Secukey - Keyless sicher machen gegen Diebstahl

[Pizzaofen]

Ich habe heute den Secukey erhalten.

Mir wurde gesagt, der Einbau sei kinderleicht.

Nun, heute hat sich ein Audi-Vertragshändler die Karten gelegt, weil er nicht weiß, wo er ein Kabel, welches das Keyless de- bzw. aktivieren soll, anklemmen soll.

Die redeten irgendwas von Kessy oder irgendwo im Komfortsystem.

Masse und Plus sind klar, das Anlernkabel auch, aber hat jemand eine Idee wo das andere Kabel angeklemmt werden muß?

Eine separate Sicherung explizit für das Keyless im A7 gibt es nähmlich nicht!

[Fensterheber133164]

Danke fürs nachhaken. Ich bin gerade viel beruflich auf dem Ritt und komme nicht wirklich zu was anderem :rolleyes:

Wenn der Hersteller das nicht nachstellen kann, ist ja evtl. alles OK und nur an meinem SecuKey was kaputt, dass es aufgezeichnete Signale akzeptiert. Nur seltsam, dass sich das Gerät sonst genauso verhält wie es sollte, aber vielleicht hat ja wirklich nur die Laufzeitmessung 'ne Macke. Die Aktion ließ sich halt letztens beliebig wiederholen mit quasi null Aufwand. Möglicherweise kriege ich das Ding ja dann nochmal umgetauscht oder so…

Wenn nix dazwischen kommt, sehe ich übrigens übernächstes Wochenende auf einer Feier einen alten Bekannten wieder, von dem ich vor 2 Jahren mein SecuKey System bekommen habe. Er hatte damals irgendwie Probleme, eine geeignete Sicherung zu finden, mit der das anständig funktioniert hat. Er hatte sich dann stattdessen im Nachgang ein SecuRelays besorgt, mit dem er seitdem eigentlich zufrieden ist. Ihn hat das letztens auch gewundert als ich erzählte, dass ich mein Signal beliebig kopieren konnte und meinte, ob ich meinen Raspi mal einpacken kann um das mit seinem SecuRelays dann einfach auch mal auszuprobieren. Mal schauen, wenn wir dazu kommen werde ich berichten. Hab den Krempel jedenfalls schonmal zusammengepackt…

[MR-Y1]

@Sheriff_1896

Hast du auch den secukey 3,0 ?

Oder gab es vor zwei Jahren ein anderes?

[Fensterheber133164]

@MR-Y1:

Ja, genau, 3.0

[tek2z]

@Sheriff_1896

RPi 3B und SecuKey 3.0 wären bei mir vorhanden.

Sofern ich noch eine Möglichkeit finde, einen Monitor + Tastatur zzgl. Strom in die Nähe meines Autos zu bringen, dann kann ich das ganze auch mal testen.

Den SecuKey 3.0 hab ich Ende Oktober 2017 gekauft.

[Fensterheber133164]

So, endlich kurzes Update von meiner Seite: Ich hab mich am WE auf der Feier tatsächlich mal mit meinem Bekannten 10 Minuten rausmogeln können und wir haben mit meinem Raspi meinen Test von letztens an seinem SecuRelays (Schwesterprodukt vom SecuKey) wiederholt.

Wieder habe ich mit rpitx zuerst das Signal vom Hochsicherheitsschlüssel aufgezeichnet. Also einfach wieder auf 433,92 MHz mal 4, 5 Sekunden auf "Record", während der Hochsicherheitsschlüssel in der Nähe lag und sekündlich vor sich hinblinkte (das zeigt offenbar die Sendezeitpunkte an).

Danach haben wir am Auto erst kontrolliert, ob ohne eingeschalteten Hochsicherheitsschlüssel der Motor nach ca. 3 Sekunden wieder ausgeht (so funktioniert das SecuRelays). Das hat funktioniert.

