Об иммобилайзерах последнего поколения.

1. Аннотация.

Необходимость усиления охраны автомобиля (а/м) росла постоянно, в том числе и после появления иммобилайзеров. Технология радиочастотной идентификации (RFID) ныне используется, благодаря ее уникальным особенностям, во множестве противоугонных систем. При низкой стоимости RFID-транспондеры способны обеспечить высокую степень защиты от угона.

Данная статья описывает принципы построения первого и второго поколения иммобилайзеров. В ней сравниваются различные степени защиты, и дается обзор технологии последнего поколения, называемой технологией крипто-транспондеров.

2. Введение.

К 1993 году повсеместное увеличение числа угонов а/м стало неприемлемым для страховых компаний. Сначала в Германии под давлением этих компаний были оперативно внедрены новые виды охранных систем. В других странах различные силы, включая госорганизации уровня министерств, также начали уделять повышенное внимание защищенности а/м от угона.

В течение короткого времени автоиндустрия была насыщена различными системами, предотвращающими проникновение в салон и/или запуск двигателя. При этом способы реализации в разных странах заметно отличались, ориентируясь на предпочтения потребителей. Например, в США и Франции предпочтение было отдано дистанционным системам доступа без использования ключа, тогда как на рынке Германии получили распространение упрощенные системы доступа. Затем, благодаря уникальным свойствам технологии RFID, уже нашедшим применение в промышленных приложениях, большинство производителей а/м решило выбрать малогабаритные, не требующие автономного питания транспондеры, применение которых обещало высокую степень защиты при низкой стоимости.

С начала 1995 года почти все модели а/м европейского рынка были оборудованы штатными электронными иммобилайзерами. Первый же после этого статистический анализ, сделанный страховыми компаниями Германии [1], подтвердил огромный успех этого применения. Число угонов а/м с электронным иммобилайзером составило около одной десятой числа угонов а/м без иммобилайзера.

Однако преступные сообщества имели намерение и ресурсы развить высокотехнологичное оборудование для преодоления и этой системы. Чтобы быть на один шаг впереди них, необходимо непрерывное усложнение охраны. Эта статья описывает различные степени защиты, достигаемые при использовании иммобилайзером ключа зажигания, и представляет поколение крипто-транспондеров -- новое, которое дает наивысший уровень защиты, достигаемый технологией RFID.

3. Обзор систем, использующихся в иммобилайзерах.

Иммобилайзер, использующий ключ зажигания, состоит из четырех основных компонентов. Ядром системы является транспондер, устройство без источника питания, которое может быть различного исполнения и с различной функциональностью. Для приведения в рабочее состояние транспондер должен быть запитан от внешнего источника. В качестве такового служит приемо-передатчик. Антенна-катушка излучает магнитное поле относительно высокой частоты, и энергия поля включает транспондер. Он передает пакет данных в форме модулированного радиосигнала. Этот сигнал демодулируется приемником и затем направляется в контроллер для дальнейшей обработки.

Для а/м иммобилайзера такой состав не является характерным. Здесь подразумевается далеко не самый распространенный тип ECU двигателя с физически встроенными в указанный блок цепями иммобилайзера и вынесенным т.н. усилителем ключа, имеющим с своем составе приемо-передатчик -- например, Toyota Land Cruiser. Куда чаще приемо-передатчик компактно объединен с ECU иммобилайзера (или с функционально идентичными цепями в других блоках, но не в блоке управления двигателем) использованием общего микропроцессора. 

 RFID-cистемы, представленные на рынке, используют отличающиеся физические принципы. По отношению к передаче энергии могут быть выделены две системы.

n      Дуплексная система. Сигнал данных, сгенерированный транспондером, передается (обычно с использованием амплитудной модуляции) одновременно с продолжающейся накачкой энергии в транспондер.

n      Полудуплексная система. Передача накачки и сигнала происходит последовательно. Транспондер запасает энергию в конденсаторе и, как только накачка выключается, эта энергия используется для передачи данных.

Различие подходов, определяющее устройство системы и дальность ее действия, соответствует достижению наилучшей надежности в различных приложениях, но не влияет на стойкость системы.

