MITM resistente Anweisungsübertragung

Hallo Allerseits,
hier mal ein Thema, was mich seit sehr kurzer Zeit beschäftigt. Man kennt ja die Keyless-Car-Systems, bei denen ein Angreifer aus mindestens 2 Personen bestehen muss, um die Informationen vom Schlüssel in das Funkfeld des Autos zu übertragen und so das Auto zu klauen.

Hier wird also (ich vereinfache das mal) eine Information vom Schlüssel (ob verschlüsselt oder nicht, spielt für diese Form des Man-in-the-Middle keine Rolle) an das Auto weitergeleitet.

Ich sehe folgendes Problem, an der gesamte Geschichte:
Egal wie aufwendig die Kommunikation zwischen Auto und Schlüssel verläuft, solange die Informationen nur zwischen den beiden Parteien unverändert weitergeleitet werden, sind diese Dinge nicht MITM-sicher.

Nun betrachtet man als Autobauer folgende Interessen:
Zweck des Keyless-Systems: Kunden sollen bequemer die Produkte nutzen können und nicht immer einen Schlüssel in die Hand nehmen müssen.
Das Interesse liegt also darin ein gutes Verkaufsargument bereit zu halten und die Faulheit der Kunden zu unterstützen.

Unter dieser Prämisse wäre eine höhere Sicherheit durch weitere Gegenstände nicht wünschenswert. Hat jemand also eine Lösung wie man die Kommunikation zwischen A und B absichern könnte?


Ich sehe keine Optimierung in der Übertragung, die dem MITM standhalten könnte.

Mein Ansatz wäre ähnlich der Rollcodes für die normalen Schlüssel, allerdings werden hier Frequenzen gewechselt, sodass es Angreifern erschwert wird die korrekte Frequenz der Übertragung zu ermitteln. Dies ist keine vollkommene Absicherung und die Systeme Key und Car müssen sich synchronisieren, sobald Key in Car ist.
 
Moin

Wenn die Kommunikation der beiden Geräte sicher verschlüsselt ist und beide über einen genauen Zeitgeber verfügen, lassen sich solche Attacken durch die veränderten Signallaufzeiten relativ einfach detektieren.

Das Problem mit den aktuellen Systemen ist, wie meistens, das Sicherheit kein Designziel war und sich das jetzt nicht mehr einfach nachrüsten lässt.
Da die Unwilligkeit der Autobauer keine spürbaren Konsequenzen hat, fehlt der Anreiz, das für die Zukunft zu ändern.

Sentrax
 
Meinst du mit "veränderten Signallaufzeiten", dass jeder Befehl nur eine begrenzte Gültigkeitsdauer hat?
 
Die Signallaufzeit wurde ja schon genannt. Wenn man das jetzt kombiniert oder das Datum/Zeit in die Challenge einbezieht und den Schlüssel damit authentifiziert und die sendezeit verschlüsselt überträgt kann man davon ausgehen, dass es sich um den Schlüssel handelt und dieser nur ca. 1m vor dem Auto steht oder zu Weit weg ist. Wenn ich mich jetzt nicht vertan habe liegt die Laufzeit bei 1m bei 3μs und bei 2m schon bei 6μs. Das sollte auffallen.

Du kannst auch die Sendeleistungen und damit die Reichweite entsprechend einschränken. Den Autoschlüssel sollte man dann nicht zwingend an die Rückseite der Haustüre hängen.

Dann sollte das Auto nicht nur einmal abfragen sondern regelmäßig und dann ggf. den Motor abstellen und die Tür schließen. Dann bringt ihm seine statische Relaystation irgendwann nichts mehr.

Zusätzlich kann das Smartphone als zweiter Faktor dienen und wenn das Auto los fährt macht die Webcam im Rückspiegel ein Foto und versendet es usw.

Kombiniert mit dem üblichen Sicherheitskram sollte das den Diebstahl erschweren.
 
