WO2010058094A1 - Dispositif de protection d'un boitier de circuit intégré électronique contre les intrusions par voie physique ou chimique - Google Patents

Dispositif de protection d'un boitier de circuit intégré électronique contre les intrusions par voie physique ou chimique Download PDF

Info

Publication number
WO2010058094A1
WO2010058094A1 PCT/FR2009/001307 FR2009001307W WO2010058094A1 WO 2010058094 A1 WO2010058094 A1 WO 2010058094A1 FR 2009001307 W FR2009001307 W FR 2009001307W WO 2010058094 A1 WO2010058094 A1 WO 2010058094A1
Authority
WO
WIPO (PCT)
Prior art keywords
integrated circuit
circuit
substrate
detection
sensitive areas
Prior art date
Application number
PCT/FR2009/001307
Other languages
English (en)
Inventor
Yann Loisel
Renaud Guigue
Christophe Tremlet
Original Assignee
Innova Card
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Innova Card filed Critical Innova Card
Priority to JP2011536917A priority Critical patent/JP5933266B2/ja
Priority to US13/130,534 priority patent/US8581251B2/en
Priority to CN200980146866.0A priority patent/CN102257516B/zh
Publication of WO2010058094A1 publication Critical patent/WO2010058094A1/fr

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07372Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/57Protection from inspection, reverse engineering or tampering
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2224/00Indexing scheme for arrangements for connecting or disconnecting semiconductor or solid-state bodies and methods related thereto as covered by H01L24/00
    • H01L2224/01Means for bonding being attached to, or being formed on, the surface to be connected, e.g. chip-to-package, die-attach, "first-level" interconnects; Manufacturing methods related thereto
    • H01L2224/42Wire connectors; Manufacturing methods related thereto
    • H01L2224/47Structure, shape, material or disposition of the wire connectors after the connecting process
    • H01L2224/49Structure, shape, material or disposition of the wire connectors after the connecting process of a plurality of wire connectors
    • H01L2224/491Disposition
    • H01L2224/4912Layout
    • H01L2224/49171Fan-out arrangements
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L24/00Arrangements for connecting or disconnecting semiconductor or solid-state bodies; Methods or apparatus related thereto
    • H01L24/01Means for bonding being attached to, or being formed on, the surface to be connected, e.g. chip-to-package, die-attach, "first-level" interconnects; Manufacturing methods related thereto
    • H01L24/42Wire connectors; Manufacturing methods related thereto
    • H01L24/47Structure, shape, material or disposition of the wire connectors after the connecting process
    • H01L24/49Structure, shape, material or disposition of the wire connectors after the connecting process of a plurality of wire connectors
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/0001Technical content checked by a classifier
    • H01L2924/00014Technical content checked by a classifier the subject-matter covered by the group, the symbol of which is combined with the symbol of this group, being disclosed without further technical details
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/01Chemical elements
    • H01L2924/01079Gold [Au]
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/01Chemical elements
    • H01L2924/01087Francium [Fr]
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/10Details of semiconductor or other solid state devices to be connected
    • H01L2924/102Material of the semiconductor or solid state bodies
    • H01L2924/1025Semiconducting materials
    • H01L2924/10251Elemental semiconductors, i.e. Group IV
    • H01L2924/10253Silicon [Si]
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/10Details of semiconductor or other solid state devices to be connected
    • H01L2924/11Device type
    • H01L2924/14Integrated circuits
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/15Details of package parts other than the semiconductor or other solid state devices to be connected
    • H01L2924/151Die mounting substrate
    • H01L2924/153Connection portion
    • H01L2924/1531Connection portion the connection portion being formed only on the surface of the substrate opposite to the die mounting surface
    • H01L2924/15311Connection portion the connection portion being formed only on the surface of the substrate opposite to the die mounting surface being a ball array, e.g. BGA

