Schaltung, einen nichtflüchtigen Speicher und eine Ausleseschaltung aufweist, wobei die Ausleseschaltung ausgebildet ist, um die kryptografische Schaltung auszulesen, um eine kryptografische Information zu erhalten, und um die kryptografische Information in dem Speicher zu speichern.
  • Im Folgenden werden bevorzugte Ausführungsbeispiele des Herstellungsverfahrens näher beschrieben.
  • Bei Ausführungsbeispielen kann die kryptographische Schaltung eine physikalisch unklonbare Funktion sein bzw. eine physikalisch unklonbare Funktion abbilden (oder implementieren).
  • Bei Ausführungsbeispielen kann die kryptographische Information ein Anforderungs-Antwort-Paar oder ein Satz von Anforderungs-Antwort-Paaren sein.
  • Beispielsweise kann eine Anforderung eine Bitfolge sein, die an die kryptographische Schaltung angelegt wird. Die Antwort kann ebenfalls eine Bitfolge sein kann, die die kryptografische Schaltung ansprechend auf die Anforderung ausgibt. Die Anforderung und die Antwort können zusammen als Anforderungs-Antwort-Paar in dem nichtflüchtigen Speicher gespeichert werden.
  • Bei Ausführungsbeispielen kann die kryptographische Information ausschließlich auf dem nichtflüchtigen Speicher gespeichert werden.
  • Beispielsweise kann hierdurch sichergestellt werden, dass die kryptografische Information sowohl während der Herstellung als auch auf dem Transportweg geschützt ist. Selbst der Hersteller der kryptografischen Schaltung hat somit keinen Zugriff auf die kryptografische Information.
  • Bei Ausführungsbeispielen kann das Halbleitersubstrat eine Ausleseschaltung zum Auslesen der kryptographischen Schaltung aufweisen. In diesem Fall kann die kryptographische Information durch die Ausleseschaltung ausgelesen und auf dem nichtflüchtigen Speicher gespeichert werden.
  • Beispielsweise kann die kryptographische Schaltung die Ausleseschaltung aufweisen. Ferner kann der Speicher die Ausleseschaltung aufweisen. Natürlich kann die Ausleseschaltung auch extern zu der kryptographischen Schaltung und dem Speicher ausgeführt sein.
  • Bei Ausführungsbeispielen kann das Halbleitersubstrat eine Datenleitung aufweisen, die den Speicher mit der kryptografischen Schaltung verbindet.
  • Bei Ausführungsbeispielen kann die Ausleseschaltung eine Datenleitung aufweisen, die den Speicher mit der kryptografischen Schaltung verbindet.
  • Beispielsweise kann die Datenleitung eine Leiterbahn, ein Halbleiterkanal oder ein optischer Kanal oder eine induktive oder elektromagnetische Übertragungsstrecke (on-chip-Antenne) sein.
  • Beim Auftrennen des Halbleitersubstrats kann die Datenleitung getrennt werden.
  • Bei Ausführungsbeispielen kann die Datenleitung über eine elektrisch trennbare Sicherung (z.B. Unterbrecher oder Transistor) mit dem Speicher verbunden sein. Nach dem Ermitteln der kryptographischen Information kann die elektrische Verbindung zwischen Datenkanal und Speicher durch die Sicherung getrennt werden.
  • Bei Ausführungsbeispielen kann die Datenleitung über eine elektrisch trennbare Sicherung (z.B. Unterbrecher oder Transistor) mit der kryptografischen Schaltung verbunden sein. Nach dem Ermitteln der kryptographischen Information kann die elektrische Verbindung zwischen Datenkanal und kryptografischer Schaltung durch die elektrisch trennbare Sicherung getrennt werden.
  • Bei Ausführungsbeispielen kann das Halbleitersubstrat eine Schirmung aufweisen, die die Datenleitung schirmt.
  • Die Schirmung kann zumindest eine Schirmungslage aufweisen, die sich von der kryptografischen Schaltung bis zum Speicher erstreckt und breiter als die Datenleitung ist.
