Комментарии 15
Сила приычки: «электрокар заводится»
переписать прошивку и задействовать ее для запроса схемы защитного чипа внутри ключа, которая генерирует код разблокировки электрокара. Этот ключ исследователи отправили обратно на свой компьютер также через Bluetooth.немного неудобно, когда ключем можно назвать и брелок, и физический ключ от машины, и код разблокировки.
Непонятно, почему на заводе нельзя прошивать и машину и брелок с несколько миллионов одноразовых ключей и навсегда забыть о подобных проблемах
НЛО прилетело и опубликовало эту надпись здесь
Так в статье и не взламывали сам алгоритм вычисления ключа, а получали доступ к его исполнению и брали результат. С тем же успехом можно было бы получить и следующий одноразовый ключ.
Если есть физическая возможность взять ключ и исследовать его под микроскопом или сделать его копию, то тут уже ничем не поможешь.
Но самый-самый надежный и тупой способ любой криптографии это одноразовые ключи. Их остается только копировать физически, больше никак.
Так как Теслу обычно открывают смартфоном, то, есхи хранить ключ в надежном месте, задача вообще сводится только к взлому смартфона. Никакие мегаалгоритмы и криптостойкие функции нафиг не нужны с одноразовыми ключами. Там абсолютно детсадовская и совершенно непробиваемая криптография.
Но самый-самый надежный и тупой способ любой криптографии это одноразовые ключи. Их остается только копировать физически, больше никак.
Так как Теслу обычно открывают смартфоном, то, есхи хранить ключ в надежном месте, задача вообще сводится только к взлому смартфона. Никакие мегаалгоритмы и криптостойкие функции нафиг не нужны с одноразовыми ключами. Там абсолютно детсадовская и совершенно непробиваемая криптография.
Да, но как это спасёт от атаки из статьи? Там проблема вообще не в стойкости алгоритма ключей, это по сути «удлинитель» канала связи машина-брелок — атакующий заставил брелок в кармане владельца выдать ему очередной разовый ключ и отправил его машине. Вычислялся этот ключ, или был взят из «одноразового шифроблокнота», роли не играет. Тут нужно что-то делать с протоколом взаимодействия машина-брелок, например чувствительность к задержкам вводить.
Тогда это просто кривость реализации бесключевого доступа. Если бы человек всегда руками нажатием на ключ инициировал открытие дверей, то взлом машины в таких случаях — всегда кривость реализации криптографии, которая решается в лоб использованием одноразовых блокнотов ключей для машины и ее ключа.
Борьба с удлиннением ключа в случае бесключевого доступа должна по идее решаться периодическим пингом машины и замером времени отклика. Жалко, что не подумали над этим. Зато теперь будет время подумать
Борьба с удлиннением ключа в случае бесключевого доступа должна по идее решаться периодическим пингом машины и замером времени отклика. Жалко, что не подумали над этим. Зато теперь будет время подумать
habr.com/en/news/t/516256
Что делают пользователи? Не обновляются. А нет, Тесла сольёт один из припасённых багов, и пользователи обновятся, как миленькие.
Что делают пользователи? Не обновляются. А нет, Тесла сольёт один из припасённых багов, и пользователи обновятся, как миленькие.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Исследователи нашли серьезную уязвимость в ключах Tesla Model X