Definitions

  • the invention relates to the realization of an integrated circuit package for detecting the physical intrusion in said housing.
  • the invention is particularly applicable to the protection of secrets possibly contained in said integrated circuit, in case of physical attack, for example by destroying the secrets contained in an integrated circuit in case of intrusion into its housing.
  • the chip designates the integrated circuit itself, derived from the cutting of a silicon wafer, called "wafer" in English terminology.
  • the substrate designates a mini PCB ("Printed Circuit Board” in English terminology, or printed circuit), allowing the connection between the external connections or pads and the "chip” itself.
  • PCB printed Circuit Board
  • the component refers to the entire substrate, the chip and the housing covering the whole.
  • the PCB printed circuit designates the electronic card on which the component comes to rest.
  • the chip is usually deposited on the substrate (except for the so-called “flip-chip” technology), during the so-called “die attach” operation in English terminology, and bonded using a conductive epoxy adhesive.
  • connection specifically between the substrate and the "chip” is done in many ways, depending on the technologies chosen.
  • a wire-based interconnection is made consisting of connecting the substrate to the chip by conducting wires, the conductive wires resting on pads on the substrate side and on pads on the chip side.
  • the electrical connection between the chip and the substrate is by conductive balls welded under the component and on the substrate.
  • the electrical connection between the component and the PCB is done in multiple ways according to the technologies chosen, for example via conductive beads on a so-called BGA packaging, which is an acronym for "Bail Grid Array” in English terminology. Saxon.
  • any signal, in particular a sensitive signal, coming from the PCB printed circuit will pass through the balls, then through the substrate, via the pads, on the interconnection wires, then the skates, to finally be conveyed in the chip.
  • integrated circuits for smart cards have only one input / output pin. It is therefore easy to encrypt the data flowing on this pin, so that it is not useful to secure the housing as such.
  • TPM Transactional Platform Module
  • Case protection can be relatively simple in some cases, for example by depositing a resin coating over the integrated circuit, for "Chip on Board” type packaging or when the secure components are micro-cards of smart cards.
  • the enclosure protection against physical intrusions is more complex on other implementations, if the integrator has provided additional protections during the final assembly of the integrated circuit on its support.
  • cover the circuit with a deposit, a cover or a cover of variable type (resin deposit, metal cover).
  • the latter can be very simple, thus providing minimal mechanical protection as only passive.
  • external protections more elaborate, in the form of conductive circuits in which passes an electrical signal for detecting any intrusion into the cover by a control of this signal by the safety mechanisms, the conductive circuits being arranged generally in a material preventing their access (resin, gel, ).
  • the integration of the protected component is by definition more complicated to achieve because it requires additional elements, such as a hood, additional tooling for installing the cover, additional time for mounting the cover and the drying the resin;
  • a general object of the invention is to provide a device and a method for protecting an integrated circuit package, which is able to overcome the disadvantages of the protection systems known in the state of the art.
  • Another more specific object of the invention is to provide a simple and effective protection device integrated circuit boxes, for detecting any possible opening of the housing to access a sensitive area of the integrated circuit.
  • Another object of the invention is to provide a protection device that is inexpensive to produce.
  • the principle of the invention consists in arranging, in a certain pattern, a fragile element containing a conductive material, the fragile element being introduced in the continuity of an intrusion detection circuit.
  • the detection circuit conducts a signal that makes it possible to check the electrical continuity of the detection circuit.
  • the signal used can have multiple forms, static or dynamic (i.e. constantly changing shapes).
  • the verification of the electrical continuity of the detection circuit is done for example by comparing the input of said detection circuit and the output.
  • the security policy decides the follow-up to be given to this verification and to the potential detection of an intrusion attempt, a possible sequence being for example the erasure of the keys stored in the integrated circuit.
  • the subject of the invention is an electronic integrated circuit comprising an electronic chip fixed on a substrate, the assembly being protected by a box, the electronic chip being provided with input / output pads connected to connecting pads disposed on the substrate, this circuit being further provided with at least one intrusion detection means able to detect a mechanical and / or chemical intrusion inside the box and / or an attempt to access a sensitive zone of the integrated circuit, characterized in that said intrusion detection means comprises a detection circuit buried in and / or deposited on the substrate and arranged so as to pass in the immediate vicinity of certain sensitive areas of the integrated circuit, so that any attempt to access any of said sensitive areas causes a change in the electrical state (closed / open) of said detection circuit.
  • the detection circuit comprises weakened zones, arranged in the immediate vicinity of said sensitive zones in such a way that a physical or chemical access in the vicinity of a sensitive zone causes the destruction of the adjacent weakened zone and the detection of the intrusion into the circuit.
  • the weakened zones are made in the form of conductive resin droplets, arranged in the vicinity of said sensitive areas.
  • the conductive resin droplets have a size of less than about 1000 micrometers, and are spaced from the sensitive areas to be protected by a space of the order of 50 microns.
  • the weakened zones of the detection circuit are distributed randomly in or on the substrate of the integrated circuit.
  • the weakened zones of the diffusion circuit are distributed in a conductive diffusion pattern of the substrate, in particular in the form of a grid. Some junction points of the diffusion pattern that are close to the sensitive areas are then raised to the surface of the substrate via conductive vias and provided with a weakened zone.
  • the intrusion detection circuit is arranged directly on the chip instead of the substrate or in addition to the substrate, the connection of the intrusion detection circuit being performed on the input pads / output of the chip.
  • the detection circuit is made in the form of an electrically open circuit in the vicinity of the sensitive zones, so that a chemical attack by a conductive liquid causes the circuit to close in the vicinity of the sensitive zones and consequently the detection of the chemical attack.
  • the detection circuit is made in the form of an electrically closed circuit in the vicinity of the sensitive zones, so that a chemical attack by a conductive liquid causes the circuit to open in the vicinity of the sensitive zones and consequently the detection of chemical attack.
  • FIG. 2 represents a more detailed view in elevation and in section of a chip mounted on a substrate with wire connection between the chip and the substrate by means of interconnections and connecting pads;
  • Figure 3 shows the device of Figure 2 in plan view
  • FIG. 4 represents an elevation view in section similar to that of FIG. 2, but including an intrusion detection circuit according to the invention
  • Figure 5 shows the device of Figure 4, in plan view.
  • a unitary chip 1 resulting from the cutting of a silicon wafer, and comprising electrical pads or terminals 2 for the electrical connection to the environment of the chip.
  • the chip is fixed on a substrate 3 (any type of insulating material) itself soldered to a printed circuit board 4 by means of a matrix of BGA beads 5.
  • the printed circuit board 4 has reception areas of a suitable diameter. (not shown)
  • the pitch between the balls is generally of the order of mm.
  • the brazing balls 5 provide the electrical connection between the pads 2 of the chip 1, and the conductive tracks of the printed circuit 4.
  • the pads 2 of the chip 1 are connected to pads 6 of the substrate 3 via conductive son 7, typically gold or aluminum.
  • the pads 6 are each connected to a ball 5 via a circuit 8 integrated in the substrate 3.
  • a signal leads to the bonding pad 6 is then routed to the corresponding ball 5 of the BGA by the circuit 8 present in the substrate.
  • FIG 4 which shows an elevational view in section similar to that of Figure 2, but including an intrusion detection circuit 9 provided according to the invention of fragile areas.
