Иммобилайзеры
«Иммобилайзером» называлась заводская (штатная) электронная система – часть системы управления двигателем. Она препятствовала запуску двигателя при попытке воспользоваться самодельным ключом зажигания или при попытке обойтись вообще без ключа
Противодействие выражалось в «исчезновении» некоторых функций исполнения у заблокированного ECU двигателя, и пуск не происходил. Новизна была в том, что блокировка осуществляется без применения размыкателей или иного физического влияния на цепи управления. Она не может быть нейтрализована предварительными манипуляциями с проводкой (исключения единичны, см. ниже). Благодаря рекламе термин «иммобилайзер» вошел в наше сознание как «наиболее эффективное противоугонное средство», и только. Соответственно, иммобилайзер в русском языке подразумевает устройство, дающее почти что панацею от угона а/м.
Штатный автомобильный иммобилайзер работает на принципе ограничения доступа к ECU двигателя, реализуя паролевый доступ. Immobilizer не следует путать с прочими штатными охранными средствами. Он -- самостоятельная система, которая ни программно, ни аппаратно к противоугонной отношения не имеет, и выполняет свою роль как совершенно независимый уровень защиты. Штатной противоугонной системе соответствует английское anti-theft и отдельный ECU. Можно припомнить совсем немного исключений, когда иммобилайзер объединен со штатной anti-theft или хоть как-то взаимодействует с ней (например, Chrysler, Jaguar). Отличительная черта иммобилайзера в том, что он «присутствует» в программе управления двигателем. Это означает, что управление двигателем в системе с добавленным штатным иммобилайзером происходит с новыми дополнительными командами, исполняемыми микропроцессором ECU двигателя. Именно с этим связана высокая стойкость иммобилизации к взлому путем манипуляций с проводкой. Аппаратно системе сопоставлен либо собственный управляющий блок (ECU иммобилайзера), либо ее основные цепи встроены в другие ECU.
К сожалению, слово «иммобилайзер» иногда используется в отрыве от того смысла, который в него вложен. Так может происходить при дословном переводе обзорных материалов на тему иммобилизации автотранспорта. Фраза «…различают механические (например, блокиратор колеса), электромеханические (например, бензоэлектроклапан) и электронные разновидности иммобилайзеров» содержит очевидное смешение смыслов и подразумевает у читателя лишь буквальное, вульгарное понимание слова «обездвиживатель». На самом деле иммобилайзер «обездвиживает» не а/м, а блок управления двигателем. Конечно, устройства физического блокирования следует перестать называть иммобилайзерами, т.к. подобная натяжка если не является рекламным трюком, то порождает путаницу в любом случае.
Нештатные противоугонные системы, подчеркнем, также относятся к устройствам физического блокирования. Они блокируют при помощи реле, тиристоров и т.п. ответственные электрические цепи. Дополнительные электронные противоугонки называют сигнализациями неспроста, ведь главная польза от них в создании свето-шумовых эффектов психологического действия. Однако, в целях лучшего продвижения на рынке, некоторые разновидности дополнительных противоугонок все-таки названы в своей рекламе иммобилайзерами. Продавцы при этом ссылаются на их англоязычную классификацию как aftermarket immobilizer (например, на упаковке). Отличие значений термина в английском и русском языках, конечно, умалчивается, а слово aftermarket (нештатный) игнорируется.
А между тем эффективность ограничения доступа к запуску двигателя у дополнительных охранных систем весьма невелика. Их подвид -- устройства класса artermarket immobilizer -- отличаются от обычных сигнализаций только тем, что имеют увеличенное число физических блокировок и, чтобы не обнаруживать себя, часто не имеют управления сиреной и фонарями а/м. Действие aftermarket immobilizer основывается на работе все тех же размыкателей. Неважно, что алгоритм дистанционного управления размыкателями может быть весьма сложным. Ведь сами они беспомощны перед восстановлением оригинальной проводки (в практике угона применяется замена на «свой» моторный жгут – первый шаг и т.д.).
