MS600 взлом или нет?
 

(не моё! взято с другого форума)

Теоретическая уязвимость сигнализации MS-600. Как известно, система имеет радиоканал с так называемым "диалоговым" кодированием так-же известным как "свой-чужой". Имитостойкость такого опознавания косвенно подтверждается тем, что на базе такой технологии построена система государственного опознавания самолетов. Как работает диалоговая идентификация. При подаче команды брелок системы посылает сообщение "СЕРИЙНЫЙ_НОМЕР"+"КОМАНДА". Если в центральном блоке зарегистрирован этот брелок, то центральный блок посылает брелку некое случайное число "РЭНД". Брелок, приняв "РЭНД" шифрует его односторонним алгоритмом на своем персональном ключе шифрования "КЕЙ".Полученное число "ШИФР" брелок пересылает центральному блоку. Центральный блок, получив "ШИФР", делает точно такую-же операцию, шифруя "РЭНД" на ключе брелка "КЕЙ" и сравнивает результаты. Если "ШИФР" совпал с вычисленым, то команда принимается. Таким образом, криптостойкость обеспечивается здесь: односторонним алгоритмом шифрования, достаточной длиной "РЭНД"и "КЕЙ" и уникальными ключами шифрования для каждого брелка. Получается, что вскрыв защиту процессоров брелка и системы, мы найдем только ключи шифрования конкретных брелков. Облом-с. А вот вроде и нет В погоне за юзабилити и потакая вкусам тупорылых лохов производители допустили просчет. Они оставили возможность юзерам и ламерам (пользователям и установщикам) прописывать брелки взамен прое.. в смысле утеряных. Давайте разбиратся, что брелок должен сообщить системе при прописке. Серийный номер и ... ключ шифрования! А как иначе? Система должна уметь проводить идентичные вычисления, что и брелок. Конечно, ключ шифрования перед передачей тоже можно зашифровать, но делать это придется при помощи ключа изначально лежащего во всех брелках и всех системах. И еще одно замечание: посылка с новым ключем шифрования должна как-то отличатся от обычного рабочего запроса с командой. Представим такую ситуацию: мы сняли защиту с процессоров брелка и системы, дизасемблировали прошивки и восстановили все алгоритмы шифрований. Нам нужен ключ. Мы собираем некое устройство с автономным питанием, поразительно похожее на граббер на подмене кода и крепим его, ну допустим к днищу автомобиля. Предварительно в наше устройство программируется "СЕРИЙНЫЙ_НОМЕР" интересующего брелка. Теперь наше устройство должно блокировать все команды брелка с совпадающим "СЕРИЙНЫМ_НОМЕРОМ" до того момента, как с брелка не пойдет команда "НОВЫЙ_КЛЮЧ_ШИФРОВАНИЯ". Эта команда запоминается и устройство выключается. Как выглядит работа этого девайса для счастливого владельца дорогущего авто с суперсигой MS-600? Как неисправность брелка или потеря кода. Что в данном случае сделает владелец? Снимет сигу с охраны вводом пин-кода и поедет в сервис, где установщик проверит питание системы, перезагрузит ее снятием питания, а потом - ПРОПИШЕТ БРЕЛОК ЗАНОВО. И все заработает! Патамучта ключ шифрования осел в нашем девайсе. Теперь мы можем проводить все те-же операции, что и родной брелок. ВНИМАНИЕ! Эти рассуждения чисто теоретические. Основаны на открытой информации: ответы представителей MS на форумах и инструкции по установке MS-600. Убедительно прошу вас проанализировать материал и сказать, где я не прав.

А похоже прав :)

А почему центральный блок должен строиться под брелок, а не новый брелок под центральный блок?

Не прав в том, что посылка обучения должна как-то отличаться от остальных посылок. И брелок и система при обучении "знают", что надо обучиться (режим обучения задается некими действиями). Поэтому в том-же формате посылок достаточно поменять передаваемые данные или слегка поменять алгоритм криптования или ключи.

