ヒューズによって保護されたマイクロ回路カード
【課題】攻撃に対してISO7816規格のマイクロ回路カードを保護するために、モジュールのヒューズを切ることができる指令手段を備える電子モジュールを提供する。
【解決手段】マイクロ回路カード200は、当該カードへの攻撃を検出するための手段と、攻撃が検出されたときに指令信号(COM)を出力する指令手段130を備え、指令信号(COM)により通常の動作中は充電しているコンデンサ140を放電させてヒューズ250を切ることができ、ヒューズ250が切れることで重要な信号を維持するための制御信号(SC)を反転させ、当該カードの動作を停止させる。
【解決手段】マイクロ回路カード200は、当該カードへの攻撃を検出するための手段と、攻撃が検出されたときに指令信号(COM)を出力する指令手段130を備え、指令信号(COM)により通常の動作中は充電しているコンデンサ140を放電させてヒューズ250を切ることができ、ヒューズ250が切れることで重要な信号を維持するための制御信号(SC)を反転させ、当該カードの動作を停止させる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子モジュールの保護の分野に属する。
【背景技術】
【0002】
この発明は、特に、マイクロ回路カード(例えばISO 7816規格によるもの)の保護に適用されるが、これに限られるわけではない。
【0003】
故障注入攻撃(fault injection attack)に対するマイクロ回路カードの保護の範囲において、以下のような対策が知られている。それは、OTP(ワン・タイム・プログラマブル)によって当業者に知られている1回だけの書き込みが可能なカードの不揮発性メモリの予約領域に、所定の値を書き込むことである。
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明は、代案となる技術的解決策に取り組む。
【課題を解決するための手段】
【0005】
より正確には、本発明は、
当該モジュールへの攻撃を検出するための手段と、
攻撃が検出されたときに当該モジュールのヒューズを切ることができる指令手段とを備えるモジュールに関する。
【0006】
本発明の特定の実施の形態においては、前記指令手段が、通常の動作(すなわち、攻撃が検出されていない場合)においてコンデンサの充電を指令でき、攻撃が検出されたときに前記ヒューズを切るために前記コンデンサの放電を指令できる。
【0007】
このヒューズが切れることで、カードの動作が物理的に防止される。
【0008】
本発明によれば、攻撃者が、ヒューズの破壊を阻止することはできない。
【0009】
本発明の特定の実施の形態においては、前記モジュールが、前記ヒューズに直列に接続されたNOTゲートを備えている。このゲートの出力は、通常の動作において高レベルであって、攻撃が検出されたときに低レベルである制御信号であり、この制御信号が、攻撃が検出されたときに当該モジュールの重要信号を維持するために使用される。
【0010】
この重要信号を、リセット信号、クロック信号、又は当該モジュールの外部の機器に接続される入力/出力信号の中から選択することができる。
【0011】
特定の実施の形態においては、このモジュールが、前記ヒューズの出力に、当該モジュールの重要部品への電力の供給を制御するスイッチに指令できる制御信号を含んでいる。
【0012】
この部品は、プロセッサで構成されることができる。
【0013】
また、前記スイッチは、PMOSトランジスタとすることができる。
【0014】
特定の実施の形態においては、本発明によるモジュールが、ISO 7816規格によるマイクロ回路カードで構成される。
【図面の簡単な説明】
【0015】
【図1】本発明の第1の実施の形態によるモジュール200を示している。
【図2】本発明の第2の実施の形態によるマイクロ回路カード400を示している。
【発明を実施するための形態】
【0016】
本発明の他の特徴及び利点が、添付の図面(本発明を限定しようとするものではない2つの実施の形態を示している)を参照しつつ以下に提示される説明から、明らかになるであろう。
【0017】
図1に、本発明の第1の実施の形態によるモジュール200を示す。このモジュールは、この例では、ISO 7816規格によるマイクロ回路カードで構成されている。
【0018】
このマイクロ回路カードは、マイクロ回路カード200への攻撃が検出されたときに、制御信号SCを通常の動作の際の高レベルから低レベルへと反転させることができる。そのような攻撃を、例えば或る動作を2回実行し、対応する出力を比較することによって検出することができるが、個々の攻撃の検出は本発明の主題ではない。
【0019】
マイクロ回路カード200は、通常動作においては第1のレベル(低レベルNB)にあり、攻撃が検出されたときは第2のレベル(高レベルNH)にある指令(信号)COMを生成することができる手段130を備えている。
【0020】