  • the detection circuit 9 is buried in the substrate 3 or deposited on it, or partially buried and partly deposited on the substrate.
  • This detection circuit 9, and in particular the part corresponding to the fragile element, has the purpose of guaranteeing the integrity and the protection of sensitive elements on the component.
  • These sensitive elements include memories containing sensitive data, or other chips or circuits carrying sensitive signals.
  • the detection circuit 9 goes back to fragile elements, especially made in the form of detection droplets 10, but of course other embodiments of fragile elements are within the reach of the skilled person.
  • the droplets are deposited on the surface of the substrate 3, close to those of the connecting pads 6 which are considered sensitive, so that any physical or chemical attack on a sensitive area would result in the destruction of the fragile element. closer, which would activate an alarm connected to the detection circuit.
  • the detection circuit 9 connects the detection droplets with each other, so that any damage to the circuit or to one of the detection droplets interrupts the circuit 9, which generates a readable alert for, for example, destroy the secrets stored in the memory of chip 1.
  • the detection circuit 9 is buried in the inner layers of the substrate 3 and is therefore considered inaccessible.
  • This circuit "rises” then to the surface of the substrate 3 through conductive vias (not shown).
  • a droplet thus ensures the connection between 2 bushings and all the droplets thus closes the detection circuit. It is clear that to ensure a good efficiency of detection of intrusions to sensitive areas, the droplets 10 and the connecting pads 6, and their interconnections, must be of the smallest possible size, taking into account the cost requirements. Manufacturing.
  • the easily attainable dimensions are of the order of 500 ⁇ m diameter for the droplets 10, 200 ⁇ m for the bond pads 6, and 35 ⁇ m for the interconnections of the wire-based detection circuit 9.
  • the droplet deposition accuracy is about 25 ⁇ m
  • the distance between a droplet 10 and the closest bond pad 6 that it protects is of the order of 50 .mu.m.
  • the product used for bonding the chip 1 to the substrate 3 is generally deposited on the surface of the substrate by means of a syringe by droplets or patterns.
  • This product is for example a conductive resin known under the commercial reference: "ablestik ablebond ® epoxy 8290".
  • This droplet deposition method and this tooling can therefore be used also for the deposition of the conductive resin droplets 10 on the substrate 3.
  • etching the housing will have consequences on the fragile element, destroying or degrading it at the same time or even before the dissolution of the housing. This will result in a reaction of the detection circuit and detection of the attack.
  • Another solution in the case where the chemical composition of the housing is not close to that of the fragile element, consists in mixing a conductive version of the fragile element with an insulating version.
  • An example of this kind of implementation will be to use a conductive epoxy resin and an insulating epoxy resin.
  • a conductive epoxy resin and an insulating epoxy resin.
  • trying to eliminate the insulating epoxy resin will also eliminate the conductive epoxy resin.
  • epoxy resin is a very interesting solution because resin deposition tools (by needles) are tools already present and available on integrated circuit encapsulation chains.
  • a last means to make a chemical attack difficult is to force the aggressor on the choice of the product attacking the fragile element and / or the housing. Indeed, when the chemical composition of the housing includes a lot of silica, the organic solvents are ineffective.
  • the deposition of fragile elements is done on an electrically insulated surface, except at the connection points reserved for fragile elements.
  • the location and / or diffusion law of the fragile element are highly variable, depending on the security levels to be defined on a case-by-case basis, and the technological choices best suited to each case.
  • each fragile element 10 can be located near a sensitive area to protect it by proximity.
  • the fragile element is in contact with the bonding pad. Trying to approach the skids without detection to attack them is very difficult for a potential attacker.
  • a diffusion pattern of the fragile elements can therefore be a pattern usually called "mesh" in English terminology. It is a sort of network more or less tight, scattered on all or part of the substrate. This protects the signals routed into the substrate.
  • the circuit thus formed makes it possible to detect any intrusion by a modification of the signal led in said circuit.
  • Another reason for scattering fragile elements is to diffuse small points of fragile elements distributed on the substrate. For example, the distribution can be made over the entire substrate, randomly, or only a part, if it is particularly sensitive and protect. For this reason, the majority of the detection circuit will be buried in the substrate and only a few points will be external, consisting of the deposition points of the fragile elements such as conductive droplets. The circuit thus formed detects any intrusion by a modification of the signal conducted in the detection circuit.
  • a third embodiment is to protect not the substrate but directly the chip.
  • the latter is usually covered with an insulating passivation layer. This makes it possible to deposit the fragile conductive element on its surface.
  • the connection of the detection circuit is then on the pads 2 of the chip.
  • a very simple implementation consists of the link between two consecutive blocks. Thus, such a detection circuit is able to protect a third sensitive pad, located near these two pads.
  • the advantage of this method of manufacture is that the connection of the two pads by depositing the fragile element is easy to achieve. It is also possible to make passivation openings at any location on the surface of the chip, allowing droplet deposition.
  • a fourth embodiment of the detection circuit consists in directly protecting the chip by exploiting the conductivity of the attacking liquid (for example, fuming nitric acid) by analogy with the solution described previously on the presence of an open circuit a priori and which would be closed by fluidity and conductivity of the attacking liquid.
  • the embodiment is in the form of scattered pads on the surface of the chip, constituting one or more open circuits. These open circuits will close by spreading the attacking liquid, thanks to its fluidity and conductivity.
  • the density of pads on the surface is variable, can reach a high value, thus totally preventing a liquid chemical attack.
  • the first interest is that the chip being higher than the substrate in the housing, an attack of the case would therefore a priori detected earlier by the sensors located on the surface of the chip.
  • the second advantage is that this mechanism also provides protection against physical intrusion into the chip. It can ideally come in addition to other mechanisms, such as trellises, nowadays commonly used.
  • the method of protection of integrated circuits and the integrated circuits obtained according to the invention meet the objectives set.
  • the proposed solution using fragile elements near sensitive areas makes it possible to counter virtually all invasive attacks on integrated circuits, regardless of the technologies used for these integrated circuits.
  • the resin deposition tools are already available and well controlled, so that their use for another function, namely the deposition of conductive droplets for creating and closing an intrusion detection circuit can be envisaged with lower cost and high manufacturing efficiency.
  • the described solution can be applied to integrated circuits for a wide variety of applications, such as sensitive components for applications such as voice over IP telephony, the transmission of confidential data over the Internet.
  • networks VPN techniques, authentication), secure authentication tokens ("secure USB key”), security-related components, components for cryptographic calculation.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Condensed Matter Physics & Semiconductors (AREA)
  • Power Engineering (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne un circuit intègre électronique comportant une puce électronique (1) fixée sur un substrat (3), l'ensemble étant protégé par un boitier, la puce électronique étant pourvue de plots d'entrée/sortie (2) connectés à des patins de liaison (6) disposés sur le substrat, ce circuit étant pourvu en outre d'au moins un moyen de détection d'intrusion (9,10) apte à détecter une intrusion mécanique et/ou chimique à l'intérieur du boitier et/ou une tentative d'accès à une zone sensible du circuit intégré, caractérisé en ce que ledit moyen de détection d'intrusion (9,10) comporte un circuit de détection (9) enfoui dans et/ou déposé sur le substrat (3) et aménagé de manière à passer au voisinage immédiat de certaines zones sensibles du circuit intégré, de manière que toute tentative d'accès à l'une quelconque desdites zones sensibles entraine une modification de l'état électrique (fermé/ouvert) dudit circuit de détection (9).

