# ユニーク性を改善した RG-DTM PUF

推薦者: 立命館大学 理工学部 電子情報デザイン学科 藤野毅 Email: fujino@se.ritsumei.ac.jp TEL: 077-561-5150 学生氏名: 古橋康太

## 1. 背景

近年, IC チップはサイドチャネルアタックな どの攻撃により,秘密情報を窃取され偽造・複製 される恐れが指摘されている.そのため,重要 な情報を扱う LSI では非正規な手段による機密 情報へのアクセスを防ぐ耐タンパ性や偽装・複 製を防止する技術が必要とされている.

Physical Unclonable Functions (PUFs)はこれ らをLSI上に実現する技術として注目されてい る.PUFは入力信号 (チャレンジ)に応じてデ バイス固有の物理情報を抽出し,出力信号 (レ スポンス)に変換するチャレンジ&レスポンス 方式のデバイスである.LSI に実装する PUF は,電荷の偏りやトランジスタサイズ,閾値電 圧の変化などの製造ばらつきをレスポンスへ変 換する.製造ばらつきはデバイス毎にランダム に生じ,かつ人工的に制御することが困難なの で PUF が生成するレスポンスは予測すること ができず,偽装・複製が困難となる.また複数 ビットのレスポンスを生成することでそのデバ イス固有の ID や秘密鍵として用いることがで きる.

我々は製造ばらつきにより生じる遅延時間差 ばらつきを利用するアービターPUF に注目し た.この PUF は図 1 に示すように等負荷,等 配線となるように設計,レイアウトされるセレ クタチェーンとアービター回路から構成される。 セレクタチェーンはチャレンジに応じて IN か



らアービター回路までの 2 つの経路を選択し, アービター回路では,選択された 2 経路間のう ちどちらの信号が先に到達したかを判別して 1 もしくは 0 をレスポンスとして出力する.

アービターPUF は生成する ID の出現確率に 偏りを持つという問題を持つ.これにより,生 成される ID が予測されて攻撃されてしまう. また,ユニーク性が低下し異なるチップでも同 じ ID が出現する確率が高くなってしまう.

そこで, 我々は ID の出現確率を均一にして ユニーク性を向上させるために, 二経路間の遅 延時間差を測定しレスポンスへ変換する RG-DTM PUF を提案した. そして, 0.18µm CMOS プロセスを用いて RG-DTM PUF の設 計, 試作, 評価を行った.

研究・開発の概要

| 利用分野 | セキュリティ、認証                 |
|------|---------------------------|
| 特徴   | 遅延時間差検出によるユニーク性の          |
|      | 向上                        |
| 性能   | 誤認証率 6.1×10-53%           |
| 試作ラン | ローム 0.18µm, 平成 22 年度第 2 回 |

### 2. RG-DTM PUF

### 2.1. レスポンス生成法

製造ばらつきにより生じるセレクタチェーン 最終段での遅延時間差分布が正規分布だとする. 図 2 に従来型アービターPUF のレスポンス生 成法とモンテカルロ・シュミレーションより導 出したセレクタ 3 段の PUF から生成した 8 ビ ット長 ID の出現確率分布を示す.従来型は遅 延時間差の正負からレスポンスを決定している が,この方法では生成される ID の出現確率に 偏りが生じてしまいユニーク性が低下し攻撃さ れる恐れがある.そこで提案している RG-DTM 方式では図3の左図に示すように遅延時間差分 布を複数区間に分割し,測定した遅延時間差か らレスポンスを決定する.図3の右図は従来型 と同様にモンテカルロ・シミュレーションを用 いて RG-DTM PUFの8ビット長 IDの出現確 率分布を求めた結果である.図2と比較して RG-DTM 方式は全 ID が出現し,出現確率も均 一化されていることが分かる.



図 2 従来のアービターPUF のレスポンス生成方法(左)と8 ビット長 ID の出現確率分布(右)



図 3 RG-DTM PUF のレスポンス生成方法と(左) 8 ビット長 ID の出現確率分布(右)

### 2.2. 回路構成

RG-DTM PUFの回路構成は,図1に示す従 来型とほぼ同じで,セレクタチェーンと遅延時 間差を検出する機能を付加したアービター回路 から構成される.セレクタチェーンを構成する セレクタ回路は図4のように,クロックドイン バータとインバータ・バッファで構成した.



図4 セレクタの回路構成

遅延時間差を検出する機能を付加したアービ ター回路を図5に示す.センスアンプを用いた アービター回路の出力に可変容量を接続して構 成した.可変容量にはゲート幅の異なる PMOS4つで構成した.左右2つの4ビット入 力信号(L0~L3とR0~R3)を制御すること で容量負荷を線形に変更し,出力信号が切り替 わる遅延時間差にオフセット時間を設ける.ア ービター回路のIN1とIN2間に生じている遅 延時間差を測定するには,図6に示すようにオ フセット時間を順次変更していくと,生じてい る遅延時間差をオフセットが越えたときにアー ビター回路の出力信号が反転し,そのときの入 力信号からレスポンスを生成する.







図6 遅延時間差の検出方法

### 2.3. シミュレーション

モンテカルロ・シミュレーションを用いてセ レクタチェーンが生成する遅延時間差の分布を 評価した.セレクタを形成する全ての MOS の ゲート長が独立にばらつくと仮定し,ゲート長 Lに平均 Lave=210nm, 3oL=21nm(10%)の正規 分布に従うばらつきを与えてシミュレーション を行った. セレクタ段数1段,4段,8段の遅 延時間差の分布を図7に示す.段数の増加に伴 い分布が広がっているため大きな遅延時間差が 生じやすいことが分かる.また,段数がN倍に なると標準偏差が $\sqrt{N}$ 倍に増加していること から分散の加法性が成立していることが分かる.



