WO2001003084A1 - Procede de securisation du traitement d'une information sensible dans un module de securite monolithique, et module de securite associe - Google Patents
Procede de securisation du traitement d'une information sensible dans un module de securite monolithique, et module de securite associe Download PDFInfo
- Publication number
- WO2001003084A1 WO2001003084A1 PCT/FR2000/001814 FR0001814W WO0103084A1 WO 2001003084 A1 WO2001003084 A1 WO 2001003084A1 FR 0001814 W FR0001814 W FR 0001814W WO 0103084 A1 WO0103084 A1 WO 0103084A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- information
- security module
- processing
- data
- integrity
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/75—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
- G06F21/755—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation with measures against power attack
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
- G06Q20/3672—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes initialising or reloading thereof
Definitions
- the present invention relates to a method and a device for increasing the security of a monolithic security module comprising a microprocessor and arranged to execute a program to be secured.
- a program to be secured is a set of instructions, the execution of which must meet criteria such as: user authentication, confidentiality of the data exchanged, authenticity of a transaction and its validity, in general, data processing applications in which the rights and obligations of a user are controlled.
- the present invention aims to provide the security module with means of detection and countering against fraudulent external interventions to access sensitive data, bypassing prior checks known in themselves.
- the term monolithic “security module” covers any electronic circuit consisting of a single electronic chip and encased in an enclosure, the circuit comprising a processing unit, at least one memory and peripherals such as input / output circuits, interrupt controller, etc.
- the security module can take the form of an integrated circuit or of a portable object of the smart card type used for example in the banking field, in mobile radiotelephones, pay TV decoders, health, transportation.
- the security modules comprise at least one microprocessor, a memory containing a program and input / output means for communicating with the outside.
- the memory contains at least one application program which can be written to a ROM type memory when the circuit is manufactured, or subsequently written to a programmable memory.
- the program contains the instructions executed by the microprocessor, the transfer of the instructions from the read only or non-volatile memory to the microprocessor being effected by a bus. data coupled to an address bus. If the bus paths are too long, the circuit manufacturer has amplifier circuits at the ends of the buses so that the binary signal can propagate correctly over its entire length.
- Amplifier circuits require a high input impedance which makes them sensitive to external disturbances. Subjected to a radiation of elementary particles, they can saturate for a certain time and, whatever the input data, only emit on the bus 0 volts or + Vcc, ie a "0" or a binary "1". Such radiation can consist of alpha, X rays, positively or negatively charged ions depending on whether an amplifier output is "0" or "1".
- a fraudster in possession of an authentic card can try to thwart the security devices in order to take advantage of services in an abusive way: he will therefore subject the security module to such radiation in the hope of disrupting its operation to his advantage.
- the emission source can be short enough to interfere with the execution of only one or more instructions. This disturbance can substitute for the value read in the program memory, another value imposed by the emission of the radiation. Thus, the program is different and the fraudster can take advantage of it.
- a first response to this type of attack is to install radiation sensors, as soon as these detect abnormal radiation, they position a flag which can be read by the program.
- Such a solution is described in US Patent 5,465,349, the American equivalent of Patent FR 2,668,274.
- fraudsters have improved the means of investigation and use extremely fine emitters of radiation. By pointing the radiation only at the amplifiers or a group of amplifiers, the sensors no longer detect fraud. In any event, this parade is incapable to detect an intervention using micro-tips and, in any case, one can disturb the reading sequence of the sensors so that the program is executed as if nothing abnormal was detected.
- the invention aims to detect alterations in the transmission of instructions and data between a memory and a microprocessor.
- the problem which the invention aims to solve is the detection of an external intervention aimed at disturbing the progress of a program by modifying the value of the signals exchanged on the buses of a microcontroller.
- the problem is solved according to the invention by providing measures allowing the security modules to check whether the information flows correctly within the module and whether the programs have been executed in full. If not, normal program execution is interrupted. Optionally, any subsequent use of the module is prohibited because the module has realized that it is being used unlawfully.
- the invention claims a method for securing the processing of sensitive information in a security module of monolithic structure, the module comprising means for processing information and means for memorizing information capable of being processed by said processing means, characterized in that it comprises the following steps:
- FIG. 1 represents the diagram of a conventional microprocessor system.
- Figure 2 shows the instruction set of the MOTOROLA 6805 microprocessor.
- FIG. 3 shows the modified set of instructions of the microprocessor according to the invention.
- FIG. 4 shows the block diagram of the modified circuit according to the invention.
- FIG. 5 shows part of the block diagram of the circuit modified according to an improvement of the invention.
- FIG. 6 shows a part of the program memory provided with steps for updating and modifying an indicator making it possible to detect external disturbances.
- FIG. 7 shows part of the program memory according to a variant of the invention.
- FIG. 1 The electronic diagram of a microprocessor system is represented in figure 1. This diagram is extracted from the book "Architecture of the Computer” by Andrew TANENBAUM, published by InterEditions.
- the system comprises in a manner known per se the following elements: a microprocessor 31, a RAM memory 32, an EPROM program memory 33 which contains the executable program and input / output means 34.
- the connections of these various elements are operate by two buses, the address bus 35 and the data bus 36. It is customary to designate by “control bus” the bus which conveys all the signals such as the clock signals, the read and write signals, etc.
- these elements can be in information reception mode or in information transmission mode.
- the microprocessor reads an instruction in a byte at a certain address
- the eight cells of the ROM memory constituting the byte corresponding to this address transmit the value written in the cells through the data bus which transmits it to the microprocessor, the latter being in reception mode.
- the microprocessor transmits data to the memory, the data bus is then in transmission mode.
- the internal operation of the component is detailed in US patent 4,382,279, American equivalent of patent FR 2,461,301.
- Each microprocessor has a specific set of instructions.
- the MOTOROLA 6805 microprocessor processes eight-bit data internally. Its data bus has 8 lines and the instruction operation code is coded on 8 bits. .
- the instruction set of the microprocessor M6805 and M1468805 extracted from the documentation "Microcomputer / microprocessor User's manual" is represented in figure 2.
- An instruction for this type of microprocessor is coded on 8 bits, so there exists 256 different codes but these are not all executable by the microprocessor.
- Some codes are not implemented and correspond to holes in the table of figure 2, for example the codes: 90H, 31 H, 41 H, 51 H, 61 H, 71 H, 91 H, 23H, 24H, 25H, 26H, 27H, 28H, 29H, 93H, 94H, etc. If the microprocessor reads an operation code not implemented, its execution is not guaranteed. So the microprocessor can go to the next instruction without doing anything else. As can be seen in FIG. 2, the code "00" from the instruction set of the MOTOROLA 6805 microprocessor corresponds to the instruction "BRSET0" and the code "FF" to the instruction "STX" in indexed form.
- the instruction "BRSET0” occupies three bytes in program memory and is executed in ten clock cycles, that of the instruction “STX” occupies one byte and is executed in five clock cycles.
- the microprocessor has an ordinal counter containing the address of the instruction in the program memory which is being executed. As it was said in the preamble, if a fraudster sends radiation on the bus, one or the other of these instructions will be executed in place of the one actually read in the program memory.
- the ordinal counter of the microprocessor is increased by three units and therefore points three bytes further into the program memory. For the “STX” instruction, the ordinal counter is increased by one.
- the microprocessor By emitting the radiation during the ten clock strokes necessary for the execution of BRSET0, the microprocessor will read three bytes at "00", and translate this by "test if bit 0 of byte 00 is at 1 and jump if that is the case ". Because of the radiation, the value 00 of the byte at address 00 is read, so the jump will not take place and the program continues to the next instruction. Thus, by subjecting the circuit to radiation for a certain number of clock ticks, a fraudster can artificially advance the ordinal counter by successive jumps of three bytes and prevent the execution of a sequence written in program memory.
- the operation code whose binary value is 00 corresponds to the NOP instruction which means "no operation".
- This instruction uses only one byte. In this case, the fraudster can artificially advance the ordinal counter byte by byte.
- a first solution consists in interrupting the normal operation of the microprocessor during an instruction reading whose code is "00” or "FF".
- the module becomes silent, only a power off followed by a power on of the module can restart the microprocessor.
- Figure 3 shows the modified set of instructions according to the invention.
- the new instruction corresponding to “00” or “FF” is called “FRAUD” or FRD for short.
- columns have been inverted so that the codes “00” and “FF” no longer correspond to executable instructions.
- Column number “0” which contained the instruction "BRSET0” is transferred to column 2
- column number "F” which contained the instruction "STX” is transferred to column A.
- the columns are transferred by modifying the circuit mask, in the element which decodes the four most significant bits of the instruction operation code. We could also have modified the decoding of the four least significant bits of the operation code, but this was not necessary for this microprocessor model.
- the program does not contain a "FRAUD" instruction.
- the programmer who writes an application program takes care not to implement such instructions in his program.
- the solution can be generalized to all the operation codes which do not correspond to an instruction recognizable by the microprocessor.
- the new instruction "FRAUD" is assigned to all unused codes such as: 01 H, 02H, 03H, 04H, 05H, 06H, 0EH, 12H, 14H, 15H, 16H, 17H, 18H, 19H, 1AH, ... etc up to FFH, in all 47 different operation codes which all execute the same "FRAUD" instruction.
- this interrupt triggers a microprogrammed instruction in the microprocessor.
- This type of instruction performs a non-reversible operation of the type writing a code into non-volatile memory.
- the reset management circuit tests the value of this code in non-volatile memory and blocks the operation of the microprocessor.
- the firmware instruction triggers a definitive blocking operation of the circuit.
