Integrierte Schaltkreise, die in Chipkarten eingesetzt wer- den, welche sicherheitsrelevante Daten enthalten, können das Ziel verschiedenster Angriffe auf die in diesen integrierten Schaltungen enthaltenen sicherheitsrelevanten Daten sein.

Physikalische Attacken auf Chipkarten können verschiedene Ziele haben : -Auslesen (Probing) von geheimen Signalen -Erzwingen (Forcing) von Steuersignalen.

In Sicherheitstechnologien werden deshalb geheime Signale und Steuersignale in schwer zugänglichen Maskenebenen geführt und durch Shieldinglayer zusätzlich geschützt (sogenannte Securi- ty Layer).

Über die Methoden Probing und Forcing hinaus besteht jedoch auch die Möglichkeit, Schaltungsblöcke von der Versorgung zu trennen, um gezielt"stuck-at"Fehler an Steuersignalen zu erzeugen und damit z. B. Blockadefunktionen aufzuheben.

Zur Abwehr solcher Angriffe, bei denen gezielt Zugriffskon- trollschaltungen auf einem IC spannungslos gemacht werden, wurde gemäß dem Stand der Technik bisher die Versorgung sol- cher Zugriffskontrollschaltungen doppelt geführt (sowohl in der Aluminium-als auch in der Diffusionsebene). Gemäß dem

Stand der Technik konnte man also einen solchen oben be- schriebenen Angriff dadurch abwehren, indem man die Versor- gung zu den Zugriffskontrollschaltungen in untrennbaren Lay- ern (Ebenen des IC) führt (beispielsweise in der Diffusions- ebene).

Die doppelte Führung der Versorgung hat den Nachteil, daß er- heblicher Platz auf dem IC verlorengeht, da ansonsten in der Diffusion Signale geführt werden könnten. Eine Führung der Stromversorgung ausschließlich in der Diffusion hat den Nach- teil, daß der elektrische Widerstand der Diffusionsschicht üblicherweise höher ist. Es treten daher entweder Spannungs- abfälle auf, oder es müssen entsprechend breite Bahnen in der Diffusion vorgesehen werden, was wiederum zu erheblichem Platzverlust führt.

Es ist daher Aufgabe der vorliegenden Erfindung, eine inte- grierte Schaltung zur Verarbeitung sicherheitsrelevanter Da- ten und eine Schaltungsanordnung zur Stromversorgung sicher- heitsrelevanter Teile eines integrierten Schaltkreises zu schaffen, bei der bei gleichbleibender oder sogar verbesser- ter Sicherheit nicht so viel Platz für eine zusätzlich oder ausschließlich in der Diffusion geführte Stromversorgung si- cherheitsrelevanter Teile des IC's erforderlich ist.

Erfindungsgemäß wird diese Aufgabe dadurch gelöst, daß eine Störung der Stromversorgung der Zugriffskontrollschaltungen zu einer Blockierung der Datenausgabeschaltungen führt.

Eine mögliche bevorzugte Weiterbildung dieser Lösung beruht darauf, daß Blockierungssignale von den Zugriffskontroll- schaltungen erzeugt werden, die jeweils paarweise invers sind, und die Datenausgabeschaltungen nur dann arbeiten, wenn jeweils beide inversen Blockierungssignale eine Aufhebung der Blockierung anzeigen. Wird nun eine der Stromversorgungen der Zugriffskontrollschaltung unterbrochen, nimmt zwangsläufig

eines der Blockierungssignale einen"falschen"Wert an, wo- durch die Datenausgabe blockiert wird.

Es ist dabei besonders bevorzugt, die jeweils zueinander ge- hörenden inversen Blockierungssignale parallel zueinander in der integrierten Schaltung zu führen. Dies erschwert den An- griff auf ein einzelnes Blockierungssignal.