  • Die Schirmung kann zwei (oder mehr) Schirmungslagen aufweisen, wobei die Datenleitung zwischen den zwei Schirmungslagen verläuft. Das Herstellungsverfahren kann einen Schritt des Ermittelns einer Abweichung zumindest eines Kapazitätswerts der zwei Schirmungslagen oder einer Abweichung eines Kapazitätsverhältnisses zwischen den zwei Schirmungslagen aufweisen, um einen externen Eingriff zu erkennen.
  • Beispielsweise können Kapazitätswerte zwischen der jeweiligen Schirmungslage und der Datenleitung gemessen werden, wobei bei einer Änderung zumindest eines der beiden Kapazitätswerte, oder einer Änderung eines Verhältnisses zwischen den zwei Kapazitätswerten auf einen externen Angriff geschlossen werden kann.
  • Beispielsweise kann jede Schirmungslage aus nebeneinander platzierten, gematchten Kondensatoren bestehen. Weicht deren Kapazitätsverhältnis zueinander vom Sollwert ab liegt eine Manipulation des Chips vor.
  • Beispielsweise kann der Widerstandswert der Schirmungslage gemessen werden um eine Manipulation des Chips feststellen zu können.
  • Bei Ausführungsbeispielen kann die Datenleitung eine differentielle Datenleitung sein.
  • Bei Ausführungsbeispielen kann die Datenleitung eine optische Datenleitung sein.
  • Ausführungsbeispiele der vorliegenden Erfindung werden bezugnehmend auf die beiliegenden Figuren näher beschrieben. Es zeigen:
    • 1 ein Flussdiagramm eines Herstellungsverfahrens, gemäß einem Ausführungsbeispiel;
    • 2 eine schematische Draufsicht auf das Halbleitersubstrat mit der PUF und dem Speicher, gemäß einem Ausführungsbeispiel;
    • 3 eine schematische Querschnittsansicht des Halbleitersubstrats mit der PUF und dem Speicher, wobei die PUF und der Speicher über einen Kanal miteinander verbunden sind, gemäß einem Ausführungsbeispiel;
    • 4 eine schematische Draufsicht auf das Halbleitersubstrat mit der PUF und dem Speicher, wobei der Kanal zwischen PUF und Speicher Sicherungen zum Trennen der elektrischen Verbindung aufweist, gemäß einem Ausführungsbeispiel;
    • 5 eine schematische Draufsicht auf das Halbleitersubstrat mit der PUF und dem Speicher, wobei das Halbleitersubstrat eine Schirmung aufweist, die die Datenleitung zwischen PUF und Speicher schirmt, gemäß einem Ausführungsbeispiel;
    • 6 eine schematische Draufsicht auf das Halbleitersubstrat mit der PUF und dem Speicher, wobei die PUF und der Speicher über eine symmetrische Datenleitung miteinander verbunden sind, gemäß einem Ausführungsbeispiel; und
    • 7 eine schematische Draufsicht auf das Halbleitersubstrat mit der PUF und dem Speicher, wobei die PUF und der Speicher über eine optische Datenleitung miteinander verbunden sind, gemäß einem Ausführungsbeispiel.
  • In der nachfolgenden Beschreibung der Ausführungsbeispiele der vorliegenden Erfindung werden in den Figuren gleiche oder gleichwirkende Elemente mit dem gleichen Bezugszeichen versehen, so dass deren Beschreibung untereinander austauschbar ist.
  • 1 zeigt ein Flussdiagramm eines Herstellungsverfahrens 200 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Das Herstellungsverfahren 200 umfasst einen Schritt 202 des Bereitstellens eines Halbleitersubstrats, wobei das Halbleitersubstrat eine kryptographische Schaltung und einen nichtflüchtigen Speicher aufweist. Ferner umfasst das Herstellungsverfahren 200 einen Schritt 204 des Ermittelns einer kryptographischen Information der kryptographischen Schaltung. Ferner umfasst das Herstellungsverfahren 200 einen Schritt 206 des Speicherns der kryptographischen Information auf dem Speicher. Ferner umfasst das Herstellungsverfahren 200 einen Schritt 208 des Auftrennens des Halbleitersubstrats zwischen der kryptographischen Schaltung und dem Speicher, so dass die kryptographische Schaltung und der Speicher auf voneinander vollständig getrennten Teilen des Halbleitersubstrats angeordnet sind.