Description

Dispositif de protection d'un boîtier de circuit intégré électronique contre les intrusions par voie physique ou chimique
L'invention concerne la réalisation d'un boîtier pour circuit intégré permettant de détecter l'intrusion physique dans ledit boîtier. L'invention a notamment pour application la protection des secrets éventuellement contenus dans ledit circuit intégré, en cas d'attaque physique, par exemple en détruisant les secrets contenus dans un circuit intégré en cas d'intrusion dans son boîtier.
Définitions :
A titre de vocabulaire, la puce désigne le circuit intégré proprement dit, provenant du découpage d'une plaquette de silicium, appelée « wafer » en terminologie anglo-saxonne.
Le substrat désigne un mini PCB (« Printed Circuit Board » en terminologie anglo-saxonne, ou circuit imprimé), permettant la liaison entre les connections ou plots externes et la « puce » elle-même.
Le composant désigne l'ensemble du substrat, de la puce et du boîtier recouvrant le tout.
Le circuit imprimé PCB désigne la carte électronique sur laquelle vient se poser le composant.
La puce est habituellement déposée sur le substrat (hormis pour la technologie dite « flip-chip »), lors de l'opération dite de « die attach » en terminologie anglo-saxonne, et collée grâce à une colle époxy conductrice.
La connexion spécifiquement entre le substrat et la « puce » se fait de multiples façons, selon les technologies choisies. Par exemple, dans le cadre classique, on réalise une interconnexion à base filaire consistant à relier par des fils conducteurs le substrat à la puce, les fils conducteurs reposant sur des patins côté substrat et sur des plots côté puce. Pour la technologie dite « flip- chip », la connexion électrique entre la puce et le substrat se fait par des billes conductrices soudées sous le composant et sur le substrat. La connexion électrique entre le composant et le circuit imprimé PCB se fait de multiple façons selon les technologies choisies, par exemple par l'intermédiaire de billes conductrices sur un conditionnement dit BGA, qui est un acronyme pour « Bail Grid Array » en terminologie anglo-saxonne. Ainsi, considérant une puce BGA non flip-chip, tout signal, en particulier un signal sensible, en provenance du circuit imprimé PCB, va passer par les billes, puis à travers le substrat, via les patins, sur les fils d'interconnexion, puis les patins, pour finalement être acheminé dans la puce.
Etat de la technique :
II existe plusieurs types de circuits intégrés dédiés à la sécurité de l'information, et il est aujourd'hui courant de faire reposer la sécurité d'un système électronique ou informatique sur un circuit intégré assurant les fonctions de sécurité. Un exemple bien connu est celui de la carte à puce, qui est pourvue d'un circuit intégré qui a pour fonction de protéger des informations sensibles, telles que des clés. Ces clés sécurisent par exemple des transactions bancaires, la facturation téléphonique, ou des transactions d'achat à distance.
Or les circuits intégrés pour cartes à puce n'ont qu'une seule broche d'entrée/sortie. Il est donc aisé de chiffrer les données circulant sur cette broche, de sorte qu'il n'est pas utile de sécuriser le boîtier en tant que tel.
Un autre exemple de circuit dédié à la sécurité est le TPM (acronyme pour « Trusted Platform Module » en terminologie anglo-saxonne) qui, à l'initiative des géants de l'informatique, se trouve aujourd'hui présent sur quasiment tous les ordinateurs portables professionnels, et ces TPM équiperont probablement demain l'ensemble des ordinateurs personnels vendus dans le monde.
Les circuits sécurisés complexes, en particulier les circuits TPM, ont un bien plus grand nombre d'entrées/sorties qu'un circuit pour carte à puce (28 broches pour le TPM). Ainsi, la sécurisation du composant requière la protection des informations sensibles circulant sur cette multitude d'entrées/sorties, de sorte qu'un attaquant ne puisse en obtenir des informations ni les forcer aux valeurs qu'il souhaite. On voit dès lors que la solution du cryptage adaptée dans le cas des circuits pour cartes à puce, n'est plus adaptée dans le cas des circuits sécurisés complexes, puisque la puissance de calcul nécessaire pour crypter et décrypter en temps réel une vingtaine de signaux, voire davantage, serait rédhibitoire en termes de performances nécessaires, et de coût.
Dès lors, une nouvelle solution est nécessaire pour sécuriser des circuits complexes pourvus d'une multitude d'entrées/sorties. Par ailleurs, on constate que les dispositifs d'analyse physique et électrique de circuits intégrés progressent rapidement. Parmi ces dispositifs, on trouve notamment le microscope électronique à balayage, les dispositifs à faisceau d'ions focalisés (désignés par FIB pour « Focalized Ion Beam » en terminologie anglo-saxonne), ou encore les dispositifs d'analyse d'émission de photons par les jonctions (encore appelés « Emiscope »).
Ces équipements, destinés à la base à la mise au point des circuits intégrés, peuvent aussi être utilisés par certains comme de redoutables moyens d'attaque dirigés contre la sécurité des circuits.
Néanmoins, dans ce contexte, il est important de noter que pour tous ces dispositifs, l'ouverture du boîtier est le préalable à la mise en œuvre de l'attaque.
Une façon de répondre à la problématique consisterait donc en principe à protéger l'ensemble du circuit, en protégeant le boitier du circuit contre les intrusions physiques. La protection du boitier peut être relativement simple dans certains cas, par exemple en déposant un revêtement en résine pardessus le circuit intégré, pour des conditionnements de type « Chip on Board » ou lorsque les composants sécurisés sont des micromodules de cartes à puces.
C'est ce qui a été réalisé dans le FR 2 888 975 A, qui prévoit de couvrir toute la surface de la puce avec des couches de protection disposées de part et d'autre de la puce de façon la couvrir intégralement avec une couche de protection. Bien entendu, une telle structure est onéreuse, compte tenu de la surface à protéger. En outre, elle est relativement peu efficace, puisqu'il suffit d'enlever les couches de protection, qui sont bien localisées et bien apparentes, pour contourner les moyens de protection. Mais une telle protection est inefficace, puisqu'une simple attaque chimique permet d'enlever le revêtement en résine déposé à la pose du circuit sur son support, et d'accéder au circuit (la puce) intégré proprement dit.
La protection du boîtier contre les intrusions physiques est plus complexe sur d'autres implémentations, si l'intégrateur a prévu des protections supplémentaires lors du montage final du circuit intégré sur son support. Par exemple, il est connu de recouvrir le circuit par un dépôt, un capot ou un couvercle de type variable (dépôt de résine, capot métallique). Ce dernier peut être très simple, assurant ainsi une protection mécanique minimale car uniquement passive. On connaît également des protections externes plus élaborées, sous la forme de circuits conducteurs dans lesquels transite un signal électrique destiné à détecter toute intrusion dans le couvercle par un contrôle de ce signal par les mécanismes de sécurité, les circuits conducteurs étant disposés généralement dans un matériau empêchant leur accès (résine, gel, ...). Un exemple très représentatif d'un tel revêtement fournissant un haut niveau de sécurité est le produit appelé « tamper-respondent security enclosure » de WL Gore & Associates. Néanmoins, cette option de protection externe présente de gros inconvénients pour l'intégrateur du circuit dans le produit final. En effet :
- l'intégration du composant ainsi protégé est par définition plus compliquée à réaliser, car elle nécessite des éléments supplémentaires, comme par exemple un capot, de l'outillage supplémentaire pour la pose du capot, du temps supplémentaire pour le montage du capot et le séchage de la résine ;
- le coût de fabrication est plus élevé, du fait du matériel supplémentaire requis et des étapes de fabrication supplémentaires ; - le rendement sur la fabrication du produit final est impacté négativement ;
- le risque est plus élevé d'un point sécurité car des modifications fonctionnelles sur le produit final peuvent impliquer de repenser cette protection ; - la protection externe doit être validée par des laboratoires de certification.
Buts de l'invention :
Un but général de l'invention est de proposer un dispositif et un procédé de protection d'un boîtier de circuit intégré, qui soit apte à remédier aux inconvénients des systèmes de protection connus dans l'état de la technique.
Un autre but plus spécifique de l'invention est de proposer un dispositif de protection simple et efficace des boitiers de circuits intégrés, permettant de détecter toute ouverture éventuelle du boîtier pour accéder à une zone sensible du circuit intégré.
Un autre but de l'invention est de proposer un dispositif de protection qui soit peu coûteux à réaliser.
Résumé de l'invention :
Le principe de l'invention consiste à disposer, suivant un certain motif, un élément fragile contenant un matériau conducteur, l'élément fragile étant introduit dans la continuité d'un circuit de détection d'intrusion.
