Диалоговые автосигнализации: современный подход к защите автомобиля

Pandora DXL 3300, Pandect IS-577 MS Диалог, Спутник

Все чаще и чаще в наш лексикон входит фраза интеллектуальный угон, которая отличает простой механический взлом автомобиля с целью кражи магнитолы, вещей, телефона или от продуманного спланированного акта угона авто. На сегодняшний день идет ярко выраженная война между интеллектами производителей диалоговых сигнализаций и "головами" взломщиков, которые изо дня в день придумывают новые способы завладеть чужим имуществом и не отстают от новинок в мире автозащиты. Не так давно мир узнал о системе двухсторонней связи в автосигнализациях с обратной связью. Это дало возможность разработчикам использовать новые алгоритмы кодирования, которые стали основываться на встречных запросах-ответах. Так называемые диалоговые автосигнализации основываются на принципах распознавания "свой-чужой". Принципы работы диалоговой сигнализации быстро обрели популярность, ввиду большого количества позитивных качеств, в том числе и скрытого радиообмена. Данный вид сигнализаций не только выделяется стойкостью диалогового кода, но и имеет другие сервисные возможности обмениваться информацией прямо в момент авторизации и после окончания этого процесса. Важной характеристикой двухстороннихсигнализаций с диалоговым кодом является отсутствие обязательной синхронизации счетчиков, в которой нуждались односторонние предшественники. Кстати, любители чужих авто часто использовали огрехи синхронизации счетчика для подмены кода. Что интересно, "дыры системы" односторонних автосигнализаций были настолько идентичны, что взломщики не прилагали особого труда, чтобы избавиться от систем анти-угона, независимо от модели сигнализации. Еще в 2006 году многие производители авто стали присматриваться к диалоговым системам и штатно устанавливать их на новые модели. Хорошо это или плохо? Существует несколько мнений, большинство из которых - негативные. Они заключаются в том, что, как не крути, даже самая высококлассная сигнализация имеет некий универсальный ключ, сервисный канал в данном случае, который создается с целью избежание неприятностей при утрате владельцем авто возможности авторизоваться. Не мне Вам рассказывать, как часто наши сограждане любят все ломать, терять, разбивать и прочее. Несмотря на то, что менеджер любого салона расскажет, что все эти тайные системы "открытия" при форс-мажоре хранятся за семью замками и никто не получит к ним доступ даже во время Армагеддона, все мы прекрасно понимаем в какой стране живем и во что эти секретные ключи, коды могут вылиться в итоге. Подобные возможности резко снижают рейтинг сигнализаций такого рода в целом. Еще одной проблемой этих сигнализаций стала банальная ложь некоторых производителей и продавцов, которые "обзывают" все подряд системами с диалоговыми принципами авторизации. Естественно, владелец авто, представляющий дружественный нам BMW X5 клуб довольно быстро убедится в подвохе и тень падет не только на продавца системы, а и на всю технологию в целом и неважно, что от этого пострадает честный производитель, как правило наши друзья из BMW клубапредпочитают комплексную защиту от угона. Если не принимать во внимание невежество и откровенную фальшь некоторых горе-разработчиков, то системы и коды, установленные и построенные настоящими специалистами, на диалоговых принципах авторизации, практически не подвергаются взлому при правильном использовании. Правила и алгоритмы создания надежных систем автосигнализации не такие уж и сложные и выполнить их не составляет труда. Приведем примеры. Во-первых, длина кода, используемого для диалоговой авторизации должна превышать 6-8 байт, ключ шифровки должен быть индивидуальным для каждого изделия, а его длина должна превышать 6 байт. Во-вторых, необходимо использовать алгоритм случайного числа при генерации нового шифра. Важно сократить время от загадывания этого числа до его отгадывания. Это снизит риск "подборки" шифра специальным оборудованием. Очень важно алгоритмически заблокировать любые возможности "переборки" шифров во время поиска валидных посылок. Несомненно, необходимо разрабатывать системы, которые помогут не обращать внимания на помехи в зонах и городах, где этих самых помех хватает. В общем, производителям есть над чем поработать в сфере охраны авто, а владельцам средств передвижения стоит не забывать, что любая охранная система даже самых простых характеристик повысит шансы сохранить автомобиль в вашей физической собственности. Как известно, тонировка стекол автомобиля и установка новых сабвуферов может подождать. Главное вовремя подумать о сигнализации и системах анти-угона.
Непрерывная борьба «интеллектуального угона» и разработчиков автомобильных сигнализаций порождает все новые и новые принципы защиты командного канала.

