Устройство системы иммобилайзера

- биометрия. В теории, чтобы подтвердить личность водителя можно использовать его биологические признаки: радужная оболочка глаза, отпечатки пальцев, лицо целиком или голос; сравнивая их с информационными образцами. Но технически, существуют большие сложности по сравнению с использующим ключ иммобилайзером. А в  автомобильном приложении такие системы просто неприемлемы. При использовании таких систем стала бы невозможна аренда автомобиля или его использование в любых других случаях другим человеком.

- обладание. Этот метод более привычен и в будущем будет широко распространен. На практике – это обладание механическим ключом, который содержит электронную метку – транспондер. При этом достигается высокая степень защиты, так как при запуске двигателя механический ключ и транспондер с паролем должны объединиться в пару.

Описанные выше, криптографические средства основываются на односторонней, то есть пассивной (статической) процедуре аутентификации. А это значит, что охранная система автомобиля проверяет подлинность ключа, но электроника ключа не проверяет подлинность устройства, вступающего с ним в контакт. Повысить степень защиты можно с помощью процедуры обоюдной аутентификации, при которой ключ может проверить подлинность устройства, в котором он используется.

Этот уровень можно достигнуть с помощью простого симметричного алгоритма – “протокол вопроса-ответа” (в оригинале – “запроса-отклика”), где под запросом и откликом подразумевают переменные части входящих и исходящих сообщений транспондера. Причем части эти рассматриваются только информативно, то есть без меняющихся служебных дополнений (как, например, контрольная сумма и флаг ее ошибки). Послав вопрос (запрос) и проверив ответ (отклик), охранная система автомобиля может проверить подлинность ключа. Если одинаковый секрет обработки запроса имеется и там, и там, то правильный ответ будет получен. Данный алгоритм “запроса-отклика” имеет свои преимущества. При обычном использовании, указанный секрет не передается в эфир, а запрос и отклик меняются от цикла к циклу.

3.2             Охранные системы с использованием RFID

Существует несколько типов охранных систем, которые используют RFID-транспондеры.

Самые распространенные системы “Fixed code”, с фиксированным паролем. При регистрации ключей зажигания ЕСU “заучивает” пароли, которые записаны в каждый из транспондеров ключей данного двигателя. Имеются в виду ID транспондеров, так как процесс аутентификации водителя в системе с фиксированным паролем подразумевает идентификацию экземпляра транспондера. В более продвинутом варианте ЕСU дополнительно вычисляет контрольные суммы, которые соответствуют регистрируемым меткам ключей. Когда водитель вставляет ключ в замок зажигания, ID транспондера считывается и сравнивается с идентификаторами в памяти ЕСU.

Степень защиты зависит от типа используемого транспондера. Есть транспондеры с однократной записью, выпускающиеся не записанными. Программировать их должен сам пользователь. Но ID транспондера можно узнать с помощью доступных средств чтения-записи, когда он находится вне автомобиля, а затем перенести его в другой транспондер. Фиксированный пароль, таким образом, можно скопировать в пустой дубликат, который не отличишь от оригинала (транспондеры в ранних иммобилайзерах VAG).

  Системы “Read Only” не позволяют копирование, так как программируются паролями в заводских условиях при использовании уникального ID. Имеются ввиду не любые транспондеры, а только производства Texas Instruments, созданные приблизительно через 10 лет от появления первых транспондеров.

Однако, остается возможность воспроизвести сигнал данных на радиочастоте. А построение специального устройства для такой цели требует хорошего знания радио и огромных усилий.

  В 2004 году на рынке появляются специальные метки “Keyline”, с помощью которых, путем такой эмуляции, можно дублировать транспондеры производства Texas Instruments. Это устройство помещалось вместе с источником питания в головку ключа обычных размеров. Источник питания данного устройства не предусматривал замену, то есть являлся для него практически вечным.

Системы “Rolling code” с роллинг-паролем, действующие также как системы “Fixed code”, с разницей лишь в том, что пароль в ключе действует временно, в течение одного цикла включения зажигания. Здесь используют уже перезаписываемый транспондер, типа “Read/Write”, и его память периодически программирует ЕСU иммобилайзера. Пароль меняется, но относительно криптографии - это процедура статической аутентификации, то есть одностороннего установления подлинности.