не думаю, что предложенный алгоритм реален. ключ шифрования с брелока, наверняка, можно снять только в режиме программирования в базу, а при этом, наверняка диалог из которого надо еще уметь выцепить искомое, наверняка тоже закодировано. (если это у питерцев не так, значит пусть идут тренироваться выдумывать диалоговые сигналки)
но, в любом случае, способы обмануть сигнализацию с диалоговым кодом на несколько порядков сложнее, чем односторонее кодирование или псевдо-диалог от StarLine B9.

а вот с Pandora DeLuxe и такой номер 100% не пройдет. у нас ключ шифрования случайный, его генерит и раздает брелокам база при каждой процедуре программирования брелоков. при том что длина ключа у нас вдвое больше (80бит) и зашифрованная часть в посылке вдвое длиннее (56бит)...

Он имел ввиду, что прошивки систем полностью вскрыты и все, что можно уметь тот блочек уже умеет не хуже сигналки...

Честно говоря не уверен, что ваша и сигналка или сигналка питерцев серьезно противостоят против такого взлома. Разве что "случайно так получилось"...

вскрытый процессор и хороший анализ алгоритма, не просто - но это не проблема для систем которые используют генерацию случайного ключа, а не пользуются алгоритмическими методами их формирования. И поверьте это мы делаем не случайно.
нашу систему можно скопировать, взломав контроллеры, но код взломать невозможно!

Указанным выше способом получить доступ к управлению MS-600 практически невозможно .
Это все,что я могу с полной ответственностью заявить, потому что фантазировать на эту тему можно очень долго и продолжительно:)

С уважением,
Алексей
MS

Нет ничего невозможного!!!

Ну да, два на два умножить можно и сэмь-восэм получить, зависит от "продаем или покупаем?".

ГЫ, для данного метода по барабану случайный ключь или еще какой

Причем здесь StarLine B9? Причем здесь "псевдо-диалог"? Вы вообще читали первое сообщение? В первом сообщении четко сформулирован метод атаки путем перехвата ключа шифрования при прописывании брелока (или при программировании брелока).

Далее, что касается Пандоры... Опять же, причем здесь длина ключа, которая у вас вдвое больше? И зашифрованная часть посылки у вас длиннее... Блин, вы вообще зачем здесь пишите? Чтобы лишний раз попиариться? Не надо и так уже мнение о Вас испорчено.

Итак, это была лирика. В целом при использовании симметричного шифрования и выполнения других условий, приведенных в первом посте атака реализуема, причем как на MS так и на Пандору. Как ее избежать? Способ есть :) Исключить возможность перехвата по радиоканалу. Например - вынуть сигнализацию из авто, и прописать брелок в месте где исключен перехват :)

Кстати, в системе опознавания "Пароль" (свой-чужой) секретность ключей является одной из составляющих правильной работы всей системы в целом. А ключи там меняются часто (если не ошибаюсь каждые сутки) и это во всей России :)

+1. Это и понятно, но вот незадача - схема может не работать для большинства пользователей диалога, поскольку почти все они первым делом перепрошьют брелки на месте :(.

А если машина на стоянке хранится (не важно платная или нет), то даже под днищем не надо крепить устройство, главное рядом с "местом" машины заранее положить зловредное устройство.

Прошу заметить:
1. Данная операция (прописывание брелка) не такая частая, даже можно сказать - редкая, можно предпринять некоторые меры безопасности, чтобы исключить перехват.
2. А вообще каждый выбирает и решает сам, что делать, а что не делать... Тем более, что данный способ атаки был рассмотрен лишь теоретически :)

мне кажется, что тупо надо сделать пропись брелока изнутри тачки через разъем, а не через канал. после ввода пина

Народ, а может это уже паранойя??? В каждом кусту сидит злоумышленник и ждет, когда же гость наконец будет программировать свой брелок? Смешно.

Я думаю что вопрос обсуждения криптостойкости мс или пандоры не актуален. Угонщики в любом случае пойдут по пути наименьшего сопротивления. и найдут машину в которой установлен не диалог. а обычная сига. зачем париться с диалогом когда есть выбор аналогичных авто. благо что таких куча, и плюс есть тачки которые имеют сигу установленную в салоне. а там вообще все просто. зачем что-то где-то оставлять. потом париться с этим, если можно просто с грабить. другую машину. ну а если это дорогое авто то проще выкинуть вадителя из тачки, что в принципе в большинстве случаев происходит. это чисто мое субъективное мнение.