Еще немного о языке. Встречающийся в отечественных публикациях самобытный термин «иммобилизатор» означает не что иное как «иммобилайзер». Существование этого слова отчасти оправдывается вышеописанными нестыковками смыслов слов immobilizer и «иммобилайзер». Иммобилизатор -- это и есть immobilizer по-русски. По нашему мнению изобретение этого термина-аналога хотя и похвальная попытка преодолеть разночтения, но неудачная. «Иммобилизатор» никак не сужает смысл слова-первоисточника и к тому же неблагозвучно. В разговорном языке сужение смысла можно увидеть в сленговом «штатный иммо». Переводить непереводимое – задача неблагодарная. Комичным апофеозом путаницы является пример из книги «Большой англо-русский автомобильный словарь» – СПб: «Б.С.К.», 1998—830 с. Вместо слова immobilizer словарь приводит несуществующее immobiliser и дает “перевод” : «иммобилизатор» (!).
Итак, иммобилайзер – система ограничения доступа, способная блокировать работу двигателя на уровне программы его ECU. Нет программной блокировки – нет иммобилайзера.
Что такое «чип-ключ зажигания»? По управлению штатные иммобилайзеры отличаются типом ключа. Так в а/м французского производства в качестве такого ключа используются кнопочные панели, т.е. пароль вводится при помощи клавиатуры вручную. Контактные детали -- резисторы калиброванного сопротивления -- применяются в том же качестве в американских а/м. Более практичными считаются ключи-беспроводные передатчики. Они подразделяются на передатчики, управляемые вручную (нажатием кнопок), и на передатчики, управляемые автоматически. И те, и другие передатчики могут быть встроенными в головку ключа зажигания или выполнены как брелок. Управляемые вручную могут быть на радио- и/или на инфракрасных волнах. В отношении иммобилайзера это столь же редко встречающаяся экзотика, как резисторы и кнопочные панели. Гораздо чаще ключ-беспроводный передатчик управляет иммобилайзером автоматически, по запросу ECU. И выполнен как метка радиочастотной идентификации RFID (Radio Frequency IDentification).
Для конкретности изложения далее будем рассматривать только иммобилайзеры с метками RFID, т.к. именно их автопроизводители наиболее широко применяют, примерно, с 07.94 г. по наши дни.
Понятие «чип-ключ» по отношению к ключу зажигания пришло вместе с появлением в нем метки RFID. Метка заделана в пластиковую головку ключа и представляет собой микросхему (безвыводный чип), способную «общаться» с прочими элементами иммобилайзера по радиоканалу. Указанная микросхема является носителем индивидуального числа, которое она может передавать в эфир. Именно поэтому микросхема-метка называется чип-ключом, поскольку в данном случае под словом «ключ» подразумевается «пароль».
Метка срабатывает по радиосигналу запроса и питается энергией магнитного поля этого сигнала. Поэтому она еще называется «транспондер» (от слияния английских слов transmitter и responder, т.е. «радиоответчик»). Отсюда образуется термин «транспондерный иммобилайзер». Когда хотят подчеркнуть, что ключ зажигания содержит чип-ключ транспондерного иммобилайзера, говорят: «чипованные ключи зажигания» или даже «чиповые ключи».
По нашему мнению среди имеющих здесь хождение терминов наиболее оправданный термин «чип-ключ зажигания». Который означает ключ зажигания, отличающийся наличием чип-ключа иммобилайзера. Тут, конечно, происходит игра слов при смешении двух значений слова «ключ». Плюс игнорируется, что идентификатор чипа, вообще говоря, не является паролем именно к зажиганию. Но ведь само понятие «ключ зажигания» уже давно дань привычке, а не отражение действительной функциональности. В разговорной практике «чип-ключ зажигания» часто сокращают до «чип-ключ», а «чип-ключ» как метка -- до «чип». Как видно из изложенного, это не одно и то же, впрочем, удобство такого сокращения нельзя не признать. Синонимичный термин «ключ зажигания с транспондером», буквально соответствующий оригинальному transponder ignition key, применяется относительно редко ввиду своей громоздкости.
Заметим, что на уровне программы ECU нет принципиального отличия в способе управления иммобилайзером ключом того или иного типа, включая контактные и др.
Транспондерный иммобилайзер. Вот примерный его состав. Во-первых, ключи -- носители индивидуальных чисел-идентификаторов ID. Во-вторых, кольцевая антенна, которая располагается вокруг скважины замка зажигания, и через которую происходит радиообмен с выбранным ключом. В-третьих, ECU иммобилайзера для считывания ID и преобразования его в пароль для ECU двигателя. В-четвертых, интерфейс, при посредстве которого происходит обмен между двумя ECU. И, наконец, в-пятых, программное обеспечение.
