Contactless visible light probing for nanoscale ICs through 10 μm bulk silicon

This paper explains why only optical techniques will be able to provide debug and diagnosis of bulk silicon FinFET technologies. In order to apply optical techniques through a convenient thickness of silicon on the one hand, light is limited to NIR to minimize absorption. To match resolution requirements on the other hand, it becomes mandatory to use shorter wavelengths. Two key issues have to be addressed: First, the penetration depth of visible light is only a few μm. This challenges device preparation and integrity. Our approach makes use of confocal microscopy suppressing back surface reflection and thus relaxing the preparation requirements to around 10 μm. Second, only solid immersion lenses (SIL) enable nanoscale resolution. But instead of silicon, materials transparent to visible light and providing a high refractive index are necessary. Our concept is based on 658 nm/633 nm laser and supports GaP as SIL material. We demonstrate the power of confocal imaging and prove contactless probing through a device thickness of 10 μm. We discuss how confocal optics relax the thickness requirements for visible light imaging and probing and we layout the concept for a GaP SIL. This concept opens the path to the design of nanoscale visible light debug and diagnosis

On the Power of Optical Contactless Probing: Attacking Bitstream Encryption of FPGAs

Modern Integrated Circuits (ICs) employ several classes of countermeasures to mitigate physical attacks. Recently, a powerful semi-invasive attack relying on optical contactless probing has been introduced, which can assist the attacker in circumventing the integrated countermeasures and probe the secret data on a chip. This attack can be mounted using IC debug tools from the backside of the chip. The first published attack based on this technique was conducted against a proof-of-concept hardware implementation on a Field Programmable Gate Array (FPGA). Therefore, the success of optical probing techniques against a real commercial device without any knowledge of the hardware implementation is still questionable. The aim of this work is to assess the threat of optical contactless probing in a real attack scenario. To this end, we conduct an optical probing attack against the bitstream encryption feature of a common FPGA. We demonstrate that the adversary is able to extract the plaintext data containing sensitive design information and intellectual property (IP). In contrast to previous optical attacks from the IC backside, our attack does not require any device preparation or silicon polishing, which makes it a non-invasive attack. Additionally, we debunk the myth that small technology sizes are unsusceptible to optical attacks, as we use an optical resolution of about 1 um to successfully attack a 28 nm device. Based on our time measurements, an attacker needs less than 10 working days to conduct the optical analysis and reverse-engineer the security-related parts of the hardware. Finally, we propose and discuss potential countermeasures, which could make the attack more challenging

Laserbasierte Angriffe auf sichere integrierte Schaltkreise : Extraktion und Schutz sensibler Informationen