Au contraire du document FR 2 888 975 A précité, il s'agit donc de ne protéger que les abords immédiats des zones sensibles, c'est- à-dire les zones susceptibles de voir transiter des informations sensibles. A cet effet, on réalise aux abords des zones sensibles, des gouttelettes ou des zones fragilisées de très faible diamètre. Ces gouttelettes sont connectées entre elles par un circuit électrique disposé sur le substrat ou enfoui dans le substrat. Les gouttelettes sont de très petite taille et localisées de façon imprévisible pour un attaquant, de sorte que toute intrusion mécanique ou chimique au voisinage d'une zone sensible va nécessairement détruire une ou plusieurs gouttelettes, ou le circuit qui les relie.
Le circuit de détection conduit un signal qui permet de vérifier la continuité électrique du circuit de détection. Le signal utilisé peut avoir de multiples formes, statique ou dynamique (i.e. changeant en permanence de formes). La vérification de la continuité électrique du circuit de détection se fait par exemple par comparaison de l'entrée dudit circuit de détection et de la sortie. La politique de sécurité décide des suites à donner à cette vérification et à la détection potentielle d'une tentative d'intrusion, une suite possible étant par exemple l'effacement des clés stockées dans le circuit intégré.
Pour mettre en œuvre ce principe, l'invention a pour objet un circuit intégré électronique comportant une puce électronique fixée sur un substrat, l'ensemble étant protégé par un boitier, la puce électronique étant pourvue de plots d'entrée/sortie connectés à des patins de liaison disposés sur le substrat, ce circuit étant pourvu en outre d'au moins un moyen de détection d'intrusion apte à détecter une intrusion mécanique et/ou chimique à l'intérieur du boitier et/ou une tentative d'accès à une zone sensible du circuit intégré, caractérisé en ce que ledit moyen de détection d'intrusion comporte un circuit de détection enfoui dans et/ou déposé sur le substrat et aménagé de manière à passer au voisinage immédiat de certaines zones sensibles du circuit intégré, de manière que toute tentative d'accès à l'une quelconque desdites zones sensibles entraine une modification de l'état électrique (fermé/ouvert) dudit circuit de détection. A cet effet, le circuit de détection comporte des zones fragilisées, aménagées au voisinage immédiat desdites zones sensibles de telle manière qu'un accès physique ou chimique au voisinage d'une zone sensible entraine la destruction de la zone fragilisée adjacente et la détection de l'intrusion dans le circuit. Avantageusement, les zones fragilisées sont réalisées sous la forme de gouttelettes de résine conductrice, aménagées au voisinage desdites zones sensibles.
De préférence, les gouttelettes de résine conductrice ont une taille inférieure à environ 1000 micromètres, et sont espacées des zones sensibles à protéger par un espace de l'ordre de 50 micromètres.
Selon un mode de réalisation de l'invention, les zones fragilisées du circuit de détection sont réparties de façon aléatoire dans ou sur le substrat du circuit intégré. En variante de réalisation, les zones fragilisées du circuit de diffusion sont réparties selon un motif de diffusion conducteur du substrat, notamment en forme de grille. Certains points de jonction du motif de diffusion qui sont proches des zones sensibles sont alors remontés à la surface du substrat par l'intermédiaire de traversées conductrices et pourvus d'une zone fragilisée. Selon un mode de réalisation de l'invention, le circuit de détection d'intrusion est aménagé directement sur la puce au lieu du substrat ou en complément du substrat, la connexion du circuit de détection d'intrusion étant effectuée sur les plots d'entrée/sortie de la puce.
Avantageusement, le circuit de détection est réalisé sous la forme d'un circuit électriquement ouvert au voisinage des zones sensibles, de façon qu'une attaque chimique par un liquide conducteur provoque la fermeture du circuit au voisinage des zones sensibles et par conséquent la détection de l'attaque chimique.
En variante, le circuit de détection est réalisé sous la forme d'un circuit électriquement fermé au voisinage des zones sensibles, de façon qu'une attaque chimique par un liquide conducteur provoque l'ouverture du circuit au voisinage des zones sensibles et par conséquent la détection de l'attaque chimique.
L'invention sera mieux comprise à la lecture de la description détaillée qui s'ensuit, et des figures, dans lesquelles : - la Figure 1 représente en élévation et en coupe la structure schématique classique d'un boîtier de circuit intégré monté sur substrat connecté à un support ;
- la Figure 2 représente une vue plus détaillée en élévation et en coupe d'une puce montée sur un substrat avec connexion filaire entre la puce et le substrat au moyen d'interconnexions et de patins de liaison ;
- la Figure 3 représente le dispositif de la Figure 2 en vue en plan ;
- la Figure 4 représente une vue en élévation et en coupe similaire à celle de la Figure 2, mais incluant un circuit de détection d'intrusion selon l'invention ;
- la Figure 5 représente le dispositif de la Figure 4, en vue en plan.
On se réfère à la Figure 1. On a représenté dans cette figure une puce 1 unitaire issue du découpage d'une tranche de silicium, et comportant des plots ou bornes électriques 2 pour la connexion électrique à l'environnement de la puce. La puce est fixée sur un substrat 3 (tout type de matériau isolant) lui- même soudé sur un circuit imprimé 4 au moyen d'une matrice de billes BGA 5. Le circuit imprimé 4 comporte des plages d'accueil d'un diamètre adéquat (non représentées). Le pas entre les billes est en général de l'ordre du mm. Les billes de brasage 5 réalisent la jonction électrique entre les plots 2 de la puce 1, et les pistes conductrices du circuit imprimé 4.
Comme représenté plus en détail sur les Figures 2 et 3, les plots 2 de la puce 1 sont connectés à des patins 6 du substrat 3 par l'intermédiaire de fils conducteurs 7, typiquement en or ou en aluminium. En outre, les patins 6 sont chacun reliés à une bille 5 par l'intermédiaire d'un circuit 8 intégré au substrat 3. Ainsi, un signal conduit vers le patin 6 de liaison est ensuite acheminé vers la bille 5 correspondante du BGA par le circuit 8 présent dans le substrat.
On se réfère à la Figure 4 qui représente une vue en élévation et en coupe similaire à celle de la Figure 2, mais incluant un circuit 9 de détection d'intrusion pourvu selon l'invention de zones fragiles. Le circuit de détection 9 est enfoui dans le substrat 3 ou déposé sur lui, ou en partie enfoui et en partie déposé sur le substrat. Ce circuit de détection 9, et en particulier la partie correspondant à l'élément fragile, a pour finalité de garantir l'intégrité et la protection d'éléments sensibles sur le composant. Ces éléments sensibles sont notamment des mémoires contenant des données sensibles, ou d'autres puces ou circuits transportant des signaux sensibles.
Le circuit de détection 9 remonte vers des éléments fragiles, notamment réalisés sous la forme de gouttelettes de détection 10, mais bien entendu d'autres modes de réalisation d'éléments fragiles sont à la portée de l'homme de métier. Les gouttelettes sont déposées sur la surface du substrat 3, à proximité de ceux des patins de liaison 6 qui sont considérés comme sensibles, de sorte que toute atteinte physique ou chimique à une zone sensible, se traduirait par une destruction de l'élément fragile le plus proche, ce qui activerait une alarme connectée au circuit de détection.
Comme représenté sur la figure 5, le circuit de détection 9 relie les gouttelettes de détection entre elles, de sorte que toute atteinte au circuit ou à l'une des gouttelettes de détection, interrompt le circuit 9, ce qui génère une alerte exploitable pour, par exemple, détruire les secrets stockés dans la mémoire de la puce 1.
De préférence, le circuit de détection 9 est enfoui dans des couches internes du substrat 3 et est donc considéré comme inaccessible. Ce circuit « remonte » alors à la surface du substrat 3 par l'intermédiaire de traversées conductrices (non représentées). Une gouttelette assure donc la liaison entre 2 traversées et l'ensemble des gouttelettes ferme ainsi le circuit de détection. Il est clair que pour assurer une bonne efficacité de la détection des intrusions vers des zones sensibles, les gouttelettes 10 et les patins de liaison 6, ainsi que leurs interconnexions, doivent être de la dimension la plus réduite possible, compte tenu des impératifs de coût de fabrication.
Ainsi, avec les technologies actuelles de réalisation de circuits, les dimensions aisément atteignables sont de l'ordre de 500μm de diamètre pour les gouttelettes 10, de 200μm pour les patins de liaison 6, et de 35μm pour les interconnexions du circuit de détection 9 à base filaire. En outre, la précision du dépôt des gouttelettes est d'environ 25μm, et la distance entre une gouttelette 10 et le patin de liaison 6 le plus proche qu'elle protège, est de l'ordre de 50μm. II est à noter que le produit utilisé pour le collage de la puce 1 sur le substrat 3 est en général déposé sur la surface du substrat au moyen d'une seringue par gouttelettes ou motifs. Ce produit est par exemple une résine conductrice connue sous la référence commerciale: « ablestik ablebond ® époxy 8290 ». Ce procédé de dépôt de gouttelettes et cet outillage peuvent donc être utilisés également pour le dépôt des gouttelettes 10 de résine conductrice sur le substrat 3.