Цифровая посылка с паролем для ECU двигателя может быть индивидуальной, связанной с экземпляром этого ECU, тогда она называется ISN (Individual Serial Number). ISN = f (ID), т.е. происходит преобразование, а информация о ключах в том или ином виде лежит в обоих ECU. Разработчиками программного обеспечения использовано множество различных формул преобразования.
Указанная выше посылка может быть также стандартной, типа SS (Standard Signal). В этом случае ECU иммобилайзера, опознавая ключ как правильный, выдает SS безотносительно к конкретным значениям запрограммированных в нем ID набора ключей. Разработчиками предусмотрено множество различных сигналов SS.
В любом случае, если по включении зажигания ECU двигателя не получает правильных SS или ISN от ECU иммобилайзера, то после пуска двигателя исполнение им функций управления почти сразу прерывается, и двигатель глохнет. Многие системы запрограммированы так, что при отсутствии правильного пароля двигатель не будет заводиться совсем.
Следует подчеркнуть, что заглушение (или отсутствие пуска) реализуется не за счет блокировок цепей управления. Так происходит, как было отмечено выше, лишь в противоугонках, доустанавливаемых на а/м уже в процессе эксплуатации. Штатный иммобилайзер программным путем блокирует сами функции исполнения ECU двигателя на уровне микропроцессора. После выключения зажигания и повторного его включения программа ECU снова возвращается к запросу пароля (в некоторых системах управления запрос происходит несколько раз, причем первый раз при вставлении ключа, еще до включения зажигания – например, некоторые Тоуота и Lexus).
Описанная технология не имеет себе равных среди других автономных противоугонных технологий. С одной стороны, просто нет цепей, восстановив которые, можно было бы завести двигатель. С другой, -- активная область радиоимпульсов обмена с чип-ключом на практике не превышает нескольких сантиметров. Последнее обстоятельство означает, что эти импульсы весьма тяжело бесконтрольно сканировать, т.е. перехватить специальным радиоприемным устройством, способным далее их воспроизвести (код-граббером). В то же время радиопосылки брелоков добавочных сигнализаций и штатных anti-theft уверенно считываются при портативной антенне сканирующего приемника и свежей батарейке брелока на расстоянии порядка 100 метров (на практике, в городских условиях, несколько десятков метров).
Не следует путать радиоприемные сканеры, перебирающие частоты приема, с радиопередающими сканерами, перебирающими на заданной частоте кодовые комбинации с целью подбора пароля. Передающие сканеры в отличие от приемных применяются самостоятельно, наравне с код-грабберами.
Распространено заблуждение о дороговизне и экзотичности оборудования для радиоперехвата. Действительно, широкополосные приемные сканеры относительно дороги и избыточны. Поэтому код-грабберы перехвата радиопосылок добавочных cигнализаций и штатных anti-theft давно придумано строить на базе дешевых пейджеров. Важно, что из-за своей принадлежности к узкому дециметровому радиочастотному диапазону, они не применимы к иммобилайзеру с его длинноволновыми частотами, отличающимися, примерно, в 3000 раз.
Ранние модели иммобилайзеров (до 1998 года) имели, как правило, обособленный управляющий ECU. Позднее функционально соответствующие ему цепи стали все чаще встраиваться в другие ECU, причем иногда по частям, в несколько ECU одновременно и в различных местах а/м (например, Mercedes-Benz W220).
Новые поколения иммобилайзеров объединили принципы работы устройств активного дистанционного и транспондерного действия. Объединение принципов привносит в иммобилайзер гибкость дистанционных средств доступа. Она позволяет при каждом новом включении зажигания видоизменять пароль доступа, причем каждый новый пароль генерируется взамен предыдущего автоматически. Осветим кратко, как это происходит в простейших добавочных сигнализациях с переменным паролем.
В абсолютном большинстве таких систем имеется только односторонняя связь брелока с приемником. Кодовые комбинации или, иначе -- слова, отсылаемые брелоком в приемник, выбираются брелоком по правилу, примененному разработчиком в данной модели охранной системы. Математическая формула правила перебора паролей имитирует произвольность каждого следующего слова из набора всевозможных (псевдослучайная последовательность). Несмотря на то, что набор ограничен, в отдельных охранных системах вариантов слов может быть столько, что при обычной эксплуатации их повторение начнется лишь через десятки лет. Кроме того, к каждому изменяющемуся слову-паролю добавляется фиксированное число-идентификатор (ID) брелока, используемого в данный момент. Последовательность, сформированная описанным образом, в оригинале называется rolling code, что подчеркивает перебор паролей по кругу.