Wenn man dann aber mit dem Raspberry das anfangs kopierte Signal per "Play" wieder abspielt, läuft der Motor danach ohne Zwangsabschaltung. Also auch das SecuRelays scheint die kopierten Signale zu akzeptieren…

Langsam scheint mir, dass es da evtl. ein generelleres Problem gibt und nicht bloß bei meinem SecuKey da was defekt ist… Dann verstehe ich aber nicht, dass der Hersteller das nicht nachvollziehen kann :confused:

[Fensterheber133164]

@tek2z

Ja, Raspi 3B nutze ich auch, bei mir noch unter Raspbian Stretch (mit dem aktuellen Raspbian Buster soll wohl rpitx auch noch nicht richtig kompatibel sein…). Allerdings kann die Drahtantenne an Pin 7 (ich hab ein ca. 18 cm langes Jumperkabel drangesteckt) von rpitx nur zum Senden verwendet werden. Zum Mitlesen/Aufzeichnen von Signalen braucht man auch bei rpitx noch einen alten DVB-T Stick mit dem richtigen Chipsatz (RTL2832U). Falls man nicht noch zufällig einen von früher in der Schublade hat, wo der Chipsatz passt, kann man die für ca. 15 Euro z.B. bei Amazon kaufen (https://www.amazon.de/dp/B013Q94CT6). Die mitgelieferte TV-Antenne reicht an sich auch schon, um Signale im 433-MHz-Bereich empfangen zu können.

Mit Monitor und Tastatur braucht man nicht unbedingt große Umstände machen. Ich hab auf meinem Raspi den SSH Server laufen. So kann ich mich von jedem Rechner (z.B. Laptop) per SSH, d.h. Kommandozeile einloggen, solange man im selben WLAN ist. Oder man lässt den Raspi das WLAN gleich selbst aufmachen.

Letztens bei den Tests an meinem SecuKey gings auch bequem vom Schreibtisch. Die SecuKey-Schlüssel hatte ich eh am Mann und das abgespielte Signal kam auch vom Schreibtisch aus noch recht gut beim Auto an (ca. 10 Meter Entfernung). So gesehen scheint das über den Raspi kopierte Signal sogar eine größere Reichweite zu haben als das der originalen SecuKey-Schlüssel :D

[MR-Y1]

Dann sollten alle die dieses System haben den Hersteller Kontaktieren.

Am besten anrufen auf Mails wird nicht gerne geantwortet

 

 

[tek2z]

@Sheriff_1896 Ok, ein solchen Stick hab ich derzeit nicht. Den müsste ich erst kaufen. Unpassenderweise hat mein Pi gestern glaube einen durch Überspannung, die die Steckerleiste hätte eigentlich verhindern sollen, weg bekommen.

Eventuell kannst Du mal mit deinem Equipment ein Video machen vom Scan, Recording und Abspielen des Signals zzgl. des öffnens des Autos.

 

Weiterhin enthält der "Hochsicherheitsschlüssel" ja eine zweiseitige Platine.

Seite 1: Microchip (ohne Beschriftung) + Löststellen der Seite 2

Seite 2: Batterie + Resonator (mit Beschriftung LR1 433.92)

Damit wäre dann auch geklärt, warum der Schlüssel auf den Scan antwortet.

Jetzt ist die Frage wofür der Microchip zuständig ist?!

Da drin müsste ja dem Vernehmen nach die Laufzeitmessung, sprich die Generierung der Rolling Codes, erfolgen.

Wenns ganz dumm/dreist läuft, dann ist der Microchip aber nur dafür da um die Kontroll-LED über den Taster anzusteuern.

[Fensterheber133164]

@tek2z Cool, danke für die Info zu Deinem Fund. Das bestätigt dann schonmal die beobachtete Sendefrequenz von 433,92 MHz.

Wg. Video mal schauen. Wenn ich zur Zeit - wie jetzt gerade - mal etwas Luft für Freizeitaktivitäten habe, steht die Karre draußen schon im Dunkeln :mad:

[Fensterheber133164]

Ich glaub ich hab gerade etwas mehr dazu rausgefunden, was dieser Microchip auf der SecuKey-Fernbedienung evtl. so macht.

Dazu hab ich nochmal rtl_433 gestartet, wo ich letztens die SecuKey-Signale überhaupt erst gefunden hatte (werden ja von dem Tool als "Generic motion sensor" aufgelistet).