MS Сталкер LAN3

Эта борьба вылилась, по крайней мере в России, в научное противостояние теорий шифрования и алгоритмов взлома различных типов кодирования. Причем мозги которые работают над взломом, похоже, имеют больше морально-материальных стимулов «победить» свежее-выдуманые кодировки. В чем дело? Может в природной склонности (или жажде) нечто запретное вскрыть, взломать, сломать, забрать чужое русских мозгов плюс конечно ощутимое вознаграждение, которое достается «Кулибиным от электронного взлома» от заказчиков преступного вида…

Есть, конечно, способы угона не связанные с «электронным взломом» путем варварского взлома дверей, капота, элементов обшивки салона и торпеды. Есть способы угнать автомобиль путем погрузки на эвакуатор или буксировкой. Но насколько эффектнее, безопаснее и быстрее справляется с задачей препарирования автомобиля к угону «электронный взлом». И есть основания полагать, что эта угроза не только теоретическая для абсолютного большинства штатных противоугонных систем автомобилей и автомобильных сигнализаций и иммобилайзеров, которые массово продаются в России. Что уж говорить про китайские творения, заполонившие весь мир.

Двухсторонняя связь в автосигнализациях открыла возможности пользоваться новыми алгоритмами кодирования основанными на диалоговых встречных запросах-ответах. Особый вес для оценки этих принципов обывателем, придают знакомые словосочетания типа «система распознавания «свой-чужой»», - сразу появляется стойкий запах гордости нации – военного самолетостроения .

Названий у подобных систем авторизации на диалоговых принципах много:
- Система распознавания «свой-чужой»
- Динамический диалог
- Двойной-тройной-четверной динамический диалог
- Идентификационный диалог
- Диалоговая авторизация
- Диалоговое кодирование
И наверняка, есть множество других названий, не меняющих сути самого принципа кодирования.

Диалоговые принципы очень быстро набрали популярность ввиду явного преимуществ, скрытых при диалоговых сеансах радиообмена. Кроме стойкости самого кода, имеются и незаменимые сервисные возможности обменяться другой не мало полезной информацией прямо во время сеанса авторизации или следом за ним. Другим неоспоримым преимуществом диалоговых кодов является отсутствие необходимости синхронизации счетчиков, которая была необходима в односторонних динамических кодах. Эту синхронизацию или допуски опережения счетчика и использовали, зачастую злоумышленники для организации «подмены» кода. Метод этот очень эффективен, применим практически к любым односторонним динамическим кодам, и имеет всего несколько, довольно убогих методов «залатать» эту «дырку», впрочем, не гарантирующих существенного увеличения стойкости системы к подобному взлому.

