Hallo,

eine gute und eine schlechte Nachricht:
- Citroen/PSA ist nicht dabei,
- es stand zu erwarten, daß die Zentralverriegelungen mit Funk irgendwann geknackt sind:
http://www.heise.de/newsticker/Funktueroeffner-fuer-Autos-und-Gebaeude-geknackt--/meldung/105772

Gruß, Ralf, mit Ohne-Zentralverriegelung unterwegs :-)

Na ja, zum Glück fahren wir ja Berlingos, die die Leute, die Funk-Schlüssel für kriminelle Zwecke knacken, in der Regel nicht klauen oder ausräumen.

Junkies, die sich nicht um die Marke scheeren, werden wohl so schnell nicht diese Technologie beheerschen.

(Ich nehme stark an, dass auch bereits die PSA Funk-Codes geknackt sind).

Wer rein will kommt auch rein. Da gibts sicher viel einfachere Methoden als das Knacken des Schlüsselcodes. So sicher wie in Abrahams Schoß sind Wertsachen im Auto sowieso nicht. Am besten wie in Italien machen: Alle Klappen auf, Tür auflassen... :lol:

Wer rein will kommt auch rein. Da gibts sicher viel einfachere Methoden als das Knacken des Schlüsselcodes.... :lol:Genau, wer diese Passage liest:

[..] Dazu führten die Forscher sowohl beim Sender als auch beim Empfänger eine differentielle Stromanalyse (DPA) und differentielle elektromagnetische Analyse (DEMA) während der Übertragung durch. Hat man den Herstellerschlüssel, sind nur noch zwei Nachrichten nötig,[...]

und weiß, das die Halbleiterhersteller bereits seit Jahren Chips anbieten, die robust gegen diese DPA/SPA, etc... Angriffe sind, kann man wieder sagen: "Gut Jungs, Ihr habt ein kleines Mädchen verprügelt."

Diese Pressemitteilung sollte keine Panik verbreiten, sondern nur den Geldgebern des Insttuts vermitteln, dass die Damen und Herren Kryptiker am arbeiten sind. DPA (Differential Power Analysis) ist ein Thema, dass in der Chipkartenwelt, die sich der gleichen Technik bedient, seit 10 Jahren diskutiert wird, und seit 9 Jahren bietet die Industrie Chips an, die dagegen resistent sind. Ich wär ja mal gespannt, was für Autos diese Forscher fahren. Entweder sind die Wagen so alt, dann ist das Diebstahlrisiko durch den Allgemeinzustand ehr gering ist, oder sie sind neueren Baujahrs, dann ist es peinlich für die Hersteller. Aber all die genannten Firmen sind nicht für High End Technik bekannt.

Also, ruhig bleiben, Blutdruck auf Normal, Paniktabletten weglegen. Alles bleibt gut. Wer einen Berli klaut, braucht ihn wirklich dringend.

Munter Bleiben
Christof

Schon peinlich für die Hersteller.
Und die Konsequenz werden sicher bald vor allem die Fahrer "stark gefragter" Modelle wie VW Touareg, BMW X, Audi Q7 usw. aber auch VW Golf spüren.
In Südfrankreich sollen aber auch Berlingo HDi durchaus "beliebt" sein.
Die Versicherungsprämien dürften auf Grund zunehmender Diebstähle stark steigen.

Bei einfacheren Funksystemen gab es das früher schon, dass es mit ganz simplen Mitteln (Ich erinnere mich da an eine spezielle Casio(?) Quarzuhr, kein Aprilscherz!) möglich war, den Code aufzufangen.
Daraufhin wurde ja diese Verschlüsselung eingeführt.

Gruß

Alexander

und weiß, das die Halbleiterhersteller bereits seit Jahren Chips anbieten, die robust gegen diese DPA/SPA, etc... Angriffe sind, kann man wieder sagen: "Gut Jungs, Ihr habt ein kleines Mädchen verprügelt."
Mir scheint das Problem eher ein anderes. Das Verfahren an die nötigen Daten zur Entschlüsselung zu kommen, ist offensichtlich aufwendig, aber machbar und kann nicht von einem Gelegenheits-PC-Nutzer nachvollzogen werden. Soweit ist es nicht als besonders unsicher einzustufen, IMHO. Problem ist die Existenz eines Generalschlüssels. Und der kann von vielen benutzt werden, die von der eigentlichen Entschlüsselung keine Ahnung haben.