Weiter ist es bevorzugt, die Blockierungssignale in der Dif- fusion oder in einem Security Layer zu führen. Ansonsten könnte durch einen Zugriff auf die Blockierungssignale, wenn auch mit einigem Aufwand, eine Entblockierung der Datenausga- beschaltungen erreicht werden.

Eine andere bevorzugte Weiterbildung der Erfindung beruht darin, die Stromversorgung der Datenausgabeschaltungen so zu führen, daß diese Stromversorgung unterbrochen wird, wenn die Stromversorgung der Zugriffskontrollschaltung gestört wird.

Zu diesem Zweck kann man vorzugsweise die Stromversorgung der Datenausgabeschaltungen an die Stromversorgung der Zugriffs- kontrollschaltungen anschließen. Dies ist eine sehr einfache Möglichkeit, um die integrierte Schaltung gegen die genannten Manipulationen zu schützen.

Noch größere Sicherheit bietet die bevorzugte Lösung, bei der die Stromversorgung der Datenausgabeschaltungen über einen oder mehrere Schalter geführt ist, die öffnen, wenn die Stromversorgung der Zugriffskontrollschaltungen gestört wird.

Auf diese Weise kann auch vermieden werden, daß die Stromver- sorgung der Datenausgabeschaltung durch Aufsetzen einer elek- trisch leitenden Nadel auf entsprechende Bezirke des IC wie- derhergestellt wird, obwohl die Stromversorgung der Zugriffs- kontrollschaltungen gestört ist.

Besonders bevorzugt ist dabei die Lösung, daß ein NMOS- Schalter zwischen der allgemeinen Versorgungsspannung VDD und

der Stromversorgung der Datenausgabeschaltungen angeordnet ist, dessen Gate über eine in der Diffusion oder in einem Se- curity Layer geführte Leitung mit der VDD-Stromversorgung der Zugriffskontrollschaltungen verbunden ist.

Ebenso wird die Aufgabe der vorliegenden Erfindung durch eine Schaltungsanordnung zur Stromversorgung sicherheitsrelevanter Teile eines integrierten Schaltkreises, die durch entspre- chende Zugriffskontrollschaltungen geschützt sind, gelöst, indem die Stromversorgung der sicherheitsrelevanten Teile so geführt ist, daß diese Stromversorgung unterbrochen wird, wenn die Stromversorgung der Zugriffskontrollschaltungen ge- stört wird.

Dabei ist eine besonders einfache Lösung möglich, wenn die Stromversorgung der sicherheitsrelevanten Teile an die Strom- versorgung der Zugriffskontrollschaltungen angeschlossen ist.

Größere Sicherheit bietet eine Lösung, bei der die Stromver- sorgung der sicherheitsrelevanten Teile über einen oder meh- rere Schalter geführt ist, die öffnen, wenn die Stromversor- gung der Zugriffskontrollschaltungen gestört wird. Auf diese Weise läßt sich die gewaltsame Wiederherstellung einer Strom- versorgung der sicherheitsrelevanten Teile verhindern, wäh- rend die Stromversorgung der Zugriffskontrollschaltungen un- terbrochen ist.

Dabei ist es besonders bevorzugt, einen NMOS-Schalter zwi- schen der allgemeinen Stromversorgung VDD und der Stromver- sorgung der sicherheitsrelevanten Teile anzuordnen, dessen Gate über eine in der Diffusion oder in einem Security Layer geführte Leitung mit der VDDStromversorgung der Zugriffskon- trollschaltungen verbunden ist.

Durch eine Kombination der oben beschriebenen Sicherheitsmaß- nahmen läßt sich eine noch größere Sicherheit des integrier-

ten Schaltkreises bei natürlich etwas höherem Aufwand vor- zugsweise erreichen.

Die vorliegende Erfindung wird im folgenden anhand des in der beigefügten Zeichnung beschriebenen Ausführungsbeispiels nä- her erläutert. Es zeigt : Fig. 1 einen schematischen Ausschnitt aus einer integrierten Schaltung, bei der sämtliche erfindungsgemäß vorgeschlagenen Sicherheitsmerkmale parallel vorgesehen sind.