Блок-схема иммобилайзера.

4. Кое-что из азов криптографии.

С точки зрения криптографии проблема иммобилизации содержит две разные задачи. Во-первых, это распознавание водителя (идентификация), а во-вторых, подтверждение его личности, установление ее подлинности (аутентификация). Аутентификация может быть определена как процедура проверки соответствия пользователя предъявляемому им имени-логину, который распознавался на стадии идентификации. Для доказательства подлинности применимы несколько криптографических средств [2]:

Знание.

Аутентификация может основываться на знании проверяемым некоего секрета, например, пароля в виде слова или числа, которые будут представлены в качестве доказательства. Однако, любой метод, использующий в автомобильном приложении клавиатуру, оказывается нежелательным для большинства владельцев. К тому же уровень защиты неприемлемо низок.

Биометрия.

Теоретически для подтверждения личности водителя могут быть использованы его биологические признаки, такие как отпечатки пальцев, голос, радужная оболочка глаза или лицо целиком в сравнении с их информационными образцами. Однако, технические сложности здесь все еще слишком велики по сравнению с иммобилайзером, использующим ключ, да и такие системы просто неприемлемы в автомобильном приложении. Дело в том, что тогда стали бы проблематичными аренда а/м и его использование в экстренных случаях другим человеком.

Обладание.

Аутентификация средствами обладания является наиболее привычным методом, он также будет широко распространен и в будущем. Его простейшая реализация – обладание механическим ключом. В контексте данного изложения это неудачный пример, т.к. обладание ключом с идентичной механической частью скорее соответствует решению задачи идентификации. Более высокая степень защиты достигается, если ключ содержит электронную метку, такую как транспондер. Чтобы запустить двигатель а/м, механический ключ и транспондер с паролем должны быть объединены в пару.

Все криптографические средства, описанные выше, основываются на односторонней -- в оригинале static, т.е. пассивной, статической –  процедуре аутентификации. Это означает, что охранная система а/м проверяет подлинность ключа, но электроника в ключе не проверяет подлинность устройства, с которым вступает в контакт. Процедура обоюдной аутентификации, которая позволяет ключу проверять подлинность устройства, в котором он используется, могла бы повысить степень защиты, обеспечиваемую охранной системой.

Этот более высокий уровень может быть достигнут при помощи простого симметричного алгоритма, известного как «протокол вопроса-ответа». В оригинале -- «запроса-отклика»; здесь и далее под запросом и откликом подразумеваются переменные части соответственно входящего и исходящего сообщений транспондера, причем эти части рассматирваются только информативно, т.е. за вычетом меняющихся служебных дополнений, таких как, например, контрольная сумма и флаг ее ошибки. Охранная система а/м может проверить подлинность ключа, послав вопрос (запрос) и проверив ответ (отклик). Правильный ответ будет получен, если только одинаковый секрет обработки запроса имеется и там, и там. Концепция «запроса-отклика» имеет несколько преимуществ. В процессе обычного использования указанный секрет в эфир не передается, а запрос, следовательно, и отклик изменяются от цикла к циклу.

5. Стандартные построения охраны с использованием RFID.

На рынке представлено несколько типов охранных систем, использующих RFID-транспондеры.

Системы с фиксированным паролем (fixed code). Эти системы самые распространенные. Вначале при регистрации ключей зажигания ECU «заучивает» пароли, записанные в каждый транспондер ключей данного а/м. Здесь подразумеваются ID транспондеров, т.к. задача аутентификации водителя в системе с фиксированным паролем сводится к идентификации экземпляра транспондера; в более развитом варианте ECU дополнительно вычисляет контрольные суммы, соответствующие регистрируемым меткам ключей. Затем водитель вставляет ключ в замок зажигания, и ID транспондера считывается и сравнивается с идентификаторами, сохраненными в памяти ECU.

Степень защиты здесь определяется преимущественно типом используемого транспондера. Существуют транспондеры однократной записи, которые выпускаются не записанными. Их программирование возлагается на пользователя. Доступные средства чтения-записи позволяют также узнавать ID транспондера, когда он находится вне а/м, а затем заносить его в другой, пустой транспондер. Таким образом, фиксированный пароль может быть скопирован в дубликат, который ничем не будет отличаться от оригинала (например, транспондеры ранних иммобилайзеров VAG).