Zuletzt bearbeitet:
Also ich stehe lieber einmal vor einem leeren Parkplatz, als ständig vor meinem
Auto, dass mich wegen eurer Paranoia nicht reinlässt. Jedes eurer tollen Sicherheitsfeature
sehe ich eher als Fehlerquelle für eine problemlose Nutzung des Fahrzeugs.

Gruß
 
Das liegt ja dann beim Hersteller das so zu entwickeln, dass es sicher ist und problemlos funktioniert. Wenn man halb fertige Produkte auf den Markt bringt ist das ein anderes Thema.

Zusätzlich gäbe es ja immernoch die klassische Variante mit dem Schlüssel, falls mal die Batterien schlapp machen etc.

Wenn man dann das Öffnen und Schließen wie gewohnt mit Warnsignalen koppelt weiß ich ja schon in der nähe des Autos ob es offen ist oder nicht. Im Fehlerfall hab ich dann den selben Aufwand wie ohne Keyless Go. Schlüssel aus der Tasche ziehen, Knopf drücken oder aufsperren.

Da sehe ich kein Problem, das Umstände verursacht.

Davon abgesehen ist das wirklich ein Aufwand? ... zur Tür langen, feststellen dass sie zu ist, Schlüssel raus ziehen... aufsperren...
Wenn das ein Dauerzustand ist, dann ist das eben nur eine Enttäuschung gegenüber der Keyless Go Technik des Herstellers.
 
Also ich stehe lieber einmal vor einem leeren Parkplatz, als ständig vor meinem
Auto, dass mich wegen eurer Paranoia nicht reinlässt. Jedes eurer tollen Sicherheitsfeature
sehe ich eher als Fehlerquelle für eine problemlose Nutzung des Fahrzeugs.

Gruß

Die Nutzbarkeit ist natürlich der wesentliche Entwicklungspunkt. Dahingehend sollte vielleicht der Nutzer selber einstellen dürfen, wie sicher er sein Auto haben will? (Kostenfrei in der Werkstadt vielleicht, oder über den OBD2 Anschluss)

Mehr Sicherheit birgt natürlich Fehlerquellen. Diese sollte man aber im Vorfeld durch die Entwicklung vollständig entfernen, bevor das auf den freien Markt kommt. Aber ich weiß nicht: Lieber ein paar Öffnungsverzögerungen, als ein geklauter Neuwagen?


@Lama
Verbindungen mit einem Smartphone halte ich auch für fragwürdig :) Auch das Abstellen des Motors während der Fahrt ist ein Sicherheitsrisiko. Es kann ja mal sein, dass der Key keine Verbindung zum Car innerhalb der Car aufbauen kann. Sowas kann höchst gefährlich sein. Man sollte auch bedenken, dass Autodiebe immer mindestens einen GPS-Jammer dabei haben, rein prophylaktisch. Der Weg zu einem Jammer für Mobilfunkfrequenzen ist dann auch nicht mehr weit. (Hab erst vor kurzem gelesen, wie sich ein Radio-Jammer "umbauen" lässt)
 
Zuletzt bearbeitet:
Wenn man gut versichert ist ist der leere Parplatz vielleicht mehr Wert.

Warum ist das Smartphone als zweiter Faktor fragwürdig?
Ohne Phone und Key gehts nicht auf und an. Backuplösung = Schlüssel.

Das Auto soll ja nicht sofort den Anker werfen. Sicherstellen, dass der Key weg ist, Warnblinker an, abbremsen und dann sicher zum stehen kommen. Das sollte man halt sicher implementieren.
 