Comme on l'a indiqué précédemment, les zones les plus sensibles d'un composant comportant une puce disposée sur un substrat, sont protégées par la proximité d'éléments fragiles qui sont par exemple réalisés sous la forme de gouttelettes 10 en matériau électriquement conducteur. On va maintenant indiquer quelques façons d'obtenir la fragilité recherchée, notamment en cas d'attaque mécanique et/ou chimique du composant.
Le principe de protection promu par l'idée est qu'un attaquant essayant d'accéder à la puce ou à un signal présent sur le substrat du boîtier doit pour cela d'abord enlever chimiquement et/ou mécaniquement une couche inerte (typiquement la résine de moulage). C'est cette action d'élimination de cette couche inerte qui l'exposera à la corruption d'au moins un élément fragile, déclenchant ainsi une détection de l'attaque.
En ce qui concerne l'introduction d'une fragilité mécanique, elle est inhérente au dépôt de zones fragiles de petite taille, comme c'est le cas lors du dépôt de fines gouttelettes 10. En effet, la petitesse de la gouttelette rend celle-ci très sensible à toute approche d'usinage (par exemple par fraisage, perçage ou autre) pour accéder à un élément sensible et toute approche de cet élément sensible impliquera le fort probable arrachement de la gouttelette. En ce qui concerne l'introduction d'une fragilité chimique, on peut imaginer par exemple, que la composition chimique d'un élément fragile, typiquement la gouttelette 10, est proche de celle du boîtier, ce qui la rendrait sensible aux attaques chimiques consistant à détruire le boîtier du composant, ce boîtier (non représenté dans les figures) incorporant et protégeant la puce et son substrat.
Ainsi, attaquer chimiquement le boîtier aura des conséquences sur l'élément fragile, le détruisant ou le dégradant en même temps voire avant la dissolution du boîtier. Cela aura pour conséquence une réaction du circuit de détection et une détection de l'attaque.
Une autre solution, dans le cas où la composition chimique du boîtier n'est pas proche de celle de l'élément fragile, consiste à mélanger une version conductrice de l'élément fragile avec une version isolante. Un exemple de ce genre d'implémentation consistera à utiliser une résine époxy conductrice et une résine époxy isolante. Ainsi essayer d'éliminer la résine époxy isolante aura pour conséquence d'éliminer également la résine époxy conductrice. L'utilisation de résine époxy est une solution très intéressante car les outils de dépôt de résine (par des aiguilles) sont des outils déjà présents et disponibles sur les chaînes d'encapsulation de circuits intégrés. Un dernier moyen pour rendre une attaque chimique difficile est de contraindre l'agresseur sur le choix du produit attaquant l'élément fragile et/ou le boîtier. En effet, lorsque la composition chimique du boîtier inclut beaucoup de silice, les solvants organiques sont inefficaces. Ainsi dans ces conditions, seuls des produits tels que l'acide nitrique fumant couramment utilisé pour détruire des résines et ainsi attaquer des circuits intégrés pourront être utilisés. Considérant l'acide nitrique, ou tout autre acide suffisamment concentré pour assurer une conductivité électrique, ou toute solution conductrice, il suffit de prévoir dans le boîtier un mécanisme de détection basé sur un circuit non fermé a priori. Ainsi, l'épandage de la solution conductrice aurait pour effet, du fait de la fluidité et de la conductivité de la solution d'attaque, de fermer le circuit de détection, ce qui signifierait une attaque.
Le dépôt des éléments fragiles se fait sur une surface électriquement isolée, hormis au niveau des points de connexion réservés aux éléments fragiles.
La localisation et/ou la loi de diffusion de l'élément fragile sont très variables, dépendant des niveaux de sécurité à définir au cas par cas, et des choix technologiques les plus adaptés à chaque cas.
Par exemple, chaque élément fragile 10 peut être localisé prés d'une zone sensible afin de la protéger par proximité. Pour les cas d'utilisation d'une interconnexion à base filaire, il est nécessaire de protéger les patins de liaison qui sont les points d'attache sur le substrat des fils de connexion avec la puce.
Ainsi, le dépôt de l'élément fragile se fait au plus près de ces patins de liaison.
Idéalement, l'élément fragile est en contact avec le patin de liaison. Essayer d'approcher sans détection les patins de liaison pour les attaquer est donc très difficile pour un attaquant éventuel.
Un motif de diffusion des éléments fragiles peut donc être un motif usuellement appelé « mesh » en terminologie anglo-saxonne. Il s'agit d'une sorte de réseau plus ou moins serré, diffusé sur tout ou partie du substrat. Cela permet de protéger les signaux acheminés dans le substrat. Le circuit ainsi formé permet de détecter toute intrusion par une modification du signal conduit dans ledit circuit.
Un autre motif de diffusion des éléments fragiles consiste à diffuser des petits points d'éléments fragiles répartis sur le substrat. Par exemple, la répartition peut être faite sur tout le substrat, de façon aléatoire, ou sur une partie seulement, si celle-ci est particulièrement sensible et à protéger. Pour ce motif, la plus grande partie du circuit de détection sera enfouie dans le substrat et seuls quelques points seront externes, consistant en les points de dépôt des éléments fragiles tel que des gouttelettes conductrices. Le circuit ainsi formé permet de détecter toute intrusion par une modification du signal conduit dans le circuit de détection.
Un troisième exemple de réalisation consiste à protéger non plus le substrat mais directement la puce. Cette dernière est habituellement recouverte d'une couche de passivation isolante. Cela permet de déposer l'élément fragile conducteur sur sa surface. La connexion du circuit de détection se fait alors sur les plots 2 de la puce. Une implémentation très simple consiste en la liaison entre deux plots consécutifs. Ainsi, un tel circuit de détection est à même de protéger un troisième plot sensible, situé à proximité de ces deux plots. L'avantage de ce mode de fabrication est que la connexion des deux plots par dépôt de l'élément fragile est aisée à réaliser. Il est également possible de réaliser des ouvertures de passivation à tout endroit de la surface de la puce, permettant un dépôt de gouttelette.
Un quatrième exemple de réalisation du circuit de détection consiste à protéger directement la puce en exploitant la conductivité du liquide attaquant (par exemple, l'acide nitrique fumant) par analogie avec la solution décrite précédemment sur la présence d'un circuit ouvert à priori et qui serait fermé par fluidité et conductivité du liquide attaquant. La réalisation se présente sous la forme de plots disséminés sur la surface de la puce, constituant un ou plusieurs circuits ouverts. Ces circuits ouverts se fermeront par épandage du liquide attaquant, grâce à sa fluidité et sa conductivité. La densité de plots sur la surface est variable, pouvant atteindre une valeur élevée, empêchant ainsi totalement une attaque chimique liquide.
L'intérêt de cette dernière solution est double: le premier intérêt est que la puce étant plus haute que le substrat dans le boîtier, une attaque du boitier serait donc a priori détectée plus tôt par les capteurs situés sur la surface de la puce. Le deuxième intérêt est que ce mécanisme procure également une protection contre l'intrusion physique dans la puce. Elle peut idéalement venir en complément d'autres mécanismes, tels que des treillis, aujourd'hui couramment utilisés. Avantages de l'invention :
Le procédé de protection de circuits intégrés et les circuits intégrés obtenus selon l'invention répondent aux buts fixés. La solution proposée utilisant des éléments fragiles à proximité des zones sensibles permet de contrer pratiquement toutes les attaques invasives sur les circuits intégrés, quelles que soient les technologies utilisées pour ces circuits intégrés.
En outre, elle permet de renforcer la protection au niveau du boîtier du circuit intégré, pour avoir une sécurité disponible sur étagère et garantie. De plus, dans certains cas, par exemple lorsque les éléments fragiles sont réalisés en résine époxy, les outils de dépôt de résine sont déjà disponibles et bien maitrisés, de sorte que leur utilisation pour une autre fonction, à savoir le dépôt de gouttelettes conductrices pour créer et fermer un circuit de détection contre l'intrusion, peut être envisagée avec un moindre coût et un rendement de fabrication élevé.
Applications de l'invention :
Compte tenu de ses multiples avantages, la solution décrite peut être appliquée à des circuits intégrés destinés à des applications très diverses, comme par exemple les composants sensibles pour des applications telles que la téléphonie basé sur la voix sur IP, la transmission de données confidentielles sur les réseaux (techniques de VPN, d'authentification), les jetons d'authentification sécurisé (« clef USB sécurisée »), les composants dédiés à la sécurité, les composants pour le calcul cryptographique.