Настоящие системы Read Only записываются паролями в заводских условиях с использованием уникального идентификационного номера ID. Эти системы не позволяют копирование.

Данное утверждение не абсолютно: по-видимиму, здесь имеются ввиду транспондеры не любые, а разработки Texas Instruments. Указанные транспондеры действительно не поддаются дублированию простыми средствами, когда пароль копируется в перезаписываемый транспондер типа Read/Write той же фирмы. Дело в том, что TI-иммобилайзеры распознают тип транспондера, и задача идентификации дубля решается с отрицательным результатом, поэтому даже правильный ID аутентификации не принимается. Именно это подразумевалось авторами под словами о невозможности копирования и было справедливым около 10 лет, считая от появления первых транспондеров.  

Тем не менее остается возможность воспроизвести сигнал данных на радиочастоте. Построение для такой цели устройства воспроизведения требует значительных усилий и хорошего знания радио.

C 2004 года на рынке доступны специальные метки Keyline, позволяющие дублировать транспондеры Texas Instruments путем именно такой эмуляции. Чтобы дать представление о техническом уровне разработки Keyline, достаточно сказать, что это устройство вместе с источником питания помещается в головку ключа обычных размеров, причем источник питания не предусмотрен к замене, т.е. подразумевается практически вечным для данной конструкции.

Системы с роллинг-паролем (rolling code) действуют также как и системы fixed code, с той разницей, что пароль в ключе остается действующим временно, обычно в течение одного цикла включения зажигания. Транспондер здесь используется уже перезаписываемый, типа Read/Write, и ECU иммобилайзера периодически программирует его память. Пароль изменяется, но в терминах криптографии это по-прежнему процедура статической аутентификации, одностороннего установления подлинности.

Чтобы гарантировать надежность системы, предусматривается возможность возобновления синхронизации в случае ошибки или прерывания процесса перезаписи памяти транспондера. Именно эти сбои синхронизации наиболее слабое место описанной системы.

Транспондеры, защищенные паролем. Простая обоюдная аутентификация может быть осуществлена при помощи транспондера, закрытого паролем. Транспондер будет запрещать доступ к секретным данным в его памяти до тех пор, пока не будет прислан пароль, удостоверяющий устройство, работающее с ключом. Длина этого пароля весьма сильно влияет на степень защиты.

Пароль обычно передается ECU в эфир открытым текстом и может быть узнан или подобран, если транспондер доступен для таких испытаний. В зависимости от длины пароля время для его подбора может меняться от нескольких минут до нескольких лет.

Ограничением системы является ее совокупное время реакции, которое может быть неподходящим для практического применения.

Составные системы с роллинг-паролем, защищенным паролем также могут быть стойкими, благодаря использованию перезаписываемых закрытых транспондеров. Они обеспечивают высокую степень защиты. Слабые места – синхронизация и ее сбои (типовая проблема Mercedes-Benz ML).

6. Крипто-транспондеры.

Крипто-транспондеры являются вторым поколением транспондеров, использующихся в иммобилайзерах. Это новое поколение транспондеров, разработанных фирмой Texas Instruments, основано на полудуплексной RFID-технологии TIRIS и соответствует всем стандартным радиоинтерфейсам продукции c маркой TIRIS.

6.1 Обзор системы

DST (Digital Signature Transponder, т.е. -- с протоколом цифровой подписи) это устройство шифрования, обладающее функциональностью алгоритма запроса-отклика (сhallenge-response).

Вначале, при регистрации ключей зажигания, ECU иммобилайзера (Vehicle Security System) и транспондер обмениваются секретным ключом шифрования (Encryption Key). Далее этот ключ не может быть считан извне, доступен лишь отклик транспондера на запрос, присланный приемо-передатчиком (transceiver) иммобилайзера.

