本文目录导读:

安全芯片(如TPM、HSM、智能卡芯片)在硬件层面设计了多层防御机制来抵御物理攻击,这些攻击包括但不限于探针攻击(直接接触芯片内部线路)、侧信道攻击(通过功耗、电磁辐射泄漏分析数据)、故障注入攻击(通过电压毛刺、激光照射、电磁干扰诱导错误)以及逆向工程(如去层、FIB聚焦离子束修改电路)。
以下是安全芯片防止这些物理攻击的主要技术措施:
屏蔽与主动防护层
- 金属屏蔽层:芯片最顶层(位于钝化层下方)会部署一层由密集金属线构成的屏蔽网,任何尝试用探针或FIB穿透该层的操作都会切断或短路信号线,导致芯片无法工作或触发紧急擦除。
- 主动防护网格:芯片内部会通过多层蛇形走线形成一个动态的“防护网格”,持续发送随机验证信号,如果攻击者试图切断或短路某条导线,网格完整性被破坏,芯片会立即检测到并触发自毁或清零机制。
- 光敏/温度传感器:集成光电二极管或温度传感器,当封装被拆除(暴露在光线下)或温度剧烈变化(如液氮冷却用于低电压攻击)时,传感器输出信号异常,芯片会主动重置或擦除密钥。
抗探针与抗篡改封装
- 环氧树脂与钽电容:用硬化环氧树脂或特种封装材料覆盖芯片表面,使其难以被机械磨削或化学腐蚀,封装中可能嵌入钽电容,任何尝试钻孔或切割都会导致电容短路失效,触发警报。
- 3D堆叠与掩埋:将安全核心(如密钥存储区)或闪存阵列堆叠在处理器核心下方,或使用交错布局,攻击者无法直接看到或接触关键存储区域,极大地增加了FIB攻击的难度。
- 压敏胶与防撬电路:芯片与封装基板之间使用导电胶或压敏胶连接,一旦芯片被强行剥离或振动,引脚断裂,电路断开,立即触发安全策略。
数据存储与加密的物理保护
- OTP与eFuse:密钥或安全敏感配置(如熔丝状态)存储在一次性可编程存储器(OTP)或电子熔丝中,一旦写入,无法通过电压或紫外线擦除,且物理破坏会导致数据永久丢失。
- PUF(物理不可克隆函数):利用芯片制造过程中固有的随机工艺偏差(如SRAM上电时的初始状态差异、金属线延迟差异)生成唯一的“指纹”,密钥并非存储在非易失性存储器中,而是由PUF实时派生,即使攻击者通过探针读取了芯片内部的所有数字信号,也得不到完整的密钥。
- 加密存储:片外存储器(如Flash)中的数据默认加密存储,密钥只在芯片内部解密后使用,攻击者即使物理读取Flash中的数据,得到的也是密文。
侧信道攻击防御
- 随机化技术:在密码计算过程中引入随机延迟、随机操作序列(乱序执行)或随机消耗的伪指令(NOP填充),使得功耗/电磁辐射曲线与真实数据之间的关联性变得模糊。
- 双轨逻辑:设计采用差分信号(如F-CSS、DDL技术),每个操作同时产生互补的信号(0和1的电平差异被消除),使得无论处理0还是1,芯片功耗都相同,从而消除静态差分。
- 噪声注入:在芯片内部集成高频、宽频带的噪声发生器(如振荡器、伪随机数发生器),故意向电源和接地平面注入噪声,掩盖真实的运算功耗信号。
故障注入攻击防御
- 双模块冗余:关键状态机或控制器设计两套完全独立的电路,同时执行指令并比对输出结果,如果结果不一致(例如由于激光或电压毛刺导致计算错误),芯片立即停止操作并擦除密钥。
- 时序与电压监控:内置高精度电压监控器和时钟监测电路,一旦检测到电压低于阈值、超过正常范围或时钟频率异常(如过快/过慢),立即触发重置。
- 错误检测纠错码:存储单元(SRAM、Flash)采用ECC校验(如汉明码、BCH码),利用激光或电磁脉冲诱导的单个比特翻转(单粒子翻转)会被ECC电路纠正;导致两个比特以上错误的事件会被标记为“不可纠正错误”,触发安全锁定。
安全芯片的“主动免疫”机制
可以将安全芯片的物理防护理解为一种分层、主动、动态的免疫系统:
- 屏蔽层(物理屏障):防止直接接触和攻击。
- 传感器(预警系统):检测异常环境(光、热、电压、温度)。
- 主动网格(入侵检测):持续验证电路完整性。
- PUF与加密(数据保险):即使物理提取数据,也毫无价值。
- 双轨逻辑与噪声(伪装术):使功耗和电磁信号无法分析。
- 冗余与ECC(容错与纠错):确保攻击导致的错误被锁定。
没有绝对安全的芯片,所有防护措施都在提升攻击者的成本和时间,当攻击者需要花费数百万美元、且耗费数月甚至数年时间才能破解单个芯片时,通常就会被认为该芯片是“物理安全”的。