Основной блок охранной системы оперирует тем же самым «запасом» паролей и изменяет действующий в данный момент пароль по тому же самому правилу, что и брелок. Будучи однажды синхронизированы, блок и брелок далее выбирают одни и те же варианты паролей. В каждом цикле блок сравнивает пару меняющихся слов. А также проверяет используемый брелок на принадлежность, сравнивая его ID с зарегистрированным в своей памяти перечнем чисел-идентификаторов, соответствующим комплекту брелоков пользователя. Описанную технологию весьма часто называют динамическим кодированием, хотя этот способ опознавания «своего» динамическим не является. И к шифрованию также не относится .
В иммобилайзерах с роллинг-паролем псевдослучайные последовательности применяются с тем отличием от сигнализаций с брелоком, что транспондеры не имеют собственного генератора перебора слов. Транспондер используется типа Read/Write, т.е. допускающий многократное изменение содержимого своей памяти. В роли генератора выступает перезаписываемая память транспондера, куда предварительно заносится заранее сформированное ECU иммобилайзера слово. Этот пароль будет передан транспондером в эфир, когда впоследствии ECU пришлет дополнительный идентификатор собственного опознавания и новый пароль. Будучи передан, пароль оказывается тут же заменен на новый. При следующем включении зажигания пароль снова может быть заменен на другой, хотя со временем каждый из них будет повторен в соответствии с алгоритмом rolling code. Описанный способ авторизации применяется в а/м с конца 1994 года и по отсутствию шифрования считается относящимся к раннему поколению иммобилайзеров.
В сигнализациях с двусторонней связью реализуются более сложные криптографические алгоритмы. Классическое определение криптографии – тайнопись, специальная система изменения обычного письма, используемая с целью сделать текст понятным лишь для ограниченного числа лиц, знающих эту систему (БСЭ). В современном понимании «криптография – это совокупность методов прикладной математики, позволяющая защитить информацию от несанкционированного доступа путем изменения формы представления этой информации».
Применение соответствующей технологии crypto code к иммобилизации стало логичным в связи с тем, что настоящее динамическое шифрование возможно только в системах с двусторонним обменом, а иммобилайзер уже имеет готовые прямой и обратный радиоканалы. В а/м конвейерной сборки иммобилайзеры с новым алгоритмом работы применяются с 1998 года, а массовое появление таких а/м началось с 2000 года. Их ключи зажигания с крипто-транспондером часто называют «крипто-ключами».
Крипто-транспондер называется так потому, что имеет встроенную функцию шифрования и этим отличается от транспондеров прочих типов. Другое его название – транспондер с цифровой подписью. Отметим, что первые стандартные применения криптографического протокола цифровой подписи восходят к разработкам середины 70-х годов (развиты американской фирмой IBM и параллельно 8 Главным Управлением КГБ СССР). Эти разработки и реализации принципов построения симметричной криптосистемы, каковая, в частности, применяется в иммобилайзере с крипто-транспондером, перестали быть секретными к началу 90-х годов. Ныне алгоритм цифровой подписи в разных вариантах широко используется при пересылке электронных документов, в частности, в банковском деле, что само по себе служит иллюстрацией надежности этого алгоритма. В простейшем варианте цифровая подпись, прикладываемая к документу, представляет собой небольшой компактный блок информации, которая предварительно была получена специальным преобразованием содержания самого этого документа, причем способ преобразования известен только отправителю и получателю.
Как уже было сказано, транспондер не может самостоятельно создавать слова (не то что документы). Поэтому соответствующий алгоритм иммобилизации работает так. Вначале ECU иммобилайзера генерирует сообщение для крипто-транспондера, содержащее псевдослучайное слово-запрос. Этот запрос обрабатывается логической схемой транспондера при помощи имеющегося в его памяти другого, специального выделенного слова (ключа шифрования). Информация, полученная путем сделанного преобразования, и есть цифровая подпись. Она включается в исходящее сообщение транспондера. С другой стороны, в ECU иммобилайзера дубликат посланного в транспондер слова подвергается аналогичной обработке дубликатом ключа шифрования, также имеющегося и в памяти ECU. Таким образом вычисляется образцовая цифровая подпись. Далее она сравнивается с той, которую прислал транспондер. Так происходит сличение подписей, и следовательно, -- ключей шифрования без их «предъявления».
