Um die Sicherheit von funkbasierten Zugangskontrollen oder Türöffnern (z. B. für Pkws oder Garagentore) zu erhöhen, wird für die Authentifizierung zwischen Sender und Empfänger ein Rolling-Code (Rollcode) genutzt. Dabei wechseln nach jedem Befehl bzw. nach jeder Datenübertragung die Codezahlen. Die Verwendung von Rolling Codes verhindert Replay-Angriffe, bei denen ein Angreifer auf den gesendeten Code zugreift, ihn aufzeichnet und ihn dann wiederholt, um das System zu knacken.
In einem nicht-kryptografischen System für Rolling Code verwenden Sender und Empfänger denselben Pseudo-Zufallszahlengenerator (PRNG, pseudo-random number generator), der Informationen über den zuletzt verwendeten Code und eine durchzuführende Berechnung enthält. Die Durchführung der Berechnung führt zur Erzeugung einer sich nicht wiederholenden und spezifischen Zahlenfolge. Wenn ein Ende der Kommunikation – zum Beispiel der Schlüsselanhänger oder das Modul im Fahrzeug - die nächste Zahl in der Sequenz sendet, kann das andere Ende sie mit seinem eigenen PRNG überprüfen. Ein derzeitiges System könnte einen 40-Bit-Rolling-Code für etwa eine Billion möglicher Codes verwenden.
Wenn der Code übereinstimmt, authentifiziert sich das System und die Autotür wird entriegelt. Andernfalls durchläuft das System die Zahlenfolge auf der Suche nach dem gesendeten Code. Jede erfolgreiche Nutzung des Systems führt zu einer Synchronisierung der Endpunkte, was bedeutet, dass das System beim nächsten Mal beim ersten Versuch funktionieren sollte.
Bei kryptografischen Rolling-Code-Systemen kommt noch ein geheimer Schlüssel hinzu, der von Sender und Empfänger gemeinsam genutzt wird.
quelle: Ivy Wigmore, TechTarget
Aber
Funkschlüssel aus Kraftfahrzeugen arbeiten zur (vermeintlichen) Sicherheit oft mit einem Rollcode (Wechselcode, rolling code), diese Sicherheit täuscht jedoch. Für einen beabsichtigten und berechtigten Öffnungsvorgang schickt der Funkschlüssel eine verschlüsselte Sequenz an das Fahrzeug. Mit jeder Kommunikation zwischen Fahrzeug und Schlüssel wird die Sequenz geändert, die wiederum auf einem dem Hersteller bekannten Algorithmus beruht. Jeder Schlüssel hat einen anderen Startwert, wobei das Fahrzeug den Startwert des dem Kfz zugeordneten Funkschlüssels kennt. Auch mit jeder geänderten Sequenz kann das Fahrzeug bei jeder Anfrage unterscheiden, ob das Signal bzw. die Anforderung vom berechtigten Schlüssel kommt. Darüber hinaus werden bei Mehrfachanforderungen vom gleichen Funkschlüssel, alle davor übertragenen Sequenzen und Kommandos gelöscht. Damit wird verhindert, dass Öffnungssequenzen von Tätern auf Vorrat abgefangen und gespeichert werden.
Dennoch kann ein solches Fahrzeug mit dem bereits beschriebenen Equipment mit relativ geringem Mehraufwand geöffnet werden. Wichtig ist dabei der Umstand, dass die Hardware im angegebenen Frequenzbereich auch senden kann; die Hardware wird als Störsender / Jammer missbraucht. Sobald der Fahrzeughalter eine Anforderung an sein Fahrzeug schickt, wird das Funksignal des Schlüssels mit der gleichen Frequenz überlagert, was zur Folge hat, dass das Schlüsselsignal vom Fahrzeug nicht erkannt und nicht angenommen wird. Dieser Anfragecode wird jedoch unbemerkt auf dem Laptop abgespeichert. Und was macht ein Fahrzeugführer, wenn die Betätigungsanforderung über den Schlüssel nicht geklappt hat? Logisch, er drückt ein zweites Mal auf die Fernbedienung, wonach das Fahrzeug dann reagiert. Darüber wird sich auch kaum ein Fahrzeugbenutzer wundern, weil sowas immer mal wieder aus nachvollziehbaren Gründen (Abstand, hab ich auch richtig gedrückt? etc.) vorkommt. Das Fahrzeug schließt bzw. öffnet nun. Aber: Was der Benutzer und das Fahrzeug nicht merken können - das Fahrzeug wurde von der Hardware des Täters mit dem vorletzten gültigen und abgefangenen Betätigungscode versorgt. Weil der Täter auch bei der zweiten Betätigung der Fernbedienung den Codeaustausch mit dem Störsender unterbunden hat, verfügt er nun über einen gültigen Öffnungscode und kann in das Fahrzeug eindringen.
Und glauben Sie bitte nicht, dass nichts weiter passieren könnte, weil Sie Ihr Fahrzeug ohnehin in der Garage abstellen. Die Garage ist mit den gleichen Werkzeugen und Methoden schnell geöffnet. Dazu muss noch nicht mal ein Anfragecode der Fernbedienung abgefangen werden. Typische 12 bit Fernbedienungen sind u.a. mit der De Bruijn sequence in 8 Sekunden gehackt, da kann man sich als Täter das Sampeln der Fernbedienung sparen und gleich zuschlagen und die Garage öffnen.
quelle: Ingenieurbüro Kneifel GbR