- the microprogrammed instructions have the advantage of being resident in the heart of the microprocessor and therefore, their execution cannot be interrupted or altered by radiation acting on the bus. It is therefore not possible to detect the execution of a microprogrammed blocking instruction.
- a second solution for detecting the disturbance of data on a bus is to implement an integrity check from one end to the other of the buses.
- Figure 4 shows the electronic diagram with its bus integrity controller.
- a ninth line denoted PARITE 2, the logic state of which corresponds to the value of the parity calculated from the eight binary information items present on the data bus.
- the operation codes of the various instructions of a program are read from the ROM memory 3 or from the non-volatile programmable memory 4, EEPROM for example.
- the output signal from a memory cell is too weak to reach the microprocessor via the data bus.
- amplifier circuits 5 and 6 are installed just after the cells of the EEPROM and ROM memories and before the bus. These two circuits have a control input E which activates their output.
- signal E has a level "1"
- the eight outputs are not active. They are in a high impedance state.
- the EEPROM memory being accessible for writing and reading, the amplifier circuit 5 is bidirectional. The direction of data transfer is controlled by the microprocessor by the READ ⁇ / RITE 18 control line).
- the means for checking the integrity of the data read from the memory cells include parity generators 7, 8 and 11, a comparator 12 and a non-maskable interrupt input called “NMI” connected to the microprocessor.
- the parity generators 7, 8 and 1 calculate the value of the parity of the data present on eight inputs.
- the 74HC280 circuit manufactured by National Semiconductor is a parity generator available in the form of an integrated circuit. Its structure can be perfectly integrated into the monolithic circuit.
- the parity generators also have an output line Q whose state represents the value of the parity of the data applied to the eight inputs and a control line E which activates the output Q when it is applied to 0 volts.
- the output line Q is at 0 volts if the number of inputs at + Vcc is even, or at + Vcc if the number of inputs at + Vcc is odd.
- + Vcc to input E
- the output line Q is in a high impedance state.
- the parity generator 7 calculates the parity of the data selected in the EEPROM memory
- the parity generator 8 calculates the parity of the data selected in the ROM memory
- the parity generator 11 calculates that present in the microprocessor.
- the microprocessor 9 also has an amplifier circuit 10 to ensure the compatibility of the signals passing over the data, address and control buses.
- This amplifier circuit connected to the data bus 10 is bidirectional; on the one hand, it amplifies the data signals that the microprocessor sends to memories and peripherals, on the other side it amplifies the signals received by these same memories and peripherals so that these signals are processed correctly by the internal circuits of the microprocessor .
- Most microprocessors have a prefetch device ("fetch" in English) which allows in the same clock cycle to execute an instruction and read the operation code of the next instruction.
- the microprocessor 9 controls the address bus, the value applied to this bus determines which type of device is selected.
- an address decoder 13 receives the address bus as input and selects the various peripherals and memories by specialized lines: the line called "EEPROM” selects the memory EEPROM and, the "ROM” line, ROM memory. Each of these two lines is connected to the memory and to the corresponding parity generator.
- the EEPROM and ROM lines are active at state 0.
- the output of AND gate 14 generates a signal for the common selection of the two memories, if one of the two EEPROM or ROM lines is at “0”, line 15 is also at "0".
- Line 15 is connected to input E of the parity generator 11 which, therefore, is active at the same time as one or the other of the parity generators 7 or 8. If no memory is selected, the generator output lines 2 and 16 are in the high impedance state.
- the generator output lines 2 and 16 are connected respectively to each of the two inputs of the comparator 12.
- the output Q of the comparator is connected to an interrupt input of the microprocessor (denoted “NMI” in FIG. 4).
- the microprocessor reads an operation code representative of an instruction in the ROM memory. It applies the address of the code on the address bus which makes the ROM line active and consequently, the amplifiers 6 and the parity generators 8 and 11.
- the amplifiers send the data read in the ROM memory to the data bus, and the parity generator calculates the value of the parity of said data then sends the value to comparator 12 via the PARITE line 2.
- the microprocessor reads the data through bidirectional amplifiers 10.
- the parity generator 11, activated by line 15 calculates the value of the parity of the data read by the microprocessor and sends it to the comparator by line 16.
- Comparator 12 compares the two values: if they are equal, the output is at level " 1 ", if there is a difference, the output is" 0 ". In the latter case, the data has undergone an alteration due most probably to the fraudulent emission of radiation.
- the comparator output is connected by line 17 to the "NMI" input of the microprocessor.
- a level "0" triggers a non-maskable interrupt which causes a diversion of the current program towards an interrupt routine.
- the comparator can be activated during the pre-reading phase; thus, interrupt generation is perfectly synchronized with the microprocessor's sequencing clock.
- the operation is identical when the microprocessor reads the EEPROM memory.
- the “NMI” input can be assimilated to the RESET input of the microprocessor.
- the microprocessor is unlocked and starts its program in the same way as a power-up.
- an external intervention cannot control the microprocessor which, as long as it is subjected to this radiation, is blocked.
- this second solution offers the advantage of checking any type of data: operation codes or data. Parity generators can also be installed on the address bus in the same way as for the data bus. This second solution therefore also offers the advantage of controlling the signals of the address bus.
- a level "0" on the "NMI” input causes the execution of a firmware.
- the signal level on the "NMI” input is recognized during a transition from the microprocessor clock, during which the data analyzed by the parity signal comparator are valid.
- a conventional interrupt management program written in the ROM memory would have its execution disrupted by the fraudster.
- a microprogram is resident in the microprocessor; it does not call for reading data on the bus; its execution cannot therefore be disturbed by radiation acting on the bus.
- the firmware triggered by the application of a level "0" on the "NMI” input, performs two actions: the first is the writing of a flag called "BLOCKED” in the programmable non-volatile memory, and the second is a reset of the microprocessor.
- the writing of the BLOCKED flag is irreversible: the state of this flag can no longer be changed either by the microprocessor or by external means.
- An initialization circuit activated when the security module is energized, tests the state of the BLOCKED flag and blocks the microprocessor in a permanent RESET state if the flag is written.
- this flag can be produced by a fuse whose melting makes the microprocessor unusable.
- the comparator 12 does not detect an error. Indeed, the number of lines at "0" being even, the parity signal must be at "0" or, it is precisely at this level that the line PARITE is forced. To avoid this and according to a variant of the second solution, we use the fact that the parity generators generally have two outputs, one to generate an even type parity, the other to generate an odd type parity.
- FIG. 5 shows the electronic diagram of the modifications to be made in FIG. 4 in order to integrate into the monolithic circuit circuits generating programmable parity.
- the elements common to Figure 4 and Figure 5 have the same references.
- the parity generators 7a, 8a and 11a have two outputs: one denoted Qp is the output of the even parity signal, and the other Qi is the output of the odd parity signal.
- Qp is the output of the even parity signal
- Qi is the output of the odd parity signal.
- the assemblies 20 and 21 each consisting of two AND gates, an OR gate and a reversing gate constitute multiplexers. The two inputs of the multiplexers are respectively connected to the two outputs Qi and Qp of the parity generators.
- a control line marked 23 selects the entry.
- the signals of line 23 are sent by a random signal generator 22).
- This generator is an electronic circuit which receives on a line of entry the clock of the microprocessor and which delivers a signal “0” and “1” in a random way in time.
- the generator of random signals can be a counter whose output changes state at each determined time interval.
- the random signal generator 22, the multiplexer 21 and the comparator 12 are located as close as possible to the microprocessor, and preferably integrated therein. Thus, they are little disturbed by a fraudster emitting radiation on the bus. More complicated assemblies using an internal oscillator in the random signal generator can be installed. The purpose of this generator is to emit a logic signal on a line whose state changes quite often, of the order of 100 to 10,000 times per second.
- the fraudster subjects the data bus to radiation which forces the data and parity bits to "1" or to "0".
- the parity value calculated from the data bits forced by radiation can be equal to the value forced by radiation therefore, being equal, no error is detected.
- the random signal generator 22 When the random signal generator 22 emits a level "0", the signals emitted by the outputs Qi of the parity generators 7a and 11a are selected and therefore, the odd type parity signals are compared. When the random signal generator 22 transmits a level "1”, the signals transmitted by the outputs Qp of the parity generators 7a and 11a are selected and therefore, the pair type parity signals are compared.
- a third solution to detect an alteration in the execution of a program is to implement routines for modifying flags from place to place within a program to be protected and to check before undertaking an operation on data sensitive that all flags have been changed.
- Figure 6 shows a part of the memory containing a program implemented at the address 0800 hexadecimal.
- This memory can be ROM or EEPROM, but any other type of non-volatile memory capable of executing instructions is suitable. All flags are represented by bits and grouped in memory in a flag. In the example described, this indicator is a byte of the RAM memory called FLAG. A number of bits making up this byte are used to mark the passage to certain stages of the program which lead to an operation on sensitive data.
- step 1 the FLAG byte is updated to the binary value "0000 0001", the first bit at "1" indicating that step 1 has been executed.
- step 2 the FLAG byte is read and modified by the execution of a logical OR (ORA instruction in MOTOROLA 6805) between its current content and the binary value "0000 0010”: the result of the OR operation is written in the FLAG byte.
- step 3 the FLAG byte is read and modified by the execution of a logical OR between its content and the binary value "0000 0100”: the result of the OR operation is written in l 'FLAG byte.
- step 4 the secure part of the program ends: the FLAG byte is read and checked: if its value is different from the binary value "0000 0111", the program jumps to a routine of fraud management.