Die Fig. 1 zeigt ein schematisches Blockschaltbild eines IC's, in dessen Speicher 12 sicherheitsrelevante Daten abge- legt sind. Der integrierte Schaltkreis 10 verfügt somit über einen Speicher 12, der mit einer Ausleseschaltung 14 verbun- den ist. Von der Ausleseschaltung 14 werden die aus dem Spei- cher 12 ausgelesenen Daten auf den mit"Data"bezeichneten Ausgang geführt.

Weiterhin ist ein Block mit Zugriffskontrollschaltungen 16 vorgesehen, der die entsprechenden Blockadefunktionen ent- hält. Durch diese Funktionen wird sichergestellt, daß bei- spielsweise nur der berechtigte Benutzer nach Eingabe eines Kennwortes auf die im Speicher 12 abgelegten Daten zugreifen kann.

Wie in Fig. 1 dargestellt, ist die Stromversorgung der Zu- griffskontrollschaltungen 16 und der Ausleseschaltung 14 der- gestalt angeordnet, daß beide Äste der Stromversorgung, VDD und Vss zuerst zu den Zugriffskontrollschaltungen 16 und so- dann zu der Ausleseschaltung 14 geführt sind. Ein einfaches Auftrennen von VDD oder Vss vor den Zugriffskontrollschaltun- gen 16 macht automatisch auch die Ausleseschaltung 14 span- nungslos, so daß keine Daten aus dem Speicher 12 mehr ausge- lesen werden können.-

Die Versorgungen VDD und Vss sind dabei wie üblich in der Alu- miniumlage geführt.

Dadurch würde grundsätzlich die Möglichkeit eines Angriffs dergestalt bestehen, daß man VDD vor und hinter den Blockade- funktionen unterbricht und die Ausleseschaltung durch eine direkt dort auf das Aluminium aufgebrachte Stromversorgung separat versorgt.

Um dies zu vermeiden, ist zusätzlich an der Stelle, an der die Stormversorgung der Ausleseschaltung 14 von der im Alumi- nium Layer VDD abzweigt, ein NMOS-Schalter 18 zwischen VDD und die Ausleseschaltung 14 geschaltet, dessen Gate 20 über eine in einem Security Layer oder in der Diffusion geführte Lei- tung 22 mit der Stromversorgung der Zugriffskontrollschaltun- gen 16 in der Diffusionsebene verbunden ist. Auf diese Weise ist sichergestellt, daß bei jeglicher Unterbrechung der Stormversorgung zu den Zugriffskontrollschaltungen 16 der NMOS-Schalter 18 öffnet und die Ausleseschaltung 14 stromlos wird, wodurch ein Auslesen des Speichers 12 unmöglich gemacht wird.

Zusätzlich ist, wie in Fig. 1 dargestellt, vorgesehen, das Freigabesignal BLCK von der Zugriffskontrollschaltung 16 an die Ausleseschaltung 14 doppelt und invers zu führen. Dies bedeutet, daß das Signal einmal positiv als BLCK-Signal und einmal negativ als BLCK-Signal vorliegt. Die Ausleseschal- tung kann nur Daten auslesen, wenn beide Signale richtig sind. Wird nun die Stromversorgung zu den Zugriffskontroll- schaltungen 16 unterbrochen, so wird zumindest eines dieser Signale"falsch"und die Ausleseschaltung blockiert. Dabei ist es sogar unabhängig, ob VDD oder Vss unterbrochen wird.

Die Ausleseschaltung 14 wird auf jeden Fall blockiert. Die Sicherheit kann dabei noch weiter erhöht werden, indem die jeweils zueinander gehörenden inversen Blockierungssignale parallel zueinander in der integrierten Schaltung und vor-

zugsweise in der Diffusion oder in einem Security Layer ge- führt sind.