Diese Pressemitteilung sollte keine Panik verbreiten, sondern nur den Geldgebern des Insttuts vermitteln, dass die Damen und Herren Kryptiker am arbeiten sind. Ach!? Immerhin sind es weder irgendwelche Cracker, deren Wissen zufällig aufgedeckt wurde, noch ein Mitbewerber von Verschlüsselungs- und Schließsystemen, dem man im Bedarfsfall eigene wirtschaftliche Interessen unterstellt. Ich sehe in der Meldung insbesondere nicht, daß es hier vordergründig um eine Darstellung für die "Geldgeber des Instituts" geht. Aber vielleicht weißt Du ja mehr?

BTW ob Panik oder keine: es ist ja nur ein Auto, das ggf. problemlos und insbesondere nicht nachvollziehbar frei von Spuren geöffnet werden kann. Bei fast allen anderen Methoden der unberechtigten Öffnung finden sich Spuren als Nachweis einer Einbruchshandlung, hier bei dieser Methode eben nicht mehr. Und da wird es sehr schnell relevant für Versicherungsverträge im Schadensfall.

Konkret: erkläre mal Deiner Versicherung, daß z.B. eine Reihe von fest eingebauten, also in der Teilkasko mitversicherten Gegenstände geklaut wurden. Hast Du eine eingeschlagene Scheibe, Spuren von Gewalteinwirkung am Türschloß oder ähnliches vorzuweisen, ist die Situation einfach.

Gruß, Ralf

P.S.: ich empfehle die Kommentare zum Heise-Artikel zu lesen.

grüss euch!

habe nie verstanden warum die IR-technologie durch den funk ersetzt wurde. meines erachtens hat sie im automobilbereich sehr viele vorteile:
-das signal kann nur sehr schwer von unbefugten empfangen werden
-unbeabsichtigtes auslösen der verriegelung kaum möglich (ist mir mit dem funkschlüssel schon passiert, da ich im haus war habe ich es nicht bemerkt. und dank des "netten" geblinkes konnte jeder sehen dass das auto nun offen ist)
-fremdauslösung unmöglich (bin schon öfters zu meinem unversperrten auto gekommen dass ich versperrt verlassen habe, es gab auch schon mal einen thread darüber)
-und wahrscheinlich ist sie auch billiger

leider haben wir nicht die wahl und müssen nehmen was wir bekommen.

lg
loup

leider haben wir nicht die wahl und müssen nehmen was wir bekommen.
Mein Berlingo hat ein rein mechanische Türenverriegelung. Das gibt's auch (noch) neu zu kaufen.