ここで説明される実施の形態においては、この指令手段130が、D型フリップフロップ132及びNOTゲート134を備えている。D型フリップフロップ132が、制御信号SCの反転を指令するビットに相当する。
【0021】
換言すると、この例においては、攻撃が検出されると、D型フリップフロップ132の出力が低レベル(NB)から高レベル(NH)へと反転される。
【0022】
マイクロ回路カードは、電圧VCCによって通常の動作の際に電力が供給されるコンデンサ140を備えている。
【0023】
ここで説明される実施の形態においては、コンデンサ140の一方のリード線がスイッチT1へと接続されており、通常の動作においてはこのスイッチT1が導通されてコンデンサ140が充電される。このスイッチT1は、D型フリップフロップ132の出力へと直接接続されたPMOSトランジスタで構成されており、このD型フリップフロップ132は通常の動作において低レベル(NB)にある
【0024】
従って、コンデンサ140は、マイクロ回路カード200の通常の動作の最中にエネルギーを蓄える。これは攻撃の検出とは無関係である。
【0025】
本発明によれば、マイクロ回路カード200が、攻撃が検出されたときにコンデンサ140の放電によって切れるように設計されたヒューズ250を備えている。
【0026】
より正確には、この実施の形態においては、マイクロ回路カード200の指令手段130が、通常の動作の最中にコンデンサ140を充電すること、及び攻撃が検出されたときにカードのヒューズ250を切るためにコンデンサ140を放電させることを可能にする。
【0027】
ヒューズは、自身を通過する電流が或る閾値に達したときに電気回路を開放する役割を有し、ひとたびヒューズが切れると、もはや電流を通さなくする性質を有する。
【0028】
ここで説明される実施の形態においては、ヒューズ250が、指令手段130によって通常の動作において非導通になり、攻撃が検出されたときに導通するように制御されるスイッチT2へと接続される。
【0029】
ここで説明される実施の形態においては、スイッチT2は、PMOSトランジスタで構成され、このPMOSトランジスタは、NOTゲート134を介してD型フリップフロップ132の出力へと接続されている。
【0030】
攻撃が検出されたとき、指令手段130の出力が高状態へと反転し、スイッチT2が導通して、コンデンサがヒューズ250へと放電を行う。
【0031】
この実施の形態において、この動作は、指令手段130への電力供給を遮断しようとする攻撃を無効にするよりも充分に迅速であると考えられる。
【0032】
コンデンサ140は、コンデンサが放電され、スイッチT2が導通状態になっているときに、ヒューズ250を切ることのできる程度の容量を有している。
【0033】
本発明によれば、極めて好都合なことに、コンデンサ140の放電を、マイクロ回路カードの電力消費を解析することによって検出することは不可能である。
【0034】
攻撃が検出されたときにヒューズ250が切れることで、制御信号SCは、通常の動作における高レベル(NH)から低レベル(NB)へと反転する。
【0035】
この目的のため、マイクロ回路カード200は、ヒューズ250に直列に接続されたNOTゲート260を備える。このNOTゲート260の出力が前記制御信号SCを構成する。制御信号SCのレベルは、通常の動作において高(NH)であり、攻撃が検出されたときに低(NB)である。
【0036】
図1の実施の形態においては、ヒューズ250が切れたときに、抵抗器240がNOTゲート260の入力に高信号を加え、従ってNOTゲート260の出力に低レベル信号をもたらす。
【0037】
図1の実施の形態において、NOTゲート260の出力の制御信号SCが、マイクロ回路カード200の適切な動作に重要な信号SIVを維持するために、これらの信号SC及びSIVをANDゲートによって組み合わせることによって使用される。
【0038】
この重要な信号は、例えばリセット信号(RESET)、クロック信号(CLOCK)、又はこのマイクロ回路カードの読み取り機に接続される入力/出力信号の中から選択することができる。
【0039】
従って、この論理ANDからもたらされる信号SIVSが、本発明によって安全にされる信号である。
【0040】
図2に、本発明の第2の実施の形態によるマイクロ回路カード400を示す。
【0041】
この図において、マイクロ回路カード400の構成要素のうちで、マイクロ回路カード200の構成要素と同様の構成要素は、図1と同じ参照符号を付している。
【0042】
図2の実施の形態において、攻撃が検出されたときにヒューズ250が切れることで、制御信号SCは、通常の動作における低レベル(NB)から高レベル(NH)へと反転する。
【0043】
マイクロ回路カード400は、NOTゲート260を備えていない。ヒューズ250の出力に位置する制御信号SCが、カードの重要部品(この例ではプロセッサ150)への電力の供給を遮断することができるスイッチに対して指令を行う。
【0044】
ここで説明される実施の形態においては、このスイッチが、PMOSトランジスタT3で構成される。