  • Das in 1 gezeigte Herstellungsverfahren wird nachfolgend anhand der 2 bis 7 detailliert beschrieben. In der nachfolgenden Beschreibung wird beispielhaft davon ausgegangen, dass die kryptografische Schaltung eine physikalisch unklonbare Funktion (PUF) ist und dass die kryptografische Information ein Anforderungs-Antwort-Paar oder ein Satz von Anforderungs-Antwort-Paaren ist. Die nachfolgende Beschreibung ist jedoch genauso auf andere kryptografische Schaltungen und/oder andere kryptografische Informationen anwendbar.
  • Die nachfolgenden 2 bis 7 zeigen dabei schematische Ansichten des Halbleitersubstrats 102 nach dem Schritt 202 des Bereitstellens des Halbleitersubstrats 102 mit der kryptographischen Schaltung (PUF) 104 und dem Speicher 106 und weiteren optionalen Merkmalen. Die 2 bis 7 zeigen also schematische Ansichten eines Zwischenprodukts des Herstellungsverfahrens 200, wobei dieses Zwischenprodukt für die Durchführung der Schritte 204 und 206 des Herstellungsverfahrens 200 genutzt werden kann, bevor dieses im Anschluss daran im Schritt 208 getrennt wird.
  • 2 zeigt eine schematische Draufsicht auf das Halbleitersubstrat 102 mit der PUF 104 und dem Speicher 106, gemäß einem Ausführungsbeispiel. Wie in 2 zu erkennen ist, können die PUF 104 und der Speicher 106 auf demselben Halbleitersubstrat 102, z.B. einem Wafer, bereitgestellt werden.
  • Bei Ausführungsbeispielen können die PUF 104 und der Speicher 106 über eine Datenleitung 108 miteinander verbunden sein. Die Datenleitung 108 kann beispielsweise eine Leiterbahn oder ein Halbleiterkanal sein.
  • Bei Ausführungsbeispielen kann das Halbleitersubstrat 102 eine Ausleseschaltung (nicht gezeigt in 2) aufweisen. Die Ausleseschaltung kann auf dem Halbleitersubstrat 102 als eigenständige Schaltung ausgeführt sein, oder in der PUF 104 oder in dem Speicher 106 integriert sein.
  • Bei Ausführungsbeispielen kann die Ausleseschaltung mit der PUF 104 verbunden sein. Die Ausleseschaltung kann mit dem Speicher 104 verbunden sein. Die PUF 104 und der Speicher 106 können dabei direkt miteinander verbunden sein. Alternativ können die PUF 104 und der Speicher 106 über die Ausleseschaltung miteinander verbunden sein. Zum Beispiel kann die Ausleseschaltung zwischen PUF 104 und Datenleitung 108 (z.B. wenn die Ausleseschaltung in der PUF 104 integriert ist oder benachbart zur PUF 104 angeordnet ist) oder zwischen Datenleitung 108 und Speicher 106 (z.B. wenn die Ausleseschaltung in dem Speicher 106 integriert ist oder benachbart zum Speicher 106 angeordnet ist) geschaltet sein.
  • Bei Ausführungsbeispielen kann während der Herstellung auf Waferebene ein CRP oder ein Satz von CRPs aus der PUF 104 ausgelesen werden und in dem Speicher 106 gespeichert werden. Die Ausleseschaltung kann dabei ausgebildet sein, um ein CRP oder ein Satz von CRPs aus der PUF 104 auszulesen und in den Speicher 106 zu speichern.
  • Beispielsweise kann die Ausleseschaltung eine Anforderung, z.B. eine Bitfolge, an die PUF 104 anlegen. Die Antwort der PUF 104, z.B. ebenfalls eine Bitfolge, kann über die Datenleitung direkt in den Speicher 106 oder über die Ausleseschaltung in den Speicher 106 geschrieben werden. In beiden Fällen kann die Ausleseschaltung die Anforderung ebenfalls in den Speicher 106 schreiben, so dass in dem Speicher ein Anforderungs-Antwort-Paar gespeichert ist.
  • Nach dem Auslesen der PUF 104, kann das Halbleitersubstrat 102 zwischen der PUF 104 und dem Speicher 106 aufgetrennt werden, so dass die PUF 104 und der Speicher 106 auf vollständig voneinander getrennten Teilen des Halbleitersubstrats 102 angeordnet sind.