При типовом применении ECU иммобилайзера формирует случайное (random) слово-запрос длиной 40 бит и отправляет его в транспондер, используя широтно-импульсную модуляцию. В транспондере это слово фиксируется путем сдвига в регистре запроса. Вслед за этим специальная логическая схема шифрования формирует, используя ранее полученную энергию накачки, отклик длиной 24 бит (подпись). Как уже отмечалось, авторы для упрощения изложения отождествляют отклик с цифровой подписью и игнорируют блок фиксированных данных и прочие дополнения в исходящем сообщении, которое на самом деле, конечно, гораздо длиннее 24 бит.

Иммобилайзер с крипто-транспондером.

Отклик R является функцией ключа шифрования К, запроса RAND и алгоритма шифрования F:

R=f (F,RAND,K)

Отклик возвращается в приемо-передатчик с использованием частотной модуляции.

ECU иммобилайзера вычисляет ожидаемый отклик, используя тот же самый алгоритм и тот же самый ключ шифрования, и сравнивает результат расчета с откликом, который приходит от транспондера в действительности. Расчет выполняется одновременно с установлением связи между транспондером и приемником, другими словами, после получения отклика транспондера. Если принятый и расчетный отклики одинаковы, информация направляется в ECU двигателя. Для приложений, требующих быстрой реакции, следующие запрос и отклик могут быть сформированы во время очередного разблокирования заранее, и отклик будет сохраняться для следующего цикла (в регистре отклика).

Преимущества этой системы очевидны:

- зависящий от запроса отклик меняется каждый раз. Процедура проверки подлинности является обоюдной -- в оригинале dynamic, т.е. активной, динамической;

- ключ шифрования после регистрации транспондера больше в эфир не передается;

- ключ шифрования не может быть считан извне;

- транспондер не может быть сдублирован;

- ключ шифрования может быть задан и зафиксирован или изменен, если потребуется.

Транспондер является соединением механической микро-конструкции с логической схемой, работающей при весьма низком энергопотреблении [3]. В процессе накачки транспондера его микросхема (IC) потребляет ток менее 1мкА. Это позволяет конденсатору (capacitor) заряжаться даже на значительном расстоянии за разумное время, которое обычно составляет менее 50мс. В течение процесса шифрования потребление тока составляет менее 16мкА. Тем не менее типовой диапазон считывания сравним со стандартной системой фиксированного кода (Read Only).

Транспондер- пластиковый клин.

6.2 Цели, которые ставились при конструировании устройства.

Транспондер с протоколом цифровой подписи разработан на базе типовых схемных блоков и производится с использованием обычной сборочной техники в целях надежной совместимости с типовыми принципами построения приемо-передатчиков и возможности применения существующих автоматизированных сборочных линий [4], [5], [6].

Вот такими были конструктивные требования к устройству микросхемы транспондера:

n      низкое энергопотребление при шифровании длинных сообщений
n      электрически простая схема шифрования
n      сведение габаритов к минимуму

Значительные усилия были приложены к достижению следующего:

n      высокая степень криптографической защиты
n      быстрое переключение в цикле запроса-отклика
n      несложная вычислительная обработка данных алгоритмом шифрования
n     надежность в приложениях, благодаря высокоэффективным схемам контроля, встроенным в транспондер

6.3 Шифрование.

Все алгоритмы шифрования теоретически могут быть вcкрыты. Это утверждение противоречит теореме Клода Шеннона 1948 г. о существовании абсолютно стойкого шифра; видимо, авторы имеют ввиду алгоритмы, использующиеся на практике. Алгоритм называется стойким со стороны информатики, если он не может быть вскрыт в течение разумного времени с использованием разумных ресурсов. Здесь слово «разумный» может трактоваться весьма произвольно. Предположения об атаке на иммобилайзер таковы:

n      угонщик не располагает временем нахождения в салоне а/м более 5 минут

n      ключ не доступен для анализа дольше, чем в течение 10 дней

n      атакующий знаком с техникой криптоанализа (дешифрования)

Сканирование есть пример простейшего нападения. В предположении, что атакующий просто передает случайные отклики на любой запрос иммобилайзера, среднее время подбора t_c составит:

t_c =R* 2 ^(rb-1) .