【0045】
より正確には、図2の実施の形態においては、マイクロ回路カード400が、制御信号SCによって制御されるトランジスタT3を備えている。この制御内容は、以下の通りである。通常の動作においては、制御信号SCが低レベルにあり、CPU150に電圧VCCによって電力が供給される。そして、攻撃が検出された場合には、ヒューズ250が切れ、制御信号が高レベルへと反転し、CPU150にもはや電力が供給されない。
【符号の説明】
【0046】
130 : 指令手段
132 : D型フリップフロップ
134 : NOTゲート
140 : コンデンサ
200 : モジュール(マイクロ回路カード)
250 : ヒューズ
260 : NOTゲート
400 : マイクロ回路カード
【技術分野】
【0001】
本発明は、電子モジュールの保護の分野に属する。
【背景技術】
【0002】
この発明は、特に、マイクロ回路カード(例えばISO 7816規格によるもの)の保護に適用されるが、これに限られるわけではない。
【0003】
故障注入攻撃(fault injection attack)に対するマイクロ回路カードの保護の範囲において、以下のような対策が知られている。それは、OTP(ワン・タイム・プログラマブル)によって当業者に知られている1回だけの書き込みが可能なカードの不揮発性メモリの予約領域に、所定の値を書き込むことである。
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明は、代案となる技術的解決策に取り組む。
【課題を解決するための手段】
【0005】
より正確には、本発明は、
当該モジュールへの攻撃を検出するための手段と、
攻撃が検出されたときに当該モジュールのヒューズを切ることができる指令手段とを備えるモジュールに関する。
【0006】
本発明の特定の実施の形態においては、前記指令手段が、通常の動作(すなわち、攻撃が検出されていない場合)においてコンデンサの充電を指令でき、攻撃が検出されたときに前記ヒューズを切るために前記コンデンサの放電を指令できる。
【0007】
このヒューズが切れることで、カードの動作が物理的に防止される。
【0008】
本発明によれば、攻撃者が、ヒューズの破壊を阻止することはできない。
【0009】
本発明の特定の実施の形態においては、前記モジュールが、前記ヒューズに直列に接続されたNOTゲートを備えている。このゲートの出力は、通常の動作において高レベルであって、攻撃が検出されたときに低レベルである制御信号であり、この制御信号が、攻撃が検出されたときに当該モジュールの重要信号を維持するために使用される。
【0010】
この重要信号を、リセット信号、クロック信号、又は当該モジュールの外部の機器に接続される入力/出力信号の中から選択することができる。
【0011】
特定の実施の形態においては、このモジュールが、前記ヒューズの出力に、当該モジュールの重要部品への電力の供給を制御するスイッチに指令できる制御信号を含んでいる。
【0012】
この部品は、プロセッサで構成されることができる。
【0013】
また、前記スイッチは、PMOSトランジスタとすることができる。
【0014】
特定の実施の形態においては、本発明によるモジュールが、ISO 7816規格によるマイクロ回路カードで構成される。
【図面の簡単な説明】
【0015】
【図1】本発明の第1の実施の形態によるモジュール200を示している。
【図2】本発明の第2の実施の形態によるマイクロ回路カード400を示している。
【発明を実施するための形態】
【0016】
本発明の他の特徴及び利点が、添付の図面(本発明を限定しようとするものではない2つの実施の形態を示している)を参照しつつ以下に提示される説明から、明らかになるであろう。
【0017】
図1に、本発明の第1の実施の形態によるモジュール200を示す。このモジュールは、この例では、ISO 7816規格によるマイクロ回路カードで構成されている。
【0018】
このマイクロ回路カードは、マイクロ回路カード200への攻撃が検出されたときに、制御信号SCを通常の動作の際の高レベルから低レベルへと反転させることができる。そのような攻撃を、例えば或る動作を2回実行し、対応する出力を比較することによって検出することができるが、個々の攻撃の検出は本発明の主題ではない。
【0019】
マイクロ回路カード200は、通常動作においては第1のレベル(低レベルNB)にあり、攻撃が検出されたときは第2のレベル(高レベルNH)にある指令(信号)COMを生成することができる手段130を備えている。
【0020】
ここで説明される実施の形態においては、この指令手段130が、D型フリップフロップ132及びNOTゲート134を備えている。D型フリップフロップ132が、制御信号SCの反転を指令するビットに相当する。
【0021】
換言すると、この例においては、攻撃が検出されると、D型フリップフロップ132の出力が低レベル(NB)から高レベル(NH)へと反転される。
【0022】