Claims

REVENDICATIONS
1. Circuit intégré électronique comportant une puce électronique (1) fixée sur un substrat (3), l'ensemble étant protégé par un boîtier, la puce électronique étant pourvue de plots d'entrée/sortie (2) connectés à des patins de liaison (6) disposés sur le substrat, ce circuit étant pourvu en outre d'au moins un moyen de détection d'intrusion (9,10) apte à détecter une intrusion mécanique et/ou chimique à l'intérieur du boîtier et/ou une tentative d'accès à une zone sensible du circuit intégré, caractérisé en ce que ledit moyen de détection d'intrusion (9,10) comporte un circuit de détection (9) enfoui dans et/ou déposé sur le substrat (3) et aménagé de manière à passer au voisinage immédiat de certaines zones sensibles du circuit intégré, de manière que toute tentative d'accès à l'une quelconque desdites zones sensibles entraine une modification de l'état électrique (fermé/ouvert) dudit circuit de détection (9).
2. Circuit intégré selon la revendication 1, caractérisé en ce que ledit circuit de détection comporte des zones fragilisées (10), aménagées au voisinage immédiat desdites zones sensibles, de telle manière qu'un accès physique ou chimique au voisinage d'une zone sensible entraine la destruction de la zone fragilisée (10) adjacente et la détection de l'intrusion dans le circuit.
3. Circuit intégré selon la revendication 2, caractérisé en ce que lesdites zones fragilisées sont réalisées sous la forme de gouttelettes (10) de résine conductrice, aménagées au voisinage desdites zones sensibles.
4. Circuit intégré selon la revendication 3, caractérisé en ce que les gouttelettes (10) de résine conductrice ont une taille inférieure à environ 1000 micromètres, et sont espacées des zones sensibles à protéger par un espace de l'ordre de 50 micromètres.
5. Circuit intégré selon l'une quelconque des revendications 1 à 4, caractérisé en ce que les zones fragilisées (10) du circuit de détection (9) sont réparties de façon aléatoire dans le substrat (3) du circuit intégré.
6. Circuit intégré selon l'une quelconque des revendications 1 à 4, caractérisé en ce que le substrat (3) comporte un motif de diffusion conducteur, notamment en forme de grille, certains points de jonction du motif de diffusion qui sont proches des zones sensibles étant remontés à la surface du substrat par l'intermédiaire de traversées conductrices et pourvus d'une zone fragilisée (10).
7. Circuit intégré selon l'une quelconque des revendications précédentes, caractérisé en ce que le circuit de détection d'intrusion est aménagé directement sur la puce (2) au lieu du substrat (3) ou en complément de celui-ci, la connexion du circuit de détection d'intrusion étant effectuée sur les plots d'entrée/sortie (2) de la puce.
8. Circuit intégré selon l'une quelconque des revendications 1 à 7, caractérisé en ce que le circuit de détection est réalisé sous la forme d'un circuit électriquement ouvert au voisinage des zones sensibles, de façon qu'une attaque chimique par un liquide conducteur provoque la fermeture du circuit au voisinage des zones sensibles et par conséquent la détection de l'attaque chimique.
9. Circuit intégré selon l'une quelconque des revendications 1 à I1 caractérisé en ce que le circuit de détection est réalisé sous la forme d'un circuit électriquement fermé au voisinage des zones sensibles, de façon qu'une attaque chimique par un liquide conducteur provoque l'ouverture du circuit au voisinage des zones sensibles et par conséquent la détection de l'attaque chimique.
PCT/FR2009/001307 2008-11-21 2009-11-14 Dispositif de protection d'un boitier de circuit intégré électronique contre les intrusions par voie physique ou chimique WO2010058094A1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2011536917A JP5933266B2 (ja) 2008-11-21 2009-11-14 物理的または化学的な侵入に対して電子集積回路ハウジングを保護する装置
US13/130,534 US8581251B2 (en) 2008-11-21 2009-11-14 Device for protecting an electronic integrated circuit housing against physical or chemical ingression
CN200980146866.0A CN102257516B (zh) 2008-11-21 2009-11-14 用于使电子集成电路外壳免受物理或化学侵入的设备

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0806563A FR2938953B1 (fr) 2008-11-21 2008-11-21 Dispositif de protection d'un boitier de circuit integre electronique contre les intrusions par voie physique ou chimique.
FR0806563 2008-11-21

Publications (1)

Publication Number Publication Date
WO2010058094A1 true WO2010058094A1 (fr) 2010-05-27

Family

ID=40752530

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2009/001307 WO2010058094A1 (fr) 2008-11-21 2009-11-14 Dispositif de protection d'un boitier de circuit intégré électronique contre les intrusions par voie physique ou chimique

Country Status (5)

Country Link
US (1) US8581251B2 (fr)
JP (1) JP5933266B2 (fr)
CN (1) CN102257516B (fr)
FR (1) FR2938953B1 (fr)
WO (1) WO2010058094A1 (fr)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103814527B (zh) * 2012-08-31 2015-10-07 蓝鸟株式会社 移动终端
CN102858082B (zh) * 2012-09-26 2015-06-10 深圳市九思泰达技术有限公司 核心模块安全区防护结构
US10651135B2 (en) 2016-06-28 2020-05-12 Marvell Asia Pte, Ltd. Tamper detection for a chip package
EP3340114B1 (fr) * 2016-12-22 2020-09-30 EM Microelectronic-Marin SA Circuit rfid a deux frequences de communication muni d'une boucle d'inviolabilite
US11454010B2 (en) 2017-03-09 2022-09-27 Charles James SPOFFORD Appliance with shim compatible geometry
CN107133535A (zh) * 2017-04-13 2017-09-05 上海汇尔通信息技术有限公司 数据保护结构及移动终端设备
US11289443B2 (en) * 2017-04-20 2022-03-29 Palo Alto Research Center Incorporated Microspring structure for hardware trusted platform module
FR3084521B1 (fr) 2018-07-25 2020-08-14 Stmicroelectronics Rousset Procede de protection d'un module de circuit integre et dispositif correspondant
FR3084520B1 (fr) 2018-07-25 2020-08-14 Stmicroelectronics Rousset Procede de protection d'un circuit integre, et dispositif correspondant
FR3084492A1 (fr) 2018-07-30 2020-01-31 Stmicroelectronics (Rousset) Sas Procede de detection d'une attaque par un faisceau de particules electriquement chargees sur un circuit integre, et circuit integre correspondant
FR3099259B1 (fr) * 2019-07-24 2021-08-13 St Microelectronics Rousset Procédé de protection de données stockées dans une mémoire, et circuit intégré correspondant
WO2022027535A1 (fr) * 2020-08-07 2022-02-10 深圳市汇顶科技股份有限公司 Puce de sécurité et dispositif électronique