To defend against attackers, knowledge about their approach is helpful. This work evaluates attacks on integrated circuits (ICs) using laser scanning microscopes (LSMs) in combination with semiconductor failure analysis (FA) techniques. It identifies likely attack paths, develops suitable setups, and tests attack feasibility. All attacks are performed through the silicon backside. Three main attack approaches are evaluated: automated laser fault injection location profiling, memory readout by laser stimulation, and reverse engineering as well as data extraction using optical contactless probing. Using these approaches, commercial application-specific integrated circuits (ASICs) down to 20 nm technology size are successfully attacked using an optical resolution of about 1 µm. Additionally, the use of visible light (VIS) and solid immersion lenses (SILs) for resolution improvement as well as low-cost approaches to VIS LSMs are assessed. Furthermore, concrete countermeasures are implemented and evaluated. Further mitigation approaches are also presented and discussed. The lack of backside protection is identified as a key factor in all attacks. Flip-chip devices are found to worsen this situation by removing the need for any preparation and giving direct backside access. More specifically, the findings are as follows. Automated laser fault injection profiling is shown to determine suitable attack locations in a time span in the order of minutes. This is demonstrated by analyzing the configuration memory on 180 nm technology size Altera MAX V complex programmable logic devices (CPLDs). Using the profiling information, laser reconfiguration attacks are performed on proof-of-concept (POC) implementations of physically unclonable functions (PUFs). Additionally, an analysis of the underlying fault mechanism is carried out. For laser stimulation, data extraction from static random access memory (SRAM) and battery-backed SRAM (BBRAM) key memory is demonstrated. Readout of the 1 KB SRAM of a 180 nm technology Texas Instruments MSP430 microcontroller is presented with error rates between 0.4% and 5.5%. BBRAM key recovery from the ASIC decryption core of a 20 nm technology Xilinx Kintex UltraScale field-programmable gate array (FPGA) is developed in 7 hours of lab work, with a single 256-bit key ultimately being extracted in 15 minutes. For optical contactless probing, two attacks are presented. The first performs key extraction on a POC implementation of a PUF key storage concept by Xilinx implemented on a 60 nm Altera Cyclone IV FPGA. A contactless characterization of the employed ring oscillator PUF is also performed. The second attack enables reverse-engineering and plaintext extraction on the decryption ASIC of a 28 nm technology Xilinx Kintex 7 FPGA. The plaintext gates are found in less than 10 working days and extraction of decrypted data is demonstrated. For evaluation of resolution improvements, a suitable setup for comparison of visible light (VIS) and infrared (IR) illumination is developed. Additionally, a gallium phosphide solid immersion lens (GaP SIL) is designed, fabricated, incorporated into the setup, and experimentally verified. Application of the SIL improves resolution by 190% and 170% in IR and VIS respectively. Switching the illumination of the SIL from IR to VIS yields an improvement of 60%. Optical contactless probing techniques in VIS are performed by using the setup on 16/14 nm FinFET test devices. Additionally, a low-cost setup for VIS LSMs built from optical drive components is presented. The setup is capable of acquiring reflected light images with sub-micron resolution with a hardware cost of less than $100. In connection with implemented countermeasures, two circuits are presented. The first one is shown to successfully prevent laser stimulation data extraction by injection of a noisy current. The second circuit combines a PUF with an attack detection circuit to prevent optical probing. Sensitivity to both 1.1 µm and 1.3 µm laser radiation is demonstrated while also providing PUF functionality. Further potential attack-specific and general countermeasures are discussed. In conclusion, this work shows that employing LSM-based failure analysis techniques for attack development is a promising approach for attackers and a serious threat to defenders. Especially in the absence of backside protection, a multitude of attacks can be successfully launched. To properly secure integrated circuits in the future, the development of reliable, thorough, and cost-effective backside protection structures is indicated.Zur Abwehr von Angreifern ist Wissen über ihre Vorgehensweise hilfreich. Diese Arbeit untersucht Angriffe auf integrierte Schaltkreise (ICs) unter Verwendung von Laserscanmikroskopen (LSMs) in Kombination mit Halbleiterfehleranalysetechniken. Sie identifiziert wahrscheinliche Angriffswege, entwickelt geeignete Aufbauten und testet mit diesen die Durchführbarkeit der Angriffe. Alle Angriffe in dieser Arbeit werden über die Siliziumrückseite ausgeführt. Drei Hauptansätze werden evaluiert: automatisiertes Auffinden von geeigneten Positionen zur Laserfehlerinjektion, Speicherauslesen durch Laserstimulation sowie Reverse Engineering und Datenextraktion mittels optischem kontaktlosem Probing. Mit diesen Ansätzen werden kommerzielle anwendungsspezifische integrierte Schaltungen (ASICs) bis zu einer Technologiegröße von 20 nm mit einer optischen Auflösung von etwa 1 µm erfolgreich angegriffen. Darüber hinaus werden die Verwendung von sichtbarem Licht (VIS) und Festkörperimmersionslinsen (SILs) zur Verbesserung der Auflösung sowie kostengünstige Ansätze für VIS LSMs erforscht. Weiterhin werden konkrete Gegenmaßnahmen implementiert und evaluiert. Weitere Möglichkeiten zum Schutz vor Angriffen werden ebenfalls vorgestellt und diskutiert. Der fehlende Rückseitenschutz wird als Schlüsselfaktor für alle Angriffe identifiziert. Flip-Chip-Gehäuse verschlechtern diese Situation, da keine Gehäusebearbeitung mehr erforderlich ist und ein direkter Zugriff auf die Rückseite erfolgen kann. Im Detail werden die folgenden Ergebnisse erzielt. Es wird gezeigt, dass das automatisierte Auffinden von Laserfehlerinjektionspositionen es erlaubt geeignete Angriffsorte innerhalb von Minuten zu bestimmen. Dies wird durch die Analyse des Konfigurationsspeichers von komplexen programmierbaren Logikbausteinen (CPLDs) vom Typ Altera MAX V mit 180 nm Technologie demonstriert. Unter Verwendung der erhaltenen Informationen werden Laserrekonfigurationsangriffe auf proof-of-concept (POC) Implementierungen von physically unclonable functions (PUFs) durchgeführt. Zusätzlich erfolgt eine Analyse des zugrunde liegenden Fehlermechanismus. Bei den Laserstimulationsangriffen wird die Datenextraktion aus static random access memory (SRAM) und sowie aus batteriegepuffertem SRAM Schlüsselspeicher (BBRAM) demonstriert. Das Auslesen von 1 KB SRAM eines 180 nm Technologie Texas Instruments MSP430-Mikrocontrollers mit Fehlerraten zwischen 0,4% und 5,5% wird gezeigt. Die Extraktion des geheimen Schlüssels aus dem BBRAM eines ASIC-Entschlüsselungskerns, der Teil eines 20 nm Technologie FPGAs (Xilinx Kintex UltraScale) ist, wird demonstriert. Der Angriff wird in 7 Stunden Laborarbeit entwickelt, wobei ein einzelner 256-Bit-Schlüssel innerhalb von 15 Minuten extrahiert werden kann. Für das optische kontaktlose Proben werden zwei Angriffe vorgestellt. Der Erste führt eine Schlüsselextraktion an einer POC-Implementierung eines PUF-Schlüsselspeicherkonzepts der Firma Xilinx durch, welches auf einem 60 nm Altera Cyclone IV FPGA realisiert wurde. Eine kontaktlose Charakterisierung der verwendeten Ringoszillator-PUF wird ebenfalls durchgeführt. Der zweite Angriff ermöglicht Reverse Engineering und Klartextextraktion auf dem Entschlüsselungs-ASIC eines 28 nm Technologie Xilinx Kintex 7 FPGA. Die Klartextgatter werden in weniger als 10 Arbeitstagen gefunden und die Extraktion von entschlüsselten Daten wird demonstriert. Im Rahmen der Versuche zu Auflösungsverbesserungen wird ein geeigneter Aufbau zum Vergleich von sichtbarer (VIS) und infraroter (IR) Beleuchtung entwickelt. Zusätzlich wird eine Galliumphosphidfestkörperimmersionslinse (GaP SIL) entworfen, hergestellt, in den Aufbau integriert und experimentell verifiziert. Die Anwendung der SIL verbessert die Auflösung um 190% bzw. 170% im IR und VIS. Das Umschalten der Beleuchtung der SIL von IR auf VIS zeigt eine Verbesserung von 60%. Unter Verwendung des Aufbaus werden optische kontaktlose Probingverfahren im VIS auf 16/14 nm FinFET Testtransistoren durchgeführt. Darüber hinaus wird ein kostengünstiges Setup für VIS LSMs vorgestellt, welches aus den Komponenten optischer Laufwerke aufgebaut wird. Dieses System ist in der Lage optische Bilder mit einer Auflösung von weniger als einem Mikrometer zu erfassen, wobei die Hardwarekosten unter 100 US-Dollar liegen. Im Rahmen der implementierten Gegenmaßnahmen werden zwei Schaltkreise vorgestellt. Der Erste zeigt, dass die Extraktion von Daten durch thermische Laserstimulation mittels Injektion eines Rauschstroms erfolgreich verhindert werden kann. Die zweite Schaltung kombiniert eine PUF mit einer Angriffsdetektionsschaltung, um kontaktlose optische Probingangriffe zu verhindern. Die Empfindlichkeit gegenüber sowohl 1,1 µm als auch 1,3 µm Laserstrahlung wird demonstriert, während gleichzeitig PUF-Funktionalität bereitgestellt wird. Darüber hinaus werden weitere mögliche angriffsspezifische und allgemeine Gegenmaßnahmen diskutiert. Zusammenfassend zeigt diese Arbeit, dass die Anwendung von LSM-basierten Fehleranalysetechniken für die Angriffsentwicklung ein vielversprechender Ansatz für Angreifer und eine ernsthafte Bedrohung für Verteidiger darstellt. Insbesondere wenn kein Rückseitenschutz vorhanden ist, kann eine Vielzahl von Angriffen erfolgreich durchgeführt werden. Um integrierte Schaltungen in Zukunft schützen zu können, ist die Entwicklung von zuverlässigen, umfassenden und kostengünstigen Rückseitenschutzstrukturen angezeigt