Ich halte Smartphones immer noch nicht für sicher genug, um solch wichtige Aufgaben zu übernehmen. Außer natürlich, du nutzt das Handy wirklich nur zur Übertragung von Bildern Car -> Phone.
Dann ist aber auch wieder die gleiche Frage: Wie weit wird damit der Datenschutz/Persönlichkeitsrecht angegriffen, wie es auch auf den Blitzerbildern beim Beifahrer der Fall ist. Stell dir vor ein untreuer Mensch ist mit seiner Affaire am Gange und das Bild wird aufs zu Hause liegende Smartphone gesendet, wegen eines Fehlers ;)
 
Das Auto soll ja nicht sofort den Anker werfen. Sicherstellen, dass der Key weg ist, Warnblinker an, abbremsen und dann sicher zum stehen kommen. Das sollte man halt sicher implementieren.

Schonmal ein Keylessfahrzeug gefahren? In der Regel gibt es eine Meldung das der Schlüssel nicht mehr gefunden wird. Du kannst solange weiterfahren bis der Motor abgestellt wird. Eine automatisiertes Abbremsen stelle ich mir sehr gefährlich vor. Bsp Autobahn, linke Spur bist mit gemütlichen 150 km/h unterwegs. Plötzlich gibt dein Schlüssel den Geist auf. Auto bremst und du stehst dort auf der linken Spur rum. Sehr gefährlich.

In der Regel gibt es bei solchen Fahrzeugen auch eine "Zone" wo der Schlüssel nach dem guten alten Transponder prinzip funktioniert ohne das ganze Keyless kram.

In den letzten Jahren hat sich einiges getan (zwar noch nicht genug) aber für Gelegenheitsdiebe ohne große Hardwarekenntnisse langt dies. Für Profis sind komplette Fahrzeuge eh nicht mehr interessant, da es einfach zu viele GPS Tracker vom Werk aus gibt. Lieber werden da einzelne Elemente wie Scheinwerfer oder ähnliches einfach abgebaut. Dazu brauche ich nicht wirklich den Schlüssel, öffnen lässt sich jedes Fahrzeug mit den universal Tool "Hammer"....
 
Schonmal ein Keylessfahrzeug gefahren? In der Regel gibt es eine Meldung das der Schlüssel nicht mehr gefunden wird. Du kannst solange weiterfahren bis der Motor abgestellt wird. Eine automatisiertes Abbremsen stelle ich mir sehr gefährlich vor. Bsp Autobahn, linke Spur bist mit gemütlichen 150 km/h unterwegs. Plötzlich gibt dein Schlüssel den Geist auf. Auto bremst und du stehst dort auf der linken Spur rum. Sehr gefährlich.

In der Regel gibt es bei solchen Fahrzeugen auch eine "Zone" wo der Schlüssel nach dem guten alten Transponder prinzip funktioniert ohne das ganze Keyless kram.
Auch oldschool mit einem Schlüssel. Ich kenne das Keyless System von Renault. Dort hat man eine Plastikkarte im Fahrzeugschein-Format (gefaltet). Darauf sind 2-3 flache Knöpfe angebracht und es ist ein Schlüssel vorhanden, der sich recht schwer herausziehen lässt.

In den letzten Jahren hat sich einiges getan (zwar noch nicht genug) aber für Gelegenheitsdiebe ohne große Hardwarekenntnisse langt dies. Für Profis sind komplette Fahrzeuge eh nicht mehr interessant, da es einfach zu viele GPS Tracker vom Werk aus gibt. Lieber werden da einzelne Elemente wie Scheinwerfer oder ähnliches einfach abgebaut. Dazu brauche ich nicht wirklich den Schlüssel, öffnen lässt sich jedes Fahrzeug mit den universal Tool "Hammer"....
Um an die Scheinwerfer zu kommen, wäre ein Brechstange besser geeignet ;) (jedenfalls die hinteren) Vorne ist der Hammer schon noch ein gutes Werkzeug. Dem Verbraucher ist das im Endeffekt auch egal, ob ein Schaden dran ist. Polizei gerufen, Diebstahlaufnahme, Fahrt nach Hause. Müsste derjenige dann laufen oder mit den öffentlichen Fahren, ist das schon eher unbequem. Auch gibt es ja idR einen Leihwagen, während das Hauptfahrzeug in der Reparatur steckt. Ist das Fahrzeug aber gestohlen worden, ist das Gerenne erstmal groß. Polizei muss die Anzeige aufnehmen. Die Versicherung zahlt auch nicht sofort. Ein Leihwagen wird auch nicht direkt übernommen. Es birkt viele Unannehmlichkeiten. Im worst-case zahlt die Versicherung sogar nicht, wenn keyless-Systeme ausgeschlossen wurden.
 
