Vlákno názorů k článku
Zloději ukradli Tesla Model S za pár sekund, zachytila je kamera od xerces - Podla mna sa da tento sposob odomykania zabezpecit...

Podla mna sa da tento sposob odomykania zabezpecit viacerymi sposobmi:
Napr:

1. Meranim casu a tym padom aj vzdialenosti medzi klucom a autom. Nieco na sposob GPS, kedy by sa v signali poslal zasifrovany cas. Potom by zosilnenie signalu nepomohlo a museli by prelomit sifrovanie. Nevyhoda by bola, zeby cas medzi klucom a autom musel byt vzdy zosynchronizovany (co ale nie je problem).

2. Neustalym dopytovanim kluca, inak sa autu vypne motor a nikam nepojde. Museli by signal zosilnovat a prevadzat cez GSM/4G siete aby usli niekde dalej.

3. Celkom zaujimave by bolo aj keby sa signal z kluca siril iba pri jeho pohybe (integrovali by acelerometre do kluca). To je sice slabe zabezpecenie ale keby som si kluce odlozil niekam na policku, tak by otvaraci signal neposielali (cim sa usetri aj bateria).

4. Biometria v aute (scan tvare, rohovky,...) Keby chcela auto riadit ina osoba musel by ju majitel nastavit.

To je len taky rychly nastrel ako to zabezpecit, bez nejakeho znizenia komfortu.

Mr. Bean má jednodušší a funkční řešení...

@xerces
... a pritom by stacil obycajny (mechanicky) kluc. Bezpecnost ta ista a ziadna samanstina okolo. Hmm. Nova doba.

fajn, takovy klic by problem nebyl, ale kdo se pak ma vlace s baterkama? :-D

ale jinak to jsou prave vsechno jenom slozite rovnatka na nesmyslne ohejbaky.
a to vsechno jenom protoze chceme tu featuru odemceneho auta kdyz k nemu prijdem, a ze chceme nastartovat jenom tlacitkem bez toho abyhom vlozili klic do zamku,

poznatek z praxe: cim slozitejsi system, tim driv a lehceji se pokazi, tim je lehci ho eliminovat, vyradit z provozu. a je jedno, jestli schvalne, nebo nahodne.

netvrdim, ze auto se ma starovat slozitou sekvenci, jak raketoplan (i kdyz to neni spatna myslenka, to by bezni zlodejicek proste nedal, ani s navodem), ale klasicky klic je proste klasicky klic. vyrobni naklady nulanula nic a prece dokaze byt docela slozity na nabourani (a to nemluvim o nejakych specialnich klicich, s magnety, s chipy, ...), naproti podobnym komplikovanym systemum, pricemz kazda jedna z nich ma svoje mouchy, svoje slabe stranky a moznost selhani,

v nekterych pripadech to stejne zlodejum nezabrani k odjezdu s autem, v jinych naopak zabrani majiteli nastartovat.

ne, osobne bych do auta podobne hlouposti neinstaloval, pokud neprojdou nejakou proverkou - coz se evidentne nestalo.

Tie baterky v kluci by som riesil bezdrotovym nabijanim. Oni vela energie nepotrebuju.

Ano suhlasim, ze mechanicky kluc je fajn a je to jednoduche az do doby ked mas plne ruky a potrebujes otvorit auto (nastastie niektore maju senzory v zadnom narazniku takze ked do neho kopnes otvori sa ti aspon kufor). Kazdopadne tu sa bavime o inej triede komfortu a o sposobe akym ho zabezpecit. Pokial chces naozaj velku bezpecnost asi by som to riesil, tym riesenim Mr. Beana :)

a neni pak lepsim resenim vlastni ridic, co mi otevre dvere do auta? a taky vlastni nosic, co mi donese veci? :-D
[nadsazka]se nadela s imigracni krizi - a pritom bychom se vsichni mohli citit jak kralove, kdyz nam doma budou varit, prat, uklizet armada sluzebnictva [/konec nadsazky]

Samozrejme, ze je. Staci mat len zopar milionov eur a nemate problem. Este dalsi stupen konfortu je vlastny vrtulnik. Vyhnete sa zapcham ;)

Ono se to nejspíš časem vychytá, ale do té doby bych to taky nechtěl. Mezitím se to odladí na nadšených dobrovolnících, kteří za to ještě královsky zaplatí.