Странное у вас понимание алгоритмов шифрования
 

В криптографии есть теория открытого шифрования. Базируется она на математических изысканиях некоторых великих умов, которые привели к появлению специального классического окрытого алгоритма шифрования. Открытым он называется потому, что сложность дешифровки заключается не в секретности алгоритма, а в длине используемых паролей и подлинной случайности процессов их генерации.
Математически доказано и показано как, что можно сгенерить пару чисел ОТКРЫТЫЙ_КЛЮЧ, ЗАКРЫТЫЙ_КЛЮЧ таких, что при помощи одного и того же открытого алгоритма АЛГОРИТМ с параметрами КЛЮЧ, ФРАЗА, будет выполняться
АЛГОРИТМ ( ОТКРЫТЫЙ_КЛЮЧ, ФРАЗА ) = ШИФРОВКА,
АЛГОРИТМ ( ЗАКРЫТЫЙ_КЛЮЧ, ШИФРОВКА ) = ФРАЗА.
Т.е. для того чтобы зашифровать сообщение, надо использовать открытый ключ, а для того, чтобы его расшифровать, закрытый.
При этом так же доказано, что если перехватить исходную фразу, ее шифровку, а так же обладая знанием открытого алгоритма и публичного ключа, для вычисления закрытого ключа потребуется не один год работы всех севременных компьютеров вместе взятых, при соблюдении длины ключа не менее 128 бит (примерно 16 букв алфавита).

Как на сонове такой теории построить стойкую систему авторизации владельца авто?
Создаем пару чисел ПУБЛИЧНЫЙ_КЛЮЧ и ЗАКРЫТЫЙ_КЛЮЧ.
В СИСТЕМу, к которой планируется получать авторизованный доступ (в данном случае это блок сигнализации, стоящий в авто), передается только ПУБЛИЧНЫЙ_КЛЮЧ. В КЛИЕНТа, (а это в нашем случае брелок сигнализации) передаются оба
ключа ПУБЛИЧНЫЙ_КЛЮЧ, ЗАКРЫТЫЙ_КЛЮЧ.
Как происходит авторизация:
1. КЛИЕНТ посылает запрос СИСТЕМе, сообщая ей свой ПУБЛИЧНЫЙ_КЛЮЧ.
2. СИСТЕМА проверяет, зарегистрирован ли у нее такой ПУБЛИЧНЫЙ_КЛЮЧ (т.е. идентифицирует брелок), и если есть, то вычисляет случайное число РАНД. Потом с помощью описанного в той же литературе алгоритма открытого шифрования шифрует с помощью ПУБЛИЧНого_КЛЮЧа число РАНД, получается число ЗАГАДКА и посылает КЛИЕНТу.
3. КЛИЕНТ с помощью своего ЗАКРЫТОГО_КЛЮЧА дешифрует ЗАГАДКУ, получает число РАЗГАДКА и посылает СИСТЕМе.
4. СИСТЕМА сравнивает число РАЗГАДКА с исходным числом РАНД. Если они равны, то это значит что клиенту известен ЗАКРЫТЫЙ_КЛЮЧ, с помощью которого получена РАЗГАДКА, а если не равны, то КЛИЕНТу неизвестен ЗАКРЫТЫЙ_КЛЮЧ. А значит условие РАЗГАДКА=РАНД необходимо и достаточно подверждает подлинность КЛИЕНТа, т.е. брелка владельца автомобиля.

Таким образом (разумеется, с различными модификациями и т.п.) работают все современные надежные системы проверки подлинности, автоизации и т.п., в частности, электронная подпись.

Кто-нибудь может сказать, есть ли сейчас на рынке системы автосигнализаций с таким принципом авторизации владельца или нет?

ну это и есть диалоговые системы вроде.
пандора и MS. другиз не слышал...

aaalex, в общем, Вы правы. Но Вы описали как работает система с _уже_ прописанными в неё брелками. А автор первого поста говорил о потенциальной узявимости алгоритма прописывания брелков.