Key Extraction Using Thermal Laser Stimulation: A Case Study on Xilinx Ultrascale FPGAs

Thermal laser stimulation (TLS) is a failure analysis technique, which can be deployed by an adversary to localize and read out stored secrets in the SRAM of a chip. To this date, a few proof-of-concept experiments based on TLS or similar approaches have been reported in the literature, which do not reflect a real attack scenario. Therefore, it is still questionable whether this attack technique is applicable to modern ICs equipped with side-channel countermeasures. The primary aim of this work is to assess the feasibility of launching a TLS attack against a device with robust security features. To this end, we select a modern FPGA, and more specifically, its key memory, the so-called battery-backed SRAM (BBRAM), as a target. We demonstrate that an attacker is able to extract the stored 256-bit AES key used for the decryption of the FPGA’s bitstream, by conducting just a single non-invasive measurement. Moreover, it becomes evident that conventional countermeasures are incapable of preventing our attack since the FPGA is turned off during key recovery. Based on our time measurements, the required effort to develop the attack is shown to be less than 7 hours. To avert this powerful attack, we propose a low-cost and CMOS compatible countermeasure circuit, which is capable of protecting the BBRAM from TLS attempts even when the FPGA is powered off. Using a proof-of-concept prototype of our countermeasure, we demonstrate its effectiveness against TLS key extraction attempts

Evaluation of Low-Cost Thermal Laser Stimulation for Data Extraction and Key Readout

Recent attacks using thermal laser stimulation (TLS) have shown that it is possible to extract cryptographic keys from the battery-backed memory on state-of-the-art field-programmable gate arrays (FPGAs). However, the professional failure analysis microscopes usually employed for these attacks cost in the order of 500k to 1M dollars. In this work, we evaluate the use of a cheaper commercial laser fault injection station retrofitted with a suitable amplifier and light source to enable TLS. We demonstrate that TLS attacks are possible at a hardware cost of around 100k dollars. This constitutes a reduction of the resources required by the attacker by a factor of at least five. We showcase two actual attacks: data extraction from the SRAM memory of a low-power microcontroller and decryption key extraction from a 20-nm technology FPGA device. The strengths and weaknesses of our low-cost approach are then discussed in comparison with the conventional failure analysis equipment approach. In general, this work demonstrates that TLS backside attacks are available at a much lower cost than previously expected