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2801999A1 (fr) * 1999-12-01 2001-06-08 Gemplus Card Int Procede de protection physique de puces electroniques et dispositifs electroniques ainsi proteges
GB2363233A (en) * 2000-05-11 2001-12-12 Ibm Tamper resistant card enclosure with intrusion detection circuit
FR2864667A1 (fr) * 2003-12-29 2005-07-01 Commissariat Energie Atomique Protection d'une puce de circuit integre contenant des donnees confidentielles
FR2872610A1 (fr) * 2004-07-02 2006-01-06 Commissariat Energie Atomique Dispositif de securisation de composants
FR2888975A1 (fr) * 2005-07-21 2007-01-26 Atmel Corp Procede de securisation pour la protection de donnees

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4593384A (en) * 1984-12-21 1986-06-03 Ncr Corporation Security device for the secure storage of sensitive data
US5027397A (en) * 1989-09-12 1991-06-25 International Business Machines Corporation Data protection by detection of intrusion into electronic assemblies
US6708274B2 (en) 1998-04-30 2004-03-16 Intel Corporation Cryptographically protected paging subsystem
US5861662A (en) * 1997-02-24 1999-01-19 General Instrument Corporation Anti-tamper bond wire shield for an integrated circuit
DE10044837C1 (de) * 2000-09-11 2001-09-13 Infineon Technologies Ag Schaltungsanordnung und Verfahren zum Detektieren eines unerwünschten Angriffs auf eine integrierte Schaltung
US7490250B2 (en) * 2001-10-26 2009-02-10 Lenovo (Singapore) Pte Ltd. Method and system for detecting a tamper event in a trusted computing environment
US7266842B2 (en) 2002-04-18 2007-09-04 International Business Machines Corporation Control function implementing selective transparent data authentication within an integrated system
GB2412996B (en) * 2004-04-08 2008-11-12 Gore & Ass Tamper respondent covering
US7979721B2 (en) * 2004-11-15 2011-07-12 Microsoft Corporation Enhanced packaging for PC security
BRPI0520346A2 (pt) * 2005-06-30 2009-05-05 Siemens Ag sistema de proteção de hardware para módulos de dados eletrÈnicos sensìveis que protege contra manipulações externas
DE102005042790B4 (de) * 2005-09-08 2010-11-18 Infineon Technologies Ag Integrierte Schaltungsanordnung und Verfahren zum Betrieb einer solchen
US8522051B2 (en) * 2007-05-07 2013-08-27 Infineon Technologies Ag Protection for circuit boards
EP2026470A1 (fr) 2007-08-17 2009-02-18 Panasonic Corporation Vérification de redondance cyclique de fonctionnement sur des segments de codage
JP5041980B2 (ja) * 2007-11-16 2012-10-03 ルネサスエレクトロニクス株式会社 データ処理回路及び通信携帯端末装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2801999A1 (fr) * 1999-12-01 2001-06-08 Gemplus Card Int Procede de protection physique de puces electroniques et dispositifs electroniques ainsi proteges
GB2363233A (en) * 2000-05-11 2001-12-12 Ibm Tamper resistant card enclosure with intrusion detection circuit
FR2864667A1 (fr) * 2003-12-29 2005-07-01 Commissariat Energie Atomique Protection d'une puce de circuit integre contenant des donnees confidentielles
FR2872610A1 (fr) * 2004-07-02 2006-01-06 Commissariat Energie Atomique Dispositif de securisation de composants
FR2888975A1 (fr) * 2005-07-21 2007-01-26 Atmel Corp Procede de securisation pour la protection de donnees

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
YVES FOUILLET: "Plate-forme microfluidique discrète et électromouillage", 18ÈME CONGRÈS FRANÇAIS DE MÉCANIQUE (CFM'07), GRENOBLE - FRANCE, 1 January 2007 (2007-01-01), pages 1 - 6, XP007912047, Retrieved from the Internet <URL:http://documents.irevues.inist.fr/handle/2042/6829> *

Also Published As

Publication number Publication date
FR2938953A1 (fr) 2010-05-28
CN102257516B (zh) 2015-10-07
CN102257516A (zh) 2011-11-23
FR2938953B1 (fr) 2011-03-11
JP5933266B2 (ja) 2016-06-08
JP2012509585A (ja) 2012-04-19
US8581251B2 (en) 2013-11-12
US20110260162A1 (en) 2011-10-27

Similar Documents

Publication Publication Date Title
WO2010058094A1 (fr) Dispositif de protection d&#39;un boitier de circuit intégré électronique contre les intrusions par voie physique ou chimique
KR20240036032A (ko) 접합된 구조물의 광학적 차단 보호 요소
EP0792497B1 (fr) Dispositif de securite actif a memoire electronique
KR20240036698A (ko) 결합 구조체를 위한 보호 반도체 소자
CN101772775B (zh) 抗篡改半导体器件以及制造该抗篡改半导体器件的方法
US6759736B2 (en) Semiconductor device comprising a security coating and smartcard provided with such a device
EP0800209B1 (fr) Dipositif de sécurité d&#39;une pastille semi-conductrice
EP3371735B1 (fr) Corps de lecteur de carte à mémoire à treillis de protection recto-verso
EP2608641B1 (fr) Dispositif de protection d&#39;un circuit imprimé électronique.
EP2241997B1 (fr) Lecteur de carte mémoire
EP1183642B1 (fr) Dispositif a circuit integre securise contre des attaques procedant par destruction controlee d&#39;une couche complementaire
FR2801999A1 (fr) Procede de protection physique de puces electroniques et dispositifs electroniques ainsi proteges
FR3077678A1 (fr) Procede de detection d&#39;une atteinte a l&#39;integrite d&#39;un substrat semi-conducteur d&#39;un circuit integre depuis sa face arriere, et dispositif correspondant
EP1127376A1 (fr) Puce a circuits integres securisee contre l&#39;action de rayonnements electromagnetiques
EP1021833B1 (fr) Dispositif a circuit integre securise et procede de fabrication
FR2727226A1 (fr) Dispositif de securite actif a memoire electronique
FR2848025A1 (fr) Protection d&#39;un composant par nappe conductrice a contact aleatoire
FR2892544A1 (fr) Detection de tentative d&#39;effraction sur une puce a travers sa structure support
FR2957443A1 (fr) Carte a microcircuit(s) avec contremesure pour attaques en faute par rayonnement lumineux

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 200980146866.0

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09775236

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2011536917

Country of ref document: JP

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 13130534

Country of ref document: US

122 Ep: pct application non-entry in european phase

Ref document number: 09775236

Country of ref document: EP

Kind code of ref document: A1