Многие автопроизводители, в своих самых дорогих и совершенных автомобилях перешли на диалоговые коды для штатных сигнализаций еще в прошлом (2006) году.
Но требования сервиса не позволяют говорить о достаточности подобных решений, поскольку у каждой штатной системы обязан существовать, и существует «сервисный канал» для обхода пусть даже сверхстойкого кода. И сколько бы Вас не заверял менеджер автосалона, что подобная информация – сервисные ключи и брелоки, хранятся в суперсейфе директора станции технического обслуживания, думаю, иллюзий не возникнет, кому в первую очередь эти ключи попадут в руки. Мы в России живем, со всеми национальными особенностями… а дальше эта «секретная» информация тиражируется мгновенно, и чем дороже и вожделеннее автомобиль для угонщиков, тем выше спрос на подобные «услуги».
Так что владелец автомобиля снова остается перед выбором «нештатной» системы охраны, вне зависимости от того насколько сложен и «наворочен» код штатной сигнализации или на сколько автопроизводитель нахваливает неприступность своих кодировок, - сервисный канал там быть обязан! Зачем автопроизводителю проблемы с сервисом своего автомобиля если, скажем, покупатель его автомобиля нечаянно уничтожил брелок. Вопрос в бескомпромиссности подхода к кодировкам охранной системы. А это не в интересах автопоизводителя, поскольку страховые компании обычно этот риск покрывают и это не сказывается на объеме продаж автомобилей. А головная боль при угоне, даже если страховка сработает, - неделя нервов и беготни, в лучшем случае, а реально, в России и больше, и бесплатной замены на новый автомобиль ждать не приходится… это кроме горького привкуса беспомощности правоохранительных органов, сотрудники которых, вмотают свой комок Ваших нервов унизительностью процедуры оформления факта угона…

Диалоговые принципы авторизации, - модненькое устойчивое выражение, убеждающее в непогрешимости кодировки, к сожалению, быстро превратилось в орудие конкурентной борьбы, среди вендоров и дистрибъютеров автомобильных охранных систем. Многие из них, не понимая (или намеренно подменяя понятия), стали употреблять это выражение по отношению к системам, которые и намека на диалоговый код не имеют.

Диалог в нашем понимании, это полное раскрытие возможностей, предоставляемых двухсторонней связью с целью максимально затруднить или сделать теоретически невозможным любой электронный взлом, даже с использованием служебной информации производителя, касающейся принципов шифрования.
Скажете, - чушь? А вот и нет, это позиция бескомпромиссности в создании алгоритма криптования, и не мы первые ее изобрели.

Разве инженер из швейцарской компании «Koba» (известнейшего производителя замков для сейфов) встретив «свой замок» может его открыть? Он всего лишь понимает, как он устроен и если ему не известен конкретный номер ключа, он мало чем поможет желающим замок этот открыть.
В случае с диалоговым кодом, имея с обоих сторон, ведущих диалог, довольно мощные контроллеры с значительным объемом энергонезависимой памяти, задачу можно еще сильнее усложнить.
Вообще, спор о надежности и секретности механических замков и электронных кодов решен однозначно и навечно в сторону электроники! В ближайшее время в обиход войдут системы идентификации для дверей квартир, офисов, гаражей… регистрации и идентификации пассажиров и для миграционного контроля вместо гремящих связок ключей и вороха удостоверяющих документов.

Если исключить невежество и профанацию некоторых «разработчиков», то коды, построенные добросовестными разработчиками на диалоговых принципах авторизации, взломать невозможно. Если, конечно, алгоритмически не заложена «закладка» позволяющая обойти алгоритм, как например, сервисный канал в штатных системах охраны для исключения проблем с сервисом автомобиля. Если исключить специфические выражения и термины для простоты понимания широкими слоями интересующихся, то все не так уж сложно. Т.е. нужно выполнить всего несколько, на наш взгляд необходимых, условий при создании алгоритма:

1. длину зашифрованной части кодовой посылки используемой при диалоговой авторизации сделать более 3байт (исключение случайного заполнения регистров помехами при неустойчивом приеме или большом уровне шумов в эфире)

2. ключ шифрования для каждого изделия сделать индивидуальным, которому обучается изделие в процессе «прописывания» брелоков в базу

3. длина ключа шифрования должна быть больше 6байт (исключение подбора ключа перебором зная элементы алгоритма шифрования*) лучше 8 или 10байт. Например у иммобилайзеров Pandect IS и сигнализаций Pandora DeLuxe длина ключа 80бит- 10байт.

4. обязательное использование алгоритмов генерации случайного числа при формировании «загадки» и при генерации нового ключа шифрования. Использование в качестве загадки «выборки из матрицы» оставит реальную возможность взлома кода при известном алгоритме шифрования (утечка через инженеров компании-разработчика)

5. использование алгоритмов генерации случайного числа, которые подразумевают как можно большую степень реальной случайности с возможно более линейным законом распределения случайного числа в заданном диапазоне. От степени реальной случайности этих чисел в значительной мере зависит стойкость алгоритма к взлому целиком.

