Войти
KeeLoq - это запатентованный аппаратно-выделенный блочный шифр , который использует нелинейную обратную связь регистр сдвига (NLFSR). Протокол однонаправленной передачи команд был разработан Фредериком Брювером из Nanoteq (Pty) Ltd., криптографический алгоритм был создан Гидеоном Куном из Университета Претории, а силиконовая реализация была разработана Виллемом Смитом из Nanoteq Pty Ltd (Южная Африка ) в середине 1980-х гг. KeeLoq был продан Microchip Technology Inc в 1995 году за 10 миллионов долларов. Он используется в кодерах и декодерах «со скачкообразной перестройкой кода », таких как NTQ105 / 106/115 / 125D / 129D, HCS101 / 2XX / 3XX / 4XX / 5XX и MCS31X2. KeeLoq используется или использовался во многих системах удаленного доступа без ключа такими компаниями, как Chrysler, Daewoo, Fiat, GM, Honda, Toyota, Volvo, Volkswagen Group, Clifford, Shurlok и Jaguar.
Шифрование KeeLoq Кодеры KeeLoq с "скачкообразным изменением кода" шифруют заполненные 0 32-битный блок с шифром KeeLoq для создания 32-битного «кода переключения ». 32-битный вектор инициализации линейно добавляется (XORed ) к 32 младшим значащим битам ключа до шифрование и после дешифрование.
шифр KeeLoq принимает 64-битные ключи и шифрует 32-битные блоки, выполняя свой однобитовый NLFSR за 528 раундов. Функция обратной связи NLFSR: 0x3A5C742Eили
KeeLoq использует биты 1, 9, 20, 26 и 31 состояния NLFSR в качестве входных данных во время шифрования и биты 0, 8, 19, 25 и 30 во время дешифрования. Его выходные данные линейно комбинируются (XORed) с двумя битами состояния NLFSR (биты 0 и 16 при шифровании и биты 31 и 15 при дешифровании) и с битом ключа (бит 0 состояния ключа при шифровании и бит 15 из состояние ключа при расшифровке) и передается обратно в состояние NLFSR на каждом этапе.
Для простоты индивидуальные реализации «скачкообразного изменения кода» обычно не используют криптографические одноразовые номера или метки времени. Это делает протокол уязвимым для атак с повторением : например, заглушив канал во время перехвата кода, вор может получить код, который можно будет использовать на более позднем этапе. Подобный «код-граббер», хотя и интересен теоретически, по-видимому, не так широко используется угонщиками автомобилей.
Подробное описание недорогого прототипа устройства, разработанного и построенного Сами Камкаром для Эта техника появилась в 2015 году. Устройство размером с кошелек можно было спрятать на запертом автомобиле или рядом с ним, чтобы получить единый код доступа без ключа, который будет использован позже для разблокировки автомобиля. Устройство передает сигнал глушения, чтобы заблокировать прием автомобилем сигналов скользящего кода от брелка владельца, одновременно записывая эти сигналы от обеих его двух попыток, необходимых для разблокировки автомобиля. Записанный первый код передается автомобилю только тогда, когда владелец делает вторую попытку, в то время как записанный второй код сохраняется для использования в будущем. Было объявлено о демонстрации DEF CON 23.
Расшифровка KeeLoq KeeLoq был первым криптоанализом Андреем Богдановым с использованием скользящих и эффективных методов линейные приближения. Николас Куртуа атаковал KeeLoq, используя скользящие и алгебраические методы. Атаки Богданова и Куртуа не представляют никакой угрозы для реальных реализаций, которые кажутся гораздо более уязвимыми для простого грубой силы ключевого пространства, которое сокращено во всем коде. -hopping реализации известного на сегодняшний день шифра . Некоторые «захватчики кода» KeeLoq используют устройства на основе FPGA для взлома ключей на основе KeeLoq грубой силой в течение примерно двух недель из-за уменьшения длины ключа в реальных реализациях.
В 2007 году исследователи из группы COSIC в университете Левен, Бельгия, (KULeuven) в сотрудничестве с коллегами из Израиля обнаружили новая атака на систему. Используя детали алгоритма, которые просочились в 2006 году, исследователи начали анализировать слабые места. После определения части ключа, общей для автомобилей определенной модели, уникальные биты ключа могут быть взломаны с помощью только перехваченной связи между ключом и автомобилем.
Microchip представила в 1996 году версию микросхем KeeLoq, которые используют 60-битное начальное число. Если используется 60-битное начальное число, злоумышленнику потребуется примерно 100 дней обработки на выделенном параллельном компьютере для атаки методом грубой силы, прежде чем система будет взломана.
В марте 2008 г. исследователи с кафедры встроенной безопасности Рурского университета в Бохуме, Германия, представили полный отказ систем удаленного доступа без ключа, основанных на технологии KeeLoq RFID.. Их атака работает со всеми известными системами контроля доступа к автомобилям и зданиям, основанными на шифре KeeLoq.
Атака команды Бохума позволяет восстановить секретные криптографические ключи, встроенные как в приемник, так и в пульт дистанционного управления. Он основан на измерении потребления электроэнергии устройством во время шифрования. Применяя методы так называемого анализа побочных каналов к трассам питания, исследователи могут извлечь ключ производителя из приемников, который можно рассматривать как главный ключ для генерации действительных ключей для пультов дистанционного управления одного конкретного устройства. производитель. В отличие от описанной выше криптоаналитической атаки, для которой требуется около 65536 выбранных пар открытый текст-зашифрованный текст и дней вычислений на ПК для восстановления ключа, атака по побочному каналу также может быть применена к так называемому режиму работы KeeLoq Code Hopping (также известному как подвижный код ), который широко используется для систем доступа без ключа (автомобили, гаражи, здания и т. Д.).
Наиболее разрушительным практическим следствием анализа побочного канала является атака, при которой злоумышленник, предварительно узнав главный ключ системы, может клонировать любой законный кодировщик, перехватив только два сообщения от этого кодировщика с расстояния до 100 метров (330 футов). Другая атака позволяет сбросить внутренний счетчик приемника (дверь гаража, дверь автомобиля и т. Д.), Что делает невозможным открытие двери легитимным пользователем.