- the program to be secured begins at address 0800H.
- the first step (step 1) consists of updating the FLAG byte by setting the first bit of the FLAG byte to “1”.
- step 2 the program continues in sequence until a second so-called modification step (step 2) in which the second bit of the FLAG byte is positioned, thus indicating that step 2 has been executed. Consequently, it can be assumed that all of the program instructions between step 1 and step 2 have been executed.
- step 4 the program to be secured ends with a routine for testing the FLAG byte: it consists of verifying the execution of steps 1, 2 and 3. If the value is different from "0000 01 11", a program diversion occurred, which reveals an abnormal operation most likely resulting from an attempted fraud. In this case, the program interrupts its normal operation to jump to the fraud management routine.
- a fraudster does not know the locations of the program where the routines for modifying the FLAG byte are implemented, he does not know when they are executed and therefore, by disturbing the values of the data bus, there is a strong probability that it succeeds in suppressing the execution of at least one of steps 1, 2 or 3, and therefore the FLAG byte will not have the expected final value.
- the fraud management routine can consist in resetting the microprocessor (RESET).
- RESET microprocessor
- An improvement consists in using for step 4 a microprogrammed instruction so that a fraudster could not disrupt its progress by preventing the execution of certain instructions and by authorizing others.
- This instruction has the following structure "Operation code, Address to be read, Value to be compared”: it sequentially performs the following functions: O reading of the "Address” byte ⁇ comparison of the value of the byte read with "Value" ⁇ if equal then jump to the next instruction otherwise ⁇ writing of the BLOCKED flag in non-volatile memory ⁇ RESET of the microprocessor
- the FLAG flag must then be represented by several bytes.
- the steps for updating the indicator occupy unnecessary memory space for the application program, both at the program level and at the RAM memory level. It is therefore necessary to optimize the number of steps. For example, for a program to be secured of 1000 bytes, a good compromise would be to install 32 stages of modification of the indicator. These 32 steps and the final test routine occupy 162 bytes of program memory and 4 bytes in RAM.
- the FLAG byte test may take into account only a limited number of bits. If the program to be secured ends at different places, several test routines can be installed in the program which take into account different values of the FLAG byte.
- This solution has the advantage of being easy to use on a conventional component because it does not involve modifying the hardware part of the component.
- An improvement of the invention consists in implementing in the program instructions for erasing the FLAG byte at locations which are normally never reached during the execution of the program.
- a fraudulent disturbance of the execution of the program can cause the execution of one of these instructions which, by setting to 00 the FLAG byte, involves the execution of the routine of management of the fraud.
- FIG. 7 shows the appearance of the program memory according to the improvement.
- the program executes an unconditional jump instruction. The instruction at the following address is therefore never executed, unless another jump instruction specifies it as destination.
- the programmer writes an instruction to erase the FLAG byte immediately after the unconditional jump instruction, and takes care never to specify it as a destination in his program.
- the program illustrated in FIG. 7 shows two steps for erasing the FLAG byte (step 2 bis and 3 bis).
- the erase instruction occupies only two bytes in program memory, against four bytes for the steps of updating the indicator, which, for equal performance, saves space.
- An optimal program uses relatively few unconditional jump instructions. It is therefore possible to systematically put an erase instruction after an unconditional jump.
Abstract
L'invention concerne un procédé de sécurisation du traitement d'une information sensible dans un module de sécurité de structure monolithique, le module comportant des moyens de traitement de l'information (9) et des moyens de mémorisation (3, 4) d'informations susceptibles d'être traitées par lesdits moyens de traitement, caractérisé en ce qu'il comprend les étapes suivantes: sélectionner une information sensible dans les moyens de mémorisation; déterminer (7) une condition particulière d'intègrité de la dite information; lire l'information et la transmettre (1) aux moyens de traitement; contrôler (11) lors du traitement de l'information que la condition particulière est satisfaite; bloquer le traitement de l'information au cas où la condition particulière n'est pas satisfaite. L'invention concerne aussi le module de sécurité associé.
Description
Procédé de sécurisation du traitement d'une information sensible dans un module de sécurité monolithique, et module de sécurité associé
La présente invention concerne un procédé et un dispositif pour accroître la sécurité d'un module de sécurité monolithique comprenant un microprocesseur et agencé pour exécuter un programme à sécuriser. Un programme à sécuriser est un ensemble d'instructions dont l'exécution doit répondre à des critères tels que : authentification de l'utilisateur, confidentialité des données échangées, authenticité d'une transaction et sa validité, de façon générale, le traitement de données d'applications dans lesquelles des droits et obligations d'un usager sont contrôlés. La présente invention vise à doter le module de sécurité de moyens de détection et de parade contre des interventions extérieures frauduleuses pour accéder à des données sensibles, par contournement de contrôles préalables connus en eux-mêmes. Le terme « module de sécurité » monolithique recouvre tout circuit électronique constitué d'une seule puce électronique et enrobé dans une enceinte, le circuit comprenant une unité de traitement, au moins une mémoire et des périphériques tels que des circuits d'entrée/sortie, contrôleur d'interruptions, etc.... Le module de sécurité peut prendre l'aspect d'un circuit intégré ou d'un objet portatif du type carte à puce utilisée par exemple, dans le domaine bancaire, dans les radiotéléphones mobiles, les décodeurs de télévision à péage, la santé, les transports.
Les modules de sécurité selon l'invention comportent au moins un microprocesseur, une mémoire contenant un programme et des moyens d'entrée/sortie pour communiquer avec l'extérieur. La mémoire contient au moins un programme d'application qui peut être inscrit dans une mémoire de type ROM lors de la fabrication du circuit, ou écrit par la suite dans une mémoire programmable. De façon générale, le programme contient les instructions exécutées par le microprocesseur, le transfert des instructions de la mémoire morte ou non volatile au microprocesseur s'effectuant par un bus
de données couplé à un bus d'adresses. Si les chemins de bus sont trop longs, le constructeur du circuit dispose des circuits amplificateurs aux extrémités des bus afin que le signal binaire puisse se propager correctement sur toute sa longueur.
Les circuits amplificateurs exigent une forte impédance d'entrée ce qui les rend sensibles aux perturbations extérieures. Soumis à un rayonnement de particules élémentaires, ils peuvent se saturer pendant un certain temps et, quelle que soit la donnée en entrée, n'émettre sur le bus que 0 volt ou +Vcc, c'est-à-dire un "0" ou un "1" binaire. Un tel rayonnement peut être constitué de rayons alpha, X, d'ions chargés positivement ou négativement selon que l'on veut une sortie de l'amplificateur à "0" ou "1".
Un fraudeur en possession d'une carte authentique peut essayer de déjouer les dispositifs de sécurité afin de profiter de services de façon abusive : il va donc soumettre le module de sécurité à de tels rayonnements en espérant perturber son fonctionnement à son avantage. La source d'émission peut être suffisamment courte pour ne perturber l'exécution que d'une ou plusieurs instructions. Cette perturbation peut substituer à la valeur lue dans la mémoire du programme, une autre valeur imposée par l'émission du rayonnement. Ainsi, le déroulement du programme est différent et le fraudeur peut en tirer avantage.
Une première parade à ce type d'attaque est d'installer des capteurs de rayonnement, dès que ceux-ci détectent un rayonnement anormal, ils positionnent un drapeau qui peut être lu par le programme. Une telle solution est décrite dans le brevet US 5.465.349, équivalent américain du brevet FR 2 668 274. Mais les fraudeurs ont amélioré les moyens d'investigation et utilisent des émetteurs de rayonnement extrêmement fins. En pointant le rayonnement uniquement sur les amplificateurs ou un groupe d'amplificateurs, les capteurs ne détectent plus la fraude. En tout état de cause, cette parade est incapable
de détecter une intervention à l'aide de micro-pointes et, de toute façon, on peut perturber la séquence de lecture des capteurs pour que le programme s'exécute comme si rien d'anormal n'était détecté.
L'invention vise à détecter des altérations dans la transmission des instructions et des données entre une mémoire et un microprocesseur. Le problème que vise à résoudre l'invention est la détection d'une intervention extérieure visant à perturber le déroulement d'un programme en modifiant la valeur des signaux échangés sur les bus d'un micro-contrôleur.
Le problème est résolu selon l'invention en prévoyant des mesures permettant aux modules de sécurité de vérifier si les informations transitent correctement au sein du module et si les programmes ont été exécutés intégralement. Dans la négative, l'exécution normale du programme est interrompue. De façon optionnelle, toute utilisation ultérieure du module est interdite car le module s'est rendu compte qu'il est utilisé de façon illicite.
Plus précisément, l'invention revendique un procédé de sécurisation du traitement d'une information sensible dans un module de sécurité de structure monolithique, le module comportant des moyens de traitement de l'information et des moyens de mémorisation d'informations susceptibles d'être traitées par lesdits moyens de traitement, caractérisé en ce qu'il comprend les étapes suivantes :
- sélectionner une information sensible dans les moyens de mémorisation ;
- déterminer une condition particulière d'intégrité de la dite information ;
- lire l'information et la transmettre aux moyens de traitement ;
- contrôler lors du traitement de l'information que la condition particulière est satisfaite ;
- bloquer le traitement de l'information au cas où la condition particulière n'est pas satisfaite.
D'autres caractéristiques et avantages de l'invention apparaîtront au cours de la description suivante de quelques modes de réalisation préférés mais non limitatifs, en regard des dessins annexés, sur lesquels :
La figure 1 représente le schéma d'un système classique à microprocesseur.
La figure 2 montre le jeu d'instructions du microprocesseur MOTOROLA 6805.