Впрочем, этот автор упустил из виду то, что брелок при прописывании (если всё реализовано правильно) передает в базу не просто "ключ шифрования", а свой открытый ключ. И получает от базы её открытый ключ. Классическая уязвимость man-in-the-middle здесь не применима, т.к. отсутствует возможность порвать прямую связь между брелком и базой. А перехват двух открытых ключей ничего не даст, ведь для формирования валидной посылки злоумышленнику нужно знать секретные ключи, а они формируются случайным образом в момент привязки брелка к базе и в эфире не звучат. Вуаля! :)

Возможно, возникнет вопрос, почему нельзя разорвать прямую связь между брелком и базой и изобразить классический man-in-the-middle. Отвечу. Процедура прописки брелка лимитирована по времени как минимум со стороны брелка. Брелок и база работают на одной и той же частоте и находятся в момент прописки рядом друг с другом. Таким образом, заглушив канал связи, мы неминуемо получим "глухие" брелок и базу, которые будут не способны воспринимать наши подставные ответы. А если мы снимем помеху, чтобы "нагадить в уши" брелку и базе, то они тут же "снюхаются" напрямую. Или брелок индицирует невозможность прописаться, а это будет провалом нашей миссии по реализации man-in-the-middle.

Так что первый пост этой темы - не более, чем страшилка, основанная на слабом понимании принципов работы диалога и шифрования с открытым ключом.

А вот если MS или Пандора сделали алгоритм прописки брелка таким, как его его описал автор первого поста, тогда да, дырка есть. Но я очень сомневаюсь, что они сделали такую глупость, как фиксированный код шифрования, который звучит в эфире. :)

Spirit
основной момент, как мне показалось, данного топика - это как раз выяснить что именно сделали разработчики.

признания от них что всё выполнено согласно канонам PKI, увы, нету. я уверен, что еслибы была полностью реализована процедура с открытыми и закрытыми ключами то маркетинг бы прожужжал все уши.... о том какие они крутые. а что мы имеем по факту ? - собственную терминологию "диалоговый код", и тишину на наводящие вопросы от официалов.
мне кажется не всё у них так хорошо, как они малюют.

Best regards,
lamo_nepalskoe

Маркетинг что у тех, что у других - аховый. На уровне "мы самые лучшие в мире и не ипёт". Открытый ключ, закрытый ключ для них высшая математика.

Да, давно уже писали что от симметричной криптографии надо отказываться. И если регистрация брелков у Pandora 2000 основана не на нормальном протоколе генерации сеансового ключа типа Диффи-Хеллмана, а на посылке пусть и случайного (как выше написано) ключа но по открытому каналу связи, то тут на лицо полная уязвимость!!! А видимо поскольку нормальных микросхемок для брелочков позволяющих нормально работать с большими простыми числами при возведении в степень нету у наших производителей, то и посылают они полностью "случайный ключ" :) в открытую уповая на то, что а вдруг эту сигналку так ломать не захотят чтоб не парится... И не надо говорить что другие сигнализации еще хуже, что их будут ломать сперва. Другие сигнализации на других машинах стоят соответственно. И про то что процедура регистрации такая исключительная и редкая, как говорится если гора не идет к Магомету то Магомет идет к горе и можно вынудить провести процедуру регистрации в нужный момент.

если делали спецы которые хоть как тотпричастны были к разработке системы опознавания на системах "свой-чужой" то по инерции воткнули её и сюда

но какая бы не была сигнализация, что мешает увезти ТУПО и быстро эвакуатором, иммитируя владельца со сломанной сигналкой???

Сам владелец, который за 3 км увидел на пагере сработку сигналки и изо всех сил бежит посмотреть что там с ней :)

Всем привет!
Не смогу поделться своими знанями, так как не силен в сигалиацих.
И все же, что лучше для защиты машины: Pandora Dluxe 2000 или MS 600 ?
И можно ли использовать одну из этих сигналок совместно со штатной сигалкой ? Хочется все же иметь несклько защитных систем. Посветуйте, хотел купить MS 600, но Пандора 2000 вроде тоже хороша.