Zenn
📜

【論文紹介】E-beam Probing: 先端プロセスの揮発メモリを直接読みとる高分解能テクニック

2023/01/04に公開
Security
#
リバエン
#
トロジャン
#
ハードウェアセキュリティ
tech

せっかくなので読んだ論文を紹介(要約?)していこうと思う.自分のメモ書きに毛が生えたものなので内容の正確性や解説までは期待しないように.
著作権のことはよくわからないので,公開されてる論文であっても画像引用などはとりあえずしないようにする.
文献番号は論文のものをそのまま使う.ここでは参考文献は示さない.

今回の論文

  • Title: E-beam Probing: A High-Resolution Technique to Read Volatile Logic and Memory Arrays on Advances Technology Nodes
  • Authors: Intel CQN Labs
  • Where: IEEE International Conference on PHYSICAL ASSURANCE and INSPECTION of ELECTRONICS (PAINE)
  • Year: 2021
  • URL: https://ieeexplore.ieee.org/document/9707713

要約

  • 先端プロセッサのデバッグに使われる高解像度電子ビーム fault isolation[1]テクニックを攻撃者視点で使用
  • ダイの機能を保ったまま次世代プロセスのlogic stateを読むことができる.
  • SRAMの値(プロセスの記載はなかったけどfinとか言ってるのでおそらく先端)や,配線の電圧が見える.

所感

  • すごいことをやっている感はあるが,いわゆるSEMで普通にimagingしたものとの違いはよくわからない.
    • WikiによるとSEMより電子エネルギーが一桁低いっぽい
  • ダイを壊さずに(semi-destructive)と書いてあるが,準備はかなり大変な部類
  • こういう系はふつう攻撃者はどこに着目すればいいかわからない.
    • 周波数解析みたいなことができるみたいなので,たとえばSGXアクセスしてる時としてない時で違いが見えるかもしれないけど,準備段階でかなり場所のあたりをつけないといけないので難しいか.発光解析系と組み合わせてcouarse-grained/fine-grainedでやっていくんだろうなあ
  • Foverosというのはあまり知らなかったけどもうIntelの3Dダイも出てるんですね.DRAMが8GBしかないっぽいので普段使いはできないけど.NUCとかなのかなあDRAMがせっかく近いのでHPCに使えるといいのに

1. Introduction

  • 故障解析やfault isolationのテクニックは侵襲的つまり破壊的なリバースエンジニアリングテクニックとして知られている[1]
    • SEMやFIB, X線を使うものが多い
    • ネットリストの復元や回路の改変
  • 電子ビームプロービング(EBP)は不揮発ROMやフラッシュの内容をpassive voltage(たぶん電源を入れてないときの電位)から読み取る方法として登場[2]
  • EBPは最近ではnanoスケールの分解能を持つ
  • 本紙ではEBPによってfin-level分解能の揮発メモリから値を読み出す.
    • 配線からも読める
    • traditionalな前処理がいらず,数日で実行完了

2. DUT Preparation

  • EBPはsemi-destructive

    • Si基板のremoveとデバイスの露出が必要?
    • これくらいならICの機能は完全に保たれるし,シングルダイでも3Dダイでもできる.

  • パッケージにマウントされた典型的なDUTに対しては,10um[2]程度までの裏面研磨が必要(Allied High Tech prep polisher)

    • 注目領域に対してはさらにmechanical dimpling (Ted Pella dimpler)が必要

  • スタックドダイに対してはAllied X-millとTFS plasma FIBで注目領域を開封

    • 図1aは機能を保ったままfinを露出させた画像

  • 図2はFoveros[3]スタックドダイに対してサンプル準備を行う手法の概要

    • この場合チップ上/下どちらでもアクセスできる.
    • 上から行く場合(つまりDRAMを対象とする場合?)裏面研磨?EBPはかなり薄くしないといけない
    • 下から行く場合(Base Logicが対象の場合?)パッケージのmillingが必要.
    • クリティカルなラインをよけてmillingするにはそれなりの知識が必要[4]

3. E-beam Fault Isolation Tool

  • 光学画像ではもはや先端プロセスは検査できない.EBPはSEMの分解能を備える開発中の手法
  • EBPするにはDUTにいろいろ準備が必要
    • コーティングや電源,冷却など振動も抑えるボード
  • 動的な電圧コントラストや,トグル波形が直接得られる.

4. E-beam Active Voltage Contrast of Volatile Arrays

Device analysis

  • EBPの有効性を調べるため,揮発メモリの全体に1を書き込み,次いで全体に0を書き込む.(ELSI: E-beam logic state imaging)

    • 図4は8Tのメモリアレイが示してあり,1の時と0の時でコントラストに明確な差がある.

  • 図5はメモリデコーダの書き込み位置がアドレスによって変わる様子が見える.よってどこにアクセスしているかわかる.

  • ELSIはstaticなimaging手法.一方でよりアクティブなESIM (e-beam signal image mapping)もできる

    • 図6aはあるアレイとその制御ロジックの画像で,図6bはおそらく同じ場所の画像.6bでは特定の周波数で動作している部分だけを見ることができている.

  • 図8aはあるSRAMの1ビットに着目したESIM画像.8bは8aにレイアウトを重ねたもの.

    • ある1点を表示させたのが8c?
    • トグルの様子が見えているが,SEMの制限により5MHzくらいしか見えない.

  • EBPはいろんなメモリに使えて,図9はFPGAを見たもの.

    • コンフィグレーションビットが見えていて,違うビットストリームを書きこむと見え方が変わる.

BE and metal line analysis

  • EBPはメモリだけじゃなくて配線の電圧も見える.
    • 図10aは配線にH/Lを印可したもので,明るさが異なる.
    • 図10bは配線の電圧を0.2Vステップで変えていったもので,明るさが徐々に変化していることがわかる.
    • 配線の周波数も見える.
脚注

  1. 故障解析系の専門用語だと思うが,日本語訳わからない ↩︎

  2. 10umの裏面研磨はまあまあ覚悟がいる作業だと思う.国内でやってくれる業者いるのか・・? ↩︎

  3. Intelの3次元積層ダイ ↩︎

  4. こんなん設計情報持ってないと無理そう ↩︎

Discussion