La figure 3 montre le jeu modifié d'instructions du microprocesseur selon l'invention.
La figure 4 montre le schéma synoptique du circuit modifié selon l'invention. La figure 5 montre une partie du schéma synoptique du circuit modifié selon une amélioration de l'invention.
La figure 6 montre une partie de la mémoire de programme dotée d'étapes de mise à jour et de modification d'un indicateur permettant de détecter des perturbations extérieures. La figure 7 montre une partie de la mémoire de programme selon une variante de l'invention.
Le schéma électronique d'un système à microprocesseur est représenté à la figure 1. Ce schéma est extrait du livre « Architecture de l'Ordinateur » de Andrew TANENBAUM, publié par InterEditions. Le système comprend de façon connue en soi les éléments suivants : un microprocesseur 31 , une mémoire RAM 32, une mémoire de programme EPROM 33 qui contient le programme exécutable et des moyens d'entrée/sortie 34. Les connexions de ces divers éléments s'effectuent par deux bus, le bus d'adresses 35 et le bus de données 36. On a coutume de désigner par « bus de contrôle » le bus qui véhicule
l'ensemble des signaux tels que les signaux d'horloge, les signaux de lecture et d'écriture,....
Selon l'opération exécutée, ces éléments peuvent être en mode réception d'informations ou en mode émission d'informations. Lorsque le microprocesseur lit une instruction dans un octet à une certaine adresse, les huit cellules de la mémoire ROM constituant l'octet correspondant à cette adresse, émettent la valeur inscrite dans les cellules à travers le bus de données qui la transmet au microprocesseur, ce dernier étant en mode réception. Inversement, lorsque le microprocesseur émet une donnée vers la mémoire, le bus de données est alors en mode émission. Le fonctionnement interne du composant est détaillé dans le brevet US 4.382.279 équivalent américain du brevet FR 2 461 301 .
Chaque microprocesseur possède un jeu spécifique d'instructions. Le microprocesseur MOTOROLA 6805 traite des données de huit bits en interne. Son bus de données comprend 8 lignes et le code opération de ses instructions est codé sur 8 bits. . A titre d'exemple, le jeu d'instructions du microprocesseur M6805 et M1468805 extrait de la documentation « Microcomputer/microprocessor User's manual » est représenté à la figure 2. Une instruction pour ce type de microprocesseur est codée sur 8 bits, donc il existe 256 codes différents mais ceux-ci ne sont pas tous exécutables par le microprocesseur. Certains codes ne sont pas implémentés et correspondent à des trous dans le tableau de la figure 2, par exemple les codes : 90H, 31 H, 41 H, 51 H, 61 H, 71 H, 91 H, 23H, 24H, 25H, 26H, 27H, 28H, 29H, 93H, 94H, etc.. Si le microprocesseur lit un code opération non implémenté, son exécution n'est pas garantie. Ainsi, le microprocesseur peut passer à l'instruction suivante sans rien faire d'autre.
Comme on le constate sur la figure 2, le code "00" du jeu d'instructions du microprocesseur MOTOROLA 6805 correspond à l'instruction « BRSET0 » et le code "FF", à l'instruction « STX » en indexé. L'instruction « BRSET0 » occupe trois octets dans la mémoire de programme et s'exécute en dix cycles d'horloge, celui de l'instruction « STX » occupe un octet et s'exécute en cinq cycles d'horloge. Le microprocesseur possède un compteur ordinal contenant l'adresse de l'instruction dans la mémoire de programme qui est en cours d'exécution. Comme il a été dit en préambule, si un fraudeur envoie un rayonnement sur le bus, l'une ou l'autre de ces instructions sera exécutée à la place de celle effectivement lue dans la mémoire de programme. Dans le cas de l'instruction « BRSET0 », après son exécution, le compteur ordinal du microprocesseur est augmenté de trois unités et pointe donc trois octets plus loin dans la mémoire de programme. Pour l'instruction « STX », le compteur ordinal est augmenté d'une unité. En émettant le rayonnement pendant les dix coups d'horloge nécessaires à l'exécution du BRSET0, le microprocesseur va lire trois octets à «00», et traduire cela par « test si le bit 0 de l'octet 00 est à 1 et saut si c'est le cas ». A cause du rayonnement, la valeur 00 de l'octet à l'adresse 00 est lue, donc le saut ne va pas s'effectuer et le programme continue à l'instruction suivante. Ainsi, en soumettant le circuit à un rayonnement pendant un certain nombre de tops d'horloge, un fraudeur peut faire avancer artificiellement le compteur ordinal par sauts successifs de trois octets et empêcher l'exécution d'une séquence inscrite en mémoire de programme. Pour un microprocesseur de la famille 8051 , fabriqué par la société INTEL et de nombreuses autres sociétés, le code opération dont la valeur binaire est 00 correspond à l'instruction NOP qui signifie « no opération ». Cette instruction n'utilise qu'un seul octet. Dans ce cas, le fraudeur peut faire avancer artificiellement le compteur ordinal octet par octet.
Une première solution consiste à interrompre le fonctionnement normal du microprocesseur lors d'une lecture d'instruction dont le code est « 00 » ou
« FF ». Le module devient muet, seule une mise hors tension suivie d'une mise sous tension du module peut faire repartir le microprocesseur. La figure 3 montre le jeu modifié d'instructions selon l'invention. La nouvelle instruction correspondant à « 00 » ou « FF » est appelée « FRAUDE » ou FRD en abrégé. Par rapport au jeu d'instructions normal décrit sur la figure 2, des colonnes ont été inversées de telle sorte que les codes « 00 » et « FF » ne correspondent plus à des instructions exécutables. La colonne numéro « 0 » qui contenait l'instruction « BRSET0 » est transférée à la colonne 2, la colonne numéro « F » qui contenait l'instruction « STX » est transférée à la colonne A. Le transfert des colonnes est fait en modifiant le masque du circuit, dans l'élément qui décode les quatre bits de poids forts du code opération des instructions. On aurait aussi pu modifier le décodage des quatre bits de poids faible du code opération, mais ce n'était pas nécessaire pour ce modèle de microprocesseur.
Le programme ne contient pas d'instruction « FRAUDE ». Le programmeur qui écrit un programme d'application, prend soin de ne pas implémenter de telles instructions dans son programme.
Comme le montre la figure 3, la solution peut être généralisée à tous les codes opérations qui ne correspondent pas à une instruction reconnaissable par le microprocesseur. Ainsi, la nouvelle instruction « FRAUDE » est affectée à tous les codes non utilisés tels que : 01 H, 02H, 03H, 04H, 05H, 06H, 0EH, 12H, 14H, 15H, 16H, 17H, 18H, 19H, 1AH, ...etc jusqu'à FFH, en tout 47 codes opération différents qui exécutent tous la même instruction « FRAUDE ».
Selon une variante, cette interruption déclenche une instruction microprogrammée dans le microprocesseur. Ce type d'instruction exécute une opération non réversible du type écriture d'un code en mémoire non volatile. Lors d'une prochaine mise sous tension, le circuit de gestion de la remise à zéro teste la valeur de ce code en mémoire non volatile et bloque le fonctionnement du microprocesseur. L'instruction microprogrammée déclenche
une opération de blocage définitif du circuit. Les instructions microprogrammées ont l'avantage d'être résidentes dans le coeur du microprocesseur et donc, leur exécution ne peut être ni interrompue, ni altérée par un rayonnement agissant sur le bus. Il n'est donc pas possible de détecter l'exécution d'une instruction microprogrammée de blocage.
Une seconde solution permettant de détecter la perturbation d'une donnée sur un bus est d'implémenter un contrôle d'intégrité d'un bout à l'autre des bus. La figure 4 montre le schéma électronique avec son contrôleur d'intégrité de bus.
On rajoute aux huit lignes du bus de données 1 une neuvième ligne, notée PARITE 2 dont l'état logique correspond à la valeur de la parité calculée à partir des huit informations binaires présentes sur le bus de données. On a dit précédemment que les codes opération des diverses instructions d'un programme sont lus à partir de la mémoire ROM 3 ou de la mémoire programmable non volatile 4, EEPROM par exemple. Le signal de sortie d'une cellule de mémoire, dont la valeur représente la donnée binaire mémorisée par cette cellule, est trop faible pour atteindre le microprocesseur via le bus de donnée. Pour que ces signaux parviennent au microprocesseur, des circuits amplificateurs 5 et 6 sont installés juste après les cellules des mémoires EEPROM et ROM et avant le bus. Ces deux circuits ont une entrée de contrôle E qui permet d'activer leur sortie. Si le signal E a un niveau « 1 », les huit sorties ne sont pas actives. Elles sont dans un état haute impédance. La mémoire EEPROM étant accessible en écriture et en lecture, le cicuit amplificateur 5 est bidirectionnel. Le sens de transfert des données est contrôlé par le microprocesseur par la ligne de contrôle READΛΛ/RITE 18).
