image

Digitale KeeLoq autosleutels compleet gekraakt

dinsdag 1 april 2008, 15:24 door Redactie, 10 reacties

Onderzoekers zijn erin geslaagd het KeeLoq encryptie algoritme, dat onder andere voor digitale autosleutels met RFID wordt gebruikt, compleet te kraken. Naast autodeuren wordt de techniek sinds de jaren negentig ook veel toegepast in garages en andere sleutelloze-systemen. Vorig jaar lukte het onderzoekers al om de sleutels van Honda, Ford, General Motors, Mercedes Benz en Jaguar te kraken. Het probleem zit hem in het gebruikte algoritme om de sleutels te beveiligen. Na een uur spelen met de afstandsbediening voor de digitale sleutel was niet alleen de unieke sleutel gekraakt, maar ook het proces dat voor het genereren van alle andere codes wordt gebruikt. Op deze manier is het voor de onderzoekers kinderspel om de unieke code van andere auto's te achterhalen.

Duitse onderzoekers hebben nu de eerste succesvolle DPA (Differential Power Analysis) aanval op verschillende KeeLoq producten gepresenteerd. De "side-channel" aanval kijkt naar het stroomverbruik als het KeeLoq apparaat wordt gebruikt. Via deze techniek kan een aanvaller niet alleen de geheime sleutel van de afstandsbediening binnen een uur kraken, maar ook de sleutel van de fabrikant. Dit kost echter een dag.

Is de sleutel van de fabrikant bekend, dan kan er een onbeperkt aantal geldige nieuwe sleutels voor nieuwe afstandsbedieningen worden gegenereerd. Ook onderzochten de onderzoekers een nieuwe manier om de ciphertexts, die tussen de afstandsbediening en het apparaat worden uitgewisseld, te monitoren. Aan de hand van de opgevangen informatie is het voldoende om de sleutel van de afstandsbediening te achterhalen. Voor aanvallers is het mogelijk om de sleutel van een afstandsbediening op afstand te kopiëren, om daarna toegang te krijgen tot een locatie of voorwerp dat volgens het "zeer veilige" KeeLoq algoritme beschermd zou zijn.

Reacties (10)
01-04-2008, 16:01 door e.r.
Lol, de zoveelse tegenvaller voor RFID...

Serieus: Is er nou echt niks echt veilig?
01-04-2008, 16:20 door Skizmo
Door e.r.
Lol, de zoveelse tegenvaller voor RFID...

Serieus: Is er nou echt niks echt veilig?
Ik denk dat veel developers niet weten hoe ze met veiligheid
om moeten gaan.
01-04-2008, 16:36 door Anoniem
Door e.r.
Lol, de zoveelse tegenvaller voor RFID...

Serieus: Is er nou echt niks echt veilig?

Voor mij lijkt je opmerking erg op:
"
Ooh nee, zijn er nu weer letters uit een krant gebruikt om
een drijgbrief mee te maken?
Is er nou niks goeds aan kranten?
"

De onveiligheid zit hem helemaal niet in het feit of er
draadloos gecommuniceerd wordt of niet.

Het komt voort uit het feit dat men een heel beperkte
rekencapaciteit tot het maximum wil benutten om zo toch een
enigsinds veilige communicatie tot stand te brengen.

Nu worden er tijdens de implementatie soms dodelijke
shortcuts genomen die na erg lang zoeken met professionele
middelen pas te voorschijn komen.

Tja, het enige jammere is dan dat de producent het niet zag
aankomen en al niet genoeg in R&D gestoken heeft om hier
adequaat op te kunnen antwoorden.

Just my 2 cts.

Tom
01-04-2008, 16:47 door Anoniem
Advertentieteksten maar wijzigen in
'afsluitbaar met sleutel ... maar helaas ook uitgerust met centrale
vergrendeling met afstandsbediening'? ;-)
01-04-2008, 18:55 door Anoniem
Het probleem is dat tegenwoordig iedereen zo ongeveer alles
op dezelfde manier doet. Daardoor worden dit soort aanvallen
interessant. Als ze nu allemaal een eigen systeempje zouden
hebben, wordt het veel meer gedoe met veel minder resultaat.
Koop dus een oninteressante auto met een weinig gebruikt
sleutelsysteem.
01-04-2008, 22:19 door Anoniem
ze kunnen een systeem maken die telkens can code verwiselt,
zo is het onmogelijk (of toch moeilijker) om de code telkens
te kraken.
02-04-2008, 07:25 door fd0
Door Skizmo
Ik denk dat veel developers niet weten hoe ze met veiligheid
om moeten gaan.

Dat komt met name doordat de meeste mensen security achteraf
als sausje erover willen gieten, in plaats van aan het begin
bij het design willen integreren....

Dit was 10 jaar geleden al en zie ik nog steeds
02-04-2008, 07:52 door Nomen Nescio
Dus alle auto's met remote deurvergrendeling staan nou gewoon open. Je
kunt je deuren net zo goed niet afsluiten. En waarom is dit allemaal? Omdat
we het zo lastig vinden om even een sleutel in een slot te steken? Zielig, heel
zielig. Doet me denken aan die aanraaktoetsten op tv vroeger. Wat was nou
eigenlijk het verschil? Alleen even indrukken. Tjonge, wat voorkwam dat een
spierarbeid zeg!

Dat vind ik nou pas echt verspilling van materiaal en techniek. Misschien
volgende keer maar terug naar het ouderwetse slot. Kun je wat minder
sporten en toch voldoende beweging krijgen.
02-04-2008, 09:49 door nickRic
En het fysieke slot is wel veilig, waterdicht en niet te
openen zonder orginele sleutel en omgebogen stomerijhanger
bestendig!?

- just a thought-
07-04-2008, 17:03 door Anoniem
Het is niet de kunst om een bestaande techniek te kraken. Het is de kunst om
ondanks het hebben van die kennis, met je handen van de spullen van een
ander af te blijven. Het kraken van beveiligingssystemen - of deze nu
mechanisch of electronisch zijn - kan bijdragen in een studie tot het
verbeteren van de beveiligingen. Met de resultaten mag door de fabrikant
positief worden omgegaan, zeker als het kraken tot doel heeft om deze
fabrikant op de zwakte van zijn systeem te wijzen. Door het publiekelijk
uitdragen van zwakheden in de beveiligingen mag je geen voordeel worden
verwachten. Dus kraak lekker door, maar gebruik de resultaten voor
verbetering. Ruud vdV
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.