  • Beispielsweise kann das Halbleitersubstrat 102 durch Sägen (oder ein anderes Trennverfahren der Halbleitertechnologie) zwischen der PUF 104 und dem Speicher 106 getrennt werden. In 2 (und auch in den 3 bis 7) ist der Sägekanal 110, der zwischen PUF 104 und Speicher 106 verläuft, beispielhaft eingezeichnet.
  • Bei Ausführungsbeispielen können die CRPs (der PUF 104) also bereits auf Wafer-Ebene durch einen Speicherchip 106 ausgelesen werden. Hierdurch kann ein Schlüssel-Schloss-Prinzip zwischen zwei ICs (PUF 104 und Speicher 106) entstehen. Über eine integrierte Schaltung kann die PUF Struktur ausgelesen und über einen Kontakt die CRPs in einen benachbarten Speicherbaustein 106 (z.B. ein ROM (ROM = read only memory, dt. Festwertspeicher) oder ähnliches) gespeichert werden. Dieser Speicher 106 kann gegen unautorisiertes Auslesen geschützt werden, beispielsweise indem jeder Zugriff protokolliert (Zähler) und der ausgelesene Schlüssel unbrauchbar gemacht wird. Damit kann ein späterer Zugriff mit diesem Schlüssel unmöglich gemacht werden. Zusätzlich können weitere Methoden eingesetzt werden, um ein invasives Auslesen zu verhindern bzw. dies zu erkennen und die Chips auszusortieren. Nachdem die CRPs ausgelesen wurden, können die beiden ICs (PUF 104 und Speicher 106) durch normale IC-Trennverfahren (z.B. Sägen) voneinander getrennt und jeder für sich in ein Package gebondet werden. Dieses Verfahren kann beispielsweise von Automobilherstellern verwendet werden, welche die PUF Strukturen zur Authentifizierung mit Funkschlüsseln nutzen, aber diese extern herstellen lassen. Als Erweiterung können verschiedene Sicherheitsmechanismen zum Einsatz kommen, wie z.B. eine synchrone oder asynchrone Verschlüsselung der CRPs oder eine Schirmung der Ausleseleitungen 108 mit kapazitiver Angriffserkennung. Ebenfalls kann die PUF 104 ihre Hamming-Distanz bestimmen, um nur sichere CRPs zuzulassen und so eventuelle Manipulation seiner Zufälligkeit zu verhindern. Im Rahmen eines BIST (BIST = bulld-in-self-test, dt. eingebauter Selbsttest) kann der Speicherbaustein 106 die Konsistenz und Entropie der CRPs prüfen.
  • Im Folgenden werden die in 2 gezeigte PUF-Struktur 104 und Speicherstruktur 106 als gegeben angesehen und teilweise allgemein mit IC bezeichnet. Die nachfolgenden Ausführungsbeispiele gehen dabei von 2 aus, also dem Paar aus einer PUF 104 und einem Speicher 106. Der Auslesevorgang der Schlüssel (oder CRPs) kann (z.B. durch den BIST) gestartet werden, sobald über einen Waferprober die elektrische Versorgung hergestellt wird. Nach Beendigung des Auslesevorgangs kann (z.B. durch den BIST) optional eine Sicherung (engl. Fuse) ausgelöst werden (siehe 4), so dass der Datenkanal 108 nicht mehr benutzt werden kann.
  • 3 zeigt eine schematische Querschnittsansicht des Halbleitersubstrats 102 mit der PUF 104 und dem Speicher 106, wobei die PUF 104 und der Speicher 106 über einen Kanal 108 (z.B. für die Übertragung im BIST Modus) miteinander verbunden sind. Im Detail kann ein Kontakt 112 (z.B. Ausgangskontakt oder Ausgangsanschluss) der PUF 104 mit einem Kontakt 114 (z.B. Eingangskontakt oder Eingangsanschluss) des Speichers 106 über den Kanal 108 verbunden sein.
  • Beispielsweise können die ICs 104,106 mittels einfachem Widerstandskanal 108 verbunden sein. Dieser kann zum einen im Silizium Wafer mitstrukturiert worden sein, zum Beispiel durch n+ Implantation oder in einem zusätzlichen Schritt mit einem Polysilizium Widerstands-Kanal oder mit einer Metall-Verdrahtung hergestellt werden. Dabei kann ein Ausgang der PUF 104 mit einem Eingang des Speichers 106 direkt verbunden sein. Dies stellt die einfachste Form des „Pairings“ der beiden ICs 104,106 dar. Dies bietet allerdings auch keine Sicherheitsmechanismen gegen Abhören des Widerstands-Kanals 108 mittels Mikroprobing während des Auslesevorgangs.