Как гарантия надежности системы, предусматривается возможность возобновить синхронизацию, если  возникает ошибка, или прерывается процесс перезаписи памяти транспондера. Такие сбои синхронизации и являются наиболее слабым местом данной системы.

Защищенные паролем транспондеры. Простую обоюдную аутентификацию можно осуществить с помощью транспондера, защищенного паролем. Транспондер не даст доступ к секретным данным в его памяти, пока придет пароль, удостоверяющий работающее с ключом устройство. На степень защиты, в этом случае, сильно влияет длина этого пароля.

Обычно, пароль передается ЕСU в эфир открытым текстом. Его можно узнать или подобрать, если транспондер для таких испытаний доступен. Время подбора пароля зависит от его  длины, и может варьироваться от нескольких лет до нескольких минут.

Совокупное время реакции является ограничением системы, которое может не подходить для практического применения.

Благодаря использованию закрытых перезаписываемых транспондеров, составные системы “Rolling code”, защищенные паролем обеспечивают довольно таки высокую степень защиты. Слабыми местами является ее синхронизация и сбои (проблемы Mercedes-Benz ML).

3.3             Крипто-транспондеры

Крипто-транспондеры - второе поколение транспондеров, которое используют в иммобилайзерах. Разработанное фирмой Texas Instruments, новое поколение транспондеров основывается на полудуплексной RFID-технологии TIRIS, и соответствует всем стандартным радиоинтерфейсам продукции марки TIRIS.

DST (“Digital Signature Transponder” - протокол цифровой подписи) - это устройство шифрования, которое имеет функциональность алгоритма “запроса-отклика” (“сhallenge-response”).

При регистрации ключей зажигания, происходит обмен секретным ключом шифрования (“Encryption Key”) между транспондером и ЕСU иммобилайзера (“Vehicle SЕСUrity System”). Этот ключ нельзя считывать извне, доступным является отлько отклик транспондера на запрос, который посылает приемо-передатчик иммобилайзера (“transceiver”).

  Типовое применение -  ЕСU иммобилайзера, используя широтно-импульсную модуляцию, формирует и отправляет в транспондер случайное (“random”) слово-запрос длиной 40 бит. Транспондер фиксирует это слово путем сдвига в регистре запроса. Следом за этим специальная логическая схема шифрования формирует подпись - отклик длиной 24 бита, используя полученную энергию накачки. Для упрощения изложения, отклик отождествляется с цифровой подписью (на самом деле длиннее 24 бит), блок фиксированных данных и прочие дополнения в данном сообщении игнорируется.

  Отклик (R) является функцией ключа шифрования (К), запроса (RAND) и алгоритма шифрования (F):

R = f (F,RАND,К).

Отклик с помощью частотной модуляции возвращается в приемо-передатчик.

ЕСU иммобилайзера вычисляет ожидаемый отклик по тому же алгоритму, что и сам ключ шифрования; сравнивает результат расчета с приходящим от транспондера откликом. Расчет производится одновременно при установлении связи между приемником и транспондером, то есть после получения отклика от транспондера. Если расчетный и принятый отклики являются одинаковыми - далее информация направляется в ЕСU двигателя. Для приложений, которые требуют быстрой реакции, следующий запрос - отклик может сформироваться заранее при очередной разблокировке; и отклик будет храниться в регистре до следующего цикла.

Данная система имеет очевидные преимущества:

- отклик, зависящий от запроса, каждый раз меняется. Проверка подлинности при этом обоюдная, то есть активная, динамическая;

- после регистрации транспондера ключ шифрования в эфир больше не передается;

- ключ шифрования нельзя считывать извне;

- транспондер нельзя продублировать;

- можно задавать ключ шифрования и если нужно зафиксировать при изменении.

  Транспондер работает при очень низком энергопотреблении и является соединением логической схемы с механической микро-конструкцией. При накачке транспондера его IC микросхема потребляет менее 1 мкА тока. Что позволяет конденсатору (“capacitor”) быстро заряжаться на большом расстоянии.  Время зарядки - менее 50 мс. При шифровании потребление тока составляет менее 16 мкА. Хотя, типовой диапазон считывания можно сравнить со стандартной системой “Read Only” фиксированного кода.

Транспондер с протоколом цифровой подписи был разработан на основании типовых схемных блоков. При его производстве используется обычная сборочная техника, чтобы надежно совмещать с типовыми принципами построения приемо-передатчиков и применять существующие автоматизированные сборочные линии.