Gruß, Ralf

Mir scheint das Problem eher ein anderes. Das Verfahren an die nötigen Daten zur Entschlüsselung zu kommen, ist offensichtlich aufwendig, aber machbar und kann nicht von einem Gelegenheits-PC-Nutzer nachvollzogen werden. Soweit ist es nicht als besonders unsicher einzustufen, IMHO. Problem ist die Existenz eines Generalschlüssels. Und der kann von vielen benutzt werden, die von der eigentlichen Entschlüsselung keine Ahnung haben.Wer die folgenden Zeilen lesen kann, ist eine Runde weiter:
'308204bd020100300d06092a864886f70d010101050004820 4a7308204a30201000282010100e021dd12818fe63e3c50e72 38c9cc0baf44073e6123bb0b0d29bdd4ea1f7057416f47c484 248f15041e9bbfed079e663b6b2c7bd19d5cd72e4b3cd0d801 e191408c8f1ea19846ffe7aef3c051a6613c3927dd87a6ae2d 9ec8b7fb0240b7cfeef5c85268fbd932ee01d184864a94fd0a 55a8dcf2e8f6faf45795232a8dc8f28f3e55719f0423ca8da8 f2e3af25b68a23bee68624541c9bb2aa081e95e968a9d331ba 7a0ad7c85ed127d0e4bcde8429c51e452a5dcb2387449a8002 ab692a8bce8a96127ce28df0fb5e10571e9b1f76ec1bd77670 0bb7e24c6de31cc705af3438a528960ee6e68ba99c95cde15e a0734dc212beb389ed037ebe9a8188b01195dd502030100010 28201006d000b0374ff067a3ddb1a8daf548c665f62f8fa6ae 39c8a61e26b3e52864fa0a58940e7e3549606f20739e6327d1 60e684b89d7ed388d31d3079e31729d30950db0abf5ad733b0 407c550eb2a6b7a31228d113a77c0db3aae9cea8c9d09acf1b b8d05b3e1fe324dcbd8835c70fadffd8a8c6cb5b80c18b130c f48d3d66fc8f9eb124643fcc04595ff72384ec01f997b93c02 c16356580d6fc9ed9322b40f7f4cae58864c0973cc1115b009 042df69bdc4d6ec189124f571fd52ebf6d00238fde176a2642 831c41c7869151a65dd8ca28d281213a6022a4dc9b7bb63fcd 185d6a09bb335c579804701b2cfbf5b9ba517e76e795af1921 247ed515e2719e0c60102818100efafd1fd08265beed30ab05 63fa4294c011df6aaca75d0220b3451a9a97e6d5ff3b4450e0 bdd7c583f1a7e27f17fc5604b01b821e0203082f830b807f46 764c9e3bc9df384fe6bda6f104e0bbba7a5de2c1755a2cee63 6a534d2975819fa8c48d13737f51999f8d4c8c0bb4941ad5dc 0da3b2454f8733c5a1106284f8f6c819b02818100ef630783a 70866f576294325efb34d89c7cc7a54ccb2119dae0f377108e 8f2bc00282697a83550259101065c6d200a1d6eff508fa9811 44c729923f40c51b8c30ebb2041e1635e586384f7a1580c09a 8c22012f1859b65c748af5bf0bbea4d09ada3bc5e2522807af 660e11c808d3d80f5ab1db069db68dad86ded3556e18d4f028 1807d7df79adc8e80e9bcf346ba119e18c5237c95ae7c4c4cc 9d645f14fbc5f6652ab9d41de85d5d409bc1859defdf160dcf 6c892a8a1d918ad29d710339202246213eba8635cc97c9ca43 3cc39166a434cdc96e70e53f772baf2ba23e54bccc37048a1f 999496b353deb52057ce87725b4184e88ca383ed5656eae63a 2ac3c2a6b02818100d2dec705bfa3751e9061b496bc5993d9e 4b848a25e561592727b50f92f4214606b3af313f0c655bd61c 827544f8443a4bddc059927555f0e207ca9e116e0fe0244fda d629b2a2f376922fe079049ba50800044efa023cd3a08db000 0456815488b3e8a75dbfc5274fe87448518f051d74190e46c3 c335c603afa4a540c1e4f9d0281807e1a1fd927ca4aed49f30 78832fde0ce3fee88349c70c8bad4d04ae9df8563244c6f8f6 5fc5981ba919a505130367dfadb6cc89093a4f7c7190137d17 a1dbe3b8f5cf139940d2936ae48e4275c0c8bb5d28d842b257 2c8d03f7bb83d4d8e4ae0d76988324cbca97b9c78b36a04749 fccd2f1d40cfdd010038e0c1b65111f7d60'
Und dieses ist schon einfach, weil strukturiert. Wer Interesse hat, dem schicke ich das Zertifikat mit öffentlichem Schlüssel auch noch. Es sind "Laborzertifikate". Man kann damit keine Waschmaschinen bestellen.

Ach!? Immerhin sind es weder irgendwelche Cracker, deren Wissen zufällig aufgedeckt wurde, noch ein Mitbewerber von Verschlüsselungs- und Schließsystemen, dem man im Bedarfsfall eigene wirtschaftliche Interessen unterstellt. Ich sehe in der Meldung insbesondere nicht, daß es hier vordergründig um eine Darstellung für die "Geldgeber des Instituts" geht. Aber vielleicht weißt Du ja mehr?Aus diesem Institut kommen immer wieder Nachrichten, die in der Presse sehr heiß gekocht werden. zB. ist vor Jahren behauptet worden, man könne GSM Karten clonen. Im Prinzip ja, aber nur, wenn es sich um Laborhalbleiter handelt, die keine Sperren gegen IR- und Tageslicht, Elektromagnetische Angriffe, SPA/DPA etc. haben. Die Chips, die im Wirkbetrieb genutzt werden, sind aber damit ausgestattet. Es ist also eine akademische Übung, die durchaus ihren Reiz hat. Aber die Übersetzung ims richtige Leben ist dann doch mit ein paar Komplikationen verbunden. Von der organisatorischen Seite her ist die Sache noch aussichtsloser. Besorg Dir doch mal solche Chips..... und die Tools, um ans Betriebssystem der Chips zu kommen. Nun kostet sowas Geld und das wollen die Fahrzeughersteller von uns haben und nicht anderen Leuten geben, daher findet man unter der "hohen Qualitätsanmutung" (nicht zu verwechseln mit hoher Qualität) teilweise argen Plunder. Und je genauer der Preis für das Auto untersucht wird, umso mehr kümmert sich der Anbieter darum, dass er trotzdem noch Geld verdient. Also spart man mal ein paar Cent beim Schlüsselchip.

