Форум по автобезопасности -
автосигнализации
Контакты
Тема
:
MS600 взлом или нет?
Показать сообщение отдельно
Spirit
Сенсей
Регистрация: 16.01.2007
Адрес: Москва
Сообщения: 752
Репутация:
264
01.04.2008, 20:55
#
20
aaalex
, в общем, Вы правы. Но Вы описали как работает система с _уже_ прописанными в неё брелками. А автор первого поста говорил о потенциальной узявимости алгоритма прописывания брелков.
Впрочем, этот автор упустил из виду то, что брелок при прописывании (если всё реализовано правильно) передает в базу не просто "ключ шифрования", а свой открытый ключ. И получает от базы её открытый ключ. Классическая уязвимость man-in-the-middle здесь не применима, т.к. отсутствует возможность порвать прямую связь между брелком и базой. А перехват двух открытых ключей ничего не даст, ведь для формирования валидной посылки злоумышленнику нужно знать секретные ключи, а они формируются случайным образом в момент привязки брелка к базе и в эфире не звучат. Вуаля!
Возможно, возникнет вопрос, почему нельзя разорвать прямую связь между брелком и базой и изобразить классический man-in-the-middle. Отвечу. Процедура прописки брелка лимитирована по времени как минимум со стороны брелка. Брелок и база работают на одной и той же частоте и находятся в момент прописки рядом друг с другом. Таким образом, заглушив канал связи, мы неминуемо получим "глухие" брелок и базу, которые будут не способны воспринимать наши подставные ответы. А если мы снимем помеху, чтобы "нагадить в уши" брелку и базе, то они тут же "снюхаются" напрямую. Или брелок индицирует невозможность прописаться, а это будет провалом нашей миссии по реализации man-in-the-middle.
Так что первый пост этой темы - не более, чем страшилка, основанная на слабом понимании принципов работы диалога и шифрования с открытым ключом.
А вот если MS или Пандора сделали алгоритм прописки брелка таким, как его его описал автор первого поста, тогда да, дырка есть. Но я очень сомневаюсь, что они сделали такую глупость, как фиксированный код шифрования, который звучит в эфире.
Меню пользователя Spirit
Посмотреть профиль
Найти ещё сообщения от Spirit