In der Hilfe von rtl_433 hab ich gesehen, dass man mit dem Programmparameter -A einen "Analyzer" zuschalten kann. Dann liefert er zu jedem "Generic motion sensor" Ereignis auch noch weitere technische Infos:

Code:

time : 2019-10-22 23:08:16
model : Generic motion sensor code : fffff
Analyzing pulses...
Total count: 63, width: 79.84 ms (19959 S)
Pulse width distribution:
[ 0] count: 3, width: 4340 us [4336;4348] (1085 S)
[ 1] count: 36, width: 488 us [480;492] ( 122 S)
[ 2] count: 24, width: 924 us [920;936] ( 231 S)
Gap width distribution:
[ 0] count: 62, width: 432 us [392;444] ( 108 S)
Pulse period distribution:
[ 0] count: 3, width: 4780 us [4776;4784] (1195 S)
[ 1] count: 35, width: 920 us [876;932] ( 230 S)
[ 2] count: 24, width: 1364 us [1356;1372] ( 341 S)
Level estimates [high, low]: 15946, 751
RSSI: -0.1 dB SNR: 13.3 dB Noise: -13.4 dB
Frequency offsets [F1, F2]: -12589, 0 (-48.0 kHz, +0.0 kHz)
Guessing modulation: Pulse Width Modulation with sync/delimiter
Attempting demodulation... short_width: 488, long_width: 924, reset_limit: 448, sync_width: 4340
Use a flex decoder with -X 'n=name,m=OOK_PWM,s=488,l=924,r=448,g=0,t=0,y=4340'
pulse_demod_pwm(): Analyzer Device
bitbuffer:: Number of rows: 3
[00] {20} f5 68 d0 : 11110101 01101000 1101
[01] {20} f5 68 d0 : 11110101 01101000 1101
[02] {20} f5 68 d0 : 11110101 01101000 1101


Ganz unten sieht man dann plötzlich 3 gleiche Hex-Zahlen, die anscheinend mit jedem Funksignal übertragen werden und die sich von Mal zu Mal ändern. In der sechstletzten Zeile ist noch ein Tipp, dass man diese Funksignale auch mit dem Programmparameter

Code:
-X 'n=name,m=OOK_PWM,s=488,l=924,r=448,g=0,t=0,y=4340' dekodieren lassen kann. Dann sieht das ganze auch schon etwas übersichtlicher aus:

Code:
time : 2019-10-22 23:25:49
model : name count : 3 num_rows : 3 rows :
len : 20 data : b16cd,
len : 20 data : b16cd,
len : 20 data : b16cd
codes : {20}b16cd, {20}b16cd, {20}b16cd
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
time : 2019-10-22 23:25:49
model : Generic motion sensor code : fffff
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
time : 2019-10-22 23:25:51
model : name count : 3 num_rows : 3 rows :
len : 20 data : fe636,
len : 20 data : fe636,
len : 20 data : fe636
codes : {20}fe636, {20}fe636, {20}fe636
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
time : 2019-10-22 23:25:51
model : Generic motion sensor code : fffff
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
time : 2019-10-22 23:25:54
model : name count : 3 num_rows : 3 rows :
len : 20 data : ff627,
len : 20 data : ff627,
len : 20 data : ff627
codes : {20}ff627, {20}ff627, {20}ff627
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
time : 2019-10-22 23:25:54
model : Generic motion sensor code : fffff


Ich hab das so mal eine Weile laufen lassen und die Hexzahlen beobachtet. Das scheint tatsächlich der Rolling-Code zu sein, denn die Zahlen ändern sich von Nachricht zu Nachricht und beginnen dann irgendwann (nach gut 40 Sekunden) wieder von vorn.

Bei meinem einen SecuKey-Schlüssel sieht die Reihenfolge der gesendeten Codes so aus:

b16cd, fe636, ff627, fc614, fd605, ba676, bb667, b8654,

b9645, f66be, f76af, f469c, f568d, b26fe, b36ef, b06dc,

b16cd, fe636, ff627, fc614, fd605, ba676, bb667, b8654,

b9645, f66be, f76af, f469c, f568d, b26fe, b36ef, b06dc,

b16cd, fe636, ff627, fc614, fd605, ba676, bb667, …

Bei der anderen Fernbedienung sind es andere Zahlen, sie verhält sich aber sonst genauso.