Конструктивные требования к устройству микросхемы транспондера были такими:

- низкое энергопотребление при шифровании длинных сообщений; 

- сведение габаритов к минимуму;

- электрически простая схема шифрования.

Приложив значительные усилия, достигли следующего:

- высокой степени криптографической защиты;

- быстрого переключения в цикле запрос-отклик;

- несложной вычислительной обработки данных алгоритмом шифрования;

- надежности приложений, благодаря встроенным в транспондер высокоэффективным схемам контроля.

Шифрование

Теоретически,  все алгоритмы шифрования можно вскрыть. Предположения об атаке на иммобилайзер следующие:

- угонщики не располагают временем нахождения в салоне автомобиля более 5-ти минут;

- ключ для анализа не доступен дольше, чем 10 дней;

- угонщики знакомы с техникой дешифрования.

Пример простейшего нападения – сканирование: атакующий передает случайные отклики на любой запрос иммобилайзера. Среднее время подбора tс составляет:

tс =R х 2 (rb - 1),

где R - время восстановления ЕСU иммобилайзера, через которое можно вводить следующий вариант отклика, а rb - длина отклика в битах. Приняв R = 200 мс, а rb = 24 бита, среднее время подбора получается - 19.4 дня (19 суток и 10 часов).

  Возможно “нападение со словарем”, когда ключ зажигания, в течение определенного времени, был доступен атакующему, и он имел возможность построить таблицу запросов-откликов. В автомобиле угонщик надеется получить тот запрос, который есть у него в таблице, чтобы завести двигатель, применив правильный отклик.

Как показывает статистика, даже при доступности ключа в течение 10 дней и заполнении таблицы со скоростью 4 отклика в секунду, вероятность успешной пятиминутной атаки при угоне составит только лишь 0.47%. Понятно, что данный метод для целей угона абсолютно неэффективен, с учетом того, что для каждого автомобиля или крипто-транспондера нужна  собственная таблица запросов-откликов.

Цель дешифрования (криптоанализа) - вскрытие алгоритма. В таком случае, нападающий имеет несколько пар запросов-откликов и пытается решить проблему определения ключа шифрования математически. Алгоритм цифровой подписи в транспондере реализован таким образом, чтобы сделать не применимым такой криптоаналитический метод. Регистры сдвига при этом затрудняют использование статистических связей для т.н. корреляционных атак. А линейная сложность выходных последовательностей не допускает решения задачи определения ключа шифрования как  задачи системы линейных уравнений.

3.4             Схемы контроля

В крипто-транспондере для устойчивой работы применяется несколько встроенных схем контроля.

Сначала проводиться ряд проверок (“Сheck”), затем транспондер выходит из режима приема входящего сообщения (“Write”) и выполняет команды программирования отклика (“Program”).

Очень важен контроль остановки приема, так как, если случайно заблокировать страницу памяти транспондера, то отклик не сформируется. В штатном режиме работы, текущий сеанс приема может прерываться сторожевым таймером. Это является стандартным решением защиты от помех в эфире.

Когда команды,  данные и адреса загружаются на стадии “Write”, к ним применяется  вычисление 16-битного контрольного кода (СRС) в соответствии стандартам ССIТТ – “Consultative Committee of International Telegraphy and Telephony”. СRС – “Cyclic Redundancy Check” означает контроль избыточным циклическим кодом; вычисляется сложнее, чем подсчет контрольной суммы, но в нашем случае CRC можно считать контрольной суммой. С помощью подсчета числа принятых бит контролируется правильность окончания сеанса приема. 

Также проверки предшествуют записи ЕЕPROM - ячеек памяти ответственных за включение напряжения программирования от внутреннего аккумулятора накачки (“Charge Pump”).

ЕЕPROM – “Electr(on)ically Erasable Programmable Read Only Memory”,  переводиться как - электронно-стираемая программируемая память только для чтения (амер. вариант). Программирование ЕЕPROM происходит с помощью стандартной системной шины микропроцессорного устройства. Часто ЕЕPROM приписывают определение попроще - энергонезависимая память с возможностью перезаписи. Записывая новую информацию в ячейки ЕЕPROM, старая стирается автоматически. Изменить данные можно в любой ячейке, не затронув остальные.