Nevychyta, bude to spis jeste horsi ... priklad z praxe (jak jinak) starsi model auta, mel (nepovine) merice tlaku, a ukazovalo to na palubce konkretni hodnotu pro kazdy kolo (dokonce vcetne rezervy). Novejsi model uz jen (povine) varuje, ze se tlak zmenil, hodnota nikde a rezerva neexistuje.

takto jsem zavaril sluzebni fabku.
byl jsem zvykly na starsich autech, ze je tam kontrola hladiny oleje - ak neni distatecna, tak to zasviti. dojedu na nejblizsi pumpu (klidne 50km, ale lehkou jizdou), koupim, doliju a jede se dal.
tady zasvitilo, zvolnil jsem, ujel jsem asi 500m a vsechno chciplo.

v servisu mi pak rikali, ze tam neni ukazatel oleje, ale ukazatel tlaku - jak zasviti, ma se okamzite zastavit, vypnout motor a volat odtahovku.

proste to vylepsili.

Bod 3 je super, to je geniální a použitelné.

1. podle mě nejde, protože nestačí "ping - pong" (ten může dělat i útočník), ale potřebuješ "ping - nějaká kryptografie - pong". A to nestihneš. Možná by to šlo nějak řešit, nenapadá mě jak.

2. bál bych se technické závady v bezdrátové komunikaci, kdy nastartuješ, vyjedeš na dálnici a… auto zastaví.

Hm, (1) by možná šlo kdybys dostatečně rychle stíhal jednoduchý XOR. Nejdřív se kryptograficky bezpečně vygeneruje pseudonáhodný stream a ten se pak "rychle" odvysílá - jo, trochu jako to dělá ta GPS.

Problém je, že ta retranslace, pokud je udělaná analogově, nemusí způsobit dostatečně průkazné zpoždění.
Je to zkrátka neproveditelné, nesmysl.

Bod 3 to řeší dostatečně.
V případě výpadku/poruchy akcelerometru, musíš prostě zmáčknout tlačítko.

Jinak, jak se auto rozjede, nesmí se totálně umrtvit při výpadku klíče, ale alespoň pomalu jet.
Představ si, co bys způsobil třeba uprostřed tunelu v Praze...

Místo debilní krabičky by šlo klíč položit na "dobíjecí stojánek", alespoň bys věděl, kde ten klíč máš.
Když je klíč na dobíjecím stojánku (bezdrátová nabíječka), tak nestartuje.

Obecně platí: KDO CHCE, HLEDÁ ZPŮSOBY, KDO NECHCE HLEDÁ DŮVODY.

Tady není vůle to vyřešit.

Jinak možností řešení je hafo:
- váha tlusťocha (otisk prdele), jak si na sedačku sedne někdo +/- 3 kg, nestartuješ bez pinu
- hlasové heslo/rozpoznání hlasu (start)
- nejgeniálnější a nejhezčí (akcelerometr)
- odemčení při rozpoznání ksichtu, když to umí Apple, proč ty to nemohla umět Tesla
https://tech.instory.cz/pc-mobily/506-agenti-fbi-poprve-v-historii-odemkli-novy-iphone-pomoci-obliceje-podezreleho.html
- přítomnost platební karty v autě (bezdrátová karta je dneska běžná)

V případě neshody prostě vyžádat zadání ovládacího pinu auta, pin je platný až do vystoupení.

O samotnu retranslaciu mi nejde. Nemusi sposobit oneskorenie ale urcite ho sposobi fyzikalny jav, ked sa informacia nemoze sirit rychlejsie nez svetlo a preto ak poznate cas mozte vypocitat vzdialenost. Tento jav sa neda oklamat. Ide o to, ze kluc ma otvarat auto na 10m, ak pripocitame nepresnost povedzme dalsich 10m, tak na viac nez 20m auto neotvorite a to ani s retranslaciou. Ci je to ale technicky mozne (hlavne dodrzanie nepresnosti), tom som si neni isty.

A nebo zůstanu u klasického mačkání tlačítka a nemusím víc řešit ....

