Безчіповий - обхідникіммобілайзера (емулятор ключа PATS)

Коли встановлював сигналізацію з дистанційним запуском, бачив, що для інших машин існують так звані "Бесчіпові обхідники". Подивився схему PATS (у мене зараз Kuga - кнопка Ford Power). Без кнопки Ford Power думаю аналогічно, тільки замість модуля KVM використовується приладка (IC, HEC)>

емулятор

Начебто б все просто - RxD, TxD -інтерфейс RS-232C. Досить зняти обмін і повторити його потім на мікроконтролері. Озброївся цифровим запам'ятовуючим осцилографом, саморобним сніффером 2-х COM портів, доступними даташитами від Texas Instruments і вирішив зробити емулятор. Осцилограма-успішне визначення ключа:

безчіповий

Осцилограма - немає ключа:

обхідникіммобілайзера

Насправді виявилося все набагато складніше. 1) RS-232C присутній тільки на лінії RxD PATS 2) Полярність сигналу як у Data кабелів (однополярний сигнал рівня TTL), проте амплітуда сигналу 12в. 3) Швидкість передачі виявилася "не зовсім стандартною" - 15 625 біт/c. На щастя адаптер USB-COM, який я використовував, на чіпі Prolific PL2303 можна змусити працювати на цій швидкості, використовуючи недокументовані можливості драйвера (прописавши ключ ExtBaudrate в реєстр Windows). Використовував перероблений варіант адаптера з рівнями TTL плюс зовнішній дільник з резисторів з 12 на 5 ст. 4) На лінії TxD використовується спеціальний сигнал. Для передачі даних застосовується особливий вид Pulse Width Modulation (PWM) - кожен біт інформації передається послідовністю "1" - "0", причому тривалість рівнів "1" і "0" для інформаційного біта "1" в два рази більше, ніж для інформаційного біта "0" 5) І, нарешті, найголовніше: сигнали на лініях TxD і RxD весь час різні! У PATSвикористовуються траспондери Texas DST, у яких застосовується технологія Challenge-Response (аналог системи "свій-чужий"). Блок KVM (або IC) передає запит, в якому присутній Challenge - випадкове 40 бітне число. Осцилограма- Challenge:

безчіповий

Транспондер обробляє запит за проприертарним (засекреченим) алгоритмом Texas Crypto (схожий на DES) з ключем шифрування довжиною 40 біт і формує відповідь Response, в якій залишає тільки 24 біта з 40. Response включається до складу пакета, що направляється в лінію RxD. Цей пакет також включає серійний номер транспондера та контрольну суму CRC-CCITT, параметри полінома якої також не афішуються. Осцилограма- Response:

безчіповий
Ключ шифрування прочитати з транспондера не можна, його можна лише записати в трансподер. Як з'ясувалося він той самий для машини, тобто. у кожному ключі іммобілайзера однієї машини він той самий. Ключ шифрування в якомусь вигляді присутній у пам'яті блоку KVM (IC), тому останній може перевірити правильність Response від транспондера у відповідь на посланий Challenge. На щастя алгоритм Texas Crypto був зламаний Steve Bono et al ще в 2005 р. із застосуванням PLIC-FPGA - цей випадок дуже популярний, вивчається у всіх американських університетах. Посилання Bono et al : http://www.usenix.org/event/sec05/tech/bono/bono.pdf Взагалі, зібравши все це до купи, прочитавши багато датаситів, провівши багато експериментів мені вдалося зробити емулятор.

Схема емулятора:

безчіповий

Схема підключення емулятора (Ford Power):

обхідникіммобілайзера

Схема підключення емулятора (без Ford Power):

обхідникіммобілайзера

Мені здається, що вихід із приймача транспондера (RxD) виконаний за схемою з "відкритим колектором". Якщо це дійсно так, то можна використовувати на свій страх та ризик (явикористовую) 2-х провідну схему підключення. У цьому випадку можна замкнути джампер "2Wire", а можна і не замикати- остання версія програми мікроконтролера сама визначає чи підключений емулятор за 2-х провідною схемою Схема підключення емулятора 2 -x провідна (Ford Power):

емулятор

Схема емулятора-мінімальний варіант-для розміщення всередині блоку сигналізації:

емулятор

Прошивка мікроконтролера: --- не знаю як прикріпити файл EEPROM мікроконтролера: --- не знаю як прикріпити файл

Як записати серійний номер транспондера та ключ шифрування: I Спосіб (редагування EEPROM): 1. Підключити емулятор до машини. 2. Замкнути джампер "Record" 3. Контакт "ByPass" не замикати. 4. Прибрати брелок безключового запуску із зони досяжності 5. Вставити ключ аварійного запуску у утримувач (у випадку Ford Power) 6. Натисніть кнопку Ford Power (Включити запалення) 7. Дочекатися не менше двох миготінь (

1 сек. кожне) світлодіода- емулятор запише в EEPROM серійний номер та дві пари Chalenge-Response 8. Прочитати у програматорі EEPROM

безчіповий

Ввести в програму Texas DST Calc --- не знаю як прикріпити файл

обхідникіммобілайзера

Програму останнього довелося також сильно оптимізувати, функція Texas Crypto написана повністю на асемблері. Перша версія обчислювала Response за 215 ms - коли вже "поїзд пішов". Незначна затримка (на 8 MHz вже менше не можна) не впливає на роботу PATS

обхідникіммобілайзера

II Спосіб (читання Challenge/Response, запис Cryptokey по послідовному каналу):

b.2 Дубль існуючого топіка.Заборонено створювати нові теми, які вже обговорювалися в даному розділі, з питаннями, відповіді на які дано у розділі FAQ конкретного розділу. Детальніше..