Les moyens de contrôle de l'intégrité de la donnée lue des cellules mémoires comprennent des générateurs de parité 7, 8 et 11 , un comparateur 12 et une entrée d'interruption non masquable appelée « NMI » reliée au
microprocesseur. Les générateurs de parité 7, 8 et 1 calculent la valeur de la parité de la donnée présente sur huit entrées. A titre d'exemple, le circuit 74HC280 fabriqué par National Semiconductor est un générateur de parité disponible sous la forme d'un circuit intégré. Sa structure est parfaitement intégrable au sein du circuit monolithique. Les générateurs de parité possèdent également une ligne de sortie Q dont l'état représente la valeur de la parité de la donnée appliquée sur les huit entrées et une ligne de contrôle E qui active la sortie Q lorsqu'on lui applique 0 volt. Dans ce cas, la ligne de sortie Q est à 0 volt si le nombre d'entrée à +Vcc est pair, soit à +Vcc si le nombre d'entrée à +Vcc est impair. Lorsque l'on applique +Vcc à l'entrée E, la ligne de sortie Q est dans un état haute impédance. Le générateur de parité 7 calcule la parité de la donnée sélectionnée dans la mémoire EEPROM, le générateur de parité 8 calcule la parité de la donnée sélectionnée dans la mémoire ROM et le générateur de parité 11 calcule celle présente dans le microprocesseur.
Le microprocesseur 9 possède aussi un circuit amplificateur 10 pour assurer la compatibilité des signaux transitant sur les bus de données, d'adresse et de contrôle. Ce circuit amplificateur relié au bus de données 10 est bidirectionnel ; d'un côté, il amplifie les signaux de données que le microprocesseur envoie aux mémoires et aux périphériques, de l'autre côté il amplifie les signaux reçus par ces mêmes mémoires et périphériques afin que ces signaux soient traités correctement par les circuits internes du microprocesseur. La plupart des microprocesseurs ont un dispositif de prélecture (« fetch » en anglais) qui permet dans le même cycle d'horloge d'exécuter une instruction et de lire le code opération de l'instruction suivante.
Le microprocesseur 9 contrôle le bus d'adresses, la valeur appliquée sur ce bus détermine quel type de périphérique est sélecte. Pour diminuer le nombre de lignes de sélection, un décodeur d'adresse 13 reçoit en entrée le bus d'adresses et sélectionne les différents périphériques et mémoires par des lignes spécialisées : la ligne appelée « EEPROM » sélectionne la mémoire
EEPROM et, la ligne « ROM », la mémoire ROM. Chacune de ces deux lignes est reliée à la mémoire et au générateur de parité correspondant.
Les lignes EEPROM et ROM sont actives à l'état 0. La sortie de la porte ET 14 génère un signal de sélection commune des deux mémoires, si une des deux lignes EEPROM ou ROM est à « 0 », la ligne 15 est aussi à « 0 ». La ligne 15 est reliée à l'entrée E du générateur de parité 11 qui, de ce fait, est actif en même temps que l'un ou l'autre des générateurs de parité 7 ou 8. Si aucune mémoire n'est sélectée, les lignes 2 et 16 de sortie des générateurs sont à l'état haute impédance. Les lignes 2 et 16 de sortie des générateurs sont reliées respectivement à chacune des deux entrées du comparateur 12. La sortie Q du comparateur est reliée à une entrée d'interruption du microprocesseur (notée « NMI » sur la figure 4).
En utilisation, le microprocesseur lit un code opération représentatif d'une instruction dans la mémoire ROM. Il applique l'adresse du code sur le bus d'adresses ce qui rend actifs la ligne ROM et par voie de conséquence, les amplificateurs 6 et les générateurs de parité 8 et 11. Les amplificateurs envoient la donnée lue dans la mémoire ROM sur le bus de données, et le générateur de parité calcule la valeur de la parité de ladite donnée puis, envoie la valeur au comparateur 12 par la ligne PARITE 2. Le microprocesseur lit la donnée à travers les amplificateurs bidirectionnels 10. Le générateur de parité 11 , activé par la ligne 15, calcule la valeur de la parité de la donnée lue par le microprocesseur et, l'envoie au comparateur par la ligne 16. Le comparateur 12 compare les deux valeurs : si elles sont égales, la sortie est au niveau « 1 », en cas de différence, la sortie est à « 0 ». Dans ce dernier cas, la donnée a subi une altération due très probablement à l'émission frauduleuse d'un rayonnement. La sortie du comparateur est reliée par la ligne 17 à l'entrée « NMI » du microprocesseur. Un niveau « 0 » déclenche une interruption non masquable qui provoque un déroutement du programme en cours vers une routine d'interruption. L'activation du comparateur peut être effectuée lors de la
phase de pré-lecture ; ainsi, la génération d'interruption est parfaitement synchronisée avec l'horloge de séquencement du microprocesseur.
L'opération est identique lorsque le microprocesseur effectue une lecture de la mémoire EEPROM. Dans un mode simplifié de l'invention, l'entrée « NMI » peut être assimilée à l'entrée RESET du microprocesseur. Lorsque l'entrée redevient inactive, le microprocesseur est débloqué et commence son programme de la même façon qu'une remise sous tension. Ainsi, une intervention extérieure ne peut contrôler le microprocesseur qui, tant qu'il est soumis à ce rayonnement, est bloqué.
Par rapport à la première solution qui vise à vérifier qu'un code opération est correctement lu, cette seconde solution offre l'avantage de contrôler tout type de donnée : des codes opérations ou des données. Des générateurs de parité peuvent également être installés sur le bus d'adresses de la même façon que pour le bus de données. Cette seconde solution offre donc aussi l'avantage de contrôler les signaux du bus d'adresses.
Dans une variante, un niveau « 0 » sur l'entrée « NMI » provoque l'exécution d'un microprogramme. Pour éviter les phénomènes transitoires, la reconnaissance du niveau du signal sur l'entrée « NMI » s'effectue lors d'une transition de l'horloge du microprocesseur, transition au cours de laquelle les données analysées par le comparateur de signaux de parité sont valides. Un programme classique de gestion d'interruption écrit dans la mémoire ROM aurait son exécution perturbée par le fraudeur. Par contre, selon l'invention, un microprogramme est résident dans le microprocesseur ; il ne fait pas appel à la lecture de données sur le bus ; son exécution ne peut donc être perturbée par un rayonnement agissant sur le bus. Le microprogramme, déclenché par l'application d'un niveau « 0 » sur l'entrée « NMI », effectue deux actions : la première est l'écriture d'un drapeau appelé « BLOQUE » dans la mémoire non volatile programmable, et la seconde est une remise à zéro du
microprocesseur. L'écriture du drapeau BLOQUE est irréversible :, l'état de ce drapeau ne peut plus être modifié ni par le microprocesseur, ni par un moyen extérieur. Un circuit d'initialisation, activé lors des mises sous tension du module de sécurité, teste l'état du drapeau BLOQUE et bloque le microprocesseur dans un état de RESET permanent si le drapeau est écrit. Avantageusement, ce drapeau peut être réalisé par un fusible dont la fusion rend inutilisable le microprocesseur.
Si un fraudeur impose un niveau « 0 » à toutes les lignes du bus, y compris la ligne PARITE, le comparateur 12 ne détecte pas d'erreur. En effet, le nombre de lignes à « 0 » étant pair, le signal de parité doit être à « 0 » or, c'est justement à ce niveau que la ligne PARITE est forcée. Pour éviter cela et selon une variante de la seconde solution, on utilise le fait que les générateurs de parité ont généralement deux sorties, une pour générer une parité de type paire, l'autre pour générer une parité de type impaire.
La figure 5 montre le schéma électronique des modifications à apporter à la figure 4 pour intégrer dans le circuit monolithique des circuits générateurs de parité programmable. Les éléments communs à la figure 4 et à la figure 5 portent les mêmes références.
Les générateurs de parité 7a, 8a et 11 a possèdent deux sorties : l'une notée Qp est la sortie du signal de parité paire, et l'autre Qi est la sortie du signal de parité impaire. Lorsque le nombre de lignes d'entrée à « 1 » est pair alors Qp est à « 1 » et Qi est à « 0 », lorsque le nombre de lignes d'entrée à « 1 » est impair alors Qi est à « 1 » et Qp est à « 0 »,. Les montages 20 et 21 constitués chacun de deux portes ET, d'une porte OU et d'une porte inverseuse constituent des multiplexeurs. Les deux entrées des multiplexeurs sont respectivement connectées aux deux sorties Qi et Qp des générateurs de parité. Une ligne de contrôle notée 23 sélectionne l'entrée. Si la ligne 23 est à « 0 », les sorties des portes 20c et 21c sont à « 0 » et, à l'aide des portes
inverseuses 20b et 20c, les sorties des portes 20a et 21 a ainsi que celles des portes 20d et 21 d, reproduisent les niveaux logiques des sorties Qi des générateurs de parité 7a, 11 a. Dans ce cas, les sorties Qi sont sélectionnées et les données présentes sur les sorties Qi sont envoyées au comparateur 12. Ce sont les signaux de parité impaire qui sont comparés. Si la ligne 23 est à « 1 », à l'aide des portes inverseuses 20b et 20c, les sorties des portes 20a et 21a sont à « 0 », les sorties des portes 20c et 21 c, ainsi que celles des portes 20d et 21 d, reproduisent les niveaux logiques des sorties Qp des générateurs de parité 7a et 11a. Dans ce dernier cas, les sorties Qp sont sélectionnées et les données présentes sur les sorties Qp sont envoyées au comparateur 12). Ce sont les signaux de parité paire qui sont comparés.
