D'UNE MÉTHODE DE DÉTECTION DE « TROJANS » …Exurville Ingrid Jacques Fournier & Jean Max Dutertre 27/11/2012 . SOMMAIRE PRESENTATION GDR SoC-SiP | 27 NOVEMBRE 2012 | PAGE 2 Introduction

MISE EN ŒUVRE

D'UNE MÉTHODE DE DÉTECTION

DE « TROJANS » MATÉRIELS

SUR CIRCUITS AES.

Journée sécurité numérique _ GDR SoC-SiP

Exurville Ingrid

Jacques Fournier & Jean Max Dutertre

27/11/2012

SOMMAIRE

| PAGE 2 PRESENTATION GDR SoC-SiP | 27 NOVEMBRE 2012

Introduction

Méthode de caractérisation d’un Cheval de Troie Matériel par mesure

de temps de chemin de propagation

Mesure des temps de chemin de propagation sur l’AES

Mise en œuvre, premières observations

Perspectives

Introduction

Méthode de caractérisation d’un CTM par mesure


Mesure des temps de chemin de propagation sur

l’AES


Perspectives

| PAGE 3

PRESENTATION GDR SoC-SiP | 27

NOVEMBRE 2012

INTRODUCTION


Cheval de Troie Matériel Ajout / modification d’un circuit pouvant transmettre des informations confidentielles à

l'insu de l'utilisateur, désactiver/détruire certains composants de la puce…

Approche d’une mesure de

temps de chemin de propagation

des bits d’un algorithme de

chiffrement symétrique par

blocs représentés en matrices

4*4 : l’AES.

Hypothèse de travail L’ajout d’un CTM modifie le temps

de propagation des bits.

| PAGE 5


NOVEMBRE 2012

Introduction

Méthode de Caractérisation d’un CTM

par mesure de temps de chemin de

propagation


l’AES


Perspectives

Di Qi Di+1

Qi+1

Logique

combinatoire

clk

data 1 1 1 1

Dffi Dffi+1

n m

Tclk + Tskew - su

Temps de propagation des données = DclkQ + DpMax

Temps requis par les données = Tclk + Tskew - su

Tclk > DclkQ + DpMax - Tskew + su

DpMax DclkQ

CONTRAINTE TEMPORELLE DES

CIRCUITS SYNCHRONES

6 PRESENTATION GDR SoC-SiP | 27 NOVEMBRE 2012

T = 35 ps

Le « glitch » d’horloge est une modification locale d’une période.

Le choix du cycle d’injection est possible.

Tclk > DclkQ + su + DpMax - Tskew

7

clk

Tclk

Tclk - T

clk’

DpMax + su

Tour n-2 Tour n-1 Tour n Tour n+1 Tour n+2

LE GLITCH D’HORLOGE

T = 35 ps

PRESENTATION GDR SoC-SiP | 27 NOVEMBRE 2012

8

set-up

Q i+1

DclkQ

Clk’

Q i

DclkQ

logic glitches

DpMax

D i+1

Tclk’


Fonctionnement normal

hold


9

set-up hold

Q i+1

Métastabilité (non-déterministe)

‘1’ ou ‘0’ ?

DclkQ

Clk’

Q i

DclkQ

logic glitches

DpMax

D i+1

Tclk’-T


Violation du temps de setup


10

Faire une faute revient à faire une mesure du temps de propagation des bits

connaissant le nombre de T.


Message :

0100011100011110010…

Chiffré en sortie :

1000110111010101010…

Chiffré attendu :

0000110111010101010…

AES

Glitch Au tour n°10

Avec Tclk – N*T


PRINCIPE DE DÉTERMINATION DU

TEMPS DE PROPAGATION DES BITS

PRESENTATION GDR SoC-SiP | 27 NOVEMBRE 2012 | PAGE 11

D1

D2

D3

D4

Pas de faute

D5

D6

D7

D8

Octe

t n°7

1er bit fauté 2 bits fautés 3 bits fautés

Seuil critique

0 ns ≈ Tclk – 170*ΔT Période (en ns)

Tclk = 10 ns

Diminution de la période par pas de T=35ps

≈ Tclk – 95*ΔT

≈ Tclk – 125*ΔT

≈ Tclk – 135*ΔT

PRINCIPE DE DÉTERMINATION DU

TEMPS DE PROPAGATION DES BITS

PRESENTATION GDR SoC-SiP | 27 NOVEMBRE 2012 | PAGE 12

D1

D2

D3

D4 D5

D6

D7

D8

Octe

t n°7

Seuil critique

0 ns ≈ Tclk – 170*ΔT Période (en ns)

Tclk = 10 ns

Diminution de la période par pas de T=35ps

ΔV : Variabilité inter maquette

ΔH : causé par le trojan

• Si ΔT << ΔH : on peut mesurer l’effet du CTM.

• Si ΔV << ΔH : La présence du CTM n’est pas masquée par la variabilité.

PROTOCOLE EXPÉRIMENTAL


Mise en place du glitch d’horloge :

| PAGE 14


NOVEMBRE 2012

Introduction

Méthode de caractérisation d’un CTM par mesure


Mesure des temps de chemin de

propagation sur l’AES


Perspectives

INFLUENCE SUR LA MESURE DES

TEMPS DE CHEMINS CRITIQUES SUR

L’AES


Facteurs

Texte clair Clé

Environnement extérieur

Code VHDL Bitstream

FPGA

Option de Synthèse

ETUDE DE LA VARIABILITÉ POUR

PLUSIEURS BITSTREAMS SUR UNE

MÊME MAQUETTE


Trois synthèses distinctes sont effectuées pour en récupérer trois bitstreams.