Erfindungsgemäß besteht also die Möglichkeit, die Schaltungs- blöcke bzgl. der Versorgungsverdrahtung so anzuordnen, daß der das Steuersignal erzeugende Block vor den Schaltungsblök- ken liegt, die die geheimen Signale generieren. Mit dem Blok- kadesignal wird dann beim Abtrennen der Versorgung auch das geheime Signal vernichtet.

Als zweite Maßnahme kann man zusätzlich das inverse Blockade- signal parallel generieren und beim Erzeugen des geheimen Si- gnals mit auswerten. Damit wird sichergestellt, daß an dem das Steuersignal generierenden Block beide Versorgungen vor- handen sind. Die Versorgung innerhalb dieses Blockes muß da- bei in untrennbaren Layern geführt sein. Die inversen Steuer- signale führt man vorteilhafterweise übereinander zum auswer- tenden Block, um ein Forcing zu erschweren.

Wird die Versorgung vor dem das Steuersignal erzeugenden Block abgetrennt, sperrt man damit gleichzeitig das geheime Signal. Dabei ist es nicht notwendig, die Versorgungsverdrah- tung zwischen den Blöcken doppelt zu führen, und man gewinnt Verdrahtungsfläche für die Signalverdrahtung.

Alternativ zu den beschriebenen Maßnahmen kann man die Ver- sorgung des Blockes, der das geheime Signal generiert, über einen Schalter führen, der abhängig von der Versorgung des Steuerblocks ein-oder ausschaltet. Dabei ist es notwendig, ein Sicherheitssignal von der innerhalb des Steuerblocks un- trennbaren Versorgung zum Gate des Schalters zu führen.

Um die physikalischen Manipulationsmöglichkeiten zu erschwe- ren, wird erfindungsgemäß bezüglich der Versorgungsverdrah- tung eine Blockanordnung vorgeschlagen, die ein Design gegen- über zerstörenden Angriffen robust macht, ohne daß ein Mehr- aufwand an Versorgungsverdrahtung (redundante Versorgung in

Diffusion) entsteht. Dieses Blockplacement wird üblicherweise anders aussehen als das einer ad hoc Flurplanung, das die be- schriebenen Randbedingungen nicht ins Auge faßt.

Die Steuersignale werden mit ihren inversen Pendants parallel von Block zu Block geführt, um am auswertenden Block sicher- zustellen, daß am generierenden Block beide Versorgungspola- ritäten anliegen.

Als Abwandlung wird vorgeschlagen, die Versorgung des zu sperrenden Blocks über einen Schalter von der Versorgung der Steuerfunktion abhängig zu machen, wobei die Anordnung so de- signed ist, daß sich eine physikalische Manipulation zum Er- zeugen eines"stuck art"Fehlers an einem Steuersignal nicht schädlich auswirkt. Das ist mit zusätzlichem Schaltungsauf- wand verbunden (Zufügen eines Schalters), der nicht gerecht- fertigt wäre, wenn man diese Manipulationsmöglichkeit nicht absichern wollte.

Fig. 1 zeigt als Ausführungsbeispiel eine Anordnung in einem Speicherbaustein, bei dem die aus dem Speicher 12 ausgelese- nen Daten über eine Blockadefunktion für einen Lesezugriff gesperrt werden. Blockade-und Ausleseschaltung sind so ange- ordnet, daß ein Abtrennen der Blockadefunktion von der Ver- sorgung gleichzeitig die Ausleseschaltung unversorgt schaltet und damit blockiert.

Das Blockadesignal BLCK ist parallel zu seinem inversen Pen- dant zur Ausleseschaltung geführt, wo beide Steuersignale ausgewertet werden.

Als Variante ist in vergrößerter Darstellung eine Anordnung gezeichnet, bei der die in Diffusion geführte Versorgung der Blockadefunktion auf das Gate eines NMOS-Schalters geführt wird, der die Ausleseschaltung versorgt. Wird die Blockade- Schaltung von VDD getrennt, wird gleichzeitig die Auslese- adresse von der Versorgung abgekoppelt.