Auch oldschool mit einem Schlüssel. Ich kenne das Keyless System von Renault. Dort hat man eine Plastikkarte im Fahrzeugschein-Format (gefaltet). Darauf sind 2-3 flache Knöpfe angebracht und es ist ein Schlüssel vorhanden, der sich recht schwer herausziehen lässt.

System von Peugeot funktioniert etwas anders. Normalen Schlüssel einstecken. Näherst du dich dem Fahrzeug bis auf wenige cm. Kannst du in den Griff reingreifen und es öffnet sich. Beim verschließen musst du explizit übern Griff "streicheln" und er verschließt sich mit entsprechenden Signal.


BMW und VW hat zum Bsp eine Reichweite von bis 1,5m. Da kann es schon passieren wenn der Schlüssel nahe am Fenster liegt und das Fahrzeug vor der Türe steht, das Keyless immer noch geht.

Warum ich eine Brechstange brauche für die Scheinwerfer? Brauche nur in den Innenraum zu kommen. Entriegel die Motorhaube (das geht immer auch ohne Schlüssel) und kann die bequem Abschrauben. Ist eine Sache fürn Profi von paar Minuten (da ja nicht darauf geachtet werden muss alles Ordnungsgemäß abzubauen, sondern nur das der Scheinwerfer intakt bleibt)
 
System von Peugeot funktioniert etwas anders. Normalen Schlüssel einstecken. Näherst du dich dem Fahrzeug bis auf wenige cm. Kannst du in den Griff reingreifen und es öffnet sich. Beim verschließen musst du explizit übern Griff "streicheln" und er verschließt sich mit entsprechenden Signal.
Bei Renault ist das normale Öffnen über Keyless so:
Man nähert sich dem Fahrzeug, steckt die Hand hinter den Griff, dadurch entriegelt sich das System und das Auto lässt sich öffnen. Es wird nicht geprüft ob "key_in_car". Das Auto lässt sich dann starten.
Abschließen ist etwas heikler. Nach 6 Jahren Nutzung reagiert die Fahrertür nicht mehr. Man muss dazu den kleinen Knopf am Fahrzeuggriff betätigen, egal an welcher Tür. Man bekommt aber jedes mal ein akustisches und optisches Feedback.
Sind sich da also sehr ähnlich :)


BMW und VW hat zum Bsp eine Reichweite von bis 1,5m. Da kann es schon passieren wenn der Schlüssel nahe am Fenster liegt und das Fahrzeug vor der Türe steht, das Keyless immer noch geht.
Ich fahre zwar selber einen VW und habe mehrere BMW und Skoda in der Familie, aber niemand hat ein Keyless-System von den Herstellern. Irgendwer berichtete mir mal von einem Missgeschick. Der Eigentümer des Autos ist mit seiner Frau ein Stück mitgefahren, die Frau fuhr. Er stieg aus, hielt den Schlüssel aber weiterhin in der Tasche, Motor blieb an. Frau fuhr weiter nach Hamburg (von Bremen aus). Dort ließ sich dann die Rückfahrt nicht mehr antreten :D

An solch einem Beispiel sieht man dann, wie wichtig der Test "key_in_car" ist.