  • 4 zeigt eine schematische Draufsicht auf das Halbleitersubstrat 102 mit der PUF 104 und dem Speicher 106, wobei der Kanal 108 zwischen PUF 104 und Speicher 106 Sicherungen 116 aufweist. Über die Sicherungen 116 kann die elektrische Verbindung des Kanals 108 nach dem Auslesen der PUF 104 getrennt werden.
  • Im Gegensatz zu dem in 3 gezeigtem Ausführungsbeispiel, bei dem die PUF 104 im Nachhinein noch ausgelesen werden könnte, da die Leitungsenden offen zugänglich sind, kann dies in dem in 4 gezeigtem Ausführungsbeispiel durch Sicherungen 116 (engl. fuses) verhindert werden. Diese können beispielsweise innerhalb der ICs 104,106 z.B. in die Widerstandsleitung 108 eingebaut werden. Sobald der Auslesevorgang beendet ist, können die Sicherungen getrennt werden, um die Widerstandsleitung zu unterbrechen, so dass keine offenen Leitungsenden mehr zugänglich sind. Hierdurch können die Leitungen ferner gegen äußere Umwelteinflüsse geschützt werden und eine Degradation der ICs 104,106 kann verhindert werden.
  • 5 zeigt eine schematische Draufsicht auf das Halbleitersubstrat 102 mit der PUF 104 und dem Speicher 106, wobei das Halbleitersubstrat 102 eine Schirmung 118 aufweist, die die Datenleitung 108 zwischen PUF 104 und Speicher 106 schirmt. Wie in 5 zu erkennen ist, kann die Schirmung 118 eine Schirmungslage aufweisen, die sich von PUF 104 bis Speicher 106 erstreckt und/oder breiter als die Datenleitung 108 ist, z.B. so dass in einer Draufsicht auf das Halbleitersubstrat 102 die Datenleitung 108 vollständig von der Schirmungslage bedeckt ist. Die Schirmung 118 kann ferner eine weitere Schirmungslage aufweisen, die in der Draufsicht auf das Halbleitersubstrat 102 unterhalb der Datenleitung 108 verläuft. Die Schirmung 118 kann also zwei Schirmungslagen aufweisen, die benachbart zueinander angeordnet sind bzw. parallel zueinander verlaufen, wobei die Datenleitung 108 zwischen den zwei Schirmungslagen angeordnet ist.
  • Durch die in 5 dargestellte Schirmung 118 z.B. mittels Metalllagen oder Implantation in den Wafer 102 kann der Ausleseprozess gegen Angriffe, wie z.B. Mikroprobing, geschützt werden. Dabei können die Metalllagen auf bzw. unter die Widerstandsleitung 108 prozessiert werden und beispielsweise auf ein festes Potential, wie z.B. Masse, gelegt werden. Die Schirmungsbahnen können dabei so breit sein, dass sie die Widerstandsleitung 108 von der Breite deutlich überschreiten, siehe 5. Auf diese Weise kann ein direktes Kontaktieren oder ein Messen des elektrischen Feldes der Leitung 108 verhindert werden.
  • Bei Ausführungsbeispielen können zur Erkennung eines externen Angriffs die Kapazitätswerte zwischen der jeweiligen Schirmlage und der Datenleitung gemessen werden. Eine Veränderung zumindest eines der beiden Kapazitätswerte oder eine Abweichung der Kapazitätswerte voneinander oder eine Veränderung des Verhältnisses zwischen den Kapazitätswerten kann auf einen externen Angriff hindeuten.
  • Das in Bezug auf 5 beschriebene Prinzip kann also zusätzlich für eine Kapazitätsmessung zwischen Widerstandsleitung 108 und Schirmung 118 genutzt werden. Beispielsweise können Abweichungen im Kapazitätsverhältnis der Ober- und Unterseitenschirmung beobachtet werden. Dadurch kann ein Eingriff von außen in einem veränderten Kapazitätswert an der Ober- bzw. Unterseite sichtbar werden. Eine Kompensation der Kapazitätsverhältnisänderung durch gleichzeitige Manipulation der Ober- und Unterseite durch einen Angreifer ist unwahrscheinlich. Aus diesem Grund kann diese Struktur aktiv auf einen Eingriff reagieren und die kompromittierten ICs 104,106 evtl. sogar unbrauchbar machen.