マイクロ回路カードは、電圧VCCによって通常の動作の際に電力が供給されるコンデンサ140を備えている。
【0023】
ここで説明される実施の形態においては、コンデンサ140の一方のリード線がスイッチT1へと接続されており、通常の動作においてはこのスイッチT1が導通されてコンデンサ140が充電される。このスイッチT1は、D型フリップフロップ132の出力へと直接接続されたPMOSトランジスタで構成されており、このD型フリップフロップ132は通常の動作において低レベル(NB)にある
【0024】
従って、コンデンサ140は、マイクロ回路カード200の通常の動作の最中にエネルギーを蓄える。これは攻撃の検出とは無関係である。
【0025】
本発明によれば、マイクロ回路カード200が、攻撃が検出されたときにコンデンサ140の放電によって切れるように設計されたヒューズ250を備えている。
【0026】
より正確には、この実施の形態においては、マイクロ回路カード200の指令手段130が、通常の動作の最中にコンデンサ140を充電すること、及び攻撃が検出されたときにカードのヒューズ250を切るためにコンデンサ140を放電させることを可能にする。
【0027】
ヒューズは、自身を通過する電流が或る閾値に達したときに電気回路を開放する役割を有し、ひとたびヒューズが切れると、もはや電流を通さなくする性質を有する。
【0028】
ここで説明される実施の形態においては、ヒューズ250が、指令手段130によって通常の動作において非導通になり、攻撃が検出されたときに導通するように制御されるスイッチT2へと接続される。
【0029】
ここで説明される実施の形態においては、スイッチT2は、PMOSトランジスタで構成され、このPMOSトランジスタは、NOTゲート134を介してD型フリップフロップ132の出力へと接続されている。
【0030】
攻撃が検出されたとき、指令手段130の出力が高状態へと反転し、スイッチT2が導通して、コンデンサがヒューズ250へと放電を行う。
【0031】
この実施の形態において、この動作は、指令手段130への電力供給を遮断しようとする攻撃を無効にするよりも充分に迅速であると考えられる。
【0032】
コンデンサ140は、コンデンサが放電され、スイッチT2が導通状態になっているときに、ヒューズ250を切ることのできる程度の容量を有している。
【0033】
本発明によれば、極めて好都合なことに、コンデンサ140の放電を、マイクロ回路カードの電力消費を解析することによって検出することは不可能である。
【0034】
攻撃が検出されたときにヒューズ250が切れることで、制御信号SCは、通常の動作における高レベル(NH)から低レベル(NB)へと反転する。
【0035】
この目的のため、マイクロ回路カード200は、ヒューズ250に直列に接続されたNOTゲート260を備える。このNOTゲート260の出力が前記制御信号SCを構成する。制御信号SCのレベルは、通常の動作において高(NH)であり、攻撃が検出されたときに低(NB)である。
【0036】
図1の実施の形態においては、ヒューズ250が切れたときに、抵抗器240がNOTゲート260の入力に高信号を加え、従ってNOTゲート260の出力に低レベル信号をもたらす。
【0037】
図1の実施の形態において、NOTゲート260の出力の制御信号SCが、マイクロ回路カード200の適切な動作に重要な信号SIVを維持するために、これらの信号SC及びSIVをANDゲートによって組み合わせることによって使用される。
【0038】
この重要な信号は、例えばリセット信号(RESET)、クロック信号(CLOCK)、又はこのマイクロ回路カードの読み取り機に接続される入力/出力信号の中から選択することができる。
【0039】
従って、この論理ANDからもたらされる信号SIVSが、本発明によって安全にされる信号である。
【0040】
図2に、本発明の第2の実施の形態によるマイクロ回路カード400を示す。
【0041】
この図において、マイクロ回路カード400の構成要素のうちで、マイクロ回路カード200の構成要素と同様の構成要素は、図1と同じ参照符号を付している。
【0042】
図2の実施の形態において、攻撃が検出されたときにヒューズ250が切れることで、制御信号SCは、通常の動作における低レベル(NB)から高レベル(NH)へと反転する。
【0043】
マイクロ回路カード400は、NOTゲート260を備えていない。ヒューズ250の出力に位置する制御信号SCが、カードの重要部品(この例ではプロセッサ150)への電力の供給を遮断することができるスイッチに対して指令を行う。
【0044】
ここで説明される実施の形態においては、このスイッチが、PMOSトランジスタT3で構成される。
【0045】
より正確には、図2の実施の形態においては、マイクロ回路カード400が、制御信号SCによって制御されるトランジスタT3を備えている。この制御内容は、以下の通りである。通常の動作においては、制御信号SCが低レベルにあり、CPU150に電圧VCCによって電力が供給される。そして、攻撃が検出された場合には、ヒューズ250が切れ、制御信号が高レベルへと反転し、CPU150にもはや電力が供給されない。