1. Toto by som riesil postupnostou :

1. auto posle request
2. kluc zasifruje do odpovede zosynchronizovany cas a posle autu
3. auto zo spravy zisti cas na kluci a cas prijatia spravy cim vypocita vzdialenost. Podla mna staci presnost okolo 10m.

Utocnik sice moze zosilnit signal ale neoklame cas. Teda jedine, zeby sa dostal k tej sifrovanej sprave a podvrhol vlastnu.

Sifrovaci kluc by sa mohol casom menit.

Co sa tyka riesenia vasho problemu, tak cas nemuste davat aktualny ale dal by sa cas v buducnosti, kedy je pravdepodobne, ze sa kryptografia dokonci a potom sa iba pocka na ten nastaveny cas, kedy sa sprava posle.

2. Ano je to kontroverzny napad. Ale je to iba brainstorming. Mozno by som ho zmenil tak, ze po strateni signalu z kluca sa automaticky auto prihlasi na internet a posle svoju lokaciu a toto sa nebude dat uz bez kluca vypnut.

Mno a utocnik si zduplikuje klic ... co myslis, kdo ty klice vyrabi? Duch svatej? A kdo myslis ze se jako prvni dostane k tomu jak ten kterej system toho kteryho modelu funguje? Zcela konkretne, pazout predal svyho casu nasim fizlocajtum 5ks technicky specifikace jednotlivych identifikacnich casti a kde jsou k nalezeni u konkretnich modelu. Behem mesice nebyly 4ks k nalezeni.

Tudiz zlodeji presne vedeli kde vsude musej vybrousit/pre­razit/prelepit ... cisla, aby se nedalo zjistit, ze to je konkretni auto.

Jak myslis, ze to funguje s temahle hrackama. Svyho casu sme s kamosema sli na parkoviste, a behem par minut pipaly a byly odemceny desitky aut kolem. Stacil k tomu postarsi NB, a plosnak s kusem dratu namisto anteny.

Proč tak komplikovaně? Vždyť to auto má v ceně trvalý připojení na internet a GPSku, a hodně výkonným počítači s BT a wifi nemluvě.
Při používání telefonu je to jednoduchý:
1) poloha v uživatelem ODEMČENÝM telefonu musí sedět s polohou auta
2) musí být v dosahu BT (jen pro účely komunikace telefonu s autem, smartlock v kombinaci s autem nepoužívám a ani nedoporučuju)
3) silně šifrovaná komunikace přes proxy automobilky a zároveň přes BT s křížovým ověřením klíčů, při nedostupnosti internetu bych vyžadoval současný připojení přes BT a palubní wifi hotspot
4) pro odemčení bez telefonu nutnost použití RFID / NFC tagu, využívajícího jako klíč do něj nahraný, tak neklonovatelný identifikátor tagu do auta předem zavedený jako autorizovaný (přesně takhle se to řeší v EZS). Pro jízdu bez telefonu tento tag MUSÍ být vložen na patřičné místo v interiéru = do čtečky. Kartu ideálně kombinovat jako drátovou i bezdrátovou, tedy smartkartu s NFC, přičemž pro jízdu a bezpečnostně relevantní operace v palubním počítači vyžadovat její vložení do palubní čtečky, kde bude periodicky ověřován jak kontaktní čip, tak komunikace přes bezdrát. Využití kontaktní smartkarty by mělo další výhodu v tom, že by použití auta šlo zpřístupnit přes eObčanku / omezit na konkrétní průkazy totožnosti. Na to by IMO slyšely i pojišťovny a berňák :-D

Jenda, komplikujes to. Co je narocne na ping-kryptografia-pong? Aj keby tam bol slaby cip, da sa spravit nieco ako

Zdielane nastavenie:

// We can compute the crypto in 2s
safe_time_to_com­pute_us = 2000000;


Auto:

send_nonce(nonce);
start_time_us = get_precise_time();
usleep(safe_ti­me_to_compute_us);
resp, end_time_us = receive_with_pre­cise_time();
if (end_time_us - start_time_us > safe_time_to_com­pute_us + allowed_distan­ce_meters*0.3) {
throw attack;
}
// Check resp here


Kluc:

nonce, start_time_us = receive_with_pre­cise_time();
crypto_out = compute_crypto(non­ce);
sleep_until(star­t_time_us + safe_time_to_com­pute_us);
send_response(cryp­to_out);


Tu nam staci to spocitat do 2 sekund a potrebujeme akurat presnu reakciu, nie nutne rychlu. To sa vlastne da spravit aj v HW, kde HW dostane co poslat a kedy to poslat a on sa postara aj o nacasovanie.