6. насколько возможно сократить время от «загадывания» до передачи «отгадки», сократив тем время на попытку возможного перебора набора ключей шифрования и поиска возможного совпадения «отгадки» (понятно, что те несколько миллисекунд, за время которых происходит разгадывание контроллером брелока с использованием известного ключа шифрования загадки принятой от базового блока, современные компьютеры с частотой работы вычислительного ядра несколько гигагерц успеют рассчитать несколько сотен комбинаций и даже если несколько совпадений ответа произойдет, это будет всего лишь одна миллиардная доля, того что нужно успеть сделать, чтобы вероятность нахождения истинного ключа была бы угрозой взлома алгоритму шифрования) тем не менее, штатное время разгадывания необходимо сокращать наращивая тактовую частоту микроконтроллера, рационально используя возможности его архитектуры.

7. необходимо алгоритмически заблокировать все возможности «перебора» кодов при поиске валидных посылок. Например, если принято десять подряд кодов с валидным статическим идентификатором но разной зашифрованной частью, необходимо включить паузу в приеме на несколько секунд, для начала. Если включившись после паузы перебор продолжается, стоит приемнику «отдохнуть» может на минуту… Ранние автосигнализации со статическими кодами из Италии и Америки имели гордые надписи «Антисканер» «Антиграббер» имея ввиду подобный принцип борьбы с подбором кода. Хотя диалоговые коды работают по другому принципу, но работа ведется через эфир и приходится алгоритмически отфильтровывать испорченные помехами посылки, принимая несколко посылок подряд в поиске валидной, а при передаче несколько раз повторять посылки. Это теоретически может послужить возможностью хоть небольшого но перебора кода, уменьшая стойкость системы.

Все это достижимо с использованием современных интегральных решений. И высокие скорости передачи и высокая скорость вычислений контроллерами и большой объем хранимой информации в энергонезависимой памяти, - все это доступно по вполне удовлетворительным ценам. Важен реально бескомпромиссный подход к созданию системы в целом и алгоритма шифрования в частности.

Минус на сегодня у диалоговых систем один, - за счет многократно большей длины встречных посылок, проходящих в процессе идентификационного диалога он более уязвим к помехам в эфире. Ведь порча всего одного бита информации приводит к отказу в авторизации. Конечно, система сразу же попытается завязать диалог еще раз и еще раз… Но будет происходить ощутимая задержка, которая не добавит эргономичности в процессе пользования системой особенно в городах с высоким уровнем помех в используемом диапазоне.

Пути решения этой проблемы, два - уменьшать длину и сложность посылок или поднимать помехозащищенность радиотракта.
Первый путь не приемлем для нашей компании, а второй путь, смело можем сегодня сказать, нами реализован в продукте Pandora DeLuxe 2000.
Эта система совмещает, на сегодня, самый сложный и совершенный диалоговый код и впервые примененный в автосигнализациях многоканальный радиотракт обладающий рекордной помехозащищенностью.

Мы продолжаем работать над новыми еще более совершенными продуктами, заботясь о репутации своих продуктов.
В разрабатываемых нами новых продуктах принципы диалоговой авторизации расширяются, усложняются, повышая уровень избыточной стойкости используя открывающиеся возможности изменяющейся элементной базы. Каждые пол-года появляются новые еще более мощные контроллеры, трансиверы, которые позволяют повысить вычислительную мощность при шифровании-дешифрировании, скорость передачи, уменьшить паузы ожидания, увеличить вероятность приема неискаженного сигнала, при этом снизив потребляемую мощность и т.д. Работа с самыми новыми интегральными решениями, уже давно, - стиль нашей компании и залог успеха наших продуктов.

Статья с сайта Alarm Trade

Дата: Четверг, 29 Января 2009