  • Ferner können für die Schirmung der Leitung 108 mehrere angepasste (engl. matched) Kondensatoren oder Widerstände genutzt werden. Bei einer Manipulation wird deren Kapazitäts- oder Widerstandsverhältnis untereinander gestört, sodass ein Angriff detektiert werden kann. Auch über Widerstands- und Kapazitätswerte können Angriffe detektiert werden.
  • 6 zeigt eine schematische Draufsicht auf das Halbleitersubstrat 102 mit der PUF 104 und dem Speicher 106, wobei die PUF 104 und der Speicher 106 über eine symmetrische Datenleitung 108 mit zwei Kanälen 108_1, 108_2 miteinander verbunden sind.
  • Um zu verhindern, dass sogenannte Seitenkanalangriffe (engl. side-channel-attacks) durchgeführt werden, bei denen beispielsweise der Stromverbrauch gemessen wird, um auf die übertragenen Daten zu schließen, kann zusätzlich die Datenübertragung differenziell durchgeführt werden. Dabei werden die eigentlichen Daten sowie die Inversen dazu parallel übertragen, siehe 6. Dabei kann darauf geachtet werden, dass diese auf ähnliche Weise prozessiert werden, wie beispielsweise in 6 zu sehen ist. Dadurch kann sichergestellt werden, dass die Pfade jeweils den gleichen Strom für 0 und 1 verbrauchen. Dieses Konzept sollte in diesem Fall auch schon für die ICs 104,106 gelten, da hier lediglich die Datenübertragung abgesichert wird.
  • 7 zeigt eine schematische Draufsicht auf das Halbleitersubstrat 102 mit der PUF 104 und dem Speicher 106, wobei die PUF 104 und der Speicher 106 über eine optische Datenleitung 108 miteinander verbunden sind. Wie in 7 zu erkennen ist, kann die PUF 104 dabei einen optischen Sender 120 aufweisen, während der Speicher 106 einen optischen Empfänger 122 aufweisen kann, wobei der optische Sender 120 über die optische Datenleitung 108 mit dem optischen Empfänger 122 verbunden ist.
  • Als Alternative zur elektrischen Übertragung kann also auch eine optische Übertragung mit mindestens einem Sender 120 und mindestens einem Empfänger 122 in Form von optischen Bauelementen gemäß 7 realisiert werden. Dadurch kann der Übertragungskanal gegen verschiedene Angriffe durch Abhören gesichert werden. Weiterhin existieren keine offenen Kanalenden wodurch ein nachträgliches Auslesen verhindert werden kann.
  • Obwohl manche Aspekte im Zusammenhang mit einer Vorrichtung beschrieben wurden, versteht es sich, dass diese Aspekte auch eine Beschreibung des entsprechenden Verfahrens darstellen, sodass ein Block oder ein Bauelement einer Vorrichtung auch als ein entsprechender Verfahrensschritt oder als ein Merkmal eines Verfahrensschrittes zu verstehen ist. Analog dazu stellen Aspekte, die im Zusammenhang mit einem oder als ein Verfahrensschritt beschrieben wurden, auch eine Beschreibung eines entsprechenden Blocks oder Details oder Merkmals einer entsprechenden Vorrichtung dar. Einige oder alle der Verfahrensschritte können durch einen Hardware-Apparat (oder unter Verwendung eines Hardware-Apparats), wie zum Beispiel einen Mikroprozessor, einen programmierbaren Computer oder eine elektronische Schaltung ausgeführt werden. Bei einigen Ausführungsbeispielen können einige oder mehrere der wichtigsten Verfahrensschritte durch einen solchen Apparat ausgeführt werden.
  • Die hierin beschriebenen Verfahren können beispielsweise unter Verwendung eines Hardware-Apparats, oder unter Verwendung eines Computers, oder unter Verwendung einer Kombination eines Hardware-Apparats und eines Computers implementiert werden.
  • Die hierin beschriebenen Verfahren, oder jedwede Komponenten der hierin beschriebenen Verfahren können zumindest teilweise durch Hardware und/oder durch Software ausgeführt werden.

