Open Source Schlssel und Schlsser presented at Chaos Communication Congress 29

by Ray , Mh ,

Summary : Was bedeutet das Zeitalter offener Designs fr die Sicherheit von Schlssern? Zum Beispiel solchen, die auf eine geringe Verbreitung eines Schlssels setzen? Ein Beispiel sind die sogenannten Hochsicherheitsversionen von Polizeihandschellen. Der Talk zeigt was (und wie) sich in diesem Bereich mit Lasercuttern und 3D Druckern erreichen lsst - sowie welche komplexeren Angriffsziele noch warten. Als Ausweg aus der Problematik kopierbarer Schlssel gelten digitale Schlsser, aber sie kranken anders an offenen Quellen: sie haben keine! Im Rahmen eines Open Source Lock Projektes haben wir uns daher ein reflashbares Vorhngeschloss angesehen, doch noch ehe wir den Programmieradapter angeschlossen hatten fanden wir eine Schwachstelle der Hardware... Leider kein Einzelfall!
Wie vertrgt sich das Open Source Konzept mit Sicherheitstechnik in der realen Welt? Eigentlich ist es einfach: man mchte seine Schlssel geheim halten, seine Schlsser aber kennen und verstehen knnen. Was in der virtuellen Welt lngst etabliert ist, funktioniert im "real life" leider auf beiden Ebenen nicht. Der Vortrag gibt eine kurze Einfhrung samt berblick ber den Stand der Technik und erklrt dann im Detail, was unseren Recherchen zum Opfer fiel.
Die Vorstellung eines trivial schneidbaren 3D Modells fr die "geheimen" Schlssel von Chubb und Bonowi Handschellen sorgte auf der HOPE fr einigen Presserummel - doch das war erst der Anfang. Der Vortrag erklrt sowohl die Vorgehensweisen und Probleme solche Modelle auf die immer beliebter werdenden Lasercutter zu bringen, als auch die Schritte, die ntig waren, um nach den Erfolgen von New York auch das letzte hartnckigere Angriffsziel, die verbeitetste deutsche "hochsicherheits"-Polizeihandschelle, so zu berwinden. Ebenso wird auf das Drucken und Schneiden noch komplexerer Schlssel, sowie die Mglichkeiten parametrisierter 3D Modelle eingegangen.
Wer sich vor solchen Problemen schtzen will, dem bleibt auf Lange Sicht wohl nur der Weg zu digitalen Schliesssystemen. Diese kranken leider alle an der weit verbreiteten Angst der Hersteller vor offenen Quellen, oft wird nicht mal der verwendete Kryptoalgorithmus verraten, eine berprfbare Implementierung gibt es von keinem. Neben der kompletten Eigenentwicklung scheint hier die Umprogrammierung eines vorhandenen Schlosses ein Weg, endlich zu einem vertrauenswrdigen System zu kommen. Wir zeigen unsere Analysen eines brandneuen und dafr geeignet wirkenden digitalen Vorhngeschlosses auf Basis des MSP430 - haben leider aber auch den dazu passenden mechanischen Angriff gefunden, der die Software zur Nebensache macht. Nicht zum ersten Mal...