где R- время восстановления ECU иммобилайзера, через которое возможно введение следующего варианта отклика, а rb- длина отклика в битах. Принимая время восстановления равным 200 мс, а длину отклика равной 24 бит, получаем среднее время подбора равным 19.4 дня (19 суток и 10 часов).

Нападение со словарем возможно, если ключ зажигания был доступен атакующему в течение определенного периода времени для построения таблицы запросов-откликов. В а/м угонщик надеется встретить запрос, который уже есть в его таблице, чтобы применить соответствующий правильный отклик и завести двигатель.

Статистические расчеты показывают, что даже если бы ключ был доступен в течение 10 дней, а таблица заполнялась со скоростью 4 отклика в секунду, вероятность успешной атаки продолжительностью 5 минут составит при угоне только 0.47%. Учитывая, что для каждого крипто-транспондера или а/м требуется собственная таблица запросов-откликов, понятно, что такой метод весьма неэффективен для целей угона.

Криптоанализ ставит целью вскрытие алгоритма. В этом случае нападающий пытается найти математическое решение проблемы определения ключа шифрования, имея некоторое количество пар запросов-откликов. Алгоритм цифровой подписи в транспондере реализован так, чтобы сделать указанный криптоаналитический метод не применимым.  Регистры сдвига затрудняют использование статистических связей для т.н. корреляционных атак, а линейная сложность выходных последовательностей препятствует сведению задачи определения ключа шифрования к задаче решения системы линейных уравнений.

6.4 Схемы контроля.

Для устойчивой работы крипто-транспондера в нем применяется несколько встроенных схем контроля.

Прежде чем транспондер выйдет из режима приема входящего сообщения (Write) и выполнит команды программирования отклика (Program), будет проведен ряд проверок (Сheck).

Временная диаграмма процесса приемо-передачи.

Особенно важен контроль останова приема, потому что, если нечаянно заблокировать страницу памяти транспондера, отклик не будет сформирован. В штатном режиме работы, судя по блок-схеме ниже, текущий сеанс приема прерывается сторожевым таймером, что является типовым решением защиты от помех в эфире. К загружаемым на стадии Write командам, данным и адресам  применяется вычисление 16-битного контрольного кода CRC в соответствии cо стандартом ССITT (Consultative Committee of International Telegraphy and Telephony). СRС -- Cyclic Redundancy Check -- контроль циклическим избыточным кодом; обычно вычисляется по более сложным правилам, чем подсчет контрольной суммы, но в данном случае CRC может считаться контрольной суммой. Подсчет числа принятых бит контролирует правильность окончания сеанса приема.

Блок-схема крипто-транспондера.

Определенные проверки предшествуют записи  EEPROM-ячеек памяти по включению напряжения программирования от внутреннего аккумулятора накачки (Charge Pump).

EEPROM= Electr(on)ically Erasable Programmable Read Only Memory -- «электрически стираемая программируемая память только для чтения» (европейский вариант) или «электронно-стираемая программируемая память только для чтения» (американский вариант). Программирование EEPROM обычно происходит по стандартной системной шине микропроцессорного устройства, поэтому американский вариант расшифровки аббревиатуры предпочтительнее. Одинаковые противоречия дословного перевода обоих вариантов объясняются тем, что по мере разработки новых типов микросхем памяти их названия строились добавлением новых слов к старым аббревиатурам, например, PROM - Programmable ROM и т.д. В этой связи EEPROM часто приписывают упрощенное определение как «энергонезависимая память с возможностью перезаписи». Запись каждой ячейки EEPROM автоматически стирает старую информацию в ней, т.е. можно изменять данные в любой ячейке, не затрагивая остальные.

В процессе записи EEPROM напряжение программирования должно быть достаточно высоким в течение известного промежутка времени, чтобы запись была выполнена надежно.

