29C3 - Version 1.9

F/a{hr-p).l//a,n
2.9/C-3

Speakers
Jan
mh
Ray
Schedule
Day Day 3 - 2012-12-29
Room Saal 1
Start time 16:00
Duration 01:00
Info
ID 5308
Event type Lecture
Language used for presentation German
Feedback

Open Source Schlüssel und Schlösser

Offene Quellen zum Bösen und Guten: von downloadbaren Handschellenschlüsseln zu sicheren elektronischen Schlössern

Was bedeutet das Zeitalter offener Designs für die Sicherheit von Schlössern? Zum Beispiel solchen, die auf eine geringe Verbreitung eines Schlüssels setzen? Ein Beispiel sind die sogenannten Hochsicherheitsversionen von Polizeihandschellen. Der Talk zeigt was (und wie) sich in diesem Bereich mit Lasercuttern und 3D Druckern erreichen lässt - sowie welche komplexeren Angriffsziele noch warten. Als Ausweg aus der Problematik kopierbarer Schlüssel gelten digitale Schlösser, aber sie kranken anders an offenen Quellen: sie haben keine! Im Rahmen eines Open Source Lock Projektes haben wir uns daher ein reflashbares Vorhängeschloss angesehen, doch noch ehe wir den Programmieradapter angeschlossen hatten fanden wir eine Schwachstelle der Hardware... Leider kein Einzelfall!

Wie verträgt sich das Open Source Konzept mit Sicherheitstechnik in der realen Welt? Eigentlich ist es einfach: man möchte seine Schlüssel geheim halten, seine Schlösser aber kennen und verstehen können. Was in der virtuellen Welt längst etabliert ist, funktioniert im "real life" leider auf beiden Ebenen nicht. Der Vortrag gibt eine kurze Einführung samt Überblick über den Stand der Technik und erklärt dann im Detail, was unseren Recherchen zum Opfer fiel.

Die Vorstellung eines trivial schneidbaren 3D Modells für die "geheimen" Schlüssel von Chubb und Bonowi Handschellen sorgte auf der HOPE für einigen Presserummel - doch das war erst der Anfang. Der Vortrag erklärt sowohl die Vorgehensweisen und Probleme solche Modelle auf die immer beliebter werdenden Lasercutter zu bringen, als auch die Schritte, die nötig waren, um nach den Erfolgen von New York auch das letzte hartnäckigere Angriffsziel, die verbeitetste deutsche "hochsicherheits"-Polizeihandschelle, so zu überwinden. Ebenso wird auf das Drucken und Schneiden noch komplexerer Schlüssel, sowie die Möglichkeiten parametrisierter 3D Modelle eingegangen.

Wer sich vor solchen Problemen schützen will, dem bleibt auf Lange Sicht wohl nur der Weg zu digitalen Schliesssystemen. Diese kranken leider alle an der weit verbreiteten Angst der Hersteller vor offenen Quellen, oft wird nicht mal der verwendete Kryptoalgorithmus verraten, eine überprüfbare Implementierung gibt es von keinem. Neben der kompletten Eigenentwicklung scheint hier die Umprogrammierung eines vorhandenen Schlosses ein Weg, endlich zu einem vertrauenswürdigen System zu kommen. Wir zeigen unsere Analysen eines brandneuen und dafür geeignet wirkenden digitalen Vorhängeschlosses auf Basis des MSP430 - haben leider aber auch den dazu passenden mechanischen Angriff gefunden, der die Software zur Nebensache macht. Nicht zum ersten Mal...