Claims (12)

  1. Herstellungsverfahren (200), mit folgenden Schritten: Bereitstellen (202) eines Halbleitersubstrats (102), wobei das Halbleitersubstrat (102) eine kryptographische Schaltung (104) und einen nichtflüchtigen Speicher (106) aufweist; Ermitteln (204) einer kryptographischen Information der kryptographischen Schaltung (104); Speichern (206) der kryptographischen Information auf dem Speicher (106); und Auftrennen (208) des Halbleitersubstrats (102) zwischen der kryptographischen Schaltung (104) und dem Speicher (106), so dass die kryptographische Schaltung (104) und der Speicher (106) auf voneinander vollständig getrennten Teilen des Halbleitersubstrats (102) angeordnet sind; wobei die kryptographische Information der kryptographischen Schaltung (104) auf Halbleiterebene durch Auslesen ermittelt und in dem Speicher gespeichert wird; wobei die kryptographische Information ein Anforderung-Antwort-Paar ist.
  2. Herstellungsverfahren (200) nach Anspruch 1, wobei die kryptographische Schaltung (104) eine physikalisch unklonbare Funktion ist.
  3. Herstellungsverfahren (200) nach einem der vorangehenden Ansprüche, wobei die kryptographische Information ausschließlich auf dem Speicher (106) gespeichert wird.
  4. Herstellungsverfahren (200) nach einem der vorangehenden Ansprüche, wobei das Halbleitersubstrat (102) eine Ausleseschaltung zum Auslesen der kryptographischen Schaltung (104) aufweist; wobei das Ermitteln (204) der kryptographischen Information Auslesen der kryptographischen Schaltung (104) durch die Ausleseschaltung aufweist; wobei das Speichern (206) der kryptographischen Information Speichern der kryptographischen Information auf dem Speicher (106) durch die Ausleseschaltung aufweist.
  5. Herstellungsverfahren (200) nach Anspruch 4, wobei die Ausleseschaltung eine Datenleitung (108) aufweist, die den Speicher (106) mit der kryptographischen Schaltung (104) verbindet; wobei bei dem Auftrennen (208) des Halbleitersubstrats (102) die Datenleitung (108) getrennt wird.
  6. Herstellungsverfahren (200) nach Anspruch 5, wobei die Datenleitung (108) über eine Sicherung (116) mit dem Speicher (106) verbunden ist; wobei das Herstellungsverfahren (200) einen Schritt des Trennens der elektrischen Verbindung zwischen Datenleitung (108) und Speicher (106) nach dem Ermitteln (204) der kryptographischen Information aufweist.
  7. Herstellungsverfahren (200) nach Anspruch 5 oder 6, wobei die Datenleitung (108) über eine Sicherung (116) mit der kryptographischen Schaltung (104) verbunden ist; wobei das Herstellungsverfahren (200) einen Schritt des Trennens der elektrischen Verbindung zwischen Datenleitung (108) und kryptographischer Schaltung (104) nach dem Ermitteln (204) der kryptographischen Information aufweist.
  8. Herstellungsverfahren (200) nach einem der Ansprüche 5 bis 7, wobei das Halbleitersubstrat (102) eine Schirmung (118) aufweist, die die Datenleitung (108) schirmt.
  9. Herstellungsverfahren (200) nach Anspruch 8, wobei die Schirmung (118) zumindest eine Schirmungslage aufweist, die sich von der kryptografischen Schaltung (104) bis zu dem Speicher (106) erstreckt und breiter als die Datenleitung (108) ist.
  10. Herstellungsverfahren (200) nach einem der Ansprüche 8 bis 9, wobei die Schirmung (118) zwei Schirmungslagen aufweist, wobei die Datenleitung (108) zwischen den zwei Schirmungslagen verläuft; wobei das Herstellungsverfahren (200) einen Schritt des Ermittelns - einer Abweichung zumindest eines Kapazitätswerts der zwei Schirmungslagen, - oder einer Abweichung eines Kapazitätsverhältnisses zwischen den zwei Schirmungslagen, - oder einer Abweichung zumindest eines Widerstandswerts der zwei Schirmungslagen, - oder einer Abweichung eines Widerstandsverhältnisses zwischen den zwei Schirmungslagen aufweist, um einen externen Eingriff zu erkennen.
  11. Herstellungsverfahren (200) nach einem der Ansprüche 5 bis 10, wobei die Datenleitung (108) eine differentielle Datenleitung ist.
  12. Herstellungsverfahren (200) nach einem der Ansprüche 5 bis 11, wobei die Datenleitung (108) eine optische Datenleitung ist.
DE102017207046.3A 2017-04-26 2017-04-26 Verfahren zum Herstellen und Auslesen einer kryptografischen Schaltung Active DE102017207046B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017207046.3A DE102017207046B4 (de) 2017-04-26 2017-04-26 Verfahren zum Herstellen und Auslesen einer kryptografischen Schaltung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017207046.3A DE102017207046B4 (de) 2017-04-26 2017-04-26 Verfahren zum Herstellen und Auslesen einer kryptografischen Schaltung