Встроенная схема ограничения (RF Limiter) амплитуды радиосигнала несущей частоты защищает внутреннюю микросхему транспондера от перегрузки в случае избыточной напряженности магнитного поля антенны. Такой же ограничитель также используется и в устройстве слежения за записью (Programming Supervision). Если схема входит в режим ограничения, это означает, что энергия для достижения достаточно высокого напряжения программирования запасена. Режим работы схемы ограничения отслеживается каждые 800 мкс счетчиком событий (Event Counter), пока аккумулятор накапливает энергию (Charge). Как только режим ограничения реализуется, и будет сохраняться в течение указанного временного окна, аккумулятор накачки готов к работе как источник и включается как таковой. После этого состояние схемы ограничения начинает отслеживаться счетчиком событий непрерывно, который оценивает величину сигнала на ее выходе. Если этот выходной сигнал упадет вследствие внешнего влияния, такого, например, как металл или перемещение в поле антенны, определенный параметр загрузки не достигнет нужной величины за время сеанса приема (фактическая контрольная сумма не совпадет со вложенной во входящее сообщение). Это состояние фиксируется как признак последующего формирования недостоверного отклика.

Если обнаружена подобная ошибка, информация о ней включается в исходящее сообщение для реакции ECU иммобилайзера. Кроме того, исходящеее сообщение, содержащее статус, адреса и данные, всегда защищено контрольной суммой CRC, чтобы ECU мог проверить отсутствие внесения искажения в информацию при ее передаче в эфире.

В обоих случаях указание на ошибку CRC позволяет путем автоматической отправки нового запроса избежать ложного заблокирования блока управления двигателем, что логично сочетается с задержкой вычисления образцовой подписи в ECU иммобилайзера до тех пор, пока связь с транспондером не будет устойчивой.

7. Итоги и перспективы.

Обзор различных степеней защиты, достигаемых системами с RFID-транспондерами, дан. Последнее поколение этой технологии представлено, и некоторые особенности описаны в деталях. По сравнению с обычными системами степень защиты при применении крипто-транспондеров возрастает значительно. Однако дальнейшее совершенствование криптографических алгоритмов будет необходимо в будущем.

Как оказалось, данное предупреждение было весьма прозорливым. В книге "Автосигнализации от A до Z" -- СПб: Наука и Техника, 2002. -- 336с. читаем: "...динамический код с индивидуальным законом изменения для каждого брелока -- это тот уровень секретности, когда вопрос о дальнейшем совершенствовании отпадает по крайней мере на ближайшие 20...30 лет" <конец цитаты>. А на самом деле в 2002 году на рынке уже продавалось оборудование, которому указанные сигнализации не способны противостоять. К сожалению, данное оборудование может быть модифицировано для работы и с крипто-транспондерами. Это могут быть, например, два доработанных мобильных телефона, которые располагаются один вблизи владельца с чип-ключом, а другой -- около а/м, который находится в произвольном удалении. Пара таких телефонов играет роль двустороннего ретранслятора, связывающего транспондер и ECU. Понятно, что дистанция здесь не ограничена даже континентальными расстояниями.

Техника запроса-отклика хорошо подходит к новому ожидаемому поколению автомобильных систем доступа, например, систем класса «Пассивный доступ» (Passive Entry). В них следует использовать двустороннюю связь. Чтобы решить главные задачи при разработке систем указанного класса, такие как скоростная передача данных, увеличенный диапазон дальности действия, помехозащищенность, следует применять технологию мегагерцовых волн с использованием одной или двух частот, учитывая, что эта технология весьма подходящая для специфических нужд автомобильного рынка.

Через 3 года после опубликования данной статьи системы пассивного приведения в действие Passive Entry Go с карточками PEG 125КГц уже начали распространяться. Причем к 2004 году, благодаря появлению новых специализированных микросхем, стало возможным работать одновременно с тремя антеннами иммобилайзера с целью определения объемного 3D-позиционирования карточки. Это считается важным, например, для предотвращения ненамеренного запуска двигателя играющими детьми, когда карточка находится в салоне а/м. Кроме того, 3D-иммобилайзеры  затрудняют использование мобильных ретрансляторов за счет неочевидности для злоумышленника рабочей области считывания карточки. Вопреки рекламе именно последнее упомянутое свойство новых иммобилайзеров следует считать главным. Неиспользованным резервом остается постановка активных помех небольшой мощности, подавляющих мобильную связь вблизи а/м (см. фото GSM-иммобилайзера в начале статьи Иммобилайзер)