Thesis defence of Sami El Amraoui (AMfoRS team): Pulsed Electromagnetic Fault Injection: Security Assessment and Mitigation Strategies for FPGA-based Architectures

Sami EL AMRAOUI - AMfoRS team

Thesis direction
Régis LEVEUGLE - Thesis director - Full professor - TIMA Laboratory
Paolo MAISTRI - Thesis co-supervisor - Researcher - TIMA Laboratory

Rapporteurs
Jean-Max DUTERTRE - Rapporteur - Full professor - Ecole Nationale Supérieure des Mines de Saint Etienne
Lilian BOSSUET - Rapporteur - Full professor - Université Jean Monnet

Composition of the jury
Régis LEVEUGLE - Thesis director - Full professor - TIMA Laboratory
Jean-Max DUTERTRE - Rapporteur - Full professor - Ecole Nationale Supérieure des Mines de Saint Etienne
Lilian BOSSUET - Rapporteur - Full professor - Université Jean Monnet
Noémie BERINGUIER-BOHER - Examinator - Research engineer - SYNOPSYS
Lorena ANGHEL - Examinator - Full professor - Grenoble INP - UGA
Paolo MAISTRI - Guest - Researcher - TIMA Laboratory

Title: Pulsed Electromagnetic Fault Injection: Security Assessment and Mitigation Strategies for FPGA-based Architectures
Keywords: Hardware security, Electromagnetic fault injection, EM pulse, FPGA security, Ring oscillators, Harmonic locking
Abstract: As Field-Programmable Gate Arrays (FPGAs) become increasingly integrated into security-critical systems, their susceptibility to physical attacks raises serious concerns. Among this class of attacks, Electromagnetic Fault Injection (EMFI) combines affordability, non-invasiveness, and fine spatial-temporal resolution, making it a powerful and attractive tool for adversaries seeking to induce an erroneous behavior into the circuit to extract sensitive data. As a result, it is essential to assess the circuit’s vulnerability to EMFI and understand the system‘s behavior under fault conditions early in the design process, thereby enabling the development of effective and efficient countermeasures. Developing such countermeasures requires precise and realistic fault models that accurately describe EMFI-induced mechanisms. While several fault models have been proposed in the literature, they may fall short when applied to architectures where combinational logic plays a major role, such as those based on Ring Oscillators (ROs). Due to their simplicity, scalability, and ability to exploit process variability, these components are commonly used as building blocks for several detection mechanisms and security primitives, including Physical Unclonable Functions (PUFs) that have emerged as effective solutions for enhanced secure IC authentication. Within this context, this thesis aims to investigate the sensitivity of such architectures to pulsed EMFI when implemented in modern FPGA-based platforms in order to help deepen our understanding of EMFI effects on FPGA logic and lay the groundwork for more secure, fault-resilient hardware architectures. Through several experimental campaigns, we unveil the underlying fault mechanism of harmonic locking, where the ring’s oscillation frequency can be locked into one of its stable odd harmonics under pulsed EMFI. Our findings show the occurrence of faults with variable characteristics depending on the different EM pulse settings, the RO placement and routing constraints, and the manufacturing properties of the target FPGA. Additionally, we examine the impact of environmental conditions (namely, supply voltage and temperature) and X-ray irradiation on the harmonic susceptibility of ROs under pulsed EMFI. Finally, we evaluate the practical impact of harmonic locking on a RO-based PUF architecture, validating our fault model and revealing how design and injection parameters influence EMFI effectiveness. These insights led to the development of practical design guidelines and mitigation strategies to harden FPGA-based architectures against pulsed EMFI.

Titre : Injection de Fautes par Impulsions Électromagnétiques: Evaluation de Sécurité et Stratégies de Contre-Mesures sur des Architectures à base de FPGA
Mots-clés : Sécurité matérielle, Injection de fautes électromagnétiques, Impulsion EM, Sécurité des circuits FPGA, Oscillateurs en anneau, Verrouillage harmonique
Résumé : Avec l’intégration croissante des FPGAs (Field-Programmable Gate Arrays) dans des systèmes sensibles à la sécurité, la question de leur robustesse face aux attaques physiques devient cruciale. Parmi les techniques les plus préoccupantes figure l’injection de fautes par impulsions électromagnétiques (EMFI), qui se distingue par sa facilité de mise en œuvre, son caractère non-invasif et sa grande précision spatio-temporelle. Elle permet à un attaquant de perturber délibérément le fonctionnement du circuit pour en extraire des données confidentielles. Il devient donc essentiel d’évaluer, dès les premières étapes de la conception, la vulnérabilité des circuits à ces attaques et de comprendre les comportements fautés afin de concevoir des contre-mesures efficaces. La conception de protections fiables contre l’EMFI repose sur des modèles de faute réalistes, capables de refléter fidèlement les mécanismes physiques induits. Cependant, les modèles de fautes EMFI existants dans l’état de l’art deviennent moins pertinents lorsqu’ils sont transposés à des structures dont le fonctionnement repose fortement sur la logique combinatoire, comme c’est le cas des oscillateurs en anneau (Ring Oscillators – ROs). Grâce à leur simplicité, leur capacité à exploiter les variations de fabrication et leur facilité d’intégration, les ROs sont fréquemment utilisés dans des primitives de sécurité matérielle, notamment dans les fonctions physiques non-clonables (PUFs), largement reconnues pour l’authentification matérielle sécurisée. Dans ce contexte, cette thèse explore la sensibilité de ces architectures à des attaques EMFI pulsées lorsqu’elles sont implémentées sur des plateformes FPGA modernes. L’objectif est de mieux comprendre l’impact de l’EMFI sur la logique d’un circuit FPGA et de poser les bases de conceptions plus robustes face aux fautes. À travers une série de campagnes expérimentales, nous mettons en évidence un mécanisme de faute récurrent, baptisé verrouillage harmonique, où la fréquence d’oscillation du RO se synchronise de façon stable sur l’un de ses harmoniques impairs suite à l’injection. Ce phénomène dépend fortement des paramètres d’injection, du placement et du routage des ROs, ainsi que des caractéristiques technologiques propres au FPGA ciblé. Nous étudions également l’influence des conditions environnementales (tension d’alimentation, température) et des irradiations en rayons X sur la susceptibilité harmonique des ROs face à l’EMFI. Enfin, l’impact de ce phénomène est analysé sur une architecture PUF à base de ROs, permettant de valider notre modèle de faute et de mieux cerner l’influence des paramètres de conception et d’attaque sur l’efficacité de l’EMFI. Ces résultats ont conduit à la proposition de lignes directrices et de stratégies concrètes pour renforcer la résilience des architectures FPGA face aux attaques par EMFI pulsée.