Publications (2)

Publication Number Publication Date
DE102017207046A1 DE102017207046A1 (de) 2018-10-31
DE102017207046B4 true DE102017207046B4 (de) 2019-09-12

Family

ID=63797001

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017207046.3A Active DE102017207046B4 (de) 2017-04-26 2017-04-26 Verfahren zum Herstellen und Auslesen einer kryptografischen Schaltung

Country Status (1)

Country Link
DE (1) DE102017207046B4 (de)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4446475A (en) 1981-07-10 1984-05-01 Motorola, Inc. Means and method for disabling access to a memory
US6365443B1 (en) 1999-08-26 2002-04-02 Fujitsu Limited Method of manufacturing a semiconductor device having data pads formed in scribed area
US20030021421A1 (en) * 2001-07-25 2003-01-30 Kaoru Yokota Method of producing a decrypting apparatus having a cryptographic device and cryptographic information, a system for providing such device and information, and the decrypting apparatus produced by the production method
US20120199948A1 (en) * 2011-02-09 2012-08-09 Inside Secure Semiconductor chip comprising protection means against a physical attack
DE102011081421A1 (de) 2011-08-23 2013-02-28 Siemens Ag System zur sicheren Übertragung von Daten und Verfahren
US20150226785A1 (en) * 2014-02-12 2015-08-13 Winbond Electronics Corp. Semiconductor wafers, and testing methods thereof

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4446475A (en) 1981-07-10 1984-05-01 Motorola, Inc. Means and method for disabling access to a memory
US6365443B1 (en) 1999-08-26 2002-04-02 Fujitsu Limited Method of manufacturing a semiconductor device having data pads formed in scribed area
US20030021421A1 (en) * 2001-07-25 2003-01-30 Kaoru Yokota Method of producing a decrypting apparatus having a cryptographic device and cryptographic information, a system for providing such device and information, and the decrypting apparatus produced by the production method
US20120199948A1 (en) * 2011-02-09 2012-08-09 Inside Secure Semiconductor chip comprising protection means against a physical attack
DE102011081421A1 (de) 2011-08-23 2013-02-28 Siemens Ag System zur sicheren Übertragung von Daten und Verfahren
US20150226785A1 (en) * 2014-02-12 2015-08-13 Winbond Electronics Corp. Semiconductor wafers, and testing methods thereof

Also Published As

Publication number Publication date
DE102017207046A1 (de) 2018-10-31

Similar Documents

Publication Publication Date Title
DE102010040665B4 (de) Elektronische Vorrichtung mit einem programmierbaren Widerstandselement, und Verfahren zum Blockieren einer Vorrichtung
DE102012107619A1 (de) Systeme und Verfahren zum Erkennen und Vereiteln ungenehmigten Zugriffs und feindlicher Angriffe auf gesicherte Systeme
DE102009025412B4 (de) Integrierte Schaltung und Verfahren zum Schützen eines Schaltungsteils einer integrierten Schaltung, der geschützt werden soll und Computerprogrammprodukt zur Ausführung des Verfahrens
DE102016102291B4 (de) Halbleiterchip mit bruchdetektion
DE112019007421T5 (de) Speichergerät mit sicherer testmoduseingabe
DE112018002192T5 (de) Identifikationsschlüssel-Erzeugungsvorrichtung und Identifikationsschlüssel-Erzeugungsverfahren
EP1346413A2 (de) Schaltungsanordnung
DE112005002303T5 (de) Verfahren und Vorrichtung zum bedingten Verschleiern von Buskommunikation
DE102017207046B4 (de) Verfahren zum Herstellen und Auslesen einer kryptografischen Schaltung
WO2007129265A1 (de) Sensor mit einer schaltungs anordnung
EP1222621B1 (de) Integrierter schaltkreis und schaltungsanordnung zur stromversorgung eines integrierten schaltkreises
DE10326089B3 (de) Manipulationsüberwachung für eine Schaltung
DE60223703T2 (de) Authentisierungsprotokoll mit speicherintegritaetsverifikation
DE69821409T2 (de) Halbleiteranordnung mit Sicherheitsschaltung zum Verhindern illegalen Zugriffs
EP0981162B1 (de) Halbleiterchip mit Oberflächenabdeckung gegen optische Untersuchung der Schaltungsstruktur
DE102007033250B4 (de) Integrierte Schaltung mit Magnetspeicher
DE10140045A1 (de) IC-Chip mit Schutzstruktur
EP1247264B1 (de) Halbleiterchip mit eindeutiger identität und verfahren zur festlegung der eindeutigen identität eines halbleiterchips
EP2483847B1 (de) Chipmodul und tragbarer datenträger mit einem chipmodul
WO2004036649A1 (de) Chip mit angriffsschutz
DE112021003842T5 (de) Manipulationssichere schaltung, back-end-of-the-line-speicher und physische, nicht klonbare funktion zum lieferkettenschutz
DE10103956C1 (de) Halbleiterwafer mit Sägebügelsicherung
EP3437246A1 (de) Verfahren zum erzeugen eines kryptographischen schlüssels, vorrichtung und elektrisches system
EP3293912B1 (de) Teilnehmeridentifikationssystem
EP3021254A1 (de) Verfahren zum schutz vor unzulässigen zugriff

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final