Warum ich eine Brechstange brauche für die Scheinwerfer? Brauche nur in den Innenraum zu kommen. Entriegel die Motorhaube (das geht immer auch ohne Schlüssel) und kann die bequem Abschrauben. Ist eine Sache fürn Profi von paar Minuten (da ja nicht darauf geachtet werden muss alles Ordnungsgemäß abzubauen, sondern nur das der Scheinwerfer intakt bleibt)

Heckleuchten lassen sich bei geschlossener Klappe nicht soo leicht entnehmen. Die werden idR von innen mit einer Mutter gehalten, von außen sind sie aber noch gesteckt. Häufig sind die auch noch so verbaut, dass die Klappe ebenfalls ein wenig Stabilität bietet, sodass eine Kunststoffkante davon überdeckt wird. Mit einer Brechstange lässt sich dann die Kofferraumklappe entfernen. Aber die teuersten Gegenstände befinden sich ohnehin unter der Motorhaube ;)
 
Bei Peugeot gibt die Prüfung ob Schlüssel im Auto ist bzw er muss sich sogar auf den vorderen Sitzen befinden.

Bei neueren BMW und VWs langt im "innenraum", Kofferraum geht nur manchmal
 
Bei Peugeot gibt die Prüfung ob Schlüssel im Auto ist bzw er muss sich sogar auf den vorderen Sitzen befinden.

Bei neueren BMW und VWs langt im "innenraum", Kofferraum geht nur manchmal

Das ist interessant. Ich meine mich daran zu erinnern, dass dieses Dilemma mit einem BMW passiert war. :D

Nun ist noch die Frage: Wenn Methoden zur Sicherheit bekannt sind, warum werden diese nicht umgesetzt? Wie hoch wären die extra-Kosten? Würde da nicht ein Low-Cost-Microprozessor ausreichen, um den Job der Evaluierung und co. zu übernehmen? Ist dieser überhaupt erforderlich? Die Dinger sind doch echt günstig, gerade, wenn man einen solch voluminösen Bedarf hat, wie ein Autohersteller. (Wenn ich z.B. an die Atmel oder ARM Cortex Prozessoren denke.. 128 Bit Sicherheit scheint auch zunächst genügend.)
 
@Shalec
warum nicht sicher? Das Smartphone wäre nur der zweite Faktor. Der Datenschutz hat in meinem Auto nichts verloren. Aufkleber rein "sie werden Videoüberwacht" sollte glaub ich ausreichen.

@Chakky
Gefahren ja aber nicht zugelegt. Ich hab während der Fahrt den Schlüssel nicht aus dem Fenster geworfen. Das abbremsen stell ich mir aber machbar vor. Eigentlich sollte der Dieb die Entfernung auch nicht so weit überbrücken können um auf die linke Spur einer Autobahn zu kommen. Sonst stell ich mir das genauso wie bei autonomen Notbremssystemen vor. Die gibts schon.
 
Nun ist noch die Frage: Wenn Methoden zur Sicherheit bekannt sind, warum werden diese nicht umgesetzt? Wie hoch wären die extra-Kosten? Würde da nicht ein Low-Cost-Microprozessor ausreichen, um den Job der Evaluierung und co. zu übernehmen? Ist dieser überhaupt erforderlich? Die Dinger sind doch echt günstig, gerade, wenn man einen solch voluminösen Bedarf hat, wie ein Autohersteller. (Wenn ich z.B. an die Atmel oder ARM Cortex Prozessoren denke.. 128 Bit Sicherheit scheint auch zunächst genügend.)

Problem sind die realtiv langen Lebenszyklen solcher Systeme. Als Hersteller bin ich verpflichtet 5 oder 10 Jahre ersatzteile vorzuhalten. d.h. eh eine neue Generation vollständig durchgesetzt hat dauerd es seine Zeit und dann zu diesem Zeitpunkt ist es wieder veraltet.

Dann willst du noch kompatibel mit anderen Dingen sein, es muss gerade bei Autoschlüssel egal bei welchen Umweltbedinungen funktionieren (Wüste oder Polarkreis, in der Hosentasche oder auch mal ein Waschgang überstehen)
 
Zurück
Oben