0

200

400

600

800

1000

1200

1400

6465 6430 6395 6360 6325 6290 6255 6220 6185 6150 6115 6080

Nombre d'occurrences

Valeur du chemin critique (en ps)

Etude du bit n°3

bitstream 1

bitstream 2

bitstream 3

Texte clair et clé constants

ETUDE DE LA VARIABILITE POUR

TROIS MAQUETTES FPGA AVEC UN

MEME BITSTREAM


Même code, même bitstream, trois maquettes

Texte clair et clé constants.

0

200

400

600

800

1000

1200

1400

1600

6535 6500 6465 6430 6395 6360 6325 6290 6255 6220 6185 6150 6115 6080

Nombre d'occurrences

Valeur du chemin critique (en ps)

Etude du bit n°3

Maquette n° 1

Maquette n° 2

Maquette n° 3

ΔV =175 ps

ETUDE DE LA RÉPARTITION DE

TEMPS DE CHEMINS CRITIQUES


Assimilation à une Gaussienne

Cette méthode permet une certaine formalisation de la base de

données des valeurs, et ainsi manipuler les données plus facilement.

Nombre de ΔT suffisants pour

fauter le bit n°3 pour les 4000 essais

Histogramme des données mesurées

Gaussienne générée par Octave

Nombre

d'occurrences

de fautes le bit

n°3 pour les

4000 essais

ETUDE DE LA VARIABILITE POUR

QUATRE MAQUETTES FPGA AVEC

UN MEME BITSTREAM


Comparaison des temps de propagation pour quatre maquettes

pour les bits [100-128]

OPTION DE SYNTHÈSE

« KEEP HIERARCHY »

Comparaison option de synthèse « Keep hierarchy » pour les bits [100-128]

(En noir : sans « Keep hierarchy » , en bleu : avec « Keep hierarchy » )


| PAGE 21


NOVEMBRE 2012

Introduction

Caractérisation d’un CTM par mesure de temps de

chemin de propagation


l’AES


Perspectives

OPTION DE SYNTHÈSE

SANS « KEEP HIERARCHY »

Distribution des temps de propagation des 128 bits de l’AES


OPTION DE SYNTHÈSE



Comparaison sans CTM/ CTM n°1/ CTM n°2 pour les bits [100-128]

(En noir : sans CTM)

3500

4000

4500

5000

5500

6000

6500

7000

7500

8000

100 105 110 115 120 125 130

Mes

ure

du te

mps

crit

ique

en

ps (

Fre

quen

ce =

100

Mhz

Numero de bit de la matrice d'etat de l'AES

Repartition des temps de chemins critiques

OPTION DE SYNTHÈSE




(en noir : sans CTM, en rouge : CTM n°1)

3500

4000

4500

5000

5500

6000

6500

7000

7500

8000

100 105 110 115 120 125 130

Mes

ure

du te

mps

crit

ique

en

ps (

Fre

quen

ce =

100

Mhz



OPTION DE SYNTHÈSE




(en noir : sans CTM, en rouge : CTM n°1, en bleu : CTM n°2)

3500

4000

4500

5000

5500

6000

6500

7000

7500

8000

100 105 110 115 120 125 130

Mes

ure

du te

mps

crit

ique

en

ps (

Fre

quen

ce =

100

Mhz



PERTINENCE DE L’OPTION

« KEEP HIERARCHY »


(en noir : sans CTM, en rouge : CTM n°1, en bleu : CTM n°2)


3500

4000

4500

5000

5500

6000

6500

7000

7500

8000

100 105 110 115 120 125 130

Mes

ure

du te

mps

crit

ique

en

ps (

Fre

quen

ce =

100

Mhz



| PAGE 27


NOVEMBRE 2012

Introduction

Caractérisation d’un CTM par mesure de temps de

chemin de propagation


l’AES


Perspectives

PERSPECTIVES


Caractérisation un AES grâce à la distribution des temps associé à chaque bit

de l’AES.

Le rajout d’un CTM a une influence sur la distribution de temps de chemins

critiques.

Les variations dues à certains facteurs (changement de FPGA, d’option, etc.)

ont une influence sur le temps de chemins critiques, mais ne remettent pas en

cause la validation de l’outil.

Cette étude a permis de nouvelles approches quant à la détection de CTM.

On distingue des nouveaux critères d’analyses :

• La liste des bits non détectés

• L’ordre des bits détectés

• Le nombre de bits détectés

Possibilité de détecter une resynthèse.

Limites : CTM placé dans un chemin « non-critique court ».

Commissariat à l’énergie atomique et aux énergies alternatives

Centre de Saclay | 91191 Gif-sur-Yvette Cedex

Etablissement public à caractère industriel et commercial | RCS Paris B 775 685 019

| PAGE 29


NOVEMBRE 2012

Documents

D'UNE MÉTHODE DE DÉTECTION DE « TROJANS » …Exurville Ingrid Jacques Fournier & Jean Max Dutertre 27/11/2012 . SOMMAIRE PRESENTATION GDR SoC-SiP | 27 NOVEMBRE 2012 | PAGE 2 Introduction