Les signaux de la ligne 23 sont envoyés par un générateur de signaux aléatoires 22). Ce générateur est un circuit électronique qui reçoit sur une ligne d'entrée l'horloge du microprocesseur et qui délivre un signal « 0 » et « 1 » de façon aléatoire dans le temps. De manière simplifiée, le générateur de signaux aléatoires peut être un compteur dont la sortie change d'état à chaque intervalle de temps déterminé. Le générateur de signaux aléatoires 22, le multiplexeur 21 et le comparateur 12 sont situés le plus près possible du microprocesseur, et de préférence intégrés à celui-ci. Ainsi, ils sont peu perturbés par un fraudeur émettant un rayonnement sur le bus. Des montages plus compliqués faisant appel à un oscillateur interne au générateur de signaux aléatoires peuvent être installés. Le but de ce générateur est d'émettre un signal logique sur une ligne dont l'état change assez souvent, de l'ordre de 100 à 10000 fois par seconde. Il est important de synchroniser les changements d'état de la ligne avec l'horloge du microprocesseur, ceci pour éviter de prendre en compte la ligne « NMI » au moment précis où le signal de la ligne 23 change, sinon il pourrait se produire des interférences dues aux différences de propagation des signaux.
En utilisation, Le fraudeur soumet le bus de données à un rayonnement qui force les bits de données et de parité à « 1 » ou à « 0 ». Selon la valeur binaire, la valeur de parité calculée à partir des bits de données forcées par le rayonnement peut être égale à la valeur forcée par le rayonnement donc, étant égale, on ne détecte pas d'erreur. En changeant souvent le type de parité grâce au générateur de signaux aléatoires, on détecte à coup sûr la présence du rayonnement.
Lorsque le générateur de signaux aléatoires 22 émet un niveau « 0 », les signaux émis par les sorties Qi des générateurs de parité 7a et 11a sont sélectionnés et donc, on compare les signaux de parité de type impaire. Lorsque le générateur de signaux aléatoires 22 émet un niveau « 1 », les signaux émis par les sorties Qp des générateurs de parité7a et 11 a sont sélectionnés et donc, les signaux de parité de type paire sont comparés.
Distinguons tout d'abord le cas où le bus est soumis à un rayonnement forçant les lignes du bus de données et de parité 2a à « 1 ». Lorsque le générateur de signaux aléatoires 22 envoie un signal « 0 », la sortie Qi du générateur de parité 11 est sélectionné, son niveau égal à « 0 » est différent de celui de la ligne de parité 2a qui est forcée à « 1 ». Le comparateur détecte donc bien ce type de rayonnement en déclenchant une interruption. Passons au deuxième cas où le bus est soumis à un rayonnement forçant les lignes du bus de données et de parité 2a à « 0 ». Lorsque le générateur de signaux aléatoires 2a2 envoie un signal « 1 », la sortie Qp du générateur de parité 11 est sélectionné, son niveau égal à « 1 » est différent de celui de la ligne de parité 2a qui est forcée à « 0 ». Dans ce cas également, le comparateur détecte le rayonnement et le signale au microprocesseur par une interruption.
Par cette variante, on ajoute un paramètre qui rend plus imprévisible encore le comportement du circuit pour un fraudeur, car ce paramètre augmente la difficulté de contrôler l'état des lignes de bus par l'extérieur sans que le circuit le détecte.
Une troisième solution pour détecter une altération de l'exécution d'un programme est d'implémenter des routines de modification de drapeaux de place en place au sein d'un programme à protéger.et de vérifier avant d'entreprendre une opération sur des données sensibles que tous les drapeaux ont été modifiés.
La figure 6 montre une partie de la mémoire contenant un programme implémenté à l'adresse 0800 hexadécimal. Cette mémoire peut être de la ROM ou de l'EEPROM, mais tout autre type de mémoire non volatile capable d'exécuter des instructions convient. Tous les drapeaux sont représentés par des bits et regroupés en mémoire dans un indicateur. Dans l'exemple décrit, cet indicateur est un octet de la mémoire RAM appelé DRAPEAU. Un certain nombre de bits composant cet octet sont utilisés pour marquer le passage à certaines étapes du programme qui mènent à une opération sur des données sensibles.
A l'adresse 800 (étape 1 ), l'octet DRAPEAU est mis à jour à la valeur binaire « 0000 0001 », le premier bit à « 1 » indiquant que l'étape 1 a été exécutée. A l'adresse 880H (étape 2), l'octet DRAPEAU est lu et modifié par l'exécution d'un OU logique (instruction ORA en MOTOROLA 6805) entre son contenu actuel et la valeur binaire « 0000 0010 » : le résultat de l'opération OU est écrit dans l'octet DRAPEAU. A l'adresse 8A0H (étape 3), l'octet DRAPEAU est lu et modifié par l'exécution d'un OU logique entre son contenu et la valeur binaire « 0000 0100 » : le résultat de l'opération OU est écrit dans l'octet DRAPEAU. Enfin, à l'adresse 900H (étape 4), la partie sécurisée du programme se termine : l'octet DRAPEAU est lu et contrôlé : si sa valeur est différente de la valeur binaire « 0000 0111 », le programme saute vers une routine de gestion de la fraude.
En utilisation, le programme à sécuriser commence à l'adresse 0800H. La première étape (étape 1 ) consiste à mettre à jour l'octet DRAPEAU en mettant à « 1 » le premier bit de l'octet DRAPEAU. Puis le programme continue en séquence jusqu'à une seconde étape dite de modification (étape 2) dans laquelle on positionne le second bit de l'octet DRAPEAU indiquant ainsi que l'étape 2 a été exécutée. Par voie de conséquence, on peut supposer que toutes les instructions du programme entre l'étape 1 et l'étape 2 ont été exécutées. Puis le programme continue en séquence jusqu'à l'étape de modification 3 où là, le troisième bit de DRAPEAU est mis à « 1 ». Enfin, le programme à sécuriser se termine par une routine de test de l'octet DRAPEAU (étape 4) : elle consiste à vérifier l'exécution des étapes 1 ,2 et 3. Si la valeur est différente de « 0000 01 11 », un déroutement du programme est intervenu, ce qui révèle un fonctionnement anormal résultant très probablement d'une tentative de fraude. Dans ce cas, le programme interrompt son fonctionnement normal pour sauter vers la routine de gestion de la fraude. Un fraudeur ne connaissant pas les emplacements du programme où sont implémentées les routines de modification de l'octet DRAPEAU, il ne sait pas à quel moment elles s'exécutent et donc, en perturbant les valeurs du bus de données, il y a une forte probabilité pour qu'il réussisse à supprimer l'exécution d'au moins une des étapes 1 ,2 ou 3, et donc l'octet DRAPEAU n'aura pas la valeur finale attendue.
De façon simplifiée, la routine de gestion de la fraude peut consister en une remise à zéro du microprocesseur (RESET). Une amélioration consiste à utiliser pour l'étape 4 une instruction microprogrammée de telle sorte qu'un fraudeur ne pourrait perturber son déroulement en empêchant l'exécution de certaines instructions et en en autorisant d'autres. Cette instruction a la structure suivante « Code opération, Adresse à lire, Valeur à comparer » : elle exécute séquentiellement les fonctions suivantes : O lecture de l'octet « Adresse »
© comparaison de la valeur de l'octet lue avec « Valeur » © si égal alors saut à l'instruction suivante sinon Θ écriture du drapeau BLOQUE en mémoire non volatile © RESET du microprocesseur
Bien évidemment, en augmentant le nombre de drapeaux et donc le nombre d'étapes de mise à jour de l'indicateur, on augmente les moments de détection des perturbations extérieures. L'indicateur DRAPEAU doit alors être représenté par plusieurs octets. Mais, les étapes de mise à jour de l'indicateur occupent de la place mémoire inutile pour le programme d'application, tant au niveau du programme qu'au niveau de la mémoire RAM. Il faut donc optimiser le nombre d'étapes. Par exemple, pour un programme à sécuriser de 1000 octets, un bon compromis serait d'installer 32 étapes de modification de l'indicateur. Ces 32 étapes et la routine de test final occupent 162 octets de mémoire de programme et 4 octets en RAM. Selon la complexité du programme, qui peut comporter des sauts et ne pas effectuer toutes les étapes de modification, le test de l'octet DRAPEAU peut ne prendre en compte qu'un nombre limité de bits. Si le programme à sécuriser se termine à des endroits différents, on peut installer dans le programme plusieurs routines de test qui prennent en compte des valeurs différentes de l'octet DRAPEAU.
Cette solution comporte l'avantage d'être facilement utilisable sur un composant classique car elle n'implique pas de modifier la partie matérielle du composant.
Un perfectionnement de l'invention consiste à implémenter dans le programme des instructions d'effacement de l'octet DRAPEAU à des emplacements qui ne sont normalement jamais atteints lors de l'exécution du programme. Ainsi, une perturbation frauduleuse de l'exécution du programme peut provoquer l'exécution d'une de ces instructions qui, en mettant à 00 l'octet DRAPEAU, entraîne l'exécution de la routine de gestion de la fraude.
La figure 7 montre l'aspect de la mémoire de programme selon le perfectionnement. A l'adresse 0890H (étape 2bis), le programme exécute une instruction de saut inconditionnel. L'instruction à l'adresse suivante n'est donc jamais exécutée, sauf si une autre instruction de saut la spécifie comme destination. Le programmeur écrit une instruction d'effacement de l'octet DRAPEAU juste après l'instruction de saut inconditionnel, et prend bien soin de ne jamais la spécifier comme destination dans son programme. Si un fraudeur perturbe le bus de données, il y a un certain niveau de probabilité pour que l'instruction de saut inconditionnel ne soit pas exécutée et que cette instruction d'effacement le soit. Cette instruction met à « 0 » tous les bits de l'octet DRAPEAU. Lors du test final à l'étape 5, les bits 1 et 2 de DRAPEAU sont à « 0 » et donc la valeur lue n'est pas celle attendue. Le programme interrompt donc son fonctionnement normal pour sauter vers la routine de gestion de la fraude.