GPS netreba.

Tohle ale vyžaduje, aby auto a klíčky měly zabudované hodiny, které dokážou změřit 2 sekundy s přesností na 30 nanosekund (=10 metrů), ne?

Mas pravdu, poplietol som jednotky. V aute s plnohodnotnym CPU s instrukciou RDTSC nie je problem 1ns presnost. 30ns presnost na 2 sekundy asi v klucoch bude asi narocnejsia. Mozno by to islo cez nejaky 32MHz jednocip a pocitanie tikov, ale nerucil by som za to.
V buducnosti s vykonom pristupnym aj v kluci to uz pojde.

1) drahý (synchronizace by musela být na jednotky ns, aby byla přesnost aspoň v metrech, a to na battery-powered zařízení není triviální)
2) riziko false positive a zastavení
3) se mi celkem líbí - ultra low power akcelerometry s dedikovaným pinem (IRQ) pro probuzení MCU zatřepáním jsou na trhu už dlouho a fungují spolehlivě
4) líbí, ale je to jen iluzorní bezpečnost: musí existovat způsob jak přidat další osobu např. v servise (např. po prodeji vozidla, úmrtí majitele atd.) a to znamená že musí existovat master key, ten časem unikne a bude to jako dnes situace s kódováním klíčů (každá garáž má immo-kill nebo jiný nástroj pro naprogramování nové kopie klíče)

1) Suhlasim, nebolo by tu uplne lacne ale zas nebavime sa o lacnych autach
2) Ano preto by som to zastavenie nahradil povinnym prepnutim auta (teda Tesly) na vzdialene sledovanie bez moznosti vypnutia
3)ano je to lacne na financie aj energiu. Myslienka hlavne bola, ze nikto nepotrebuje otvarat auto ked k nemu nejde, cize ak sedi je zbytocne ho otvarat.
4)kazda bezpecnost je iluzorna a najvacsi problem je clovek. Pridanie cloveka by malo byt riesenie priamo v aute tak ako je to aj smartfonoch. Ked to funguje tam tak preco nie aj v aute?

Este mi napadlo ine riesenie. Napr. to ze kluc na jednej frekvencii (komunikacnej) posle spravu kde bude zasifrovana informacia o inej frekvencii, kam by poslal potvrdenie a tato frekvencia by bola dynamicky menena pri kazdom otvoreni. Neviem ci sa da skonstruovat zosilnovac signalu, ktory by naraz vedel obsluzit povedzme 100 frekvencii. Sice zabezpecenie nie je uplne idealne ale znizilo by to pravdepodobnost otvorenia, pricom povedzme 5x zly pokus o otvorenie by bezklucovy system vyradil a uzivatel by musel otvorit inym sposobom (tlacitkom, mechanicky,...). Kazdopadne asi by slo o hodne iluzornu bezpecnost.

To je klasická komunikace v rozprostřeném pásmu (spread-spectrum). Ale neřeší se to tak, že by vysílač říkal kam odskočí, alébrž obě strany mají synchronizovaný generátor pseudonáhodných čísel a tedy jedou podle stejné sekvence přepínání kanálů. Má to výhodu v tom, že informace nutná pro lousknutí se přenáší pouze při výměně "seedu" (synchronizaci) generátorů, nikoli při samotné komunikaci.

Ad 1. analogova retranslace a presnost +- 5 metru - nevim zda by to bylo realizovatelne.

Ad 2. bezpecnostni nesmyls bohuzel

Ad 3.

To by bylo genialne jednoduche reseni - proste pokud se klic 30sekund nehybe tak nereaguje.
(i kdyby tam mel byt neco jako rtutovy snimac co klic na 30 sek povoli reagovat na signaly)
Takze to vyresi problemy s ulozenim doma - kradez ze ti nekdo na pr.... namiri satelit na 50 metru kdyz od auta odchazis asi nevyresi ale to bude minoritni problem.

Zatim vsechno bylo "v noci a doma".

Ad 4. no to uz je UI nesmysl - to tam ten klic muzu zasunout ne?