Digitale KeeLoq autosleutels compleet gekraakt
Onderzoekers zijn erin geslaagd het KeeLoq encryptie algoritme, dat onder andere voor digitale autosleutels met RFID wordt gebruikt, compleet te kraken. Naast autodeuren wordt de techniek sinds de jaren negentig ook veel toegepast in garages en andere sleutelloze-systemen. Vorig jaar lukte het onderzoekers al om de sleutels van Honda, Ford, General Motors, Mercedes Benz en Jaguar te kraken. Het probleem zit hem in het gebruikte algoritme om de sleutels te beveiligen. Na een uur spelen met de afstandsbediening voor de digitale sleutel was niet alleen de unieke sleutel gekraakt, maar ook het proces dat voor het genereren van alle andere codes wordt gebruikt. Op deze manier is het voor de onderzoekers kinderspel om de unieke code van andere auto's te achterhalen.
Duitse onderzoekers hebben nu de eerste succesvolle DPA (Differential Power Analysis) aanval op verschillende KeeLoq producten gepresenteerd. De "side-channel" aanval kijkt naar het stroomverbruik als het KeeLoq apparaat wordt gebruikt. Via deze techniek kan een aanvaller niet alleen de geheime sleutel van de afstandsbediening binnen een uur kraken, maar ook de sleutel van de fabrikant. Dit kost echter een dag.
Is de sleutel van de fabrikant bekend, dan kan er een onbeperkt aantal geldige nieuwe sleutels voor nieuwe afstandsbedieningen worden gegenereerd. Ook onderzochten de onderzoekers een nieuwe manier om de ciphertexts, die tussen de afstandsbediening en het apparaat worden uitgewisseld, te monitoren. Aan de hand van de opgevangen informatie is het voldoende om de sleutel van de afstandsbediening te achterhalen. Voor aanvallers is het mogelijk om de sleutel van een afstandsbediening op afstand te kopiëren, om daarna toegang te krijgen tot een locatie of voorwerp dat volgens het "zeer veilige" KeeLoq algoritme beschermd zou zijn.
Serieus: Is er nou echt niks echt veilig?
Lol, de zoveelse tegenvaller voor RFID...
Serieus: Is er nou echt niks echt veilig?
om moeten gaan.
Lol, de zoveelse tegenvaller voor RFID...
Serieus: Is er nou echt niks echt veilig?
Voor mij lijkt je opmerking erg op:
"
Ooh nee, zijn er nu weer letters uit een krant gebruikt om
een drijgbrief mee te maken?
Is er nou niks goeds aan kranten?
"
De onveiligheid zit hem helemaal niet in het feit of er
draadloos gecommuniceerd wordt of niet.
Het komt voort uit het feit dat men een heel beperkte
rekencapaciteit tot het maximum wil benutten om zo toch een
enigsinds veilige communicatie tot stand te brengen.
Nu worden er tijdens de implementatie soms dodelijke
shortcuts genomen die na erg lang zoeken met professionele
middelen pas te voorschijn komen.
Tja, het enige jammere is dan dat de producent het niet zag
aankomen en al niet genoeg in R&D gestoken heeft om hier
adequaat op te kunnen antwoorden.
Just my 2 cts.
Tom
'afsluitbaar met sleutel ... maar helaas ook uitgerust met centrale
vergrendeling met afstandsbediening'? ;-)
op dezelfde manier doet. Daardoor worden dit soort aanvallen
interessant. Als ze nu allemaal een eigen systeempje zouden
hebben, wordt het veel meer gedoe met veel minder resultaat.
Koop dus een oninteressante auto met een weinig gebruikt
sleutelsysteem.
zo is het onmogelijk (of toch moeilijker) om de code telkens
te kraken.
Ik denk dat veel developers niet weten hoe ze met veiligheid
om moeten gaan.
Dat komt met name doordat de meeste mensen security achteraf
als sausje erover willen gieten, in plaats van aan het begin
bij het design willen integreren....
Dit was 10 jaar geleden al en zie ik nog steeds
kunt je deuren net zo goed niet afsluiten. En waarom is dit allemaal? Omdat
we het zo lastig vinden om even een sleutel in een slot te steken? Zielig, heel
zielig. Doet me denken aan die aanraaktoetsten op tv vroeger. Wat was nou
eigenlijk het verschil? Alleen even indrukken. Tjonge, wat voorkwam dat een
spierarbeid zeg!
Dat vind ik nou pas echt verspilling van materiaal en techniek. Misschien
volgende keer maar terug naar het ouderwetse slot. Kun je wat minder
sporten en toch voldoende beweging krijgen.
openen zonder orginele sleutel en omgebogen stomerijhanger
bestendig!?
- just a thought-
ondanks het hebben van die kennis, met je handen van de spullen van een
ander af te blijven. Het kraken van beveiligingssystemen - of deze nu
mechanisch of electronisch zijn - kan bijdragen in een studie tot het
verbeteren van de beveiligingen. Met de resultaten mag door de fabrikant
positief worden omgegaan, zeker als het kraken tot doel heeft om deze
fabrikant op de zwakte van zijn systeem te wijzen. Door het publiekelijk
uitdragen van zwakheden in de beveiligingen mag je geen voordeel worden
verwachten. Dus kraak lekker door, maar gebruik de resultaten voor
verbetering. Ruud vdV
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
