Hey, das ist ja interessant!
Das habe ich mir sehr genau angesehen und ausführlich durchgespielt. Ich habe sogar einen Ablaufplan gezeichnet, um es gedanklich besser nachvollziehen zu können.
Nein, das mit den 17 Dollar wird garantiert nichts. Aber darauf herumzureiten ist sowieso albern. Viel wichtiger ist, dass der Ansatz nun zum ersten Mal grundsätzlich nachvollziehbar erscheint. Wenn einige Rahmenbedingungen gegeben sind, könnte das mit ein paar Einschränkungen tatsächlich funktionieren - nicht so und vor allem nicht so einfach, wie im NYT-Artikel beschrieben, aber auch nicht unmöglich.
Beginnen wir mit dem PDF von TI. Das gibt einiges her: Beachtlich, was der TMS3705 so alles kann und vor allem wie schnell er ist. 100 Mikrosekunden Schaltzeit, das sind 100 Millionstel, also eine Zehntausendstel Sekunde - nicht schlecht. Ob das tatsächlich reicht, ist ohne Kenntnis des exakten Protokolls des Keyless-Systems nicht zu sagen.
Wenn aber nicht, so ist im PDF ein einleuchtender Trick beschrieben, wie man das ganze nochmal um mehr als Faktor 6,5 beschleunigen kann: Wenn man den 3705 nur als Sender benutzt, die Modulation aber
diesem Kollegen (KLICK) überlässt, dann schafft er auf 134 kHz minimal 15 Mikrosekunden Schaltzeit. Das ist richtig schnell und sollte - in Ermangelung einer detaillierten Dokumentation der Schließanlage nur über den Daumen gepeilt - locker reichen.
Die Eignung des verlinkten NF-Verstärkers ist hingegen stark zu bezweifeln. Der wird spätestens bei 25, 30, höchstens 35 kHz dicht machen. Da es in der Schaltung darum geht, den passiven RFID im Schlüssel oberhalb 130 kHz zu triggern, was ein halbwegs unverzerrtes Signal erfordert, wird es damit nicht gehen - was aber trotzdem
nicht gegen den aufgezeigten Weg spricht. Einen Verstärker mit einem geeigneten Übertragungsbereich und ausreichender Linearität aufzubauen ist nicht ganz banal, aber auch kein Hexenwerk.
Spielen wir das ganze gedanklich durch. Wer einen Denkfehler entdeckt, möge sich bitte melden:
Hat man einen halbwegs linearen VLF-Verstärker hinbekommen, kann man zwei dieser Komponenten (frequenzmäßig vice/versa) auf Basis des TMS3705 und nachgeschaltetem UCC27424 basteln. Dann hat man im Prinzip ein System wie
KLICK, wenn auch vielleicht nicht ganz so elegant umgesetzt.
Damit sind wir aber immer noch an einem Punkt, wo wir zwei korrespondierende Komponenten benötigen, von denen sich eine in unmittelbarer Nähe des Autos und die andere in unmittelbarer Nähe des Schlüssel befindet. Die Story mit den Kindern auf den Fahrrädern funktioniert bis hierher also
nicht.
Ich sehe aber trotzdem eine Möglichkeit, und zwar dann, wenn alle der drei folgenden Voraussetzungen erfüllt sind:
1. Der Schlüssel empfängt im VLF- und antwortet im UHF-Bereich (nicht umgekehrt)
2. Man kommt sehr nahe an das Auto heran
3. Der Schlüssel ist nicht weiter als höchstens einige zehn Meter vom Auto entfernt
Wenn man nun den zyklischen Ruf des Autos ("Schlüssel, bist Du da") im VLF-Bereich empfängt und verstärkt wieder aussendet, kann der Schlüssel - wenn nahe genug - diesen Ruf empfangen, auf UHF antworten und das Auto geht auf, sofern man in diesem Moment den Türöffner berührt. Jedenfalls theoretisch. Ganz so einfach ist es in der Praxis natürlich nicht, aus den folgenden Gründen:
1. Ich kann nicht ein Signal auf einer Frequenz empfangen und zeitgleich auf derselben Frequenz wieder aussenden, weil ich dann ja mit meiner eigenen Aussendung das zu übertragende Signal überlagere. Ich muss also mit Zeitversatz arbeiten. Ist das Protokoll der Schließanlage zeitkritisch abgestimmt, ist an dieser Stelle Feierabend.
2. Das Empfangssystem des Schlüssels ist passiv. TI gibt die Reichweite mit maximal zwei Metern (!) unter Idealbedingungen an, bei Toyota ist es in der Praxis vielleicht die Hälfte. Das macht es nicht einfacher und erfordert eine hohe Verstärkung, um auch nur einige zehn Meter weit zu überbrücken. Die Rede ist hier nicht vom UHF-Rückkanal, der auch ohne zusätzliche Verstärkung weit genug reicht.
3. Ein ausreichend starkes Signal im VLF-Bereich zu produzieren ist schwierig. Bei einer Wellenlänge von 2,23 Kilometern (!) wird jede praktikable Miniatur-Antenne (Ferritstab o.Ä.) einen katastrophalen Wirkungsgrad aufweisen und fast die gesamte Sendeleistung in Wärme wandeln.
Ist das zu knackende Schließsystem vom Protokoll her nicht zeitkritisch
und ein ausreichend potenter VLF-Verstärker vorhanden
und der Schlüssel nicht zu weit vom Auto entfernt, muss ich jetzt nur noch mit meinem Elektronik-Geraffel in der Nähe vom Auto sein und den Türöffner berühren. Dann bin ich drin. Übrigens ist das Ganze keine Frage der Verschlüsselung - setze ich einfach linear die Kommunikation zwischen Auto und Schlüssel um, muss ich dazu keinen Code knacken.
Der Aufwand dazu ist aber nicht unerheblich und ganz billig wird das auch nicht, aber es erscheint machbar. Ist es tatsächlich so, könnten es die Hersteller beispielsweise durch ein zeitkritischeres Timing auf der Protokollseite unterbinden, es sind aber auch andere Maßnahmen denkbar.
Das war ein Gedankenexperiment und beweist nicht, dass es tatsächlich funktioniert - aber es könnte. Fürchtet sich jemand davor, ist das Aufbewahren des Schlüssels weit vom Auto entfernt (oder das Abschirmen durch Aufbewahren in einem geschlossenen Metallbehälter) durchaus geeignet, es zu unterbinden.
Zu bezweifeln ist allerdings, dass Profis so eine komplizierte Methode zum Autodiebstahl einsetzen würden. Die haben andere Methoden, um ein Auto zu öffnen. Sind sie erstmal im Auto und haben dadurch OBD-Zugriff, hat man sowieso verloren.
Grüße, Egon