Ключи шифрования индивидуальны. Поэтому теперь «правило перебора паролей» оказывается для каждого экземпляра транспондера своим, уникальным. Ключи шифрования не появляются в эфире, если не считать однократного момента регистрации крипто-ключа, поэтому перехватить их практически невозможно. Сравнительно с алгоритмом роллинг-пароля безопасность возрастает, т.к. перехват на стадии записи в транспондер становится бессмысленным.
Заметим, что оба алгоритма (rolling и crypto) иногда не различают и называют алгоритмом «плавающего» кода.
Итак, теперь транспондер передает свой ID не открытым текстом, а шифрует им входящее слово-запрос. Передаче подлежит лишь указание на ключ шифрования в их перечне в памяти иммобилайзера, дополненное переменной частью – результатом шифрования этим ключом. В целом исходящее сообщение выглядит каждый раз по-разному, «плавает», что и дало алгоритму народное название.
Следующее поколение транспондеров было названо транспондерами криптографического доступа (СЕТ). Например, Texas Instruments выпустила их пробные экземпляры в 1999 году. В них уже не просто используются криптографические алгоритмы, но и объединена функциональность устройств дистанционного и транспондерного действия. СЕТ позволяют открывать а/м и разблокировать иммобилайзер при помощи одной системы, изготовление которой оказывается дешевле двух независимых (охранной и иммобилайзера). При использовании источника питания диапазон действия нового ключа составляет не менее 30 м, а без источника -- в пределах 15 см.
Следующий шаг в направлении создания таких устройств – технология доступа без ключа, когда а/м открывается при приближении владельца. Когда владелец садится на сиденье, транспондер (например, в виде карточки) опознается, и пуск двигателя может быть произведен простым нажатием кнопки. В 1999 году считалось, что через 5 лет эта технология будет применяться уже не только в а/м представительского класса, но также начнет распространяться в а/м бизнес- и эконом-класса (мнение менеджера компании Microchip Technology). К 2004 году на рынке имелось уже несколько практичных систем Keyless Go, правда, распространения в недорогих машинах они пока так и не получили.
В последние годы наблюдается тенденция к увеличению объема информации, считываемой с чип-ключей или записываемой в них. Помимо фиксированных данных и обычных служебных дополнений протокола обмена теперь считываются добавочные сведения о результатах шифрования для аутентификации, т.е. подтверждения идентификации транспондера. Дополнительную область памяти чип-ключа занимает ключ шифрования. По мере усложнения алгоритма эта область, несомненно, будет расти. Память транспондера может содержать указание о принадлежности ключа к а/м определенной торговой марки. Фиксация в ключе пробега а/м – реальность наших дней (BMW). И так далее.
Все это заставляет разработчиков применять средства радиоидентификации уже не длинноволнового диапазона с обменом на традиционных для автомобильных транспондеров частотах около 130КГц, а коротковолнового диапазона (например, 13.56 МГц). Такая замена позволяет передавать за одинаковое время обмена куда больший информационный массив. Соответственно, КВ-транспондеры имеют увеличенный объем памяти равный 2000 бит (для сравнения – простейшие низкочастотные транспондеры имеют память объемом 64 бит). Малая величина затухания и прочие достоинства КВ-радиосигнала позволяют существенно снизить энергоемкость системы и реализовать чип-ключи в виде плоских (0.3...0.5 мм) смарт-лейблов (дословно -- «интеллектуальных ярлыков», не путать со смарт-картой). Ярлык не обязательно подносить вплотную к антенне, а достаточно иметь в виде карточки-брелока на связке ключей. Смарт-лейблы автомобильного применения уже используются (например, Ford Focus).
Удобство штатного иммобилайзера в том, что автовладельцу не приходится предпринимать никаких специальных действий по его включению или выключению. Все происходит само собой по вставлении-извлечении ключа и включении-выключении зажигания. Не раз приходилось беседовать с людьми, которые даже не подозревали, что их а/м оборудован штатным иммобилайзером.
Обратите внимание: некоторые ключи зажигания с транспондером имеют разборное исполнение. Если уронить такой ключ, когда его половинки раскрыты, метка-чип может выпасть. Утрата чипа практически означает, что чип-ключ зажигания потерян.
Установка сигнализации
Эффективная противоугонная система должна включать в себя минимум 3 устройства:сигнализацию, иммобилайзер и электромеханический замок на капот
Источник: http://hj.amobil.ru