図7 セレクタの段数と遅延時間差分布

アービター回路の可変容量は、4 ビットの入 力信号により8段から128段の遅延時間差を分 割できるよう6ps単位で最大±90psのオフセ ット時間を設定できるように設計した.図8は オフセット時間をシミュレーションした結果で ある.オフセット時間を線形に変更でき,約6ps で最大±93psとほぼ設計通りに設定できるこ とを確認した.



# 3. チップ試作とばらつき評価

3.1. テストチップ試作

RG-DTM PUF を 0.18µm CMOS プロセスを

用いて試作した. チップサイズは 2.5 mm×2.5 mm, 電源電圧は 1.8V である. レイアウトを図 9 に示す. 試作チップにはセレクタの段数が 8 段, 16 段, 32 段, 64 段, 128 段の 5 種類の RG-DTM PUF を実装した.



セレクタ1段の回路とアービター回路の面積 はそれぞれ13.4µm×20.8µm,26.4µm×21.3µm となった.セレクタ8段のRG-DTM PUFの面 積は134.3µm×21.3µmとなり,従来型のアービ ターPUFより8.6%増加した.この値は可変容 量によるものなので,セレクタ段数の増加に伴 い従来型との差は小さくなる.

### 3.2. セレクタの遅延時間差評価

遅延時間差のオフセット機能を用いて,セレ クタチェーンの2経路間に生じている遅延時間 差を測定し分布を求めた.セレクタ段数8段, 32段,128段の回路についてチップ20個それ ぞれに256種類のチャレンジを入力して5120 サンプルを得た.結果を図10に示す.段数の 増加に伴って分布が広がっていることから生じ ている遅延時間差も段数が多いほど大きくなり やすいことが分かる.それぞれの分布の標準偏 差は8段のとき14.48ps,32段のとき25.56ps, 128段のとき43.00psとなっており,セレクタ 段数がN倍になれば,約√N倍に増加している ことが確認でき,シミュレーションと同様に分 散の加法性が成り立っていることを確認した.



## 4. RG-DTM PUF 評価

### 4.1. ユニーク性と再現性

PUF の評価としてはユニーク性と再現性が 一般的に用いられる. RG-DTM PUF のユニー ク性と再現性の評価を 20 枚のチップを用いて 行った. ユニーク性は他チップから生成された ID とどの程度異なっているかを表し,再現性は 同一チップに同じチャレンジを与えたときにど れだけ安定して同じIDを生成できるかを表す. ユニーク性は 20 枚のチップそれぞれから 256 ビット長の ID を生成しチップ間のハミングデ ィスタンスを計算して導出し、分布を取ったと きに中心(128ビット付近)に狭く分布するほ ど同じ ID を生成しにくくユニーク性が高い. 再現性は同一チップに同一チャレンジを100回 与えて生成した 256 ビットの ID 間でのハミン グディスタンスから導出し、0 ビットが常に安 定していることを示す.

ユニーク性と再現性を従来型と比較した結果 を図 11 に示す.ユニーク性のグラフが従来型 より狭く分布していることから RG-DTM PUF のユニーク性が向上していることが分かる.分 布の平均は両方とも 128 ビット,標準偏差は従 来型が約 31 ビット, RG-DTM PUF が約 8 ビ ットとなった.全 ID の出現確率が均等で予測 することが困難な理想的な PUF が生成する分 布は平均 128 ビット,標準偏差 8 ビットとなる ことから, RG-DTM PUF は全 ID を均一な確 率で生成でき,攻撃されにくいと考えられる. 再現性については RG-DTM PUF は従来型よ り少し悪化していることが分かる.しかし,生 成された ID を他チップの ID と誤認識してしま う確率は再現性のグラフとユニーク性のグラフ が重なった面積から算出でき,RG-DTM PUF は従来型より大幅に誤認識する確率を低下させ ていることが分かる.実際,誤認率を結果より 導出すると,従来型が 2.6×10<sup>-3</sup>%,RG-DTM PUF は 6.1×10<sup>-53</sup>%となり大幅に改善している.



### 5. まとめ

アービターPUF からユニーク性を改善した RG-DTM PUF を提案してきた. この PUF を  $0.18\mu m$  CMOS プロセスを用いて試作,評価を 行った. セレクタチェーンが生じている遅延時 間差はセレクタ段数が N 倍になれば,約 $\sqrt{N}$  倍 に増加しており分散の加法性が成立しているこ とを確認した. また PUF としての性能評価を 行った結果, RG-DTM PUF では全 ID を均等 に出現することにより,従来型より大幅にユニ ーク性を向上した. 再現性は悪化したものの, 誤認率は従来型の  $2.6 \times 10^{-39}$ と比較して, 6.1× $10^{-53}$ %と大幅に改善した.

今後は環境変化の影響を評価していく.

### 発表文献

[1] Kota Furuhashi, Mitsuru Shiozaki, Akitaka Fukushima, Takahiko Murayama, Takeshi Fujino, "The Arbiter-PUF with High Uniqueness utilizing Novel Arbiter Circuit with Delay-Time Measurement," *ISCAS2011*, pp.2325-2328, May 2011