【符号の説明】
【0046】
130 : 指令手段
132 : D型フリップフロップ
134 : NOTゲート
140 : コンデンサ
200 : モジュール(マイクロ回路カード)
250 : ヒューズ
260 : NOTゲート
400 : マイクロ回路カード
【特許請求の範囲】
【請求項1】
当該モジュールへの攻撃を検出するための手段と、
攻撃が検出されたときに当該モジュールのヒューズ(250)を切ることができる指令手段(130)とを備えるモジュール(200、400)。
【請求項2】
前記指令手段(130)が、通常の動作においてコンデンサ(140)の充電を指令でき、攻撃が検出されたときに前記ヒューズ(250)を切るために前記コンデンサ(140)の放電を指令できることを特徴とする請求項1に記載のモジュール(200、400)。
【請求項3】
前記ヒューズ(250)に直列に接続されたNOTゲート(260)を備えており、
該NOTゲート(260)の出力が、通常の動作において高レベル(NH)であり、攻撃が検出されたときに低レベル(NB)である制御信号(SC)であり、
該制御信号(SC)が、攻撃が検出されたときに当該モジュール(200)の重要信号(SIV)を維持するために使用されることを特徴とする請求項1に記載のモジュール(200)。
【請求項4】
前記重要信号(SIV)が、リセット信号、クロック信号、又は当該モジュール(200)の外部の機器に接続された入力/出力信号の中から選択されることを特徴とする請求項3に記載のモジュール(200)。
【請求項5】
前記ヒューズ(250)の出力に、当該モジュールの重要部品(150)への電力の供給を制御するスイッチに指令を行うことができる制御信号(SC)を含んでいることを特徴とする請求項1に記載のモジュール(400)。
【請求項6】
前記スイッチ(T3)が、PMOSトランジスタであることを特徴とする請求項5に記載のモジュール(400)。
【請求項7】
前記重要部品が、プロセッサ(150)であることを特徴とする請求項5に記載のモジュール(400)。
【請求項8】
ISO 7816規格によるマイクロ回路カードで構成される請求項1に記載のモジュール(200、400)。
【請求項1】
当該モジュールへの攻撃を検出するための手段と、
攻撃が検出されたときに当該モジュールのヒューズ(250)を切ることができる指令手段(130)とを備えるモジュール(200、400)。
【請求項2】
前記指令手段(130)が、通常の動作においてコンデンサ(140)の充電を指令でき、攻撃が検出されたときに前記ヒューズ(250)を切るために前記コンデンサ(140)の放電を指令できることを特徴とする請求項1に記載のモジュール(200、400)。
【請求項3】
前記ヒューズ(250)に直列に接続されたNOTゲート(260)を備えており、
該NOTゲート(260)の出力が、通常の動作において高レベル(NH)であり、攻撃が検出されたときに低レベル(NB)である制御信号(SC)であり、
該制御信号(SC)が、攻撃が検出されたときに当該モジュール(200)の重要信号(SIV)を維持するために使用されることを特徴とする請求項1に記載のモジュール(200)。
【請求項4】
前記重要信号(SIV)が、リセット信号、クロック信号、又は当該モジュール(200)の外部の機器に接続された入力/出力信号の中から選択されることを特徴とする請求項3に記載のモジュール(200)。
【請求項5】
前記ヒューズ(250)の出力に、当該モジュールの重要部品(150)への電力の供給を制御するスイッチに指令を行うことができる制御信号(SC)を含んでいることを特徴とする請求項1に記載のモジュール(400)。
【請求項6】
前記スイッチ(T3)が、PMOSトランジスタであることを特徴とする請求項5に記載のモジュール(400)。
【請求項7】
前記重要部品が、プロセッサ(150)であることを特徴とする請求項5に記載のモジュール(400)。
【請求項8】
ISO 7816規格によるマイクロ回路カードで構成される請求項1に記載のモジュール(200、400)。
【図1】
【図2】
【図2】
【公開番号】特開2012−128861(P2012−128861A)
【公開日】平成24年7月5日(2012.7.5)
【国際特許分類】
【外国語出願】
【出願番号】特願2011−273507(P2011−273507)
【出願日】平成23年12月14日(2011.12.14)
【出願人】(511304475)オベルチュール テクノロジーズ (2)
【Fターム(参考)】
【公開日】平成24年7月5日(2012.7.5)
【国際特許分類】
【出願番号】特願2011−273507(P2011−273507)
【出願日】平成23年12月14日(2011.12.14)
【出願人】(511304475)オベルチュール テクノロジーズ (2)
【Fターム(参考)】
[ Back to top ]