BTW ob Panik oder keine: es ist ja nur ein Auto, das ggf. problemlos und insbesondere nicht nachvollziehbar frei von Spuren geöffnet werden kann. Bei fast allen anderen Methoden der unberechtigten Öffnung finden sich Spuren als Nachweis einer Einbruchshandlung, hier bei dieser Methode eben nicht mehr. Und da wird es sehr schnell relevant für Versicherungsverträge im Schadensfall.

Konkret: erkläre mal Deiner Versicherung, daß z.B. eine Reihe von fest eingebauten, also in der Teilkasko mitversicherten Gegenstände geklaut wurden. Hast Du eine eingeschlagene Scheibe, Spuren von Gewalteinwirkung am Türschloß oder ähnliches vorzuweisen, ist die Situation einfach.

Gruß, Ralf

P.S.: ich empfehle die Kommentare zum Heise-Artikel zu lesen.Es ist wohl am einfachsten, wenn man dann noch eine Scheibe einschlägt. Kostet nicht viel mehr, ist aber einfacher zu erklären.http://www.berlingo.org/images/smilies/wink.gif

Wer die folgenden Zeilen lesen kann, ist eine Runde weiter:
Ich brauche den Schlüssel nicht lesen können. Den braucht der "Schlüssel", der mit dem Empfänger im Auto kommunizieren möchte. Und da ist es mir egal, wie die 1200Byte - oder wieviel auch immer - zusammengesetzt sind. Sind sie bekannt, sind sie der Schlüssel, weil es einen Generalschlüssel gibt.

Aus diesem Institut kommen immer wieder Nachrichten, die in der Presse sehr heiß gekocht werden.
... was ich nicht unbedingt und automatisch als negativ bewerte. Aus anderen Hochschulinstituten kommen viele andere Meldungen, mit denen ein Otto Normalverbraucher nur nicht besonders viel anfangen kann. Hier betrifft es nun mal eine Mehrheit in .de, die sich unter dem Problem sogar was vorstellen kann.

Die Chips, die im Wirkbetrieb genutzt werden, sind aber damit ausgestattet.
Wenn so ein Schutz die geplante Nutzungszeit meiner zu schützenden Daten deutlich übersteigt, dann kann ich damit leben, daß der Schutz nur über eine endliche Lebenszeit verfügt. Da der Schutz des Generalschlüssels für den Zugangsschutz für Fahrzeuge einer Reihe von Herstellern am Ende der Lebenszeit angekommen ist, ist es schon bedenklich, wenn dies weiterhin so ausgeliefert wird. Ein Auto hat heute offensichtlich eine deutlich höhere Lebenserwartung als sein Zugangsschutz.


Es ist also eine akademische Übung, die durchaus ihren Reiz hat.
Das ist es sicher. Sie hatten vermutlich Spaß und jetzt auch Erfolg.


Von der organisatorischen Seite her ist die Sache noch aussichtsloser.
Das Wissen existiert, daher ist's nur eine Frage der Zeit, bis dieses irgendwohin diffundiert sein wird, wo es besser nicht hin soll. Social engineering ist nur ein Weg ...


Und je genauer der Preis für das Auto untersucht wird, umso mehr kümmert sich der Anbieter darum, dass er trotzdem noch Geld verdient. Also spart man mal ein paar Cent beim Schlüsselchip.
Womit der eher negative Teil der Entwicklung ins Spiel kommt: die Marketing- und Kaufleute. Ich bin mir sicher, daß jene Soft- und Hardware-Entwickler auch heute ein System zur Marktreife bringen könnten, das die geplante Lebenszeit eines Neuwagens deutlich übersteigt. Es kostet, und damit ist der natürliche Gegner der Techniker der Kaufmann. Folge: (notwendiger) Fortschritt unterbleibt.


Es ist wohl am einfachsten, wenn man dann noch eine Scheibe einschlägt. Kostet nicht viel mehr, ist aber einfacher zu erklären.http://www.berlingo.org/images/smilies/wink.gifDarauf läuft's hinaus. Man sollte sich nur nicht beobachten lassen.

Gruß, Ralf