Also Rolling Code scheint da zu sein :) Damit passiert schonmal mehr als nur LED ansteuern ;) Wie das mit der Laufzeitmessung funktioniert, hab ich aber noch so richtig keine Idee…

[PS-Schnecke132974]

Mahlzeit zusammen,

 

Ich habe mir tatsächlich Zeit genommen und die (vor allem letzten Beiträge) aufmerksam durchgelesen.... Praktisch, dass ich hier vom Heimkinoabend gestern noch ne Schale mit restpopcorn stehen hatte, hab mich gerade auf den letzten 2 Seiten herrlich amüsiert

 

Wenn diese wechselnden Hexcodes im letzten post einen Rolling Code darstellen sollen, dann hat bei diesem hersteller einfach niemand das Konzept verstanden.

Der Sinn eines Rolling Codes ist es, dass eine aktion über eine Funkfernbedienung jedes mal einen anderen, unvorhersehbaren code verwendet und die Gegenstelle veraltete nachrichten erkennt und abblockt. Eben als schutz gegen die jahrzehnte alten Replay-Angriffe, also simples wiederholtes abspielen einer aufnahme. Rolling Codes sind spätestens seit den 90er Jahren(!) gängig und absolut kein hexenwerk. Wenn die codesequenz nach nichtmal einer Minute immer wieder von vorne anfängt, ist da vorhersehbar und - gerade wenn das hier wirklich noch als Rolling Code beworben werden sollte - einfach nur bescheuert und falsch. Diese fragliche "Konstruktion" erklärt absolut, warum dumme Aufzeichnungen von dem system immer wieder akzeptiert werden (müssen) - einfach weil diese Werte auch im normalfall wenige Sekunden später wieder akzeptiert werden.

 

In dieser Form sind das keine Rolling Codes, sondern einfach nur Wechsel zwischen etwas mehr als einer handvoll Fixed Codes. Und Fixed-Codes sind so ziemlich das dümmste was es im funkbereich gibt, also das Gegenteil von sicher. Will ja nicht dass mein Nachbarssohn mir die Glotze ausschaltet.

Solche FIX Codes gibts in den einfachsten Auto-Funkschlüsseln seit mindestens 20 Jahren nicht mehr. Und auch sonst fällt mir nix ein wo das noch verbaut wäre... außer vielleicht in 3 euro china gadgets.

[PS-Schnecke132974]

Nachtrag:

Aus diesem grund kann ich mir auch nicht vorstellen, dass da wirklich auch eine Laufzeitmessung integriert sein soll. Funk breitet sich mit lichtgeschwindigkeit aus, in einer Millisekunde könnte ein Funksignal um bis zu 300.000 Meter verlängert werden (wenn ich das im Kopf gerade richtig überschlagen habe). Wenn die einschlägigen Verstärkungstools der Fahrzeugdiebe auch nur halbwegs mit verstand aufgebaut wurden, kann man die Erkennung durch eine 433MHz basierte Schaltung mit bezahlbarer Elektronik getrost vergessen. Außerdem müsste dann in beiden richtungen Funkaktivität zu sehen sein (Basis sendet Challenge an den Schlüssel, wartet und überprüft die Antwort, berechnet zeit/Entfernung). Wenn der Schlüssel aber offenbar alle paar Sekunden ungefragt seine Fix Codes oder besser einen Teil seines beschränkten vokabulars herumbrüllt, wurde er vorher sicherlich nicht darum gebeten.

Ich hatte damals ja auch kurz überlegt mir das System zu holen, in der Hoffnung dass das vernünftig umgesetzt wurde. Aber weil damals zur Funktionsweise nur nebulöse Floskeln zu finden waren, hatte ich davon Abstand genommen. Zum glück, so muss ich mir jetzt nicht meine Kohle zurückholen.

Danke an den Sheriff für seine analysen, für dieses Forum definitiv eine Bereicherung. Thumbs Up von mir.