Le programme illustré par la figure 7 montre deux étapes d'effacement de l'octet DRAPEAU (étape 2 bis et 3 bis). L'instruction d'effacement n'occupe que deux octets en mémoire de programme, contre quatre octets pour les étapes de mise à jour de l'indicateur, ce qui, à performance égale, fait gagner de la place. Un programme optimal utilise assez peu d'instructions de saut inconditionnel. Il est donc possible de mettre systématiquement une instruction d'effacement après un saut inconditionnel.
Claims
1. Procédé de sécurisation du traitement d'une information sensible dans un module de sécurité de structure monolithique, le module comportant des moyens de traitement de l'information (31 ) et des moyens de mémorisation (32,33) d'informations susceptibles d'être traitées par lesdits moyens de traitement, caractérisé en ce qu'il comprend les étapes suivantes :
- sélectionner une information sensible dans les moyens de mémorisation ;
- déterminer une condition particulière d'intégrité de la dite information ;
- lire l'information et la transmettre aux moyens de traitement ;
- contrôler lors du traitement de l'information que la condition particulière est satisfaite ; - bloquer le traitement de l'information au cas où la condition particulière n'est pas satisfaite.
2. Procédé selon la revendication 1 , dans lequel l'information est un code opération lu dans les moyens de mémorisation (32,33), l'ensemble des codes opérations étant contenu dans une table ayant un contenu déterminé lors de la fabrication du module de sécurité, et la condition particulière d'intégrité est le fait que la valeur de l'information est égale à l'une de plusieurs valeurs fixes.
3. Procédé selon la revendication 2, dans lequel le code opération à traiter est codé sous forme de bits de données et lesdits bits n'ont pas tous la même valeur binaire.
4. Procédé selon la revendication 1 , dans lequel la condition particulière d'intégrité consiste à contrôler une donnée d'intégrité calculée en utilisant l'information lue dans les moyens de mémorisation (32,33), la donnée d'intégrité étant calculée lors de la lecture de l'information et étant transmise aux moyens de traitement, les moyens de traitement calculant une autre donnée d'intégrité à partir des informations reçues et contrôlant l'égalité entre les deux données d'intégrité.
5. Procédé selon la revendication 4, dans lequel les données d'intégrité sont calculées à partir d'au moins une donnée de calcul dont la valeur varie en fonction du temps.
6. Procédé selon la revendication 4, dans lequel les données d'intégrité sont calculées à partir d'au moins une donnée de calcul dont la valeur varie de façon aléatoire.
7. Procédé selon la revendication 1 , dans lequel le blocage du traitement de l'information est réalisé par une instruction microprogrammée.
8. Procédé selon la revendication 7, dans lequel l'instruction microprogrammée réalise les étapes suivantes :
- écrire une donnée de blocage dans un emplacement non volatile des moyens de mémorisation (32,33) ; - bloquer le traitement de l'information.
9. Procédé selon la revendication 8, dans lequel, à la mise sous tension du module, un emplacement non volatile des moyens de mémorisation (32,33) est lu par les moyens de traitement (31 ), et le module est bloqué si une valeur lue à cet emplacement n'est pas conforme.
10. Module de sécurité constitué d'un circuit électronique de structure monolithique et comportant des moyens de traitement de l'information (31 ) et des moyens de mémorisation (32,33), les moyens de traitement sélectionnant des informations extraites des moyens de mémorisation afin de les traiter ; caractérisé en ce que les moyens de traitement comportent des moyens de contrôle d'une condition particulière d'intégrité d'une information sensible, et des moyens de blocage du traitement de l'information, lesdits moyens de blocage étant activés lorsque les moyens de contrôle ont détecté que la condition particulière n'est pas satisfaite.
11. Module de sécurité selon la revendication 10, dans lequel les moyens de traitement (31 ) exécutent des instructions correspondant à des codes opérations extraits d'une table, caractérisé en ce que la table comprend une valeur d'instruction interdite.
12. Module de sécurité selon la revendication 1 1 , dans lequel le code opération à traiter est codé sous forme de bits de données, le module de sécurité comprenant un moyen de lecture des valeurs de tous les bits et un moyen de blocage activé lorsque les valeurs des bits sont toutes identiques.
13. Module de sécurité selon la revendication 10, dans lequel les moyens de traitement (31 ) exécutent des instructions correspondant à des codes opérations extraits d'une table, le module de sécurité comportant un moyen de lecture d'un code opération et un moyen de blocage activé lors de la lecture d'un code opération interdit.
14. Module de sécurité selon la revendication 13, dans lequel le moyen de blocage comprend un moyen d'écriture irréversible d'un indicateur dans les moyens de mémorisation (32,33), et un moyen de lecture dudit indicateur lors de la mise sous tension ultérieure du module.
15. Module de sécurité selon la revendication 10, comportant des générateurs de parité (7,8) coopérant avec les moyens de mémorisation, des générateurs de parité (11 ) coopérant avec le moyen de traitement et un comparateur relié à chacun des générateurs de parité et apte à provoquer une interruption au sein des moyens de traitement.
16. Module de sécurité selon la revendication 15, dans lequel les générateurs de parité (7,8) ont un fonctionnement qui varie en fonction du temps.
17. Module de sécurité selon la revendication 15, dans lequel les générateurs de parité (7,8) ont un fonctionnement qui varie aléatoirement.
18. Module de sécurité selon la revendication 14, caractérisé en ce que l'écriture irréversible de l'indicateur dans les moyens de mémorisation (32,33) est réalisée en exécutant une instruction microprogrammée.
19. Module de sécurité selon la revendication 10, caractérisé en ce que le module de sécurité est une carte à microcircuit.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP00946036A EP1108249B1 (fr) | 1999-06-30 | 2000-06-29 | Procede de securisation du traitement d'une information sensible dans un module de securite monolithique, et module de securite associe |
| US09/763,868 US7330979B1 (en) | 1999-06-30 | 2000-06-29 | Method for protecting the processing of sensitive information in a monolithic security module, and associate security module |
| DE60044893T DE60044893D1 (de) | 1999-06-30 | 2000-06-29 | Absicherungsverfahren für die bearbeitung einer sicherheitsrelevanten information in einem monolitischen sicherheitsmodul, und entsprechendes sicherheitsmodul |
| JP2001508794A JP2003504740A (ja) | 1999-06-30 | 2000-06-29 | モノリシック安全保護モジュールにおける敏感な情報の処理の安全保護方法、および関連する安全保護モジュール |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR99/08409 | 1999-06-30 | ||
| FR9908409A FR2795838B1 (fr) | 1999-06-30 | 1999-06-30 | Procede de securisation du traitement d'une information sensible dans un module de securite monolithique, et module de securite associe |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2001003084A1 true WO2001003084A1 (fr) | 2001-01-11 |
Family
ID=9547522
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/FR2000/001814 WO2001003084A1 (fr) | 1999-06-30 | 2000-06-29 | Procede de securisation du traitement d'une information sensible dans un module de securite monolithique, et module de securite associe |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7330979B1 (fr) |
| EP (1) | EP1108249B1 (fr) |
| JP (1) | JP2003504740A (fr) |
| KR (1) | KR100710817B1 (fr) |
| DE (1) | DE60044893D1 (fr) |
| FR (1) | FR2795838B1 (fr) |
| WO (1) | WO2001003084A1 (fr) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1659515A1 (fr) * | 2004-11-19 | 2006-05-24 | Proton World International N.V. | Protection d'un microcontrôleur |
| WO2007049181A1 (fr) * | 2005-10-24 | 2007-05-03 | Nxp B.V. | Dispositif semi-conducteur et procede pour prevenir des attaques sur ce dispositif semi-conducteur |
| EP1818846A1 (fr) | 2006-02-10 | 2007-08-15 | St Microelectronics S.A. | Vérification d'intégrité de programmes ou de séquencement d'une machine d'états |
| US8566572B2 (en) | 2007-11-26 | 2013-10-22 | Morpho | Method, device and non-transitory computer readable storage medium for masking the end of life transition of a electronic device |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1603088A1 (fr) * | 2004-06-03 | 2005-12-07 | Nagracard S.A. | Composant pour module de sécurité |
| GB0601849D0 (en) * | 2006-01-30 | 2006-03-08 | Ttp Communications Ltd | Method of maintaining software integrity |
| JP4882007B2 (ja) * | 2007-01-05 | 2012-02-22 | プロトン ワールド インターナショナル エヌ.ヴィ. | 電子回路の一時的なロック |
| WO2008084017A1 (fr) * | 2007-01-05 | 2008-07-17 | Proton World International N.V. | Limitation d'acces a une ressource d'un circuit electronique |
| US8566931B2 (en) * | 2007-01-05 | 2013-10-22 | Proton World International N.V. | Protection of information contained in an electronic circuit |
| US20080208760A1 (en) * | 2007-02-26 | 2008-08-28 | 14 Commerce Inc. | Method and system for verifying an electronic transaction |
