Integrated circuits (ICs) are used in virtually every technical product, from consumer devices to hardware in more critical applications, such as infrastructure management and the military. At the same time, sophisticated side-channel analysis (SCA) attacks using chip failure analysis (FA) techniques can be leveraged to extract logical states from within the chip. So-called logic state imaging techniques allow the extraction of, for instance, data from on-chip memory cells by optical inspection through the chip’s backside. If used maliciously, this endangers the chip’s secret keys, user data, and intellectual property (IP). Consequently, countermeasures must be in place to protect from these powerful attacks. Chip manufacturers, however, have not yet put the highest effort into developing and integrating innovative countermeasures for a few reasons. First, it is expected that measures like masked implementations developed to protect against traditional SCA can also prevent attacks using FA tools. Second, it may be seductive to think that these attacks are too complex in terms of reverse engineering, which can prevent attacks. Third, it is believed that the high costs of suitable setups hinder potential adversaries.
This work demonstrates that schemes designed to protect against traditional SCA do not protect against single-trace optical techniques. We show that the individual key shares can be extracted using laser logic state imaging (LLSI) – a technique applied for security investigations for the first time. Furthermore, we show that applying machine learning techniques can significantly reduce the reverse engineering effort. In this regard, we show how to extract secrets using convolutional neural networks (CNNs) automatically. Concerning the argument of high setup costs, we show that attacks can be conducted much cheaper than expected. Our setup for thermal laser stimulation (TLS) is cheaper by a factor of ten compared with conventional FA tools. The mentioned techniques, though, can not only be utilized for attacking devices. In this regard, we use LLSI to spot malicious modifications of hardware implementations on field-programmable gate arrays (FPGAs) and show how tiny and dormant hardware Trojans (HTs) can be detected reliably.
Finally, this work discusses future research directions and challenges for laser-based hardware security investigations. Future directions include the new class of active SCA techniques, the development of countermeasures, and the simulation of optical probing techniques. The main future challenges discussed in this thesis are increasing logic densities, new transistor designs, 3D packaging, and backside power delivery networks.
Integrierte Schaltungen (ICs) werden in praktisch jedem technischen Produkt verwendet, von Verbrauchergeräten bis hin zu Hardware in kritischeren Anwendungen, wie z.B. im Infrastrukturbetrieb und beim Militär. Zugleich können komplexe Angriffe mit Seitenkanalanalyse-Techniken (SCA) und Methoden aus der Chip-Fehleranalyse (FA) ausgenutzt werden, um logische Zustände aus Chips zu extrahieren. Sogenannte Logic State Imaging-Techniken ermöglichen beispielsweise die Extraktion von Daten aus Speicherzellen durch optische Inspektion durch die Chiprückseite. Bei böswilliger Nutzung gefährdet dies geheime Schlüssel, Benutzerdaten und geistiges Eigentum (IP) auf dem Chip. Folglich müssen Gegenmaßnahmen umgesetzt werden, um sich vor diesen wirkungsvollen Angriffen zu schützen. Aus meheren Gründen haben die Chip-Hersteller jedoch noch nicht die größten Anstrengungen in der Entwicklung und Integration von innovativen Gegenmaßnahmen unternommen. Zum einen wird erwartet, dass Maßnahmen wie Masking-Implementierungen, die zum Schutz gegen traditionelle SCA entwickelt wurden, auch Angriffe mit FA-Tools verhindern können. Zweitens könnte man meinen, dass optische Angriffe bezüglich des nötigen Reverse Engineering zu komplex sind und somit Angriffe verhindert werden. Schließlich wird auch angenommen, dass die hohen Kosten für geeignete Setups potenzielle Angreifer fernhalten.
Diese Arbeit zeigt, dass Algorithmen, die zum Schutz gegen herkömmliche SCA entwickelt wurden, keinen Schutz gegen optische Single-Trace-Techniken bieten. Wir zeigen, dass die einzelnen Schlüsselanteile mit Hilfe von Laser Logic State Imaging (LLSI) extrahiert werden können - eine Technik, die zum ersten Mal für Sicherheitsuntersuchungen eingesetzt wird. Darüber hinaus zeigen wir, dass die Anwendung von Techniken des maschinellen Lernens den Reverse-Engineering-Aufwand erheblich reduzieren kann. In diesem Zusammenhang zeigen wir, dass man mithilfe von Convolutional Neural Networks (CNNs) automatisch kryptografische Schlüssel extrahieren kann. Was das Argument der hohen Setup-Kosten anbelangt, so zeigen wir, dass Angriffe viel kostengünstiger durchgeführt werden können als bisher angenommen. Unser Setup für die thermische Laserstimulation (TLS) ist im Vergleich zu herkömmlichen FA-Tools um den Faktor zehn günstiger. Die genannten Techniken können jedoch nicht nur für Angriffe verwendet werden. In diesem Zusammenhang verwenden wir LLSI , um bösartige Modifikationen von Hardware-Implementierungen auf Field-Programmable Gate Arrays (FPGAs) zu detektieren und zeigen, wie winzige und inaktive Hardware-Trojaner (HT) zuverlässig erkannt werden können.
Schließlich diskutiert diese Arbeit zukünftige Forschungsrichtungen und Herausforderungen für laserbasierte Hardware-Sicherheitsuntersuchungen. Zu den zukünftigen Richtungen gehören eine neue Klasse aktiver SCA-Techniken, die Entwicklung von Gegenmaßnahmen und die Simulation von Probing-Techniken. Die in dieser Arbeit diskutierten zukünftigen Herausforderungen sind steigende Logikdichten, neue Transistordesigns, 3D-Packaging, und rückseitige Stromversorgungsnetze.
Has Part