| US7783876B2 (en) * | 2007-05-01 | 2010-08-24 | Hewlett-Packard Development Company, L.P. | Comparing characteristics prior to booting devices |
| JP2009105279A (ja) * | 2007-10-24 | 2009-05-14 | Fujitsu Microelectronics Ltd | 半導体装置の製造方法及び半導体装置 |
| FR2934396B1 (fr) * | 2008-07-24 | 2010-09-17 | Oberthur Technologies | Procede de traitement conditionnel de donnees protege contre les attaques par generation de fautes et dispositif associe |
| US8719957B2 (en) | 2011-04-29 | 2014-05-06 | Altera Corporation | Systems and methods for detecting and mitigating programmable logic device tampering |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2594573A1 (fr) * | 1986-02-18 | 1987-08-21 | Toshiba Kk | Dispositif electronique portatif |
| FR2612316A1 (fr) * | 1987-03-13 | 1988-09-16 | Mitsubishi Electric Corp | Carte a circuits integres ayant une capacite de verification d'erreur interne |
| FR2668274A1 (fr) | 1990-10-19 | 1992-04-24 | Gemplus Card Int | Circuit integre a securite d'acces amelioree. |
| EP0483978A2 (fr) * | 1990-10-03 | 1992-05-06 | Mitsubishi Denki Kabushiki Kaisha | Carte à circuit intégré |
| EP0526055A2 (fr) * | 1991-07-26 | 1993-02-03 | Research Machines Plc | Surveillance de l'exécution d'un programme d'ordinateur afin de fournir une analyse de profil |
| FR2720173A1 (fr) * | 1994-05-20 | 1995-11-24 | Sgs Thomson Microelectronics | Circuit intégré comprenant des moyens pour arrêter l'exécution d'un programme d'instructions quand une combinaison de points d'arrêt est vérifiée. |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2461301A1 (fr) | 1978-04-25 | 1981-01-30 | Cii Honeywell Bull | Microprocesseur autoprogrammable |
| US4281216A (en) * | 1979-04-02 | 1981-07-28 | Motorola Inc. | Key management for encryption/decryption systems |
| US5649090A (en) * | 1991-05-31 | 1997-07-15 | Bull Hn Information Systems Inc. | Fault tolerant multiprocessor computer system |
| US5313618A (en) * | 1992-09-03 | 1994-05-17 | Metalink Corp. | Shared bus in-circuit emulator system and method |
| US5644354A (en) * | 1992-10-09 | 1997-07-01 | Prevue Interactive, Inc. | Interactive video system |
| US5442704A (en) * | 1994-01-14 | 1995-08-15 | Bull Nh Information Systems Inc. | Secure memory card with programmed controlled security access control |
| JP3461234B2 (ja) * | 1996-01-22 | 2003-10-27 | 株式会社東芝 | データ保護回路 |
| US5978865A (en) * | 1997-02-04 | 1999-11-02 | Advanced Micro Devices, Inc. | System for performing DMA transfers where an interrupt request signal is generated based on the value of the last of a plurality of data bits transmitted |
| FR2764716B1 (fr) * | 1997-06-13 | 2001-08-17 | Bull Cp8 | Procede de modification de sequences de code et dispositif associe |
| JP3815022B2 (ja) * | 1998-02-09 | 2006-08-30 | 富士ゼロックス株式会社 | 利用資格検証装置および方法、ならびに、利用資格検証システム |
-
1999
- 1999-06-30 FR FR9908409A patent/FR2795838B1/fr not_active Expired - Fee Related
-
2000
- 2000-06-29 DE DE60044893T patent/DE60044893D1/de not_active Expired - Lifetime
- 2000-06-29 KR KR1020017002643A patent/KR100710817B1/ko active IP Right Grant
- 2000-06-29 US US09/763,868 patent/US7330979B1/en not_active Expired - Lifetime
- 2000-06-29 EP EP00946036A patent/EP1108249B1/fr not_active Expired - Lifetime
- 2000-06-29 JP JP2001508794A patent/JP2003504740A/ja active Pending
- 2000-06-29 WO PCT/FR2000/001814 patent/WO2001003084A1/fr active IP Right Grant
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2594573A1 (fr) * | 1986-02-18 | 1987-08-21 | Toshiba Kk | Dispositif electronique portatif |
| FR2612316A1 (fr) * | 1987-03-13 | 1988-09-16 | Mitsubishi Electric Corp | Carte a circuits integres ayant une capacite de verification d'erreur interne |
| EP0483978A2 (fr) * | 1990-10-03 | 1992-05-06 | Mitsubishi Denki Kabushiki Kaisha | Carte à circuit intégré |
| FR2668274A1 (fr) | 1990-10-19 | 1992-04-24 | Gemplus Card Int | Circuit integre a securite d'acces amelioree. |
| US5465349A (en) | 1990-10-19 | 1995-11-07 | Gemplus Card International | System for monitoring abnormal integrated circuit operating conditions and causing selective microprocessor interrupts |
| EP0526055A2 (fr) * | 1991-07-26 | 1993-02-03 | Research Machines Plc | Surveillance de l'exécution d'un programme d'ordinateur afin de fournir une analyse de profil |
| FR2720173A1 (fr) * | 1994-05-20 | 1995-11-24 | Sgs Thomson Microelectronics | Circuit intégré comprenant des moyens pour arrêter l'exécution d'un programme d'instructions quand une combinaison de points d'arrêt est vérifiée. |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1659515A1 (fr) * | 2004-11-19 | 2006-05-24 | Proton World International N.V. | Protection d'un microcontrôleur |
| US7516902B2 (en) | 2004-11-19 | 2009-04-14 | Proton World International N.V. | Protection of a microcontroller |
| WO2007049181A1 (fr) * | 2005-10-24 | 2007-05-03 | Nxp B.V. | Dispositif semi-conducteur et procede pour prevenir des attaques sur ce dispositif semi-conducteur |
| EP1818846A1 (fr) | 2006-02-10 | 2007-08-15 | St Microelectronics S.A. | Vérification d'intégrité de programmes ou de séquencement d'une machine d'états |
| US8010585B2 (en) | 2006-02-10 | 2011-08-30 | Stmicroelectronics S.A. | Checking the integrity of programs or the sequencing of a state machine |
| US8566572B2 (en) | 2007-11-26 | 2013-10-22 | Morpho | Method, device and non-transitory computer readable storage medium for masking the end of life transition of a electronic device |
Also Published As
| Publication number | Publication date |
|---|---|
| US7330979B1 (en) | 2008-02-12 |
| DE60044893D1 (de) | 2010-10-14 |
| KR100710817B1 (ko) | 2007-04-24 |
| KR20010074881A (ko) | 2001-08-09 |
| FR2795838A1 (fr) | 2001-01-05 |
| EP1108249B1 (fr) | 2010-09-01 |
| FR2795838B1 (fr) | 2001-08-31 |
| EP1108249A1 (fr) | 2001-06-20 |
| JP2003504740A (ja) | 2003-02-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1108249B1 (fr) | Procede de securisation du traitement d'une information sensible dans un module de securite monolithique, et module de securite associe | |
| EP0621569B1 (fr) | Dispositif et procédé de protection des clés d'une carte à puce | |
| FR2683357A1 (fr) | Microcircuit pour carte a puce a memoire programmable protegee. | |
| WO2000054155A1 (fr) | Procede de surveillance du deroulement d'un programme | |
| EP1830293A1 (fr) | Procédé de vérification de la conformité du contenu logique d'un appareil informatique à un contenu de reférence | |
| EP1904946B1 (fr) | Detection d'une faute par perturbation longue | |
| EP2565810A1 (fr) | Microprocesseur protégé contre le vidage de mémoire | |
| FR2726381A1 (fr) | Carte intelligente et procede pour acceder a sa memoire de donnees | |
| FR2843466A1 (fr) | Procede pour empecher la falsification d'un systeme de traitement de donnees, et ce systeme | |
| EP0919026A1 (fr) | Procede de modification de sequences de code et dispositif associe | |
| EP0884704B1 (fr) | Procédé d'authentification de circuit intégré | |
| EP1983436A1 (fr) | Contrôle d'intégrité d'une mémoire externe à un processeur | |
| EP0393050B1 (fr) | Dispositif de protection des zones memoire d'un systeme electronique a microprocesseur | |
| FR2889005A1 (fr) | Integrite materielle permanente des donnees | |
| EP1507185A1 (fr) | Méthode et dispositif de protection contre l'accès non-autorisé à une routine sensible | |
| WO2012080139A1 (fr) | Procede dynamique de controle de l'integrite de l'execution d'un code executable | |
| FR2910145A1 (fr) | Procede et dispositif pour securiser la lecture d'une memoire. | |
| EP1713023B1 (fr) | Protection de données contenues dans un circuit intégré | |
| WO2012172245A1 (fr) | Transfert securise entre memoire non-volatile et memoire volatile | |
| Manssour | Hardware Security of Embedded Processors against Fault Injection Attacks | |
| EP1129430B2 (fr) | Procede et dispositif de controle du cycle de vie d'un objet portatif, notamment d'une carte a puce | |
| FR3140186A1 (fr) | Procédé de détection d’une tentative d’extraction linéaire du contenu d’une mémoire | |
| FR3122747A1 (fr) | Procede d’execution d’une fonction, securise par desynchronisation temporelle | |
| WO2008096076A2 (fr) | Systemes electroniques securises, procedes de securisation et utilisations de tels systemes | |
| WO2007099224A2 (fr) | Procede de verification de la conformite du contenu logique d'un appareil informatique a un contenu de reference |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AK | Designated states |
Kind code of ref document: A1 Designated state(s): JP KR US |
|
| AL | Designated countries for regional patents |
Kind code of ref document: A1 Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2000946036 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 1020017002643 Country of ref document: KR Ref document number: 09763868 Country of ref document: US |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| WWP | Wipo information: published in national office |
Ref document number: 2000946036 Country of ref document: EP |
|
| WWP | Wipo information: published in national office |
Ref document number: 1020017002643 Country of ref document: KR |
|
| WWG | Wipo information: grant in national office |
Ref document number: 1020017002643 Country of ref document: KR |